SaaS向けSD-WANクラウドオンランプの設定

ダウンロード オプション

  • PDF     (773.7 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (344.3 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (407.1 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2023 年 10 月 5 日
Document ID:221041

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    はじめに

    このドキュメントでは、ブランチローカルEXITを使用したSoftware as a Service(SaaS)向けクラウドオンランプの設定について説明します。

    前提条件

    要件

    Cisco Software-Defined Wide Area Network(SD-WAN)に関する知識があることが推奨されます。

    使用するコンポーネント

    このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

    • Cisco vManageバージョン20.9.4
    • Cisco WANエッジルータバージョン17.9.3a

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    背景説明

    SD-WANを使用している組織では、通常、ブランチサイトがデフォルトでSaaSアプリケーショントラフィックをSD-WANオーバーレイリンク経由でデータセンターにルーティングします。データセンターから、SaaSトラフィックはSaaSサーバに到達します。

    たとえば、中央のデータセンターとブランチサイトを持つ大規模な組織では、従業員はブランチサイトでOffice 365を使用できます。デフォルトでは、ブランチサイトのOffice 365トラフィックはSD-WANオーバーレイリンクを介して中央のデータセンターにルーティングされ、DIA出口からOffice 365クラウドサーバにルーティングされます。

    このドキュメントでは、次のシナリオについて説明します。ブランチサイトに直接インターネットアクセス(DIA)接続がある場合、データセンターをバイパスしてローカルDIAを介してSaaSトラフィックをルーティングすることで、パフォーマンスを向上できます。

    note-icon

    :サイトがTransport Locator(TLOC)インターフェイスとしてループバックを使用する場合、SaaS用のクラウドオンランプの設定はサポートされません。

    設定

    ネットワーク図

    Network TopologyNetwork Topology

    コンフィギュレーション

    転送インターフェイスでのNATの有効化

    Feature Template に移動します。 テンTransport VPN interface プレートを選択し、NATをイネーブルにします。

    インターフェイスNATの有効化インターフェイスNATの有効化

    CLIに相当する設定:

    interface GigabitEthernet2 
    ip nat outside 

    ip nat inside source list nat-dia-vpn-hop-access-list interface GigabitEthernet2 overload 
    ip nat translation tcp-timeout 3600
    ip nat translation udp-timeout 60

    中央集中型AARポリシーの作成

    中央集中型ポリシーを確立するには、次の手順に従う必要があります。

    ステップ 1:サイトリストを作成します。

    VPNインターフェイスNATテンプレートVPNインターフェイスNATテンプレート

    ステップ 2:VPNリストを作成します。

    一元化されたポリシーのカスタムサイトリスト一元化されたポリシーのカスタムサイトリスト

    ステップ 3:を設定Traffic Rules し、Application Aware Routing Policyを作成します。

    アプリケーション認識型ルートポリシーアプリケーション認識型ルートポリシー

    ステップ 4:ポリシーをに追加しSites、VPNします。

    サイトとVPNへのポリシーの追加サイトとVPNへのポリシーの追加

    CLIに相当するポリシー:

    viptela-policy:policy
    app-route-policy _VPN1_Cloud_OnRamp_SAAS
    vpn-list VPN1
    sequence 1
    match
    cloud-saas-app-list office365_apps
    source-ip 0.0.0.0/0
    !
    action
    count Cloud_OnRamp_-92622761
    !
    !
    !
    lists
    app-list office365_apps
    app skype 
    app ms_communicator 
    app windows_marketplace 
    app livemail_mobile 
    app word_online 
    app excel_online 
    app onedrive 
    app yammer 
    app sharepoint 
    app ms-office-365 
    app hockeyapp 
    app live_hotmail 
    app live_storage 
    app outlook-web-service 
    app skydrive 
    app ms_teams 
    app skydrive_login 
    app sharepoint_admin 
    app ms-office-web-apps 
    app ms-teams-audio 
    app share-point 
    app powerpoint_online 
    app ms-lync-video 
    app live_mesh 
    app ms-lync-control 
    app groove 
    app ms-live-accounts 
    app office_docs 
    app owa 
    app ms_sway 
    app ms-lync-audio 
    app live_groups 
    app office365 
    app windowslive 
    app ms-lync 
    app ms-services 
    app ms_translator 
    app microsoft 
    app sharepoint_blog 
    app ms_onenote 
    app ms-teams-video 
    app ms-update 
    app ms-teams-media 
    app ms_planner 
    app lync 
    app outlook 
    app sharepoint_online 
    app lync_online 
    app sharepoint_calendar 
    app ms-teams 
    app sharepoint_document 
    !
    site-list DCsite_100001
    site-id 100001 
    !
    vpn-list VPN1
    vpn 1 
    !
    !
    !
    apply-policy
    site-list DCsite_100001
    app-route-policy _VPN1_Cloud_OnRamp_SAAS
    !
    !

    vManageでアプリケーションと直接インターネットアクセスを有効にする

    ステップ 1:Cloud OnRamp for SaaSに移動します。

    SaaS向けクラウドオンランプの選択SaaS向けクラウド・オン・ランプの選択

    ステップ 2:Applications and Policyに移動します。

    アプリケーションとポリシーの選択アプリケーションとポリシーの選択

    ステップ 3:Application > Enableおよび Saveに移動します。次にNextをクリックします。

    アプリケーションの選択とモニタリングの有効化アプリケーションの選択とモニタリングの有効化

    ステップ 4:Direct Internet Access (DIA) Sitesに移動します。

    直接インターネットアクセスサイトの選択ダイレクトインターネットアクセスサイトの選択

    ステップ 5:サイトに移動Attach DIA Sites  し、サイトを選択します。

    DIAサイトの接続DIAサイトの接続

    検証

    このセクションでは、SaaS向けクラウドオンランプを検証するための結果について説明します。

    • 次の出力は、Cloudexpressのlocal-exitを示しています。
      •  
    cEdge_West-01#sh sdwan cloudexpress local-exits 
    cloudexpress local-exits vpn 1 app 2 type app-group subapp 0 GigabitEthernet2 
    application office365 
    latency 6 
    loss 0
    • 次の出力は、Cloudexpressアプリケーションを示しています。
    cEdge_West-01#sh sdwan cloudexpress applications 
    cloudexpress applications vpn 1 app 2 type app-group subapp 0 
    application office365 
    exit-type local 
    interface GigabitEthernet2 
    latency 6 
    loss 0
    • 次の出力は、対象トラフィックのカウンタの増加を示しています。
    cEdge_West-01#sh sdwan policy app-route-policy-filter 
    NAME                       NAME        COUNTER NAME                        PACKETS     BYTES 
    -------------------------------------------------------------------------------------------------
    _VPN1_Cloud_OnRamp_SAAS    VPN1        default_action_count                640         66303 
                                           Cloud_OnRamp_-403085179             600      432292
    • 次の出力は、vQoEのステータスとスコアを示しています。

    vQoEのステータスとスコアvQoEのステータスとスコア

    • 次の出力は、vManage GUIからのservice-pathをしています。

    サービスパスサービスパス

    • 次の出力は、デバイスCLIからのservice-path示しています。
    cEdge_West-01#sh sdwan policy service-path vpn 1 interface GigabitEthernet4 source-ip 10.2.20.70 dest-ip <Office365 server IP> protocol 6 
    Next Hop: Remote 
    Remote IP: 10.2.30.129, Interface GigabitEthernet2 Index: 8

    関連情報

    更新履歴

    改定 発行日 コメント
    1.0
    05-Oct-2023
    初版
    TAC Authored

    シスコ エンジニア提供

    • タシャールウッタムラオジャグタップ
      Cisco TACエンジニア

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています