複数の Cisco SD-WAN コントローラ を備えた単一データセンターを含むオーバーレイネットワークで、 Cisco IOS XE Catalyst SD-WAN デバイス がいずれかの Cisco SD-WAN コントローラ に対して単一の制御接続を確立する場合、この状況はデフォルトの動作であるため、アフィニティを設定する必要はありません。
ただし、コントローラの 1 つが使用できなくなった場合の冗長性を提供するために、 Cisco IOS XE Catalyst SD-WAN デバイス と複数の Cisco SD-WAN コントローラ との制御接続を確立する場合は、アフィニティを設定します。通常、Cisco SD-WAN コントローラ は同じコントローラグループに配置します。
すべての Cisco SD-WAN コントローラ が同じコントローラグループ ID 1 を使用しているとします。次のように、3 つのコントローラすべてにこの識別子を設定します。
vSmart(config)# system controller-group-id 1
設定を確認するには、show running-config コマンドを使用します。
vSmart# show running-config system
system
description "vSmart in data center 1"
host-name vSmart
gps-location latitude 37.368140
gps-location longitude -121.913658
system-ip 172.16.255.19
site-id 100
controller-group-id 1
organization-name "Cisco"
clock timezone America/Los_Angeles
3 つの Cisco IOS XE Catalyst SD-WAN デバイス は、3 つの Cisco SD-WAN コントローラ のうち 2 つへの 2 系統の制御接続を確立する必要があります。この操作は、コントローラの 1 つが使用可能になった場合の冗長性を確保するために行われます。すべての Cisco SD-WAN コントローラ が同じコントローラグループに属しているため、 Cisco IOS XE Catalyst SD-WAN デバイス が接続する 2 つのコントローラを指定したり、その指定に影響を与えたりすることはできません。3 つのルータすべての設定は実質的に同一です。ここでは、ルータ Cisco IOS XE Catalyst SD-WAN デバイス-1 の設定を取り上げます。
まず、使用可能な Cisco SD-WAN コントローラ グループを設定します。このシナリオには、グループが 1 つだけ含まれています。
ISR4331-1(config)# system controller-group-list 1
デフォルトでは、 Cisco IOS XE Catalyst SD-WAN デバイス は 2 つの制御接続を確立できます。各 Cisco IOS XE Catalyst SD-WAN デバイス と各トンネルインターフェイスを 2 つの Cisco SD-WAN コントローラ に接続する必要があるため、この時点での設定は必要ありません。ただし、これらのパラメータを明示的に設定する場合は、システムレベルで OMP セッションの最大数を設定し、トンネルごとの制御接続の最大数を設定します。
ISR4331-1(config)# system max-omp-sessions 2
ISR4331-1(config)# sdwan interface GigabitEthernets0/0/1 tunnel-interface
ISR4331-1(config-tunnel-interface)# max-control-connections 2
Cisco IOS XE Catalyst SD-WAN デバイス-1 からの関連する設定スニペットを次に示します。
ISR4331-1# show sdwan running-config | section system
system
host-name ISR4331-1
gps-location latitude 43.0
gps-location longitude -75.0
system-ip 172.16.255.11
site-id 100
max-omp-sessions 2
controller-group-list 1
admin-tech-on-failure
organization-name Cisco
...
ISR4331-1# show running-config | section sdwan
...
interface GigabitEthernets0/0/1
tunnel-interface
encapsulation ipsec
max-control-connections 1
no allow-service bgp
allow-service dhcp
allow-service dns
allow-service icmp
no allow-service sshd
no allow-service netconf
no allow-service ntp
no allow-service ospf
no allow-service stun
allow-service https
exit
exit
…
Cisco SD-WAN コントローラ との制御接続を表示するには、 show sdwan control connections コマンドを使用します。最後の列の [コントローラグループID(Controller Group ID)] には、ルータが属する Cisco SD-WAN コントローラ グループが表示されます。
ISR4331-1# show sdwan control connections
PEER
PEER CONTROLLER
PEER PEER PEER SITE DOMAIN PEER PRIV PEER
PUB GROUP
TYPE PROT SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT
LOCAL COLOR PROXY STATE UPTIME ID
----------------------------------------------------------------------------------------------------------------------------------------------
------------------------------------------
vsmart dtls 10.255.2.120 1 1 10.2.1.120 12346 10.2.1.120 12346
default up 0:00:06:17 1
vmanage dtls 10.255.2.100 1 1 0 10.2.1.100 12346 10.2.1.100
12346 default up 0:00:06:13 0
ルータで許可される制御接続の最大数を表示するには、 show sdwan control local-properties コマンドを使用します。出力の最後の行に、コントローラの最大数が表示されます。次に、このコマンドの出力を簡略化して示します。
ISR4331-1# show sdwan control local-properties
personality vedge
organization-name Cisco
certificate-status Installed
root-ca-chain-status Installed
certificate-validity Valid
certificate-not-valid-before Sep 27 03:14:18 2016 GMT
certificate-not-valid-after Sep 27 03:14:18 2026 GMT
...
PUBLIC PUBLIC PRIVATE PRIVATE PRIVATE MAX RESTRICT/ LAST SPI
TIME NAT VM
INTERFACE IPv4 PORT IPv4 IPv6 PORT VS/VM COLOR STATE CNTRL CONTROL/ LR/LB CONNECTION
REMAINING TYPE CON
STUN PRF
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
-------------------
GigabitEthernet0/0/1 2.2.1.17 12406 2.2.1.17 :: 12406 2/1 default up 2 no/yes/no No/No 17:15:53:07
0:08:02:33 N 5
2 つのコマンドで、アフィニティ設定によって確立された制御接続に関する情報が表示されます。設定されているコントローラグループとインターフェイスの接続先をインターフェイスごとに確認するには、 show sdwan control affinity config コマンドを使用します。
ISR4331-1# show sdwan control affinity config
EFFECTIVE CONTROLLER LIST FORMAT - G(C),... - Where G is the Controller Group ID
C is the Required vSmart Count
CURRENT CONTROLLER LIST FORMAT - G(c)s,... - Where G is the Controller Group ID
c is the current vSmart count
s Status Y when matches, N when does not match
EFFECTIVE
REQUIRED LAST-RESORT
INDEX INTERFACE VS COUNT EFFECTIVE CONTROLLER LIST CURRENT CONTROLLER LIST EQUILIBRIUM INTERFACE
-----------------------------------------------------------------------------------------------------------------------------------------------------------------
0 GigabitEthernet0/0/11 1(1) 1(1)Y Yes No
上記のコマンド出力は、インターフェイス GigabitEthernet 0/0/11 でアフィニティが設定されていることを示しています。
-
[有効な必須項目とカウント(Effective Required and Count)] 列は、インターフェイスが 2 つの制御接続を作成するように設定されており、実際に 2 つの制御接続が確立されていることを示しています。max-control-connections コマンドを使用して、トンネルインターフェイスの制御接続の数を設定します。
-
[有効なコントローラリスト(Effective Controller List)] 列には、インターフェイスのアフィニティが Cisco Catalyst SD-WAN コントローラ 識別子 1 を使用するように設定されており、ルータが 2 つの OMP セッションをサポートしていることが示されます。アフィニティコントローラ識別子は、controller-group-list コマンドを使用して(system レベルで)設定します。トンネルインターフェイスの場合は exclude-controller-group-list コマンドを使用します。
-
[現在のコントローラリスト(Current Controller List)] 列には、インターフェイスの実際のアフィニティ設定が一覧表示されます。この出力は、インターフェイスにグループ 1 の Cisco Catalyst SD-WAN コントローラ との制御接続が 2 つあることを示しています。チェックマークは、現在のコントローラリストと有効なコントローラリストが互いに一致していることを示します。たとえば、トンネルが Cisco SD-WAN コントローラ への TLOC 接続を 1 つのみ確立した場合、この列には「1(1)X」と表示されます。
-
[均衡(Equilibium)] 列は、現在のコントローラリストが、そのトンネルインターフェイスのアフィニティ設定から予期されるものと一致することを示します。
トンネルインターフェイスが制御接続を確立した Cisco Catalyst SD-WAN コントローラ を正確に判別するには、show control affinity status コマンドを使用します。
ISR4331-1# show sdwan control affinity status
ASSIGNED CONNECTED CONTROLLERS - System IP( G),.. - System IP of the assigned vSmart
G is the group ID to which the vSmart belongs to
UNASSIGNED CONNECTED CONTROLLERS - System IP( G),.. - System IP of the unassigned vSmart
G is the group ID to which the vSmart belongs to
INDEX INTERFACE ASSIGNED CONNECTED CONTROLLERS UNASSIGNED CONNECTED CONTROLLERS
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
0 GigabitEthernet 0/0/1 10.255.2.120( 1)
上記のコマンド出力は、インターフェイス GigabitEthernet 0/0/1 に、グループ 1 に属する Cisco SD-WAN コントローラ(10.255.2.120)への制御接続があることを示しています。インターフェイスがコントローラグループリストにない Cisco SD-WAN コントローラ に接続されていた場合は、[未割り当ての接続済みコントローラ(Unassigned Connected Controllers)] 列に表示されます。
データセンターに複数の Cisco SD-WAN コントローラ が存在する場合、それらを異なるコントローラグループに属するように設定できます。たとえば、2 つの異なるコントローラグループに属するように設定した場合、各 Cisco IOS XE Catalyst SD-WAN デバイス が 2 つの制御接続(各グループに 1 つずつ)を確立できます。この設定の設計は、Cisco SD-WAN コントローラ への冗長制御接続を提供する、前のセクションで説明した設計と似ていますが、データセンター内の 2 つの Cisco Catalyst SD-WAN コントローラ グループ間の障害分離が可能になる点でわずかに異なります。このシナリオの設定は、Cisco Catalyst SD-WAN コントローラ が 2 つのデータセンターである場合の設定とほぼ同じです。唯一の違いは、2 つの Cisco Catalyst SD-WAN コントローラ グループが同じデータセンターに配置されていることです。次のセクションの設定例を参照してください。