キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
9030
閲覧回数
15
いいね!
1
コメント
kohyamas
Cisco Employee
Cisco Employee
  • はじめに
    CiscoSD-WAN OSバージョン17.10からサポートされたNAT64_MAP-E機能を使ってSD-WANルータをIPoE環境で構築する基本設定を紹介します。この機能はNTT-COM(OCN)方式のMAP-E環境にて共有IPv4グローバルアドレスを取得し、LAN側のIPv4のVRFからWAN側のIPv4インターネット向けの通信を可能とするものです。

  • 制限事項
    17.10.1aバージョンのDHCP-PD(光電話ありや10G光クロス)環境でのMAP-E動的はサポートしていません。
    また
    MAP-E動的環境でのIPv4 over IPv6トンネル経由ではIPv4でのSD-WANトンネルが動作しません。
    IPv4との他拠点IPsec接続などにはMAP-E固定IPでのご利用をお勧めします。IPv6での接続であれば可能です。

    スクリーンショット 2022-12-19 9.25.27.png

 

  • NAT64 MAP-E機能概要
    NAT64_MAP-E機能はエッジルータのWAN側IPv6インタフェースからアドレスサーバにSSL(HTTPを一部含む)アクセスをし、共有IPv4グローバルIPアドレスの情報と利用できるポート番号の情報を取得します。この情報とルータ自身のアドレス変換とを連携させ、共有IPv4の中の指定のポート番号のみを使ってインターネットアクセスを可能にします。なお、MAP-Eでは固定IPアドレスを取得できるものもあり、固定IPの場合はIPv4アドレス取得はMAP-Eを利用しますがこの場合はポート番号の制限はありません。通常のMAP-Eと固定IPのMAP-Eの2つの方式によって設定方法が異なる点に注意してください。

  • インタフェース設定 RA方式
    光電話なしの場合、WANインタフェースにはIPv6 RAを基本としたインタフェース設定を行います。
    interface GigabitEthernet0/0/0
     no shutdown
     ipv6 dhcp client request vendor
     no ipv6 address dhcp
     #RA方式の場合明示的にIPv6アドレスをDHCPで取得しないようにする
     ipv6 address autoconfig
     ipv6 enable
     ipv6 nd autoconfig default-route
     ipv6 nd ra suppress all
     exit

 

  • インタフェース設定 DHCPv6-PD方式
    DHCPv6のPD方式での設定を行いますが、一部、デフォルトルートだけはRAを使用します。
    interface GigabitEthernet0/0/0
     no shutdown
     ipv6 address dhcp
     ipv6 dhcp client vendor-class mac-address
     ipv6 dhcp client request vendor
     ipv6 dhcp client pd prefix-from-provider
     ipv6 address prefix-from-provider ::aa:bb:cc:dd/64 または /80
     ipv6 nd autoconfig default-route #RAでのデフォルトルートは取得する
     ipv6 nd ra suppress all
    exit

 

  • MAP-E固定IP(パターン1)
    MAP-E固定の場合、旧来のIPv4overIPv6トンネルとほぼ同じ設定を行います。
    設定はCLIアドオンテンプレートにて行ってください。Tunnel0はMAP-E固定IPで利用できる固定値です。

    ip route 0.0.0.0 0.0.0.0 Tunnel0
    ip nat route vrf 10 0.0.0.0 0.0.0.0 global
    #簡単のためにNATルートを利用していますが、Data-PolicyのNATでも動作可能です。
    #Data-Policyの場合はNATルートを削除
    ip nat inside source list nat-dia-vpn-hop-access-list interface Tunnel0 overload
    interface GigabitEthernet0/0/0
     no shutdown
     no ip address
     ipv6 dhcp client request vendor
     ipv6 address autoconfig default
     ipv6 enable
     ipv6 nd ra suppress all
     negotiation auto
    exit
    !
    interface Vlan10
     no shutdown
     vrf forwarding 10
     ip address 192.168.1.254 255.255.255.0
    exit
    !
    interface Tunnel0
     no shutdown
     ip nat outside
     !nat64 enable ! nat64の設定は不要でした。
     tunnel source GigabitEthernet0/0/0
     tunnel mode ipv6
     tunnel route-via GigabitEthernet0/0/0 mandatory
    exit
    !
    #IPv6のSD-WANトンネル
    interface Tunnel1
     no shutdown
     ip unnumbered GigabitEthernet0/0/0
     ipv6 unnumbered GigabitEthernet0/0/0
     tunnel source GigabitEthernet0/0/0
     tunnel mode sdwan
    exit
    !
    #IPv4のSD-WANトンネル
    interface Tunnel1000
     no shutdown
     ip unnumbered Tunnel0
     tunnel source Tunnel0
     tunnel mode sdwan
    exit
    !
    sdwan
     interface GigabitEthernet0/0/0
      tunnel-interface
       encapsulation ipsec
       #max-control-connections 0   #IPv6コントローラがない場合に入れる
       color gold
      exit
     exit
    !
     interface Tunnel0
      tunnel-interface
       encapsulation ipsec
       color silver
       exit
     exit
    !
    nat64 settings fragmentation header disable
    nat64 provisioning mode jp01
     version draft-ietf-softwire-map-03
     address-resolution-server http://<address-server-url>
     tunnel interface Tunnel0
     tunnel source GigabitEthernet0/0/0
    !​

 

  • MAP-E共有IP(パターン2)
    ※MAP-Eトンネル上でのIPv4SD-WANトンネルは動作しませんが将来想定Configを記載します。
    想定部分は#で弾いてあります。
    IPv6でのコントローラ接続、IPv6でのSD-WANトンネル接続では利用可能です。
    もしくはホームゲートウェイ配下でのご利用であれば通常通り動作可能です。

