ネットワークデバイスのコンプライアンス監査

コンプライアンスの概要

コンプライアンスは、元のコンテンツに影響を与えることなく注入または再設定される可能性があるネットワークのインテント逸脱やアウトオブバンドの変更を特定するのに役立ちます。

ネットワーク管理者は、Catalyst Center でソフトウェアイメージ、PSIRT、ネットワークプロファイルなどコンプライアンスのさまざまな側面のコンプライアンス要件を満たさないデバイスを簡単に特定できます。

コンプライアンスチェックは、自動化することも、オンデマンドで実行することもできます。

  • 自動コンプライアンスチェック:Catalyst Center でデバイスから収集された最新のデータを使用します。このコンプライアンスチェックは、インベントリや SWIM などさまざまなサービスからのトラップと通知をリッスンして、データを評価します。

  • 手動コンプライアンスチェック:Catalyst Center でユーザーが手動でコンプライアンスをトリガーできます。

  • スケジュールされたコンプライアンスチェック:スケジュールされたコンプライアンスジョブは毎日午後 11:00 に実行され、過去 7 日間コンプライアンスチェックが実行されなかったデバイスのコンプライアンスチェックをトリガーします。

コンプライアンスのタイプ

コンプライアンスタイプ コンプライアンスチェック コンプライアンスステータス

スタートアップ設定と実行中の設定

このコンプライアンスチェックは、デバイスのスタートアップ設定と実行中の設定が同期しているかどうかを識別するために役立ちます。デバイスのスタートアップ設定と実行中の設定が同期していない場合は、コンプライアンスがトリガーされ、アウトオブバンド変更の詳細レポートが表示されます。スタートアップ設定と実行中の設定の比較に関するコンプライアンスは、アウトオブバンド変更の 2 分以内にトリガーされます。

(注)  

 

Syslog ベースの収集を機能させるには、[Design] > [Network Settings] > [Telemetry] > [Syslogs] ウィンドウで Catalyst Center を Syslog サーバーとして設定する必要があります。

  • [Noncompliant]:スタートアップ設定と実行中の設定は同じではありません。詳細ビューには、スタートアップと実行中との違いか、または実行中と以前の実行中との違いが表示されます。

  • [Compliant]:スタートアップ設定と実行中の設定は同じです。

  • [NA (Not Applicable)]:このコンプライアンスタイプのデバイス(AireOS など)はサポートされていません。

ソフトウェア イメージ

このコンプライアンスチェックは、Catalyst Center のタグ付きのゴールデンイメージがデバイスで実行されているかどうかをネットワーク管理者が確認するために役立ちます。これにより、デバイスのゴールデンイメージと実行中のイメージとの違いがわかります。ソフトウェアイメージに変更があると、遅延なくすぐにコンプライアンスチェックがトリガーされます。

  • [Noncompliant]:デバイスは、デバイスファミリのタグ付きのゴールデンイメージを実行していません。

  • [Compliant]:デバイスは、デバイスファミリのタグ付きのゴールデンイメージを実行しています。

  • [NA (Not Applicable)]:選択したデバイスファミリではゴールデンイメージを使用できません。

ファブリックデバイスの場合:

  • [Noncompliant]:デバイスがデバイスファミリのタグ付きゴールデンイメージを実行していないか、ソフトウェアイメージの現在のバージョンにネットワークデバイスとの互換性がありません。

    お使いのデバイスでサポートおよび推奨されるソフトウェアイメージのバージョンについては、Cisco SD-Access 互換性マトリックスを参照してください。

  • [Compliant]:デバイスがデバイスファミリのタグ付きゴールデンイメージを実行しているか、ソフトウェアイメージの現在のバージョンにデバイスとの互換性があります。

  • [NA (Not Applicable)]:選択したデバイスファミリではゴールデンイメージが使用できないか、デバイスがファブリックサイトに追加されていません。

シスコのスイッチスタックの場合:Catalyst Center では、ネットワーク管理者は、タグ付きのゴールデンイメージがプライマリスイッチおよびスイッチスタックのメンバーで実行されているかどうかを確認できます。

  • [Noncompliant]:タグ付きのゴールデンイメージが、プライマリスイッチおよびメンバースイッチで実行されていません。

    また、ゴールデンタグ付けがデバイスに適用されず、メンバースイッチがプライマリスイッチと同じバージョンのイメージで実行されていない場合、デバイスは非準拠(Noncompliant)になります。

  • [Compliant]:タグ付きのゴールデンイメージが、プライマリスイッチおよびメンバースイッチで実行されています。

    また、ゴールデンタグ付けがデバイスに適用されず、メンバースイッチがプライマリスイッチと同じバージョンのイメージで実行されている場合、デバイスは準拠(Compliant)になります。

  • [NA (Not Applicable)]:ゴールデンイメージがデバイスに適用されず、デバイスがスタック構成のスイッチではありません。

重大なセキュリティ(PSIRT)

このコンプライアンスチェックでは、ネットワークデバイスが重大なセキュリティの脆弱性なしで実行されているかどうかを確認できます。

  • [Noncompliant]:デバイスに重要なアドバイザリがあります。詳細レポートには、その他のさまざまな情報が表示されます。

  • [Compliant]:デバイスに重大な脆弱性はありません。

  • [NA (Not Applicable)]:Catalyst Center でネットワーク管理者がセキュリティ アドバイザリ スキャンを実行していないか、デバイスがサポートされていません。

ネットワークプロファイル

Catalyst Center では、ネットワークプロファイルでインテント設定を定義して、そのインテントをデバイスにプッシュできます。アウトオブバンド変更またはその他の変更のために任意の時点で違反が検出された場合、このチェックにより、それが識別されて、評価され、フラグが立てられます。違反は、コンプライアンス サマリー ウィンドウの [Network Profiles] でユーザーに対して表示されます。

(注)  

 
ネットワーク プロファイル コンプライアンスは、ルータ、スイッチ、および ワイヤレスコントローラ に適用されます。

  • [Noncompliant]:デバイスでプロファイルのインテント設定が実行されていません。

  • [Compliant]:ネットワークプロファイルがデバイスに適用されており、同時に、Catalyst Center からプッシュされたデバイス設定がデバイスでアクティブに実行されています。

  • [Error]:根本的なエラーのため、コンプライアンスがステータスを計算できませんでした。詳細については、エラーログを参照してください。

ファブリック(SDA)

この機能はベータ版です。

ファブリック コンプライアンスは、ファブリックインテント違反(ファブリック関連の設定のアウトオブバンド変更など)の識別に役立ちます。

この機能はベータ段階であるため、ファブリックのコンプライアンスステータスは、デバイスの全体的なコンプライアンスステータスの決定には関与しません。

  • [Noncompliant]:デバイスでインテント設定が実行されていません。

  • [Compliant]:デバイスでインテント設定が実行されています。

SD-Accessのサポートされていない構成

この機能はベータ版です。

このコンプライアンスチェックにより、サポートされていない SD-Access 構成を特定できます。デバイスがファブリックサイトに追加されると、コンプライアンスチェックがすぐにトリガーされます。

非準拠デバイスのサポートされていない SD-Access 構成を表示するには、[Unsupported Configuration] をクリックします。[Unsupported Configuration] エリアで、サポートされていない SD-Access 構成が赤色で強調表示されます。

(注)  

 

ファブリックサイトに追加されていないデバイスの場合、このコンプライアンスチェックは使用されません。

  • [Noncompliant]:デバイスは、SD-Access でサポートされていないいくつかの構成を実行しています。

  • [Compliant]:デバイスは、SD-Access でサポートされている構成を実行しています。

アプリケーションの可視性

Catalyst Center では、アプリケーション可視性インテントを作成して、CBAR および NBAR を介してデバイスにプロビジョニングできます。デバイスにインテント違反がある場合、このチェックにより、違反が識別されて、評価され、[Application Visibility] ウィンドウに準拠または非準拠として表示されます。

