DRE を使用したトラフィック最適化

簡素化と一貫性を実現するために、Cisco SD-WAN ソリューションは Cisco Catalyst SD-WAN としてブランド名が変更されました。さらに、Cisco IOS XE SD-WAN リリース 17.12.1a および Cisco Catalyst SD-WAN リリース 20.12.1 以降、次のコンポーネントの変更が適用されます。Cisco vManage から Cisco Catalyst SD-WAN Manager への変更、Cisco vAnalytics から Cisco Catalyst SD-WAN Analytics への変更、Cisco vBond から Cisco Catalyst SD-WAN Validator への変更、Cisco vSmart から Cisco Catalyst SD-WAN コントローラへの変更、および Cisco コントローラから Cisco Catalyst SD-WAN 制御コンポーネントへの変更。すべてのコンポーネントブランド名変更の包括的なリストについては、最新のリリースノートを参照してください。新しい名前への移行時は、ソフトウェア製品のユーザーインターフェイス更新への段階的なアプローチにより、一連のドキュメントにある程度の不一致が含まれる可能性があります。

表 1. 機能の履歴

機能名

リリース情報

説明

DRE を使用したトラフィック最適化

Cisco IOS XE Catalyst SD-WAN リリース 17.5.1a

Cisco vManage リリース 20.5.1

このリリースでは、DRE 機能が Cisco Catalyst SD-WAN まで拡張されています。DRE は、WAN を介して送信されるデータのサイズを削減し、WAN をより効果的に使用できるようにする圧縮テクノロジーです。

DRE プロファイル

Cisco IOS XE Catalyst SD-WAN リリース 17.6.1a

Cisco vManage リリース 20.6.1

この機能により、S、M、L、XL などのプロファイルを適用することで、接続要件に基づいて DRE のリソースを柔軟に使用できます。

Cisco Catalyst 8000V 展開のための UCS E シリーズ サーバーのサポート

Cisco IOS XE Catalyst SD-WAN リリース 17.6.1a

Cisco vManage リリース 20.6.1

この機能では、UCS E シリーズ ブレード サーバー モジュールを使用して、サポートされているルータで Cisco Catalyst 8000V インスタンスを展開するためのサポートが導入されています。この機能を使用すると、サポート対象のルータを、統合サービスノード、外部サービスノード、または内部サービスノードと外部サービスノードの両方を備えたハイブリッドクラスタとして設定できます。

Cisco Catalyst 8000V 展開のための UCS E シリーズ次世代サポート

Cisco vManage リリース 20.11.1

Cisco IOS XE Catalyst SD-WAN リリース 17.11.1a

この機能では、UCS E1100D-M6 サーバーモジュールを使用して、サポート対象のルータに Cisco Catalyst 8000V エッジソフトウェアを展開するためのサポートが導入されています。

TLS 1.3 の SSL プロキシサポート

Cisco IOS XE Catalyst SD-WAN リリース 17.13.1a

Cisco Catalyst SD-WAN Manager リリース 20.13.1

この機能により、AppQoE の SSL プロキシは TLS プロトコルバージョン 1.3 をサポートします。

設定グループを使用した DRE の最適化

Cisco IOS XE Catalyst SD-WAN リリース 17.14.1a

Cisco Catalyst SD-WAN Manager リリース 20.14.1

この機能を使用すると、Cisco SD-WAN Manager の設定グループの [Service Profile] で [AppQoE] 機能を使用して DRE の最適化を有効にすることができます。

DRE について

DRE の概要

データ冗長性排除(DRE)は、WAN を経由で送信されるデータのサイズを削減する圧縮テクノロジーです。DRE は、WAN 経由でデータストリームを送信する前に冗長な情報を削除して、送信データのサイズを削減します。DRE の圧縮方式は、各ピアが圧縮に参加する共有キャッシュアーキテクチャに基づいており、圧縮解除も同じ冗長性キャッシュを共有します。DRE と Cisco Catalyst SD-WAN の統合により、DRE は、ストリーム内で繰り返されるデータを大幅に短い参照に置き換え、SD-WAN オーバーレイを介して短縮されたデータストリームを送信します。受信側端末は、ローカルの冗長性キャッシュを使用して、宛先クライアントまたはサーバーへ転送する前にデータストリームを再構築します。


(注)  


Cisco IOS XE Catalyst SD-WAN デバイス は、Cisco Catalyst SD-WAN オーバーレイトンネルの両端に展開する必要があります。


DRE と TCP 最適化の連携の仕組み

図 1. TCP トラフィックの代行受信

DRE が設定されている場合、TCP トラフィックは代行受信され、次の 3 つの接続に分割されます。

接続タイプ

ネットワーク

クライアントからブランチ Cisco IOS XE Catalyst SD-WAN デバイス へ:この接続はローカルエリアネットワーク(LAN)に存在します。

LAN

ブランチルータからデータセンタールータへ

Cisco Catalyst SD-WAN オーバーレイトンネル経由

リモートブランチまたはデータセンタールータからサーバーへ

LAN

ローカルエリアネットワーク(LAN)の TCP 接続は、引き続き元のデータを送信します。ただし、Cisco Catalyst SD-WAN オーバーレイトンネル経由の TCP 接続は、DRE によって圧縮されたデータを送信します。トンネルの一方の側にある Cisco IOS XE Catalyst SD-WAN デバイス の DRE コンテナは、オーバーレイトンネル経由で送信される前にデータを圧縮します。トンネルの反対側にある Cisco IOS XE Catalyst SD-WAN デバイス の DRE コンテナは、リモートブランチまたはデータセンター側のサーバーに送信される前にデータを圧縮解除します。

DRE のコンポーネント

DRE キャッシュ:DRE キャッシュは、大量のデータを保存できるようにセカンダリストレージを使用します。DRE キャッシュは WAN の両側で保存され、エッジデバイスによってデータを圧縮解除するために使用されます。両方のデバイス(ブランチとデータセンター)の DRE キャッシュが同期されます。つまり、一方の側にチャンク署名がある場合、もう一方の側にもチャンク署名があります。

DRE 圧縮:DRE は、Lempel-Ziv-Welch(LZW)圧縮アルゴリズムを使用してデータを圧縮します。DRE は、大型のデータストリーム(数十から数百バイト)に作用し、はるかに大きな圧縮履歴を維持します。

DRE プロファイルの概要

DRE プロファイルは、Cisco IOS XE Catalyst SD-WAN リリース 17.6.1a で導入された機能です。この機能により、ブランチのサイズと必要な接続数に基づいて、DRE サービスにリソースを柔軟に割り当てることができます。DRE プロファイルは、接続要件に基づいたリソース割り当てを可能にする、リソース要件と割り当ての組み合わせです。

次の DRE プロファイルがサポートされています。

  • 小規模(S)

  • 中規模(M)

  • 大規模(L)

  • 超大規模(XL)

DRE 機能をサポートするデバイスでサポートされるプロファイルを確認するには、この章の「サポートされている DRE プロファイル」セクションを参照してください。

Cisco Catalyst 8000V 展開のための UCS E シリーズ サーバーのサポート

Cisco IOS XE Catalyst SD-WAN リリース 17.6.1a 以降、Cisco Catalyst 8000V インスタンスは、サポート対象の UCS E シリーズ サーバーモジュールで外部サービスノードとして設定できます。該当するサーバーモジュールは、Cisco 4000 シリーズ サービス統合型ルータ(Cisco 4000 シリーズ ISR)および Cisco Catalyst 8000 シリーズ エッジ プラットフォームに搭載されています。これらのルータには統合サービスノードが付属しています。さらに、サポート対象の UCS E シリーズ サーバーを使用して、これらのルータに Cisco Catalyst 8000V インスタンスを展開することで、統合サービスノードと外部サービスノードを含むハイブリッドクラスタとして機能させることができます。この機能により、大容量の CPU を必要とする DRE などの AppQoE サービスを、CPU および RAM が低容量のルータで実行できるようになります。

Cisco UCS E シリーズ サーバーでの Cisco Catalyst 8000V の動作

  • VMware vSphere ESXi 6.7 ハイパーバイザは、Cisco 4000 シリーズ ISR および Cisco Catalyst 8000 シリーズ エッジ プラットフォームに存在する UCS E シリーズ サーバーモジュールにインストールできます。

  • その後、これらのサーバーに Cisco Catalyst 8000V をインストールできます。

  • インストールされた Cisco Catalyst 8000V インスタンスは、app-heavy プロファイルを使用して設定する必要があります。この操作により、より多くのコアがサービスプレーンに割り当てられます。app-heavy プロファイルは、サービスプレーンコアとデータプレーンコアを分離するため、サービスプレーンのパフォーマンスが向上します。

SSL プロキシの概要

AppQoE の Secure Sockets Layer(SSL)プロキシ機能は、SSL トラフィックを最適化するセキュアで透過的な方法を提供します。SSL プロキシは、クライアントとサーバー間の仲介として機能します。最初に暗号化されたトラフィックを復号し、最適化してから、暗号化して戻します。このプロセスにより、すべてのデータの安全性が確保され、最適化も可能になります。詳細については、「Overview of SSL/TLS Proxy」を参照してください。

SSL プロキシは、クライアントとサーバー間の通信を保護および暗号化し、SSL トラフィックを最適化するためのプロトコルとして Transport Layer Security(TLS)を使用します。Cisco IOS XE Catalyst SD-WAN リリース 17.13.1a および Cisco Catalyst SD-WAN Manager リリース 20.13.1 以降、SSL プロキシは TLS バージョン 1.3 をサポートします。TLS バージョン 1.3 は、バージョン 1.2 よりも広く導入されており、シンプルで高速で安全です。


(注)  


SSL プロキシでは、TLS 1.3 バージョンのサポートはデフォルトで有効になっています。TLS 1.3 バージョンが使用できない場合、SSL プロキシは TLS 1.2 バージョンを使用するように切り替えます。


TLS バージョンの確認については、CLI を使用した TLS 1.3 の SSL プロキシサポートの確認を参照してください

TLS 1.3 の SSL プロキシサポートの利点

TLS 1.3 プロトコルは、バージョン 1.2 よりもシンプル、高速、かつ安全であり、広く使用されています。

設定グループを使用した DRE の最適化に関する情報

サポートされている最小リリース:Cisco IOS XE Catalyst SD-WAN リリース 17.14.1aCisco Catalyst SD-WAN Manager リリース 20.14.1

Cisco SD-WAN Manager の設定グループを使用して、サイトとアプリケーションに基づいてトラフィックを最適化することで、Cisco Catalyst SD-WAN ネットワークをより効率的に展開および管理できます。

DRE でサポートされるデバイス

統合型サービスノードおよびコントローラ

デバイス

リリース

メモリ要件

Cisco Catalyst 8300 シリーズ エッジ プラットフォーム:

  • C8300-1N1S-6T

  • C8300-1N1S-4T2X

  • C8300-2N2S-6T

  • C8300-2N2S-4T2X

Cisco IOS XE Catalyst SD-WAN リリース 17.5.1a 以降

  • RAM:16 GB

  • ストレージ:600 GB

Cisco Catalyst 8200 シリーズ エッジ プラットフォーム:

  • C8200-1N-4T

Cisco IOS XE Catalyst SD-WAN リリース 17.6.1a 以降

  • RAM:16 GB

  • ストレージ:600 GB

Cisco Catalyst 8000V Edge ソフトウェアCisco Catalyst 8000V

Cisco IOS XE Catalyst SD-WAN リリース 17.5.1a 以降

  • RAM:16 GB

  • ストレージ:600 GB

  • vCPU:8

外部サービスノードおよびコントローラ

デバイス

リリース

メモリ要件

Cisco Catalyst 8000V

Cisco IOS XE Catalyst SD-WAN リリース 17.6.1a

  • RAM:32 GB

  • ストレージ:2 TB

  • vCPU:16

Cisco IOS XE Catalyst SD-WAN リリース 17.5.1a

  • RAM:16 GB

  • ストレージ:600 GB

  • vCPU:8

C8500L-8S4X

Cisco IOS XE Catalyst SD-WAN リリース 17.6.1a

  • RAM:32 GB

  • ストレージ:2 TB

Cisco IOS XE Catalyst SD-WAN リリース 17.5.1a

  • RAM:16 GB

  • ストレージ:600 GB

DRE のディスク推奨事項

DRE および他の AppQoE サービスの展開には、SSD ディスクを使用することを推奨します。

Cisco Integrated Controller Manager(IMC)から、次の推奨パラメータを設定してください。一部の設定ではディスクのフォーマットが必要な場合があるため、ハイパーバイザをインストールする前に推奨パラメータを設定してください。

表 2. 推奨されるディスクパラメータ

パラメータ

RAID レベル

RAID10

読み取りポリシー

常に先読み

ディスクキャッシュポリシー

ディセーブル

書き込みポリシー

良好な BBU のライトバック

ストリップサイズ

256 KB

I/O キャッシュポリシー

直接

Cisco Catalyst 8000V 展開のためのディスクプロビジョニングの推奨事項

Cisco Catalyst 8000V インスタンスの展開時に、ディスク形式として [シックプロビジョニングEager Zeroed(Thick Provision Eager Zeroed)] を選択します。

サポート対象のハイパーバイザでの Cisco Catalyst 8000V インスタンスの展開については、次を参照してください。

DRE のセカンダリディスクの推奨事項

Cisco Catalyst 8000V インスタンスを展開すると、基本システムパーティションが /bootflash パーティションの下に割り当てられた後に、追加のディスク領域が追加されます。ただし、ディスクサイズを増やす必要がある場合は、インスタンスを再インストールして、使用可能なディスク容量を増やす必要があります。Cisco Catalyst 8000V のディスクは、ハイパーバイザでいつでも拡張できます。ただし、ディスクがフォーマットされると、Cisco Catalyst 8000V は追加のスペースを使用できなくなります。

Cisco Integrated Controller Manager(IMC)から、次の推奨パラメータを設定してください。一部の設定ではディスクのフォーマットが必要な場合があるため、ハイパーバイザをインストールする前に推奨パラメータを設定してください。

表 3. 推奨されるディスクパラメータ

クラウド タイプ

ディスクの種類

ディスク サイズ

インスタンス タイプ

AWS

スループット最適化 HDD(st1)

2 TB

c5.4xlarge:16 個の vCPU、32 GB メモリ

Microsoft Azure

SSD 永続ディスク

2 TB

カスタム:16 個の vCPU、32 GB メモリ

Google Cloud Platform(GCP)

プレミアム SSD

2 TB

Standard F16s_v2

:16 個の vCPU、32 GB メモリ

さまざまなプラットフォームでの Cisco Catalyst 8000V の展開については、次を参照してください。

AWS、Azure、または GCP プラットフォームに Cisco Catalyst 8000V を展開するには、cloud-init 構成を含め、展開時にセカンダリディスクを接続します。

サポートされている DRE プロファイル

次の表にこの情報を示します。

  • DRE 機能をサポートするデバイスとそのデフォルトの DRE プロファイル。

  • デバイスでサポートされている DRE プロファイル。

  • サポートされている UTD プロファイルと設定済みの DRE プロファイルサイズ。

  • サポートされている DRE プロファイルの推奨最小リソース。

  • サポートされているデバイスで DRE プロファイルによって提供される最大接続数。

  • デバイスで設定されている DRE プロファイルに対応する FanOut 値。FanOut は、DRE サービスを形成するためにデバイスが通信できるピアの数を指します。

表 4. DRE プロファイル、リソース要件、およびサポートされる接続と FanOut

デバイスとデフォルトの DRE プロファイル

DRE プロファイル

サポートされている UTD プロファイル

最小展開に関する推奨事項

最大接続数

FanOut

RAM

ディスク

C8200-1N-4T (S)

S

8 GB

120 GB

750

35

C8300-2N2S-6T (M)

C8300-1N1S-4T2X (M)

C8300-1N1S-6T (M)

S

S

8 GB

120 GB

750

35

M

8 GB

280 GB

5000

70

C8300-2N2S-4T2X (M)

S

S、M

8 GB

120 GB

750

35

M

S

8 GB

280 GB

5000

70

L

16 GB

500 GB

10,000

256

C8500L-8G4X (M)

S

8 GB

120 GB

750

35

M

8 GB

280 GB

5000

70

L

32 GB

500 GB

22,000

256

XL

32 GB

1600 GB

36,000

256

Cisco Catalyst 8000V:6 コア(S)

S

8 GB

120 GB

750

35

Cisco Catalyst 8000V:8 コア(S)

S

8 GB

120 GB

750

35

M

8 GB

280 GB

5000

70

Cisco Catalyst 8000V:12 コア(S)

S

8 GB

120 GB

750

35

M

8 GB

280 GB

5000

70

L

16 GB

500 GB

10,000

256

Cisco Catalyst 8000V:16 コア(S)

S

8 GB

120 GB

750

35

M

8 GB

280 GB

5000

70

L

32 GB

500 GB

22000

256

XL

32 GB

1600 GB

36000

256


(注)  


UCS E シリーズ サーバーは、6 コア、8 コア、および 12 コア Cisco Catalyst 8000V インスタンスのみをサポートします。詳細については、『Supported UCS E-Series Server Modules for Deploying Cisco Catalyst 8000V』[英語] を参照してください。


次の表にこの情報を示します。

  • サポートされているデバイスで設定された DRE プロファイルに基づいて割り当てられたメモリ、ディスク、およびキャッシュ。

表 5. プロファイルごとのリソース割り当て

デバイスとデフォルトの DRE プロファイル

DRE プロファイル

リソース割り当て(GB)

メモリ

ディスク

キャッシュサイズ

C8200-1N-4T (S)

S

2

80

60

C8300-2N2S-6T (M)

C8300-1N1S-4T2X (M)

C8300-1N1S-6T (M)

S

2

80

60

M

4

250

230

C8300-2N2S-4T2X (M)

S

2

80

60

M

4

250

230

L

8

480

460

C8500L-8G4X (M)

S

2

80

60

M

4

250

230

L

8

480

460

XL

20

1200

1180

Cisco Catalyst 8000V:6 コア(S)

S

2

80

60

Cisco Catalyst 8000V:8 コア(S)

S

2

80

60

M

4

250

230

Cisco Catalyst 8000V:12 コア(S)

S

2

80

60

M

4

250

230

L

8

480

460

Cisco Catalyst 8000V:16 コア(S)

S

2

80

60

M

4

250

230

L

8

480

460

XL

20

1200

1180


(注)  


UCS E シリーズ サーバーは、6 コア、8 コア、および 12 コア Cisco Catalyst 8000V インスタンスのみをサポートします。詳細については、『Supported UCS E-Series Server Modules for Deploying Cisco Catalyst 8000V』[英語] を参照してください。


Cisco Catalyst 8000V 展開のための UCS E シリーズ サーバーモジュールのサポート

Cisco IOS XE Catalyst SD-WAN リリース 17.6.1a 以降、Cisco Catalyst 8000V インスタンスは、Cisco 4000 シリーズ サービス統合型ルータおよび Cisco Catalyst 8300 シリーズ エッジ プラットフォーム内に存在する UCS E シリーズ サーバーモジュールに展開できます。

Cisco IOS XE Catalyst SD-WAN リリース 17.11.1a 以降、Cisco Catalyst 8000 シリーズ エッジ プラットフォームにインストールされている UCS E シリーズ UCS E1100D-M6 サーバーモジュールに Cisco Catalyst 8000V インスタンスを展開できます。

デバイス ファミリ

デバイス モデル

サポートされている UCS E モジュールおよび DRE プロファイル

Cisco 4000 シリーズ サービス統合型ルータ

Cisco 4461

UCS E180D-M3/K9(S、M)

UCS E1120D-M3/K9(S、M、L)

Cisco 4451

UCS E180D-M3/K9(S、M)

UCS E1120D-M3/K9(S、M、L)

Cisco 4351

UCS E160S-M3/K9(S)

Cisco 4331

UCS E160S-M3/K9(S)

Cisco Catalyst 8300 シリーズ エッジ プラットフォーム

C8300-2N2S-4T2X

UCS E180D-M3/K9(S、M)

UCS E1120D-M3/K9(S、M、L)

UCS E1100D-M6(S)

C8300-2N2S-6T

UCS E180D-M3/K9(S、M)

UCS E1120D-M3/K9(S、M、L)

UCS E1100D-M6(S)

C8300-1N1S-4T2X

UCS E160S-M3/K9(S)

C8300-1N1S-6T

UCS E160S-M3/K9(S)

DRE の制約事項

  • DRE はデュアルサイド ソリューションです。したがって、DRE 最適化を設定するには、フローの対称性が必要です。DRE は非対称フローではサポートされません。

  • DRE は、Cisco Catalyst SD-WAN オーバーレイトンネルの両端に統合サービスノードまたは外部サービスノードが展開されている場合にのみサポートされます。

  • DRE は、サービスコントローラとして設定されているデバイスではサポートされません。

  • 統合脅威防御(UTD)がルータにインストールされており、トラフィックを外部サービスノードにリダイレクトするデータポリシーが存在するシナリオでは、トラフィックが特定の VRF の UTD によって学習された場合、同じトラフィックを外部サービスノードにリダイレクトすることはできません。

  • Cisco IOS XE Catalyst SD-WAN リリース 17.6.1a 以降、SSL プロキシのデフォルトモードはシングルサイドです。ただし、DRE はデュアルサイド ソリューションであるため、トラフィックの送信側と受信側の両方で SSL が必要です。このデュアルサイド使用例の SSL パフォーマンスを最適化するには、Cisco SD-WAN Manager CLI テンプレートの dual-side optimization enable コマンドを使用して、デュアルサイド SSL 最適化を有効にします。WAN 経由で GRE トンネルを使用する場合、デュアルサイド SSL を有効にすることは推奨されません。

  • Cisco IOS XE Catalyst SD-WAN リリース 17.7.1a 以降、暗号化トラフィックの SMB 311 自動バイパスが DRE に対して有効になります。Cisco IOS XE Catalyst SD-WAN リリース 17.7.1a 以前のデバイスで実行されているサービスノードに関して、SMB311 暗号化トラフィック バイパス ポリシーを DRE に対して手動で有効にすることも可能です。

  • Cisco Catalyst 8000V が CSP デバイス上の Cisco Enterprise Network Function Virtualization Infrastructure Software(NFVIS)に展開されている場合、DRE 最適化はサポートされません。

UCS E シリーズ サーバーでの Cisco Catalyst 8000V インストールの制約事項


(注)  


UCS E シリーズ サーバーのサポートは、Cisco IOS XE Catalyst SD-WAN リリース 17.6.1a からの外部サービスノードとしての Cisco Catalyst 8000V のインストールにのみ適用されます。


  • UCS E シリーズ サーバーモジュールでの Cisco Catalyst 8000V インスタンスの展開では、VMware vSphere ESXi(リリース 6.7)ハイパーバイザのみがサポートされます。

  • VMware vSpehere ESXi ハイパーバイザでは、ハイパースレッディングを無効にする必要があります。

  • ハイパースレッディングは、UCS E シリーズ サーバーに展開された Cisco Catalyst 8000V の app-heavy コア割り当てプロファイルではサポートされていません。

  • UCS E シリーズ サーバーモジュールの Cisco Catalyst 8000V インスタンスは、6、8、または 12 コアのみを搭載できます。

  • UCS E シリーズ サーバーモジュールの Cisco Catalyst 8000V インスタンスは、app-heavy コア割り当てプロファイルを使用して設定し、DRE サービスを実行できるようにする必要があります。

  • サポート対象の UCS E シリーズ サーバーにインストールできる Cisco Catalyst 8000V インスタンスは 1 つのみです。

  • デバイスに適用されている DRE プロファイルを変更するには、DRE をアンインストールし、再インストールしてから、新しい DRE プロファイルを適用する必要があります。


    (注)  


    DRE をアンインストールすると、キャッシュデータが失われます。


DRE の設定

はじめる前に

UCS および USC E シリーズサーバーの Cisco Catalyst 8000V インスタンスは、app-heavy リソース割り当てプロファイルを使用して設定する必要があります。このプロファイルにより、Cisco Catalyst 8000V インスタンスは DRE 最適化に参加できます。コア割り当てを適用するには、デバイスをリロードしてください。

次の例は、Cisco SD-WAN Manager CLI アドオン機能テンプレートを使用して、デバイスを app-heavy として設定する方法を示しています。

Device(config)# platform resource app-heavy

ソフトウェアリポジトリへの DRE コンテナイメージのアップロード

前提条件

シスコのソフトウェア ダウンロード ページから、DRE コンテナイメージファイルをダウンロードします。DRE コンテナイメージをダウンロードするには、[Catalyst 8000Vエッジソフトウェア(Catalyst 8000V Edge Software)] ページに移動し、[IOS XE SD-WANソフトウェア(IOS XE SD-WAN Software)] を選択します。Cisco 8000 プラットフォーム全体で同じコンテナイメージを使用できます。

Cisco SD-WAN Manager へのコンテナイメージのアップロード

  1. Cisco SD-WAN Manager のメニューから、[Maintenance] > [Software Repository]を選択します。

  2. [Virtual Images] をクリックします。

  3. [Upload Virtual Image] で、[Manager] を選択します。

  4. ローカルマシンにダウンロードしたコンテナイメージを見つけて、[アップロード(Upload)] をクリックします。

    アップロードが完了すると、[仮想イメージ(Virtual Images)] ウィンドウにイメージが表示されます。

DRE コンテナ仮想イメージのアップグレード

コンテナイメージをアップグレードするには、「Upgrade Software Image on a Device」[英語] を参照してください。

DRE 最適化の有効化

DRE の AppQoE テンプレートの設定

  1. Cisco SD-WAN Manager メニューから、[Configuration] > [Templates] を選択します。

  2. [機能テンプレート(Feature Templates)] をクリックしてから、[テンプレートの追加(Add Template)] をクリックします。


    (注)  


    Cisco vManage リリース 20.7.1 以前のリリースでは、[機能テンプレート(Feature Templates)] は [機能(Feature)] と呼ばれます。


  3. [選択されたデバイス(Selected Devices)] リストから、DRE でサポートされるデバイスを選択します。

  4. [その他のテンプレート(Other Templates)] で、[AppQoE] をクリックします。

  5. [テンプレート名(Template Name)] と [説明(Description)] に入力します。

  6. 次のいずれかのデバイスロールを選択します。

    • [コントローラ(Controller)]:統合サービスノードを備えたコントローラとしてデバイスを設定する場合は、[コントローラ(Controller)] を選択します。統合サービスノードをサポートするデバイスでは、[有効化(Enable)] チェックボックスを使用できます。このオプションは、統合サービスノード機能をサポートしていないデバイスではグレー表示されます。

    • [サービスノード(Service Node)]:デバイスを外部サービスノードとして設定する場合は、[サービスノード(Service Node)] オプションを選択します。[外部サービスノード(External Service Node)] チェックボックスはデフォルトでオンになっています。

      選択したデバイスを外部サービスノードとして設定できない場合、[サービスノード(Service Node)] オプションは表示されません。

  7. [詳細(Advanced)] で、[DRE最適化(DRE Optimization)] を有効にします。


  8. (注)  


    [リソースプロファイル(Resource Profile)] フィールドは、DRE プロファイルに適用できます。DRE プロファイルは Cisco IOS XE Catalyst SD-WAN リリース 17.6.1a で導入されました。したがって、このオプションは以前のリリースでは使用できません。


    (オプション)[リソースプロファイル(Resource Profile)] フィールドで、ドロップダウンリストから [グローバル(Global)] を選択します。次に、使用可能なオプションからプロファイルサイズを選択します。

    [リソースプロファイル(Resource Profile)] を設定しない場合は、デバイスのデフォルトの DRE プロファイルサイズが適用されます。デフォルトプロファイルの詳細については、「サポートされている DRE プロファイル」を参照してください。

  9. (オプション)HTTPS、FTPS、またはその他の暗号化トラフィックを最適化するには、[SSL復号(SSL Decryption)] を有効にします。


    (注)  


    [SSL復号(SSL Decryption)] を有効にする場合は、TLS サービスがトラフィックを DRE コンテナに送信する前に復号し、トラフィックが最適化された後に再度暗号化できるように、SSL/TLS 復号セキュリティポリシーを設定する必要があります。


  10. [Save] をクリックします。

SSL 復号のセキュリティポリシーの作成

この手順は、AppQoE 機能テンプレートを設定して DRE 最適化を有効にする際、SSL 復号を有効にする場合に適用されます。

SSL プロキシの CA の設定

SSL プロキシの認証局を設定するには、「Configure CA for SSL/TLS Proxy」[英語] を参照してください。

SSL 復号のセキュリティポリシーの設定

  1. Cisco SD-WAN Manager メニューから、[モニター(Monitor)] > [セキュリティ(Security)] の順に選択します。

  2. [セキュリティポリシーの追加(Add Security Policy)] をクリックします。

  3. [アプリケーションのQuality of Experience(Application Quality of Experience)] を選択し、[続行(Proceed)] をクリックします。

  4. [TLS/SSL複合ポリシーの追加(Add TLS/SSL Decryption Policy)] をクリックし、[新規作成(Create New)] を選択します。

  5. [SSL復号の有効化(Enable SSL Decryption)] をクリックします。または、[SSL復号(SSL Decryption)] オプションを切り替えて有効にします。

  6. [ポリシー名(Policy Name)] とその他の必要な詳細情報を入力します。

  7. [TLS/SSL復号ポリシーの保存(Save TLS/SSL Decryption Policy)] をクリックします。新しいポリシーがウィンドウに表示されます。

  8. [Next] をクリックします。

  9. [セキュリティポリシー名(Security Policy Name)] と [セキュリティポリシーの説明(Security Policy Description)] を入力します。

  10. ポリシーの CLI 設定を表示するには、[プレビュー(Preview)] をクリックします。それ以外の場合は、[保存(Save)] をクリックします。

デバイステンプレートの更新

DRE 設定を有効にするには、DRE を有効にした AppQoE ポリシーを、DRE を使用して AppQoE ポリシーを作成したデバイスのデバイステンプレートにアタッチします。

  1. 新しいデバイステンプレートを作成するか、既存のテンプレートを更新するには、「Create a Device Template from Feature Templates」を参照してください。

  2. [AppQoE] の [追加テンプレート(Additional Templates)] 領域で、[DRE用AppQoEテンプレートの設定(Configure AppQoE Template for DRE)] セクションで作成したテンプレートを選択します。


(注)  


DRE サービスを非アクティブ化するには、デバイステンプレートから AppQoE テンプレートを切り離します。


TCP および DRE 最適化のための集中管理型ポリシーの作成

  1. Cisco SD-WAN Manager メニューから、[Configuration] > [Policies] の順に選択します。

  2. [集中管理型ポリシー(Centralized Policy)] で、[ポリシーの追加(Add Policy)]をクリックします。


    (注)  


    詳細については、「Configure Centralized Policies Using Cisco SD-WAN Manager」を参照してください。


  3. ポリシー設定ウィザードで、[トラフィックルールの設定(Configure Traffic Rules)] ウィンドウが表示されるまで、[次へ(Next)] をクリックします。

  4. [トラフィックデータ(Traffic Data)] をクリックしてから、[ポリシーの追加(Add Policy)] をクリックします。

  5. ポリシーの名前と説明を入力します。

  6. [シーケンスタイプ(Sequence Type)] をクリックし、[データポリシーの追加(Add Data Policy)] ダイアログボックスから [カスタム(Custom)] を選択します。

  7. [シーケンスルール(Sequence Rule)] をクリックします。

  8. [一致(Match)] オプションでは、送信元データプレフィックス、アプリケーション/アプリケーション ファミリ リストなど、データポリシーに適用可能な一致条件を選択できます。

  9. [アクション(Actions)] オプションで、[承認(Accept)] を選択します。オプションから [TCP最適化(TCP Optimization)] と [DRE最適化(DRE Optimization)] を選択します。

    Cisco Catalyst SD-WAN Manager リリース 20.14.1 以降、AppQoE クラスタは IPv4 と IPv6 の両方のトラフィックを処理できます。


    (注)  


    すべての一致条件ですべてのアクションを使用できるわけではありません。使用可能なアクションは、選択した一致条件によって異なります。詳細については、「Configure Traffic Rules」[英語] を参照してください。


  10. [一致とアクションの保存(Save Match and Actions)] をクリックします。

  11. [データポリシーの保存(Save Data Policy)] をクリックします。

  12. トラフィックフローに対して DRE 最適化をトリガーする必要があるサイトのエッジデバイスに、集中管理型データポリシーを適用します。サイトと VPN にポリシーを適用する方法の詳細については、「Apply Policies to Sites and VPNs」 を参照してください。

  13. 一元管理型ポリシーをアクティブ化します。詳細については、「Activate a Centralized Policy」を参照してください。

設定グループを使用した DRE の設定

サポート対象の最小リリース:Cisco IOS XE Catalyst SD-WAN リリース 17.14.1a および Cisco Catalyst SD-WAN Manager リリース 20.14.1

Cisco SD-WAN Manager を使用して DRE の最適化を有効にするには、設定グループの [Service Profile] で [AppQoE] 機能を設定します。詳細については、「AppQoE」を参照してください。

HTTPS、FTPS、またはその他の暗号化トラフィックを最適化するには、ポリシーグループから [TLS/SSL Decryption] を設定して展開します。詳細については、「Embedded Security Additional Settings」を参照してください。

CLI を使用した DRE の設定

DRE コンテナパッケージのインストール

DRE コンテナパッケージをインストールするには、次のコマンドを使用します。

app-hosting install appid < name > package bootflash:<name>.tar

仮想ポートグループの設定と DRE に対するマッピング

次に、仮想ポートグループを設定して DRE サービスにマッピングした後に DRE サービスを開始する例を示します。

Device(config)# interface VirtualPortGroup 0                                                                                                     
Device(config-if)# no shutdown                                                                                                                   
Device(config-if)# ip address 192.0.2.1 255.255.255.252                                                                                          
Device(config-if)# app-hosting appid dre                                                                                                                                                                                                                                                                                                             
Device(config-app-hosting)# app-vnic gateway0 virtualportgroup 0 guest-interface 1
Device(config-app-hosting-gateway)# guest-ipaddress 192.0.2.2 netmask 255.255.255.252
Device(config-app-hosting-gateway)# start

仮想ポートグループの設定と DRE に対するマッピング、および DRE プロファイルの割り当て


(注)  


DRE プロファイル機能は、Cisco IOS XE Catalyst SD-WAN リリース 17.6.1a からのみ使用できます。この機能は、Cisco IOS XE Catalyst SD-WAN リリース 17.6.1a より前のリリースには適用されません。


次に、仮想ポートグループを設定して DRE サービスにマッピングし、DRE プロファイルをデバイスに割り当てる例を示します。この例は、小規模(S)プロファイルの割り当てを示しています。

Device(config)# interface VirtualPortGroup 0                                                                                                     
Device(config-if)# no shutdown                                                                                                                   
Device(config-if)# ip address 192.0.2.1 255.255.255.252                                                                                          
Device(config-if)# app-hosting appid dre   
Device(config-app-hosting)# app-resource profile-package small                                                                                                                                                                                                                                                                                                        
Device(config-app-hosting)# app-vnic gateway0 virtualportgroup 0 guest-interface 1
Device(config-app-hosting-gateway)# guest-ipaddress 192.0.2.2 netmask 255.255.255.252
Device(config-app-hosting-gateway)# start

DRE サービスのアクティブ化

次に、Bangalore という名前のアプリケーションの DRE サービスをアクティブ化する例を示します。

Device# app-hosting activate appid Bangalore

(注)  


DRE アプリケーションをすでに設定しているものの、有効にしていない場合は、app-hosting activate appid コマンドを使用します。または、前のセクションの例で示されているように、アプリケーション ホスティング ゲートウェイ コンフィギュレーション モードで start コマンドを使用することもできます。


DRE のアンインストール

DRE サービスを非アクティブ化してアンインストールするには、次の手順を実行します。

  1. DRE サービスを停止するには、特権 EXEC モードで次のコマンドを使用します。

    Device# app-hosting stop appid Bangalore

    この例の Bangalore は、停止する DRE アプリケーションの名前です。

  2. DRE サービスを非アクティブ化するには、特権 EXEC モードで次のコマンドを使用します。

    Device# app-hosting deactivate appid Bangalore

    この例の Bangalore は、非アクティブ化する DRE アプリケーションの名前です。

  3. DRE サービスをアンインストールするには、特権 EXEC モードで次のコマンドを使用します。

    Device# app-hosting uninstall appid Bangalore

    この例の Bangalore は、アンインストールする DRE アプリケーションの名前です。

DRE 最適化のための UCS E シリーズ サーバーモジュールでの Cisco Catalyst 8000V の設定

Cisco Catalyst 8000V インスタンスは、Cisco IOS XE Catalyst SD-WAN リリース 17.6.1a から、特定のルータモデルに存在するサポート対象の UCS E シリーズ サーバーに外部サービスノードとしてインストールできます。この機能により、ルータは、統合されたサービスノードと外部サービスノードを備えたハイブリッドクラスタとして動作することが可能になります。

設定ワークフロー

  1. サポート対象のルータで UCS E シリーズ サーバーを設定します。

  2. サポート対象の UCS E シリーズ サーバーに Cisco Catalyst 8000V を展開します。

  3. Cisco SD-WAN Manager で、UCS E シリーズ サーバー上の Cisco Catalyst 8000V インスタンスの AppQoE 機能テンプレートを設定します。

  4. Cisco SD-WAN Manager で、サービスコントローラの AppQoE 機能テンプレートを設定し、Cisco SD-WAN Manager CLI テンプレートおよび CLI アドオン機能テンプレートを使用して設定を追加します。

UCS E シリーズ サーバーの設定

はじめる前に

UCS E シリーズ サーバーモジュールをサポート対象のデバイスに挿入し、前面パネルから 2 つのインターフェイス(TE2 および TE3)を接続します。詳細については、『UCS-E Series Servers Hardware Installation Guide』[英語] を参照してください。

サポート対象ルータでの UCS E シリーズ サーバーの設定

次に、サポート対象ルータで UCS E シリーズ サーバーを有効にする設定例を示します。

Device(config)# ucse subslot 1/0
Device(config-ucse)# imc access-port shared-lom <ge1/te2/te3>
Device(config-ucse)# imc ip address 10.x.x.x 255.x.x.x default-gateway 10.x.x.x
Device(config-ucse)# exit
Device(config)# interface ucse1/0/0
Device(config-if)# ip address x.x.x.1 255.255.255.0

UCS E シリーズ サーバーでの Cisco Catalyst 8000V の展開

はじめる前に

Cisco Catalyst 8000V の IP アドレスの設定

次に、UCS E シリーズ サーバーでの Cisco Catalyst 8000V の IP アドレスの設定例を示します。
Device(config)# interface GigabitEthernet1
Device(config-if)# description Mgmt
Device(config-if)# ip addeess x.x.x.x x.x.x.x 
Device(config)# int GigabitEthernet2
Device(config-if)# description WAN-CONTROLLER
Device(config-if)# ip address x.x.x.x x.x.x.x 
Device(config-if)# exit
Device(config)# int GigabitEthernet3
Device(config-if)# description UCSE-INTF
Device(config-if)# ip addeess x.x.x.x x.x.x.x

Cisco Catalyst 8000V インスタンスの AppQoE 機能テンプレートの設定

はじめる前に

UCS E シリーズ サーバーの Cisco Catalyst 8000V インスタンスは、app-heavy リソース割り当てプロファイルを使用して設定する必要があります。このプロファイルにより、Cisco Catalyst 8000V インスタンスは DRE 最適化に参加できます。コア割り当てを適用するには、デバイスをリロードしてください。

次の例は、Cisco SD-WAN Manager CLI アドオン機能テンプレートを使用して、デバイスを app-heavy として設定する方法を示しています。

Device(config)# platform resource app-heavy

Cisco Catalyst 8000V インスタンスの DRE 最適化の有効化

  1. Cisco SD-WAN Manager メニューから、[Configuration] > [Templates] を選択します。

  2. [機能テンプレート(Feature Templates)] をクリックしてから、[テンプレートの追加(Add Template)] をクリックします。


    (注)  


    Cisco vManage リリース 20.7.1 以前のリリースでは、[機能テンプレート(Feature Templates)] は [機能(Feature)] と呼ばれます。


  3. [選択されたデバイス(Selected Devices)] リストから、[C8000v] を選択します。

  4. [その他のテンプレート(Other Templates)] で、[AppQoE] をクリックします。

  5. [テンプレート名(Template Name)] と [説明(Description)] に入力します。

  6. [サービスノード(Service Node)] オプションを選択します。

  7. [詳細(Advanced)] セクションで、[DRE最適化(DRE Optimization)] を有効にします。

  8. [Save] をクリックします。

コントローラクラスタタイプの設定

Cisco SD-WAN Managerでの UCS E シリーズ サーバー設定の追加

Cisco SD-WAN Manager で、CLI アドオン機能テンプレートを作成し、UCS E シリーズ サーバー設定を使用して更新します。

次に、CLI アドオン機能テンプレートに追加できる UCS E シリーズ サーバーの設定例を示します。

ucse subslot 1/0
imc access-port shared-lom te2
imc ip address 10.x.x.x 255.x.x.x default-gateway 10.x.x.x

interface ucse1/0/0
vrf forwarding 5

オプション 1:クラスタタイプをサービスコントローラに設定する

  1. Cisco SD-WAN Manager メニューから、[Configuration] > [Templates] を選択します。

  2. [機能テンプレート(Feature Templates)] をクリックしてから、[テンプレートの追加(Add Template)] をクリックします。


    (注)  


    Cisco vManage リリース 20.7.1 以前のリリースでは、[機能テンプレート(Feature Templates)] は [機能(Feature)] と呼ばれます。


  3. [選択されたデバイス(Selected Devices)] リストで、UCS E シリーズ サーバーに展開されている Cisco Catalyst 8000V を含むルータを選択します。

  4. [その他のテンプレート(Other Templates)] で、[AppQoE] をクリックします。

  5. [テンプレート名(Template Name)] と [説明(Description)] に入力します。

  6. [統合型サービスノード(Integrated Service Node)] チェックボックスはオフのままにします。

  7. [コントローラIPアドレス(Controller IP Address)] フィールドに、コントローラの IP アドレスを入力します。

    または、ドロップダウンリストから [デフォルト(Default)] を選択します。AppQoE コントローラのアドレスがデフォルトで選択されます。

  8. [サービスVPN(Service VPN)] フィールドに、サービス VPN 番号を入力します。

    または、ドロップダウンリストから [デフォルト(Default)] を選択します。AppQoE サービス VPN がデフォルトで選択されます。

  9. [サービスノード(Service Nodes)] エリアで、[サービスノードの追加(Add Service Nodes)] をクリックして、AppQoE サービスノードグループにサービスノードを追加します。

  10. [Save] をクリックします。

  11. UCS E シリーズ サーバーに展開された Cisco Catalyst 8000V を含むルータのデバイステンプレートに、次をアタッチします。

    • UCS E シリーズ サーバー設定を使用した CLI アドオン機能テンプレート

    • AppQoE 機能テンプレート

    DRE サービスを有効にするには、統合サービスノードとして個別に設定された Cisco Catalyst 8000V インスタンスで DRE を起動します。詳細については、「Enable DRE Optimization」[英語] を参照してください。

オプション 2:クラスタタイプをハイブリッドに設定する

UCS E シリーズ サーバーで展開されている Cisco Catalyst 8000V インスタンスを含むルータは、クラスタタイプをサービス コントローラまたはハイブリッドに設定できます。

  1. Cisco SD-WAN Manager メニューから、[設定(Configuration)] > [テンプレート(Templates)] を選択します。

  2. [機能テンプレート(Feature Templates)] をクリックしてから、[テンプレートの追加(Add Template)] をクリックします。


    (注)  


    Cisco vManage リリース 20.7.1 以前のリリースでは、[機能テンプレート(Feature Templates)] は [機能(Feature)] と呼ばれます。


  3. [選択されたデバイス(Selected Devices)] リストから、UCS E シリーズ サーバーに展開されている Cisco Catalyst 8000V を含むルータを選択します。

  4. [その他のテンプレート(Other Templates)] で、[AppQoE] をクリックします。

  5. [テンプレート名(Template Name)] と [説明(Description)] に入力します。

  6. [統合サービスノード(Integrated Service Node)] フィールドで、[有効(Enable)] チェックボックスをオンにします。

  7. [Save] をクリックします。

  8. CLI テンプレートを作成して、クラスタタイプ ハイブリッド設定を追加します。

    次に、UCS E シリーズ サーバーに展開された Cisco Catalyst 8000V を含むルータでクラスタタイプをハイブリッドに設定する設定例を示します。

    interface VirtualPortGroup2
     vrf forwarding 5
     ip address 192.168.2.1 255.255.255.0
    
    interface ucse1/0/0
     vrf forwarding 5
     ip address 10.40.17.1 255.255.255.0 
    service-insertion service-node-group appqoe SNG-APPQOE
     service-node 192.168.2.2
    service-insertion service-node-group appqoe SNG-APPQOE1
     service-node 10.40.17.5
    !
    service-insertion appnav-controller-group appqoe ACG-APPQOE
     appnav-controller 10.40.17.1 vrf 5
    
    service-insertion service-context appqoe/1
     cluster-type hybrid
     appnav-controller-group ACG-APPQOE
     service-node-group SNG-APPQOE
     service-node-group SNG-APPQOE1
     vrf global
     enable
    
  9. UCS E シリーズ サーバーに展開された Cisco Catalyst 8000V を含むルータのデバイステンプレートに、次をアタッチします。

    • AppQoE 機能テンプレート

    • UCS E シリーズ サーバー設定を使用した CLI アドオン機能テンプレート

    • ハイブリッドクラスタ設定を含む CLI テンプレート

    DRE サービスを有効にするには、統合サービスノードとして個別に設定された Cisco Catalyst 8000V インスタンスで DRE を起動します。詳細については、「Enable DRE Optimization」[英語] を参照してください。

DRE のモニター

Cisco SD-WAN Manager を使用して、DRE によって最適化されたトラフィックまたはアプリケーションをモニターできます。

Cisco vManage リリース 20.9.x 以降、オンデマンド トラブルシューティングを使用して、DRE によって最適化されたトラフィックまたはアプリケーションをモニターできます。

  1. Cisco SD-WAN Manager のメニューから[Monitor] > [Devices]の順に選択します。

    Cisco vManage リリース 20.6.1 以前のリリース:Cisco SD-WAN Manager のメニューから [モニター(Monitor)] > [ネットワーク(Network)] の順に選択します。

  2. モニターするデバイスのホスト名をクリックします。

  3. [On-Demand Troubleshooting] で、[AppQoE DRE Optimization] を選択します。

  4. [On-Demand Troubleshooting] を有効にして、選択したデバイスの詳細を表示します。

  5. モニター対象に応じて、[最適化されたトラフィック(Optimized Traffic)] または [アプリケーション(Application)] を選択します。

  6. [コントローラ(Controller)] または [サービスノード(Service Node)] を選択します。

    選択したデバイスに統合サービスノードがある場合は、コントローラロールまたはサービスノードロールのデータを表示できます。選択したデバイスが外部 AppQoE サービスノードの場合は、外部サービスノードのモニタリングデータと、接続されているコントローラを表示できます。

チャートビューおよびテーブルビューオプション

選択したデバイスのモニタリングデータがチャート形式で表示され、その後にテーブルが表示されます。2 つのオプションを切り替えることで、グラフまたは棒グラフの形式でデータを表示できます。

  • [グラフオプション(Chart Options)] ドロップダウンリストから、[バイト(Bytes)] または [削減率(Percentage Reduction)] でデータを表示できます。

  • 指定した時間範囲(1 時間、3 時間、6 時間など)のデータをフィルタリングするか、[Custom] をクリックして時間範囲を定義できます。

CLI を使用した DRE の確認とモニターおよびトラブルシュート

DRE 最適化ステータス

次に、show sdwan appqoe dreopt status コマンドの出力例を示します。

Device# show sdwan appqoe dreopt status                                                                                       
DRE ID                                           : 52:54:dd:d0:e2:8d-0176814f0f66-93e0830d                                         
DRE uptime                                       : 18:27:43                                                                        
Health status                                    : GREEN                                                                           
Health status change reason                      : None                                                                            
Last health status change time                   : 18:25:29                                                                        
Last health status notification sent time        : 1 second                                                                        
DRE cache status                                 : Active                                                                          
Disk cache usage                                 : 91%                                                                             
Disk latency                                     : 16 ms                                                                           
Active alarms:                                                                                                                     
  None                                                                                                                             
                                                                                                                                   
Configuration:                                                                                                                     
  Profile type                               : Default                                                                             
  Maximum connections                        : 750                                                                                 
  Maximum fanout                             : 35                                                                                  
  Disk size                                  : 400 GB                                                                              
  Memory size                                : 4096 MB                                                                             
  CPU cores                                  : 1                                                                                   
  Disk encryption                            : ON    
ステータスの詳細を表示するには、show sdwan appqoe dreopt status detail コマンドを使用します。
Device# show sdwan appqoe dreopt statistics detail                                                                                        
Total connections                  : 325071                                                                                                   
Max concurrent connections         : 704                                                                                                      
Current active connections         : 0                                                                                                        
Total connection resets            : 297319                                                                                                   
Total original bytes               : 6280 GB                                                                                                  
Total optimized bytes              : 2831 GB                                                                                                  
Overall reduction ratio            : 54%                                                                                                      
Disk size used                     : 93%                                                                                                      
Cache details:                                                                                                                                
  Cache status                       : Active                                                                                                 
  Cache Size                         : 406573 MB                                                                                              
  Cache used                         : 93%                                                                                                    
  Oldest data in cache               : 17:13:53:40                                                                                            
  Replaced(last hour): size          : 0 MB                                                                                                   
  Cache created at                   : 27:14:13:43                                                                                            
  Evicted cache in loading cache     : 149610430464                                                                                           
Connection reset reasons:                                                                                                                     
  Socket write failures                               : 0                                                                                     
  Socket read failures                                : 0                                                                                     
  DRE decode failures                                 : 0                                                                                     
  DRE encode failures                                 : 0                                                                                     
  Connection init failures                            : 0                                                                                     
  WAN unexpected close                                : 297319                                                                                
  Buffer allocation or manipulation failed            : 0                                                                                     
  Peer received reset from end host                   : 0                                                                                     
  DRE connection state out of sync                    : 0                                                                                     
  Memory allocation failed for buffer heads           : 0                                                                                     
  Other reasons                                       : 0                                                                                     
Connection Statistics:                                                                                                                        
  Alloc                                               : 325071                                                                                
  Free                                                : 325071                                                                                
Overall EBP stats:                                                                                                                            
  Data EBP received                                   : 1921181978                                                                            
  Data EBP freed                                      : 1921181978                                                                            
  Data EBP allocated                                  : 218881701                                                                             
  Data EBP sent                                       : 218881701                                                                             
  Data EBP send failed                                : 0                                                                                     
  Data EBP no flow context                            : 0                                                                                     
  Data EBP requested more than max size               : 46714730 

DRE 自動バイパスステータス

次に、DRE 最適化の自動バイパスステータスの例を示します。

Device# show sdwan appqoe dreopt auto-bypass                                                                                  
      Server IP   Port       State    DRE LAN BYTES    DRE WAN BYTES    DRE COMP   Last Update   Entry Age                         
----------------------------------------------------------------------------------------------------------                         
      10.0.0.1    9088       Monitor      48887002724      49401300299   0.000000      13:41:51   03:08:53   

