クイックスタートガイド – Catalyst SD-WANの簡素化された設定とポリシー
内容
はじめに
このドキュメントでは、Catalyst SD-WANの設定とポリシーを簡素化するためのクイックスタートガイドについて説明します。
要約
Cisco Catalyst SD-WANソフトウェアリリース20.12/17.12を使用する場合、デバイスと機能のテンプレートに基づく従来の設定から、設定グループとポリシーグループに基づく新しい設定方法への移行を開始することをお勧めします。このドキュメントでは、新しい設定方法に関する重要な詳細について説明します。
このドキュメントの主な目的は、20.12ゴールデンリリースで、設定、ポリシー、オンボーディングの新しい構成の使用を開始するためのガイドとして機能することです。 このドキュメントでは、個々の機能については説明していません。
新規導入
新しい設定方法を正しく使用するには、次の手順を実行する必要があります。
- ネットワーク:ネットワーク階層とシステム構成を定義します。
- 構成:ワークフローを使用して、構成グループを含む構成を作成します。
- アプリケーション:必要に応じて、アプリケーションカタログを使用してカスタムアプリケーションを定義します。
- ポリシー:ポリシーグループを使用してポリシーを作成します。
- トポロジ:トポロジを定義します。
- オンボード:オンボードデバイスとタグデバイス。
- 展開:構成グループとポリシーグループを関連付けて展開します。トポロジをアクティブにします。
新規導入のフローチャート
既存の導入
ユーザエクスペリエンスの強化と運用の簡素化
Cisco Catalyst SD-WANは、ユーザエクスペリエンスの向上と運用の簡素化を実現します。
- Common UI:新しいユーザエクスペリエンス(UX)フレームワークがCatalyst SD-WAN Managerおよび他のシスコ製品に導入されました。これは、UXの一貫性を保ち、製品間で共通のルックアンドフィールを提供するものです。
- 設定:直感的なインテントベースのワークフローとシスコ推奨のスマートデフォルトの使用により、設定とポリシーの作成および導入が簡素化されます。
- モニタリング:新しいウィジェットとカスタマイズ可能な拡張ダッシュボードにより、ネットワークおよびアプリケーションのパフォーマンスと健全性に関する豊富な情報を提供します。
- トラブルシューティング:動的なサイトおよびネットワークトポロジビュー、コンテキストベースのトラブルシューティングツールへのアクセス、ネットワークおよびアプリケーションのパフォーマンスに関するレポートを定期的に提供します。
長所:
|
使いやすさ |
直感的なガイド付きワークフロー |
|
構成の無秩序な増加 |
無秩序な広がりを軽減(モデルに依存しない、再利用、構造) |
|
構成の作成 |
スマートなデフォルト設定で迅速かつ簡単に |
|
設定の変更 |
今すぐ変更、後で選択的に展開 |
|
可視性 |
新しいダッシュボード、アプリケーション/サイトのパフォーマンスモニタリング |
|
トラブルシューティングガイダンス |
サイトトポロジ、トラブルシューティングツールのガイダンス |
ネットワーク階層とシステム構成の定義
ネットワーク階層
ネットワークの「階層」、つまりサイト、リージョン、エリアの概念を提供します。これは、ネットワークに基づいて作成できます。
例:
ネットワーク階層マネージャ(NHM)
これにより、わかりやすいサイト名を定義して、運用を簡素化できます。
システム構成
これらのプールは、デバイス設定の導入時にシステムIPおよびサイトIDの割り当てを自動化します。
System-IP自動割り当てのIPプールを定義できます。 サイトIDはGlobal_Siteプールから割り当てられます。
プールパラメータの追加
プールの表示と管理
[Workflows]
ワークフローは、特定のタスクを簡単に実行するのに役立つガイド付きステップの集合です。
- ワークフローの目標は、初心者ユーザが簡単に設定を作成してデバイスに導入できるようにすることです。
- ほとんどの設定ノブ/設定は、シスコが推奨するスマートデフォルトに設定されています。
- ユーザが指定する必要があるのは、いくつかの設定だけです。
- 高度な構成ノブは、ワークフローの外部で使用できます。ワークフローでは、構成グループを手動で編集できます。
ワークフローライブラリには、使用可能なすべてのワークフローが一覧表示されます。
ワークフローライブラリ
構成グループ
構成グループは、シンプルさ、再利用性、および構造の原則に基づく、ファブリック構成への新しいアプローチです。
構成グループの構造
構成グループ:
- WAN内で共通の目的を共有するデバイスの論理グループ。
- ユーザは、ビジネスニーズに基づいてこのグループを定義し、カスタマイズできます。
たとえば、East/West、Americas/APJC/EMEAR、Retail Store/Distribution Centerなどです。
機能プロファイル:
