🌐 Cisco SD-WAN:IP/ポートベース ローカルブレークアウト 設定手順 Catalyst SD-WAN Manager 20.x

既存の Default AAR & QoS ポリシーを解除し、宛先IPアドレス+ポート番号によるマッチングでトラフィックをローカルブレークアウト(DIA)させる Centralized Policy を新規作成する手順です。

📋 目次
1

既存ポリシーの解除(Detach)

Configuration → Policies → Centralized Policy
  1. 対象ポリシーの右端 をクリック
  2. 「Detach」 を選択(ポリシー定義は残したまま紐付けのみ解除)
  3. 確認ダイアログで OK
  4. 自動的に vSmart へプッシュされ、エッジデバイスへ反映される
⚠️ Delete と Detach の違い
Detach:Centralized Policy からの紐付けを外す(ポリシー定義は残る)
Delete:ポリシー定義そのものを削除する
ポリシーを再利用する可能性がある場合は Detach を推奨。
💡 Detach 後にポリシー内のルールがすべてなくなった場合、Invalid policy – Policy is empty エラーが表示されることがあります。これは正常な動作です。ポリシー一覧から Delete して新規作成に進んでください。

解除確認コマンド

cedge148# show sdwan policy from-vsmart
% No entries found.    ← この表示で解除完了
2

Data Prefix List の作成

Configuration → Policies → Add Policy → Create Groups of Interest → Data Prefix
💡 Port List は Centralized Policy の Groups of Interest では作成できません(20.x 以降)。ポート番号は Traffic Data Policy のシーケンス作成時に直接入力します。
  1. 左ペインの 「Data Prefix」 をクリック
  2. 「New Data Prefix List」 をクリック
  3. 以下のとおり入力して 「Save」
項目設定値
NameLBO-Dst-IP-List
Internet ProtocolIPv4
Add Data Prefix(例) 3.14.211.49/32
3.20.185.219/32
3.130.87.169/32
3.134.166.179/32
52.26.82.54/32
62.109.192.0/18
72.163.10.96/27
3

Centralized Policy の新規作成

Configuration → Policies → Centralized Policy → Add Policy
  1. Data Prefix List 作成後、ウィザードの 「Next」 を繰り返し 「Configure Traffic Rules」 まで進む
  2. 「Traffic Data」 タブをクリック
  3. 「Add Policy」→「Create New」 をクリック
  4. 以下を入力
項目設定値
NameLBO-Data-Policy
DescriptionLocal Breakout by IP and Port(任意)
  1. 「Sequence Type」 ボタンをクリック → 「Custom」 を選択
4

Traffic Data Policy の作成(Match/Action)

4-1. Match 条件の設定

シーケンス編集画面の 「Match」タブ で以下を設定します。

Match 条件設定値
Destination Data Prefix ListLBO-Dst-IP-List(作成済みリストを選択)
Destination Port80 443 6970(スペース区切りで入力)
💡 Destination IP Prefix の欄は空白のまま OK です。Data Prefix List で代替されます。

4-2. Action の設定

「Actions」タブ に切り替えて以下を設定します。

Action 項目設定値備考
Accept✅ 選択
NAT VPN✅ チェック ONDIA としてインターネットへ直接転送
VPN0Transport/WAN 側 VPN
Fallback✅ チェック ONDIA 障害時に overlay 経由へ自動切替
DIA Bypassチェック不要NAT VPN + Fallback を使うため不要
💡 NAT VPN vs DIA Bypass
NAT VPN(推奨):vSmart のポリシー制御下で DIA を実行。Fallback(overlay 迂回)が使える。
DIA Bypass:ポリシー制御を完全にバイパスして DIA。Fallback なし。ゲスト WiFi など overlay へ戻さないトラフィック向け。
  1. 「Save Match and Actions」 をクリック
  2. Default Action は 「Drop」 のまま(対象外トラフィックは overlay 転送させない場合)または 「Accept」(通常転送させる場合)
  3. 「Save Data Policy」 をクリック
5

サイト・VPN の紐付けと Activate

5-1. ポリシー名の入力

「Next」で 「Apply Policies to Sites and VPNs」 画面に進み、以下を入力します。

項目設定値
Policy NameLBO-IP-Port-Policy
Policy DescriptionLocal Breakout by IP and Port(任意)

5-2. Traffic Data タブでサイト・VPN を紐付け

Traffic Data タブ → New Site/WAN Region List and VPN List
項目設定値
DirectionFrom Service
Site List対象サイトのリストを選択
VPN Listサービス側 VPN(例:vpn_10)を選択

「Add」→「Save Policy

5-3. Activate(デプロイ)

  1. Centralized Policy 一覧に戻り LBO-IP-Port-Policy「Activate」
  2. 対象デバイスを確認して 「Activate」 を実行
  3. Push vSmart Policy ✅ Validation success / Total Task: 1 Success: 1 が表示されれば完了
Activated: true になれば IP/ポートベース ローカルブレークアウトの設定完了!
6

動作確認

WAN Edge の CLI で以下のコマンドを実行して確認します。

ポリシー配信確認

show sdwan policy from-vsmart

以下のように Data Policy が配信されていれば成功:

from-vsmart data-policy _vpn_10_LBO-Data-Policy
 direction from-service
 vpn-list vpn_10
  sequence 1
   match
    destination-data-prefix-list LBO-Dst-IP-List
    destination-port             443 6970 80
   action accept
    nat use-vpn 0
    nat fallback
  default-action drop
from-vsmart lists vpn-list vpn_10
 vpn 10
from-vsmart lists data-prefix-list LBO-Dst-IP-List
 ip-prefix 3.14.211.49/32
 ip-prefix 3.20.185.219/32
 ip-prefix 3.130.87.169/32
 ip-prefix 3.134.166.179/32
 ip-prefix 52.26.82.54/32
 ip-prefix 62.109.192.0/18
 ip-prefix 72.163.10.96/27

データポリシーのヒット確認

show sdwan policy data-policy-filter

NAT セッション確認(DIA の場合)

show ip nat translations
⚠️ 注意点
📌 まとめ: 既存ポリシー Detach → Data Prefix List 作成 → Centralized Policy 新規作成 → Traffic Data Policy(NAT VPN + Fallback)→ サイト・VPN 紐付け → Activate の流れで、IP アドレス+ポート番号ベースのローカルブレークアウトが実現できます。