この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。
このドキュメントでは、Catalyst SD-WANの設定とポリシーを簡素化するためのクイックスタートガイドについて説明します。
Cisco Catalyst SD-WANソフトウェアリリース20.12/17.12を使用する場合、デバイスと機能のテンプレートに基づく従来の設定から、設定グループとポリシーグループに基づく新しい設定方法への移行を開始することをお勧めします。このドキュメントでは、新しい設定方法に関する重要な詳細について説明します。
このドキュメントの主な目的は、20.12ゴールデンリリースで、設定、ポリシー、オンボーディングの新しい構成の使用を開始するためのガイドとして機能することです。 このドキュメントでは、個々の機能については説明していません。
新しい設定方法を正しく使用するには、次の手順を実行する必要があります。
新規導入のフローチャート
Cisco Catalyst SD-WANは、ユーザエクスペリエンスの向上と運用の簡素化を実現します。
長所:
使いやすさ |
直感的なガイド付きワークフロー |
構成の無秩序な増加 |
無秩序な広がりを軽減(モデルに依存しない、再利用、構造) |
構成の作成 |
スマートなデフォルト設定で迅速かつ簡単に |
設定の変更 |
今すぐ変更、後で選択的に展開 |
可視性 |
新しいダッシュボード、アプリケーション/サイトのパフォーマンスモニタリング |
トラブルシューティングガイダンス |
サイトトポロジ、トラブルシューティングツールのガイダンス |
ネットワークの「階層」、つまりサイト、リージョン、エリアの概念を提供します。これは、ネットワークに基づいて作成できます。
例:
ネットワーク階層マネージャ(NHM)
これにより、わかりやすいサイト名を定義して、運用を簡素化できます。
これらのプールは、デバイス設定の導入時にシステムIPおよびサイトIDの割り当てを自動化します。
System-IP自動割り当てのIPプールを定義できます。 サイトIDはGlobal_Siteプールから割り当てられます。
プールパラメータの追加
プールの表示と管理
ワークフローは、特定のタスクを簡単に実行するのに役立つガイド付きステップの集合です。
ワークフローライブラリには、使用可能なすべてのワークフローが一覧表示されます。
ワークフローライブラリ
構成グループは、シンプルさ、再利用性、および構造の原則に基づく、ファブリック構成への新しいアプローチです。
構成グループの構造
構成グループ:
たとえば、East/West、Americas/APJC/EMEAR、Retail Store/Distribution Centerなどです。
機能プロファイル:
たとえば、基本プロファイル、WANプロファイル、LANプロファイルなどです。
注:
設定グループハブ:
構成グループの作成ワークフローを実行します。
構成グループの作成ワークフローオプション
WANプロファイル
使用例1:WANプロファイル1
ワークフローを使用して、この使用例の完全なWANプロファイル設定を生成できます。
実際のスタティックIP、スタティックデフォルトルートのIP/サブネット/ネクストホップなどのエンティティは、グローバルまたはデバイス固有として指定できます。
デバイス固有のオプションは、デバイスへの設定グループの導入時に実際の値で指定できます。
LAN プロファイル
使用例1:LANプロファイル1
ワークフローを使用して、この使用例のLANプロファイル設定のほとんどを生成できます。
実際のDot1Qサブインターフェイスなどのエンティティや、デバイス固有としてマークされたその他のエンティティは、デバイスへの設定グループの導入時に実際の値で指定できます。
注:ルート再配布やデフォルトルートアドバタイズメントなどの高度な設定は、展開でサブインターフェイスを使用する場合は、サブインターフェイスと同様に、設定グループを手動で編集して、ワークフローの後で設定する必要があります。
System Profile
使用例1:System Profile 1
ワークフローを使用して、この使用例のシステムプロファイル設定の大部分(OMP、AAA、NTP、ロギングなど)を生成できます。
注:OMP-BGP再配布などの高度な設定、およびOMP、AAA、NTPなどのシステム機能に対するその他の変更は、ワークフローの後で設定グループを手動で編集して設定する必要があります。
構成グループSiteType1:
Create Configuration Groupワークフローを実行します。
WANプロファイル
使用例1:WANプロファイル2
ワークフローを使用して、この使用例のWANプロファイル設定のほとんどを生成できます。インターネットおよびStarlink用のイーサネットインターフェイスDHCP を完了せずに ARP メッセージを転送した場合。
注:スタティックルートを含むLTEリンクのセルラーインターフェイスは、ワークフローの後に手動で設定グループを編集して設定する必要があります。
LAN プロファイル
使用例1:LANプロファイル2
ワークフローを使用して、この使用例のLANプロファイル設定の一部を生成できます。2 VPN、DIAスタティックルート。
実際のDot1Qサブインターフェイスなどのエンティティや、デバイス固有としてマークされたその他のエンティティは、デバイスへの設定グループの導入時に実際の値で指定できます。
注:SVI、ワイヤレスSSID、アクセススイッチポートなどは、ワークフローの後で、設定グループを手動で編集して設定する必要があります。
System Profile
使用例1:System Profile 2
ワークフローを使用して、この使用例のシステムプロファイル設定の大部分(OMP、AAA、NTP、ロギングなど)を生成できます。
注:アプリケーションパフォーマンスモニタリングなどの高度な設定は、設定グループを手動で編集して、ワークフローの後で設定する必要があります。
CLIプロファイル
使用例1:CLIプロファイル2
App/Flow Visibility(NBAR)の有効化など、GUIを介してサポートされない機能は、CLIプロファイルを使用して設定できます。
アプリケーション/フローの可視性:
app-visibilityおよびflow-visibilityを有効にするには、CLI profile/parcelを使用します。
(20.13以降では、ポリシーグループの詳細設定で使用できます)
ただし、20.12では、AARポリシーが設定されると、アプリケーション/フローの可視性が有効になります。CLIプロファイル/パーセルを使用してこれを設定する必要はありません。
構成グループSiteType2:
Create Configuration Groupワークフローを実行します。
WANプロファイル
使用例1:WANプロファイル3
ワークフローを使用して、この使用例のWANプロファイル設定のほとんどを生成できます。インターネット用イーサネットインターフェイスDHCP を完了せずに ARP メッセージを転送した場合。
注:スタティックルートを含むLTEリンクのセルラーインターフェイスは、ワークフローの後に手動で設定グループを編集して設定する必要があります。
LAN プロファイル
使用例1:LANプロファイル3
ワークフローを使用して、この使用例のLANプロファイル設定の一部を生成できます。1 VPN、DIAスタティックルート。
実際のDot1Qサブインターフェイスなどのエンティティや、デバイス固有としてマークされたその他のエンティティは、デバイスへの設定グループの導入時に実際の値で指定できます。
注:SVI、アクセススイッチポートなど、設定グループを手動で編集して、ワークフロー後に設定する必要があります。
システムプロファイル:
設定グループSiteType1と同じです。
CLIプロファイル:
設定グループSiteType1と同じです。
構成グループSiteType3:
Create Configuration Groupワークフローを実行します。
WANプロファイル:
設定グループSiteType2と同じです。
LAN プロファイル
使用例1:LANプロファイル4
ワークフローを使用して、この使用例のLANプロファイル設定の一部を生成できます。1 VPN、DIAスタティックルート。
実際のDot1Qサブインターフェイスなどのエンティティや、デバイス固有としてマークされたその他のエンティティは、デバイスへの設定グループの導入時に実際の値で指定できます。
注:SVI、ワイヤレスSSID、アクセススイッチポートなど、設定グループを手動で編集して、ワークフロー後に設定する必要があります。
システムプロファイル:
設定グループSiteType1と同じです。
CLIプロファイル:
設定グループSiteType1と同じです。
使用例2 – 構成グループ
構成グループHQおよび倉庫
Create Configuration Groupワークフローを実行します。
WANプロファイル:
ワークフローを使用して、この使用例のWANプロファイル設定をすべて生成できます。
LAN プロファイル:
ワークフローを使用して、この使用例のすべてのLANプロファイル設定を生成できます。
実際のDot1Qサブインターフェイスなどのエンティティや、デバイス固有としてマークされたその他のエンティティは、デバイスへの設定グループの導入時に実際の値で指定できます。
システムプロファイル:
ワークフローを使用して、このユースケースのすべてのシステムプロファイル構成を生成できます。
注:変更が必要な場合、またはアプリケーションパフォーマンスモニタリングなどの高度な設定が必要な場合は、設定グループを手動で編集して、ワークフロー後に変更を設定する必要があります。
構成グループストア:
Create Configuration Groupワークフローを実行します。
WANプロファイル:
ワークフローを使用して、この使用例のWANプロファイル設定のほとんどを生成できます。
注:LTEリンクのセルラーインターフェイス(ルーティングを含む)は、ワークフローの後に手動で設定グループを編集して設定する必要があります。
LAN プロファイル:
ワークフローを使用して、この使用例のすべてのLANプロファイル設定を生成できます。
実際のDot1Qサブインターフェイスなどのエンティティや、デバイス固有としてマークされたその他のエンティティは、デバイスへの設定グループの導入時に実際の値で指定できます。
システムプロファイル:
設定グループHQおよびWarehouseと同じです。
Configuration Group編集ページ(Configuration -> Configuration Groups)で、デバイスを設定グループに関連付けることができます。
Associate Devicesをクリックして、ワークフローの手順に従います。
デバイスの関連付け:設定グループ
構成グループの展開ワークフローを実行します。
構成グループの展開ワークフロー
注:
設定グループ – デバイスモデルに依存しない
注:特定の設定がデバイスモデルでサポートされていない場合、対応する機能パーセルのプッシュは実行されず、導入タスクの一部として適切なメッセージが表示されます。
例:デバイスはWi-Fiをサポートしていないが、設定グループにWi-Fiパーセルが含まれている。展開時に、Wi-Fi区画設定がスキップされ、展開タスクメッセージにWi-Fi設定のプッシュがスキップされたことが通知されます。
設定グループ:デバイス固有の変数
機能プロファイルは、テンプレート変数と同様に、デバイス固有として定義された設定を持つことができます。
例:インターフェイスIPアドレス、ポート番号、インターフェイス名など。
これらのデバイス固有の値は、導入時に指定できます。また、デバイスごとに異なる場合があります。
設定グループ:デバイス固有の変数の例1
設定グループ:デバイス固有の変数の例2
設定グループ:デバイス固有の変数の例3
機能プロファイルは、複数の設定グループにわたって再利用できます。
図:
たとえば、WANとシステムの設定が同じで、LANの設定のみが異なる場合、一部のデバイスでは、WANとシステムのプロファイルを設定グループ間で再利用しながら、それぞれに異なるLANプロファイルを設定できます。
フィーチャプロファイルの再利用 – 1
LANプロファイル1
フィーチャプロファイルの再利用 – 2
LANプロファイル2
フィーチャプロファイルの再利用 – 3
LANプロファイル3
従来のデバイスは、送信元と宛先のIPアドレス、送信元/宛先ポート、およびプロトコルの条件付き照合によってトラフィックフローを操作できました。DNSに依存するアプリケーションやHTTPに組み込まれるアプリケーションが増えるにつれて、ネットワークトラフィックをアプリケーションレベルで正確に特定することが困難になります。
シスコのNetwork Based Application Recognition(NBAR)エンジンは、1,500を超えるアプリケーションを分類する機能を備えており、ネットワークエンジニアは、より詳細にトラフィックフローを分類および操作できます。Cisco Catalyst SD-WAN Managerには、アプリケーションのシグネチャを迅速に更新できるシスコアプリケーションリポジトリに接続する機能があります。これは、クラウドプロバイダーがホスティングの場所やトラフィックパターンを変更する場合に重要です。
アプリケーションカタログを使用すると、サーバ名、IPアドレス、ポート、またはプロトコルの照合に基づいて、カスタムアプリケーションを作成できます。その後、アプリケーションは特定のアプリケーションファミリ、アプリケーショングループ、トラフィッククラス、およびビジネス関連性に定義されます。
アプリケーションカタログ
アプリケーションは、適切なビジネス関連性やトラフィック分類にドラッグアンドドロップできます。変更を保存すると、データベース内の定義が更新されます。
注:アプリケーション分類はグローバルであり、アプリケーションカタログの変更はすべてのデバイス分類に影響します。
設定グループと同様に、ポリシーグループは、ポリシーグループに関連付けられたデバイスに展開されるポリシーのグループです
ポリシーグループは、意図に基づいてポリシーの作成と導入に取り組みます。シンプルなUIとワークフローにより、ポリシーの作成、ポリシーのグループ化、デバイスへの展開が簡単に行えます。
前提条件:設定グループのデバイスへの関連付けと導入は、そのデバイスにポリシーグループを導入するための前提条件です。 |
ポリシーグループ
このポリシーの目的では、次の項目を指定できます。
2つのモードが提供されます。
これはデフォルト モードです。
簡易モード
これにより、ネットワークのアプリケーションプライオリティとSLAをすばやく簡単に定義できます。
注:1.デフォルトのポリシーアクションはDROPです。
2. 一致基準は、アプリケーションのみで指定できます。プレフィクスが必要な場合は、詳細モードを使用します
これは完全で柔軟なモードです。
詳細モード
注:
1. デフォルトのポリシーアクションはDROPです。
2. アプリケーションリストとトラフィッククラスは、基本的にアプリケーションのリストです。
アプリケーションのリストを照合するには、そのいずれかを使用できます。トラフィッククラスへのアプリケーションのマッピングは、アプリケーションカタログで実行できます。
簡易モードでは、これらのいずれかまたは両方を使用してルールが生成されますが、詳細モードではアプリケーション・リストのみが提供されます。
QoS Queueオプションでは、QoSポリシーを追加できます。
QoSポリシーの追加
キューイングモデル
次に、トラフィックデータポリシーを定義します(トラフィックポリシーの追加)。
目的のトラフィックに一致するルールを追加し、適切な転送クラスにリダイレクトします。
QoSポリシー2
AARポリシーの目的を実現するために、SLAクラスを定義してトラフィックポリシーで使用できます。
AARポリシー
アプリケーション/フローの可視性:
app-visibilityおよびflow-visibilityを有効にするには、設定グループでCLIプロファイル/パーセルを使用します。
(20.13以降では、ポリシーグループの詳細設定で使用できます)。
ただし、20.12では、AARポリシーが設定されると、アプリケーション/フローの可視性が有効になります。CLIプロファイル/パーセルを使用してこれを設定する必要はありません。
トラフィックポリシーを使用して、DIAポリシー、SIGリダイレクションなどを作成することもできます。必要に応じて規則を追加します。
トラフィックポリシー
注:アプリケーションプライオリティとSLAポリシーが簡易モードで作成され、拡張モードに切り替えられた場合、一部の照合オプションは選択できません。例:宛先データのプレフィックスがグレー表示される。
これらのオプションを使用可能にするには、必要に応じてプロトコルをBOTHからIPv4またはIPv6に変更します。
オンボックスのNGFW、IPS、マルウェア、およびコンテンツフィルタリングのセキュリティポリシーを定義します。
Cisco Secure Accessなどのクラウドベースのコンテンツおよびセキュリティエンティティへのトンネルを確立するために必要な設定を定義します。
注:従来の設定方法では、これは機能テンプレートとして使用できました。
コンテンツフィルタリングにクラウドベースのDNSセキュリティサービスを使用できるように設定を定義します。
ポリシーで使用するオブジェクトリストを定義します。例:アプリケーションリスト、VPNリスト、サイトリスト、プレフィックスリストなど
さらに、セキュリティポリシーについては、高度な検査プロファイル、SSL復号化ポリシーなどのプロファイルを定義します。
ポリシーグループ:対象のグループ
設定グループと同様に、デバイスをポリシーグループに関連付けて展開します。
ACL、ルートポリシー、デバイスアクセスポリシーなどのローカライズされたポリシーは、設定グループで定義されます。
ネットワークトポロジを定義します。
フルメッシュまたはハブアンドスポークから開始し、必要に応じてカスタマイズします。
トポロジメニュー
トポロジを作成し、VPNを指定する際は、これらの設計変更に留意してください。
新しい設計では、VPN名をVPN IDに1対1でマッピングするのではなく、動的にマッピングできます。
図:
2つの異なる設定グループにCorporateという名前のVPNがあるとします。
一方にはVPN ID 10があり、もう一方にはVPN ID 20があります。
トポロジワークフローVPNリストには、企業VPNの1つのインスタンスのみが表示されます。
Corporate VPNを選択すると、SD-WAN Managerはトポロジに基づいてVPN IDを判別します。
2つのサイトに2つのデバイスがあるとします。
1. サイト100のDevice1、VPN 10として企業を使用
2. サイト200のDevice2、VPN 20として企業
サイト100とサイト200の両方がトポロジの一部である場合、SD-WAN Managerは両方のVPN ID(10と20)を持つVPNリストを作成します。
サイト100のみがトポロジの一部である場合、SD-WAN ManagerはVPN ID 10のみを含むVPNリストを作成します。
サイト200のみがトポロジの一部である場合、SD-WAN ManagerはVPN ID 20のみを含むVPNリストを作成します。
同じVPN名を持つ複数のトポロジポリシーを、異なるサイトの異なるVPN IDにマッピングするように設定できます。
SD-WAN Managerは、どのトポロジがどのサイトに関連付けられているかに基づいて、実際のマッピングを決定します。
図:
2人のユーザが2つの異なる設定グループを作成できます。
一方はVPN ID 100をFinance VPNとして指定し、もう一方はEngineering VPNとして指定します。
その後、それぞれのVPN名を使用してトポロジを作成できます。
物理ルータのオンボーディングには、Quick Connect Workflowを使用します。
このワークフローを使用して、オンボーディングするデバイスのホスト名、システムIP、およびサイト名/IDを事前に定義します。これらは自動的に生成されますが、必要に応じて変更できます。また、デバイスにタグを付けることもできます。このタグを使用して、デバイスを設定グループに自動的に関連付けることができます。
PnP ZTPオンボーディングプロセス中、デバイスはSD-WAN Managerへのコントロールプレーントンネル接続を確立します。SD-WAN Managerは、定義済みのファブリック構成をデバイスにプッシュし、デバイスはSD-WANファブリックに参加します。
クイック接続ワークフロー
クイック接続ワークフローの説明
デバイスは、ユーザ定義のタグに関連付けることができます。
タグは、デバイスのグループ化、説明、検索、または管理に使用できます。
タグを使用すると、デバイスをグループ化して、他の機能で使用できます。
タグ付けの例
例:デバイスへの設定グループの関連付け
設定グループのルールを設定すると、特定のタグを持つデバイスを、その設定グループに自動的に関連付けることができます。
Configuration > Devicesで、デバイスに対するタグの作成、追加、削除ができます。
Configuration Group > Associated Devicesページで、タグルールの追加/編集を行うことができます。
タグ付けの図
SD-WANネットワークでは、従来の構成とポリシーを使用するデバイスは、簡素化された構成とポリシーを使用するデバイスと共存できます。
このセクションでは、簡素化された設定とポリシーを利用する場合の推奨事項を示します。また、推奨事項の一部を示します。
最初のステップでは、デバイスをデバイステンプレートから設定グループに移行する必要があります。これが完了すると、ポリシーグループやトポロジを展開できます。
デバイステンプレートと設定グループは、エッジデバイス設定を提供します。そのため、共存は簡単に行えます。デバイステンプレートから設定グループに移行する手順は次のとおりです。
ステップ 1: |
デバイステンプレートからデバイス値のコピーを抽出します。これを行うには、設定> テンプレートで、デバイスグループの右側の省略記号(...)をクリックし、Export CSVを選択します。 |
ステップ 2: |
構成グループを作成します(手動または変換ツールを使用)。 |
ステップ 3: |
デバイステンプレートをデバイスから切断します。この時点で、デバイスは接続ポイントで設定を維持しますが、デバイステンプレート(またはコンポーネント機能テンプレート)に対する今後の変更は一切受け取りません。 |
ステップ 4: |
デバイスを新しい設定グループに関連付けます。 |
ステップ 5: |
設定グループに関連付けられたデバイスを導入します。このプロセスを簡単に行うには、エクスポートされたCSVファイルを開き、CSVカラムヘッダーを変更して設定グループの新しい変数に一致させます。 |
手順 6: |
デバイス変数の入力画面の後で、デバイス設定をプレビューできます。これにより、設定グループのどの部分が以前のインスタンスと一致しないか、またはデバイステンプレートからどの変数が変更されたかをプレビューできます。 |
変数に対して一貫した命名方式を維持することで、デバイス固有の設定が簡素化されます。すべてのデバイスの値が1つのCSV形式の場合、カラムヘッダーの名前を変更する必要があるのは1回だけです。
注:列ヘッダーを統合してアルファベット順に並べ替えるために、デバイステンプレートまたは設定グループ用のCSVファイルで動作するPythonスクリプトが存在します。スクリプトは次の場所で入手できます。
設定グループを使用して設定されたデバイスは、一元化されたポリシーを使用するか、ポリシーグループに移行できますが、同じアプリケーションに対して同時に両方を同時に移行することはできません。基本的に、目標はエッジデバイスに対して同じ基本ポリシーを維持することです。ポリシーグループは、元のAARポリシーとデータポリシーを1つのアプリケーションプライオリティおよびSLA PGコンポーネントに結合します。基本的に、ポリシーの設定がどのように作成されるかだけが変更されます(ただし、SD-WAN Managerには送信されません)。
データポリシーまたはAARポリシーは、両方とも同じ設定を構成するため、アプリケーションプライオリティおよびSLAコンポーネントを持つサイトを含むサイトリストを参照できないことに注意してください。
制御ポリシーのみを持つ集中ポリシーに、アプリケーションの優先順位とSLAを持つポリシーグループを使用するサイトを参照させることができます。これは、集中ポリシーのさまざまなコンポーネントを設定するためです。
中央集中型ポリシーからポリシーグループにデバイスを移行するには、次の手順を実行します。
ステップ 1: |
必要なポリシーグループコンポーネント(アプリケーションプライオリティとSLA、組み込みセキュリティ、セキュアインターネットゲートウェイ/セキュアサービスエッジ、DNSセキュリティ)を作成します。 |
ステップ 2: |
ポリシーグループを作成し、必要なコンポーネントを関連付けます。 |
ステップ 3: |
AARまたはデータポリシーで参照されているSiteListからサイトIDの関連付けを解除します。 |
ステップ 4: |
デバイスをポリシーグループに関連付け、ポリシーグループを保存します。 |
ステップ 5: |
選択したデバイスにポリシーグループを展開します。この時点で、SD-WAN Managerは更新された設定をエッジデバイス(QoS/SIG用)とコントローラに送信します。これにより、コントローラは更新されたデータポリシーをエッジデバイスに送信できます。 |
注:ポリシーグループは集中型ポリシーと共存できますが、エッジデバイスを設定グループに変換する間、(AARおよびデータポリシーに関しては)集中型ポリシーのままにしておくことをお勧めします。その時点で、アプリケーションの優先度およびSLAコンポーネント内の機能について、一元化されたポリシーからポリシーグループへの移行を開始します。
これは、運用スタッフ間の混乱を減らし、シンプルにするために行われます。
注:ポリシーグループエンジンは異なる形式で情報を保存します。したがって、一元化されたポリシーで使用されるプレフィックスリストは、ポリシーグループ内で再作成する必要があります。これは、サイトリストなどの他の場合にも発生する可能性があります。
設定グループを使用して設定されたデバイスは、中央集中型ポリシーを使用するか、トポロジに移行できます。基本的に、目標はSD-WANコントローラに対して同じ基本制御ポリシーを維持することです。トポロジは、制御ポリシーの最新の反復です。
コントロールポリシーポリシーは、トポロジが関連付けられているサイトと共にサイトリストを参照することはできず、両方とも同じ設定を構成することに注意してください。
データポリシーとAARポリシーのいずれかまたは両方を含む一元化されたポリシーを設定し、それらが異なるコンポーネントを設定する際にトポロジポリシーを設定することができます。
一元化されたポリシーからポリシーグループにデバイスを移行する手順:
ステップ 1: |
必要なトポロジコンポーネントを作成します。 |
ステップ 2: |
中央集中型ポリシーの古いトポロジリストからサイドの関連付けを解除します。 |
ステップ 3: |
AARまたはデータポリシーで参照されているサイトリストからサイトIDの関連付けを解除します。 |
ステップ 4: |
トポロジをアクティブにします。この時点で、SD-WAN Managerは更新された設定をコントローラに送信し、エッジデバイスに送信されるすべてのルートを変更します。 |
注:トポロジは中央集中型ポリシーと共存できますが、エッジデバイスを設定グループに変換する間、(トポロジおよびルート操作のための)中央集中型ポリシーのままにしておくことをお勧めします。その時点で、トポロジの変更とルーティング操作を行う機能のために、一元化されたポリシーからトポロジへの移行を開始します。
これは、運用スタッフ間の混乱を減らすために、単純に行われます。
設定変換ツールは、テンプレートとポリシーを設定グループとポリシーグループに変換します。 ターゲットのSD-WAN Managerからテンプレートとポリシーの設定を収集し、同等の設定グループとポリシーグループに変換して、新しい設定をターゲットのSD-WAN Managerにアップロードします。このツールは現在、20.12および20.13のテンプレートとポリシーの変換をサポートしています。
構成変換ツール(CCC)は、SD-WAN Portal(旧称SSP)で入手できます。
ツールを使用する前に、SD-WAN Managerが20.12.xを実行していることを確認します。そうでない場合は、先に進む前に20.12にアップグレードします。
さらに、ターゲットのSD-WAN Managerがインターネット経由でアクセス可能であり、74.207.103.254からの着信トラフィックを受け入れる必要があります。
ステップ 1: |
CCOクレデンシャルを使用してSD-WANポータルにサインインします。 ・ スマートアカウント管理者は、通常どおりSD-WANポータルにログインします。左側のメニューからConfiguration Conversionを選択し、ワークフローに入ります。 ・ スマートアカウント管理者でない場合は、ツールへのリンクを含む403 Forbiddenページが表示されます。ワークフローを入力するには、リンクをクリックします。 |
ステップ 2: |
詳細: SD-WANマネージャのIPまたはURLをユーザクレデンシャルと一緒に入力します。 ・ ユーザーには読み取り/書き込みアクセス権が必要です。 ・ ポート(デフォルトは443)およびサブドメインフィールドはオプションです。 |
ステップ 3: |
インポート: 設定を取得するには、次の2つのオプションがあります(テンプレートとポリシー)。 1. Collectボタンをクリックして、SD-WAN Managerからすべての設定(デバイステンプレート、機能テンプレート、ポリシー、それらに関連付けられた構成)を取得します。 ・ 収集したら、すべての設定項目を含むJSONファイルをダウンロードできます。このファイルは、SD-WAN Managerから再度収集する代わりに、この手順で後で使用できます。 2. 以前にこのステップで作成したテンプレートとポリシーを含むJSONファイルをアップロードします。 |
ステップ 4: |
選択: 変換するテンプレートとポリシーを選択します。Convertをクリックして、選択した設定項目を変換します。 ・ 注:デバイステンプレートは個別に選択できますが、ポリシーは全部または全部ではありません(つまり、すべてのポリシーが変換されるか、ポリシーが変換されません)。 |
ステップ 5: |
変換: このページには、新しく変換されたすべての設定項目が表示されます。作成された品目とそのステータスを確認します。アイテムのステータスが部分的である場合は、情報アイコンを確認して理由を確認します。準備ができたら、Uploadをクリックして、SD-WAN Managerでこれらの新しい設定を作成します。 |
手順 6: |
要約: この手順では、新しい構成項目がSD-WAN Managerで作成されます。構成の作成中は、経過表示バーが表示されます。アップロードが完了すると、アップロードされた設定とそのステータスの概要が表示されます。 ・ エラーやミスが発生した場合は、アップロードのキャンセル(作成中)とロールバック(作成後)をこのステップで実行できます。アップロードのキャンセルまたはロールバックを実行すると、このワークフロー/セッション中にSD-WAN Managerで作成されたすべての構成項目が削除されます。このワークフローを終了すると、後でこれらの変更をロールバックできなくなります。不要な項目は手動で削除する必要があります。 |
これで、新しい設定を使用する準備が整いました。「既存の導入」セクションの手順を実行して、デバイスを、新しく変換された設定グループとポリシーグループに移行します。
設定変換ツールに関する問題については、sdwan-conversiontool-support@cisco.comに電子メールを送信してください。
No. |
項目の説明 |
1. |
17.12より前のバージョンを実行するエッジに設定グループを展開する場合、CLIアドオンプロファイルを使用してDNS設定をプッシュする必要があります。 |
2. |
トポロジを作成するには、NHMで定義されたエリアを選択するのではなく、サイトを選択する必要があります。 |
を選択します。 |
設定グループの作成のワークフローでは、VPN512およびこのVPNのインターフェイスはWANプロファイルに作成されません。これが必要な場合は、設定グループを編集して手動で作成できます。 |
4. |
機能プロファイルをコピー/複製する機能。ポリシーはサポートされていません。Pythonスクリプトのセットは、このタスクを実行できます。このスクリプトは次の場所にあります。 |
5. |
ポリシー設定(ローカライズされたポリシー)に関連する機能パーセルを作成する前に、ポリシーオブジェクトプロファイルを設定グループに関連付ける必要があります。 例:ACL。 |
6. |
インターフェイス変数のCSVをインポートすると、文字列にセミコロンが挿入されて失敗します。 |
7. |
AppQoE最適化(TCP OptおよびDRE)と損失修正(FECおよびPkt Dup)の設定では、引き続き従来のテンプレート/ポリシーを使用します。Configuration/Policy GroupsのCLI Profileでも設定可能(UI Parcelでは20.14)。 |
8. |
SaaS向けクラウドオンランプでは、従来のテンプレート/ポリシーが引き続き使用されます。 |
9. |
TrustSec/SGTはCLIプロファイルでのみサポートされます。 |
10. |
UC音声/DSPファーム/SRSTはCLIプロファイルのみでサポート(UI Parcelでは20.13以降) |
改定 | 発行日 | コメント |
---|---|---|
2.0 |
13-Mar-2025
|
ツールのアクセスと配置に対する最近の変更を反映するために、変換ツールセクションを更新します。 |
1.0 |
16-Aug-2024
|
初版 |