ハブアンドスポーク


(注)  
簡素化と一貫性を実現するために、Cisco SD-WAN ソリューションは Cisco Catalyst SD-WAN としてブランド名が変更されました。さらに、Cisco IOS XE SD-WAN リリース 17.12.1a および Cisco Catalyst SD-WAN リリース 20.12.1 以降、次のコンポーネントの変更が適用されます。Cisco vManage から Cisco Catalyst SD-WAN Manager への変更、Cisco vAnalytics から Cisco Catalyst SD-WAN Analytics への変更、Cisco vBond から Cisco Catalyst SD-WAN Validator への変更、Cisco vSmart から Cisco Catalyst SD-WAN コントローラへの変更、および Cisco コントローラから Cisco Catalyst SD-WAN 制御コンポーネントへの変更。すべてのコンポーネントブランド名変更の包括的なリストについては、最新のリリースノートを参照してください。新しい名前への移行時は、ソフトウェア製品のユーザーインターフェイス更新への段階的なアプローチにより、一連のドキュメントにある程度の不一致が含まれる可能性があります。

ハブアンドスポーク

表 1. 機能の履歴

機能名

リリース情報

説明

ハブアンドスポーク設定

Cisco Catalyst SD-WAN Manager リリース 20.12.1

Cisco IOS XE Catalyst SD-WAN リリース 17.12.1a

ハブアンドスポーク設定により、ハブアンドスポークトポロジの設定プロセスが簡素化され、複雑な集中管理ポリシーが不要になります。代わりに、いくつかの簡単な設定手順のみで設定できます。つまり、(a) ネットワークにサービスを提供する Cisco SD-WAN コントローラ、(b) ハブとして機能するルータ、および (c) スポークとして動作するルータのそれぞれで 1 つのコマンドを実行するだけです。

ハブアンドスポークについて

ハブアンドスポークトポロジはネットワーキングの基礎となりますが、このトポロジの設定は複雑で、専門知識が必要になる場合があり、Cisco Catalyst SD-WAN 環境では、集中管理ポリシーの設定手順が長時間になる可能性があります。

Cisco IOS XE Catalyst SD-WAN リリース 17.12.1a 以降では、新しい設定メソッドにより、複雑な制御ポリシーを必要とせず、迅速なハブアンドスポーク設定が実現されます。簡単に言えば、このメソッドでは、ネットワークにサービスを提供する Cisco SD-WAN コントローラ を設定してハブアンドスポークを有効にし、ハブとして機能するルータでトランスポートゲートウェイ機能を設定します。


(注)  

結果として得られるハブアンドスポークトポロジは、すべての VRF に適用されます。

コンフィギュレーションの概要

Cisco Catalyst SD-WAN のハブアンドスポーク設定には、次の表に示す 3 つの部分があります。

Intent

設定するデバイスまたはコントローラ

設定

1. ネットワークでハブアンドスポークトポロジを有効にします。

ネットワークにサービスを提供する Cisco SD-WAN コントローラ

ネットワークでハブアンドスポーク設定を有効にします。

次を参照してください。

2. ルータを、ハブとして機能するトランスポートゲートウェイとして設定します。

ハブとして指定されたルータ

ルータでトランスポートゲートウェイ機能を有効にします。

トランスポートゲートウェイとしてのルータの設定(ハブアンドスポークの場合)を参照してください。

CLI テンプレートメソッドでは、transport-gateway enable コマンドを使用します。

3. ルータをスポークとして機能するように設定します。

スポークとして指定されたルータ

デバイスサイトタイプを spoke として設定します。

ルータのサイトタイプの設定(ハブアンドスポークの場合)を参照してください。

CLI テンプレートメソッドでは、site-type コマンドを使用します。

結果

この設定により、次のようになります。

  • ネットワーク内の Cisco SD-WAN コントローラ は、ネットワーク内の各ルータにアドバタイズする TLOC およびルート情報をフィルタ処理します。

    • ハブ(トランスポートゲートウェイ)として動作するルータは、すべての TLOC およびルート情報を受信します。

    • スポークとして動作するルータは、ネットワーク内のハブ(トランスポートゲートウェイ)に関する TLOC およびルート情報を受信します。他のスポークに関する TLOC またはルートは受信しません。その結果、スポークデバイス間に Bidirectional Forwarding Detection(BFD)セッションは存在しません。

  • すべてのスポーク間トラフィックはトランスポートゲートウェイを通過し、各スポークのルートが再発信されます。

これらを組み合わせると、ハブアンドスポークトポロジが実現します。

例:ハブアンドスポーク接続

このセクションの詳細な例では、フルメッシュネットワークをハブアンドスポークトポロジに変換したときにネットワーク内のデバイス間の接続がどのように変更されるかが示されます。次の表に、この例のデバイスに関する情報と、この例のセクションで後に続く多数の図で使用されている色分けを示します。

表 2. デバイス、IP アドレス、ロール、インターフェイス、およびプレフィックス

デバイス

目的のロール

インターフェイス

Prefixes

Device0

172.16.255.15

図の色:紫色

ハブ

10.0.20.15(3g)

10.1.15.15(LTE)

なし

Device1

172.16.255.35

図の色:緑色

Spoke1

10.5.1.35(LTE)

10.20.35.0/24

図の色:緑色でハイライト

Device2

172.16.255.45

図の色:青色

Spoke2

10.0.6.45(LTE)

10.20.45.0/24

図の色:青色でハイライト

SDWAN-Controller09

172.16.255.19

図の色:暗い赤色

Cisco SD-WAN コントローラ

N/A

N/A

SDWAN-Controller10

172.16.255.20

図の色:赤色

Cisco SD-WAN コントローラ

N/A

N/A

次の図は、ハブアンドスポークを設定する前のフルメッシュ接続によるネットワークの初期状態を示しています。

図 1. 変更前:フルメッシュ接続

次の図は、ハブアンドスポークを設定した後のネットワーク接続を示しています。

図 2. 変更後:ハブアンドスポーク接続

Device0(ハブ)の設定前と設定後

ここでは、ハブアンドスポーク設定前後の Device0(ハブ)の接続を示します。これには、次の情報が含まれます。

  • BFD セッション

  • OMP ルート

  • IP ルート

BFD セッション

ハブアンドスポークを設定する前に、Device0(将来のハブ)で show sdwan bfd sessions コマンドを実行すると、Device1(Spoke1)と Device2(Spoke1)の両方との BFD セッションがあることが示されます。

ハブアンドスポークの設定後、Device0(ハブ)は、Device1(Spoke1)と Device2(Spoke2)の両方との同じ BFD セッションを保持します。

図 3. ハブ:設定前と設定後の BFD セッション
OMP ルート

ハブアンドスポークを設定する前に、Device0(将来のハブ)で show sdwan omp route vpn 1 コマンドを実行すると、Device1(Spoke1)および Device2(Spoke2)によってアドバタイズされるプレフィックスがそれぞれ Device1(Spoke1)および Device2(Spoke2)を介してのみ到達可能であることが示されます。

Device0(ハブ)でハブアンドスポークを設定すると、Device1(Spoke1)プレフィックスと Device2(Spoke2)プレフィックスがハブ自体を介して到達可能になります(FROM PEER 列には 0.0.0.0 と表示されます)。

図 4. ハブ:設定前と設定後の OMP ルート
IP ルート

ハブアンドスポークを設定する前に、Device0(将来のハブ)で show ip route vrf 1 コマンドを実行すると、Device1(Spoke1)および Device2(Spoke2)によってアドバタイズされるプレフィックスがそれぞれ Device1(Spoke1)および Device2(Spoke2)を介して到達可能であることが示されます。

ハブアンドスポークを設定した後、Device0(ハブ)については、これは同じままです。

図 5. ハブ:設定前と設定後の IP ルート

Device1(Spoke1)の設定前と設定後

ここでは、ハブアンドスポーク設定前後の Device1(Spoke1)の接続を示します。これには、次の情報が含まれます。

  • BFD セッション

  • OMP ルート

  • IP ルート

BFD セッション

ハブアンドスポークを設定する前に、Device1(将来の Spoke1)で show sdwan bfd sessions コマンドを実行すると、Device0(将来のハブ)と Device2(将来の Spoke2)の両方との BFD セッションが示されます。

ハブアンドスポークを設定すると、Device1(Spoke1)では、他のスポークではなくハブとの BFD セッションのみが示されます(この例では、Spoke2 との BFD セッションは示されません)。

図 6. Spoke1:設定前と設定後の BFD セッション
OMP ルート

ハブアンドスポークを設定する前に、Device1(将来の Spoke1)で show sdwan omp route vpn 1 コマンドを実行すると、Device2 を介して Device2(Spoke2)プレフィックスに直接到達できることが示されます。これは、TLOC IP 列に Device2 のシステム IP が表示されることから明らかです。

ハブアンドスポークを設定すると、Device1(Spoke1)はハブを介してのみ Device2(Spoke2)プレフィックスに到達できます。

図 7. Spoke1:設定前と設定後の OMP ルート
IP ルート

ハブアンドスポークを設定する前に、Device1(将来の Spoke1)で show ip route vrf 1 コマンドを実行すると、Device2 を介して Device2 プレフィックスに直接到達できることが示されます。

ハブアンドスポークを設定すると、Device1(Spoke1)はハブを介してのみ Device2(Spoke2)プレフィックスに到達できます。

図 8. Spoke1:設定前と設定後の IP ルート

Device2(Spoke2)の設定前と設定後

ここでは、ハブアンドスポーク設定前後の Device2(Spoke2)の接続を示します。これには、次の情報が含まれます。

  • BFD セッション

  • OMP ルート

  • IP ルート

ハブアンドスポークを設定する前と後の Device2 の変化は、Device1 の変化とほとんど同じです。

BFD セッション

ハブアンドスポークを設定する前に、Device2(将来の Spoke2)で show sdwan bfd sessions コマンドを実行すると、Device0(将来のハブ)と Device1(将来の Spoke1)の両方との BFD セッションが示されます。

ハブアンドスポークを設定すると、Device2(Spoke2)では、他のスポークではなくハブとの BFD セッションのみが示されます(この例では、Spoke1 との BFD セッションは示されません)。

図 9. Spoke2:設定前と設定後の BFD セッション
OMP ルート

ハブアンドスポークを設定する前に、Device2(将来の Spoke2)で show sdwan omp route vpn 1 コマンドを実行すると、Device1 を介して Device1(Spoke1)プレフィックスに直接到達できることが示されます。これは、TLOC IP 列に Device1 のシステム IP が表示されることから明らかです。

ハブアンドスポークを設定すると、Device2(Spoke2)はハブを介してのみ Device1(Spoke1)プレフィックスに到達できます。

図 10. Spoke2:設定前と設定後の OMP ルート
IP ルート

ハブアンドスポークを設定する前に、Device2(将来の Spoke2)で show ip route vrf 1 コマンドを実行すると、Device1 を介して Device1 プレフィックスに直接到達できることが示されます。

ハブアンドスポークを設定すると、Device2(Spoke2)はハブを介してのみ Device1(Spoke1)プレフィックスに到達できます。

図 11. Spoke2:設定前と設定後の IP ルート

ハブアンドスポークの利点

ハブアンドスポークトポロジには、次のような多くの用途と利点があります。

  • 各スポークネットワークをある程度分離して運用することで、個別のスポークごとに異なるポリシーやトランスポートメカニズムなどを適用できます。

  • 各スポークにサービスを提供するエッジルータのピア数を減らすと、これらのエッジルータのリソース需要が減少します。

  • ハブを介してすべてのスポーク間トラフィックをルーティングすると、ファイアウォールポリシーなどのネットワークサービスをすべてのスポーク間トラフィックに適用できます。

ここで説明するプロセスを使用してハブアンドスポークトポロジを設定すると、設定プロセスが簡素化され、複雑な集中管理ポリシーを回避できます。

ハブアンドスポークに関する制約事項

制約事項

説明

トランスポートゲートウェイのサイトタイプ

トランスポートゲートウェイをハブとして使用する場合は、そのサイトタイプを spoke に設定しないでください。

オンデマンドトンネル

ハブアンドスポークトポロジでは、オンデマンドトンネルはサポートされていません。これは、ハブアンドスポークトポロジでスポーク間直接トンネルがサポートされていないためです。

移行

制御ポリシーによって定義されたハブアンドスポークトポロジから、ここで説明するハブアンドスポーク設定メソッドに移行するための自動手順はありません。

ハブアンドスポークのユースケース

このユースケースでは、組織のネットワークに次の要素が含まれます。

  • 多数のネットワークサービス(エンタープライズ ファイアウォールなど)を実行する、組織の本社サイトにある単一のデバイス。ネットワーク管理者は、これをハブデバイスとして指定することを選択しました。

  • 3 つのブランチサイト。各ブランチサイトには、サイトにサービスを提供するエッジルータがあります。

ネットワーク管理者は、ブランチサイト間のすべてのトラフィックフローを本社サイトのハブを介してルーティングするようにハブアンドスポークトポロジを設定することを選択しました。これにより、一元化されたネットワークサービスを、ブランチサイト間のすべてのトラフィックに適用できます。

次の図に示すように、ハブアンドスポークトポロジを設定します。

図 12. ハブアンドスポーク トポロジ

ハブアンドスポークトポロジの設定

ここでは、トランスポートゲートウェイを使用してハブアンドスポークトポロジを設定する手順について説明します。

Cisco SD-WAN Manager を使用したハブアンドスポークを有効にするための Cisco Catalyst SD-WAN コントローラ の設定

  1. Cisco SD-WAN Manager メニューから、[Configuration] > [Templates] を選択します。

  2. [Feature Templates] をクリックします。

  3. 次のいずれかを実行します。

    • Cisco SD-WAN コントローラの新しいシステムテンプレートを作成するには、[Add Template] をクリックし、[Controller] を選択して、[System] をクリックします。

    • Cisco SD-WAN コントローラの既存のシステムテンプレートを編集するには、既存の機能テンプレートのテーブルで [Controller System] タイプのテンプレートを見つけ、テンプレートの横にある […] をクリックして、[Edit] を選択します。

  4. [Topology] フィールドで、[Hub and Spoke] を選択します。

  5. [Save](新しいテンプレートを作成する場合)または [Update](既存のテンプレートを編集する場合)をクリックします。

CLI テンプレートを使用してハブアンドスポークを有効にするための Cisco SD-WAN コントローラの設定

CLI テンプレートの使用の詳細については、CLI アドオン機能テンプレートおよび CLI テンプレートを参照してください。デフォルトでは、CLI テンプレートはグローバル コンフィギュレーション モードでコマンドを実行します。

  1. システム コンフィギュレーション モードを開始します。

    system

  2. ハブアンドスポークトポロジを有効にします。

    topology hub-and-spoke enable

    (注)  

    ハブアンドスポーク機能を無効にするには、このコマンドの no 形式を使用します。 

system
  topology hub-and-spoke enable

トランスポートゲートウェイとしてのルータの設定(ハブアンドスポークの場合)

ハブアンドスポーク設定では、トランスポートゲートウェイが使用されます。トランスポートゲートウェイのドキュメントで次の手順を参照してください。

ハブアンドスポーク設定の確認

ハブアンドスポーク設定では、トランスポートゲートウェイとサイトタイプパラメータが使用されます。これらについては、トランスポートゲートウェイのドキュメントを参照してください。

Cisco Catalyst SD-WAN コントローラ でハブアンドスポーク設定が有効になっていることの確認

Cisco SD-WAN コントローラ 設定に topology hub-and-spoke enable コマンドが含まれていることを確認するには、show running-config コマンドを使用します。

次の例では、Cisco SD-WAN コントローラ は、ハブアンドスポークトポロジを有効にするように設定されています。 

sdwanController# show running-config
...
system
 topology hub-and-spoke
  enable

topology hub-and-spoke enable コマンドが有効になっていることを確認するには、show omp summary コマンドを使用します。出力にはトポロジが示されます。次の例では、トポロジはハブアンドスポークです。 

sdwanController# show omp summary
per-state UP
admin-state UP
...
topology hub-and-spoke