- 構成グループ間で共有できる柔軟な「バケット」の構成。
- 必要なフィーチャに基づいてフィーチャプロファイルを作成します。
- 構成要素などのデバイス設定を完了するために、プロファイルを組み合わせます。
- 構築、保存、再利用
たとえば、基本プロファイル、WANプロファイル、LANプロファイルなどです。
設定グループの導入例
注:
- 設定グループはデバイスモデルに依存しません。
- 機能プロファイルは複数の設定グループで共有できます。
使用例1:政府顧客
使用例1:設定グループ
設定グループハブ:
構成グループの作成ワークフローを実行します。
構成グループの作成ワークフローオプション
WANプロファイル
使用例1:WANプロファイル1
ワークフローを使用して、この使用例の完全なWANプロファイル設定を生成できます。
実際のスタティックIP、スタティックデフォルトルートのIP/サブネット/ネクストホップなどのエンティティは、グローバルまたはデバイス固有として指定できます。
デバイス固有のオプションは、デバイスへの設定グループの導入時に実際の値で指定できます。
LAN プロファイル
使用例1:LANプロファイル1
ワークフローを使用して、この使用例のLANプロファイル設定のほとんどを生成できます。
- 2つのVPN
- 各VPNのBGPルーティング(AS番号、ネットワークプレフィックス、ネイバー)
実際のDot1Qサブインターフェイスなどのエンティティや、デバイス固有としてマークされたその他のエンティティは、デバイスへの設定グループの導入時に実際の値で指定できます。
注:ルート再配布やデフォルトルートアドバタイズメントなどの高度な設定は、展開でサブインターフェイスを使用する場合は、サブインターフェイスと同様に、設定グループを手動で編集して、ワークフローの後で設定する必要があります。
System Profile
使用例1:System Profile 1
ワークフローを使用して、この使用例のシステムプロファイル設定の大部分(OMP、AAA、NTP、ロギングなど)を生成できます。
注:OMP-BGP再配布などの高度な設定、およびOMP、AAA、NTPなどのシステム機能に対するその他の変更は、ワークフローの後で設定グループを手動で編集して設定する必要があります。
構成グループSiteType1:
Create Configuration Groupワークフローを実行します。
WANプロファイル
使用例1:WANプロファイル2
ワークフローを使用して、この使用例のWANプロファイル設定のほとんどを生成できます。インターネットおよびStarlink用のイーサネットインターフェイスDHCP を完了せずに ARP メッセージを転送した場合。
注:スタティックルートを含むLTEリンクのセルラーインターフェイスは、ワークフローの後に手動で設定グループを編集して設定する必要があります。
LAN プロファイル
使用例1:LANプロファイル2
ワークフローを使用して、この使用例のLANプロファイル設定の一部を生成できます。2 VPN、DIAスタティックルート。
実際のDot1Qサブインターフェイスなどのエンティティや、デバイス固有としてマークされたその他のエンティティは、デバイスへの設定グループの導入時に実際の値で指定できます。
注:SVI、ワイヤレスSSID、アクセススイッチポートなどは、ワークフローの後で、設定グループを手動で編集して設定する必要があります。
System Profile
使用例1:System Profile 2
ワークフローを使用して、この使用例のシステムプロファイル設定の大部分(OMP、AAA、NTP、ロギングなど)を生成できます。
注:アプリケーションパフォーマンスモニタリングなどの高度な設定は、設定グループを手動で編集して、ワークフローの後で設定する必要があります。
CLIプロファイル
使用例1:CLIプロファイル2
App/Flow Visibility(NBAR)の有効化など、GUIを介してサポートされない機能は、CLIプロファイルを使用して設定できます。
アプリケーション/フローの可視性:
app-visibilityおよびflow-visibilityを有効にするには、CLI profile/parcelを使用します。
(20.13以降では、ポリシーグループの詳細設定で使用できます)
ただし、20.12では、AARポリシーが設定されると、アプリケーション/フローの可視性が有効になります。CLIプロファイル/パーセルを使用してこれを設定する必要はありません。
構成グループSiteType2:
Create Configuration Groupワークフローを実行します。
WANプロファイル
使用例1:WANプロファイル3
ワークフローを使用して、この使用例のWANプロファイル設定のほとんどを生成できます。インターネット用イーサネットインターフェイスDHCP を完了せずに ARP メッセージを転送した場合。
注:スタティックルートを含むLTEリンクのセルラーインターフェイスは、ワークフローの後に手動で設定グループを編集して設定する必要があります。
LAN プロファイル
使用例1:LANプロファイル3
ワークフローを使用して、この使用例のLANプロファイル設定の一部を生成できます。1 VPN、DIAスタティックルート。
実際のDot1Qサブインターフェイスなどのエンティティや、デバイス固有としてマークされたその他のエンティティは、デバイスへの設定グループの導入時に実際の値で指定できます。
注:SVI、アクセススイッチポートなど、設定グループを手動で編集して、ワークフロー後に設定する必要があります。
システムプロファイル:
設定グループSiteType1と同じです。
CLIプロファイル:
設定グループSiteType1と同じです。
構成グループSiteType3:
Create Configuration Groupワークフローを実行します。
WANプロファイル:
設定グループSiteType2と同じです。
LAN プロファイル
使用例1:LANプロファイル4
ワークフローを使用して、この使用例のLANプロファイル設定の一部を生成できます。1 VPN、DIAスタティックルート。
実際のDot1Qサブインターフェイスなどのエンティティや、デバイス固有としてマークされたその他のエンティティは、デバイスへの設定グループの導入時に実際の値で指定できます。
注:SVI、ワイヤレスSSID、アクセススイッチポートなど、設定グループを手動で編集して、ワークフロー後に設定する必要があります。
システムプロファイル:
設定グループSiteType1と同じです。
CLIプロファイル:
設定グループSiteType1と同じです。
使用例2:小売業のお客様
使用例2 – 構成グループ
構成グループHQおよび倉庫
Create Configuration Groupワークフローを実行します。
WANプロファイル:
ワークフローを使用して、この使用例のWANプロファイル設定をすべて生成できます。
LAN プロファイル:
ワークフローを使用して、この使用例のすべてのLANプロファイル設定を生成できます。
実際のDot1Qサブインターフェイスなどのエンティティや、デバイス固有としてマークされたその他のエンティティは、デバイスへの設定グループの導入時に実際の値で指定できます。
システムプロファイル:
ワークフローを使用して、このユースケースのすべてのシステムプロファイル構成を生成できます。
注:変更が必要な場合、またはアプリケーションパフォーマンスモニタリングなどの高度な設定が必要な場合は、設定グループを手動で編集して、ワークフロー後に変更を設定する必要があります。
構成グループストア:
Create Configuration Groupワークフローを実行します。
WANプロファイル:
ワークフローを使用して、この使用例のWANプロファイル設定のほとんどを生成できます。
注:LTEリンクのセルラーインターフェイス(ルーティングを含む)は、ワークフローの後に手動で設定グループを編集して設定する必要があります。
LAN プロファイル:
ワークフローを使用して、この使用例のすべてのLANプロファイル設定を生成できます。
実際のDot1Qサブインターフェイスなどのエンティティや、デバイス固有としてマークされたその他のエンティティは、デバイスへの設定グループの導入時に実際の値で指定できます。
システムプロファイル:
設定グループHQおよびWarehouseと同じです。
関連付け
Configuration Group編集ページ(Configuration -> Configuration Groups)で、デバイスを設定グループに関連付けることができます。
Associate Devicesをクリックして、ワークフローの手順に従います。
デバイスの関連付け:設定グループ
展開
構成グループの展開ワークフローを実行します。
構成グループの展開ワークフロー
注:
- Configuration Groupでは、Change Device ValuesコマンドはManagerデータベースの値を変更するだけで、デバイスに変更をプッシュすることはありません。変更を即時に適用する場合は、変更を展開する必要があります。
- デバイス変数の値を(CSVファイルとして)エクスポートするには、デバイス設定の追加/レビューステップの導入ワークフローで行います。
再利用
- 設定グループはデバイスモデルに依存しません。
設定グループ – デバイスモデルに依存しない
注:特定の設定がデバイスモデルでサポートされていない場合、対応する機能パーセルのプッシュは実行されず、導入タスクの一部として適切なメッセージが表示されます。
例:デバイスはWi-Fiをサポートしていないが、設定グループにWi-Fiパーセルが含まれている。展開時に、Wi-Fi区画設定がスキップされ、展開タスクメッセージにWi-Fi設定のプッシュがスキップされたことが通知されます。
- 設定変数(デバイス固有の値)を使用します。
設定グループ:デバイス固有の変数
機能プロファイルは、テンプレート変数と同様に、デバイス固有として定義された設定を持つことができます。
例:インターフェイスIPアドレス、ポート番号、インターフェイス名など。
これらのデバイス固有の値は、導入時に指定できます。また、デバイスごとに異なる場合があります。
設定グループ:デバイス固有の変数の例1
設定グループ:デバイス固有の変数の例2
設定グループ:デバイス固有の変数の例3
- フィーチャプロファイルを再利用します。
機能プロファイルは、複数の設定グループにわたって再利用できます。
図:
たとえば、WANとシステムの設定が同じで、LANの設定のみが異なる場合、一部のデバイスでは、WANとシステムのプロファイルを設定グループ間で再利用しながら、それぞれに異なるLANプロファイルを設定できます。
フィーチャプロファイルの再利用 – 1
LANプロファイル1
フィーチャプロファイルの再利用 – 2
LANプロファイル2
フィーチャプロファイルの再利用 – 3
LANプロファイル3
アプリケーションカタログ
従来のデバイスは、送信元と宛先のIPアドレス、送信元/宛先ポート、およびプロトコルの条件付き照合によってトラフィックフローを操作できました。DNSに依存するアプリケーションやHTTPに組み込まれるアプリケーションが増えるにつれて、ネットワークトラフィックをアプリケーションレベルで正確に特定することが困難になります。
シスコのNetwork Based Application Recognition(NBAR)エンジンは、1,500を超えるアプリケーションを分類する機能を備えており、ネットワークエンジニアは、より詳細にトラフィックフローを分類および操作できます。Cisco Catalyst SD-WAN Managerには、アプリケーションのシグネチャを迅速に更新できるシスコアプリケーションリポジトリに接続する機能があります。これは、クラウドプロバイダーがホスティングの場所やトラフィックパターンを変更する場合に重要です。
アプリケーションカタログを使用すると、サーバ名、IPアドレス、ポート、またはプロトコルの照合に基づいて、カスタムアプリケーションを作成できます。その後、アプリケーションは特定のアプリケーションファミリ、アプリケーショングループ、トラフィッククラス、およびビジネス関連性に定義されます。
アプリケーションカタログ
アプリケーションは、適切なビジネス関連性やトラフィック分類にドラッグアンドドロップできます。変更を保存すると、データベース内の定義が更新されます。
注:アプリケーション分類はグローバルであり、アプリケーションカタログの変更はすべてのデバイス分類に影響します。
ポリシーグループ
設定グループと同様に、ポリシーグループは、ポリシーグループに関連付けられたデバイスに展開されるポリシーのグループです
ポリシーグループは、意図に基づいてポリシーの作成と導入に取り組みます。シンプルなUIとワークフローにより、ポリシーの作成、ポリシーのグループ化、デバイスへの展開が簡単に行えます。
|
前提条件:設定グループのデバイスへの関連付けと導入は、そのデバイスにポリシーグループを導入するための前提条件です。 |
ポリシーグループ
アプリケーションの優先度とSLA
このポリシーの目的では、次の項目を指定できます。
- アプリケーション認識型ルーティングおよびSLAポリシー
- QoSポリシー
- トラフィックデータポリシー
- DIAポリシー
- SIGポリシー
2つのモードが提供されます。
簡易モード
これはデフォルト モードです。
簡易モード
これにより、ネットワークのアプリケーションプライオリティとSLAをすばやく簡単に定義できます。
注:1.デフォルトのポリシーアクションはDROPです。
2. 一致基準は、アプリケーションのみで指定できます。プレフィクスが必要な場合は、詳細モードを使用します
詳細モード
これは完全で柔軟なモードです。
詳細モード
注:
1. デフォルトのポリシーアクションはDROPです。
2. アプリケーションリストとトラフィッククラスは、基本的にアプリケーションのリストです。
アプリケーションのリストを照合するには、そのいずれかを使用できます。トラフィッククラスへのアプリケーションのマッピングは、アプリケーションカタログで実行できます。
簡易モードでは、これらのいずれかまたは両方を使用してルールが生成されますが、詳細モードではアプリケーション・リストのみが提供されます。
Quality of Service
QoS Queueオプションでは、QoSポリシーを追加できます。
QoSポリシーの追加
キューイングモデル
次に、トラフィックデータポリシーを定義します(トラフィックポリシーの追加)。
目的のトラフィックに一致するルールを追加し、適切な転送クラスにリダイレクトします。
QoSポリシー2
アプリケーション認識型ルーティング
AARポリシーの目的を実現するために、SLAクラスを定義してトラフィックポリシーで使用できます。
AARポリシー
アプリケーション/フローの可視性:
app-visibilityおよびflow-visibilityを有効にするには、設定グループでCLIプロファイル/パーセルを使用します。
(20.13以降では、ポリシーグループの詳細設定で使用できます)。
ただし、20.12では、AARポリシーが設定されると、アプリケーション/フローの可視性が有効になります。CLIプロファイル/パーセルを使用してこれを設定する必要はありません。
トラフィックポリシー
トラフィックポリシーを使用して、DIAポリシー、SIGリダイレクションなどを作成することもできます。必要に応じて規則を追加します。
トラフィックポリシー
注:アプリケーションプライオリティとSLAポリシーが簡易モードで作成され、拡張モードに切り替えられた場合、一部の照合オプションは選択できません。例:宛先データのプレフィックスがグレー表示される。
これらのオプションを使用可能にするには、必要に応じてプロトコルをBOTHからIPv4またはIPv6に変更します。
組み込みセキュリティ
オンボックスのNGFW、IPS、マルウェア、およびコンテンツフィルタリングのセキュリティポリシーを定義します。
セキュアインターネットゲートウェイ/セキュアサービスエッジ
Cisco Secure Accessなどのクラウドベースのコンテンツおよびセキュリティエンティティへのトンネルを確立するために必要な設定を定義します。
注:従来の設定方法では、これは機能テンプレートとして使用できました。
DNSセキュリティ
コンテンツフィルタリングにクラウドベースのDNSセキュリティサービスを使用できるように設定を定義します。
関連するグループ
ポリシーで使用するオブジェクトリストを定義します。例:アプリケーションリスト、VPNリスト、サイトリスト、プレフィックスリストなど
さらに、セキュリティポリシーについては、高度な検査プロファイル、SSL復号化ポリシーなどのプロファイルを定義します。
ポリシーグループ:対象のグループ
関連付けと展開
設定グループと同様に、デバイスをポリシーグループに関連付けて展開します。
ローカライズされたポリシー
ACL、ルートポリシー、デバイスアクセスポリシーなどのローカライズされたポリシーは、設定グループで定義されます。
トポロジ
ネットワークトポロジを定義します。
フルメッシュまたはハブアンドスポークから開始し、必要に応じてカスタマイズします。
トポロジメニュー
トポロジとVPN
トポロジを作成し、VPNを指定する際は、これらの設計変更に留意してください。
新しい設計では、VPN名をVPN IDに1対1でマッピングするのではなく、動的にマッピングできます。
複数のVPN IDへのVPN名のマッピング
図:
2つの異なる設定グループにCorporateという名前のVPNがあるとします。
一方にはVPN ID 10があり、もう一方にはVPN ID 20があります。
トポロジワークフローVPNリストには、企業VPNの1つのインスタンスのみが表示されます。
Corporate VPNを選択すると、SD-WAN Managerはトポロジに基づいてVPN IDを判別します。
2つのサイトに2つのデバイスがあるとします。
1. サイト100のDevice1、VPN 10として企業を使用
2. サイト200のDevice2、VPN 20として企業
サイト100とサイト200の両方がトポロジの一部である場合、SD-WAN Managerは両方のVPN ID(10と20)を持つVPNリストを作成します。
サイト100のみがトポロジの一部である場合、SD-WAN ManagerはVPN ID 10のみを含むVPNリストを作成します。
サイト200のみがトポロジの一部である場合、SD-WAN ManagerはVPN ID 20のみを含むVPNリストを作成します。
同じVPN IDにマッピングする複数のVPN名
同じVPN名を持つ複数のトポロジポリシーを、異なるサイトの異なるVPN IDにマッピングするように設定できます。
SD-WAN Managerは、どのトポロジがどのサイトに関連付けられているかに基づいて、実際のマッピングを決定します。
図:
2人のユーザが2つの異なる設定グループを作成できます。
一方はVPN ID 100をFinance VPNとして指定し、もう一方はEngineering VPNとして指定します。
その後、それぞれのVPN名を使用してトポロジを作成できます。
オンボーディング
物理ルータのオンボーディングには、Quick Connect Workflowを使用します。
このワークフローを使用して、オンボーディングするデバイスのホスト名、システムIP、およびサイト名/IDを事前に定義します。これらは自動的に生成されますが、必要に応じて変更できます。また、デバイスにタグを付けることもできます。このタグを使用して、デバイスを設定グループに自動的に関連付けることができます。
PnP ZTPオンボーディングプロセス中、デバイスはSD-WAN Managerへのコントロールプレーントンネル接続を確立します。SD-WAN Managerは、定義済みのファブリック構成をデバイスにプッシュし、デバイスはSD-WANファブリックに参加します。
クイック接続ワークフロー
クイック接続ワークフローの説明
タグ付け
デバイスは、ユーザ定義のタグに関連付けることができます。
タグは、デバイスのグループ化、説明、検索、または管理に使用できます。
タグを使用すると、デバイスをグループ化して、他の機能で使用できます。
タグ付けの例
例:デバイスへの設定グループの関連付け
設定グループのルールを設定すると、特定のタグを持つデバイスを、その設定グループに自動的に関連付けることができます。
タグの追加
Configuration > Devicesで、デバイスに対するタグの作成、追加、削除ができます。
設定グループのタグルール
Configuration Group > Associated Devicesページで、タグルールの追加/編集を行うことができます。
図
タグ付けの図
既存の導入
SD-WANネットワークでは、従来の構成とポリシーを使用するデバイスは、簡素化された構成とポリシーを使用するデバイスと共存できます。
このセクションでは、簡素化された設定とポリシーを利用する場合の推奨事項を示します。また、推奨事項の一部を示します。
最初のステップでは、デバイスをデバイステンプレートから設定グループに移行する必要があります。これが完了すると、ポリシーグループやトポロジを展開できます。
構成グループ
デバイステンプレートと設定グループは、エッジデバイス設定を提供します。そのため、共存は簡単に行えます。デバイステンプレートから設定グループに移行する手順は次のとおりです。
|
ステップ 1: |
デバイステンプレートからデバイス値のコピーを抽出します。これを行うには、設定> テンプレートで、デバイスグループの右側の省略記号(...)をクリックし、Export CSVを選択します。 |
|
ステップ 2: |
構成グループを作成します(手動または変換ツールを使用)。 |
|
ステップ 3: |
デバイステンプレートをデバイスから切断します。この時点で、デバイスは接続ポイントで設定を維持しますが、デバイステンプレート(またはコンポーネント機能テンプレート)に対する今後の変更は一切受け取りません。 |
|
ステップ 4: |
デバイスを新しい設定グループに関連付けます。 |
|
ステップ 5: |
設定グループに関連付けられたデバイスを導入します。このプロセスを簡単に行うには、エクスポートされたCSVファイルを開き、CSVカラムヘッダーを変更して設定グループの新しい変数に一致させます。 |
|
手順 6: |
デバイス変数の入力画面の後で、デバイス設定をプレビューできます。これにより、設定グループのどの部分が以前のインスタンスと一致しないか、またはデバイステンプレートからどの変数が変更されたかをプレビューできます。 |
変数に対して一貫した命名方式を維持することで、デバイス固有の設定が簡素化されます。すべてのデバイスの値が1つのCSV形式の場合、カラムヘッダーの名前を変更する必要があるのは1回だけです。
注:列ヘッダーを統合してアルファベット順に並べ替えるために、デバイステンプレートまたは設定グループ用のCSVファイルで動作するPythonスクリプトが存在します。スクリプトは次の場所で入手できます。
ポリシーグループ
設定グループを使用して設定されたデバイスは、一元化されたポリシーを使用するか、ポリシーグループに移行できますが、同じアプリケーションに対して同時に両方を同時に移行することはできません。基本的に、目標はエッジデバイスに対して同じ基本ポリシーを維持することです。ポリシーグループは、元のAARポリシーとデータポリシーを1つのアプリケーションプライオリティおよびSLA PGコンポーネントに結合します。基本的に、ポリシーの設定がどのように作成されるかだけが変更されます(ただし、SD-WAN Managerには送信されません)。
データポリシーまたはAARポリシーは、両方とも同じ設定を構成するため、アプリケーションプライオリティおよびSLAコンポーネントを持つサイトを含むサイトリストを参照できないことに注意してください。
制御ポリシーのみを持つ集中ポリシーに、アプリケーションの優先順位とSLAを持つポリシーグループを使用するサイトを参照させることができます。これは、集中ポリシーのさまざまなコンポーネントを設定するためです。
中央集中型ポリシーからポリシーグループにデバイスを移行するには、次の手順を実行します。
|
ステップ 1: |
必要なポリシーグループコンポーネント(アプリケーションプライオリティとSLA、組み込みセキュリティ、セキュアインターネットゲートウェイ/セキュアサービスエッジ、DNSセキュリティ)を作成します。 |
|
ステップ 2: |
ポリシーグループを作成し、必要なコンポーネントを関連付けます。 |
|
ステップ 3: |
AARまたはデータポリシーで参照されているSiteListからサイトIDの関連付けを解除します。 |
|
ステップ 4: |
デバイスをポリシーグループに関連付け、ポリシーグループを保存します。 |
|
ステップ 5: |
選択したデバイスにポリシーグループを展開します。この時点で、SD-WAN Managerは更新された設定をエッジデバイス(QoS/SIG用)とコントローラに送信します。これにより、コントローラは更新されたデータポリシーをエッジデバイスに送信できます。 |
注:ポリシーグループは集中型ポリシーと共存できますが、エッジデバイスを設定グループに変換する間、(AARおよびデータポリシーに関しては)集中型ポリシーのままにしておくことをお勧めします。その時点で、アプリケーションの優先度およびSLAコンポーネント内の機能について、一元化されたポリシーからポリシーグループへの移行を開始します。
これは、運用スタッフ間の混乱を減らし、シンプルにするために行われます。
注:ポリシーグループエンジンは異なる形式で情報を保存します。したがって、一元化されたポリシーで使用されるプレフィックスリストは、ポリシーグループ内で再作成する必要があります。これは、サイトリストなどの他の場合にも発生する可能性があります。
トポロジ
設定グループを使用して設定されたデバイスは、中央集中型ポリシーを使用するか、トポロジに移行できます。基本的に、目標はSD-WANコントローラに対して同じ基本制御ポリシーを維持することです。トポロジは、制御ポリシーの最新の反復です。
コントロールポリシーポリシーは、トポロジが関連付けられているサイトと共にサイトリストを参照することはできず、両方とも同じ設定を構成することに注意してください。
データポリシーとAARポリシーのいずれかまたは両方を含む一元化されたポリシーを設定し、それらが異なるコンポーネントを設定する際にトポロジポリシーを設定することができます。
一元化されたポリシーからポリシーグループにデバイスを移行する手順:
|
ステップ 1: |
必要なトポロジコンポーネントを作成します。 |
|
ステップ 2: |
中央集中型ポリシーの古いトポロジリストからサイドの関連付けを解除します。 |
|
ステップ 3: |
AARまたはデータポリシーで参照されているサイトリストからサイトIDの関連付けを解除します。 |
|
ステップ 4: |
トポロジをアクティブにします。この時点で、SD-WAN Managerは更新された設定をコントローラに送信し、エッジデバイスに送信されるすべてのルートを変更します。 |
注:トポロジは中央集中型ポリシーと共存できますが、エッジデバイスを設定グループに変換する間、(トポロジおよびルート操作のための)中央集中型ポリシーのままにしておくことをお勧めします。その時点で、トポロジの変更とルーティング操作を行う機能のために、一元化されたポリシーからトポロジへの移行を開始します。
これは、運用スタッフ間の混乱を減らすために、単純に行われます。
変換ツール
対象範囲
設定変換ツールは、テンプレートとポリシーを設定グループとポリシーグループに変換します。 ターゲットのSD-WAN Managerからテンプレートとポリシーの設定を収集し、同等の設定グループとポリシーグループに変換して、新しい設定をターゲットのSD-WAN Managerにアップロードします。このツールは現在、20.12および20.13のテンプレートとポリシーの変換をサポートしています。
アクセスの詳細
構成変換ツール(CCC)は、SD-WAN Portal(旧称SSP)で入手できます。
使用方法
前提条件
ツールを使用する前に、SD-WAN Managerが20.12.xを実行していることを確認します。そうでない場合は、先に進む前に20.12にアップグレードします。
さらに、ターゲットのSD-WAN Managerがインターネット経由でアクセス可能であり、74.207.103.254からの着信トラフィックを受け入れる必要があります。
構成変換ツールのワークフロー
|
ステップ 1: |
CCOクレデンシャルを使用してSD-WANポータルにサインインします。 ・ スマートアカウント管理者は、通常どおりSD-WANポータルにログインします。左側のメニューからConfiguration Conversionを選択し、ワークフローに入ります。 ・ スマートアカウント管理者でない場合は、ツールへのリンクを含む403 Forbiddenページが表示されます。ワークフローを入力するには、リンクをクリックします。 |
|
ステップ 2: |
詳細: SD-WANマネージャのIPまたはURLをユーザクレデンシャルと一緒に入力します。 ・ ユーザーには読み取り/書き込みアクセス権が必要です。 ・ ポート(デフォルトは443)およびサブドメインフィールドはオプションです。 |
|
ステップ 3: |
インポート: 設定を取得するには、次の2つのオプションがあります(テンプレートとポリシー)。 1. Collectボタンをクリックして、SD-WAN Managerからすべての設定(デバイステンプレート、機能テンプレート、ポリシー、それらに関連付けられた構成)を取得します。 ・ 収集したら、すべての設定項目を含むJSONファイルをダウンロードできます。このファイルは、SD-WAN Managerから再度収集する代わりに、この手順で後で使用できます。 2. 以前にこのステップで作成したテンプレートとポリシーを含むJSONファイルをアップロードします。 |
|
ステップ 4: |
選択: 変換するテンプレートとポリシーを選択します。Convertをクリックして、選択した設定項目を変換します。 ・ 注:デバイステンプレートは個別に選択できますが、ポリシーは全部または全部ではありません(つまり、すべてのポリシーが変換されるか、ポリシーが変換されません)。 |
|
ステップ 5: |
変換: このページには、新しく変換されたすべての設定項目が表示されます。作成された品目とそのステータスを確認します。アイテムのステータスが部分的である場合は、情報アイコンを確認して理由を確認します。準備ができたら、Uploadをクリックして、SD-WAN Managerでこれらの新しい設定を作成します。 |
|
手順 6: |
要約: この手順では、新しい構成項目がSD-WAN Managerで作成されます。構成の作成中は、経過表示バーが表示されます。アップロードが完了すると、アップロードされた設定とそのステータスの概要が表示されます。 ・ エラーやミスが発生した場合は、アップロードのキャンセル(作成中)とロールバック(作成後)をこのステップで実行できます。アップロードのキャンセルまたはロールバックを実行すると、このワークフロー/セッション中にSD-WAN Managerで作成されたすべての構成項目が削除されます。このワークフローを終了すると、後でこれらの変更をロールバックできなくなります。不要な項目は手動で削除する必要があります。 |
変換後
これで、新しい設定を使用する準備が整いました。「既存の導入」セクションの手順を実行して、デバイスを、新しく変換された設定グループとポリシーグループに移行します。
考慮事項
- ツールで提供される変換は、ガイダンスとして機能することを目的としています。実稼働環境に導入する前に、分析とテストを行います。
- このツールでは、設定グループのデバイスに依存しない機能は考慮されません。ユーザは、変換する設定グループを選択または分析する前にテンプレートを分析し、デバイスに依存しない機能の利点を活用できるようにデバイスを関連付けることができます。
- 元のコンフィギュレーションの変数名とグローバル値が、新しく変換されたコンフィギュレーションにコピーされます。デバイス固有の値はそうではありません。
- このツールでは、設定はデバイスにプッシュされません。変換を実行した後、ユーザはテンプレートからデバイスを切り離し、新しい設定グループに関連付ける必要があります。
サポート
設定変換ツールに関する問題については、sdwan-conversiontool-support@cisco.comに電子メールを送信してください。
20.12考慮事項
|
No. |
項目の説明 |
|
1. |
17.12より前のバージョンを実行するエッジに設定グループを展開する場合、CLIアドオンプロファイルを使用してDNS設定をプッシュする必要があります。 |
|
2. |
トポロジを作成するには、NHMで定義されたエリアを選択するのではなく、サイトを選択する必要があります。 |
|
を選択します。 |
設定グループの作成のワークフローでは、VPN512およびこのVPNのインターフェイスはWANプロファイルに作成されません。これが必要な場合は、設定グループを編集して手動で作成できます。 |
|
4. |
機能プロファイルをコピー/複製する機能。ポリシーはサポートされていません。Pythonスクリプトのセットは、このタスクを実行できます。このスクリプトは次の場所にあります。 |
|
5. |
ポリシー設定(ローカライズされたポリシー)に関連する機能パーセルを作成する前に、ポリシーオブジェクトプロファイルを設定グループに関連付ける必要があります。 例:ACL。 |
|
6. |
インターフェイス変数のCSVをインポートすると、文字列にセミコロンが挿入されて失敗します。 |
|
7. |
AppQoE最適化(TCP OptおよびDRE)と損失修正(FECおよびPkt Dup)の設定では、引き続き従来のテンプレート/ポリシーを使用します。Configuration/Policy GroupsのCLI Profileでも設定可能(UI Parcelでは20.14)。 |
|
8. |
SaaS向けクラウドオンランプでは、従来のテンプレート/ポリシーが引き続き使用されます。 |
|
9. |
TrustSec/SGTはCLIプロファイルでのみサポートされます。 |
|
10. |
UC音声/DSPファーム/SRSTはCLIプロファイルのみでサポート(UI Parcelでは20.13以降) |
関連情報
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
2.0 |
13-Mar-2025
|
ツールのアクセスと配置に対する最近の変更を反映するために、変換ツールセクションを更新します。 |
1.0 |
16-Aug-2024
|
初版 |
フィードバック