システム設定の構成

システム設定について

Catalyst Center の使用を開始するには、まずシステム設定を構成する必要があります。これにより、サーバーがネットワーク外で通信できるようになり、セキュア通信が確保され、ユーザーが認証され、その他の重要なタスクがサポートされます。システム設定を構成するには、この章の手順を使用します。


(注)  

  • プロキシサーバー設定の変更など、Catalyst Center の構成を変更する場合、すべて Catalyst Center GUI で実行する必要があります。

  • Catalyst Center アプライアンスの構成設定への変更は sudo maglev-config update コマンドを使用して行う必要があります。Cisco IMC から開いた KVM コンソールで、このコマンドを実行します。

    Catalyst Center 2.3.7.7 以降:

    • [maglev] のユーザーパスワードを変更するには、[Linux Password] および [Re-enter Linux Password] フィールドに新しいパスワードを指定します。これらのフィールドを空白のままにすると、現在のパスワードが引き続き使用されます。

    • その他の設定は、[maglev] のユーザーパスワードを入力せずに変更できます。

  • デフォルトでは、Catalyst Center システムのタイムゾーンは UTC に設定されています。Catalyst Center の GUI はブラウザのタイムゾーンで動作するため、このタイムゾーンを変更しないでください。

ユーザープロファイルのロールおよび権限

Catalyst Center は、ロールベース アクセス コントロール(RBAC)をサポートします。権限は、ユーザーロールによって定義されます。Catalyst Center には次の 3 つの主要なデフォルトユーザーロールがあります。

  • SUPER-ADMIN-ROLE

  • NETWORK-ADMIN-ROLE

  • OBSERVER-ROLE

SUPER-ADMIN-ROLE は、包括的なアクセスを許可し、Catalyst Center GUI でのカスタムロールの作成と割り当てをサポートします。NETWORK-ADMIN-ROLE と OBSERVER-ROLE のユーザーロールは、アクセスが制限されます。

ユーザープロファイルに制限付きのロールが割り当てられている場合は、Catalyst Center で特定のアクションが制限されます。詳細については、システム管理者にお問い合わせいただくか、『Cisco Catalyst Center Administrator Guide』を参照してください。

システム 360 の使用

[System 360] タブには、Catalyst Center に関する一目でわかる情報が表示されます。

手順

ステップ 1

メインメニューから次を選択します。[System] > [System 360] の順に選択します。

ステップ 2

[System 360] ダッシュボードで、表示される次のデータメトリックを確認します。

[Cluster]

  • [Hosts]:Catalyst Center ホストに関する情報を表示します。表示される情報には、ホストの IP アドレスと、ホストで実行されているサービスに関する詳細なデータが含まれます。ホストで実行されているサービスに関する詳細なデータを表示するには、[View Services] リンクをクリックします。

    (注)  

     

    ホスト IP アドレスの横には、カラーバッジが付きます。緑色のバッジは、ホストが正常であることを示します。赤色のバッジは、ホストが正常でないことを示します。

    側面パネルには、次の情報が表示されます。

    • [Node Status]:ノードのヘルスステータスが表示されます。

      ノードヘルスが正常でない場合は、ステータスにカーソルを合わせると、トラブルシューティングのための追加情報が表示されます。

    • [Services Status]:サービスのヘルスステータスが表示されます。1 つでもサービスがダウンしていると、ステータスは [Unhealthy] になります。

    • [Name]:サービス名。

    • [Appstack]:アプリケーションスタック名。

      アプリケーションスタックは、疎結合されたサービスの集合です。この環境でのサービスは、要求が増えるとインスタンスを追加し、要求が減るとインスタンスを削除する、水平方向にスケーラブルなアプリケーションです。

    • [Health]:サービスのステータス。

    • [Version]:サービスのバージョン。

    • [Tools]:サービスのメトリックとログを表示します。Grafana でサービスモニタリングデータを表示するには、[Metrics] リンクをクリックします。Grafana は、オープンソースのメトリック分析および可視化スイートです。サービスモニタリングデータを調べることで、問題をトラブルシューティングすることができます。Grafana の詳細については、https://grafana.com/ を参照してください。[Logs] リンクをクリックすると、Kibana でサービスログが表示されます。Kibana は、オープンソースの分析および可視化プラットフォームです。サービスログを調べることで、問題をトラブルシューティングすることができます。Kibana の詳細については、https://www.elastic.co/products/kibana を参照してください。

  • [High Availability]:HA が有効でアクティブであるかどうかが表示されます。

    クラスターで HA をアクティブ化する方法については、「高可用性のアクティブ化」を参照してください。

    重要

     

    HA では、Catalyst Center で動作する 3 つ以上のホストが必要です。

  • [Cluster Tools]:次のツールにアクセスできます。

    • [Service Explorer]:アプリケーションスタックおよび関連付けられたサービスにアクセスします。

    • [Monitoring]:オープンソースメトリック分析および可視化スイートである Grafana を使用して、Catalyst Center コンポーネントの複数のダッシュボードにアクセスします。[Monitoring] ツールを使用して、メモリおよび CPU 使用率などの主要な Catalyst Center メトリックを確認および分析します。Grafana の詳細については、https://grafana.com/ を参照してください。

      (注)  

       

      マルチホスト Catalyst Center 環境では、複数のホストによる Grafana データの重複が予想されます。

    • [Log Explorer]:Kibana を使用して Catalyst Center のアクティビティログとシステムログにアクセスします。Kibana は Elasticsearch と連動するように設計されたオープンソースの分析および可視化を実行するプラットフォームです。[Log Explorer] ツールを使用して、詳細なアクティビティログおよびシステムログを確認します。Kibana の左側にあるナビゲーションウィンドウで、[Dashboard] をクリックします。次に、[System Overview] をクリックしてすべてのシステムログを表示します。Kibana の詳細については、https://www.elastic.co/products/kibana を参照してください。

      (注)  

       

      デフォルトでは、Catalyst Center のすべてのロギングが有効になっています。

システム管理

  • [Software Updates]:アプリケーションまたはシステムの更新のステータスが表示されます。[View] リンクをクリックすると、更新の詳細が表示されます。

    (注)  

     

    更新には、その横にカラーバッジが付きます。緑色のバッジは、更新または更新に関連するアクションが正常に完了したことを示します。黄色のバッジは、使用可能な更新があることを示します。

  • [Backups]:最新のバックアップのステータスが表示されます。[View] リンクをクリックすると、すべてのバックアップの詳細が表示されます。

    さらに、次のスケジュールバックアップのステータスも表示されます(またはスケジュールされているバックアップがないことを示します)。

    (注)  

     

    バックアップには、その横にカラーバッジが付きます。緑色のバッジは、バックアップが正常に完了したことをタイムスタンプとともに示します。黄色のバッジは、次のバックアップがまだスケジュールされていないことを示します。

  • [Application Health]:自動化および Assurance の健全性が表示されます。

    (注)  

     

    アプリケーションの健全性には、その横にカラーバッジが付きます。緑色のバッジは、正常なアプリケーションであることを示します。赤色のバッジは、アプリケーションが正常でないことを示します。トラブルシューティングするには、[View] リンクをクリックします。

外部接続されたシステム

Catalyst Center によって使用されている外部ネットワークサービスに関する情報が表示されます。

  • [Identity Services Engine (ISE)]:プライマリおよびセカンダリ Cisco ISE サーバーの IP アドレスとステータスを含む Cisco ISE 設定データを表示します。Cisco ISE と統合するように Catalyst Center を設定するには、[Configure] リンクをクリックします。

  • [IP Address Manager (IPAM)]:IP アドレスマネージャの設定データと統合ステータスを表示します。IP アドレスマネージャを設定するには、[Configure] リンクをクリックします。

ステップ 3

[System Health] をクリックし、ネットワークに接続されている Catalyst Center アプライアンスと外部システムのトポロジを確認します。

[System Health] ウィンドウの詳細については、「システムトポロジの表示」を参照してください。

システム 360 でのサービスの表示

[System 360] タブは、Catalyst Center で実行されているアプリケーションスタックとサービスに関する詳細情報を提供します。この情報を使用して、特定のアプリケーションやサービスに関する問題のトラブルシューティングに役立てることができます。たとえば、Assurance に問題がある場合は、NDP アプリケーションスタックとそのコンポーネントサービスのモニタリングデータとログを表示できます。

手順

ステップ 1

メインメニューから次を選択します。[System] > [System 360] の順に選択します。

ステップ 2

[System 360] ウィンドウで、[Service Explorer] タブをクリックします。

ノードクラスタと関連サービスが新しいブラウザウィンドウにツリー型の構造で表示されます。

  • ノードにカーソルを合わせると、シリアル番号、製品 ID、インターフェイスなどの詳細が表示されます。

  • サービステーブルには、ノードに関連付けられているすべてのサービスが表示されます。マネージドサービスは「(M)」というマークで示されます。

  • グローバルフィルタアイコンをクリックすると、サービステーブルのサービスをアプリケーションスタック名、サービス正常性ステータス([Up]、[Down]、または [In Progress])、またはマネージドサービスかどうかに基づいてフィルタ処理できます。

  • [Global Search] フィールドにサービス名を入力してサービスを検索できます。サービス名をクリックすると、関連付けられているノードでサービスが表示されます。

ステップ 3

サービスをクリックすると、[サービス360] ビューが起動します。詳細には次の情報が含まれます。

  • [Metrics]:リンクをクリックすると Grafana のサービスモニタリングデータが表示されます。

  • [Logs]:リンクをクリックすると Kibana のサービスログが表示されます。

  • [Name]:サービス名。

  • [Appstack]:アプリケーションスタック名。

  • [Version]:サービスのバージョン。

  • [Health]:サービスのステータス。

  • [Required Healthy Instances]:正常なインスタンスの数が表示され、マネージドサービスであるかどうかが示されます。

  • [Instances]:インスタンスをクリックすると詳細が表示されます。

ステップ 4

テーブルにリストされているサービスを検索するには、[Search] フィールドにサービス名を入力します。

ステップ 5

サービステーブルのサービスをアプリケーションスタック名、サービス正常性ステータス([Up]、[Down]、または [In Progress])、またはマネージドサービスかどうかに基づいてフィルタ処理するには、フィルタアイコンをクリックします。

ファイルシステムの正常性のモニタリング

[System Health] ページでは、Catalyst Center アプライアンスの物理コンポーネントの正常性をモニターし、発生する可能性がある問題を監視できます。この機能を有効にして実稼働環境で使用する方法については、以降のトピックを参照してください。

Cisco IMC 接続の確立

[System Health] ページを有効にするには、Cisco Integrated Management Controller(Cisco IMC)との接続を確立する必要があります。この接続により、アプライアンスのハードウェアの正常性情報が収集されます。この手順を完了してください。

始める前に

Super-ADMIN-ROLE 権限を持つユーザーまたは [システム設定] への「書き込み」権限を持つ CUSTOM-ROLE を持つユーザーは、アプライアンスの Cisco IMC 接続設定を設定できます。

手順

ステップ 1

メインメニューから次を選択します。[System] > [Settings] > [System Configuration] > [System Health] の順に選択します。

クラスタの各アプライアンスの IP アドレスが [Catalyst Center Address] 列に表示されます。

ステップ 2

Cisco IMC へのログインに必要な情報を入力してください。

  1. アプライアンスの IP アドレスをクリックします。

    [Edit Catalyst Center Server Configuration] スライドインペイン が表示されます。

  2. アプライアンスの Cisco IMC ポートに対して設定された IP アドレスを入力します。

  3. Cisco IMC ユーザー名とパスワードを入力し、[Save] をクリックします。

  4. 必要に応じて、クラスターの他のアプライアンスについてこの手順を繰り返します。

Cisco IMC 設定の削除

特定のアプライアンスに対して以前に設定された Cisco IMC 接続設定を削除するには、次の手順を実行します。

始める前に

Super-ADMIN-ROLE 権限を持つユーザーまたはシステム設定への「書き込み」権限を持つ CUSTOM-ROLE を持つユーザーは、これらの設定を削除できます。

手順

ステップ 1

メインメニューから次を選択します。[System] > [Settings] > [System Configuration] > [System Health] の順に選択します。

ステップ 2

設定を削除するアプライアンスについて、[Actions] 列で対応する削除アイコン()をクリックします。

ステップ 3

確認ウィンドウで、[OK] をクリックします。

システムイベント通知の登録

Cisco IMC との接続が確立されると、Catalyst Center は Cisco IMC からイベント情報を収集し、その情報を未処理のシステムイベントとして保存します。ルールエンジンによって、これらの未処理イベントは処理され、システムヘルストポロジに表示されるシステムイベント通知に変換されます。使用可能な形式のいずれかでこれらの通知を受信するには、Cisco Catalyst Center Platform User Guide の「イベント通知の操作」トピックで説明されている手順を実行します。この手順を完了するときは、次のイベントを選択してサブスクライブしてください。

表 1. Catalyst Center でのシステム通知イベント

イベント名

イベント ID

ドメイン

サブドメイン

説明

システムバックアップ v2

SYSTEM-BACKUP-v2

システム

システムバックアップ

バックアップ操作が失敗すると通知が送信されます。

システムの復元 v2

SYSTEM-RESTORE-v2

システム

システムの復元

このイベントは、復元操作中に障害が発生すると生成されます。

システムソフトウェアアップグレード v2

SYSTEM-SOFTWARE-UPGRADE-v2

システム

システム ソフトウェア アップグレード

ソフトウェアアップグレード操作が失敗すると通知が送信されます。

ディザスタリカバリの正常性ステータス v2

SYSTEM-DISASTER-RECOVERY-v2

システム

ディザスタリカバリ

ディザスタリカバリシステムの状態が変わると通知が送信されます。

CMX 接続障害 v2

SYSTEM-EXTERNAL-CMX-v2

外部との統合

CMX 接続

CMX との接続がない場合に通知が送信されます。

外部 IPAM プロバイダー接続障害 v2

SYSTEM-EXTERNAL-IPAM-v2

外部との統合

IPAM の統合

外部 IPAM プロバイダーとの接続がない場合に通知が送信されます。

ISE AAA 信頼確立の失敗 v2

SYSTEM-EXTERNAL-ISE-AAA-TROST-v2

外部との統合

Cisco ISE AAA 信頼確立

ISE AAA 信頼関係の確立が失敗すると、通知が送信されます。

ISE PAN ERS 接続障害 v2

SYSTEM-EXTERNAL-ISE-PAN-ERS-v2

外部との統合

Cisco ISE PAN ERS 接続

Cisco ISE プライマリおよびセカンダリ PAN ERS との接続がない場合に、通知が送信されます。

ISE PxGrid 正常性状態変更通知 v2

SYSTEM-EXTERNAL-ISE-PXGRID-v2

外部との統合

Cisco pxGrid

Cisco ISE PxGrid 接続の正常性状態が変わると、通知が送信されます。

外部 ITSM プロバイダー接続障害 v2

SYSTEM-EXTERNAL-ITSM-v2

外部との統合

ITSM の統合

外部 ITSM プロバイダーとの接続がない場合に通知が送信されます。

証明書ステータス通知 v2

SYSTEM-CERTIFICATE-v2

システム

システム証明書

システム証明書、組み込み証明書、プロキシ証明書、ディザスタリカバリ証明書、またはサードパーティの信頼できる証明書が期限切れになった場合、失効した場合、または 90 日以内に期限切れになる場合に通知が送信されます。

Cisco IMC 証明書ステータス通知 v2

CISCO-IMC-CERTIFICATE-v2

アプライアンス

Cisco IMC 証明書

Cisco IMC 証明書の有効期限が切れた、失効した、または 90 日以内に期限切れになる場合に通知が送信されます。

Cisco IMC 接続ステータス v2

CISCO-IMCv2

アプライアンス

Cisco IMC

Cisco IMC の接続ステータスが変更されるたびに通知が送信されます。

システムアプライアンス設定ステータス通知 v2

CISCO-IMC-CONFIGURATION-v2

アプライアンス

Cisco IMC 設定

Cisco IMC ハードウェア設定がシスコの標準に準拠していない場合に通知が送信されます。

システムハードウェアの正常性ステータス v2

CISCO-IMC-HARDWARE-v2

アプライアンス

Cisco IMC ハードウェアの正常性ステータス

いずれかのハードウェア コンポーネントの正常性ステータスが変わると、通知が送信されます。サポートされているハードウェア コンポーネントは次のとおりです。

  • CPU

  • メモリ

  • ディスク

  • NIC

  • ファン

  • 電源モジュール

  • RAID コントローラ

システム マネージド サービス v2

SYSTEM-MANAGED-SERVICES-v2

システム

システム マネージド サービス

プラットフォーム提供マネージドサービスのステータスが変更されると、通知が送信されます。

(注)  

 

マネージドサービスの場合、プローブ間隔(Catalyst Center が古いイベントをデータベースから削除するのにかかる時間)は 60 分です。マネージドサービスがダウンして再びアクティブになった場合、サービスが復元されたことをシステムの正常性 GUI に反映するには、この時間がかかります。

システムパフォーマンス:ファイルシステム使用率 v2

SYSTEM-PERFORMANCE-v2:

システム

システムパフォーマンス:ファイルシステム使用率

ファイルシステム(パーティション)の使用率がキャパシティに達すると通知が送信されます。

システムスケール制限 v2

SYSTEM-SCALE-LIMITS-v2:

システム

システムスケール制限

拡張機能の制限を超過すると、通知が送信されます。

アプリケーション健全性 v2

SYSTEM-APPLICATION-HEALTH-v2

システム

アプリケーション健全性

モニタリング用に登録されたアプリケーションの正常性状態が変化したときに、通知が送信されます。

シスコの信頼できる証明書の更新通知 v2

CISCO-TRUSTED-CERTIFICATE-BUNDLE-v2

システム

シスコの信頼できる証明書

新しいシスコの信頼できる証明書バンドルが利用可能になると、通知が送信されます。

インターネット URL アクセス可能通知 v2

INTERNET-URL-ACCESS-v2

システム

 Internet Access

Catalyst Center必要な URL アクセスにリストされている URL のいずれかに到達できない場合に通知が送信されます。

イベント通知情報

次の表に、Catalyst Center がシステム正常性通知メッセージを生成するときに提供される主要な情報を示します。

サブドメイン タグ インスタンス 状態 メッセージ

ドメイン:システム
CPU CPU <node-hostname>:CPU-1 OK

Catalyst Center CPU-1 is working as expected on <node-hostname>
NotOk Catalyst Center CPU-1 has failed on <node-hostname>
Disabled Catalyst Center CPU-1 is disabled on <node-hostname>
メモリ Memory <node-hostname>:DIMM_A1 OK Catalyst Center RAM DIMM_A1 is working as expected on <node-hostname>
NotOk Catalyst Center RAM DIMM_A1 has failed on <node-hostname>
ディスク Disk <node-hostname>:Disk1 OK Catalyst Center Disk 2 is working as expected on <node-hostname>
NotOk Catalyst Center Disk 2 has failed on <node-hostname>
RAID コントローラ RAIDController <node-hostname>:Controller-1 OK Catalyst Center RAID VD-2 is working as expected on <node-hostname>
NotOk Catalyst Center RAID VD-2 has degraded on <node-hostname>
Disabled Catalyst Center RAID VD-2 is offline on <node-hostname>
ネットワーク インターフェイス NIC <node-hostname>:nic-1 OK Catalyst Center network interfaces are working as expected
NotOk Catalyst Center: <x> network interfaces are missing for <node-hostname>: nic-1
PSU_FAN PSU <node-hostname>:psu-1 OK Catalyst Center power supply (PSU-1) is powered on and thermal condition is normal for <node-hostname>
NotOk Catalyst Center power supply (PSU-2) is powered off and thermal condition is critical for <node-hostname>
ディザスタ リカバリ DisasterRecovery <disaster-recovery-hostname> OK

  • Disaster recovery cluster is up

  • Disaster recovery failover succeeded to <site-name>
Degraded

  • Disaster recovery failover triggered from <site-name> to site-name

  • Disaster recovery failed while failing over to <site-name>

  • Disaster recovery standby cluster on <site-name> is down; cannot failover

  • Disaster recovery witness is down; cannot failover

  • Disaster recovery replication halted; recovery point objective will be impacted

  • Disaster recovery pause failed

  • Disaster recovery route advertisement failed

  • Disaster recovery IPSec communication failed
NotOk

  • Disaster recovery configuration failed

  • Disaster recovery failed to rejoin the standby system
プラットフォーム サービス ManagedServices <hostname>:<name> OK

Managed Service <service-name> is Running

NOTOK

Managed Service <service-name> is Interrupted

スケール制限 wired_concurrent_clients <hostname>:<name> OK OK
NOTOK The number of concurrent wired clients exceeded 26250 (105% of limit)
DEGRADED The number of concurrent wired clients exceeded 21250 (85% of limit)
CAUTION The number of concurrent wired clients exceeded 18750 (75% of limit)
wireless_concurrent_clients <hostname>:<name> OK OK
NOTOK The number of concurrent wireless clients exceeded 18750 (75% of limit)
DEGRADED The number of concurrent wireless clients exceeded 21250 (85% of limit)
CAUTION The number of concurrent wireless clients exceeded 18750 (75% of limit)
wired_devices <hostname>:<name> OK OK
NOTOK The number of wired devices exceeded 1050 (105% of limit)
DEGRADED The number of wired devices exceeded 850 (85% of limit)
CAUTION The number of wired Devices exceeded 750 (75% of limit)
wireless_devices <hostname>:<name> OK OK
NOTOK The number of wireless devices exceeded 3800 (105% of limit)
DEGRADED The number of wireless devices exceeded 3400 (85% of limit)
CAUTION The number of wireless devices exceeded 3000 (75% of limit)
interfaces <hostname>:<name> OK OK
NOTOK The number of interfaces exceeded 1140000000 (95% of limit)
DEGRADED The number of interfaces exceeded 1020000000 (85% of limit)
CAUTION The number of interfaces exceeded 900000000 (75% of limit)
ippools <hostname>:<name> OK OK
NOTOK The number of IP pools exceeded 47500 (95% of limit)
DEGRADED The number of IP pools exceeded 42500 (85% of limit)
CAUTION The number of IP pools exceeded 37500 (75% of limit)
netflows <hostname>:<name> OK OK
NOTOK The number of Netflows exceeded 37500 (75% of limit)
DEGRADED The number of Netflows exceeded xxx (x% of limit)
CAUTION The number of Netflows exceeded yyy (y% of limit)

physical_ports

 <hostname>:<name> OK OK
NOTOK The number of physical ports exceeded 50400 (95% of limit)
DEGRADED The number of physical ports exceeded 40800 (85% of limit)
CAUTION The number of physical ports exceeded 36000 (75% of limit)
policy <hostname>:<name> OK OK
NOTOK The number of policies exceeded 23750 (95% of limit)
DEGRADED The number of policies exceeded 21250 (85% of limit)
CAUTION The number of policies exceeded 18750 (75% of limit)
security_group <hostname>:<name> OK OK
NOTOK The number of security groups exceeded 3800 (95% of limit)
DEGRADED The number of security groups exceeded 3400 (85% of limit)
CAUTION The number of security groups exceeded 3000 (75% of limit)
sites <hostname>:<name> OK OK
NOTOK The number of sites exceeded 475 (95% of limit)
DEGRADED The number of sites exceeded 425 (85% of limit)
CAUTION The number of sites exceeded 375 (75% of limit)
transient_clients <hostname>:<name> OK OK
NOTOK The number of transient clients exceeded 71250 (95% of limit)
DEGRADED The number of transient clients exceeded 63750 (85% of limit)
CAUTION The number of transient clients exceeded 56250 (75% of limit)
MongoDB <hostname>:<name> CRITICAL ディスク使用率が 16.58 GB(制限の 80%)を超えました
postgres <hostname>:<name> CRITICAL ディスク使用率が 65.53 GB(制限の80%)を超えました
ソフトウェア アップグレード Upgrade <hostname>:<name> OK Successfully finished downloading package <package-name> with version <package-version>
NOTOK Catalog package download failed for <package-name>
バックアップ Backup <hostname>:<name> OK バックアップが正常に完了しました。

NOTOK

 Failed to backup
復元 Restore <hostname>:<name> OK 復元操作が正常に完了しました。
NOTOK 設定の復元操作が失敗しました。

ドメイン:接続性
ISE ISE_ERS <Cisco-ISE-hostname> Success ISE AAA trust establishment succeeded for ISE server <ISE-server-details>
Failed ISE AAA trust establishment failed for ISE server <ISE-server-details>

ドメイン:統合
IPAM IPAM <IPAM-hostname> OK IPAM connection to Catalyst Center established. IPAM <IPAM-IP-address>.
Critical IPAM connection to Catalyst Center offline. IPAM <IPAM-IP-address>.
ISE ISE_AAA <Cisco-ISE-hostname> Up ISE AAA trust establishment succeeded for ISE server. ISE <ISE-IP-address>
Down ISE AAA trust establishment failed for ISE server. ISE <ISE-IP-address>
CMX CMX <CMX-hostname> serviceAvailable CMX connection to Catalyst Center offline. CMX <CMX-IP-address>.
serviceNotAvailable CMX connection to Catalyst Center offline. CMX <CMX-IP-address>.
ITSM ITSM <ITSM-hostname> Up ITSM connection to Catalyst Center offline. ITSM <ITSM-IP-address>.
Down ITSM connection to Catalyst Center offline. ITSM <ITSM-IP-address>.

システム正常性スケール番号

システム正常性は Catalyst Center アプライアンスをモニターします。ネットワークコンポーネントが特定のしきい値を超えるたびに通知を生成します。通知の優先順位は、しきい値の測定パーセンテージによって異なります。

システムの正常性は、次のしきい値で通知を生成します。

  • しきい値の 75 % を超えると、情報(P3)通知が生成されます。

  • しきい値の 85% を超えると、警告(P2)通知が生成されます。

  • しきい値の 95% を超えると、クリティカル(P1)通知が生成されます。


(注)  

  • 使用可能な Catalyst Center アプライアンスのリストについては、「Release Notes for Cisco Catalyst Center」のトピックを参照してください。

  • すべてのアプライアンス(タイプに関係なく)について 1,000,000 件の通知が監査ログに保持され、1 年間保存されます。

  • 現在のアプライアンスの規模の数を確認するには、Cisco Catalyst Center のデータシートを参照してください。

  • システム正常性は、3 つの 44 コア アプライアンスで構成される Catalyst Center クラスタではサポートされていません。

システムトポロジの表示

[System Health] ウィンドウのトポロジには、ネットワークに接続された Catalyst Center アプライアンスと外部システム(Cisco Connected Mobile Experiences(Cisco CMX)や Cisco Identity Services Engine など)をグラフィック形式で表示できます(Cisco ISE)。このページから、ネットワーク上の問題があるコンポーネントや注意が必要なコンポーネントをすばやく特定できます。

このページでアプライアンスおよび外部システムのデータを表示するには、次のトピックで説明されているタスクを完了します。

このページを表示するには、メニューアイコンをクリックして次を選択します。 [System > System 360] の順に選択し、[System Health] タブをクリックします。トポロジのデータは 30 秒間隔でポーリングされます。新しいデータを受信すると、そのデータがトポロジに自動的に反映されます。


(注)  

  • Catalyst Center は IPv6 をサポートしています。IPv6 が有効になっているクラスタを表示すると、トポロジには、そのクラスタのエンタープライズ仮想 IP アドレスに関する次の情報も表示されます。

    • [Pre] フィールド:16 ビットのプレフィックス

    • [GID] フィールド:32 ビットのグローバル ID

    • [Subnet] フィールド:16 ビットのサブネット値

    クラスタのエンタープライズ仮想 IP アドレスの残りは、クラスタのトポロジアイコンのラベル付けに使用されます。

  • IPv6 対応のクラスタは、やはり IPv6 対応の外部システムにのみ、接続してデータを取得することができます。

  • 接続されているアプライアンスまたは外部システムに、有効期限が設定されている証明書がインストールされている場合は常に、トポロジで次のことが実行されます。

    • 証明書が 90 日以内に期限切れになるように設定されている場合、トポロジに警告が表示されます。

    • 証明書が 30 日以内に期限切れになるように設定されている場合は、トポロジにエラーが表示されて問題への注意が喚起されます。

  • システムヘルスはハードウェア コンプライアンス チェックを定期的に実行し、接続されているアプライアンスまたは外部システムが最小構成要件を満たしていない場合は常に、そのことを示します。たとえば、接続されている仮想ドライブに関してライトスルーキャッシュ書き込みポリシーが設定されていない場合、システムヘルスはトポロジを更新して、そのことを示します。

  • 実稼働環境でディザスタリカバリが正常に機能している場合、システムヘルスは、メインサイトとリカバリサイトの両方のアプライアンスに関するハードウェア情報を提供します。以前は、メインサイトのアプライアンスに関してのみ、ハードウェア情報が提供されていました。

アプライアンスと外部システムの問題のトラブルシューティング

システム正常性のトポロジの画面では、注意が必要なネットワークコンポーネントがある場合、軽微な問題については アイコン、重大な問題については アイコンで示されます。コンポーネントで発生した問題をトラブルシュートするには、そのトポロジアイコンの上にカーソルを合わせます。ポップアップウィンドウに次の情報が表示されます。

  • 問題が検出された日時を示すタイムスタンプ。

  • Catalyst Center アプライアンスにインストールされている Cisco IMC ファームウェアのバージョン(アプライアンスのポップアップウィンドウの場合)。

  • 問題の簡単な概要。

  • 問題の現在の状態またはシビラティ(重大度)。

  • 問題に関連するドメイン、サブドメイン、および IP アドレスまたはロケーション。

接続された外部システムに問題がある関連サーバーが 3 つ以上ある場合や Catalyst Center アプライアンスに問題があるハードウェアコンポーネントが 3 つ以上ある場合、それらの外部システムまたはアプライアンスのポップアップウィンドウを開くと、[More Details] リンクが表示されます。リンクをクリックするとスライドインペインが開き、該当するサーバーまたはコンポーネントのリストが表示されます。それらの各項目の [>] をクリックしてエントリを展開することで、特定の項目の情報を確認できます。


(注)  

サポートバンドル機能を使用して、詳細な根本原因分析(RCA)データにアクセスできます。この機能の詳細については、『Cisco Catalyst Center User Guide』の「Generate the Root Cause Analysis File from Catalyst Center」の章を参照してください。

外部システムの接続に関する問題のトラブルシューティング

Catalyst Center が現在外部システムと通信できない場合は、次の手順を実行してそのシステムに ping し、接続の問題をトラブルシューティングします。

始める前に

この手順を完了する前に、次の操作を実行します。

  • 機械推論パッケージをインストールします。

  • 機会推論機能への書き込み権限を持つロールを作成します。この手順を完了するユーザーにそのロールを割り当てます。[Create a User Role] ウィザードでこのパラメータにアクセスするには、[Define the Access] ページの [System] 行を展開します。

手順

ステップ 1

[System Health] ウィンドウの右上部分から、[Tools] > [Network Ping] を選択して [Ping Device] ウィンドウを開きます。

ウィンドウには、Catalyst Center が現在管理しているすべてのデバイスが一覧表示されます。

ステップ 2

到達可能性ステータスが [Reachable] であるデバイスのオプションボタンをクリックし、[Troubleshoot] リンクをクリックします。

[Reasoner Inputs] ウィンドウが開きます。

ステップ 3

[Target IP Address] フィールドに、到達できない外部システムの IP アドレスを入力します。

ステップ 4

[Run Machine Reasoning] をクリックします。

Catalyst Center で外部システムを ping すると、ダイアログボックスが表示されます。

ステップ 5

[View Details] をクリックして、ping が成功したかどうかを確認します。

ステップ 6

ping が失敗した場合は、[View Relevant Activities] リンクをクリックして [Activity Details] スライドインペイン を開き、[View Details] アイコンをクリックします。

[Device Command Output] ウィンドウが開き、外部システムに到達できない原因として考えられる内容が一覧表示されます。

検証ツールの使用

検証ツールは、Catalyst Center アプライアンスハードウェアおよび接続された外部システムの両方をテストします。検証ツールは、ネットワークに重大な影響を与える前に対処する必要がある問題を特定します。検証プロセスでは、次のような多数のチェックが行われます。

  • ciscoconnectdna.com への接続機能(システムおよびパッケージの更新をダウンロードするため)。

  • 期限切れの証明書の有無。

  • アプライアンスハードウェアとバックエンドサービスの現在の状態。

  • スケール番号のしきい値を超えたネットワークコンポーネント。

ツールへアクセスするには、次の手順を実行します。

  1. メインメニューから次を選択します。 [System > System 360] を選択してから、[System Health] タブをクリックします。

  2. [Tools] ドロップダウンメニューから、[Validation Tool] を選択します。

[Validation Tool] ウィンドウの移動

[Validation Tool] ウィンドウの内容は、Catalyst Center以前に完了した検証処理に関する情報があるかどうかによって異なります。情報がない場合、ウィンドウは次のようになります。

以前に完了した検証処理がない場合の [Validation Tool] ページのコンテンツ

Catalyst Center に検証処理に関する情報がある場合、ウィンドウは次のようになります。

検証処理情報が利用可能な場合の [Validation Tool] ページのコンテンツ

次の表に、[Validation Tool] ページを構成するコンポーネントと、検証処理に関する情報が利用可能な場合の機能を示します。

引き出し線 説明

1

[Search Table] フィールド:このページにリストされている検証処理をフィルタリングするための検索文字列を入力します。

2

[Add] ボタン:クリックして [New Validation Run] スライドインペインを開き、新しい処理のために必要な設定を入力します。詳細については、検証処理の開始を参照してください。

3

[Validation Runs] テーブル:以前に完了した検証処理がリストされます。このテーブルには、処理ごとの名前、適用可能な検証セット、完了ステータスなどの情報が表示されます。

(注)  

 

  • デフォルトでは、処理は開始時刻順に並べられ、最新の処理が最初にリストされます。

  • 現在進行中のすべての処理に対しては、期間はゼロと表示されます。

4

[Delete] ボタン:検証処理のチェックボックスをオンにした状態でこのボタンをクリックすると、処理が削除されます。次に [Warning] ダイアログボックスで [OK] をクリックして、削除を確定します。

(注)  

 

進行中の処理は削除できません。

5

[View Status] リンク:特定の処理の詳細を表示します。詳細については、検証処理の詳細の表示を参照してください。

6

[Refresh] ボタン:クリックすると、このページに表示されている情報が更新されます。

検証処理の開始

検証処理を開始するには、以下の手順を実行します。


(注)  

一度に実行できる検証は 1 つだけです。検証実行がすでに進行中の場合は、完了してから別の処理を開始します。
手順

ステップ 1

[Validation Runs] テーブルが表示されるかどうかに応じて、[Validation Tool] ウィンドウで次のいずれかを実行します。

  • テーブルが表示されない場合は、以前の検証処理が削除されているか、検証処理がまだ完了していないことを意味します。[New Validation Run] をクリックします。

  • [Validation Runs] テーブルが表示されたら、[Add] をクリックします。

[New Validation Run] スライドインペインが開きます。

ステップ 2

[Name] フィールドに、検証処理の名前を入力します。

英数字のみを含む一意の名前を入力します。特殊文字は使用しないでください。

ステップ 3

(任意) [Description] フィールドに、これから開始する検証処理に関する簡単な説明を入力します。

説明は最大 250 文字まで入力できます。

ステップ 4

[Validation Set(s) Selection] エリアで、実行する検証セットのチェックボックスをオンにします。

検証セットを最大化して、実行するチェックを表示できます。

ステップ 5

[Run] をクリックします。

検証処理の詳細の表示

[Validation Run Details] スライドインペイン から、選択した処理中に行われたチェック、完了ステータス、期間、およびその他の関連情報を表示できます。

[Validation Run Details] スライドインペイン

ここから、次のタスクを実行することもできます。

  • 表示する情報をフィルタリングするには、[Search Table] フィールドに検索文字列を入力します。

  • このペインの内容を JSON ファイルとしてダウンロードするには、[Export] をクリックします。

  • このペインの内容をコピーするには、[Copy] をクリックします。

検証セットの更新

検証セットは、Catalyst Center をアップグレードするたびに更新する必要があります。検証セットを手動で更新する必要がある場合は、次の手順を実行します。

手順

ステップ 1

メインメニューから次を選択します。[System] > [Settings] > [System Configuration] > [System Health] の順に選択します。

ステップ 2

[Validation Catalog] タブをクリックします。

ステップ 3

[Download Latest] をクリックして、使用可能な最新の検証セットのローカルコピーをダウンロードします。

ステップ 4

検証セットを Catalyst Center にインポートします。

  1. [Import] をクリックし、[Import Validation Set] ダイアログボックスを開きます。

    [Import Validation Set] ダイアログボックス

  2. 次のいずれか 1 つのタスクを実行します。

    • [Choose a file] リンクをクリックして、インポートする .tar ファイルに移動します。

    • 適切な .tar ファイルをデスクトップから強調表示された領域にドラッグアンドドロップします。

  3. [Import] をクリックします。

システムトポロジ通知

次の表に、[System Health] ページのシステムトポロジに表示される Catalyst Center アプライアンスおよび接続された外部システムについてのさまざまな通知を示します。通知は対応するシビラティ(重大度)に応じてグループ化されています。

  • 重大度 1(エラー):無効化された RAID コントローラや故障した電源などの重大なエラーを示します。

  • 重大度 2(警告):Cisco ISE サーバーとの信頼を確立できないなどの問題を示します。

  • 重大度 3(成功):サーバーやハードウェアコンポーネントが想定どおりに動作していることを示します。


    (注)  

    アプライアンスのすべてのハードウェアコンポーネントが問題なく動作している場合は、各コンポーネントの個別の通知は表示されません。代わりに、[OK] 通知が表示されます。
表 2. Catalyst Center アプライアンスの通知
コンポーネント 重大度 1 の通知 重大度 2 の通知 重大度 3 の通知

CPU

Processor CPU1 (SerialNumber - xxxxxx) State is Disabled

Processor CPU1 (SerialNumber - xxxxxx) Health is NotOk and State is Enabled

Processor CPU1 (SerialNumber - xxxxxx) Health is Ok and State is Enabled

ディスク

Driver - PD1 State is Disabled

Driver - PD1 Health is Critical and State is Enabled

Driver - PD1 Health is Ok and State is Enabled

MemoryV1

Memory Summary (TOTALSYSTEMMEMORYGIB - 256) Health is NotOk

Memory Summary (TOTALSYSTEMMEMORYGIB - 256) Health is Ok

MemoryV2

Storage DIMM1 (SerialNumber - xxxxx) Status is NotOperable

Storage DIMM1 (SerialNumber - xxxxx) Status is Operable

NIC

NIC Adapter Card MLOM State is Disabled

NIC Adapter Card MLOM State is Enabled and port0 is Down

NIC Adapter Card MLOM State is Enabled and port0 is Up

電源モジュール

PowerSupply PSU1 (SerialNumber - xxxx) State is Disabled

PowerSupply PSU1 (SerialNumber - xxxx) State is Enabled

RAID

Cisco 12G SAS Modular Raid Controller (SerialNumber - xxxxx) State is Disabled

Cisco 12G SAS Modular Raid Controller (SerialNumber - xxxxx) Health is NotOK and State is Enabled

Cisco 12G SAS Modular Raid Controller (SerialNumber - xxxxx) Health is OK and State is Enabled

表 3. 接続されている外部システムの通知
コンポーネント 重大度 1 の通知 重大度 2 の通知 重大度 3 の通知

Cisco Connected Mobile Experiences(CMX)サーバー

There is a critical issue with the integrated CMX server.

CMX server is integrated and servicing.

IP アドレス管理(IPAM)サーバー

There is a critical issue with the connected third-party IPAM provider

  • A third-party IPAM provider is connected.

  • There is no third-party IPAM provider connected.

  • The third-party IPAM provider is currently synchronizing.

Cisco ISE—外部 RESTful サービス(ERS)

ISE PAN ERS connection: ISE ERS API call unauthorized

ISE PAN ERS connection: ERS reachability with ISE - Success

Cisco ISE—信頼性

ISE AAA Trust Establishment: Trust Establishment Error

ISE AAA Trust Establishment: Successfully established trust and discovered PSNs from PAN

IT サービス管理(ITSM)サーバー

ServiceNow connection health status is not up and running

ServiceNow connection health status is up and running

ディスク使用イベント通知

システムヘルスは、システム内のすべてのノードのディスク使用率をモニターします。任意のノードのディスク使用率がネットワーク運用に影響を与える可能性のあるレベルに達すると、システムヘルスから自動的に通知が送信されます。

ディスク使用率が 75% を超えると、警告通知が送信されます。

ディスク使用率が 85% を超えると、重大な通知が送信されます。

これらの通知を設定およびサブスクライブするには、『Catalyst CenterPlatform User Guide』の「Work with Event Notifications」トピックに説明されている手順を実行してください。この手順を完了するときは、[System Performance: Filesystem Utilization] イベントを選択してサブスクライブしてください。


(注)  

  • バックアップファイルを復元または Catalyst Center をアップグレードすると、システムヘルスによってディスク使用率の監視が再開され、1 時間ごとに更新が収集されます。

  • 3 ノードの HA デプロイメントでは、3 つのクラスターノードで構成されているすべてのパーティションが監視されます。生成される通知は、関連するパーティションに固有です。

  • ディザスタリカバリが有効になっている展開では、システムヘルスはアクティブサイトとスタンバイサイトの両方でノードごとにディスク使用率を監視します。

失効および期限切れの証明書を確認

Catalyst Center では、失効した証明書、期限切れの証明書、または近い将来に期限切れになる証明書を毎日チェックします。これらのイベントのいずれかが発生するたびに通知を受信する場合は、SYSTEM-CERTIFICATE-v2 および CISCO-IMC-CERTIFICATE-v2 イベントに登録します(システムイベント通知の登録を参照)。選択した形式で受信する通知に加えて、Catalyst Center は証明書イベントを示すように [System Health] ウィンドウのトポロジも更新します。これらの通知を表示するには、アプライアンスの上にカーソルを合わせます。使用可能な場合は、[More Details] リンクをクリックして、[Appliance Details] スライドインペインで通知を表示することもできます。

証明書イベント通知を表示するシステムの正常性ウィンドウ

Catalyst Center では、Cisco PKI Web サイトからのシスコの信頼できる証明書バンドル(ios.p7b)のストレージおよび更新をサポートしています。このバンドルは Catalyst Center とともに事前インストールされており、サポートされているシスコのネットワークデバイスが、有効なサードパーティベンダーデバイス証明書が提示された際に、コントローラとそのアプリケーション(ネットワークプラグアンドプレイなど)を認証できるようになります。Catalyst Center は、証明書バンドルのサードパーティ証明書のステータスを個別に確認します。シスコ署名付き証明書の場合、新しいバージョンのバンドルがダウンロード可能かどうかがシステムによってチェックされます。サードパーティの証明書または信頼できる証明書バンドルの更新が必要な場合に通知を受信するには、CISCO-TRUSTED-CERTIFICATE-BUNDLE-v2 イベントに登録します。

必要な URL アクセス

Catalyst Center は、次の URL に到達可能かどうかを確認します。

  • http://validation.identrust.com/crl/hydrantidcao1.crl

  • http://commercial.ocsp.identrust.com

  • https://www.ciscoconnectdna.com

  • https://cdn.ciscoconnectdna.com

  • https://registry.ciscoconnectdna.com

  • https://registry-cdn.ciscoconnectdna.com

これらの URL のいずれかに到達できない場合(特にリストされている最初の 2 つは、システム証明書の失効ステータスを確認するために使用されるため)、ネットワーク運用に影響を与える可能性があります。この発生時に通知を受信するには、INTERNET-URL-ACCESS-v2 イベントに登録します。

推奨されるアクション

次の表に、システムの正常性のモニタリング時によく発生する一般的な問題と、それらの問題を修復するための推奨される処置を示します。

コンポーネント サブコンポーネント 問題 推奨されるアクション

Cisco ISE

外部 RESTful サービス(ERS)—到達可能性

タイムアウトが発生する(Cisco ISE ERS API の負荷がしきい値を超えたことが原因と考えられる)。

  • Catalyst CenterCisco ISE の間のプロキシサーバーのプロキシ設定を確認します。

  • Catalyst Center から Cisco ISE に到達できるかどうかを確認します。

Cisco ISE との接続を確立できない。

  • ファイアウォールが設定されているかどうかを確認します。

  • Catalyst CenterCisco ISE の間のプロキシサーバーのプロキシ設定を確認します。

  • Catalyst Center から Cisco ISE に到達できるかどうかを確認します。

ERS—可用性

ERS API コールへの応答がない。

  • インストールされている Cisco ISE のバージョンを確認します。

  • Cisco ISE で ERS が有効になっているかどうかを確認します。詳細については、『Cisco Identity Services Engine Administration Guide』の「Enable External RESTful Services APIs」を参照してください。

ERS—認証

Cisco ISE ERS API コールが許可されない。

AAA 設定のログイン情報と Cisco ISE のログイン情報が同じであるかどうかを確認します。

ERS—設定

Cisco ISE の証明書が変更されている。

Catalyst Center GUI で信頼を再確立します。詳細については、『Cisco Identity Services Engine Administration Guide』の「Enable PKI in Cisco ISE」を参照してください。

ERS—未分類または一般的なエラー

未定義の診断エラーが発生する。

  1. Catalyst Center で現在設定されている AAA 設定を削除します。

  2. 適切な AAA 設定を再入力します。詳細については、『Cisco Catalyst Center Second Generation Appliance Installation Guide』の「Integrate Cisco ISE with Catalyst Center」を参照してください。

  3. 信頼を再確立します。詳細については、『Cisco Identity Services Engine Administration Guide』の「Enable PKI in Cisco ISE」を参照してください。

信頼—到達可能性

HTTPS 接続を確立できない。

AAA 設定のログイン情報と Cisco ISE のログイン情報が同じであるかどうかを確認します。

Cisco ISE 証明書チェーンのアップロード用に設定された Catalyst Center エンドポイント URL に到達できない。

  • Catalyst CenterCisco ISE の間のプロキシサーバーのプロキシ設定を確認します。

  • Catalyst Center から Cisco ISE に到達できるかどうかを確認します。

信頼—設定

Cisco ISE 証明書チェーンが無効である。

  • 必要に応じて、Cisco ISE 内部ルート CA チェーンを再生成します。詳細については、『Cisco Identity Services Engine Administration Guide』の「ISE CA Chain Regeneration」を参照してください。

  • 内部 CA 証明書チェーンが Cisco ISE から削除されていないことを確認します。

Cisco ISE 証明書チェーンのアップロード用に設定された Catalyst Center エンドポイント URL が禁止されている。

  • URL を起動し、エンドポイントの /aaa/Cisco ISE/certificate ディレクトリにアクセスできるかどうかを確認します。

  • Cisco ISE で [Use CSRF Check for Enhanced Security] オプションが有効になっているかどうかを確認します。詳細については、『Cisco Identity Services Engine Administration Guide』の「Enable External RESTful Services APIs」を参照してください。

信頼—認証

Cisco ISE パスワードの期限が切れている。

  • Cisco ISE 管理者パスワードを再生成します。詳細については、『Cisco Identity Services Engine Administrator Guide』の「Administrative Access to Cisco ISE」を参照してください。

  • Cisco ISE GUI にログインできることを確認します。

信頼—未分類または一般的なエラー

未定義の診断エラーが発生する。

  1. Catalyst Center で現在設定されている AAA 設定を削除します。

  2. 適切な AAA 設定を再入力します。詳細については、『Cisco Catalyst Center Second Generation Appliance Installation Guide』の「Integrate Cisco ISE with Catalyst Center」を参照してください。

  3. 信頼を再確立します。詳細については、『Cisco Identity Services Engine Administration Guide』の「Enable PKI in Cisco ISE」を参照してください。

Cisco Connected Mobile Experiences(CMX)サーバー

IP アドレス管理(IPAM)サーバー

IT サービス管理(ITSM)サーバー

到達可能性

サーバーとの接続を確立できない。

該当するサーバーがダウンしていないかどうかを確認します。

認証

サーバーにログインできない。

Catalyst Center で正しいログイン情報が設定されていることを確認します。

ハードウェア

ディスク

指定したハードウェアコンポーネントに問題がある。

問題のあるコンポーネントを交換します。

ファン

電源モジュール

メモリ モジュール

CPU

ネットワークカード

RAID コントローラ

ネットワーキング

インターフェイスがない。

  1. Cisco IMC に接続します。

  2. PID が UCSC-C220-M4 または UCSC-C220-M4S の場合は、次の手順を実行します。

    1. メインメニューから、[Compute] > [BIOS] > [Configure BIOS] を選択します。

    2. [Advanced] タブをクリックします。

    3. [LOM and PCIe Slots Configuration] を展開します。

    4. 無効な mLOM を有効にして、ホストを再起動します。

  3. その他すべての PID について、問題のあるコンポーネントを交換します。

システム構成

ハードウェア構成

Catalyst Center <IP_address> 仮想ドライブの書き込みキャッシュポリシーとしてライトバックを指定することはできません。書き込みポリシーはライトスルーである必要があります。

  1. Cisco IMC に接続します。

  2. メインメニューから、[Storage] > [Raid Controller] を選択します。

  3. [Virtual Drive] タブをクリックします。

  4. 仮想ドライブを選択し、[Edit] を右クリックします。書き込みポリシーがライトスルーでない場合は、仮想ドライブを更新します。書き込みポリシーはライトスルーである必要があります。

システム リソース

ストレージ

指定したマウントディレクトリに空きがない。

  • 現在のディレクトリから不要なデータを削除して記憶域を解放します。

  • 記憶域が多い新しいマウントディレクトリを指定します。

一般的なノードの操作

ハードウェア周辺機器 RMA

返品許可(RMA)手順で、DIMM、CPU、単一 SSD などのハードウェア周辺機器を交換する場合は、Catalyst Center のグレースフルシャットダウンを実行することを推奨します。

HA なしのメンテナンス中のスイッチ

レイヤ 2 ネットワーク内の直接リンクされたスイッチで、ネットワークサービスを維持するためのフォールバック(HA)メカニズムなしでメンテナンスが実行されている場合は、グレースフルシャットダウンを実行することを推奨します。レイヤ 2 ネットワークの冗長性を実現するには、『Cisco Catalyst Center Appliance Installation Guide』の「NIC Bonding Overview」を参照してください。

アプライアンスの電源の再投入

ハードウェアを修復する前に、Catalyst Center アプライアンスを停止できます。ソフトウェアの問題を修正した後にウォームリスタートを開始することもできます。『Cisco Catalyst Center Appliance Installation Guide』の「Power cycle the appliance」セクションを参照してください。

Catalyst CenterCisco ISE の統合

Cisco ISE には、Catalyst Center に関して次の 3 つの使用例があります。

  1. Cisco ISE はユーザー、デバイス、クライアント認証用の AAA(「トリプル A」と発音)サーバーとして使用できます。アクセス コントロール ポリシーを使用していない場合、または Cisco ISE をデバイス認証用の AAA サーバーとして使用していない場合は、Cisco ISE のインストールおよび設定は不要です。

  2. アクセス コントロール ポリシーは Cisco ISE を使用してアクセス制御を適用します。アクセス コントロール ポリシーを作成および使用する前に、Catalyst CenterCisco ISE を統合します。このプロセスでは、特定のサービスを用いて Cisco ISE をインストールして設定し、Catalyst CenterCisco ISE の設定を行う必要があります。Catalyst Center を用いた Cisco ISE のインストールと設定の詳細については、Cisco Catalyst Center Installation Guideを参照してください。

  3. ネットワークでのユーザー認証に Cisco ISE を使用している場合、Cisco ISE を統合するために Assurance を設定します。この統合により、有線クライアントの詳細(ユーザー名やオペレーティングシステムなど)を Assurance で確認できるようになります。詳細については、Cisco Catalyst Assurance User Guide の「Catalyst CenterCisco ISE 設定について」を参照してください。

Cisco ISE が正常に登録され、Catalyst Center で信頼性が確立されると、Catalyst CenterCisco ISE と情報を共有します。 Cisco ISE を使って AAA サーバーとして構成されたサイトに割り当てられた Catalyst Center デバイスのインベントリデータは Cisco ISE に伝達されます。さらに、Catalyst Center でこれらのデバイスの以下に示す設定を更新すると、この変更によって Cisco ISE も更新されます。

  • デバイスのホスト名

  • [Design] > [Network Settings] > [Servers] に表示される AAA サーバーの設定。

  • デバイスのクレデンシャル

  • デバイスの Loopback0 の IP アドレス

  • デバイスの管理 IP アドレス

  • デバイスに関連付けられているネットワーク デバイス グループ(NDG)タグ

Cisco ISE を使って AAA サーバーとしてサイトに関連付けられている Catalyst Center デバイスが想定どおり Cisco ISE に伝達されない場合、Catalyst Center は一定期間待機した後、自動的に再試行します。この後続の試行は、 Cisco ISE への最初の Catalyst Center デバイス プッシュが、ネットワークの問題、Cisco ISE のダウンタイム、またはその他の自動訂正可能なエラーが原因で失敗した場合に行われます。Catalyst Center は、デバイスの追加または Cisco ISE へのデータの更新を再試行することで、 Cisco ISEとの最終的な一貫性の確立を試みます。ただし、Cisco ISE へのデバイスまたはデバイスデータの伝達が、Cisco ISE 自体による拒否が原因で入力検証エラーとして失敗した場合、再試行は行われません。

Cisco ISE について RADIUS の共有秘密を変更しても、Cisco ISECatalyst Center を更新する際にその変更は反映されません。Catalyst Center の共有秘密を Cisco ISE と一致するように更新するには、新しいパスワードで AAA サーバーを編集します。Catalyst Center は新しい証明書を Cisco ISE からダウンロードし、Catalyst Center を更新します。

Cisco ISE は既存のデバイス情報を Catalyst Center と共有しません。Catalyst CenterCisco ISE 内のデバイスに関する情報を認識するには、そのデバイスに Catalyst Center と同じ名前を付ける必要があります。Catalyst CenterCisco ISE は、デバイスのホスト名変数を通じて、この統合用に固有のデバイスを識別します。


(注)  

Catalyst Center インベントリ デバイスを Cisco ISE に伝達し、変更を更新するプロセスはすべて Catalyst Center 監査ログにキャプチャされます。Catalyst CenterCisco ISE 間のワークフローに問題がある場合は、Catalyst Center GUI で監査ログの情報を確認します。

Catalyst Center は、プライマリ管理者 ISE ノードと統合されています。Catalyst Center から Cisco ISE にアクセスする場合は、このノードと接続します。

Catalyst Center は 15 分ごとに Cisco ISE をポーリングします。Cisco ISE サーバーがダウンした場合、Catalyst CenterCisco ISE サーバーが赤色(到達不能)で表示されます。

Cisco ISE サーバーに到達不能な場合、Catalyst Center はポーリングを 15 秒に増やし、その後 30 秒、1 分、2 分、4 分といった具合に、最大ポーリング時間の 15 分になるまで倍増していきます。Catalyst Center は 15 分間隔でのポーリングを 3 日間継続します。Catalyst Center は接続が復活しない場合、ポーリングを停止し、Cisco ISE サーバーのステータスを [Untrusted] に更新します。この場合、Catalyst CenterCisco ISE サーバー間の信頼関係を再確立する必要があります。

NDG: というプレフィックスが付いたネットワーク デバイス グループ(NDG)タグは、Cisco ISE に反映されます。

Cisco ISE と統合されたデバイスを削除すると、削除されたデバイスは Cisco ISE の新しい NDG グループに移動します。

次の追加要件と推奨事項を確認して、Catalyst CenterCisco ISE の統合を確認してください。

  • Catalyst CenterCisco ISE の統合はプロキシ サーバー経由ではサポートされていません。プロキシサーバーを使用して設定されている Cisco ISE がネットワークにある場合、そのプロキシサーバーを使用しないように Catalyst Center を設定します。設定するにはプロキシサーバーの IP アドレスをバイパスします。

  • Catalyst CenterCisco ISE の統合は、現在、Catalyst Center 仮想 IP アドレス(VIP)経由ではサポートされていません。Catalyst Center にエンタープライズ CA 発行の証明書を使用している場合は、サブジェクトの別名(SAN)拡張内にある Catalyst Center のすべてのインターフェイスの IP アドレスが Catalyst Center 証明書に含まれていることを確認します。Catalyst Center が 3 ノードクラスタの場合、3 ノードの全インターフェイスの IP アドレスが、Catalyst Center 証明書の SAN 拡張に含まれている必要があります。

  • Cisco ISE での管理者レベルのアクセス権が必要です。

  • Cisco ISE の管理者ユーザーのパスワードの有効期限を無効にします。または、期限が切れる前に、パスワードを忘れずに更新します。

  • Cisco ISE 証明書が変更された場合は、Catalyst Center を更新する必要があります。更新するには、AAA サーバー(Cisco ISE)を編集し、パスワードを再入力して保存します。これにより、Catalyst Center は新しい管理証明書の証明書チェーンを Cisco ISE からダウンロードし、Catalyst Center を更新します。Cisco ISE を HA モードで使用し、管理者証明書がプライマリまたはセカンダリ管理ノードで変更された場合は、Catalyst Center を更新する必要があります。

  • Catalyst Center は、pxGrid 経由で接続するように、自身の証明書、および Cisco ISE の証明書を設定します。pxGrid に対する別の証明書を使用して、別の pxGrid クライアント(Firepower など)に接続することもできます。これらの接続が、Catalyst Center および Cisco ISE の pxGrid 接続と干渉することはありません。

  • RADIUS のシークレットパスワードは変更できます。シークレットパスワードは、[System] > [Settings] > [External Services] > [Authentication and Policy Servers]Cisco ISE を AAA サーバーとして設定する際に指定しています。シークレットパスワードを変更するには、[Design] > [Network Settings] > [Network] の順に選択し、[Change Shared Secret] リンクをクリックします。これにより、Cisco ISE は、Catalyst Center によって管理されているネットワークデバイスに接続するとき、新しいシークレットパスワードを使用するようになります。

  • 分散 Cisco ISE クラスタでは、各ノードは PAN(管理)、MnT(監視とトラブルシューティング)、PSN(ポリシーサービス)などの特定の機能のみを実行します。PAN ノードでは管理証明書のみを使用し、PSN ノードでは EAP 認証証明書のみを使用することができます。ただし、この構成により pxGrid の Catalyst CenterCisco ISE の統合が妨げられます。したがって、Cisco ISE プライマリ PAN ノードで EAP 認証証明書の使用を有効にすることをお勧めします。

  • アップグレード後に Catalyst Center がPSNを認識するようにするには、次の手順を実行する必要があります。

    1. PSN に関連付けられている PAN を再度追加します。『Cisco Identity Services Engine Administrator Guide』の「Configure a Primary Policy Administration Node」を参照してください。

    2. Cisco ISECatalyst Center と再統合します。『Cisco Catalyst Center Installation Guide』の「Integrate Cisco ISE with Catalyst Center」のトピックを参照してください。

  • Catalyst Center は、CRL 配布ポイント(CDP)および Online Certificate Status Protocol(OCSP)による証明書失効チェックをサポートしています。統合中に、Catalyst Center はポート 9060 で Cisco ISE 管理証明書を受信し、その Cisco ISE 管理証明書内の CDP および OCSP URL に基づいてその有効性を検証します。CDP(CRL のリストを含む)と OCSP の両方が設定されている場合、Catalyst Center は OCSP を使用して証明書の失効ステータスを確認し、OCSP URL にアクセスできない場合は CDP にフォールバックします。CDP に複数の CRL がある場合、Catalyst Center は最初の CRL に到達できない場合は、次の CRL に接続します。ただし、JDK PKI Oracle のバグにより、すべての CRL エントリはチェックされません。

    プロキシは証明書の検証ではサポートされていません。Catalyst Center はプロキシなしで CRL および OCSP サーバーに接続します。

    • 証明書の OCSP および CRL エントリはオプションです。

    • LDAP は、証明書検証用のプロトコルとしてサポートされていません。CDP または AIA 拡張に LDAP URL を含めないでください。

    • Catalyst Center から CDP および OCSP のすべての URL に到達できる必要があります。到達不能な URL が原因で、統合の失敗など、統合エクスペリエンスの低下が生じる可能性があります。

  • Cisco ISE の証明書のサブジェクト名と発行者は ASN.1 PrintableString 文字に準拠する必要があり、スペースと次の文字のみを使用できます。A ~ Z、a ~ z、0 ~ 9、' ( ) + 、- . / : = ?

データの匿名化

Catalyst Center では、有線エンドポイントとワイヤレスエンドポイントのデータを匿名化できます。ユーザー ID やデバイスのホスト名など、有線エンドポイントとワイヤレスエンドポイントの個人を特定できる情報をスクランブル化できます。

[Discovery] を実行する前に、匿名化が有効になっていることを確認します。[Discovery] を実行した後にデータを匿名化した場合、システムに入ってくる新しいデータは匿名化されますが、既存のデータは匿名化されません。

手順

ステップ 1

メインメニューから次を選択します。[System] > [Settings] > [Trust & Privacy] > [Anonymize Data] の順に選択します。

ステップ 2

[Anonymize Data] ウィンドウで、[Enable Anonymization] チェックボックスをオンにします。

ステップ 3

[Save] をクリックします。

匿名化を有効にすると、デバイス検索時に、MAC アドレス、IP アドレスなどの匿名以外の情報しか指定できなくなります。

認証サーバーとポリシーサーバーの設定

Catalyst Center は AAA サーバをユーザ認証に使用し、Cisco ISE をユーザ認証とアクセス制御の両方に使用します。この手順を使って Cisco ISE を含む AAA サーバを設定します。

始める前に

Cisco ISE を使用してポリシーと AAA 機能の両方を実行する場合、Catalyst Center および Cisco ISE が統合されていることを確認します。

他の製品(Cisco ISE 以外)で AAA 機能を使用している場合、必ず次のタスクを実行してください。

  • AAA サーバーで Catalyst Center を登録します。これには、AAA サーバーと Catalyst Center の共有秘密を定義することが含まれます。

  • AAA サーバーで Catalyst Center の属性名を定義します。

  • Catalyst Center マルチホストクラスタの設定の場合は、AAA サーバーのマルチホストクラスタに、すべての個別のホスト IP アドレスと仮想 IP アドレスを定義します。

Cisco ISE を設定する前に、以下の点を確認してください。

  • Cisco ISE をネットワークに展開していること。サポートされている Cisco ISE バージョンの詳細については、『Cisco Catalyst Center Compatibility Matrix』[英語] を参照してください。Cisco ISE のインストールについては、Cisco Identity Services Engine インストールおよびアップグレードガイド [英語] を参照してください。

  • スタンドアロン Cisco ISE 展開環境がある場合は、Catalyst CenterCisco ISE ノードと統合し、そのノード上で pxGrid サービスと外部 RESTful サービス(ERS)を有効にする必要があります。

  • 分散型 Cisco ISE 展開がある場合:

    Catalyst Center をプライマリポリシー管理ノード(PAN)と統合し、PAN 上で ERS を有効にする必要があります。


    (注)  

    PAN 経由で ERS を使用することを推奨します。ただしバックアップの場合は、ポリシーサービスノード(PSN)で ERS を有効化できます。

    分散型展開環境内のいずれかの Cisco ISE ノード上で pxGrid サービスを有効化する必要があります。これを行うこともできますが、PAN 上で pxGrid サービスを有効化する必要はありません。分散型展開環境にある任意の Cisco ISE ノード上で pxGrid を有効にできます。

    TrustSec または SD-Access のコンテンツと PAC を処理するように Cisco ISE で設定する Protected Access Credential(PSN)は、[Work Centers] > [Trustsec] > [Trustsec Servers] > [Trustsec AAA Servers] でも定義する必要があります。詳細については、『Cisco Identity Services Engine Administrator Guide』を参照してください。

  • ポート 443、5222、8910、9060 で Catalyst CenterCisco ISE の通信を有効にする必要があります。

  • pxGrid が有効化されている Cisco ISE ホストには、Cisco ISE eth0 インターフェイスの IP アドレス上の Catalyst Center から到達できる必要があります。

  • Cisco ISE ノードは、アプライアンス NIC 経由でファブリック アンダーレイ ネットワークに到達できます。

  • Cisco ISE 管理ノード証明書のサブジェクト名またはサブジェクト代替名(SAN)のいずれかに Cisco ISE の IP アドレスまたは完全修飾ドメイン名(FQDN)が含まれている必要があります。

  • Catalyst Center システム証明書の SAN フィールドに、Catalyst Center アプライアンスの IP アドレスと FQDN の両方がリストされている必要があります。

手順

ステップ 1

メインメニューから次を選択します。[System] > [Settings] > [External Services] > [Authentication and Policy Servers]

ステップ 2

[Add] ドロップダウンリストから、[AAA] または [ISE] を選択します。

ステップ 3

プライマリ AAA サーバーを設定するには、次の情報を入力します。

  • [Server IP Address]:AAA サーバの IP アドレス。

  • [Shared Secret]:デバイス認証のキー。共有秘密は 4 ~ 100 文字で指定する必要があります。スペース、疑問符(?)、小なり山カッコ(<)を含めることはできません。

(注)  

 

既存の Cisco ISE クラスタの一部である PSN をプライマリ AAA サーバーに設定しないでください。

ステップ 4

Cisco ISE サーバーを設定するには、次の詳細情報を入力します。

  • [Server IP Address]Cisco ISE サーバーの IP アドレス。

  • [Shared Secret]:デバイス認証のキー。共有秘密は 4 ~ 100 文字で指定する必要があります。スペース、疑問符(?)、小なり山カッコ(<)を含めることはできません。

  • [Username]:Cisco ISE に HTTPS 経由でログインするために使用するユーザー名。

  • [Password]:Cisco ISE HTTPS ユーザー名のパスワード。

    (注)  

     

    ユーザー名とパスワードは、ネットワーク管理者に属する ISE 管理者アカウントである必要があります。

  • [FQDN]:Cisco ISE サーバーの完全修飾ドメイン名(FQDN)。

    (注)  

     

    • Cisco ISE[Administration] > [Deployment] > [Deployment Nodes] > [List])で定義されている FQDN をコピーして、このフィールドに直接貼り付けることをお勧めします。

    • 入力した FQDN は、Cisco ISE 証明書で定義されている FQDN、共通名(CN)または Subject Alternative Name(SAN)と一致する必要があります 。

    FQDN は、次の形式で、ホスト名およびドメイン名の 2 つのパートで構成されています。

    hostname.domainname.com

    たとえば、Cisco ISE サーバーの FQDN は ise.cisco.com である可能性があります。

  • [Virtual IP Address(es)]:Cisco ISE ポリシーサービスノード(PSN)が背後に配置されているロードバランサの仮想 IP アドレス。異なるロードバランサの背後に複数の PSN ファームがある場合は、最大 6 つの仮想 IP アドレスを入力できます。

ステップ 5

[Advanced Settings] をクリックして、設定を構成します。

  • [Connect to pxGrid]:pxGrid 接続を有効にするには、このチェックボックスをオンにします。

    Catalyst Center システム証明書を pxGrid クライアント証明書として使用する場合(pxGrid クライアントとして Catalyst Center システムを認証するために Cisco ISE に送信)、[Use Catalyst Center Certificate for pxGrid] チェックボックスをオンにします。動作環境で使用されるすべての証明書を同じ認証局(CA)で生成する必要がある場合は、このオプションを使用できます。このオプションを無効にすると、Catalyst Center は、システムが使用する pxGrid クライアント証明書を生成するための要求を Cisco ISE に送信します。

    このオプションを有効にする場合は、次のことを確認してください。

    • Catalyst Center 証明書が、Cisco ISE で使用中の CA と同じ CA によって生成されていること(そうでない場合、pxGrid 認証は失敗します)。

    • [Certificate Extended Key Use(EKU)] フィールドに「クライアント認証」が含まれていること。

  • [Protocol]:[TACACS] と [RADIUS](デフォルト)。両方のプロトコルを選択できます。

    注目

     

    ここで Cisco ISE サーバーの TACACS を有効にしない場合は、ネットワークデバイス認証用に AAA サーバーを設定するときに、[Design] > [Network Settings] > [Servers]Cisco ISE サーバーを TACACS サーバーとして設定できません。

  • [Authentication Port]:AAA サーバーへの認証メッセージのリレーに使用される UDP ポート。認証で使用されるデフォルトの UDP ポートは 1812 です。

  • [Accounting Port]:AAA サーバーへの重要なイベントのリレーに使用される UDP ポート。デフォルト値は UDP ポート 1812 です。

  • [Port]:TACACS サーバーとの通信に使用される TCP ポート。TACACS で使用されるデフォルトの TCP ポートは 49 です。

  • [Retries]:接続の試行が中止される前に、Catalyst Center が AAA サーバへの接続を試みた回数。デフォルトの試行回数は 3 回です。

  • [Timeout]:接続の試行が中止される前に、デバイスが AAA サーバーの応答を待機するタイムアウト期間。デフォルトのタイムアウトは 4 秒です。

(注)  

 

必要な情報を入力すると、Cisco ISE は 2 つのフェーズを経て Catalyst Center と統合されます。統合が完了するまでには数分かかります。フェーズごとの統合ステータスは、[Authentication and Policy Servers] ウィンドウと [System 360] ウィンドウに表示されます。

Cisco ISE サーバー登録フェーズ:

  • [Authentication and Policy Servers] ウィンドウ:「進行中」

  • [System 360] ウィンドウ:「プライマリ使用可能」

pxGrid サブスクリプション登録フェーズ:

  • [Authentication and Policy Servers] ウィンドウ:「アクティブ」

  • [System 360] ウィンドウ:「プライマリ使用可能」および「pxGrid 使用可能」

設定された Cisco ISE サーバーのステータスがパスワードの変更により [FAILED] と表示されている場合は、[Retry] をクリックし、パスワードを更新して Cisco ISE 接続を再同期します。

ステップ 6

[Add] をクリックします。

ステップ 7

セカンダリサーバーを追加するには、前述の手順を繰り返します。

ステップ 8

デバイスの Cisco ISE 統合ステータスを表示するには、次の手順を実行します。

  1. メインメニューから次を選択します。[Provision] > [Inventory] の順に選択します。

    [Inventory] ウィンドウにデバイス情報が表示されます。

  2. [Focus] ドロップダウンメニューから [Provision] を選択します。

  3. [Devices] テーブルの [Provisioning Status] 列に、デバイスのプロビジョニングステータスに関する情報([Success]、[Failed]、[Not Provisioned])が表示されます。

    [See Details] をクリックすると、追加情報を含むスライドインペインが開きます。

  4. 表示されるスライドインペインで、[See Details] をクリックします。

  5. [ISE Device Integration] タイルまでスクロールダウンして、デバイスの統合ステータスに関する詳細情報を表示します。

Cisco AI Network Analytics の設定

この手順で、Cisco AI Analytics 機能を有効にして、ネットワークデバイスとインベントリ、サイト階層、トロポジデータからネットワークイベントのデータを Cisco AI Cloud にエクスポートします。

始める前に

  • Catalyst Center の Advantage ソフトウェアライセンスを保有していることを確認してください。AI ネットワーク分析 アプリケーションは、Advantage ソフトウェアライセンスに含まれています。

  • AI Network Analytics アプリケーションの最新バージョンがインストールされていることを確認してください。

  • ネットワークまたは HTTP プロキシが、次のクラウドホストへのアウトバウンド HTTPS(TCP 443)アクセスを許可するように設定されていることを確認します。

    • [api.use1.prd.kairos.ciscolabs.com](米国東部地域)

    • [api.euc1.prd.kairos.ciscolabs.com](EU 中央地域)

手順

ステップ 1

メインメニューから次を選択します。[System] > [Settings]の順に選択します。

ステップ 2

[External Services] までスクロールし、[Cisco AI Analytics] を選択します。

AI ネットワーク分析 ウィンドウが開きます。

ステップ 3

次のいずれか 1 つのタスクを実行します。

  • アプライアンスに以前のバージョンの Cisco AI Network Analytics がインストールされている場合は、次の手順を実行します。

    1. [Recover from a config file] をクリックします。

      [Restore] AI ネットワーク分析ウィンドウが開きます。

    2. 表示されたエリアに構成ファイルをドラッグアンドドロップするか、ファイルシステムからファイルを選択します。

    3. [Restore] をクリックします。

      Cisco AI Network Analytics の復元には数分かかる場合があり、その後、[Success] ダイアログボックスが表示されます。

  • Cisco AI Network Analytics を初めて構成する場合は、次の手順を実行します。

    1. [Configure] をクリックします。

    2. [Where should we securely store your data?] 領域で、データを保存する場所を選択します。[Europe (Germany)] または [US East (North Virginia)] を選択できます。

      [Testing cloud connectivity...] タブで示されているように、システムはクラウド接続のテストを開始します。クラウド接続のテストが完了すると、[Testing cloud connectivity...] タブが [Cloud connection verified] に変わります。

    3. [Next] をクリックします。

      [Terms and Conditions] ウィンドウが表示されます。

    4. [Accept Cisco Universal Cloud Agreement] チェックボックスをオンにして契約条件に同意してから、[Enable] をクリックします。

      Cisco AI Network Analytics が有効になるまでに数分かかる場合があり、その後、[Success] ダイアログボックスが表示されます。

ステップ 4

[Success] ダイアログボックスで [Okay] をクリックします。

AI ネットワーク分析 ウィンドウが表示され、[Enable AI Network Analytics] トグルボタンが表示されます。[AI Network Analytics] ウィンドウで [AI Network Analytics] トグルボタンを有効にします。

ステップ 5

(推奨)AI ネットワーク分析 ウィンドウで、[Download Configuration] ファイルをクリックします。

クライアント証明書の更新

AI エージェントは、X.509 クライアント証明書を使用して AI クラウドへの認証を実行します。証明書は、AI クラウドへのテナントのオンボーディング時に AI クラウド CA によって作成および署名され、3 年間有効です(2021 年 8 月に 1 年に短縮)。有効期限が切れる前に、クラウド接続が失われないようにクライアント証明書を更新する必要があります。証明書の自動更新メカニズムが導入されています。このメカニズムでは、更新後に証明書を手動でバックアップする必要があります。新しい Catalyst Center を復元または移行する場合は、バックアップが必要です。

更新後、すべての AI 分析ウィンドウ(ピア比較、ヒートマップ、ネットワーク比較、トレンドおよびインサイト)に通知が表示され、新しい AI ネットワーク分析構成をバックアップするように指示されます。

Cisco AI Network Analytics の無効化

Cisco AI Network Analytics のデータ収集を無効にするには、次の手順で AI Network Analytics の機能を無効にする必要があります。

手順

ステップ 1

メインメニューから次を選択します。[System] > [Settings]の順に選択します。

ステップ 2

[External Services] までスクロールし、[Cisco AI Analytics] を選択します。

各機能のチェックマーク([Cisco AI Analytics] ウィンドウで機能が有効になっていることを示すチェックマークアイコン)は、その機能が有効になっていることを示します。チェックボックスがオフの場合([Cisco AI Analytics] ウィンドウで機能が無効になっていることを示す、オフになっているチェックボックス)、機能は無効になっています。

ステップ 3

[AI Network Analytics] 領域で、[Enable AI Network Analytics] トグルボタンをクリックしてオフにします(オフになっている [AI Network Analytics] トグルボタンの有効化)。

ステップ 4

[Update] をクリックします。

ステップ 5

Cisco AI Network Analytics クラウドからネットワークデータを削除するには、Cisco Technical Response Center(TAC)に連絡してサポートリクエストをオープンします。

ステップ 6

以前の設定が間違って配置されている場合は、[Download configuration file] をクリックします。

機械推論ナレッジベースの更新

機械推論ナレッジパックは、機械推論エンジン(MRE)がセキュリティの問題を特定し、根本原因の自動分析を改善するために使用する、段階的なワークフローです。これらのナレッジパックは、より多くの情報を受信しながら継続的に更新されます。機械推論ナレッジベースは、これらのナレッジパック(ワークフロー)のリポジトリです。最新のナレッジパックは、機械推論ナレッジベースが毎日自動で更新されるよう Catalyst Center を設定するか、手動で更新することで入手できます。

手順

ステップ 1

メインメニューから次を選択します。[System] > [Settings]の順に選択します。

ステップ 2

[External Services] まで下にスクロールし、[Machine Reasoning Knowledge Base] を選択します。

[Machine Reasoning Knowledge Base] ウィンドウには、次の情報が表示されます。

  • [INSTALLED]:インストールされている機械推論ナレッジベースパッケージのバージョンとインストール日が表示されます。

機械推論ナレッジベースに新しいアップデートがある場合は、[Machine Reasoning Knowledge Base] ウィンドウに [AVAILABLE UPDATE] が表示され、アップデートの [Version] と [Details] が示されます。

  • [AUTO UPDATE] :機械推論ナレッジベースが Catalyst Center で自動的に毎日更新されます。

  • [CISCO CX CLOUD SERVICE FOR NETWORK BUG IDENTIFIER, SECURITY ADVISORY, FIELD NOTICES AND EOX]:自動構成を実行できる CX Cloud と Catalyst Center を統合します。この統合により、Catalyst Centerのセキュリティ アドバイザリ ツールから直接デバイスの脆弱性を検出する機能が更に強化されました。

ステップ 3

(推奨)[AUTO UPDATE] チェックボックスをオンにして、機械推論ナレッジベースを自動的に更新します。

[Next Attempt] 領域に、次回の更新の日付と時刻が表示されます。

自動更新は、Catalyst Center がクラウドの機械推論エンジンに正常に接続されている場合にのみ実行できます。

ステップ 4

機械推論ナレッジベースを Catalyst Center で手動で更新するには、次のタスクのいずれかを実行します。

  • [AVAILABLE UPDATES] の下にある [Update] をクリックします。[Success] ポップアップウィンドウが表示され、更新のステータスが表示されます。
  • 機械推論ナレッジベースをローカルマシンに手動でダウンロードして Catalyst Center にインポートします。次の手順を実行します。

    1. [Download] をクリックします。

      [Opening mre_workflow_signed] ダイアログボックスが表示されます。

    2. ダウンロードしたファイルを開くか、ローカルマシンの目的の場所に保存して、[OK] をクリックします。

    3. [Import] をクリックして、ダウンロードした機械推論ナレッジベースをローカルマシンから Catalyst Center にインポートします。

ステップ 5

[CISCO CX CLOUD SERVICE FOR NETWORK BUG IDENTIFIER AND SECURITY ADVISORY] チェックボックスをオンにして、ネットワークバグ ID およびセキュリティアドバイザリとの Cisco CX Cloud の連携を有効にします。

ステップ 6

[Security Advisories Settings] エリアで、[RECURRING SCAN] トグルボタンをクリックして、毎週の定期的なスキャンを有効または無効にします。

ステップ 7

[CISCO CX CLOUD] トグルボタンをクリックして、Cisco CX Cloud を有効または無効にします。

シスコのログイン情報の設定

次の手順を使用して、Catalyst Center でソフトウェアイメージや更新プログラムのダウンロードに使用するログイン情報を設定します。ログイン情報は、シスコの Web サイトにログインするために使用するユーザー名とパスワードです。


重要

  • シスコは新しい認証インフラストラクチャを導入しました。そのため、以前の Catalyst Center リリースで Cisco.com ユーザーを設定し、2.3.7.9 以降にアップグレードした場合、そのユーザーを再認証する必要があります。

  • Catalyst Center では、セキュリティ上の理由で、Cisco.com ユーザーのログイン情報はローカルに保存されなくなりました。

始める前に

SUPER-ADMIN-ROLE 権限またはシステム設定への「書き込み」権限のある CUSTOM-ROLE を持つユーザーのみがこの手順を実行できます。

手順

ステップ 1

メインメニューから次を選択します。[System] > [Settings] > [Cisco Accounts] > [Cisco.com Credentials] の順に選択します。

ステップ 2

次の手順で Cisco.com ユーザーを設定します。

  1. ブラウザでシークレット/プライベートウィンドウを開きます(以前にキャッシュされたログイン情報の使用を避けるため)。

  2. 別の Catalyst Center GUI インスタンスを開いてログインします。

  3. [Cisco.com Credentials] ウィンドウの別のインスタンスを開きます。

  4. 次のいずれかのタスクを完了します。

    次の場合は... 次の操作...

    Catalyst Center 2.3.7.9 以降の新規インストールを完了している場合

    [Cisco.com ID] フィールドの [Add] リンクをクリックして、新しい Cisco.com ユーザーを設定します。

    Catalyst Center 2.3.7.9 以降にアップグレードし、以前に設定されたのと同じ Cisco.com ユーザーを使用する場合

    [Cisco.com ID] フィールドの [Re-Authenticate] リンクをクリックして該当ユーザーを再認証します。

    Catalyst Center 2.3.7.9 以降にアップグレードし、以前と同じ Cisco.com ユーザーを使用しない場合

    		古い Cisco.com ユーザーを削除してから、新しいユーザーを設定します。

    1. [Cisco.com ID] フィールドの [Delete] リンクをクリックします。

    2. 表示されたダイアログボックスで、[Delete] をクリックして操作を確定します。

    3. [Cisco.com ID] フィールドの [Add] リンクをクリックします。

  5. [Information] ポップアップウィンドウで [I am in private or incognito mode] チェックボックスをオンにして、[Proceed] をクリックします。

  6. [Activate your device] ポップアップウィンドウで、アクティベーションコードが表示されていることを確認し、[Next] をクリックします。

  7. [Log in] ポップアップウィンドウで、cisco.com ユーザの電子メールアドレスを入力し、[Next] をクリックします。

  8. [Verify with your password] ポップアップウィンドウで、cisco.com ユーザーのパスワードを入力し、[Verify] をクリックします。

    [Device Activated] ポップアップウィンドウが表示されます。

ステップ 3

ユーザーが正常に設定されたことを確認します。

  1. [Device Activated] ポップアップウィンドウを閉じます。

  2. [Cisco.com Credentials] ページを更新します。

  3. [Cisco.com ID] フィールドに、ユーザーに対して入力した電子メールアドレスが表示されていることを確認します。また、[Change] リンクと [Delete] リンクの両方が表示されていることを確認します。

シスコのクレデンシャルのクリア

Catalyst Center に対して現在設定されている cisco.com のクレデンシャルを削除するには、次の手順を実行します。


(注)  

  • ソフトウェアのダウンロードやデバイスのプロビジョニングに関連するタスクを実行する際、cisco.com のログイン情報が設定されていないと、タスクの開始前にログイン情報を入力するように求められます。入力したログイン情報を保存して Catalyst Center 全体で使用するには、表示されたダイアログボックスで [Save for Later] チェックボックスをオンにします。それ以外の場合は、これらのタスクを実行するたびにログイン情報を入力する必要があります。

  • この手順を完了すると、エンドユーザーライセンス契約(EULA)の承認が取り消されます。EULA の承認を再入力する方法については、ライセンス契約書の受諾を参照してください。

始める前に

SUPER-ADMIN-ROLE 権限またはシステム設定への「書き込み」権限のある CUSTOM-ROLE を持つユーザーのみがこの手順を実行できます。詳細については、ユーザ ロールについてを参照してください。

手順

ステップ 1

メインメニューから次を選択します。[System] > [Settings] > [Cisco Accounts] > [Cisco.com Credentials] の順に選択します。

ステップ 2

[Delete] リンクをクリックします。

ステップ 3

表示されたダイアログボックスで、[Delete] をクリックして操作を確定します。

接続モードの設定

接続モードは、Catalyst Center と連携するネットワーク内のスマート対応デバイスと Cisco Smart Software Manager(SSM)の間の接続を管理します。異なる接続モードを設定するには、SUPER-ADMIN アクセス権限が必要です。

SSM の SSL 証明書には、SAN フィールド内の関連する IP アドレスが含まれている必要があります。

手順

ステップ 1

メインメニューから次を選択します。[System] > [Settings] > [Cisco Accounts] > [SSM Connection Mode] の順に選択します。

以下の接続モードがあります。

  • 直接

  • オンプレミス CSSM

  • スマートプロキシ

ステップ 2

Cisco SSM クラウドへの直接接続を有効にするには、[Direct] を選択します。

ステップ 3

組織のセキュリティを高める必要がある場合は、[On-Prem CSSM] を選択します。オンプレミスオプションでは、Cisco SSM クラウドでライセンスを管理する際に、インターネットで直接接続する代わりに Cisco SSM 機能のサブセットにアクセスできます。

  1. [On-Prem CSSM] を有効にする前に、サテライトがネットワークサイトに展開されて稼働していることを確認してください。

    サテライトが FQDN で設定されている場合、サテライト FQDN の Call Home 設定が IP アドレスの代わりにプッシュされます。

  2. [On-Prem CSSM Host]、[Smart Account Name]、[Client ID]、および [Client Secret] の詳細を入力します。

    [Smart Account] フィールドに、1 つの SSM オンプレミスアカウント名のみを入力します。スペースやアンダースコアは使用できません。

    クライアント ID とクライアントシークレットを取得する方法については、『Cisco Smart Software Manager On-Prem User Guide』を参照してください。

  3. [Test Connection] をクリックして Cisco SSM 接続を検証します。

  4. [Save] をクリックしてから [Confirm] をクリックします。

  5. 変更した SSM で再登録が必要なデバイスがある場合は、[Need to Re-Register Devices] ダイアログボックスが表示されます。ダイアログ ボックスで [OK] をクリックします。

  6. [Tools] > [License Manager] > [Devices]ウィンドウで、再度登録するデバイスを選択し、[Sync Connection Mode] をクリックします。

    (注)  

     
    このようなデバイスには、「接続モードが同期してい ない(Connection Mode out of sync)」旨のタグまたはメッセージが表示されます。

  7. [Resync Devices] ダイアログボックスで、次の手順を実行します。

    • [Smart Account] を入力します。

    • [Virtual Account] を入力します。

    • [Now] をクリックしてすぐに再同期を開始するか、[Later] をクリックして特定の時間に再同期をスケジュールします。

    • [Resync] をクリックします。

    [Recent Tasks] ウィンドウには、デバイスの再同期ステータスが表示されます。

ステップ 4

[Smart Proxy] を選択し、Catalyst Center を介して Cisco SSM クラウドにスマート対応デバイスを登録します。このモードでは、デバイスを Cisco SSM クラウドに直接接続する必要はありません。Catalyst Center は、デバイスからの要求を自身を介して Cisco SSM クラウドにプロキシします。

Call Home 設定をデバイスにプロビジョニングするときに、サテライトが FQDN で設定されている場合、IP アドレスの代わりにサテライトの FQDN がプッシュされます。

プラグアンドプレイの登録

Catalyst Center を、Cisco Plug and Play(PnP)Connect のコントローラとして、リダイレクトサービス用に Cisco スマートアカウントに登録できます。これにより、Cisco PnP Connect クラウドポータルから Catalyst Center の PnP に、デバイスインベントリを同期することができます。

始める前に

SUPER-ADMIN-ROLE またはシステム管理権限を持つ CUSTOM-ROLE のユーザーのみがこの手順を実行することができます。

スマートアカウントで、特定の機能の実行を許可するロールがユーザーに割り当てられます。

  • スマートアカウント管理者ユーザーは、すべてのバーチャルアカウントにアクセスできます。

  • ユーザーは、割り当てられたバーチャルアカウントにのみアクセスできます。

手順

ステップ 1

メインメニューから次を選択します。[System] > [Settings] > [Cisco Accounts] > [PnP Connect] の順に選択します。

PnP 接続プロファイルのテーブルが表示されます。

ステップ 2

Cisco.com ユーザーを設定済みの場合は、ステップ 3 に進みます。設定していない場合は、次の手順を実行します。

  1. ブラウザでシークレットウィンドウまたはプライベートウィンドウを開きます(以前にキャッシュされたログイン情報の使用を避けるため)。

  2. 別の Catalyst Center GUI インスタンスを開いてログインします。

  3. [PnP Connect] ウィンドウの別のインスタンスを開きます。

  4. 次のいずれかのタスクを完了します。

    次の場合は... 次の操作...

    Catalyst Center 2.3.7.9 以降の新規インストールを完了している場合

    [Cisco.com ID] フィールドの [Add] リンクをクリックして、新しい Cisco.com ユーザーを設定します。

    Catalyst Center 2.3.7.9 以降にアップグレードし、以前に設定されたのと同じ Cisco.com ユーザーを使用する場合

    [Cisco.com ID] フィールドの [Re-Authenticate] リンクをクリックして該当ユーザーを再認証します。

    Catalyst Center 2.3.7.9 以降にアップグレードし、以前と同じ Cisco.com ユーザーを使用しない場合

    		古い Cisco.com ユーザーを削除してから、新しいユーザーを設定します。

    1. [Cisco.com ID] フィールドの [Delete] リンクをクリックします。

    2. 表示されたダイアログボックスで、[Delete] をクリックして操作を確定します。

    3. [Cisco.com ID] フィールドの [Add] リンクをクリックします。

  5. [Information] ポップアップウィンドウで、次のチェックボックスの一方または両方をオンにして、 [Authenticate] をクリックします。

    • 必須:[I am in private or incognito mode]

    • オプション:[Save Credentials]

  6. [Activate your device] ポップアップウィンドウで、アクティベーションコードが表示されていることを確認し、[Next] をクリックします。

  7. [Log in] ポップアップウィンドウで、cisco.com ユーザの電子メールアドレスを入力し、[Next] をクリックします。

  8. [Verify with your password] ポップアップウィンドウで、cisco.com ユーザーのパスワードを入力し、[Verify] をクリックします。

    [Device Activated] ポップアップウィンドウが表示されます。

  9. [Device Activated] ポップアップウィンドウを閉じます。

  10. [PnP Connect] ウィンドウを更新します。

  11. [Cisco.com ID] フィールドに、ユーザーに対して入力した電子メールアドレスが表示されていることを確認します。また、[Change] リンクが表示されていることを確認します。

ステップ 3

[Register] をクリックして、バーチャルアカウントを登録します。

ステップ 4

[Register Virtual Account] ウィンドウで、設定したスマートアカウントが [Select Smart Account] ドロップダウンリストに表示されます。[Select Virtual Account] ドロップダウンリストからアカウントを選択できます。

ステップ 5

必要な [IP] または [FQDN] オプションボタンをクリックします。

ステップ 6

コントローラの IP アドレスまたは FQDN(完全修飾ドメイン名)を入力します。

ステップ 7

プロファイル名を入力します。指定した設定を使用して、選択したバーチャルアカウントのプロファイルが作成されます。

ステップ 8

[Use as Default Controller Profile] チェックボックスをオンにして、この Catalyst Center コントローラを Cisco PnP Connect クラウドポータルにデフォルトコントローラとして登録します。

ステップ 9

[登録(Register)] をクリックします。

PnP イベント通知の作成

イベント通知を作成することで、プラグアンドプレイ(PnP)イベントが Catalyst Center で発生するたびに通知を受け取ります。サポートされているチャネルを設定し、イベント通知を作成する方法については、『Cisco Catalyst Center Platform User Guide』の「Work with Event Notifications」 [英語] を参照してください。

次の PnP イベントのイベント通知を作成してください。

イベント名 イベント ID 説明

デバイスの追加に失敗しました。

NETWORK-TASK_FAILURE-3-008

デバイスは、単一または一括インポートでは追加されません。単一または一括インポートによってデバイスを追加すると、エラーが発生します。

デバイスの追加に成功しました。

NETWORK-TASK_COMPLETE-4-007

単一または一括インポートによってデバイスが正常に追加されました。

デバイスはエラー状態です。

NETWORK-ERROR_1-002

デバイスはエラー状態になります。

デバイスはプロビジョニング状態です。

NETWORK-INFO_4-003

デバイスはプロビジョニング状態になります。

デバイスがオンボーディング状態でスタックします。

NETWORK-TASK_PROGRESS-2-006

デバイスが 15 分以上オンボーディング状態でスタックしています。

デバイスが請求を待っています。

NETWORK-INFO_2-001

デバイスは未請求の状態になり、プロビジョニングの準備ができています。

スマートアカウントの同期に失敗しました。

NETWORK-TASK_FAILURE-1-005

一部のデバイスでスマートアカウントの同期に失敗しました。

スマートアカウントの同期に成功しました。

NETWORK-TASK_COMPLETE-4-004

一部のデバイスで、スマートアカウントの同期に成功しました。

スマートアカウントの設定

シスコスマートアカウントのログイン情報は、スマート ライセンス アカウントに接続する目的で使用されます。ライセンスマネージャツールは、権限付与とライセンス管理のために、このスマートアカウントの詳細なライセンス情報を使用します。


重要

シスコは新しい認証インフラストラクチャを導入しました。そのため、以前のリリースでスマートアカウントのログイン情報を設定し、2.3.7.9 以降にアップグレードした場合は、関連付けられたスマートアカウントを再認証する必要があります。

始める前に

SUPER-ADMIN-ROLE 権限またはシステム設定への「書き込み」権限のある CUSTOM-ROLE を持っていることを確認してください。

手順

ステップ 1

メインメニューから次を選択します。[System] > [Settings] > [Cisco Accounts] > [Smart Account]の順に選択します。

ステップ 2

適切なスマートアカウントユーザーとスマートアカウント名をスマート ライセンス アカウントにリンクします。

  1. ブラウザでシークレット/プライベートウィンドウを開きます(以前にキャッシュされたログイン情報の使用を避けるため)。

  2. 別の Catalyst Center GUI インスタンスを開いてログインします。

  3. [Smart Account] ウィンドウの別のインスタンスを開きます。

  4. [Add] リンクをクリックします。

  5. [Information] ポップアップウィンドウで [I am in private or incognito mode] チェックボックスをオンにして、[Proceed] をクリックします。

  6. [Activate your device] ポップアップウィンドウで、アクティベーションコードが表示されていることを確認し、[Next] をクリックします。

  7. [Log in] ポップアップウィンドウで、cisco.com ユーザの電子メールアドレスを入力し、[Next] をクリックします。

  8. [Verify with your password] ポップアップウィンドウで、cisco.com ユーザーのパスワードを入力し、[Verify] をクリックします。

    [Device Activated] ポップアップウィンドウが表示されます。

  9. 追加したスマートアカウントユーザーが [Smart Account Credentials] セクションと [Expired Smart Accounts] セクションの両方に表示されていることを確認します。

    スマートアカウントユーザーの状態 結果

    両方のセクションに記載されている

    [Actions] 列のゴミ箱アイコンをクリックして、[Expired Smart Accounts] セクションからユーザーを削除します。

    両方のセクションに記載されていない

    ステップ 3 に進みます。

ステップ 3

選択したスマートアカウントの名前を変更するには、[Change] をクリックします。Cisco SSM クラウドでスマート ライセンス アカウントへの接続に使用されるスマートアカウントを選択するように促されます。

  1. ドロップダウンリストから [Smart Account] を選択します。

  2. [Save] をクリックします。

ステップ 4

[View all virtual accounts] をクリックし、そのスマートアカウントに関連付けられているすべてのバーチャルアカウントを表示します。

(注)  

 

シスコ アカウントは複数のスマートアカウントとバーチャルアカウントをサポートしています。

ステップ 5

(オプション)スマートライセンス対応デバイスをバーチャルアカウントに自動登録する場合、[Auto register smart license enabled devices] チェックボックスをオンにします。スマートアカウントに関連付けられているバーチャルアカウントのリストが表示されます。

ステップ 6

必要なバーチャルアカウントを選択します。スマートライセンス対応デバイスがインベントリに追加されるたびに、選択したバーチャルアカウントに自動的に登録されます。

ステップ 7

ライセンスを取得したスマートアカウントユーザーとそれに関連する履歴データを削除する場合は、[Delete historical information] をクリックします。

[Delete Historical Data] スライドインペインには、ライセンスを取得したスマートアカウントユーザーが表示されます。また、Catalyst Center に現在存在していない既存のスマートアカウントも表示されますが、それらの履歴データは引き続き利用できます。

ステップ 8

[Smart Account list] エリアで、削除するスマートアカウントの横にあるチェックボックスをオンにします。

ステップ 9

[Delete] をクリックします。

ステップ 10

次の確認ウィンドウで、[Delete] をクリックします。

ステップ 11

[Delete the associated license historical information] チェックボックスをオンにして、関連するライセンスの履歴情報を削除します。

スマートライセンス

シスコ スマート ライセンシングを使用すると、Cisco SSM に Catalyst Center を登録できます。

スマートライセンスを使用するには、まず Cisco Software Central でスマートアカウントを設定する必要があります(software.cisco.com)。

シスコライセンスの詳細については、cisco.com/go/licensingguide を参照してください。


(注)  

Catalyst Center インスタンスのスマートライセンス登録は、次の接続モードを使用してサポートされています。

  • 直接

  • オンプレミス Cisco SSM

  • スマートプロキシ

始める前に

  • スマートライセンスを有効にするには、Cisco クレデンシャルを設定し(「シスコのログイン情報の設定」を参照)、Cisco SSM で Catalyst Center ライセンス規則をアップロードする必要があります。

  • スマートライセンスを有効にするには、[System] > [Settings] > [Cisco Accounts] > [Smart Account]でスマートアカウントを追加する必要があります。詳細については、スマートアカウントの設定を参照してください。

手順

ステップ 1

メインメニューから次を選択します。[System] > [Settings] > [Cisco Accounts] > [Smart Licensing]の順に選択します。

デフォルトでは、[Smart Account] の詳細が表示されます。

ステップ 2

登録するバーチャルアカウントを [Search Virtual Account] ドロップダウンリストから選択します。

ステップ 3

[Register] をクリックします。

ステップ 4

登録が正常に完了したら、[View Available Licenses] リンクをクリックして、Catalyst Center の使用可能なライセンスを確認します。

デバイスの可制御性

デバイスの可制御性は、Catalyst Center 上のシステムレベルのプロセスであり、次のことを行います。

  • 一部のデバイスレイヤ機能の状態同期を適用する

  • デバイス管理に必要なネットワーク設定を展開するのに役立つ

  • デバイスがインベントリに追加されたときや、サイトに割り当てられたときなど、ネットワークに変更が加えられたときに検出を実行する

デバイスにプッシュされる設定を表示するには、[Provision] > [Inventory] に移動し、[Focus] ドロップダウンリストから [Provision] を選択します。[Provision Status] 列の [See Details] をクリックします。


(注)  

Catalyst Centerによりデバイスが設定または更新されると、トランザクションが監査ログにキャプチャされ、変更の追跡と問題のトラブルシューティングに使用できます。

デバイスの可制御性により、次のデバイス設定が有効になります。

  • [Device Discovery]:

    • SNMP クレデンシャル

    • NETCONF クレデンシャル

  • インベントリへのデバイスの追加

    • Cisco TrustSec(CTS)クレデンシャル


    (注)  

    [Global] サイトが Cisco ISE で AAA として設定されている場合にのみ、Cisco TrustSec(CTS)クレデンシャルがインベントリ中にプッシュされます。それ以外の場合、Cisco ISE でそのサイトが AAA として設定されていれば、[Assign to Site] 時に CTS がデバイスにプッシュされます。

  • デバイスのサイトへの割り当て

    • 有線エンドポイントデータ収集の有効化

    • コントローラ証明書


      (注)  

      Cisco IOS デバイスの場合、PKCS 証明書の有効期限の処理で問題が発生しないように、デバイスの UI コンソールからタイムゾーンを設定することを推奨します。

    • SNMP トラップサーバ定義

    • Syslog サーバ定義

    • アプリケーションの可視性

    • Application QoS Policy

    • NetFlow サーバ定義

    • Wireless Service Assurance(WSA)

    • ワイヤレステレメトリ

    • DTLS 暗号スイート

    • AP 偽装

    • IPDT の有効化

デバイスの可制御性はデフォルトで有効になっています。デバイスの可制御性を有効にしたくない場合は、手動で無効にします。詳細については、デバイスの可制御性の設定を参照してください。

デバイスの可制御性が無効になっている場合、ディスカバリ実行時やデバイスのサイトへの割り当て時に、そのデバイスのクレデンシャルや機能が Catalyst Center によって設定されることはありません。

状況に応じて、以下を含むネットワーク設定が、デバイスの可制御性によってデバイスに設定されるかどうかが決まります。

  • デバイス検出

    • SNMP と NETCONF クレデンシャルがまだデバイスに存在しない場合は、この設定が検出プロセス中に適用されます。

    • IOS デバイスで NETCONF を有効にすると、最大 6 つの DNS サーバーを設定できます。6 つの DNS サーバーすべてが使用されていて、新しいサーバーを追加する必要がある場合にのみ、既存の DNS サーバーが削除されます。それ以外の場合、既存の DNS サーバーは変更されません。

  • インベントリ内のデバイス

    • 初期インベントリ収集が正常に終了すると、IPDT がデバイスで設定されます。

    • 以前のリリースでは、次の IPDT コマンドが設定されていました。

      ip device tracking
ip device tracking probe delay 60
ip device tracking probe use-svi

    • インターフェイスごとに、次の手順を実行します。

      interface $physicalInterface
ip device tracking maximum 65535

    • 現在のリリースでは、新しく検出されたデバイスに対して次の IPDT コマンドが設定されます。

      device-tracking tracking
device-tracking policy IPDT_POLICY
tracking enable

    • インターフェイスごとに、次の手順を実行します。

      interface $physicalInterface
device-tracking attach-policy IPDT_POLICY

  • デバイス プロビジョニング

    • ユーザーインテントに一致する必要な DTLS 設定および DNS 設定がデバイスにない場合、DTLS 暗号スイートと DNS 設定の両方がプッシュされます。

    • Network Assurance 証明書の設定が [Assign to Site] 時にすでに存在する場合、その設定はスキップされ、失敗した試行が再試行されます。

    • WSA 設定と PKCS12 証明書が [Assign to Site] 時にすでに有効になっている場合、その設定はスキップされます。


      (注)  

      以前の設定試行が失敗した場合、デバイスの可制御性ワークフローによって、プロビジョニング時に設定が再試行されます。

  • グローバルサイト内のデバイス

    • デバイスが正常に追加、インポート、または検出されると、Catalyst Center はデフォルトでそのデバイスを Managed 状態にし、Global サイトに割り当てます。

    • グローバル サイト用の SNMP サーバ、Syslog サーバ、および NetFlow コレクタ設定が定義済みの場合でも、デバイス上のこれらの設定を変更 Catalyst Center しません

  • サイトに移動されたデバイス

    • デバイスを Global サイトから、SNMP サーバー、Syslog サーバー、NetFlow コレクタ設定が定義済みの新しいサイトに移動させると、Catalyst Center が、デバイスのこれらの設定を新しいサイト用に定義された設定に変更します。

    • ユーザーインテントに一致する必要な DTLS 設定および DNS 設定がデバイスにない場合、DTLS 暗号スイートと DNS 設定の両方がプッシュされます。

    • WSA 設定は、適用範囲に基づいてデバイスで有効になります。

    • Network Assurance(NA)証明書の設定がデバイス上に作成されます。

    • デバイスの可制御性によって、sdn-network-infra-iwan という PKCS トラストポイントが作成され、それを使用して証明書がインストールされます。この名前のトラストポイントが存在する場合は、最新の証明書で置き換えられます。

    • ワイヤレス AP 参加証明書が存在しない場合は、デバイス上に設定されます。

    • [Force Configuration Push] 時に、証明書は再プッシュされず、設定されていれば再作成されません。

    • 必要な AP 偽装設定が存在しない場合は、デバイスにプッシュされます。

  • サイトから削除されたデバイス

    • デバイスをサイトから削除する場合、Catalyst Center はそのデバイスの SNMP サーバー、Syslog サーバー、および NetFlow コレクタ設定を削除しません。

  • Catalyst Center から削除されたデバイス

    • デバイスを Catalyst Center から削除し、[Clean Up Configuration] チェックボックスをオンにすると、SNMP サーバー、Syslog サーバー、DNS 設定、PKCS 設定、NetFlow コレクタ設定、テレメトリサブスクリプション、AP 偽装設定、WSA 設定、Catalyst Center によってプッシュされた NA 証明書の設定が、そのデバイスから削除されます。

    • デバイスの削除時に、DTLS 暗号スイート設定とワイヤレス AP 参加証明書は削除されません。

  • サイト間で移動されたデバイス

    • たとえば、サイト A からサイト B にデバイスを移動すると、Catalyst Center はそのデバイスの SNMP サーバー、Syslog サーバー、NetFlow コレクタ設定を、サイト B に割り当てられている設定で置き換えます。

  • サイトテレメトリの変更の更新

    設定タイプ

    [Force Configuration Push] が有効になっていない

    [Force Configuration Push] が有効になっている

    DNS の設定

    必須の DNS 設定が利用可能でない場合にプッシュされます。

    DNS 設定がすでに存在する場合は再プッシュされません。

    WSA の設定

    設定が利用可能で有効である場合は再プッシュされません。

    前回の試行が失敗した場合は再試行されます。

    現在のデバイス設定に関係なく、常に再プッシュされます。

    DTLS 設定

    必須の DTLS 設定が利用可能でない場合にプッシュされます。

    すでに存在する場合は再プッシュされません。

    DTLS 設定がすでに存在する場合は再プッシュされません。

    ワイヤレス AP 参加証明書の設定

    設定されていれば再プッシュおよび再生成されません。

    設定されていれば再プッシュおよび再生成されません。

    PKCS12 の設定

    設定が利用可能で有効である場合は再プッシュされません。

    前回の試行が失敗した場合は再試行されます。

    現在のデバイス状態に関係なく、常に再プッシュされます。

    NA 証明書の設定

    設定が利用可能で有効である場合は再プッシュされません。

    前回の試行が失敗した場合は再試行されます。

    現在のデバイス状態に関係なく、常に再プッシュされます。

    テレメトリ サブスクリプションの設定

    すでに利用可能であれば再プッシュされません。

    前回の試行が失敗した場合は再試行されます。

    必要なデバイス設定と既存のデバイス設定に違いがある場合にのみ再プッシュされます。

    AP 偽装設定

    必須の設定が見つからない場合にプッシュされます。

    設定がすでに存在していれば再プッシュされません。

(注)  

デバイスの制御可能性が有効になっている場合に、Catalyst Center がユーザー指定の SNMP クレデンシャルでデバイスに接続できずにデバイス情報を収集できない場合は、Catalyst Center がユーザー指定の SNMP クレデンシャルをデバイスにプッシュします。SNMPv3 の場合、ユーザーは [Default] グループの下に作成されます。

Cisco AireOS デバイスの場合、ユーザー指定の SNMPv3 パスフレーズの長さは 12 ~ 31 文字である必要があります。

デバイスの可制御性の設定

デバイスの可制御性は、Catalyst Center でデバイスを管理するために必要なネットワーク設定を展開します。デバイスの可制御性はデフォルトで有効です。

デバイスの可制御性を手動で無効にするには、次の手順を実行します。


(注)  

デバイスの可制御性を無効にすると、Catalyst Center は、SNMP クレデンシャル、トラップサーバー、IP デバイストラッキング(IPDT)、NetFlow、Syslog、NETCONF などの重要な設定について、検出されたデバイスを自動的に設定しません。

デバイスの可制御性を無効にした後にデバイスをサイトに割り当てると、Catalyst Center はアウトオブバンド設定変更通知と AP の管理をサポートしません。これは、Catalyst Center がデバイスのトラップの受信者として登録されなくなるためです。

手順

ステップ 1

メインメニューから次を選択します。[System] > [Settings] > [Device Settings] > [Device Controllability]

ステップ 2

[Enable Device Controllability] チェックボックスをオフにします。

ステップ 3

Catalyst Center がデバイステレメトリ設定で特定された問題を自動的に修正しないようにするには、[Enable autocorrect telemetry config] チェックボックスをオフのままにします。

テレメトリの自動修正が有効になっている場合、Catalyst Center は、デバイスと Catalyst Center の間のセキュア通信に関連する証明書の問題を自動的に検出して解決します。(この機能は、NetFlow、NBAR、または CBAR テレメトリの設定の問題には対処しません)。Catalyst Center は各デバイスの証明書の変更を 15 分ごとにチェックします。各デバイスへの修正は 24 時間以内に 1 回のみ行えます。

デフォルトでは、このチェックボックスは無効になっています。デバイスの可制御性が有効になっている場合にのみ有効にできます。

ステップ 4

[Save] をクリックします。

ライセンス契約書の受諾

ソフトウェアをダウンロードする前、またはデバイスをプロビジョニングする前に、エンドユーザーライセンス契約(EULA)に同意する必要があります。

手順

ステップ 1

メインメニューから次を選択します。[System] > [Settings] > [Device Settings] > [Device EULA Acceptance]の順に選択します。

ステップ 2

Cisco.com ユーザーを設定済みの場合は、ステップ 3 に進みます。設定していない場合は、次の手順を実行します。

  1. ブラウザでシークレット/プライベートウィンドウを開きます(以前にキャッシュされたログイン情報の使用を避けるため)。

  2. 別の Catalyst Center GUI インスタンスを開いてログインします。

  3. [Device EULA Acceptance] ウィンドウの別のインスタンスを開きます。メインメニューから次を選択します。[System] > [Settings] > [Device Settings] > [Device EULA Acceptance]の順に選択します。

  4. 次のいずれかのタスクを完了します。

    次の場合は... 次の操作...

    Catalyst Center 2.3.7.9 以降の新規インストールを完了している場合

    [Cisco.com ID] フィールドの [Add] リンクをクリックして、新しい Cisco.com ユーザーを設定します。

    Catalyst Center 2.3.7.9 以降にアップグレードし、以前に設定されたのと同じ Cisco.com ユーザーを使用する場合

    [Cisco.com ID] フィールドの [Re-Authenticate] リンクをクリックして該当ユーザーを再認証します。

    Catalyst Center 2.3.7.9 以降にアップグレードし、以前と同じ Cisco.com ユーザーを使用しない場合

    		古い Cisco.com ユーザーを削除してから、新しいユーザーを設定します。

    1. [Cisco.com ID] フィールドの [Delete] リンクをクリックします。

    2. 表示されたダイアログボックスで、[Delete] をクリックして操作を確定します。

    3. [Cisco.com ID] フィールドの [Add] リンクをクリックします。

  5. [Information] ポップアップウィンドウで [I am in private or incognito mode] チェックボックスをオンにして、[Proceed] をクリックします。

  6. [Activate your device] ポップアップウィンドウで、アクティベーションコードが表示されていることを確認し、[Next] をクリックします。

  7. [Log in] ポップアップウィンドウで、cisco.com ユーザの電子メールアドレスを入力し、[Next] をクリックします。

  8. [Verify with your password] ポップアップウィンドウで、cisco.com ユーザーのパスワードを入力し、[Verify] をクリックします。

    [Device Activated] ポップアップウィンドウが表示されます。

  9. [Device Activated] ポップアップウィンドウを閉じます。

  10. [Device EULA Acceptance] ウィンドウを更新します。

  11. [Cisco.com ID] フィールドに、ユーザーに対して入力した電子メールアドレスが表示されていることを確認します。また、[Change] リンクが表示されていることを確認します。

ステップ 3

新しいブラウザタブで [Cisco End User License Agreement Supplemental Product Terms] リンクを開きます。

ステップ 4

Catalyst Center EULA を開いて内容を確認します。

ステップ 5

[I have read and accept the Device EULA] チェックボックスをオンにします。

ステップ 6

[Save] をクリックします。

SNMP プロパティの設定

SNMP の再試行とタイムアウトの値を設定することができます。

始める前に

SUPER-ADMIN-ROLE 権限を持つユーザのみがこの手順を実行することができます。

手順

ステップ 1

メインメニューから次を選択します。[System] > [Settings] > [Device Settings] > [SNMP] の順に選択します。

ステップ 2

次のフィールドを設定します。

  • [Retries]:許容されるデバイス接続の最大試行回数。有効な値は 1 ~ 3 です。デフォルトは 3 です。

  • [Timeout]:タイムアウトになるまでにデバイスとの接続の確立を試みる際に、Catalyst Center が待機する秒数。有効な値は、5 秒間隔で 1 ~ 300 秒です。デフォルトは 5 秒です。

ステップ 3

[Save] をクリックします。

ステップ 4

(オプション)デフォルトの設定に戻すには、[Reset] をクリックしてから [Save] をクリックします。

ICMP ping の有効化

Internet Control Message Protocol(ICMP)ping が有効になっていて、FlexConnect モードで到達不能なアクセスポイントがある場合、Catalyst Center は ICMP を使用して 5 分ごとにそれらのアクセスポイントに ping を実行し、到達可能性を強化します。

ICMP ping を有効にするには、次の手順を実行します。

手順

ステップ 1

メインメニューから次を選択します。[System] > [Settings] > [Device Settings] > [ICMP Ping] の順に選択します。

ステップ 2

[Enable ICMP ping for unreachable access Points in FlexConnect mode] チェックボックスをオンにします。

ステップ 3

[Save] をクリックします。

PnP 導入準備用の AP ロケーションの設定

Catalyst Center では、PnP 導入準備の AP の場所として、PnP 要求中に割り当てられたサイトを使用できます。[Configure AP Location] チェックボックスをオンにすると、Catalyst Center は割り当てられたサイトを PnP 導入準備用の AP の場所として設定します。チェックボックスをオフにした場合は [Configure Access Points] ワークフローを使用して、PnP 導入準備用の AP の場所を設定します。詳細については、『Catalyst Center User Guide』の「AP Configuration in Catalyst Center」を参照してください。


(注)  

これらの設定は、Day-N 運用中には適用されません。Day-N 運用の AP の場所を設定するには、[Configure Access Points] ワークフローを使用します。

手順

ステップ 1

メインメニューから次を選択します。 [System] > [Settings] > [Device Settings] > [PnP AP Location] の順に選択します。

ステップ 2

[Configure AP Location] チェックボックスをオンにします。

ステップ 3

[Save] をクリックします。

イメージ配信サーバーの設定

イメージ配信サーバーは、ソフトウェアイメージの保管と配信に役立ちます。ソフトウェアイメージを配信するように最大 3 つの外部イメージ配信サーバーを設定できます。また、新しく追加されたイメージ配信サーバーに 1 つ以上のプロトコルを設定できます。

手順

ステップ 1

メインメニューから次を選択します。[System] > [Settings] > [Device Settings] > [Image Distribution Servers]

ステップ 2

[Image Distribution Servers] ウィンドウで、[Servers] をクリックします。

[Image Distribution Servers] テーブルには、イメージ配信サーバーのホスト、ユーザー名、SFTP、SCP、および接続に関する詳細が表示されます。

ステップ 3

[Add] をクリックして新しいイメージ配信サーバを追加します。

[Add a New Image Distribution Server]スライドインペイン が表示されます。

ステップ 4

イメージ配信サーバーの次の項目を設定します。

  • [Host]:イメージ配信サーバーのホスト名または IP アドレスを入力します。

  • [Root Location] :ファイル転送用の作業ルートディレクトリ。

    (注)  

     
    Cisco AireOS ワイヤレスコントローラ の場合、設定されたパスが 16 文字を超えると、イメージの配信は失敗します。

  • [Username]:イメージ配信サーバーへのログインに使用されるユーザー名を入力します。ユーザー名には、サーバーの作業ルートディレクトリに対する読み取り/書き込み権限が必要です。

  • [Password]:イメージ配信サーバーへのログインに使用されるパスワード。

  • [ポート番号]:イメージ配信サーバーが実行されているポート番号を入力します。

ステップ 5

[Save] をクリックします。

ステップ 6

一部のワイヤレスコントローラの旧バージョンのソフトウェアでは、SFTP の暗号方式として弱い暗号方式(SHA1 ベースの暗号など)しかサポートされていないため、Catalyst Center でソフトウェアイメージの管理やワイヤレスアシュアランスの設定を行うには、ワイヤレスコントローラからの SFTP 接続に対して SFTP 互換モードを有効にする必要があります。Catalyst Center の SFTP サーバーでは、弱い暗号方式のサポートを最大 90 日間まで一時的に有効にすることができます。弱い暗号を許可するには、以下を実行します。

  1. SFTP サーバーの IP アドレスの横にある [i] アイコンにカーソルを合わせ、[Click here] をクリックします。

  2. [Compatibility Mode] スライドインペインで [Compatibility Mode] チェックボックスをオンにして期間( 1 分~ 90 日)を入力します。

  3. [Save] をクリックします。

ステップ 7

(任意) 設定を編集するには、対応するイメージ配信サーバーの横にある [Edit] アイコンをクリックし、必要な変更を行って [Save] をクリックします。

ステップ 8

(任意) イメージ配信サーバーを削除するには、イメージ配信サーバーの横にある [Delete] アイコンをクリックし、[Delete] をクリックします。

PnP デバイス認証の有効化

デバイスで認証を有効にするには、次の手順を実行します。

手順

ステップ 1

メインメニューから次を選択します。[System] > [Settings] > [Device Settings] の順に選択します。

ステップ 2

[Device Settings] ドロップダウンリストから [PnP Device Authorization] を選択します。

(注)  

 

デフォルトでは、デバイスは自動的に許可されます。

ステップ 3

[Device Authorization] チェックボックスをオンにしてデバイスで許可を有効にします。

ステップ 4

[Save] をクリックします。

デバイスプロンプトの構成

Catalyst Center ではユーザー名とパスワードのカスタムプロンプトを作成できます。カスタムプロンプトを使用してデバイスに関する情報を収集するように、ネットワーク内のデバイスを構成できます。

カスタムプロンプトの作成

手順

ステップ 1

メインメニューから次を選択します。[System] > [Settings] > [Device Settings] > [Device Prompts]の順に選択します。

[Device Prompts] ウィンドウが開きます。

ステップ 2

[Create Custom Prompt] をクリックします。

[Create Custom Prompt] スライドインペインが開きます。

ステップ 3

ユーザー名のカスタムプロンプトを作成するには、次の手順を実行します。

  1. [Prompt Type] ドロップダウンリストから、[username] を選択します。

  2. [Prompt Text] フィールドに、正規表現(Regex)でテキストを入力します。

  3. [Save] をクリックします。

ステップ 4

パスワードのカスタムプロンプトを作成するには、次の手順を実行します。

  1. [Prompt Type] ドロップダウンリストから、[password] を選択します。

  2. [Prompt Text] フィールドに、正規表現(Regex)でテキストを入力します。

  3. [Save] をクリックします。

(注)  

 

[Device Prompts] ウィンドウにカスタムプロンプトが表示されます。ユーザー名とパスワードのカスタムプロンプトを 8 つまで作成できます。

ステップ 5

カスタムプロンプトを必要な順序でドラッグアンドドロップします。

(注)  

 

Catalyst Center は、カスタムプロンプトの順序を維持し、プロンプトをコンマ区切り値としてデバイスに渡します。最上位のカスタムプロンプトの優先度が高くなります。

ステップ 6

編集アイコンをクリックして、カスタムプロンプトを編集します。

ステップ 7

カスタムプロンプトを削除するには、削除アイコンをクリックします。

(注)  

 

ユーザー名のプロンプトとパスワードのプロンプトには、一意の正規表現が必要です。同じまたは類似の正規表現を作成すると、デバイスで認証の問題が発生します。

デバイス構成のバックアップ設定の構成

Catalyst Center は、デバイスの実行構成の定期的なバックアップを実行します。バックアップの日時と、デバイスごとに保存できる構成ドリフトの合計数を選択できます。


(注)  

  • [Daily Backup]:Catalyst Center は、毎日午後 11:00(UTC タイムゾーン)に実行するようにスケジュールされた自動設定バックアップを実行します。このプロセス中、Catalyst Center は、最後にデバイス構成の収集が行われた時点のタイムスタンプと、デバイス構成がアーカイブされた時点のタイムスタンプを比較します。この差が 30 分を超える場合は、デバイス構成のアーカイブが実行されます。

    日次バックアップは、週次バックアップがスケジュールされている日には実行されません。

  • [Weekly Backup]:Catalyst Center は、毎週日曜日の午後 11:30(UTC タイムゾーン)に実行するようにスケジュールされた自動設定バックアップを実行します。

手順

ステップ 1

メインメニューから次を選択します。 [System] > [Settings] > [Configuration Archive] を選択します。

ステップ 2

[Configuration Archive] ウィンドウで、[Internal] タブをクリックします。

ステップ 3

[Number of config drift per device] ドロップダウンリストをクリックし、デバイスごとに保存する構成ドリフトの数を選択します。

デバイスごとに 7 ~ 50 の構成ドリフトを保存できます。保存される構成ドリフトの合計には、デバイスのすべてのラベル付き構成が含まれます。

(注)  

 

デフォルトでは、デバイスごとに保存される構成ドリフトの数は 15 です。

ステップ 4

バックアップの日時を選択します。

選択したバックアップの日時は、ネットワークに展開された Catalyst Center クラスタのタイムゾーンに基づきます。

ステップ 5

[Save] をクリックします。

バックアップは、スケジュールした後にアクティビティセンターで表示できます。

ステップ 6

[External] タブをクリックして、デバイス構成をアーカイブするための外部サーバーを構成します。詳細については、アーカイブデバイス構成用の外部サーバーの構成を参照してください。

アーカイブデバイス構成用の外部サーバーの構成

デバイスの実行コンフィギュレーションをアーカイブするための外部 SFTP サーバーを構成できます。

始める前に

外部サーバーで SSH、SFTP、SCP が有効になっていることを確認します。

手順

ステップ 1

メインメニューから次を選択します。 [System] > [Settings] > [Configuration Archive] を選択します。

ステップ 2

[Configuration Archive] ウィンドウで、[External] タブをクリックします。

ステップ 3

[Add] をクリックして、[External Repository] を追加します。

(注)  

 

追加できる SFTP サーバーは 1 つだけです。

ステップ 4

[Add New External Repository] スライドインペインで、次の詳細を入力します。

  1. [Host]:ホストの IP アドレスを入力します。

  2. [Root Location]:ルートフォルダの場所を入力します。

    (注)  

     

    • ルートの場所のパスが相対パスではなく絶対パスであることを確認します。

    • 外部サーバーのルートの場所は空である必要があります。

  3. [Server Protocol]:SFTP サーバーのユーザー名、パスワード、ポート番号を入力します。

  4. [Backup Format] を選択します。

    • [RAW]:実行コンフィギュレーションがすべて公開されます。すべての機密設定とプライベート設定は、バックアップデータでマスク解除されます。パスワードを入力して、バックアップファイルをロックします。

      (注)  

       

      ファイルのパスワードは Catalyst Center に保存されません。SFTP サーバー上のファイルにアクセスするには、パスワードを覚えておく必要があります。

    • [Sanitized (Masked)]:実行コンフィギュレーションの機密設定とプライベート設定の詳細がマスクされます。

      パスワードは、RAW バックアップ形式を選択した場合にのみ適用されます。

  5. バックアップサイクルをスケジュールします。

    バックアップの日付、時刻、タイムゾーン、およびバックアップの繰り返し間隔を入力します。

ステップ 5

[Save] をクリックします。

ステップ 6

SFTP サーバーの詳細を編集するには、[Action] 列の編集ボタンをクリックします。

ステップ 7

SFTP サーバーを削除するには、[Action] 列の下にある削除ボタンをクリックします。

クラウドアクセスキー

Catalyst Center に Cloud Device Provisioning Application パッケージをインストールしたら、クラウドアクセスキーを登録できます。システムでは、複数のクラウドアクセスキーがサポートされています。各キーは、そのクラウドアクセスキーを使用して検出された AWS インフラストラクチャのコンストラクトまたはリソースをすべて含む個別のクラウドプロファイルとして使用されます。クラウドアクセスキーを追加すると、AWS VPC インベントリ収集が自動的にトリガーされます。そのクラウドアクセスキーの VPC インベントリ収集で検出されたリソースが AWS インフラストラクチャで構築され、CSR および ワイヤレスコントローラ のクラウドプロビジョニングで表示して使用できます。

始める前に

  • Amazon Web Services(AWS)コンソールからアクセスキー ID と秘密鍵を取得します。

  • AWS マーケットプレイスで CSR または ワイヤレスコントローラ 製品に登録し、ターゲットリージョンのイメージ ID を確認します。

  • AWS での HA フェールオーバー時に CSR で使用するキーペアを特定します。そのリージョンの CSR をプロビジョニングする際は、このキーペアの名前を Catalyst Center のリストから選択します。

  • AWS での HA フェールオーバー時に CSR で使用する IAM ロールを特定します。CSR をプロビジョニングする際は、この IAM ロールを Catalyst Center のリストから選択します。

  • Catalyst Center と AWS の間の HTTPS REST API を介した通信に使用するプロキシを設定します。プロキシの設定を参照してください。

  • eNFV アプリの Cloud Connect 拡張機能は、Cloud Device Provisioning Application パッケージを別途展開することで有効になります。このパッケージは、デフォルトでは Catalyst Center の標準インストールに含まれていません。カタログサーバーからパッケージをダウンロードしてインストールする必要があります。詳細については、アプリケーションのダウンロードとインストールを参照してください。

手順

ステップ 1

メインメニューから次を選択します。[System] > [Settings] > [Cloud Access Keys] の順に選択します。

ステップ 2

[Add] をクリックします。

ステップ 3

[Access Key Name] を入力し、[Cloud Platform] をドロップダウンリストから選択します。AWS コンソールから取得した [Access Key ID] と [Secret Key] を入力します。

ステップ 4

[Save and Discover] をクリックします。

次のタスク

  • クラウドアクセスキーを追加すると、AWS VPC インベントリ収集が自動的にトリガーされます。クラウドプラットフォームとの同期には数分かかります。インベントリ収集は、デフォルトの間隔で実行するようにスケジュールされています。

  • クラウドインベントリ収集が正常に完了すると、[Provision] セクションの [Cloud] タブに、収集した AWS VPC インベントリのビューが表示されます。

整合性検証

完全性検証(IV)では、セキュリティリスクのあるデバイスデータに対する、デバイス侵害の可能性を示す予期しない変更または無効な値を監視します(該当する場合)。これは、各デバイスのソフトウェア、ハードウェア、プラットフォーム、構成時の設定を、シスコのすべてのサポート対象デバイスの設定に対するKnown Good Values(KGV)の認証済みセットと比較することで行われます。この目的は、シスコデバイスに対する不正な変更の検出時間を大幅に短縮することで、侵害の影響を最小限に抑えることにあります。


(注)  

IV では、Catalyst Center にアップロードされたソフトウェアイメージの完全性検証チェックを実行します。整合性検証チェックを実行するために、IV サービスは、Known Good Value(KGV)ファイルをアップロードする必要があります。

KGV ファイルのアップロード

セキュリティの整合性を提供するために、真正かつ有効なソフトウェアを実行しているものとしてシスコデバイスを検証する必要があります。現在、シスコデバイスには、真正なシスコソフトウェアを実行しているかどうかを判別するための参照ポイントがありません。IV では、収集されたイメージ整合性データをシスコソフトウェアの KGV と比較するためのシステムを使用します。

シスコは、その多くの製品の KGV が含まれる KGV データファイルを生成および発行しています。この KGV ファイルは標準の JSON 形式であり、シスコによって署名され、他のファイルとともに単一の KGV ファイルにバンドルされ、シスコの Web サイトから入手できます。KGV ファイルは、次の場所に掲載されています。

https://cscrdr.cloudapps.cisco.com/cscrdr/security/center/files/trust/Cisco_KnownGoodValues.tar

KGV ファイルは IV にインポートされ、ネットワークデバイスから取得した整合性の測定を検証するために使用されます。


(注)  

デバイス整合性の測定値は IV に提供され、IV 内で完全に使用されます。IV と cisco.com の間の接続は必要ありません。KGV ファイルを保護された環境にエアギャップ転送し、IV にロードできます。

始める前に

SUPER-ADMIN-ROLE 権限を持つユーザのみがこの手順を実行することができます。

手順

ステップ 1

メインメニューから次を選択します。[System] > [Settings] > [External Services] > [Integrity Verification] の順に選択します。

ステップ 2

現在の KGV ファイル情報を確認します。

  • [File Name]:KGV tar ファイルの名前。

  • [Imported By]:KGV ファイルをインポートした Catalyst Center ユーザー。自動的にダウンロードされる場合、値は [System] です。

  • [Imported Time]:KGV ファイルがインポートされた時刻。

  • [Imported Mode]:ローカルまたはリモートのインポートモード。

  • [Records]:処理されたレコード。

  • [File Hash]:KGV ファイルのファイルハッシュ。

  • [Published]:KGV ファイルの発行日。

ステップ 3

KGV ファイルをインポートするには、次のいずれかの手順を実行します。

  • KGV ファイルをローカルにインポートするには、[Import New from Local] をクリックします。
  • KGV ファイルを cisco.com からインポートするには、[Import Latest from Cisco] をクリックします。

(注)  

 

[Import Latest from Cisco] オプションでは、ファイアウォール設定は必要ありません。ただし、ファイアウォールがすでに設定されている場合は、https://cscrdr.cloudapps.cisco.com への接続のみを開く必要があります。

ステップ 4

[Import Latest from Cisco] をクリックした場合は、cisco.com への接続が行われ、最新の KGV ファイルが自動的に Catalyst Center にインポートされます。

(注)  

 

セキュアな接続は、Catalyst Center とそのプロキシ(初回セットアップ時に設定された場合)に追加された証明書を使用して行われます。

ステップ 5

[Import New from Local] をクリックした場合は、[Import KGV] ウィンドウが表示されます。

ステップ 6

次の手順のいずれかを実行してローカルにインポートします。

  • ローカル KGV ファイルを [Import KGV] フィールドにドラッグアンドドロップします。
  • [Click here to select a KGV file from your computer] をクリックして、ご使用のコンピュータ上のフォルダから KGV ファイルを選択します。
  • [Latest KGV file] リンクをクリックし、最新の KGV ファイルをダウンロードしてから、そのファイルを [Import KGV] フィールドにドラッグアンドドロップします。

ステップ 7

[Import] をクリックします。

KGV ファイルが Catalyst Center にインポートされます。

ステップ 8

インポートが完了したら、GUI で現在の KGV ファイル情報を検証し、ファイルが更新されたことを確認します。

IV は、Catalyst Center が展開されてから 7 日後に最新の KGV ファイルを cisco.com からシステムに自動的にダウンロードします。自動ダウンロードは 7 日ごとに継続されます。KGV ファイルをローカルシステムに手動でダウンロードして、Catalyst Center にインポートすることもできます。たとえば、金曜日に新しい KGV ファイルが使用可能になり、自動ダウンロードが 7 日ごと(月曜日)に行われる場合は、手動でダウンロードできます。

表示される KGV 自動ダウンロード情報には、以下が含まれます。

  • [Frequency]:自動ダウンロードの頻度。

  • [Last Attempt]:KGV スケジューラが最後にトリガーされた時間。

  • [Status]:KGV スケジューラの最後の試行のステータス。

  • [Message]:ステータスメッセージ。

    (注)  

     

    最新の KGV ファイルをインポートするときにエラーが見つかった場合は、エラーメッセージが表示されます。このエラーメッセージは複数の言語に翻訳されるようになりました。

次のタスク

最新の KGV ファイルをインポートしたら、[Design] > [Image Repository] を選択して、インポートされたイメージの整合性を表示します。


(注)  

すでにインポートされたイメージが [Unable to verify] ステータス(物理または仮想)である場合は、KGV ファイルをインポートした効果を [Image Repository] ウィンドウで確認できます。さらに、将来のイメージインポートでも、新しくアップロードした KGV を検証のために参照します(該当する場合)。

KGV バンドルの更新

Catalyst Center では、すべての失効またはスタック状態の IV ワークフローをキャンセルまたはクリアして、新しいワークフローを開始できます。この機能は、有効になるまでに時間がかかるため、性質上非同期です。

IV KGV ファイル ダウンロード ワークフローでは、cisco.com から直接最新の KGV のダウンロードをトリガーするか、新しい KGV を手動でアップロードします。さらに、スケジューラが毎日実行され、cisco.com から最新の KGV バンドルがダウンロードまたは更新されます。

KGV ファイルのダウンロード中または別のフェーズ中に、スケジューラ IV ワークフローまたはユーザートリガー IV ワークフローがスタック状態になった場合、新しい要求を送信できません。一度に 1 つの IV KGV ワークフローのみが許可されます。サービスリクエストを発生させてサービスを再起動する以外に、新しいリクエストを送信するオプションはありません。この問題を解決するために、Catalyst Center では、新しい API を導入しました。この API により、古いまたは停滞した IV ワークフローをキャンセルし、そのワークフローに関連付けられているタスクエントリをクリアし、さらにロックメカニズムをリセットできます。この処理により、新しい IV ワークフロー要求の同時リクエストを防止します。


(注)  

このキャンセル機能:

  • KGV ファイルのインポート時に [Import Latest From Cisco] を選択した場合にのみ適用されます。

  • 他のシナリオでは機能せず、古いワークフローでのみ機能します。

Cisco SD-Access の互換性マトリクス

Catalyst Center は、運用上の SD-Access ファブリックノードのハードウェアおよびソフトウェアの属性を、Cisco SD-Access 互換性マトリックスの情報と定期的に比較します。

検出された互換性の問題は集約され、各ファブリックサイトの SD-Access 準拠状態に表示されます。ファブリックサイトの集約された適合性状態は [Provision > SD-Access > Fabric Sites] ウィンドウから確認できます。

最新の SD-Access 互換性マトリックス情報をインポートまたはダウンロードするには、次の手順を実行します。

手順

ステップ 1

メインメニューから次を選択します。 [System > Settings > SD-Access Compatibility Matrix]。

[SD-Access Compatibility Matrix] ウィンドウには、最後にインポートされた互換性マトリックスの情報が表示されます。

(注)  

 

Catalyst Center は、毎日 1 回実行するようにスケジュールされている SD-Access 互換性マトリックス情報の自動ダウンロードを実行します。

自動ダウンロードの日時は、[SD-Access Compatibility Matrix] ウィンドウにも表示されます。

ステップ 2

SD-Access 互換性マトリックスファイルを手動でインポートするには、[Import Latest From Cisco] ハイパーリンクをクリックします。

(注)  

 

最新バージョンのファイルがすでに存在している場合は、[SD-Access Compatibility Matrix] ウィンドウの上部にバナーが表示されます。

ステップ 3

エアギャップ展開では、シスコから SD-Access 互換性マトリックスファイルをインポートすることはできないため、Catalyst Center では次のアップロードプロセスを提供します。

  1. デバイスロールおよび Catalyst Center パッケージバージョンの Cisco SD-Access 互換性マトリックスから SD-Access 互換性マトリックスファイルをダウンロードします。

    (注)  

     

    ダウンロードした JSON ファイルに変更を加えないでください。

  2. [Import New From Local] ハイパーリンクをクリックし、次のいずれかを実行します。

    • [Choose a file] をクリックしてファイルをインポートします。

    • JSON ファイルをドラッグ アンド ドロップ エリアにドラッグアンドドロップします。

(注)  

 

ファイルサイズは 10 MB を超えることはできません。

IP アドレスマネージャの設定

Catalyst Center を外部 IP アドレスマネージャ(IPAM)と通信するように設定できます。Catalyst Center を使用して、IP アドレスプールの作成、予約、または削除を行うと、Catalyst Center はその情報を外部 IPAM に伝達します。

始める前に

外部 IPAM 統合の要件:

  • IPAM 関数への書き込み権限を持つロールを作成し、Catalyst Center との統合に使用するユーザーアカウントに割り当てます。

  • ポイントツーポイント アドレッシングの LAN 自動化による IP プール作成を有効にするには、ロールに次のものが含まれている必要があります。

    • Infoblox の場合:[Network Views] の書き込み権限。

    • BlueCat の場合:[Configurations] へのフルアクセス権限。

手順

ステップ 1

メインメニューから次を選択します。[System] > [Settings] > [External Services] > [IP Address Manager] の順に選択します。

ステップ 2

[Server Name] フィールドに、IPAM サーバーの名前を入力します。

ステップ 3

[Server URL] フィールドに、IPAM サーバーの URL または IP アドレスを入力します。

証明書がこのサーバーに対して信頼されていないことを示す警告アイコンとメッセージが表示されます。信頼証明書を IPAM から直接インポートするには、次の手順を実行します。

  1. 警告アイコンをクリックします。

    [Certificate Warning] ダイアログボックスが表示されます。

  2. 証明書の発行者、シリアル番号、および有効期限を確認します。

  3. 情報が正しい場合は、チェックボックスをオンにして Catalyst Center による IP アドレスへのアクセスを許可し、信頼できない証明書を信頼できる証明書に追加します。

  4. [Allowed] をクリックします。

ステップ 4

[Username] および [Password] フィールドに、IPAM ログイン情報を入力します。

ステップ 5

[Provider] ドロップダウンリストからプロバイダーを選択します。

  • [BlueCat] をプロバイダとして選択した場合は、自分のユーザーに、BlueCat アドレスマネージャの API アクセスが許可されていることを確認します。1 人または複数のユーザーの API アクセスを設定する方法に関する詳細については、BlueCat のドキュメンテーションを参照してください。

    Catalyst Center を連邦情報処理標準(FIPS)モードの BlueCat と統合するには、BlueCat 9.3.0 を使用します。

ステップ 6

[View] ドロップダウンリストから、デフォルトの IPAM ネットワークビューを選択します。専用ビューが 1 つ設定されている場合、[default] のみがドロップダウンリストに表示されます。ネットワークビューが IPAM で作成され、IP アドレスプールのコンテナとして使用されます。

ステップ 7

Catalyst Center の IP アドレスプールを IPAM と同期する場合は、[Sync global pools from IP Address Pools to the selected view from IPAM server] チェックボックスをオンにします。IP プールを同期しない場合は、このチェックボックスをオフのままにします。

(注)  

 

IPAM のビューが Catalyst Center の IP アドレスプールとすでに同期されていることがわかっている場合にのみ、同期をスキップしてください。たとえば、次のような場合です。

  • IPAM がバックアップと復元によって新しいサーバーインスタンスにアップグレードされた場合

  • 誤って削除した IPAM を読み込む場合

ビューが Catalyst Center の IP アドレスプールと同期していない場合、IPAM を追加や更新する際に同期をスキップすると、今後のプール操作でエラーが発生する可能性があります。

ステップ 8

[Save] をクリックします。

次のタスク

証明書が正常に追加されたことを確認するには、[System] > [Settings] > [Trust & Privacy] > [Trusted Certificates] に移動します。


(注)  

信頼できる証明書では、証明書はサードパーティの信頼できる証明書として参照されます。

[System] > [System 360]に移動し、外部 IP アドレスマネージャ設定が正常に完了したことを確認します。

Meraki 統合の設定

この手順を使用して Catalyst Center と Meraki ダッシュボードを統合し、ネットワーク展開を一元的にモニターします。

Meraki ダッシュボードでの統合の設定に関する詳細については、Meraki の Web サイトで『Meraki and Catalyst Center Global Overview』の「Add Catalyst Center to Dashboard」を参照してください。

手順

ステップ 1

Meraki ダッシュボードから、Catalyst Center を新しい組織として追加します。

  1. [Global Overview] ページの Organizations で、[Add organizations] をクリックし、[Add Catalyst Center as an organization] を選択します。

  2. [Add Organization] ダイアログボックスで、次の詳細情報を入力します。

    • [Cloud hosting region]:クラウドホスティング地域を選択します。

    • [Organization name for the Catalyst Center]:組織名を入力します。

    • [Catalyst Center IP address or FQDN]:Catalyst Center の IP アドレスまたは FQDN を入力します。

    • [Catalyst Center Member ID]:Catalyst Center メンバー ID を入力します。

      ヒント

       

      Catalyst Center メンバー ID を表示するには次の手順を実行します。

      1. Catalyst Center のウィンドウの右上にあるヘルプアイコンをクリックし、[About] を選択します。

      2. [Member ID] をクリックします。

  3. [Add Organization] をクリックします。

    [Connect Catalyst Center] ダイアログボックスに、作成に成功したことを示すメッセージが表示され、Meraki ダッシュボードを Catalyst Center に接続する方法が示されます。

ステップ 2

Catalyst Center から、Catalyst Center を Cisco Catalyst クラウドに登録します。

  1. メインメニューから次を選択します。[System > Settings > External Services > Cisco Catalyst Cloud] の順に選択します。

  2. [Cisco Catalyst Cloud] ページで、[Register] をクリックします。

  3. [Activate your device] ポップアップウィンドウで、[Next] をクリックして続行します。

    (注)  

     

    [Activation code] フィールドは事前に入力されています。

  4. [Sign in] ポップアップウィンドウで、Cisco アカウントにサインインします。

    Catalyst Center が登録され、[Cisco Catalyst Cloud] ページに登録情報が表示されます。

ステップ 3

[Cisco Catalyst Cloud] ページの [アプリケーション] で、[Meraki Dashboard] タイルを見つけ、[Activate] をクリックして Catalyst Center を Meraki ダッシュボードに接続します。

システムは、[Meraki Dashboard] タイルの右上隅に「Activated」と記載された緑色のチェックマークを表示し、接続が成功したことを示します。

ステップ 4

Meraki ダッシュボードから、統合された Catalyst Center データを表示するには、[Global Overview] ページを更新します。

Webex 統合の設定

Catalyst Center はクライアント 360 の Webex 会議セッション情報を提供します。

手順

ステップ 1

メインメニューから次を選択します。[System] > [Settings] > [External Services] > [Webex Integration] の順に選択します。

ステップ 2

[Authenticate to Webex] をクリックします。

ステップ 3

[Cisco Webex] ポップアップウィンドウで、電子メールアドレスを入力し、[Sign In] をクリックします。

ステップ 4

パスワードを入力し、[Sign In] をクリックします。

Webex 認証が正常に完了します。

ステップ 5

[Default Email Domain for Webex Meetings Sign-In] で、Webex ユーザーの電子メールドメインを入力し、[Save] をクリックします。

Webex ドメインは組織全体に適用され、ドメインを使用するすべてのユーザーが会議を主催したり会議に参加したりできます。

ステップ 6

(任意) [Authentication Token] で、[Delete] をクリックして Webex 認証を削除します。

Catalyst Center と Microsoft Teams の統合

Catalyst Center は、Microsoft Teams との統合をサポートしています。このセクションの内容

  • Catalyst Center を Microsoft Teams と統合する場合に必要な情報について説明します。

  • 既知の制限事項について説明します。

  • これらの 2 つの製品の統合について説明します。

Microsoft Teams 統合に関する考慮事項

Catalyst Center と Microsoft Teams の統合については、次の点に注意してください。

データの処理とプライバシーへの考慮事項

  • Cisco Catalyst クラウドポータルは、Microsoft テナントから次の情報を取得し、クラウドでローカルに保存します。

    • Microsoft Teams 通話レコードデータ

    • ユーザー プロファイル データ(ID、電子メール アドレス、名、姓、表示名、オフィス ロケーションなど)

  • Catalyst クラウドポータルでは、削除する前に 1 時間データが保存されます。

  • Catalyst Center のプライバシーポリシーを表示するには、Catalyst Center プライバシーデータシートを参照してください。

  • クラウドデータベースの情報にアクセスできるのは、Cisco Cloud Ops チームのみです。

  • Catalyst クラウドポータルは、AWS EBS を使用して暗号化されたファイルシステムに Microsoft Teams データを保存します。アクセストークンなどの機密データが暗号化されてデータベースに保存されます。

  • Catalyst クラウドポータルでは、データを取得するために、Microsoft から次の API 権限が必要です。

    • User.ReadBasic.All

    • CallRecords.Read.All

    • User.Read

統合および接続に関する考慮事項

  • オンプレミス Catalyst Center インスタンスは、データを取得するために Catalyst クラウドポータルを 5 分ごとにポーリングします。

  • Catalyst Center が Microsoft Teams と統合されている場合、Catalyst クラウドポータルは次の FQDN を使用します。

    • dna.cisco.com

    • dnaservices.cisco.com

    • *.ciscoconnectdna.com

    • neoffers.cisco.com

    • neoffers-de.cisco.com

    • app-experience-connect.cisco.com

    • app-experience-connect-de.cisco.com

  • Catalyst クラウドポータルサービスは静的 IP アドレスを使用しません。トラフィックを制御する必要がある場合は、代わりにドメイン名を使用します。

  • 統合には Catalyst クラウドポータルへの接続が必要になるため、エアギャップ Catalyst Center 展開を Microsoft Teams と統合することはできません。

  • Catalyst Center バージョン 2.3.7.5 以前の場合は、米国西部または EU 中央地域を使用して、Catalyst クラウドポータルでオンプレミス Catalyst Center インスタンスを登録します。Catalyst Center 2.3.7.6 以降の場合、米国西部地域を使用してのみ登録できます。

  • 接続すると、Catalyst Cloud ポータルと Microsoft Teams は次の API を使用します。

    • 認証:{org tenant id}/adminconsent および {org tenant id}/oauth2/v2.0/token

    • サブスクリプション:v1.0/subscriptions

    • コールレコードを取得しています:v1.0/communications/callRecords/{call record id}?$expand=sessions($expand=segments) および v1.0/users/{user id}

認証と権限に関する考慮事項

  • Microsoft Teams アカウントで多要素認証(MFA)が使用されている場合、同意フローでアカウントの詳細を入力するときに MFA が使用されます。

  • Catalyst Center 2.3.7.6 以降では、OAuth2 標準のデバイス認証フローが使用されます。以前の Catalyst Center バージョンでは、ワンタイムパスワード(OTP)認証が使用されていました。このバージョンでは、ユーザーは Catalyst Cloud ポータルでパスワードを生成し、そのパスワードを使用して、Catalyst Center と Catalyst Cloud ポータルの統合を完了しました。

  • Catalyst Cloud ポータルの権限を付与すると、Microsoft Teams は標準的な OAuth アクセスおよび更新トークンを発行します。Catalyst Cloud ポータルは、更新トークンを使用して毎時アクセストークンを更新します。ユーザーのログイン情報は Catalyst Cloud ポータルには送信されません。

  • 次のロールで設定された Microsoft Teams ユーザーのみが、統合を開始できます。

    • グローバル管理者

    • 特権ロール管理者

    • アプリケーション設定が有効になっている場合に権限を付与する権限を持つカスタムロール


    (注)  

    詳細については、次の記事を参照してください。

  • 統合プロセス中に、次の手順を実行して、Microsoft Teams を認証するために必要な同意を提供します。

    1. [Authenticate your application] ページで、[Click here to start the consent flow] リンクをクリックします。

    2. 表示されるダイアログボックスで、Microsoft Teams のパスワードを入力し、[Sign in] をクリックします。

    3. [Permissions requested] ダイアログボックスで、最初の 2 つのチェックボックスを選択し、[Accept] をクリックします。

    4. 次のいずれかを実行します。

      • 前の FAQ エントリで説明した 3 つのロールのいずれかで設定している場合(管理者権限があることを意味します)、最初に [I am an Admin] をクリックします。次に、[Permissions requested] ダイアログボックスで、3 つすべてのチェックボックスをクリックします。最後に、[Accept] をクリックします。

      • 管理者権限がない場合は、まず [Copy URL] をクリックします。次に、管理者権限を持つユーザーにこの URL を送信します。最後に、そのユーザーに URL を開いてもらい、必要な同意を与えます。

  • Microsoft に登録されている Catalyst クラウドポータルの OAuth アプリケーションのアプリケーション ID は、904c49f0-22c5-4a6f-a96c-613c2c319fc8 です。アプリケーションの名前は Cisco Catalyst Center Applications Experience です。

統合範囲に関する考慮事項

  • Microsoft Teams が物理 Catalyst Center アプライアンスと統合された場合に発生する可能性のある制限事項や制限事項に違いはありません。

  • 1つの Catalyst Center インスタンスを 1 つの Microsoft Teams テナントにマッピングできます。Catalyst Center インスタンスを適切な Microsoft Teams アカウントと統合します。

  • 単一の Catalyst クラウドポータルアカウントに複数の Catalyst Center インスタンスを登録できます。Catalyst クラウドポータルは、登録された Microsoft Teams アカウントからデータを収集します。登録済み Catalyst Center の各インスタンスは、管理対象クライアントからデータを取得します。

ロギングとメトリックに関する考慮事項

  • ネットワークに Catalyst 9000 シリーズ スイッチのみがある場合、Microsoft Teams のスコアとメトリックのみを使用できます。Catalyst 9000 シリーズ スイッチは、定性的なメトリック(パケット損失、遅延、ジッターなど)を提供しないため、ネットワーク アプリケーション パフォーマンス管理(APM)メトリックは使用できません。

既知の制限事項

Catalyst Center を Microsoft Teams と統合した後に、次の制限事項が発生する可能性があります。

  • 正常性データは、10 分未満の会議では使用できない場合があります。

  • 通話が終了すると、Microsoft Teams から Catalyst クラウドポータルに通知が送信されるまでに数時間かかることがあります。

  • オンプレミスバージョンの Catalyst Center では、通話レコードデータが 14 日間保存されます。

AppX MS-Teams 統合の構成

アクティブ化すると、Catalyst Center のアプリケーション 360 ダッシュボードとクライアント 360 ダッシュボードに通話品質メトリック情報が表示されます。

始める前に

管理者権限を付与された Microsoft Teams アカウントが必要です。

手順

ステップ 1

メインメニューから次を選択します。 [System] > [Settings] > [External Services] > [Cisco Catalyst - Cloud] の順に選択します。

ステップ 2

[Region] ドロップダウンリストから Catalyst Cloud US リージョンを選択します。統合を機能させるには、同じリージョン(Catalyst Cloud US)で Microsoft Teams を有効にする必要があります。

ステップ 3

アイコンをクリックし、名前で検索して、[AppX MS-Teams] を見つけます。

ステップ 4

[Activate] をクリックします。

[Cisco Catalyst - Cloud] ウィンドウにリダイレクトされます。

ステップ 5

[Cisco Catalyst - Cloud] ウィンドウで、次の手順を実行します。

  1. cisco.com ログイン情報を使用して Cisco Catalyst - Cloud にログインします。

    cisco.com ログイン情報がない場合は、作成することができます

  2. [Activate application on your product] ウィンドウで、同意フローリンクをクリックして、次のタスクを実行します。

    • [Sign in to your account] ウィンドウで、Microsoft 管理者のユーザー名とパスワードを入力し、[Sign In] をクリックします。

    • [承認(Accept)] をクリックします。

  3. [Activate application on your product] ウィンドウで、Catalyst Center を選択し、[Next] をクリックします。

    新しい Catalyst Center を登録するには、こちらのリンクをクリックして、次の手順を実行します。

    • [Host name/IP] フィールドに、Catalyst Center の IP アドレスを入力します。

    • [Product Name] フィールドに、Catalyst Center の名前を入力します。

    • [Type] フィールドに、Catalyst Center のタイプを入力します。

    • [Register] をクリックします。

  4. Cisco Catalyst - CloudCatalyst Center と自動的に同期します。その後、[Choose the Scope for your Cisco Catalyst Center] ウィンドウにリダイレクトされます。[Next] をクリックします。

  5. [Summary] ウィンドウで、設定を確認します。変更するには、[Edit] をクリックします。

  6. [Activate] をクリックします。

    Catalyst Center に再びリダイレクトされます。

    (注)  

     
    製品を非アクティブ化するか、AppX MS-Teams アプリケーションから接続解除する場合は、Cisco Cloud Services を使用した AppX MS-Teams 統合の構成を参照してください。

Cisco Cloud Services を使用した AppX MS-Teams 統合の構成

次の手順を使用して、Cisco Cloud サービスを介したデバイスでの MS-Teams 統合のステータスをアクティブ化、非アクティブ化、またはチェックします。

始める前に

管理者権限を付与された Microsoft Teams アカウントが必要です。

手順

ステップ 1

cisco.com ログイン情報を使用して Cisco Cloud サービス にログインします。

cisco.com ログイン情報がない場合は、作成することができます

ステップ 2

メインメニューから次を選択します。アプリケーションと製品

ステップ 3

[Region] ドロップダウンリストから Catalyst Cloud US リージョンを選択します。統合を機能させるには、同じリージョン(Catalyst Cloud US)で Microsoft Teams を有効にする必要があります。

ステップ 4

アイコンをクリックし、名前で検索して、[AppX MS-Teams] を見つけます。

ステップ 5

[AppX MS-Teams] タイルで、[Activate] をクリックします。詳細については、AppX MS-Teams 統合の構成を参照してください。

ステップ 6

製品がアクティブ化されたら、[Exit] をクリックします。

ステップ 7

[Applications] ウィンドウにリダイレクトされます。

ステップ 8

[AppX MS-Team] タイルをクリックして、[App 360] ウィンドウに詳細を表示します。

ステップ 9

(オプション)[App 360] ウィンドウから製品をアクティブ化するには、次の手順を実行します。

  1. [Product Activations] テーブルで、[Add] をクリックします。

  2. アクティブ化する製品を選択し、[Next] をクリックします。

    (注)  

     

    一度に複数の製品を選択することはできません。

  3. [Summary] ウィンドウで、設定を確認します。変更するには、[Edit] をクリックします。それ以外の場合は、[Activate] をクリックします。

ステップ 10

(オプション)製品を非アクティブ化するには、次の手順を実行します。

  1. [AppX MS-Teams] タイルをクリックします。

  2. [Product Activations] テーブルで、非アクティブ化する製品の横にあるチェックボックスをオンにします。

  3. [More Action] ドロップダウンリストから、[Deactivate] を選択します。

  4. 確認ウィンドウで、[Deactivate] をクリックします。

ステップ 11

(オプション)AppX MS-Teams アプリケーションから製品の接続を解除するには、次の手順を実行します。

  1. [AppX MS-Teams] タイルをクリックして、[App 360] ウィンドウに詳細を表示します。

  2. 上部のメニューバーで、[View all details] をクリックします。

    [Details] スライドインペイン が表示されます。

  3. [Disconnect now] をクリックします。

ThousandEyes 統合の構成

外部 ThousandEyes API エージェントと通信するように Catalyst Center を構成して、認証トークンを使用して ThousandEyes の統合を有効にできます。統合後、Catalyst Center はアプリケーション ヘルス ダッシュボードに ThousandEyes エージェントのテストデータを提供します。

始める前に

Cisco Catalyst 9300 および 9400 シリーズスイッチをサポートするアプリケーション ホスティングを介して ThousandEyes エージェントを展開したことを確認します。

手順

ステップ 1

メインメニューから次を選択します。[System] > [Settings] > [External Services] > [ThousandEyes Integration] の順に選択します。

ステップ 2

[Insert new token here] フィールドに、認証トークンを入力します。

(注)  

 

OAuth ベアラートークンを受け取るには、[ThousandEyes] ページに移動します。https://app.thousandeyes.com/

ステップ 3

[Save] をクリックします。

ステップ 4

ThousandEyes アカウントを Catalyst Center に接続するには、次の手順を実行します。

  1. [Start set up] をクリックします。デバイス認証コードが表示されます。

  2. [Login] をクリックし、[Cisco ThousandEyes authentication] ポップアップウィンドウにデバイス認証コードを入力して、[Verify] をクリックします。

  3. [ThousandEyes login] ウィンドウで、ThousandEyes のログイン情報を入力し、[Login] をクリックします。

ステップ 5

ThousandEyes との接続を解除するには、[Disconnect] をクリックします。

デバッグログの設定

サービスの問題のトラブルシューティングに役立てるために、Catalyst Center サービスのログレベルを変更できます。

ログレベルによって、ログファイルでキャプチャされるデータ量が違います。各ログレベルは累積的です。つまり、各レベルには、指定されたレベル以上のレベルで生成されたデータがあれば、すべて含まれます。たとえば、ログ レベルを [Info] に設定すると、[Warn] および [Error] ログもキャプチャされます。より多くのデータをキャプチャして、問題のトラブルシューティングに役立つようにログレベルを調整することをお勧めします。たとえば、ログレベルを調整することで、より多くのデータをキャプチャし、根本原因分析または RCA サポートファイルで確認できるようになります。

サービスのデフォルトのログレベルには情報提供([Info])が含まれています。情報提供からのログレベルを、さまざまなログレベル([Debug] または [Trace])に変更して、より詳細な情報をキャプチャできます。


注意    

開示される可能性がある情報のタイプによっては、[Debug] レベル以上で収集されたログでアクセスを制限する必要があります。


(注)  

ログファイルが作成されると Catalyst Center ホストの一元的な場所に保存され、GUI で表示されます。この場所から、Catalyst Center は、GUI([System] > [System 360] > [Log Explorer])でログを照会して表示できます。ログは、過去 2 日間のクエリにのみ使用できます。2 日以上経過したログは、この場所から自動的に消去されます。

始める前に

SUPER-ADMIN-ROLE 権限を持つユーザのみがこの手順を実行することができます。

手順

ステップ 1

メインメニューから次を選択します。[System] > [Settings] > [System Configuration] > [Debugging Logs] の順に選択します。

[Debugging Logs] ウィンドウが表示されます。

ステップ 2

[Service] ドロップダウンリストからサービスを選択し、そのログレベルを調節します。

[Service] ドロップダウンリストには、現在 Catalyst Center に設定され、実行中のサービスが表示されます。

ステップ 3

[Logger Name] を入力します。

これは、ロギングフレームワークにメッセージを出力するソフトウェアコンポーネントを制御するために追加された高度な機能です。この機能を使用する際は、十分注意してください。この機能を誤用すると、テクニカルサポートのために必要な情報が失われる可能性があります。ログメッセージは、ここで指定されたロガー(パッケージ)に対してのみ書き込まれます。デフォルトでは、ロガー名には com.cisco で始まるパッケージが含まれています。追加のパッケージ名はカンマ区切り値として入力できます。明示的に指示されていない限り、デフォルト値は削除しないでください。* を使用すると、すべてのパッケージがログに記録されます。

ステップ 4

[Logging Level] ドロップダウンリストで、サービスの新しいログレベルを選択します。

Catalyst Center では次のログレベルがサポートされています(詳細は以下、降順)。

  • [Trace]:トレースメッセージ

  • [Debug]:デバッグメッセージ

  • [Info]:正常だが重要な状態メッセージ

  • [Warn]:警告状態メッセージ

  • [Error]:エラー状態メッセージ

ステップ 5

[Time Out] フィールドで、ログレベルの期間を選択します。

ログレベルの期間を 15 分単位で設定します(~無制限)。期間を無制限に指定する場合、トラブルシューティング作業が完了するたびに、デフォルトのログレベルをリセットする必要があります。

ステップ 6

選択内容を確認し、[Save] をクリックします。

ネットワークの再同期間隔の設定

[System] > [Settings] > [Network Resync Interval] の順に選択すると、グローバルレベルですべてのデバイスのポーリング間隔を更新できます。また、[Device Inventory] を選択すると、デバイスレベルで特定のデバイスのポーリング間隔を更新できます。[Network Resync Interval] を使用してポーリング間隔を設定すると、その値が [Device Inventory] ポーリング間隔値よりも優先されます。

始める前に

  • SUPER-ADMIN-ROLE 権限を持つユーザのみがこの手順を実行することができます。

  • インベントリにデバイスがあることを確認します。デバイスがない場合は、ディスカバリ機能を使用して検出します。

手順

ステップ 1

メインメニューから次を選択します。[System] > [Settings] > [Device Settings] > [Network Resync Interval] の順に選択します。

ステップ 2

[Resync Interval] フィールドに、新しい時間値(分)を入力します。

ステップ 3

(オプション)すべてのデバイスに対して設定された既存のポーリング間隔をオーバーライドする場合は、[Override for all devices] チェックボックスをオンにします。

ステップ 4

[Save] をクリックします。

監査ログの表示

監査ログは、Catalyst Centerで実行されているさまざまなアプリケーションに関する情報を取得します。さらに、監査ログは、デバイス Public Key Infrastructure(PKI)通知についての情報も取得します。これらの監査ログの情報は、アプリケーションまたはデバイス CA 証明書に関連する問題(ある場合)のトラブルシューティングを支援するために使用できます。

監査ログは、発生したシステムイベント、発生した場所、開始したユーザーを記録するシステムでもあります。監査ログを使用すると、監査用の別のログ ファイルにシステムの設定変更が記録されます。

手順

ステップ 1

メインメニューから次を選択します。[Activities] > [Audit Logs] の順に選択します。

[Audit Logs] ウィンドウが開きます。このウィンドウで、ネットワーク内の現在のポリシーに関するログを表示できます。これらのポリシーは、Catalyst Center にインストールされているアプリケーションによってネットワークデバイスに適用されます。

ステップ 2

タイムラインスライダをクリックして、ウィンドウに表示するデータの時間範囲を次のとおり指定します。

  1. [Time Range] 領域で、[Last 2 Weeks]、[Last 7 Days]、[Last 24 Hours]、または [Last 3 Hours] の時間範囲を選択します。

  2. カスタム範囲を指定するには、[By date] をクリックし、開始日時と終了日時を指定します。

  3. [Apply] をクリックします。

ステップ 3

対応する子監査ログを表示するには、監査ログの横にある矢印をクリックします。

各監査ログは、いくつかの子監査ログの親になることができます。矢印をクリックすると、一連の追加の子監査ログを表示できます。

(注)  

 

監査ログは、Catalyst Center によって実行されたタスクに関するデータをキャプチャします。子監査ログは、Catalyst Center によって実行されたタスクのサブタスクです。

ステップ 4

(任意)左側のペインに表示された監査ログのリストで特定の監査ログメッセージをクリックします。右側のペインで[Event ID] > [Copy Event ID to Clipboard]をクリックします。コピーされた ID を API で使用すると、イベント ID に基づく監査ログメッセージを取得できます。

監査ログの右側のペインに各ポリシーの [Description][User][Interface][Destination] が表示されます。

(注)  

 

監査ログには、ペイロード情報を含む POST、DELETE、PUT などのノースバウンド操作の詳細と、デバイスにプッシュされた設定などのサウスバウンド操作の詳細が表示されます。Cisco DevNet の API の詳細については、『Catalyst Center Platform Intent APIs』[英語] を参照してください。

ステップ 5

(任意)[Filter] をクリックして、[User ID]、[Log ID]、または [Description] でログをフィルタリングします。

ステップ 6

鉛筆アイコンをクリックして監査ログイベントを登録します。

syslog サーバーのリストが表示されます。

ステップ 7

接続する syslog サーバーのチェックボックスをオンにし、[Save] をクリックします。

(注)  

 

監査ログイベントの登録を解除するには、syslog サーバーのチェックボックスをオフにして [Save] をクリックします。

ステップ 8

右側のペインで、[Search] フィールドを使用して、ログメッセージ内の特定のテキストを検索します。

ステップ 9

メインメニューから次を選択します。[Activities] > [Tasks] で、OS の更新やデバイスの交換などの予定、進行中、完了および失敗したタスクと、既存、レビュー保留、および失敗した操作項目を確認します。

Syslog サーバーへの監査ログのエクスポート

監査ログの syslog を有効にすると、次のような利点があります。

  • ロギングの一元化:ログを一元的に収集して保存し、モニタリングを容易にします。

  • セキュリティモニタリング:不正または不審なアクティビティを迅速に検出します。

  • 規則遵守:監査や調査用の改ざん防止記録を維持します。

複数の syslog サーバーに接続することで、監査ログを Catalyst Center から複数の syslog サーバーにエクスポートできます。

始める前に

[System] > [Settings] > [External Services] > [Destinations] > [Syslog] 領域で syslog サーバーを設定します。

手順

ステップ 1

メインメニューから次を選択します。[Activities] > [Audit Logs] の順に選択します。

ステップ 2

ウィンドウの上部にある鉛筆アイコンをクリックします。

ステップ 3

接続する syslog サーバーを選択し、[Save] をクリックします。

ステップ 4

(任意) syslog サーバーから切断するには、選択を解除して [Save] をクリックします。

設定の可視性と制御の有効化

[Visibility and Control of Configurations] 機能は、計画したネットワーク構成をデバイスに展開する前にセキュリティを強化するソリューションを提供します。優れた可視化機能により、デバイス構成を展開する前にプレビューできます(CLI および NETCONF コマンドを使用)。可視化機能はデフォルトで有効になっています。可視化機能が有効になっている場合は、確認するまでデバイス設定を展開できません。強化された制御により、計画されたネットワーク設定を IT サービス管理(ITSM)に送信して承認できます。制御が有効になっている場合は、IT 管理者が承認するまで設定を展開できません。


(注)  

プロビジョニング ワークフローで [Visibility and Control of Configurations] がサポートされている場合は、タスク展開のスケジュール時に次のバナーメッセージが表示されます。

このワークフローでは、ネットワーク管理者などのユーザーがネットワークデバイスにワークフローを展開する前に、設定をプレビューできます。ワークフロー設定を構成するには、[System] > [Settings] > [Visibility and Control of Configurations]に移動します。

始める前に

[ITSM Approval] を有効にできるように、Catalyst Center で ITSM が有効になっており、かつ設定されていることを確認します。ITSM を有効にし、設定する方法については、『Catalyst Center ITSM Integration Guide』の「Configure the Catalyst Center Automation Events for ITSM (ServiceNow) Bundle」[英語] を参照してください。

手順

ステップ 1

メインメニューから次を選択します。 [System] > [Settings] > [System Configuration] > [Visibility and Control of Configurations] の順に選択します。

ステップ 2

[Configuration Preview] トグルボタンをクリックして、可視性を有効または無効にします。

可視性を有効にした場合、デバイス設定を展開する前にプレビューする必要があります。

可視性を無効にした場合、デバイス設定を展開する前にプレビューを強制されなくなります。可視性が無効になっている場合は、プレビューの要否にかかわらず設定をスケジュールして展開できます。

ステップ 3

(任意) [ITSM Approval] トグルボタンをクリックして制御を有効または無効にします。

制御を有効にした場合、計画したネットワーク構成を展開する前に、ITSM 管理者に送信して承認を受ける必要があります。

制御を無効にした場合、計画したネットワーク構成を展開する前の ITSM の承認が不要になります。制御が無効になっている場合、ITSM の承認なしで設定を展開できます。

タスクと作業項目の詳細の表示、検索、およびフィルタリング

[Tasks] ウィンドウで、タスクと作業項目の詳細を表示、検索、およびフィルタリングできます。

手順

ステップ 1

メインメニューから次を選択します。[Activities] > [Tasks]の順に選択します。

デフォルトでは、[Tasks] ウィンドウには実行予定、進行中、失敗、および成功したすべてのタスクに加えて、既存の作業項目やレビュー保留中、失敗した作業項目が表示されます。失敗したすべてのタスクには、エラーログを迅速に分析するためのヒントを提供するトレース ID があります。左側の [SUMMARY] ペインには、表示されるタスクと作業項目のリストを絞り込むためのフィルタリングオプションが表示されます。矢印アイコンをクリックすると、[SUMMARY] ペインを展開したり折りたたんだりできます。

ステップ 2

次の表を使用して、[Tasks] ウィンドウでタスクと作業項目の詳細を表示、検索、およびフィルタ処理できます。

アクション

手順

特定のタスクと作業項目の詳細をフィルタ処理します。

  1. [SUMMARY] ペインの [Type] で、[ Task] をクリックしてタスクのみをフィルタリングするか、[ Work Item] をクリックして作業項目のみをフィルタリングします。

  2. [Status] > [Review Status] > [Last Updated] > [Categories] > [Recurring] で使用可能なフィルタオプションを使用して、タスクと作業項目の詳細をフィルタリングします。

    フィルタリングが適用された結果が [Tasks] ウィンドウに表示されます。

    ヒント

     

    [Categories] で [Show all] をクリックして [Search] フィールドを使用すると、特定のカテゴリを検索できます。

適用されたフィルタを削除します。

  1. [SUMMARY] ペインの [FILTERED BY] で、適用したフィルタの横にある [x] をクリックします。

    フィルタを削除した結果が [Tasks] ウィンドウに表示されます。

  2. チェックボックスをオフにして、[Status]、[Review Status]、および [Categories] フィルタを削除することもできます。

タイトルまたはユーザー名でタスクと作業項目を検索します。

デフォルトでは、[Search] フィールドは、説明によってタスクと作業項目を検索します。タスクまたは作業項目の検索時にフィルタが適用されている場合は、適用されたフィルタで検索が実行されます。たとえば、[In Progress] フィルタを適用して、名前に「provision」が含まれるすべてのタスクと作業項目を検索した場合、このキーワードを含む進行中のタスクと作業項目のみが検索されます。

  1. [Search by description] フィールドに、タスクまたは作業項目の説明を入力します。

    [Tasks] ウィンドウには、入力した説明に基づいてフィルタリングされたタスクと作業項目のリストが表示されます。

  2. ユーザー名で検索するには、[Search] フィールドで次の手順を実行します。

    1. フィルタアイコンをクリックします。

    2. [username] をクリックします。

    3. [Search by username] フィールドにユーザー名を入力します。

    4. [Apply] をクリックします。

タスクと作業項目のリストをソートします。

デフォルトでは、タスクと作業項目は最終更新日時順に表示されます。タスクと作業項目は、開始時刻または更新時刻でソートできます。

  1. [Search] フィールドの右側でソートドロップダウンリストにカーソルを合わせ、ソートオプションを選択します。

    [Tasks] ウィンドウには、選択したソートオプションに基づいてソートされたタスクと作業項目のリストが表示されます。

タスクの表示、編集、停止、削除

Catalyst Center では、実行予定のタスク、実行中のタスク、失敗したタスク、および完了したタスクを表示できます。

タスクは、ユーザーまたはシステムがスケジュール設定した操作であり、繰り返される可能性があります。タスクがある場合、これは、スケジュールどおりに展開するために完了する必要がある対応する作業項目がないことを意味します。

タスクで使用可能な情報はカテゴリによって異なり、さまざまなカテゴリが存在します。一般的なタスクのカテゴリには、プロビジョニング、設定アーカイブ、インベントリ、セキュリティアドバイザリなどがあります。すべてのタスクには、タスクの開始者、そのカテゴリ、完了ステータス、成功ステータス、開始日、最終更新日、および終了日が詳細として表示されます。

手順

ステップ 1

メインメニューから次を選択します。[Activities] > [Tasks]の順に選択します。

デフォルトでは、[Tasks] ウィンドウには実行予定、進行中、失敗、および成功したすべてのタスクに加えて、既存の作業項目やレビュー保留中、失敗した作業項目が表示されます。

(注)  

 

タスクでタイムゾーンが異なる複数のデバイスに対してサイト設定を有効にした場合、[Starts] フィールドには、ローカルタイムゾーンに基づく最も早いタイムゾーンでのデバイスの開始時刻が表示されます。たとえば、太平洋標準時ゾーンにおいて、2024 年 5 月 8 日午後 12 時に展開予定の 2 つのデバイスがあるとします。一方のデバイスはカリフォルニア州サンノゼにあり、もう一方のデバイスはインドのベンガルールにあります。ローカルタイムゾーンは最も早いタイムゾーンのデバイスと一致するため、[Starts] フィールドには 2024 年 5 月 8 日 12:00 PM と表示されます。インドのベンガルールにいる場合、ローカル時刻は最も早いタイムゾーンでデバイスより 12 時間 30 分進んでいるため、このフィールドには 2024 年 5 月 9 日 12:30 AM と表示されます。

ステップ 2

[Tasks] ウィンドウでタスクを表示、編集、または削除するには、次の表を使用します。

アクション

手順

タスクを表示します。

  1. タスク名をクリックすると、 スライドインペイン が開いて詳細情報が表示されます。

    タスクの詳細は、表示されたタスクの種類によって異なります。

  2. スライドインペインでは、表示された詳細に応じて、次の操作を実行できます。

    • [Device Details] または [Provision Details] をクリックすると、デバイスとプロビジョニングの詳細が表示されます。

    • [View Details] または [See Details] をクリックすると、進行中のタスク、完了したタスク、および失敗したタスクの詳細が表示されます。

    • [Search Table] を使用してタスクを検索します。

    • 表の右上隅にあるフィルタアイコンを使用して、タスクをフィルタ処理します。

    • 失敗したタスクのエラーレポートをダウンロードするには、[Download Error Report] をクリックします。

      tar ファイルが作成され、ローカルマシンに保存されます。

      ヒント

       

      サポートケースを作成する際に、含めるその他の詳細に加えて、ダウンロードしたエラーレポートを添付できます。

定期タスクのスケジュールを編集します。

  1. タスクを見つけて [Edit] をクリックします。

  2. [Edit Schedule] スライドインペインで [Start Date] と [Start Time] を定義します。

  3. [Recurrence] トグルボタンを使用して、繰り返し間隔をクリックします。

  4. [Run at Interval] フィールドに値を入力します。

  5. (オプション)このタスクの終了日時をスケジュールするには、次の手順を実行します。

    1. [Set Schedule End] チェックボックスをオンにします。

    2. 特定の日付にタスクを終了するには、[End Date] をクリックして日付を選択します。

    3. ある回数の発生後にタスクを終了するには、[End After] をクリックし、[Occurrences] フィールドに数値を入力します。

  6. [Preview] をクリックして、表が変更されていることを確認します。

  7. 表にリストされている各デバイスの [Site Time](デバイスのタイムゾーン)と [Local Time](ユーザーのタイムゾーン)に、意図したスケジュール時刻が反映されていることを確認します。

  8. 準備ができたら、[Save] をクリックします。

タスクを削除します。

  1. タスクを見つけて [Delete] をクリックします。

作業項目の表示と破棄

構成の可視化と制御機能を有効にした場合、任意のワークフローで [Generate configuration preview] を選択すると、作業項目が作成されます。構成が確認され、展開の準備ができると、その作業項目がタスクになります。

構成の可視性と制御を有効にするには、「設定の可視性と制御の有効化」を参照してください。

手順

ステップ 1

メインメニューから次を選択します。[Activities] > [Tasks]の順に選択します。

デフォルトでは、[Tasks] ウィンドウには実行予定、進行中、失敗、および成功したすべてのタスクに加えて、既存の作業項目やレビュー保留中、失敗した作業項目が表示されます。

ステップ 2

次の表を使用して、[Tasks] ウィンドウで作業項目を表示および破棄します。

アクション

手順

作業項目を表示します。

  1. [SUMMARY] ペインの [Type] で [ Work Item] をクリックします。

    [Tasks] ウィンドウは作業項目のみをフィルタ処理して表示します。

  2. 作業項目名をクリックすると、スライドインペイン が開いて詳細情報が表示されます。

    最初にリストされているデバイスの構成プレビューが表示されます。

  3. スライドインペインでは、次の操作を実行できます。

    • 左側のペインでデバイスを選択して、デバイスの構成をプレビューします。

    • [View by Configuration Source] ドロップダウンリストを使用して、構成プレビューウィンドウのデータをフィルタ処理します。

    • ビュースイッチャ()をクリックして、計画された構成と実行中の構成の比較ビューを並べて表示するか、計画された構成のみを表示します。

      (注)  

       

      並列比較ビューは YANG 構成の表示には対応していません。

    • 並列比較ビューでは、一方の構成で 1 つのコマンドをクリックすると、もう一方の構成で対応するコマンドが強調表示されます。

      (注)  

       

      次の制限事項に注意してください。

      • システムでは、サブレベルのコマンドではなく、第 1 レベルのコマンドに対する並列強調表示のみがサポートされています。

      • 構成間で強調表示を並べて表示するには、すべてのコマンドが完全に一致している必要があります。

      • 一方の構成で No で始まるコマンドをクリックすると、もう一方の構成で一致をチェックするときに No の部分が無視されます。

    • [Search Configuration] フィールドを使用して、表示された構成中の値を検索します。

    • 選択したデバイスのワークフローの進行状況を表示するには、右側のペインの右上隅にある [Back to workflow progress] をクリックします。[Configuration Preview] ペインに戻るには、[Go to generated config] をクリックします。

      (注)  

       

      [Back to workflow progress] および [Go to generate config] は、ワークフローでワークフローの進行状況ビューがサポートされている場合にのみ使用できます。

作業項目の破棄

  1. 作業項目を見つけて、[Discard] をクリックします。

    作業項目名をクリックして スライドインペイン を開き、[Discard] をクリックすることもできます。

  2. [Discard] ダイアログボックスで、次のいずれかを実行します。

    • 作業項目を破棄して現在のアクティビティに戻る場合は、[Discard] をクリックします。

      (注)  

       

      作業項目を破棄した場合、後から復元できません。

    • 生成された任意の構成を保持し、他のすべてのリソースを破棄する場合は、[Retain generated configs (if any)] チェックボックスをオンにして [Accept] をクリックします。

      生成された構成を保持し、他のすべてのリソースを破棄すると、すべての構成をプレビューし、生成されていない構成を破棄することを選択したため、[Exit and Preview Later] の代わりに [Exit] が作業項目に表示されます。

      ヒント

       

      構成のプレビューが失敗した場合は、生成された構成を保持し、他のすべてのリソースを破棄して、ユーザーまたは IT 管理者が問題を詳細に調査できるようにすることを検討してください。

次のタスク

プレビューしたデバイス構成を展開するか、ITSM 承認のために計画されたネットワーク構成を送信するには、『Cisco Catalyst Center User Guide』の「Visibility and Control of Configurations Workflow」、「Visibility and Control of Wireless Device Configurations」、または「Visibility and Control of Fabric Configurations」を参照してください。

高可用性のアクティブ化

Catalyst Center クラスターで高可用性(HA)をアクティブにするには、次の手順を実行します。

手順

ステップ 1

メインメニューから次を選択します。[System] > [Settings] > [System Configuration] > [High Availability] の順に選択します。

ステップ 2

ページにクラスター内の 3 つの Catalyst Center アプライアンスが表示されていることを確認します。

ステップ 3

[Activate High Availability] をクリックします。

ステップ 4

HA が有効になっていることを確認します。

  • [Status] フィールドには、[Active] と表示されます。

  • [High Availability] ページの右上隅にある、[Activities] リンクをクリックします。結果のテーブルで、HA アクティブ化イベントのステータスが [SUCCESS] と表示されていることを確認します。

統合設定の設定

ファイアウォールなどのルールが、Catalyst CenterCatalyst Center プラットフォーム と通信する必要があるサードパーティ製アプリケーションの間に存在する場合は、[Integration Settings] を設定する必要があります。Catalyst Center の IP アドレスが、インターネットや外部ネットワークに接続する別の IP アドレスに内部的にマッピングされる場合には、このような事例が発生します。


重要

Catalyst Center のバックアップおよび復元後、[Integration Settings] ページにアクセスし、(必要に応じて)次の手順を使用して [Callback URL Host Name] または [IP Address] を更新する必要があります。

始める前に

Catalyst Center プラットフォーム をインストールしておきます。

手順

ステップ 1

メインメニューから次を選択します。 [System] > [設定] > [Integration Settings] の順に選択します。

ステップ 2

サードパーティ製アプリケーションが Catalyst Center プラットフォームと通信するときに接続する必要がある [Callback URL Host Name] または [IP Address] を入力します。

(注)  

 

[Callback URL Host Name] または [IP Address] は、Catalyst Center に内部的にマッピングされている外部向けホスト名または IP アドレスです。3 ノードクラスタセットアップの VIP アドレスを設定します。

ステップ 3

[Apply] をクリックします。

ログインメッセージの設定

Catalyst Center にログインしたすべてのユーザーに表示されるメッセージを設定できます。

始める前に

SUPER-ADMIN-ROLE またはシステム管理権限を持つ CUSTOM-ROLE のユーザーのみがこの手順を実行することができます。

手順

ステップ 1

メインメニューから次を選択します。[System] > [Settings] > [System Configuration] > [Login Message] の順に選択します。

ステップ 2

[Login Message] テキストボックスにメッセージを入力します。

ステップ 3

[Save] をクリックします。

このメッセージは、Catalyst Center ログインページの [Log In] ボタンの下に表示されます。

後でこのメッセージを削除する場合は、次の手順を実行します。

  1. [Login Message Settings] ページに戻ります。

  2. [Clear] をクリックし、[Save] をクリックします。

プロキシの設定

Catalyst Center と管理しているネットワークデバイスとの間の仲介として設定されているプロキシサーバーがある場合は、プロキシサーバーへのアクセスを設定する必要があります。


(注)  
Catalyst Center は、Windows New Technology LAN Manager(NTLM)認証を使用するプロキシサーバーをサポートしていません。

始める前に

SUPER-ADMIN-ROLE 権限を持つユーザのみがこの手順を実行することができます。

手順

ステップ 1

メインメニューから次を選択します。[System] > [Settings] > [System Configuration]の順に選択します。

ステップ 2

[System Configuration] ドロップダウンリストから、[Proxy] > [Outgoing Proxy]を選択します。

ステップ 3

プロキシサーバーの URL アドレスを入力します。

ステップ 4

プロキシサーバーのポート番号を入力します。

(注)  

 

  • HTTP の場合、ポート番号は通常 80 です。

  • ポート番号の範囲は 0 ~ 65535 です。

ステップ 5

(オプション)プロキシサーバーが認証を必要とする場合、[Update] をクリックして、プロキシサーバーにアクセスするためのユーザー名とパスワードを入力します。

ステップ 6

[Validate Settings] チェックボックスをオンにし、適用時に Catalyst Center でプロキシ構成時の設定が検証されるようにします。

ステップ 7

選択内容を確認し、[Save] をクリックします。

選択内容をキャンセルするには、[Reset] をクリックします。既存のプロキシ設定を削除するには、[Delete] をクリックします。

プロキシを設定した後、[Proxy] ウィンドウに設定を表示できます。

Geo マップ設定の構成

Catalyst Centerで Geo マップ設定を構成できます。

手順

ステップ 1

メインメニューから次を選択します。 [System] > [Settings] > [System Configuration] > [Geo Map Settings] の順に選択します。

ステップ 2

利用可能な管理境界をひとつ選択します。この境界はさまざまな地域的、文化的、または政治的グループに属する対象者によって異なる特性で定義される地理的特徴を示します。

  • 中国(CN)

  • インド(IN)

  • 日本(JP)

  • 米国(US)(デフォルト)

ステップ 3

[Save] をクリックします。

セキュリティに関する推奨事項

Catalyst Center は、それ自体とモニターおよび管理対象のホスト/ネットワークデバイス用の多数のセキュリティ機能を提供します。セキュリティ機能は、明確に理解して、正しく設定する必要があります。セキュリティに関する次の推奨事項に従ってください。

  • Catalyst Center は、プライベート内部ネットワーク内、およびインターネットなどの信頼できないネットワークに対して Catalyst Center を開いていないファイアウォールの背後に導入してください。

  • 管理ネットワークとエンタープライズ ネットワークが個別にある場合は、Catalyst Center の管理インターフェイスとエンタープライズ インターフェイスをそれぞれ管理ネットワークとエンタープライズ ネットワークに接続してください。これにより、Catalyst Center の管理に使用されるサービスと、ネットワークデバイスとの通信および管理に使用されるサービスとの間で確実にネットワーク分離が行われます。

  • 3 ノードクラスタセットアップで Catalyst Center を展開する場合は、クラスタインターフェイスが分離されたネットワークに接続されていることを確認してください。

  • パッチのアナウンス後できる限り早急に、セキュリティパッチを含む重要なアップグレードで Catalyst Center をアップグレードしてください。詳細については、『Catalyst CenterUpgrade Guide』を参照してください。

  • HTTPS プロキシサーバーを使用する Catalyst Center によってアクセスされるリモート URL を制限してください。Catalyst Center は、インターネット経由でアクセスして、ソフトウェアアップデート、ライセンス、デバイスソフトウェアをダウンロードしたり、最新のマップ情報、ユーザーフィードバックなどを提供したりするように設定されています。これらの目的でインターネット接続を提供することは必須要件です。ただし、HTTPS プロキシサーバーを介して安全な接続を提供します。

  • 既知の IP アドレスおよび範囲のみを許可し、未使用のポートへのネットワーク接続をブロックすることにより、ファイアウォールを使用した Catalyst Center への入力および出力管理とエンタープライズ ネットワーク接続を制限してください。

  • Catalyst Center の自己署名サーバー証明書を、内部認証局(CA)によって署名された証明書に置き換えてください。

  • 使用しているネットワーク環境で可能な場合は、SFTP 互換モードを無効にします。このモードでは、レガシー ネットワーク デバイスが古い暗号スイートを使用して Catalyst Center に接続できます。

  • ブラウザベースのアプライアンス設定ウィザードを無効にします。このウィザードには、自己署名証明書が付属しています。

最小 TLS バージョンの変更と RC4-SHA の有効化(安全でない)

セキュリティに関する推奨事項Catalyst Center の受信用の TLS 接続については、最小 TLS バージョンを TLSv1.2 にアップグレードしてください。

外部ネットワークからのノースバウンド REST API 要求には、ノースバウンド REST API ベースのアプリケーション、ブラウザ、および HTTPS を使用して Catalyst Center に接続しているネットワークデバイスが含まれます。Transport Layer Security(TLS)プロトコルは、このような要求を安全に保護します。

デフォルトでは、Catalyst Center は TLSv1.1 と TLSv1.2 をサポートしますが、SSL/TLS 接続の RC4 暗号はサポートしません。RC4 暗号には既知の弱点があるため、ネットワークデバイスでサポートされている場合は、最小 TLS バージョンを TLSv1.2 にアップグレードすることを推奨します。

Catalyst Center は、最小 TLS バージョンをダウングレードし、RC4-SHA を有効にする設定オプションを提供します。Catalyst Center の制御下にあるネットワークデバイスが既存の最小 TLS バージョン(TLSv1.1)または暗号をサポートできない場合は、このオプションを使用できます。ただし、セキュリティ上の理由から、Catalyst Center TLS のバージョンをダウングレードしたり RC4-SHA 暗号を有効にしたりしないことを推奨します。

Catalyst Center で TLS のバージョンを変更、または RC4-SHA を有効化するには、対応するアプライアンスにログインし、CLI を使用します。


(注)  
CLI コマンドは、リリースごとに変更される可能性があります。CLI の例では、すべての Catalyst Center リリース、特に Catalyst Center on ESXi リリースには適用されない可能性のあるコマンド構文を使用しています。

始める前に

この手順を実行するためには、maglev SSH アクセス権限が必要です。


(注)  
このセキュリティ機能は、Catalyst Center にポート 443 を適用します。この手順の実行により、Catalyst Center インフラストラクチャへのポートのトラフィックが数秒間無効になることがあります。したがって、TLS の設定は頻繁に行わないようにし、オフピーク時間またはメンテナンス期間中にのみ行う必要があります。

手順

ステップ 1

SSH クライアントを使用して、設定ウィザードで指定した IP アドレスで Catalyst Center アプライアンスにログインします。

SSH クライアントで入力する IP アドレスは、ネットワーク アダプタ用に設定した IP アドレスです。この IP アドレスは、アプライアンスを外部ネットワークに接続します。

ステップ 2

要求された場合は、SSH アクセス用にユーザー名とパスワードを入力します。

ステップ 3

次のコマンドを入力して、クラスタで現在有効になっている TLS バージョンを確認します。

次に例を示します。 
Input
$ magctl service tls_version --tls-min-version show
Output
TLS minimum version is 1.1

ステップ 4

クラスタの TLS バージョンを変更する場合は、次のコマンドを入力します。たとえば、Catalyst Center 制御下のネットワークデバイスが既存の TLS バージョンをサポートできない場合は、現在の TLS バージョンを以前のバージョンに変更できます。

次の例は、TLS バージョン 1.1 から 1.0 に変更する方法を示しています。

Input
$ magctl service tls_version --tls-min-version 1.0
Output
Enabling TLSv1.0 is recommended only for legacy devices
Do you want to continue? [y/N]: y
WARNING: Enabling TLSv1.0 for api-gateway
deployment.extensions/kong patched

次の例は、TLS バージョン 1.1 から 1.2 に変更(RC4-SHA を有効にしていない場合のみ可能)する方法を示しています。

Input
$ magctl service tls_version --tls-min-version 1.2
Output
Enabling TLSv1.2 will disable TLSv1.1 and below
Do you want to continue? [y/N]: y
WARNING: Enabling TLSv1.2 for api-gateway
deployment.extensions/kong patched

(注)  

 
RC4-SHA 暗号が有効になっている場合、TLS バージョン 1.2 を最小バージョンとして設定することはできません。

ステップ 5

Catalyst Center と Catalyst 9000 デバイス間のストリーミングテレメトリ接続(TCP 25103 ポート経由)用の TLS バージョンを変更する場合は、次のコマンドを入力します。たとえば、Catalyst Center 管理下のネットワークデバイスが TLS バージョン 1.2 をサポートできる場合は、現在の TLS バージョンを変更できます。

次の例は、TLS バージョン 1.1 から 1.2 に変更する方法を示しています。

Input
$ magctl service tls_version --tls-min-version 1.2 -a assurance-backend collector-iosxe-db
Output
Enabling TLSv1.2 will disable TLSv1.1 and below
Do you want to continue? [y/N]: y
WARNING: Enabling TLSv1.2 for api-gateway
deployment.apps/collector-iosxe-db patched

ステップ 6

クラスタで RC4-SHA を有効にするには、次のコマンドを入力します(セキュアでないため、必要な場合だけにしてください)。

TLS バージョン 1.2 が最小バージョンである場合、RC4-SHA 暗号を有効にすることはサポートされていません。

次の例は、TLS バージョン 1.2 が有効になっていないことを示しています。
Input
$ magctl service ciphers --ciphers-rc4=enable kong
Output
Enabling RC4-SHA cipher will have security risk
Do you want to continue? [y/N]: y
WARNING: Enabling RC4-SHA Cipher for kong
deployment.extensions/kong patched

ステップ 7

プロンプトで次のコマンドを入力して、TLS および RC4-SHA が設定されていることを確認します。

次に例を示します。 
Input
$ magctl service display kong 
Output
      containers:
      - env:
        - name: TLS_V1
          value: "1.1"
        - name: RC4_CIPHERS
          value: "true"

(注)  

 

RC4 および TLS の最小バージョンが設定されている場合は、magctl service display kong コマンドの env: にリストされます。これらの値が設定されていない場合は、env: に表示されません。

ステップ 8

以前に有効にした RC4-SHA 暗号を無効にするには、クラスタで次のコマンドを入力します。

Input
$ magctl service ciphers --ciphers-rc4=disable kong
Output
WARNING: Disabling RC4-SHA Cipher for kong
deployment.extensions/kong patched

ステップ 9

Catalyst Center アプライアンスからログアウトします。

プロキシ証明書の設定

ネットワーク構成によっては、プロキシゲートウェイは、Catalyst Center と管理するリモートネットワーク(さまざまなネットワークデバイスを含む)の間に存在する可能性があります。80 や 443 などの一般的なポートは DMZ のゲートウェイプロキシを通過します。このため、Catalyst Center 用に設定されたネットワークデバイスからの SSL セッションは、プロキシゲートウェイで終了することになります。したがって、これらのリモートネットワーク内にあるネットワークデバイスは、プロキシゲートウェイ経由でのみ Catalyst Center と通信できます。ネットワークデバイスが Catalyst Center または、(存在する場合は)プロキシゲートウェイと安全で信頼できる接続を確立するため、ネットワークデバイスは、関連する CA ルート証明書で、または特定の状況ではサーバー独自の証明書を使って、適切にプロビジョニングされた PKI トラストストアを保有する必要があります。

PnP 検出/サービスによってデバイスのオンボード中にそのようなプロキシが配置されている場合は、ネットワークデバイスが安全に Catalyst Center を信頼および認証できるように、プロキシと Catalyst Center サーバー証明書は同一である必要があります。

プロキシゲートウェイが Catalyst Center と管理対象のリモートネットワークの間に存在するネットワークトポロジでは、次の手順を実行してプロキシゲートウェイ証明書を Catalyst Center にインポートします。

始める前に

  • SUPER-ADMIN-ROLE 権限を持つユーザのみがこの手順を実行することができます。

  • Catalyst Center とそのサービスに到達するプロキシゲートウェイの IP アドレスを使用する必要があります。

  • プロキシゲートウェイで現在使用されている証明書ファイルを持っている必要があります。証明書ファイルの内容は、次のいずれかで構成されている必要があります。

    • PEM または DER 形式のプロキシゲートウェイの証明書、および自己署名された証明書。

    • PEM または DER 形式のプロキシ ゲートウェイの証明書、および有効な既知の CA によって発行された証明書。

    • PEM または DER 形式のプロキシ ゲートウェイの証明書とそのチェーン。

デバイスとプロキシゲートウェイで使用される証明書は、次の手順に従って、Catalyst Center にインポートする必要があります。

手順

ステップ 1

メインメニューから次を選択します。[System] > [Settings] > [System Configuration]の順に選択します。

ステップ 2

[System Configuration] ドロップダウンリストから、[Proxy] > [Incoming Proxy] を選択します。

ステップ 3

[Proxy Certificate] ウィンドウで、(存在する場合は)現在のプロキシゲートウェイ証明書のデータを表示します。

(注)  

 

[Expiration Date and Time] は、グリニッジ標準時(GMT)値で表示されます。証明書有効期限の 2 ヵ月前に、Catalyst Center の GUI にシステム通知が表示されます。

ステップ 4

プロキシゲートウェイ証明書を追加するには、自己署名証明書または CA 証明書を [Drag and Drop Here] 領域にドラッグアンドドロップします。

(注)  

 

PEM または DER ファイル(公開キー暗号化標準のファイル形式)だけが、この領域を使用して Catalyst Center にインポートできます。さらに、この手順には秘密キーは必要ではなく、Catalyst Center にアップロードもされません。

ステップ 5

[Save] をクリックします。

ステップ 6

[Proxy Certificate] ウィンドウを更新し、更新されたプロキシゲートウェイ証明書のデータを表示します。

[Proxy Certificate] ウィンドウに表示された情報は、新しい証明書名、発行者、および証明機関を反映するように変更する必要があります。

ステップ 7

プロキシゲートウェイ証明書の機能を有効にするには、[Enable] ボタンをクリックします。

[Enable] ボタンをクリックすると、プロキシゲートウェイからの要求時にコントローラがインポートされたプロキシゲートウェイ証明書を返します。[Enabled] ボタンをクリックしない場合、コントローラは独自の自己署名証明書またはインポートされた CA 証明書をプロキシゲートウェイに返します。

プロキシゲートウェイ証明書の機能が使用されている場合、[Enable] ボタンはグレー表示されます。

SSL インターセプトプロキシ証明書のアップロード

Catalyst Center とソフトウェアアップデートのダウンロード元である Cisco Cloud との間に設定されたプロキシサーバーで SSL 復号が有効になっている場合、正式な認証局から発行された証明書を使用してプロキシが構成されていることを確認してください。プライベート証明書を使用している場合は、次の手順を実行します。


(注)  

セキュリティを強化するため、ルートシェルへのアクセスは Catalyst Center で無効になっています。制限付きシェルでは、ユーザーは基礎となるオペレーティングシステムとファイルシステムにアクセスできないため、運用上のリスクが軽減されます。ただし、このセクションのコマンドを使用するには、Cisco TACに連絡して、ルートシェルに一時的にアクセスする必要があります。

手順

ステップ 1

プロキシサーバーの証明書(.pem 形式)を Catalyst Center サーバーのディレクトリに転送します。

ステップ 2

maglev ユーザーとして Catalyst Center サーバーに SSH 接続し、次のコマンドを入力します。<directory>Catalyst Center サーバー上の証明書ファイルの場所、<proxy.pem> はプロキシサーバーの TLS/SSL 証明書ファイルです。 

$ sudo /usr/local/bin/update_cacerts.sh -v -a /<directory>/<proxy.pem>

このコマンドは、次のような出力を返します。

Reading CA cert from file /tmp/sdn.pem
Adding certificate import_1E:94:6D:2C:81:22:BB:B2:2E:24:BD:72:57:AE:35:AD:EC:5E:71:44.crt
Updating /etc/ca-certificates.conf
Updating certificates in /etc/ssl/certs…
1 added, 0 removed; done.
Running hooks in /etc/ca-certificates/update.d…
done.
Deleting tempfiles /tmp/file0PpQxV /temp/filePtmQ8U /tmp/filercR3cV

ステップ 3

コマンド出力で、「1 added」の行を探し、追加された数がゼロでないことを確認します。チェーン内の証明書に基づき、この数は 1 か 1 よりも多くなる場合があります。

ステップ 4

次のコマンドを入力して、docker およびカタログサーバーを再起動します。

sudo systemctl restart docker
magctl service restart -d catalogserver

ステップ 5

Catalyst Center で同じ証明書をアップロードし、接続を確認します。

  1. Catalyst Center GUI にログインします。

  2. [System] > [Settings] > [Certificates] > [Trusted Certificates] に移動し、同じ証明書をアップロードします。

    詳細については、信頼できる証明書の設定を参照してください。

  3. クラウド、Cisco Connected Mobile Experiences(CMX)、および Cisco Spaces の接続を確認します。

内部証明書の更新

Catalyst Center は、Kubernetes によって生成された証明書や、Kong および資格情報マネージャサービスが使用する証明書など、多数の証明書を使用します。これらの証明書は 1 年間有効で、クラスタをインストールするとすぐに開始されます。これらの内部証明書は、有効期限が切れる前に Catalyst Center によって 1 年間自動的に更新されます。

  • 期限切れになる前に内部証明書を更新することを推奨します。

  • 今から 100 日間の間に期限切れになるように設定されている内部証明書のみを更新できます。この手順では、それ以降に期限切れになる証明書については何も実行されません。

  • このスクリプトでは、サードパーティ/認証局(CA)署名付き証明書ではなく、自己署名証明書のみを更新します。サードパーティ/CA 署名付き証明書の場合、スクリプトは Kubernetes と資格情報マネージャによって使用される内部証明書を更新します。

  • 自己署名証明書の場合、更新プロセスではルート CA が変更されないため、証明書をデバイスにプッシュする必要はありません。

  • クラスタという用語は、単一ノードと 3 ノード Catalyst Center 設定の両方に適用されます。

手順

ステップ 1

各クラスタノードが正常であり、問題が発生していないことを確認します。

ステップ 2

そのノードで現在使用されている証明書のリストとそれらの有効期限を表示するには、次のコマンドを入力します。

sudo maglev-config certs info

ステップ 3

次のコマンドを入力して、すぐに期限切れになるように設定されている内部証明書を更新します。

sudo maglev-config certs refresh

ステップ 4

他のクラスタノードに対して上記の手順を繰り返します。

ステップ 5

ユーティリティのヘルプを表示するには、次のように入力します。

$ sudo maglev-config certs --help 
Usage: maglev-config certs [OPTIONS] COMMAND [ARGS]...

Options:
  --help  Show this message and exit.

Commands:
  info
  refresh

証明書および秘密キーのサポート

Catalyst Center は、セッション(HTTPS)の認証に使用される認証局管理機能をサポートしています。これらのセッションでは、CA と呼ばれる一般に認められた信頼されたエージェントを使用します。Catalyst Center は、認証局管理機能を使用して、内部 CA から X.509 証明書をインポートして保存し、管理します。インポートされた証明書は Catalyst Center のアイデンティティ証明書になり、Catalyst Center は認証のためにこの証明書をクライアントに提示します。クライアントは、ノースバウンド API アプリケーションとネットワークデバイスです。

Catalyst Center GUI を使用して次のファイルを(PEM または PKCS ファイル形式で)インポートできます。

  • X.509 証明書

  • 秘密キー(Private key)


(注)  

秘密キーについて、Catalyst Center は RSA キーのインポートをサポートしています。ユーザー自身のキー管理システムで秘密キーを保護してください。秘密キーのモジュラスサイズは最小でも 2048 ビット必要です。

内部 CA によって発行された有効な X.509 証明書と秘密キーを取得する必要があります。ファイルをインポートする前に、証明書が所有している秘密キーに対応している必要があります。ファイルをインポートすると、X.509 証明書と秘密キーに基づくセキュリティ機能が自動的にアクティブ化されます。Catalyst Center は証明書を、要求するデバイスまたはアプリケーションに提示します。ノースバウンド API アプリケーションとネットワークデバイスでは、これらのログイン情報を使用して Catalyst Center との信頼関係を確立できます。


(注)  

Catalyst Center への自己署名証明書の使用とインポートは避けてください。内部 CA から有効な X.509 証明書をインポートしてください。適切なプラグアンドプレイ機能を確保するため、デフォルトの自己署名証明書を内部 CA によって署名された証明書に置き換えてください。

Catalyst Center は一度に 1 つのインポート済み X.509 証明書および秘密キーだけをサポートします。2 つ目の証明書および秘密キーをインポートすると、最初の(既存の)インポート済み証明書および秘密キーの値が上書きされます。

証明書チェーンのサポート

Catalyst Center では、GUI を介して証明書と秘密キーをインポートできます。Catalyst Center にインポートされる証明書(署名された証明書)につながる証明書チェーンに含まれる下位証明書がある場合は、それらの下位証明書とそれらの下位 CA のルート証明書が一緒に、インポートされる単一のファイルに追加される必要があります。これらの証明書を追加する場合は、認定の実際のチェーンと同じ順序で追加する必要があります。

次の証明書は、単一の PEM ファイルに一緒に貼り付ける必要があります。証明書のサブジェクト名と発行元を調べて、正しい証明書がインポートされ、正しい順序が維持されていることを確認してください。また、チェーンに含まれるすべての証明書が一緒に貼り付けられていることを確認してください。

  • [Signed Catalyst Center certificate]:件名フィールドに CN=<FQDN of Catalyst Center> が含まれていて、発行元が発行機関の CN を持っている。


    (注)  

    内部認証局(CA)による署名入りの証明書をインストールする場合は、Catalyst Center へのアクセスに使用するすべての DNS 名(Catalyst Center の FQDN を含む)が証明書の alt_names セクションで指定されていることを確認してください。詳細については、『Catalyst Center Security Best Practices Guide』の「Generate a Certificate Request Using Open SSL」を参照してください。

  • [Issuing (subordinate) CA certificate that issues the Catalyst Center certificate]:サブジェクト名のフィールドには Catalyst Center の証明書を発行する(下位)CA の CN が含まれており、発行元が、ルート CA の CN を持っている。

  • [Next issuing (root/subordinate CA) certificate that issues the subordinate CA certificate]:件名フィールドがルート CA で、発行元が件名フィールドと同じ値である。それらが同じ値でない場合は、その次の発行元を追加していきます。

Catalyst Center サーバー証明書の更新

Catalyst Center では、認証局(CA)からの X.509 証明書と Catalyst Center によって生成された秘密キーをインポートして保存できます。これらを使用して、Catalyst Center、ノースバウンド API アプリケーション、およびネットワークデバイスの間に安全で信頼できる環境を作成することができます。[System Certificates] ウィンドウで証明書と秘密キーをインポートできます。

Catalyst Center サーバー証明書を更新するには、次の手順を実行します。

  1. 証明書署名要求(CSR)を生成します。

  2. CSR を CA に送信して、署名付き証明書を取得します。

  3. 署名付き証明書とそのチェーンを Catalyst Center にインポートします。

この手順では、CA の例として Microsoft Active Directory 証明書サービスを使用します。別の CA を使用する場合は、それに応じて手順を調整してください。

始める前に

秘密キーに対応する有効な X.509 証明書を内部 CA から取得する必要があります。

手順

ステップ 1

メインメニューから次を選択します。[System] > [Settings] > [Certificate] > [System Certificates] の順に選択します。

このウィンドウには、Catalyst Center のサーバー証明書に関する情報が表示され、これらの証明書を管理するためのアクションが提供されます。[System Certificates] の表には、証明書ごとに次の情報が表示されます。

  • [Issued To]:証明書の発行先。

  • [Issued By]:証明書に署名し、証明書を発行したエンティティの名前。

  • [Used For]:証明書がコントローラとディザスタリカバリのどちら(または両方)に使用されるかを示します。

  • [Certificate Serial Number]:証明書シリアル番号の最後の 5 文字を示します。

  • [Time Left]:証明書の有効期間の残り時間。

  • [Status]:証明書のステータスを表示します。

  • [Valid From/Valid To]:証明書が有効な時期。

    (注)  

     

    証明書の有効な日時は、グリニッジ標準時(GMT)値で表示されます。証明書有効期限の 2 か月前に、通知センターにシステム通知が表示されます。表示するには、ウィンドウの右上隅にある通知アイコンをクリックします。

  • [Action]:証明書を管理するために使用可能なアクション(置換、削除など)を示します。

ステップ 2

[+ New Certificate Request (CSR)] をクリックします。

CSR を初めて生成するときは、この [+ New Certificate Request (CSR)] リンクが有効になります。

既存の CSR を使用しない場合は、既存の要求を削除してください。

  1. 表で、削除する要求を見つけます。

  2. [Action] で、その要求の [Delete] をクリックします。

  3. [Warning] ダイアログボックスで [OK] をクリックします。

    [+ New Certificate Request (CSR)] リンクが有効になります。

(注)  

 

古いバージョンの Catalyst Center を使用している場合は、[Replace Certificate] をクリックします。CSR を初めて生成するときは、[Generate New CSR] リンクが表示されます。それ以外の場合は、[Download existing CSR] リンクが表示されます。詳細については、『Cisco Catalyst Center Administrator Guide』の対応するバージョンを参照してください。

ステップ 3

[New Certificate Request (CSR)] スライドインペインで、CSR を作成します。

  1. [Used For] で、チェックボックスをオンにして、CSR がコントローラとディザスタリカバリのどちら(または両方)用かを示します

    (注)  

     

    Catalyst Center 展開でディザスタリカバリが有効になっている場合、ディザスタリカバリシステムが一時停止状態になった場合にのみ、[DR IPSec] チェックボックスが表示されます。CSR を作成する場合で、システムがアクティブな場合は、まずシステムを一時停止します。

  2. 次の必須フィールドに値を入力します。

    • [Digest]:CSR の保護および検証に使用されるダイジェストアルゴリズム。

    • [Key Length]:証明書のキーのビットサイズ。

    • [Common Name]:サーバーの IP アドレス、ホスト名、または FQDN。

    • [Key Usage]:証明書のキーの目的。使用可能な値の説明については、RFC 5280 のセクション 4.2.1.3 を参照してください。

    • [Extended Key Usage]:証明書のキーの追加の目的。使用可能な値の説明については、RFC 5280 のセクション 4.2.1.12 を参照してください。

    [New Certificate Request (CSR)] スライドインペインに、CSR を作成するための必須フィールドとオプションのフィールドが表示されています。

  3. [Next] をクリックして CSR を生成します

ステップ 4

[Certificate Signing Request] スライドインペインで、CSR のコピーをダウンロードします。

  1. [CSR のダウンロード(Download CSR)] をクリックします。

    CSR は Base64 ファイルとしてローカルにダウンロードされます。

  2. [Done] をクリックします。

[Certificate Signing Request] スライドインペインで新しい CSR が開きます。

ステップ 5

証明書要求を CA に送信し、CA から発行元 CA チェーンをダウンロードします。

たとえば、Microsoft Active Directory 証明書サービスを使用して証明書要求を送信するには、次の手順を実行します。

  1. 先ほどダウンロードした CSR をコピーします。

  2. 新しいブラウザウィンドウで [Active Directory Certificate Services] を開きます。

  3. [Welcome] ページで、[Request a certificate] をクリックします。

  4. [Request a Certificate] ページで、[advanced certificate request] をクリックします。

  5. [Submit a Certificate Request or Renewal Request] ページで、[Saved Request] フィールドに要求を貼り付け、証明書テンプレートを選択して、[Submit] をクリックします。

    選択した証明書テンプレートがクライアント認証とサーバー認証の両方に設定されていることを確認します。

    ダウンロード後、CA に貼り付けられた CSR。

  6. [Certificate Issued] ページで、証明書のエンコード方法を選択し、[Download certificate chain] をクリックします。

    証明書チェーンは CA からダウンロードされます。

    証明書は、DER エンコードまたは Base 64 エンコードとして発行されます。

ステップ 6

証明書発行元から p7b で証明書の完全なチェーン(サーバーおよび CA)が提供されたことを確認します。不明な場合は、次の手順を実行し、チェーンを確認して組み立てます。

  1. p7b バンドルを DER 形式でダウンロードし、server-cert-chain.p7b として保存します。

  2. 入力するコマンド

    openssl pkcs7 -in server-cert-chain.p7b -inform DER -out server-cert-chain.pem -print_certs

ステップ 7

Catalyst Center GUI の [+ System Certificates] ウィンドウで、[+ Import Certificate] をクリックします。

ステップ 8

[Import Certificate] スライドインペインで、その証明書署名付き認証局チェーンが連結された署名付き証明書を Catalyst Center にインポートします。

  1. [Used For] で、チェックボックスをオンにして、この証明書がコントローラとディザスタリカバリのどちら(または両方)用かを示します

    [Import Certificate] スライドインペインには、証明書のアップロード方法に関する情報が表示されます。

  2. [Type] で、次の表を使用して証明書のファイル形式タイプを選択します。

    タイプ

    説明

    操作

    PEM Chain

    プライバシー強化メールファイル形式。

    [PEM Chain] をクリックします。

    証明書発行元からルーズファイルで証明書とその発行元 CA チェーンが提供された場合は、次の手順を実行します。

    1. PEM(base64)ファイルを収集するか、OpenSSL を使用して DER ファイルを PEM 形式に変換します。

    2. 証明書とその発行元 CA を連結し、証明書から下位 CA に続いてルート CA までを dnac-server-cert-chain.pem ファイルに出力します。

      cat certificate.pem subCA.pem rootCA.pem > server-cert-chain.pem

    PKCS

    公開キー暗号化標準ファイル形式。

    [PKCS] をクリックします。

    (注)  

     

    [+ New Certificate Request (CSR)] オプションを選択して証明書を要求した場合、[PKCS] ファイルタイプは無効になります。

  3. タイプに基づいてファイルをアップロードします。

    アップロードするファイル

    結果

    PEM ファイルと、該当する場合は秘密キー

    1. PEM ファイルと秘密キーファイルをドラッグアンドドロップします。

      (注)  

       

      • PEM ファイルには、有効な PEM 形式の拡張子(.pem、.cer、または .crt)が必須です。証明書の最大ファイルサイズは 1 MB です。

      • 秘密キーには、有効な秘密キー形式の拡張子(.key)が必須です。秘密キーの最大ファイルサイズは 1 MB です。

      • [+ New Certificate Request (CSR)] を使用して CSR を作成した場合、インポートする秘密キーはありません。秘密キーは Catalyst Center 内に格納されます。

      アップロードに成功すると、システム証明書と秘密キーが検証されます。

    2. 秘密キーについては、[Encrypted] で、暗号化するかどうかを指定します。

      [Yes] を指定した場合、[Password] フィールドに秘密キーのパスワードを入力します。

    PKCS ファイル

    1. [Bundle Password] フィールドに証明書のパスワードを入力します。

    2. PKCS ファイルをドラッグアンドドロップします。

      (注)  

       

      PKCS ファイルには、有効な PKCS 形式の拡張子(.pfx または .p12)が必須です。証明書の最大ファイルサイズは 1 MB です。

      アップロードに成功すると、システム証明書が検証されます。

  4. [Save] をクリックします。

  5. [Warning] ダイアログボックスで、[Continue] をクリックします。

    (注)  

     

    Catalyst Center サーバーの SSL 証明書が置き換えられると、自動的にログアウトされます。証明書のインポートには約 1 分かかることがあるため、再度ログインする前に、少なくとも 1 分待ってください。

ステップ 9

Catalyst Center に再度ログインしたら、[System Certificates] ウィンドウに戻り、更新された証明書データを確認します。

[User For] で、更新された証明書のハイパーリンクテキストをクリックし、発行者、CA、および有効な日付に関する情報をスライドインペインで表示します。

デバイス証明書を管理する

管理対象デバイスがデバイスを認証および識別するために Catalyst Center によって発行された証明書を表示および管理できます。

ベストプラクティスとして、デバイスが Catalyst Center によって管理されなくなった場合(デバイスが失われた場合や、無効になった場合など)、デバイス証明書を取り消すか削除します。

手順

ステップ 1

メインメニューから次を選択します。[System] > [Settings] > [Certificate] > [Device Certificates] の順に選択します。

[Device Certificate] ウィンドウには、発行された証明書のステータスが個別のステータスタブに表示されます。

  • [Expired]:期限切れの証明書のリストを表示します。

  • [Expiring]:有効期限が近づいている証明書のリストを昇順で表示します。

  • [All]:有効な証明書、期限切れの証明書、および期限切れ間近の証明書のリストを表示します。

  • [Revoked]:失効した証明書のリストを表示します。

ステップ 2

有効な証明書を取り消すには、次の手順を実行します。

  1. [All] をクリックします。

  2. [Actions] 列で、取り消す証明書に対応する [Revoke] アイコンをクリックします。

  3. 確認ウィンドウで、[OK] をクリックします。

ステップ 3

期限切れの証明書を削除するには、次の手順を実行します。

  1. [All] をクリックします。

  2. [Actions] 列で、削除する証明書に対応する [Delete] アイコンをクリックします。

  3. 確認ウィンドウで、[OK] をクリックします。

ステップ 4

証明書の詳細をエクスポートする場合は、[Export] をクリックします。

証明書の詳細が CSV 形式でエクスポートされます。

デバイス証明書の有効期間の設定

Catalyst Center では、Catalyst Center のプライベート(内部)CA で管理および監視しているネットワークデバイスの証明書の有効期間を変更できます。Catalyst Center での証明書の有効期間のデフォルト値は 365 日です。Catalyst Center GUI を使用して証明書の有効期間を変更すると、それ以降に Catalyst Center に対して証明書を要求するネットワークデバイスにその有効期間の値が割り当てられます。


(注)  

デバイス証明書のライフタイム値を CA 証明書のライフタイム値より大きくすることはできません。さらに、CA 証明書の残りの有効期間が設定されたデバイスの証明書の有効期間より短い場合、デバイス証明書の有効期間の値は CA 証明書の残りの有効期間と同じになります。

手順

ステップ 1

メインメニューから次を選択します。[System] > [Settings] > [Certificate] > [Device Certificates] の順に選択します。

ステップ 2

デバイス証明書と現在のデバイス証明書の有効期間を確認します。

ステップ 3

[Device Certificates] ウィンドウで、[Modify] をクリックします。

ステップ 4

[Device Certificates Lifetime] ダイアログボックスに、新しい値を入力します(日数)。

ステップ 5

[Save] をクリックします。

認証局

認証局 CA はエンティティであり、サーバーとクライアントの間の接続の確立と保護に使用される証明書やキーを管理します。Catalyst Center は、デバイス CA として機能するプライベート(内部)Catalyst Center CA を提供します。この Catalyst Center CA は、ルート CA として動作するか、下位 CA として設定できます。下位 CA として設定すると、元に戻すことはできません。

認証局のロールをルートから下位に変更

デバイス CA は Catalyst Center のプライベート CA であり、サーバーとクライアントの間の接続の確立と保護に使用される証明書やキーを管理します。デバイス CA のロールをルート CA から下位 CA に変更するには、この手順を実行します。

[Certificate Authority] ウィンドウの GUI を使用して、プライベート(内部)Catalyst Center CA のロールをルート CA から下位 CA に変更できます。この変更を行う際は、以下のようになります。

  • Catalyst Center を下位 CA として機能させる場合は、Microsoft CA などのルート CA があることを確認し、その証明書を使用することに同意してください。

  • 下位 CA が完全に設定されていない限り、Catalyst Center は内部ルート CA としての役割を継続します。

  • この手順の記述に従い、Catalyst Center の証明書署名要求ファイルを生成し、それが外部ルート CA によって手動で署名されていることを確認します。


    (注)  

    Catalyst Center は、この期間中は内部ルート CA として実行し続けます。

  • 証明書署名要求が外部ルート CA によって署名された後、GUI を使用してこの署名ファイルを Catalyst Center にインポートし直す必要があります(この手順の記述に従う)。

    インポート後、Catalyst Center は下位 CA として自身を初期化し、下位 CA の既存機能をすべて提供します。

  • CA のロールをルートから下位に切り替えると、古い CA は廃止され、新しい下位 CA の PKI チェーンが引き継がれます。失効リストは CA によって公開されます。CA が廃止されると、信頼を確立できないため、失効が無意味になります。未使用の証明書を最初に失効させることが組織のポリシーで規定されている場合は、CA のロールをルートから下位に切り替える前に、GUI の [Device Certificates] ウィンドウから証明書を失効させることができます。

    デバイスの可制御性(デフォルトで有効)は、下位 CA から提供された新しい証明書チェーンでデバイスを自動的に更新します。新しいテレメトリ接続は、この新しい証明書チェーンでのみ認証されます。これは、オーセンティケータ側の信頼できる下位 CA と一致します。

  • GUI に表示される下位 CA 証明書の有効期間は、証明書から直接読み取られたものであり、システム時刻を使用して計算されたものではありません。したがって今日、証明書を有効期間 1 年でインストールして来年の同じ時間に GUI で見ると、証明書の有効期間は 1 年間と表示されます。

  • 下位 CA 証明書として PEM または DER 形式のみを使用できます。

  • 下位 CA は上位の CA と連携しないため、上位レベルの証明書がある場合は、その失効に注意してください。このため、下位 CA からネットワークデバイスに対して、証明書の失効に関する情報が通知されることもありません。下位 CA にはこの情報がないため、すべてのネットワークデバイスは下位 CA を CRL Distribution Points(CDP)送信元としてのみ使用します。

  • プラグアンドプレイ(PnP)の AP プロファイルに EAP-Transport Level Security(EAP-TLS)認証を使用する場合は、下位 CA を使用できないことに注意してください。ルート CA のみを使用できます。

始める前に

ルート CA 証明書のコピーが必要です。

手順

ステップ 1

メインメニューから次を選択します。 [System] > [Settings] > [Certificate Authority] の順に選択します。

ステップ 2

[CA Management] タブをクリックします。

ステップ 3

GUI で既存のルートまたは下位 CA 証明書の設定情報を確認します。

  • [Root CA Certificate]:現在のルート CA 証明書(外部または内部)を表示します。

  • [Root CA Certificate Lifetime]:現在のルート CA 証明書の最新の有効期間を表示します(日数)。

  • [Current CA Mode]:現在の CA モードを表示します(ルート CA または下位 CA)。

  • [SubCA mode]:ルート CA から下位 CA に変更できます。

ステップ 4

[CA Management] タブで、[Enable SubCA Mode] ボタンをクリックします。

ステップ 5

表示される警告内容を確認します。

次に例を示します。

  • ルート CA から下位 CA に変更するプロセスは元に戻すことができません。

  • ルート CA モードで登録された、または証明書が発行されたネットワーク デバイスがないことを確認する必要があります。下位 CA に変更する前に、ルート CA モードで登録されているデバイスを取り消します。

  • 下位 CA の設定プロセスが終了しなければ、ネットワークデバイスをオンラインにできません。

ステップ 6

[OK] をクリックして続行します。

ステップ 7

[Import External Root CA Certificate Chain] フィールドにルート CA 証明書をドラッグアンドドロップして、[Upload] をクリックします。

ルート CA 証明書が Catalyst Center にアップロードされ、証明書署名要求の生成に使用されます。

アップロードプロセスが完了すると、「Certificate Uploaded Successfully」というメッセージが表示されます。

ステップ 8

[Next] をクリックします。

Catalyst Center で証明書署名要求が生成されて表示されます。

ステップ 9

Catalyst Center で生成された証明書署名要求を GUI で確認し、次のアクションのいずれかを実行します。

  • [Download] リンクをクリックして、証明書署名要求ファイルのローカルコピーをダウンロードします。

    その後、この証明書署名要求ファイルを電子メールに添付して、ルート CA に送信することができます。

  • [Copy to the Clipboard] リンクをクリックして、証明書署名要求ファイルの内容をコピーします。

    その後、この証明書署名要求の内容を電子メールに貼り付けるか、電子メールに添付ファイルとして添付して、ルート CA に送信することができます。

ステップ 10

証明書署名要求ファイルをルート CA に送信します。

ルート CA から下位 CA ファイルが返されます。このファイルを Catalyst Center にインポートし直す必要があります。

ステップ 11

ルート CA から下位 CA ファイルを受信した後、Catalyst Center の GUI に再度アクセスし、[Certificate Authority] ウィンドウに戻ります。

ステップ 12

[CA Management] タブをクリックします。

ステップ 13

[Change CA mode] ボタンの [Yes] をクリックします。

[Yes] をクリックすると、GUI に証明書署名要求が表示されます。

ステップ 14

[Next] をクリックします。

[Certificate Authority ] ウィンドウに、[Import SubCA Certificate] フィールドが表示されます。

ステップ 15

[Import SubCA Certificate] フィールドに下位 CA 証明書をドラッグアンドドロップして、[Apply] をクリックします。

下位 CA 証明書が Catalyst Center にアップロードされます。

アップロードが完了すると、GUI の [CA Management] タブに、下位 CA モードが表示されます。

ステップ 16

[CA Management] タブのフィールドを確認します。

  • [Sub CA Certificate]:現在の下位 CA 証明書を表示します。

  • [External Root CA Certificate]:ルート CA 証明書を表示します。

  • [Sub CA Certificate Lifetime]:下位 CA 証明書の有効期間を表示します(日数)。

  • [Current CA Mode]:SubCA モードを表示します。

ロールオーバー下位 CA 証明書のプロビジョニング

Catalyst Center では、既存の下位 CA の有効期間が 70% 以上経過している場合に、ユーザーがロールオーバー下位 CA として下位証明書を適用することができます。

始める前に

  • 下位 CA ロールオーバー プロビジョニングを開始するには、認証局のロールを下位 CA モードに変更しておく必要があります。認証局のロールをルートから下位に変更を参照してください。

  • 現在の下位 CA 証明書の有効期限が 70 % 以上経過していることが必要です。この状態になると、Catalyst Center の [CA Management] タブの下に [Renew] ボタンが表示されます。

  • ロールオーバー下位 CA の署名付き証明書のコピーが必要です。

手順

ステップ 1

メインメニューから次を選択します。[System] > [Settings] > [Certificate] > [Certificate Authority] の順に選択します。

ステップ 2

[CA Management] タブで、CA 証明書の設定情報を確認します。

  • [Subordinate CA Certificate]:現在の下位 CA 証明書を表示します。

  • [External Root CA Certificate]:ルート CA 証明書を表示します。

  • [Subordinate CA Certificate Lifetime]:現在の下位 CA 証明書の有効期間(日数)を表示します。

  • [Current CA Mode]:SubCA モードを表示します。

ステップ 3

[Renew] をクリックします。

Catalyst Center は既存の下位 CA を使用して、ロールオーバー下位 CA の証明書署名要求を生成し、表示します。

ステップ 4

生成された証明書署名要求を GUI で確認し、次のアクションのいずれかを実行します。

  • [Download] リンクをクリックして、証明書署名要求ファイルのローカルコピーをダウンロードします。

    その後、この証明書署名要求ファイルを電子メールに添付して、ルート CA に送信することができます。

  • [Copy to the Clipboard] リンクをクリックして、証明書署名要求ファイルの内容をコピーします。

    その後、この証明書署名要求の内容を電子メールに貼り付けるか、電子メールに添付ファイルとして添付して、ルート CA に送信することができます。

ステップ 5

証明書署名要求ファイルをルート CA に送信します。

次にルート CA がロールオーバー下位 CA ファイルを返送してくると、それを Catalyst Center にインポートし直す必要があります。

下位 CA ロールオーバーの証明書署名要求は、RootCA モードから SubCA モードに切り替えた際にインポートした下位 CA に署名したルート CA と同じルート CA によって署名される必要があります。

ステップ 6

ルート CA からロールオーバー下位 CA ファイルを受信した後、[Certificate Authority] ウィンドウに戻ります。

ステップ 7

[CA Management] タブをクリックします。

ステップ 8

証明書署名要求が表示されている GUI で [Next] をクリックします。

[Certificate Authority ] ウィンドウに、[Import Sub CA Certificate] フィールドが表示されます。

ステップ 9

下位ロールオーバー CA 証明書を [Import Sub CA Certificate] フィールドにドラッグアンドドロップし、[Apply] をクリックします。

ロールオーバー下位 CA 証明書が Catalyst Center にアップロードされます。

アップロードが終了すると、GUI が変更され、[CA Management] タブの [Renew] ボタンが無効になります。

外部 SCEP ブローカの使用

Catalyst Center では、ネットワークデバイスへの証明書の登録とプロビジョニングに Simple Certificate Enrollment Protocol(SCEP)が使用されます。独自の SCEP ブローカと証明書サービスを使用したり、外部の SCEP ブローカを使用したりできます。外部 SCEP ブローカを設定するには、以下の手順を実行します。


(注)  

SCEP の詳細については、「Simple Certificate Enrollment Protocol Overview」を参照してください。

手順

ステップ 1

メインメニューから次を選択します。[System] > [Settings] > [Certificate] > [Certificate Authority] の順に選択します。

ステップ 2

[Certificate Authority] ウィンドウで、[Use external SCEP broker] オプションボタンをクリックします。

ステップ 3

外部証明書をアップロードするには、次のいずれかのオプションを使用します。

  • ファイルを選択する
  • ドラッグアンドドロップしてアップロードする

(注)  

 

.pem、.crt、.cer などのファイルタイプのみ使用できます。ファイルサイズは 1 MB を超えることはできません。

ステップ 4

[Upload] をクリックします。

ステップ 5

デフォルトでは、[Manages Device Trustpoint] が有効になっています。つまり、デバイスで sdn-network-infra-iwan トラストポイントが設定されます。Catalyst Center次の手順を完了する必要があります。

  1. デバイスが SCEP 経由で証明書を要求する登録 URL を入力します。

  2. (任意)証明書で使用される任意のサブジェクトフィールド(国、地域、州、組織、組織単位など)を入力します。共通名(CN)は、デバイスのプラットフォーム ID とデバイスのシリアル番号を使用して Catalyst Center によって自動的に設定されます。

  3. [Revocation Check] フィールドで、ドロップダウンリストをクリックし、適切な失効チェックオプションを選択します。

  4. (任意)[Auto Renew] チェックボックスをオンにして、自動登録の割合を入力します。

[Manages Device Trustpoint] が無効になっている場合、デバイスが有線およびワイヤレスのアシュアランステレメトリを Catalyst Center に送信するようにするため、デバイスに手動で sdn-network-infra-iwan トラストポイントを設定し、証明書をインポートする必要があります。デバイス証明書トラストポイントの設定」を参照してください。

ステップ 6

[Save] をクリックします。

外部 CA 証明書がアップロードされます。

アップロードされた外部証明書を置き換える場合は、[Replace Certificate] をクリックし、必要な詳細を入力します。

内部認証局への切り替え

外部証明書をアップロードした後、内部証明書に切り替える場合は、次の手順を実行します。

手順

ステップ 1

メインメニューから次を選択します。[System] > [Settings] > [Certificate] > [Certificate Authority] の順に選択します。

ステップ 2

[Certificate Authority] ウィンドウで、[Use Catalyst Center] オプションボタンをクリックします。

ステップ 3

[Switching back to Internal Certificate Authority] アラートで、[Apply] をクリックします。

[Settings have been updated] メッセージが表示されます。詳細については、認証局のロールをルートから下位に変更を参照してください。

Catalyst Center 認証局のエクスポート

Catalyst Center では、デバイスを認証するための AAA サーバーまたは Cisco ISE サーバーなどの外部エンティティの設定に必要なデバイス証明書をダウンロードできます。

手順

ステップ 1

メインメニューから次を選択します。[System] > [Settings] > [Certificate] > [Certificate Authority] の順に選択します。

ステップ 2

[Download] をクリックして、デバイス CA をエクスポートし、信頼できる CAとして外部エンティティに追加します。

デバイス証明書トラストポイントの設定

Catalyst Center で [Manages Device Trustpoint] が無効になっている場合、デバイスが有線およびワイヤレス Assurance テレメトリを Catalyst Center に送信するようにするため、デバイスに手動で sdn-network-infra-iwan トラストポイントを設定し、証明書をインポートする必要があります。

この手動設定の手順は、SCEP を介して外部 CA から登録する必要があります。

手順

ステップ 1

次のコマンドを入力します。

crypto pki trustpoint sdn-network-infra-iwan
  enrollment url http://<SCEP_enrollment_URL_to_external_CA> 
  fqdn <device_FQDN>
  subject-name CN=<device_platform_ID>_<device_serial_number>_sdn-network-infra-iwan
  revocation-check <crl, crl none, or none>  # to perform revocation check with CRL, CRL fallback to no check, or no check
  rsakeypair sdn-network-infra-iwan
  fingerprint <CA_fingerprint> # to verify that the CA at the url connection matches the fingerprint given

ステップ 2

(任意、ただし推奨)証明書を自動的に更新し、証明書の有効期限を回避します。

auto-enroll 80 regenerate

ステップ 3

(任意)登録 URL に到達可能なインターフェイスを指定します。それ以外の場合、http サービスの送信元インターフェイスがデフォルトで設定されます。

source interface <interface>

信頼できる証明書の設定

Catalyst Center には、事前インストールされているシスコの信頼できる証明書バンドル(シスコが信頼する外部ルートバンドル)が含まれています。Catalyst Center は、シスコからの更新された信頼できる証明書バンドルのインポートとストレージもサポートしています。信頼できる証明書バンドルは、Catalyst Center およびそのアプリケーションとの信頼関係を確立するために、サポートされるシスコ ネットワーキング デバイスによって使用されます。


(注)  

シスコの信頼できる証明書バンドルは、サポートされているシスコデバイスのみをアンバンドルして使用できる、ios.p7b と呼ばれるファイルです。この ios.p7b ファイルには、シスコを含む有効な認証局のルート証明書が含まれています。このシスコの信頼できる証明書バンドルは、Cisco cloud(Cisco InfoSec)で使用できます。このバンドルは https://www.cisco.com/security/pki/ にあります。

信頼できる証明書バンドルは、同じ CA を使用してすべてのネットワークデバイス証明書と Catalyst Center 証明書を管理するための安全で便利な方法を提供します。Catalyst Center は信頼できる証明書バンドルを使用して、自身の証明書とプロキシゲートウェイ証明書を検証し、証明書が有効な CA 署名付き証明書であるかどうかを判断します。さらに、PnP ワークフローの開始時にネットワーク PnP 対応デバイスにアップロードできるように、また、その後の HTTPS ベースの接続で Catalyst Center を信頼できるように、信頼できる証明書バンドルを使用できます。

GUI の [Trusted Certificates] ウィンドウを使用して、シスコの信頼できる証明書バンドルをインポートします。

手順

ステップ 1

メインメニューから次を選択します。 [System] > [Settings] > [Certificates] > [Trusted Certificates] の順に選択します。

ステップ 2

[Trusted Certificates] ウィンドウで、[Update trusted certificates now] ハイパーリンクをクリックして信頼できる証明書バンドルの新規ダウンロードおよびインストールを開始します。

このハイパーリンクは、ios.p7b ファイルの更新バージョンが使用可能で、インターネットアクセスが可能なときにのみ表示されます。

Catalyst Center に新しい信頼できる証明書バンドルがダウンロードおよびインストールされると、Catalyst Center はシスコのデバイスのダウンロードをサポートするよう、この信頼できる証明書バンドルを使用可能にします。

ステップ 3

新しい証明書ファイルをインポートする場合は、[Import] をクリックしてローカルシステムから有効な証明書ファイルを選択し、[Import Certificate] ウィンドウで [Import] をクリックします。

ステップ 4

[Export] をクリックして、証明書の詳細を CSV 形式でエクスポートします。

制限付きシェルについて

基盤となるオペレーティングシステムとファイルに対する運用上のリスクを軽減するために、Catalyst Center は、次のコマンドにのみアクセスできるデフォルトの制限付きシェルを提供します。 

$ ?
Help:
  cat                  concatenate and print files in restricted mode
  clear                clear the terminal screen
  date                 display the current time in the given FORMAT, or set the system date
  debug                enable console debug logs
  df                   file system information
  dmesg                print or control the kernel ring buffer.
  du                   summarize disk usage of the set of FILEs, recursively for directories.
  free                 quick summary of memory usage
  history              enable shell commands history
  htop                 interactive process viewer.
  ip                   print routing, network devices, interfaces and tunnels.
  last                 show a listing of last logged in users.
  ls                   restricted file system view chrooted to maglev Home
  lscpu                print information about the CPU architecture.
  magctl               tool to manage a Maglev deployment
  maglev               maglev admin commands
  maglev-config        tool to configure a Maglev deployment
  manufacture_check    tool to perform manufacturing checks
  netstat              print networking information.
  nslookup             query Internet name servers interactively.
  ntpq                 standard NTP query program.
  ping                 send ICMP ECHO_REQUEST to network hosts.
  ps                   check status of active processes in the system
  rca                  root cause analysis collection utilities
  reboot               Reboot the machine
  rm                   delete files in restricted mode
  route                print the IP routing table.
  runonce              Execute runonce scripts
  scp                  restricted secure copy
  sftp                 secure file transfer
  shutdown             Shutdown the machine
  ssh                  OpenSSH SSH client.
  tail                 Print the last 10 lines of each FILE to standard output
  top                  display sorted list of system processes
  traceroute           print the route packets trace to network host.
  uname                print system information.
  uptime               tell how long the system has been running.
  vi                   text editor
  w                    show who is logged on and what they are doing.

ルートシェルアクセスを取得するには、Cisco TAC に問い合わせる必要があります。トラブルシューティングを容易にするために、一時的にのみルートシェルにアクセスします。

製品テレメトリについて

Catalyst Center ではデフォルトで製品テレメトリデータが収集されますが、一部のデータ収集をオプトアウトできます。データ収集は、製品機能の開発を支援し、運用上の問題に対処して、より優れた価値と投資回収率(ROI)を実現することを目的としています。シスコが収集するデータの種類は、Cisco.com ID、システム、機能の使用状況、ネットワーク デバイス インベントリ、およびソフトウェア利用資格です。収集されるデータの詳しいリストについては、Cisco Catalyst Center のデータシートを参照してください。一部のデータ収集をオプトアウトするには、シスコのアカウント担当者および Cisco Technical Assistance Center(TAC)にお問い合わせください。

メインメニューから次を選択します。 [System] > [Settings] > [Terms and Conditions] > [Product Telemetry] の順に選択します。[Product Telemetry] ウィンドウから、ライセンス契約、プライバシーポリシー、プライバシーデータシートを確認できます。

アカウント ロックアウト

アカウント ロックアウト ポリシーを設定して、ユーザーによるログインの試行、アカウントのロックアウト期間、ログインの再試行回数を管理できます。

デフォルトでは、アカウントロックアウトは、ユーザー名と送信元 IP アドレスの両方に対して失敗した試行を追跡するデュアルレイヤセキュリティを使用します。トリガーされると、両方の要素が同時にロックされます。IP アドレスはすべての認証試行からブロックされ、ユーザー名はすべての IP アドレスでロックされます。

アカウントロックアウトは、外部認証ユーザーではなく、ローカルユーザーにのみ影響します。

手順

ステップ 1

メインメニューから次を選択します。[System] > [Settings] > [Trust & Privacy] > [Account Lockout] の順に選択します。

ステップ 2

[Enforce Account Lockout] トグルボタンをクリックして、チェックマークが表示された状態にします。

ステップ 3

[Enforce Account Lockout] の次のパラメータの値を入力します。

  • Maximum Login Retries

  • Lockout Effective Periods (minutes)

  • Reset Login Retries after (minutes)

(注)  

 

[Info] にカーソルを合わせると、各パラメータの詳細が表示されます。

ステップ 4

[Idle Session Timeout] の値(セッションが期限切れになり、ユーザーがログインページにリダイレクトされるまでの時間)を選択します。デフォルトは 1 時間です。

ステップ 5

[Save] をクリックします。

セッションをアイドル状態のままにすると、セッションタイムアウトの 5 分前に [Session Timeout] ダイアログボックスが表示されます。

続行するには、次のいずれかのタスクを実行します。

  • セッションを続行する場合は、[Stay signed in] をクリックします。

  • すぐにセッションを終了するには、[Sign out] をクリックします。

パスワードの有効期限切れ

パスワード有効期限ポリシーを設定して、以下を管理できます。

  • パスワードの有効期限の通知間隔

  • パスワードが期限切れになる前にユーザーに通知が表示される日数

  • 猶予期間

手順

ステップ 1

メインメニューから次を選択します。[System] > [Settings] > [Trust & Privacy] > [Password Expiry] の順に選択します。

ステップ 2

[Enforce Password Expiry] トグルボタンをクリックして、チェックマークが表示された状態にします。

ステップ 3

次の [Enforce Password Expiry] パラメータの値を入力します。

  • パスワード期限(日)

  • パスワードの期限の警告(日)

  • 猶予期間(日)

(注)  

 

[Info] にカーソルを合わせると、各パラメータの詳細が表示されます。

ステップ 4

[Save] をクリックして、パスワード有効期限設定を保存します。

IP アクセス制御

IP アクセス制御により、ホストまたはネットワークの IP アドレスに基づいて Catalyst Center へのアクセスを制御できます。この機能では、Catalyst Center GUI へのアクセスのみを制御できます。この機能で、企業全体のネットワークアクセスを制御することはできません。

Catalyst Center には、次を含む IP アクセス制御のオプションが用意されています。

  • Catalyst Center へのアクセスをすべての IP アドレスに許可します(デフォルト)。

  • 選択した IP アドレスのみに Catalyst Center へのアクセスを許可します。

IP アクセス制御の構成

IP アクセス制御を構成し、選択した IP アドレスのみに Catalyst Center へのアクセスを許可するには、次の手順を実行します。

  1. IP アクセス制御の有効化

  2. IP アクセスリストへの IP アドレスの追加

  3. (任意) IP アクセスリストからの IP アドレスの削除

IP アクセス制御の有効化

始める前に

  • SUPER-ADMIN-ROLE 権限を取得しておきます。

  • Catalyst Center サービスサブネット、クラスタサービスサブネット、およびクラスタ インターフェイス サブネットを許可サブネットのリストに追加します。

手順

ステップ 1

メインメニューから次を選択します。[System] > [Settings] > [Trust & Privacy] > [IP Access Control] の順に選択します。

ステップ 2

[リストされている IP アドレスのみに接続を許可する(Allow only listed IP addresses to connect)] オプションボタンをクリックします。

ステップ 3

[Add IP List] をクリックします。

ステップ 4

[Add IP] スライドインペインの [IP Address] フィールドに、IPv4 アドレスを入力します。

(注)  

 

IP アドレスを IP アクセスリストに追加しないと、Catalyst Center にアクセスできなくなる可能性があります。

ステップ 5

[Subnet Mask] フィールドにサブネット マスクを入力します。

サブネットマスクの有効範囲は 0 ~ 32 です。

ステップ 6

[Save] をクリックします。

IP アクセスリストへの IP アドレスの追加

IP アクセスリストに IP アドレスを追加するには、次の手順を実行します。

始める前に

IP アクセス制御が有効になっていることを確認してください。詳細については、IP アクセス制御の有効化を参照してください。

手順

ステップ 1

メインメニューから次を選択します。[System] > [Settings] > [Trust & Privacy] > [IP Access Control] の順に選択します。

ステップ 2

[Add] をクリックします。

ステップ 3

[Add IP] スライドインペインの [IP Address] フィールドに、ホストまたはネットワークの IPv4 アドレスを入力します。

ステップ 4

[Subnet Mask] フィールドにサブネット マスクを入力します。

サブネットマスクの有効範囲は 0 ~ 32 です。
IP アクセスリストへの IP アドレスの追加

ステップ 5

[Save] をクリックします。

IP アクセスリストからの IP アドレスの削除

IP アクセスリストから IP アドレスを削除して Catalyst Center へのアクセスを無効にするには、以下の手順を実行します。

始める前に
IP アクセスコントロールを有効にして、IP アドレスを IP アクセスリストに追加したことを確認します。詳細については、IP アクセス制御の有効化およびIP アクセスリストへの IP アドレスの追加を参照してください。
手順

ステップ 1

メインメニューから次を選択します。[System] > [Settings] > [Trust & Privacy] > [IP Access Control] の順に選択します。

ステップ 2

[Action] 列で、対応する IP アドレスの [Action] アイコンをクリックします。

ステップ 3

[Delete] をクリックします。

IP アクセス制御の無効化

IP アクセス制御を無効化し、すべての IP アドレスに Catalyst Center へのアクセスを許可するには、次の手順を実行します。

始める前に

SUPER-ADMIN-ROLE 権限を取得しておきます。

手順

ステップ 1

メインメニューから次を選択します。[System] > [Settings] > [Trust & Privacy] > [IP Access Control] の順に選択します。

ステップ 2

[Allow all IP addresses to connect] オプションボタンをクリックします。