こんにちは、トラ男です。
今年の目標であったPM試験合格が絶望的になったため、SD-WANに関する技術記事を20本書こうと目標を変えました。
本日はNAT DIA Trackerに関して。
NAT DIA Trackerとは
日本においてSD-WAN導入のきっかけとなる一番のポイントはやはりダイレクトインターネットアクセス(DIA)になります。
(Ciscoのセミナーでもやはりダントツにダイレクトインターネットアクセスが一番と言ってましたね)
政府もクラウド・バイ・デフォルトの原則を掲げており、仕事をしていても多くの企業がオンプレミスからクラウドへ移行しているのを感じます。
DCに各拠点のトラフィックを集約し、DCがインターネットの出口となる従来のNWデザインでは、クラウドへの移行に伴い増大するインターネットトラフィックに耐えられなくなっています。
SD-WANによって特定の通信(O365やZoomなど)を拠点のインターネット回線からブレイクアウトさせる流れは必然であると感じます。
前置きが長くなりましたが、CiscoSD-WANにおいてダイレクトインターネットアクセスをする際にインターネットの網障害を検知できる仕組みが必要となります。
(IOSに実装されているIP SLAとオブジェクトトラッキングのような機能が必要)
そのための仕組みがNAT DIA Trackerとなります。
NAT DIA Trackerによってローカルインターネットが利用できないと判断するとEdgeルータはサービスVPNからNATルートを削除して、ローカルルーティングに基づいてバックアップパスへとトラフィックはルーティングされます。
Edgeルータはプローブを定期的に送信し続け、エンドポイントが再度アクティブであることを検知すると削除していたNATルートを再インストールするようになります。
NAT DIA Trackerの設定方法
NAT DIA Trackerの設定は以下のようになります。
①Cisco SystemテンプレートでTrackerを設定する
②Cisco VPN Interface Ethernetテンプレートで①で設定したTrackerの設定を紐づける(トランスポートインターフェース)
①CiscoSystemテンプレートでTrackerを設定する
各設定値は以下のような意味を持ちます。
| パラメータフィールド | 説明 |
| Name | Tracker名 ※ここで設定したTracker名をインターフェースに適用します ※Trackerは8個まで設定できます |
| Threshold(ミリ秒) | プローブを送信して応答を待機して、TrackerステータスがDOWNと判断するまでの時間 設定範囲:100-1000ミリ秒(デフォルト:300ミリ秒) ※シビアに設定するとフラッピングが発生する原因となる |
| Interval(秒) | Trackerステータス確認のために対象にプローブが送信される間隔 設定範囲:20~600秒(デフォルト:60秒) |
| Multiplier | TrackerステータスがDOWNと判断する前に再送する回数 設定範囲:1~10回(デフォルト:3回) ※最初のダウンを検知してからプローブを再送する回数であり、 ※3回の場合には最初のプローブ失敗を検知してから、 ※3回連続でプローブの失敗を検知することでTrackerはDOWNとなる |
| Tracker Type | トラッカ―タイプ IP Address、DNS Name、URLの3種類から選択(デフォルト:interface) |
| Endpoint IP | 監視対象のIPアドレス ※対象IPアドレスがHTTP(ポート80) Probe Requestに応答できること |
| Endpoint DNS Name | 監視対象のFQDN ※監視対象のFQDNがHTTP(ポート80) Probe Requestに応答できること |
| API url of endpoint | 監視対象のAPI URL ※SIGトンネルのL7ヘルスチェックのみサポート |
②Cisco VPN Interface Ethernetテンプレートで①で設定したTrackerの設定を紐づける
最後に①で設定したTrackerをトランスポートのインターフェースに紐づけます。
そのためCisco VPN Interface EthernetテンプレートかCisco VPN Interface Cellularテンプレートに設定します。
なお、紐づけるトランスポートインターフェースはpublic colorが設定されているNATが有効になっているインターフェースです。
NAT DIA Tracker設定における注意点
監視対象がHTTP(TCPポート80番)に対して応答可能である必要があります。NAT DIA TrackerはHTTP Pingによる監視を行っており、ICMPでのトラッキングはサポートされていません。
またNAT DIA Trackerが動作するためにはData PolicyでDIA対象のトラフィックを設定する際にFallbackにチェックを入れて有効にする必要があります。
CLIによる確認
インターフェースに設定されたTrackerとそのステータスを確認は以下のコマンドで確認できます。
show endpoint-tracker interface gigabitEthernet X/X/X
・正常時のステータス
Branch#show endpoint-tracker interface gigabitEthernet 0/0/0
Interface Record Name Status RTT in msecs Probe ID Next Hop
GigabitEthernet0/0/0 dia_tracker UP 6 30 8.8.8.8
・TrackerステータスがDOWN時のステータス
Branch#show endpoint-tracker interface gigabitEthernet 0/0/0
Interface Record Name Status RTT in msecs Probe ID Next Hop
GigabitEthernet0/0/0 dia_tracker DOWN 4294967295 30 8.8.8.8
またTrackerの設定値は以下のコマンドで確認できます。
show endpoint-tracker records
Branch#show endpoint-tracker records
Record Name Endpoint EndPoint Type Threshold Multiplier Interval Tracker-Type
dia_tracker 8.8.8.8 IP 300 3 20 interface
最後に
Cisco IOS XE Release 17.7.1a、Cisco vManage Release 20.7.1以降から単一のTrackerの設定だけではなくTrackerグループを設定することでデュアルエンドポイントトラッカーがサポートされたようです。
これにより単一のエンドポイントの障害によるバックアップパスへの切替を抑制することができます。
Trackerのプローブの送信元IPアドレスはTrackerを設定したトランスポートインターフェースのIPアドレスとなります。
コメント