DRE 最適化統計情報

次に、DRE 最適化統計情報の例を示します。

Device# show sdwan appqoe dreopt statistics                                                                                   
Total connections                  : 3714                                                                                          
Max concurrent connections         : 552                                                                                           
Current active connections         : 0                                                                                             
Total connection resets            : 1081                                                                                          
Total original bytes               : 360 GB                                                                                        
Total optimized bytes              : 164 GB                                                                                        
Overall reduction ratio            : 54%                                                                                           
Disk size used                     : 91%                                                                                           
Cache details:                                                                                                                     
  Cache status                       : Active                                                                                      
  Cache Size                         : 407098 MB                                                                                   
  Cache used                         : 91%                                                                                         
  Oldest data in cache               : 03:02:07:55                                                                                 
  Replaced(last hour): size          : 0 MB                                                                                        

次に、ピアデバイスの DRE 最適化統計情報の例を示します。

Device# show sdwan appqoe dreopt statistics peer                                                                              
  Peer No.  System IP          Hostname    Active connections    Cummulative connections                                           
----------------------------------------------------------------------------------------                                           
         0  209.165.201.1       dreopt                     0                       3714   

DRE 復号ステータス

次に、復号要求を DRE に送信し、要求が正常に受信されたかどうかを確認する方法の例を示します。

Device# show sdwan appqoe dreopt crypt                                                                                       
Status: Success                                                                                                                    
Atempts: 1                                                                                                                         
1611503718:312238        DECRYPT REQ SENT                                                                                          
1611503718:318198        CRYPT SUCCESS                                                                                             
ENCRYPTION:                                                                                                                        
---------------------------------------------------                                                                                
BLK NAME        :  No of Oper  | Success | Failure                                                                                 
---------------------------------------------------                                                                                
SIGNATURE BLOCK |     210404     210404          0                                                                                 
SEGMENT BLOCK   |     789411     789411          0                                                                                 
SECTION BLOCKS  |      49363      49363          0                                                                                 
---------------------------------------------------                                                                                
DECRYPTION:                                                                                                                        
---------------------------------------------------                                                                                
BLK NAME        :  No of Oper  | Success | Failure                                                                                 
---------------------------------------------------                                                                                
SIGNATURE BLOCK |     188616     188616          0                                                                                 
SEGMENT BLOCK   |          1          1          0                                                                                 
SECTION BLOCKS  |     366342     366342          0                                                                                 
---------------------------------------------------  

DRE のトラブルシュート

次の出力例は、ピアデバイスの自動検出に関する統計情報を示しています。接続が DRE によって最適化されていない場合は、次のコマンドを実行し、出力をシスコテクニカルサポートと共有します。

Device# show sdwan appqoe ad-statistics                                                                                                          
==========================================================                                                                                               
              Auto-Discovery Statistics                                                                                                                  
==========================================================                                                                                               
 Auto-Discovery Option Length Mismatch       : 0                                                                                                         
 Auto-Discovery Option Version Mismatch      : 0                                                                                                         
 Tcp Option Length Mismatch                  : 6                                                                                                         
 AD Role set to NONE                         : 0                                                                                                         
 [Edge] AD Negotiation Start                 : 96771                                                                                                     
 [Edge] AD Negotiation Done                  : 93711                                                                                                     
 [Edge] Rcvd SYN-ACK w/o AD options          : 0                                                                                                         
 [Edge] AOIM sync Needed                     : 99                                                                                                        
 [Core] AD Negotiation Start                 : 10375                                                                                                     
 [Core] AD Negotiation Done                  : 10329                                                                                                     
 [Core] Rcvd ACK w/o AD options              : 0                                                                                                         
 [Core] AOIM sync Needed                     : 0     
次の出力例は、ピアデバイス間での 1 回の情報交換に関する統計情報を示しています。
Device# show sdwan appqoe aoim-statistics                                                                                                        
==========================================================                                                                                               
              AOIM Statistics                                                                                                                            
==========================================================                                                                                               
 Total Number Of Peer Syncs      : 1                                                                                                                     
 Current Number Of Peer Syncs in Progress      : 0                                                                                                       
 Number Of Peer Re-Syncs Needed      : 1                                                                                                                 
 Total Passthrough Connections Due to Peer Version Mismatch   : 0                                                                                        
 AOIM DB Size (Bytes): 4194304                                                                                                                           
                                                                                                                                                         
 LOCAL AO Statistics                                                                                                                                     
----------------------------------------                                                                                                                 
 Number Of AOs      : 2                                                                                                                                  
 AO             Version   Registered                                                                                                                     
 SSL             1.2        Y                                                                                                                            
 DRE             0.23       Y                                                                                                                            
                                                                                                                                                         
 PEER Statistics                                                                                                                                         
----------------------------------------                                                                                                                 
 Number Of Peers      : 1                                                                                                                                
 Peer ID: 203.203.203.11                                                                                                                                 
 Peer Num AOs      : 2                                                                                                                                   
 AO             Version   InCompatible                                                                                                                   
 SSL             1.2        N                                                                                                                            
 DRE             0.23       N      

次に、すべての DRE キャッシュをクリアする例を示します。キャッシュをクリアすると、DRE サービスが再起動します。

Device# clear sdwan appqoe dreopt cache                                                                                                   
DRE cache successfully cleared

SSL プロキシのモニター

Cisco SD-WAN Manager を使用して、SSL プロキシによって最適化されたトラフィックをモニターできます。

Cisco vManage リリース 20.9.x 以降、[On-Demand Troubleshooting] を使用して、SSL プロキシによって最適化されたトラフィックをモニターできます。

  1. Cisco SD-WAN Manager のメニューから[Monitor] > [Devices]の順に選択します。

    Cisco vManage リリース 20.6.1 以前のリリース:Cisco SD-WAN Manager のメニューから [モニター(Monitor)] > [ネットワーク(Network)] の順に選択します。

  2. モニターするデバイスのホスト名をクリックします。

  3. [On-Demand Troubleshooting] で、[SSL Proxy] を選択します。

  4. [On-Demand Troubleshooting] を有効にして、選択したデバイスの詳細を表示します。

  5. データをグラフまたは表形式で表示するには、ドロップダウンメニューから [Traffic View] タイプを選択します。

    [Filter] をクリックして、VPN、ローカルまたはリモート TLOC、トラフィック送信元ごとなどを選択することもできます。

チャートビューおよびテーブルビューオプション

選択したデバイスのモニタリングデータがチャート形式で表示され、その後にテーブルが表示されます。2 つのオプションを切り替えることで、グラフまたは棒グラフの形式でデータを表示できます。

指定した時間範囲(1 時間、3 時間、6 時間など)のデータをフィルタリングするか、[Custom] をクリックして時間範囲を定義できます。

CLI を使用した TLS 1.3 の SSL プロキシサポートの確認

次に、SSL 統計情報と TLS フローカウンタを示す show ssl proxy statistics コマンドの出力例を示します。バージョン 1.3 の TLS フローカウンタのカウントは 8 と表示されます。

Device# show sslproxy statistics
==========================================================
SSL Statistics:
==========================================================
Flow	Selected SSL/TLS version:
TLS	1.0 Flows	:	0
TLS	1.1 Flows	:	0
TLS	1.2 Flows	:	0
TLS	1.3 Flows	:	8