購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
8252
閲覧回数
15
いいね!
1
コメント

Cisco SD-WAN IPoE MAP-E(NTT-COM/OCN)編

kohyamas
Cisco Employee
Cisco Employee

‎2022-12-19 09:39 AM ‎2024-09-30 02:42 PM 更新

  • はじめに
    CiscoSD-WAN OSバージョン17.10からサポートされたNAT64_MAP-E機能を使ってSD-WANルータをIPoE環境で構築する基本設定を紹介します。この機能はNTT-COM(OCN)方式のMAP-E環境にて共有IPv4グローバルアドレスを取得し、LAN側のIPv4のVRFからWAN側のIPv4インターネット向けの通信を可能とするものです。

  • 制限事項
    17.10.1aバージョンのDHCP-PD(光電話ありや10G光クロス)環境でのMAP-E動的はサポートしていません。
    また    MAP-E動的環境でのIPv4 over IPv6トンネル経由ではIPv4でのSD-WANトンネルが動作しません。
    IPv4との他拠点IPsec接続などにはMAP-E固定IPでのご利用をお勧めします。IPv6での接続であれば可能です。

    スクリーンショット 2022-12-19 9.25.27.png

 

  • NAT64 MAP-E機能概要
    NAT64_MAP-E機能はエッジルータのWAN側IPv6インタフェースからアドレスサーバにSSL(HTTPを一部含む)アクセスをし、共有IPv4グローバルIPアドレスの情報と利用できるポート番号の情報を取得します。この情報とルータ自身のアドレス変換とを連携させ、共有IPv4の中の指定のポート番号のみを使ってインターネットアクセスを可能にします。なお、MAP-Eでは固定IPアドレスを取得できるものもあり、固定IPの場合はIPv4アドレス取得はMAP-Eを利用しますがこの場合はポート番号の制限はありません。通常のMAP-Eと固定IPのMAP-Eの2つの方式によって設定方法が異なる点に注意してください。

  • インタフェース設定 RA方式
    光電話なしの場合、WANインタフェースにはIPv6 RAを基本としたインタフェース設定を行います。
    interface GigabitEthernet0/0/0
 no shutdown
 ipv6 dhcp client request vendor
 no ipv6 address dhcp
 #RA方式の場合明示的にIPv6アドレスをDHCPで取得しないようにする
 ipv6 address autoconfig
 ipv6 enable
 ipv6 nd autoconfig default-route
 ipv6 nd ra suppress all
 exit

 

  • インタフェース設定 DHCPv6-PD方式
    DHCPv6のPD方式での設定を行いますが、一部、デフォルトルートだけはRAを使用します。
    interface GigabitEthernet0/0/0
 no shutdown
 ipv6 address dhcp
 ipv6 dhcp client vendor-class mac-address
 ipv6 dhcp client request vendor
 ipv6 dhcp client pd prefix-from-provider
 ipv6 address prefix-from-provider ::aa:bb:cc:dd/64 または /80
 ipv6 nd autoconfig default-route #RAでのデフォルトルートは取得する
 ipv6 nd ra suppress all
exit

 

  • MAP-E固定IP(パターン1)
    MAP-E固定の場合、旧来のIPv4overIPv6トンネルとほぼ同じ設定を行います。
    設定はCLIアドオンテンプレートにて行ってください。Tunnel0はMAP-E固定IPで利用できる固定値です。
    ip route 0.0.0.0 0.0.0.0 Tunnel0
ip nat route vrf 10 0.0.0.0 0.0.0.0 global
#簡単のためにNATルートを利用していますが、Data-PolicyのNATでも動作可能です。
#Data-Policyの場合はNATルートを削除
ip nat inside source list nat-dia-vpn-hop-access-list interface Tunnel0 overload
interface GigabitEthernet0/0/0
 no shutdown
 no ip address
 ipv6 dhcp client request vendor
 ipv6 address autoconfig default
 ipv6 enable
 ipv6 nd ra suppress all
 negotiation auto
exit
!
interface Vlan10
 no shutdown
 vrf forwarding 10
 ip address 192.168.1.254 255.255.255.0
exit
!
interface Tunnel0
 no shutdown
 ip nat outside
 !nat64 enable ! nat64の設定は不要でした。
 tunnel source GigabitEthernet0/0/0
 tunnel mode ipv6
 tunnel route-via GigabitEthernet0/0/0 mandatory
exit
!
#IPv6のSD-WANトンネル
interface Tunnel1
 no shutdown
 ip unnumbered GigabitEthernet0/0/0
 ipv6 unnumbered GigabitEthernet0/0/0
 tunnel source GigabitEthernet0/0/0
 tunnel mode sdwan
exit
!
#IPv4のSD-WANトンネル
interface Tunnel1000
 no shutdown
 ip unnumbered Tunnel0
 tunnel source Tunnel0
 tunnel mode sdwan
exit
!
sdwan
 interface GigabitEthernet0/0/0
  tunnel-interface
   encapsulation ipsec
   #max-control-connections 0   #IPv6コントローラがない場合に入れる
   color gold
  exit
 exit
!
 interface Tunnel0
  tunnel-interface
   encapsulation ipsec
   color silver
   exit
 exit
!
nat64 settings fragmentation header disable
nat64 provisioning mode jp01
 version draft-ietf-softwire-map-03
 address-resolution-server http://<address-server-url>
 tunnel interface Tunnel0
 tunnel source GigabitEthernet0/0/0
!​

 

  • MAP-E共有IP(パターン2)
    ※MAP-Eトンネル上でのIPv4SD-WANトンネルは動作しませんが将来想定Configを記載します。
    想定部分は#で弾いてあります。
    IPv6でのコントローラ接続、IPv6でのSD-WANトンネル接続では利用可能です。
    もしくはホームゲートウェイ配下でのご利用であれば通常通り動作可能です。

    MAP-E共有IPの場合は設定項目が少なくなり、NAT設定、トンネルインタフェースの作成、MAP-Eでの指定項目等が少なくなります。ただし、インタフェースに対してnat64変換対象である指定コマンド"nat64 enable"が追加になります。
    nat64 route 0.0.0.0/0 GigabitEthernet0/0/0
ip nat route vrf 10 0.0.0.0 0.0.0.0 global
#NATルートの場合はLoopbackインタフェース及びVRF0にIPv4のアドレスが存在しなくてもDIA通信可能
#Data-Policyを使う場合はNATルートは不要ですが、VRF0に明示的にIPアドレス、この場合はLoopbackインタフェースを持つ必要がある
#ip nat insideの設定は不要
interface GigabitEthernet0/0/0
 no shutdown
 no ip address
 ipv6 dhcp client request vendor
 ipv6 address autoconfig default
 ipv6 enable
 ipv6 nd ra suppress all
 negotiation auto
 nat64 enable
exit
!
interface Vlan10
 no shutdown
 vrf forwarding 10
 ip address 192.168.1.254 255.255.255.0
 nat64 enable
exit
!
interface Tunnel1 #IPv6トンネル
 no shutdown
 ip unnumbered GigabitEthernet0/0/0
 ipv6 unnumbered GigabitEthernet0/0/0
 tunnel source GigabitEthernet0/0/0
 tunnel mode sdwan
exit
!
#interface Tunnel1000
# no shutdown
# ip unnumbered Tunnel0 #自動で生成されるMAP-Eトンネルを設定値にできるように改修
# tunnel source Tunnel0 #自動で生成されるMAP-Eトンネルを設定値にできるように改修
# tunnel mode sdwan
#exit
#!
sdwan
 interface GigabitEthernet0/0/0
  tunnel-interface
  encapsulation ipsec
  color mpls
  #IPv6コントローラがない場合に入れる
  #max-control-connections 0
  exit
# interface Tunnel0 #自動で生成されるMAP-Eトンネルを設定値にできるように改修
#  tunnel-interface
#   encapsulation ipsec
#   color public-internet
#   exit
#  exit
!
nat64 settings fragmentation header disable
nat64 provisioning mode jp01
 version draft-ietf-softwire-map-03
!

 

  • 既知の制限と改修について
    MAP-Eのアドレス情報の取得はルータのHTTPクライアントからSSLで取得します。SSLのエラーを防ぐためルータに対してSSLサーバ証明書の発行機関のstarfieldからClass2ルート証明書をあらかじめインストールしておく必要があります。ここではSD-WANルータに対してルート証明書をアップロードしルータにインストールする手順を記載します。

    1.Root証明書ダウンロード
     以下のリンクからRoot証明書をダウンロードします。
     https://certs.secureserver.net/repository/sf-class2-root.crt

    2.Root証明書をCopyコマンドでルータのBootflashにアップロードしてください。アップロード後のファイル名は
    後のコマンドに合わせて”TP.ca"としてください。

    3.以下のコマンドを入力
    config-transaction
 crypto pki trustpoint TP
  enrollment url bootflash:
  revocation-check none
  fingerprint AD7E1C28B064EF8F6003402014C3D0E3370EB58A
  commit
end

crypto pki authenticate TP

    4.コマンド出力例
    MAP-E-Router#crypto pki authenticate TP
Reading file from bootflash:TP.ca
Certificate has the following attributes:
       Fingerprint MD5: 324A4BBB C863699B BE749AC6 DD1D4624
      Fingerprint SHA1: AD7E1C28 B064EF8F 60034020 14C3D0E3 370EB58A
Trustpoint Fingerprint: AD7E1C28 B064EF8F 60034020 14C3D0E3 370EB58A
Certificate validated - fingerprints matched.
Trustpoint CA certificate accepted.
MAP-E-Router#​


       5.Root証明書配布をvManage20.13.x以降から実施可能となりました。
   別回線やIPv6でvManageとルータとの接続性がある状態から遠隔でのインストールとなります。
   詳細は以下の手順をご覧ください。
   https://www.cisco.com/c/en/us/td/docs/routers/sdwan/configuration/sdwan-xe-gs-book/manage-certificates.html#c-fht-ca-certifcates

  • Cisco-SDWAN リリースノート
    https://www.cisco.com/c/en/us/support/routers/sd-wan/products-release-notes-list.htm

  • 各種確認コマンド
    show nat64 map-e
show nat64 statistics
show ip nat translations
show nat64 translations
show platform hardware qfp active statistics drop
show platform hardware qfp active feature nat datapath statistics
show platform hardware qfp active feature nat datapath sess-dump
debug ip nat 1 detailed
debug nat64 detail
debug platform hardware qfp active feature nat64 data detail
  • 更新履歴
    2023年8月1日 RA方式のインタフェース設定に「ipv6 address dhcp」コマンドが記載されていたものを、
    「no ipv6 address dhcp」へ変更

    2024年2月22日 Loopback方式からトンネルINトンネル方式へ記載を変更
    一台に2回線収容やTloc-ext構成、Service-Side-NATの不具合回避などに対応

    2024年9月30日 Tunnel0インタフェース内のnat64設定が別途Tun0をソースとしたIPsec等の動作、
    tunnel route-via Tunnel0を入れるとダウンする、ソースインタフェース指定の動作ができず、
    IPsecUPを阻害する関係から調査した結果nat64設定が、不要であることがわかりました。お詫びして修正します。
ラベル:
コメント
hihiguch
Cisco Employee
Cisco Employee
‎2022-12-20 02:44 PM

Nice !

 

Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents