このトピックでは、WAN トランスポートとサービス側のネットワーク インターフェイスの一般的なプロパティを設定する方法について説明します。セルラーインターフェイス、DHCP、PPPoE、VRRP、WLAN インターフェイスなど、特定のインターフェイスタイプとプロパティを設定する方法に関する情報を提供します。
VPN 0 は WAN トランスポート VPN です。この VPN は、オーバーレイネットワークで OMP セッションを介して伝送されるすべてのコントロール プレーン トラフィックを処理します。Cisco IOS XE SD-WAN デバイス デバイスがオーバーレイネットワークに参加するには、少なくとも 1 つのインターフェイスが VPN 0 で設定されている必要があり、少なくとも 1 つのインターフェイスが WAN トランスポートネットワーク(インターネット、MPLS、メトロ
イーサネット ネットワークなど)に接続されている必要があります。この WAN トランスポート インターフェイスは、トンネルインターフェイスと呼ばれます。少なくとも、このインターフェイスでは、IP アドレスを設定し、インターフェイスを有効にして、トンネルインターフェイスとして設定する必要があります。
Cisco vSmart コントローラ または Cisco vManage NMS でトンネルインターフェイスを設定するには、VPN 0 にインターフェイスを作成した後、IP アドレスを割り当てるか、DHCP から IP アドレスを受信するようにインターフェイスを設定して、トンネルインターフェイスとしてマークします。IP
アドレスは、IPv4 または IPv6 アドレスのどちらにすることもできます。デュアルスタックを有効にするには、両方のアドレスタイプを設定します。オプションで、カラーをトンネルに関連付けることができます。
(注) |
IPv6 アドレスは、トランスポート インターフェイスでのみ、つまり VPN 0 でのみ設定できます。
|
Cisco IOS XE SD-WAN デバイス のトンネルインターフェイスには、IP アドレス、カラー、およびカプセル化タイプを設定する必要があります。IP アドレスは、IPv4 または IPv6 アドレスのどちらにすることもできます。Cisco IOS XE リリース 17.3.2 より前のリリースでデュアルスタックを有効にするには、両方のアドレスタイプを設定します。
Cisco IOS XE リリース 17.3.2 の Cisco IOS XE SD-WAN デバイス でデュアルスタックを使用するには、すべてのコントローラに IPv4 アドレスと IPv6 アドレスの両方を設定します。さらに、IPv4 および IPv6 アドレスタイプを解決するように Cisco vBond オーケストレーション インターフェイス用のドメインネームシステム(DNS)を設定します。これにより、コントローラは、どちらの IP アドレスタイプを介しても Cisco vBond オーケストレーション に到達できます。
(注) |
Cisco vManage リリース 20.6.1 以降では、デュアルスタックを設定した際に、IPv4 アドレスや完全修飾ドメイン名(FQDN)は使用できず、IPv6 アドレスは使用できる場合は、IPv6 アドレスを使用して Cisco vBond オーケストレーション に接続します。
|
トンネルインターフェイスの場合、固定 IPv4 または IPv6 アドレスを設定するか、DHCP サーバーからアドレスを受信するようにインターフェイスを設定できます。デュアルスタックを有効にするには、トンネルインターフェイスで IPv4 アドレスと
IPv6 アドレスの両方を設定します。
Cisco IOS XE リリース 17.3.2 以降、Cisco IOS XE SD-WAN デバイス では同じ TLOC またはインターフェイスでのデュアルスタックはサポートされません。TLOC またはインターフェイスにプロビジョニングできるアドレスタイプは 1 つだけです。2 つ目のアドレスタイプを使用する場合、それをプロビジョニングできる
2 つ目の TLOC またはインターフェイスが必要です。
Cisco vSmart コントローラ および Cisco vSmart コントローラ NMS では、interface-name は eth number または loopback number のいずれかになります。Cisco vSmart コントローラ と Cisco vSmart コントローラ NMS はオーバーレイネットワークのコントロールプレーンにのみ参加するため、これらのデバイスで設定できる VPN は VPN 0 と VPN 512 です。したがって、すべてのインターフェイスはこれらの VPN にのみ存在します。
インターフェイスを有効にするには、no shutdown コマンドを使用します。
カラーは、トランスポートトンネルを識別する Cisco SD-WAN ソフトウェア構造です。これは、3g、biz-internet、blue、bronze、custom1、custom2、custom3、default、gold、green、lte、metro-ethernet、mpls、private1 ~ private6、public-internet、red、および silver のいずれかです。metro-ethernet、mpls、および private1 ~ private6 の各カラーは、プライベートアドレスを使用してプライベートネットワークのリモート側 Cisco IOS XE SD-WAN デバイス に接続するため、プライベートカラーと呼ばれます。ローカルとリモートの Cisco IOS XE SD-WAN デバイス 間に NAT デバイスがない場合は、パブリックネットワークでこれらのカラーを使用できます。
ローカル TLOC が BFD セッションを確立できるリモート TLOC を制限するには、[restrict] オプションで TLOC をマークします。TLOC が制限付きとしてマークされている場合、ローカルルータの TLOC は、リモート TLOC が同じカラーである場合にのみ、リモート TLOC とのトンネル接続を確立します。
Cisco vSmart コントローラ または Cisco vSmart コントローラ NMS では、1 つのトンネルインターフェイスを設定できます。Cisco IOS XE SD-WAN デバイス では、最大 8 つのトンネルインターフェイスを設定できます。
Cisco IOS XE SD-WAN デバイス では、トンネルのカプセル化を設定する必要があります。カプセル化は、IPsec または GRE のいずれかです。IPsec カプセル化の場合、デフォルトの MTU は 1442 バイトであり、GRE の場合は 1468 バイトです。これらの値は、すべての
TLOC でデフォルトで有効になっている BFD パス MTU ディスカバリに必要なオーバーヘッドに基づいて決定されます。(詳細については、「Configuring Control Plane and Data Plane High Availability
Parameters」を参照してください。)同じ tunnel-interface コマンドの下に 2 つの encapsulation コマンドを含めることにより、IPsec と GRE の両方のカプセル化を設定できます。リモート Cisco IOS XE SD-WAN デバイス では、2 つのルータがデータトラフィックを交換できるように、同じトンネルカプセル化タイプを設定する必要があります。IPsec トンネルから送信されたデータは IPsec トンネルでのみ受信でき、GRE トンネルで送信されたデータは GRE トンネルでのみ受信できます。Cisco
SD-WAN ソフトウェアは、宛先 Cisco IOS XE SD-WAN デバイス の正しいトンネルを自動的に選択します。
トンネルインターフェイスでは、DTLS、TLS、および(Cisco IOS XE SD-WAN デバイス の場合)IPsec トラフィックのみがトンネルを通過できます。明示的なポリシーまたはアクセスリストを作成せずに追加のトラフィックが通過できるようにするには、サービスごとに 1 つの allow-service コマンドを追加することで有効にできます。no allow-service コマンドを追加することで、サービスを明示的に禁止することもできます。サービスは物理インターフェイスにのみ影響することに注意してください。トンネルインターフェイスで次のサービスを許可または禁止できます。
Service
|
Cisco vSmart コントローラ
|
Cisco vSmart コントローラ
|
all(個々のサービスを許可または禁止するコマンドをオーバーライドします)
|
X
|
X
|
bgp
|
—
|
—
|
dhcp(DHCPv4 および DHCPv6 の場合)
|
—
|
—
|
dns
|
—
|
—
|
https
|
×
|
—
|
icmp
|
X
|
X
|
netconf
|
×
|
—
|
ntp
|
—
|
—
|
ospf
|
—
|
—
|
sshd
|
X
|
X
|
stun
|
X
|
X
|
allow-service stun コマンドを使用すると、Cisco IOS XE SD-WAN デバイス が汎用 STUN サーバーへの要求を生成することを許可または禁止して、このデバイスが NAT の背後にあるかどうかを判別し、NAT の背後にある場合は、NAT の種類とデバイスのパブリック IP アドレスとパブリックポート番号を判別できます。NAT
の背後にある Cisco IOS XE SD-WAN デバイス では、そのパブリック IP アドレスとポート番号を Cisco vBond オーケストレーション から検出するトンネルインターフェイスを設定することもできます。
この設定では、Cisco IOS XE SD-WAN デバイス は Cisco vBond オーケストレーション を STUN サーバーとして使用するため、ルータはそのパブリック IP アドレスとパブリックポート番号を判別できます。(この設定では、ルータは自身の前にある NAT の種類を学習できません。)オーバーレイネットワーク制御トラフィックは送信されず、Cisco vBond オーケストレーション に STUN サーバーとして設定されたトンネルインターフェイスを介してキーが交換されることもありません。ただし、BFD はトンネルで起動し、データトラフィックはトンネルで送信できます。Cisco vBond オーケストレーション を STUN サーバーとして使用するように設定されたトンネルインターフェイスを介して制御トラフィックは送信されないため、Cisco IOS XE SD-WAN デバイス で少なくとも 1 つの他のトンネルインターフェイスを設定して、Cisco vSmart コントローラ および Cisco vSmart コントローラ NMS と制御トラフィックを交換できるようにする必要があります。
allow-service コマンドで設定されたサービスと一致しないためにドロップされたすべてのパケットのヘッダーをログに記録できます。これらのログをセキュリティの目的で使用できます。たとえば、WAN インターフェイスに送信されるフローをモニタリングし、DDoS 攻撃の場合にブロックする
IP アドレスを決定できます。