JA
結果は見つかりませんでした
その言葉を使ったものは見つかりませんでした。他の言葉で検索してみてください。
Cisco SD-WAN システムおよびインターフェイス コンフィギュレーション ガイド、Cisco IOS XE リリース 17.x
この トピック で は 、 WAN トランスポート と サービス 側 の ネットワーク インターフェイス の 一般 的 な プロパティ を 設定 する 方法 に つい て 説明 し ます 。 セルラー インターフェイス 、 DHCP 、 PPPoE 、 VRRP 、 wlan インターフェイス など
この トピック で は 、 WAN トランスポート と サービス 側 の ネットワーク インターフェイス の 一般 的 な プロパティ を 設定 する 方法 に つい て 説明 し ます 。 セルラー インターフェイス 、 DHCP 、 PPPoE 、 VRRP 、 wlan インターフェイス など 、 特定 の インターフェイス タイプ と プロパティ を 設定 する 方法 に 関する 情報 を 提供 し ます 。
VPN 0 は WAN トランスポート VPN です。この VPN は、オーバーレイネットワークで OMP セッションを介して伝送されるすべてのコントロール プレーン トラフィックを処理します。Cisco IOS xE SD-WAN デバイス デバイスがオーバーレイネットワークに参加するには、少なくとも 1 つのインターフェイスが VPN 0 で設定されている必要があり、少なくとも 1 つのインターフェイスが WAN トランスポートネットワーク(インターネット、MPLS、メトロ
イーサネット ネットワークなど)に接続されている必要があります。この WAN トランスポート インターフェイスは、トンネルインターフェイスと呼ばれます。少なくとも、このインターフェイスでは、IP アドレスを設定し、インターフェイスを有効にして、トンネルインターフェイスとして設定する必要があります。
Cisco vsmart コントローラ また はCisco vManage NMS でトンネルインターフェイスを設定するには、VPN 0 にインターフェイスを作成した後、IP アドレスを割り当てるか、DHCP から IP アドレスを受信するようにインターフェイスを設定して、トンネルインターフェイスとしてマークします。IP
アドレスは、IPv4 また はIPv6 アドレスのどちらにすることもできます。デュアルスタックを有効にするには、両方のアドレスタイプを設定します。オプションで、カラーをトンネルに関連付けることができます。
| (注) |
IPV 6 アドレス is 設定 は 、 トランスポート インターフェイス で のみ 、 つまり VPN 0 で のみ 設定 でき ます 。 |
Cisco IOS xE SD-WAN デバイス のトンネルインターフェイスには、IP アドレス、カラー、およびカプセル化タイプを設定する必要があります。IP アドレスは、IPv4 また はIPv6 アドレスのどちらにすることもできます。Cisco IOS xE リリース 17.3.2 より 前 の リリース で デュアル スタック を 有効 に する に は 、 両方 の アドレス タイプ を 設定 し ます 。
Cisco IOS xE リリース 17.3.2 の Cisco IOS xE SD-WAN デバイス でデュアルスタックを使用するには、すべてのコントローラに IPv4 アドレスと IPv6 アドレスの両方を設定します。さらに、IPv4 および IPv6 アドレスタイプを解決するように Cisco vbond オーケストレーション インターフェイス用のドメインネームシステム(DNS)を設定します。これにより、コントローラは、どちらの IP アドレスタイプを介しても Cisco vbond オーケストレーション に到達できます。
| (注) |
Cisco vManage リリース 20.6.1 以降では、デュアルスタックを設定した際に、IPv4 アドレスや完全修飾ドメイン名(FQDN)は使用できず、IPv6 アドレスは使用できる場合は、IPv6 アドレスを使用して Cisco vbond オーケストレーション に 接続 し ます 。 |
トンネルインターフェイスの場合、固定 IPv4 また はIPv6 アドレスを設定するか、DHCP サーバーからアドレスを受信するようにインターフェイスを設定できます。デュアルスタックを有効にするには、トンネルインターフェイスで IPv4 アドレスと
IPv6 アドレスの両方を設定します。
Cisco IOS xE リリース 17.3.2 以降 、Cisco IOS xE SD-WAN デバイス で は 同じ tloc また は インターフェイス で の デュアル スタック is サポート は サポート さ れ ませ ん 。 TLOC また は インターフェイス に プロビジョニング できる アドレス タイプ is つ は 1 つ だけ です 。 2 つ 目 の アドレス タイプ を 使用 する 場合 、 それ を プロビジョニング できる
2 つ 目 の TLOC また は インターフェイス is 必要 が 必要 です 。
Cisco vsmart コントローラ および Cisco vsmart コントローラ NMS では、 は eth また はloopback の いずれ か に なり ます 。Cisco vsmart コントローラ と Cisco vsmart コントローラ NMS はオーバーレイネットワークのコントロールプレーンにのみ参加するため、これらのデバイスで設定できる VPN は VPN 0 と VPN 512 です。したがって、すべてのインターフェイスはこれらの VPN にのみ存在します。
インターフェイス を 有効 に する に は 、NO shutdown コマンド を 使用 し ます 。
カラーは、トランスポートトンネルを識別する Cisco SD-WAN ソフトウェア構造です。これは、3g、biz-internet、blue、bronze、custom1、custom 2、custom 3、default、gold、green、lte、metro – ethernet、mpls、private1 ~private 6、public-internet、red、 およびSilver の いずれ か です 。metro – ethernet、mpls、 およびprivate1 ~private 6 の 各 カラー は 、 プライベート アドレス を 使用 し て プライベート ネットワーク の リモート 側Cisco IOS xE SD-WAN デバイス に接続するため、プライベートカラーと呼ばれます。ローカルとリモートの Cisco IOS xE SD-WAN デバイス 間に NAT デバイスがない場合は、パブリックネットワークでこれらのカラーを使用できます。
ローカル TLOC が BFD セッションを確立できるリモート TLOC を制限するには、[restrict] オプションで TLOC をマークします。TLOC が制限付きとしてマークされている場合、ローカルルータの TLOC は、リモート TLOC が同じカラーである場合にのみ、リモート TLOC とのトンネル接続を確立します。
Cisco vsmart コントローラ また はCisco vsmart コントローラ NMS では、1 つのトンネルインターフェイスを設定できます。Cisco IOS xE SD-WAN デバイス で は 、 最大 8 つ の トンネル インターフェイス を 設定 でき ます 。
Cisco IOS xE SD-WAN デバイス では、トンネルのカプセル化を設定する必要があります。カプセル化は、IPsec また はGRE の いずれ か です 。IPsec カプセル化の場合、デフォルトの MTU は 1442 バイトであり、GRE の場合は 1468 バイトです。これらの値は、すべての
TLOC でデフォルトで有効になっている BFD パス MTU ディスカバリに必要なオーバーヘッドに基づいて決定されます。(詳細については、「Configuring Control Plane and Data Plane High Availability
Parameters」を参照してください。)同じ tunnel-interface コマンド の 下 に 2 つのencapsulation コマンド を 含める こと に より 、 IPsec と GRE の 両方 の カプセル 化 を 設定 でき ます 。 リモートCisco IOS xE SD-WAN デバイス では、2 つのルータがデータトラフィックを交換できるように、同じトンネルカプセル化タイプを設定する必要があります。IPsec トンネルから送信されたデータは IPsec トンネルでのみ受信でき、GRE トンネルで送信されたデータは GRE トンネルでのみ受信できます。Cisco
SD-WAN ソフトウェアは、宛先 Cisco IOS xE SD-WAN デバイス の正しいトンネルを自動的に選択します。
トンネル インターフェイス で は 、 DTLS 、 tls 、 および (Cisco IOS xE SD-WAN デバイス の場合)IPsec トラフィックのみがトンネルを通過できます。明示的なポリシーまたはアクセスリストを作成せずに追加のトラフィックが通過できるようにするには、サービスごとに 1 つの ALLow – Service コマンドを追加することで有効にできます。no ALLow – Service コマンドを追加することで、サービスを明示的に禁止することもできます。サービスは物理インターフェイスにのみ影響することに注意してください。トンネルインターフェイスで次のサービスを許可または禁止できます。
|
Service |
Cisco vsmart コントローラ |
Cisco vsmart コントローラ |
|---|---|---|
|
ALL(個々のサービスを許可または禁止するコマンドをオーバーライドします) |
x |
x |
|
bgp |
— |
— |
|
dhcp(DHCPv4 および DHCPv6 の場合) |
— |
— |
|
DNS |
— |
— |
|
https |
× |
— |
|
icmp |
x |
x |
|
netconf |
× |
— |
|
ntp |
— |
— |
|
ospf |
— |
— |
|
sshd |
x |
x |
|
stun |
x |
x |
ALLow – Service stun コマンドを使用すると、Cisco IOS xE SD-WAN デバイス が 汎用 stun サーバー へ の 要求 を 生成 する こと を 許可 また は 禁止 し て 、 この デバイス が NAT の 背後 に ある か どう か を 判別 し 、 NAT の 背後 に ある 場合 は 、 NAT の 種類 と デバイス の パブリック IP アドレス と パブリック ポート 番号 を 判別 でき ます 。 NAT
の 背後 に あるCisco IOS xE SD-WAN デバイス では、そのパブリック IP アドレスとポート番号を Cisco vbond オーケストレーション から 検出 する トンネル インターフェイス を 設定 する こと も でき ます 。
この設定では、Cisco IOS xE SD-WAN デバイス は Cisco vbond オーケストレーション を stun サーバー と し て 使用 する ため 、 ルータ は その パブリック IP アドレス と パブリック ポート 番号 を 判別 でき ます 。 ( この 設定 で は 、 ルータ は 自身 の 前 に ある NAT の 種類 を 学習 でき ませ ん 。 ) オーバーレイ ネットワーク 制御 トラフィック is 送信 は 送信 さ れ ず 、Cisco vbond オーケストレーション に STUN サーバーとして設定されたトンネルインターフェイスを介してキーが交換されることもありません。ただし、BFD はトンネルで起動し、データトラフィックはトンネルで送信できます。Cisco vbond オーケストレーション を STUN サーバーとして使用するように設定されたトンネルインターフェイスを介して制御トラフィックは送信されないため、Cisco IOS xE SD-WAN デバイス で少なくとも 1 つの他のトンネルインターフェイスを設定して、Cisco vsmart コントローラ および Cisco vsmart コントローラ NMS と 制御 トラフィック を 交換 できる よう に する 必要 is あり が あり ます 。
ALLow – Service コマンドで設定されたサービスと一致しないためにドロップされたすべてのパケットのヘッダーをログに記録できます。これらのログをセキュリティの目的で使用できます。たとえば、WAN インターフェイスに送信されるフローをモニタリングし、DDoS 攻撃の場合にブロックする
IP アドレスを決定できます。