    MAP-E共有IPの場合は設定項目が少なくなり、NAT設定、トンネルインタフェースの作成、MAP-Eでの指定項目等が少なくなります。ただし、インタフェースに対してnat64変換対象である指定コマンド"nat64 enable"が追加になります。
    nat64 route 0.0.0.0/0 GigabitEthernet0/0/0
    ip nat route vrf 10 0.0.0.0 0.0.0.0 global
    #NATルートの場合はLoopbackインタフェース及びVRF0にIPv4のアドレスが存在しなくてもDIA通信可能
    #Data-Policyを使う場合はNATルートは不要ですが、VRF0に明示的にIPアドレス、この場合はLoopbackインタフェースを持つ必要がある
    #ip nat insideの設定は不要
    interface GigabitEthernet0/0/0
     no shutdown
     no ip address
     ipv6 dhcp client request vendor
     ipv6 address autoconfig default
     ipv6 enable
     ipv6 nd ra suppress all
     negotiation auto
     nat64 enable
    exit
    !
    interface Vlan10
     no shutdown
     vrf forwarding 10
     ip address 192.168.1.254 255.255.255.0
     nat64 enable
    exit
    !
    interface Tunnel1 #IPv6トンネル
     no shutdown
     ip unnumbered GigabitEthernet0/0/0
     ipv6 unnumbered GigabitEthernet0/0/0
     tunnel source GigabitEthernet0/0/0
     tunnel mode sdwan
    exit
    !
    #interface Tunnel1000
    # no shutdown
    # ip unnumbered Tunnel0 #自動で生成されるMAP-Eトンネルを設定値にできるように改修
    # tunnel source Tunnel0 #自動で生成されるMAP-Eトンネルを設定値にできるように改修
    # tunnel mode sdwan
    #exit
    #!
    sdwan
     interface GigabitEthernet0/0/0
      tunnel-interface
      encapsulation ipsec
      color mpls
      #IPv6コントローラがない場合に入れる
      #max-control-connections 0
      exit
    # interface Tunnel0 #自動で生成されるMAP-Eトンネルを設定値にできるように改修
    #  tunnel-interface
    #   encapsulation ipsec
    #   color public-internet
    #   exit
    #  exit
    !
    nat64 settings fragmentation header disable
    nat64 provisioning mode jp01
     version draft-ietf-softwire-map-03
    !

 

  • 既知の制限と改修について
    MAP-Eのアドレス情報の取得はルータのHTTPクライアントからSSLで取得します。SSLのエラーを防ぐためルータに対してSSLサーバ証明書の発行機関のstarfieldからClass2ルート証明書をあらかじめインストールしておく必要があります。ここではSD-WANルータに対してルート証明書をアップロードしルータにインストールする手順を記載します。

    1.Root証明書ダウンロード
     以下のリンクからRoot証明書をダウンロードします。
     https://certs.secureserver.net/repository/sf-class2-root.crt

    2.Root証明書をCopyコマンドでルータのBootflashにアップロードしてください。アップロード後のファイル名は
    後のコマンドに合わせて”TP.ca"としてください。

    3.以下のコマンドを入力
    config-transaction
     crypto pki trustpoint TP
      enrollment url bootflash:
      revocation-check none
      fingerprint AD7E1C28B064EF8F6003402014C3D0E3370EB58A
      commit
    end
    
    crypto pki authenticate TP

    4.コマンド出力例
    MAP-E-Router#crypto pki authenticate TP
    Reading file from bootflash:TP.ca
    Certificate has the following attributes:
           Fingerprint MD5: 324A4BBB C863699B BE749AC6 DD1D4624
          Fingerprint SHA1: AD7E1C28 B064EF8F 60034020 14C3D0E3 370EB58A
    Trustpoint Fingerprint: AD7E1C28 B064EF8F 60034020 14C3D0E3 370EB58A
    Certificate validated - fingerprints matched.
    Trustpoint CA certificate accepted.
    MAP-E-Router#​


       5.Root証明書配布をvManage20.13.x以降から実施可能となりました。
   別回線やIPv6でvManageとルータとの接続性がある状態から遠隔でのインストールとなります。
   詳細は以下の手順をご覧ください。
   https://www.cisco.com/c/en/us/td/docs/routers/sdwan/configuration/sdwan-xe-gs-book/manage-certificates.html#c-fht-ca-certifcates

  • Cisco-SDWAN リリースノート
    https://www.cisco.com/c/en/us/support/routers/sd-wan/products-release-notes-list.htm

  • 各種確認コマンド
    show nat64 map-e
    show nat64 statistics
    show ip nat translations
    show nat64 translations
    show platform hardware qfp active statistics drop
    show platform hardware qfp active feature nat datapath statistics
    show platform hardware qfp active feature nat datapath sess-dump
    debug ip nat 1 detailed
    debug nat64 detail
    debug platform hardware qfp active feature nat64 data detail
  • 更新履歴
    2023年8月1日 RA方式のインタフェース設定に「ipv6 address dhcp」コマンドが記載されていたものを、
    「no ipv6 address dhcp」へ変更

    2024年2月22日 Loopback方式からトンネルINトンネル方式へ記載を変更
    一台に2回線収容やTloc-ext構成、Service-Side-NATの不具合回避などに対応

    2024年9月30日 Tunnel0インタフェース内のnat64設定が別途Tun0をソースとしたIPsec等の動作、
    tunnel route-via Tunnel0を入れるとダウンする、ソースインタフェース指定の動作ができず、
    IPsecUPを阻害する関係から調査した結果nat64設定が、不要であることがわかりました。お詫びして修正します。
コメント
hihiguch
Cisco Employee
Cisco Employee

Nice !

 

Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします