質問 1 古い Template の設定を新しい Configuration Group の設定に移行できますか。
現時点では Manager の機能としては実装されておりません。現在以下の URL において、設定変換用ツールの β 版が公開されています。
Catalyst SD-WAN Conversion Tool
質問 2 Preferred Color Group で第 1 優先、第 2 優先、第 3 優先の全ての WAN 回線の品質が劣化した際に、strict オプションのような動作はできますか。
バージョン 20.13.1から、Preferred Color Groupに Restrict オプションが追加され、Primary/Seoncdary/Teriary Color の全ての品質が劣化した際にトラフィックは破棄可能です。注意点としてまして、UX 1.0 でのみ Preferred Color Group の Restrict オプションは使用可能になります。
Cisco Catalyst SD-WAN Multi-Region Fabric Configuration Guide
質問 3 以前の設定メニューには Data Policy と AAR Policy の他に Cflowd が存在しましたが、新しい設定メニューでは Cflowd はどこにありますか。
バージョン 20.13.1 から、「Configuration → Network Hierarchy → Collectors」において cflowd の Flow Collector を設定可能になります。Flow Collector を設定後、Application Priority & SLA Policy のルールで cflowd アクションを指定することで、ルールにマッチしたトラフィックのフロー情報を Flow Collector に転送可能になります。
Policy Groups Configuration Guide, Cisco IOS XE Catalyst SD-WAN Release 17.x
質問 4 今、バージョン 20.12 で Configuration Group を使って構築しているのですが、検証環境で作成した設定を本番環境に移せますか。
バージョン 20.15.1 から Configuration Group/Policy Group/Topology の設定を JSON でエクスポートし、別の環境にインポート可能になりました。
質問 5 以前、御社のセミナーで Configuration Group の説明を聞いたとき、Cloud OnRamp for SaaS は未サポートと伺ったのですが、今はサポートしてますか。
バージョン 20.15.1 から UX 2.0 においても、Cloud OnRamp for SaaS をサポートしています。
Cisco Catalyst SD-WAN Cloud OnRamp Configuration Guide, Cisco IOS XE Catalyst SD-WAN Release 17.x
質問 6 20.12.4 バージョンでは Configuration Group を通じて OSPF を LAN Side に適用しようとしましたが、Preview CLI に OSPF 設定が追加されませんでした。20.15 バージョンでは解決できたのか気になります。
実機で確認しましたところ、バージョン 20.15.1 では問題なく Preview CLI の OSPF の設定が表示され、cEdge に対して設定の適用も成功しました。
質問 7 EAAR も拠点間(cEdge間)のみの計測で合ってますでしょうか。
AAR と同様に EAARも cEdge 間のオーバレイトンネルの品質を測定します。
質問 8 通常の AAR について、BFD Multiplier で指定回数分の Poll が終わらないと AAR の動作が始まらないでしょうか。もしくは、BFD Multiplier が 1 回しか済んでない場合でも SLA を満たしていれば AAR の動作が始まるのでしょうか。
1 回分ではなく Multiplier で指定された回数分の平均値で AAR の動作が開始されます。
質問 9 20.15 の Cisco 推奨バージョンをリリースする予定はあるか。そのリリース時期はいつ頃でしょうか。
確定ではありませんが、2025 年の夏ごろに 20.15 が推奨バージョンになる予定です。(変更される可能性あり)
質問 10 Policy GroupでSIGを生成すると、以下のように生成できますか。
1 号機:i0/0/0、Gi0/0/1.101
2 号機:Gi0/0/0、Gi0/0/1.102
バージョン 20.15 で確認したところ、20.15 の UX 2.0 の SIG でも、サブインタフェースを送信元として、IPsec トンネルは作成できました。
質問 11 DIA の場合、LAN 側にある端末の送信元 IP アドレスを SD-WAN の Interface に紐づく GIP に PAT されて、Internet 通信されるのが一般的かと思いますが、特定の LAN ネットワークアドレスに対しては、Interface とは別の GIP を利用したいということは実現可能でしょうか。可能であれば参考 URL をご連携いただけますと幸いです。
バージョン20.14.1から、Multiple NAT DIA Methodをサポートしまして、特定の WAN インタフェース上で複数の NAT 方式を設定でき、アプリケーションごとに、NAT で使用するグローバル IP アドレスを指定することが可能になります。
Cisco Catalyst SD-WAN NAT Configuration Guide, Cisco IOS XE Catalyst SD-WAN Release 17.x
質問 12 Data policy の Policy Group の設定を適用前の状態に戻したいのですが、policy の時の activate/deactivate のように detach することはできますか。空の Policy Group を別途作成して、その Policy Group に Associated Devices するしかないでしょうか。
Policy Group から Application Priority & SLA Policy の関連付けを解除し、その後 Policy Group を cEdge に割り当てることで、Data Policy の設定を削除可能になります。
質問 13 事前定義されたクラウドアプリケーションとL7アプリケーションはどれくらいの数登録されていますか。
バージョン 20.15.1 で確認したところ、1500 個以上のアプリケーションが登録されておりました。
質問 14 ローカルブレイクアウト対象として特定のアプリケーションを指定した場合、アプリケーション識別に最初の数パケットをウォッチする必要があると認識しています。アプリ識別までの通信はローカルブレイクアウトされないのでしょうか。
最初の TCP 3 Way Handshake 中にやり取りされるパケットにはアプリケーションの情報が含まれていないため、cEdge はそのトラフィックのアプリケーションを識別できず、ローカルブレイクアウトすることは不可になります。ファーストパケットの識別精度を向上させるために、Catalyst SD-WAN では SD-AVC と呼ばれる機能が存在します。例えば、Office 365 の場合は事前にマイクロソフト側から IP アドレス/ポート番号の一覧を取得し、ファーストパケットから正しく Office 365 のトラフィックと識別することが可能になります。
質問 15 DAI によるローカルブレイクアウトの際に、例えば Webex をローカルブレイクアウトしたい場合は、Webex でもWebex という名前のアプリケーションが複数存在する場合、どれを選択すれば最適解なのかがわかりません。どういう基準で選択すればよいかが記載されているページはございますでしょうか。もしくは、Webex 関連すべてのアプリケーションを選択すればよいのでしょうか。
Webex の特定の通信のみがローカルブレイクアウトされないなどを回避するために、Webex の全てのアプリケーションを指定することを推奨いたします。
質問 16 SD-WAN を利用して社内に公開 WEB サーバ(一つのプライベートアドレスを設定)を立てたい場合、複数回線でそれぞれグローバル IP アドレスがある場合、それぞれのグローバル IP アドレスをどのように一つのプライベート IP アドレスに割り当ててよいかがわかりません。
Port Forwarding を使用して、Service VPN に収容されている Private IP を複数の Public IP にマッピングすることは未サポートです。
質問 17 20.15 から送信元 NAT で LBO 先の TLOC 回線を送信元によって振り分けられるか。さらに一方の回線で障害が起きた際に、残りの回線を Backup とする機能もあるか。
LOCAL TLOC(Restrict オプション無効)と NAT VPN アクションを組み合わせることで実現可能になります。正常時はLOCAl TLOC で指定した Color の TLOC 経由でローカルブレイクアウトされ、その TLOC がダウンした場合は、もう一つのTLOC 経由でローカルブレイクアウトすることが可能になります。
公開の難しい情報などは掲載を見送らせていただくこともございます。ご容赦いただけますと幸いです。
当オンラインセミナーのご参加、誠にありがとうございました。 またのご参加をお待ちしております。
