コントロールコネクションに TLS を利用している cEdge ルータにおいて、Catalyst SD-WAN Controller (旧称: vSmart、以降は Controller と記載) 及び Catalyst SD-WAN Manager (旧称: vManage、以降は Manager と記載) とのコントロールコネクションが切れる場合があります。 cEdge 側で show sdwan control connections を確認した場合、trying の state になっています。

*以下コマンド実行結果例は、本記事上不要な列を一部省略しています。
cedge#show sdwan control connections
                                                            PEER                PEER                                           
PEER    PEER PEER            SITE       DOMAIN PEER         PRIV  PEER          PUB                                                 
TYPE    PROT SYSTEM IP       ID         ID     PRIVATE IP   PORT  PUBLIC IP     PORT  ORGANIZATION STATE 
---------------------------------------------------------------------------------------------------------
vsmart  tls  x.x.x.x         xxxxxxxxxx x      xx.xx.xxx.xx xxxxx xx.xx.xxx.xx  xxxxx xxxxx        trying  
vsmart  tls  x.x.x.x         xxxxxxxxxx x      xx.xx.xxx.xx xxxxx xx.xx.xxx.xx  xxxxx xxxxx        trying                        
vmanage tls  x.x.x.x         xxxxxxxxxx x      xx.xx.xxx.xx xxxxx xx.xx.xxx.xx  xxxxx xxxxx        trying

cEdge 側にて Controller からの帰りパケットのパケットトレースを取得すると、DROP 479 (SdwanImplicitAclDrop) によりパケットがドロップされています。 

cEdge# show platform packet-trace packet xx
Packet: xx          CBUG ID: xx
Summary
  Input     : GigabitEthernetx/x/x
  Output    : GigabitEthernetx/x/x
  State     : DROP 479 (SdwanImplicitAclDrop)

復旧策:
事象が発生している、cEdge のコントロールコネクション確立のソースとなるインターフェイスに対して一度 shutdown を実行し、再度 no shutdown を実行します。もしくは cEdge 上で clear sdwan control connections を実行します。 

暫定回避策:
cEdge から Controller 及び Manager へ送信される TLS コントロールコネクションパケットのソースポートは通常 50001 以上がランダムで選定されることから、以下設定により NAT で利用するポートを制限することで回避が可能です。但し、デフォルトのレンジは 5602–65000 であるため、以下設定により NAT で利用できるポート数は減少します。

cEdge(config)# ip nat settings interface-overload port range start 5062 end 50000 

恒久対策:
 CSCwe43341 の問題が改修されたソフトウェアを使用してください。