自動コンプライアンスチェックは、トラップの受信の 5 時間後に実行されるようにスケジュールされます。

  • [Noncompliant]:デバイスで CBAR/NBAR 設定が実行されていません。

  • [Compliant]:デバイスで CBAR/NBAR のインテント設定が実行されています。

モデル設定

このコンプライアンスチェックにより、ネットワーク管理者は、モデル設定の設計意図との不一致をチェックできます。違反は、[Compliance Summary] ウィンドウの [Network Profiles] に表示されます。

  • [Noncompliant]:モデル設定の属性の実際の値と意図された値が一致しません。

  • [Compliant]:モデル設計の属性が意図した値に一致します。

CLIテンプレート

Catalyst Center ではネットワーク管理者は、CLI テンプレートをデバイスの実行コンフィギュレーションと比較できます。コンフィギュレーションの不一致にはフラグが立てられます。この不一致は、[Compliance Summary] ウィンドウの [Network Profiles] に表示されます。

フラグが設定された CLI コマンドを表示するには、次の手順を実行します。

  1. [Network Profile] タイルをクリックします。

  2. [CLI Deviations] エリアから、不一致を表示する CLI テンプレートを選択します。

  3. CLI コマンドは [Realize Template]エリアに表示され、フラグが設定されたコマンドは赤で強調表示されます。

    (注)  

     

    コンプライアンスの問題を最小限に抑えるために CLI テンプレートで使用する必要があるベストプラクティスの一部を表示するには、[View CLI Template Best Practices] リンクをクリックします。

CLI テンプレート コンプライアンス用の実行コンフィギュレーションは、デバイスで使用可能な最新のアーカイブから取得されます。イベントベースのアーカイブは、トラップを受信してから更新されるまでに少なくとも 2 分かかります。正確な結果を得るには、設定の変更後にコンプライアンスを手動で実行する前に、少なくとも 2 分間待つことをお勧めします。

Syslog ベースの収集を機能させるには、[Design] > [Network Settings] > [Telemetry] > [Syslogs] ウィンドウで Catalyst Center を Syslog サーバーとして設定する必要があります。

(注)  

 

CLI テンプレート コンプライアンスにはいくつかの制限があります。「CLI テンプレート コンプライアンスの制限事項」を参照してください。

  • [Noncompliant]:CLI テンプレートとデバイスの実行コンフィギュレーションが一致しません。

  • [Compliant]:CLI テンプレートとデバイスの実行コンフィギュレーションの間に不一致はありません。

EoX - サポート終了

Catalyst Center では、EoX デバイスのハードウェア、ソフトウェア、およびモジュールのコンプライアンスステータスを確認できます。EoX コンプライアンスステータスは、[Compliance Summary] > [EoX - End of Life] タイルから確認できます。

[Inventory] ウィンドウの [EoX Status] 列で、デバイスの EoX ステータスを表示することもできます。

(注)  

 

EoX 機能へのアクセスを有効にするには、Catalyst Center ダッシュボードから「CX Cloud の接続への同意」(CX Cloud Consent to Connect)契約を承認します。

  • [Noncompliant]:サポートの最終日を過ぎている場合、デバイスは非準拠の状態になります。

  • [Compliant]:サポートの最終日まで十分な時間が残っている場合、デバイスは準拠の状態になります。

  • [Compliant with Warning]:サポートの最終日が近づいている場合、デバイスは警告付き準拠の状態になります。

ネットワーク設定

Catalyst Center では、ネットワーク設定を使用してインテント設定を定義し、そのインテントをデバイスにプッシュできます。アウトオブバンドの変更またはその他の変更によって任意の時点で違反が検出された場合、コンプライアンスチェックによってそれを特定し、評価し、フラグを下げます。

[Compliance Summary] ウィンドウの [Network settings] に違反が表示されます。

(注)  

 

UI のアップグレード後、ネットワーク設定のコンプライアンスは 6 時間後にトリガーされます。

  • [Noncompliant]:デバイスでインテント設定が実行されていません。

  • [Compliant]:プッシュされたインテント設定が、デバイスでアクティブに実行されています。

  • [NA](該当なし):ネットワーク設定を使用してデバイスが設定されていないか、デバイスがサイトに割り当てられていません。

Cisco Umbrella

Catalyst Center を使用すると、Catalyst Center によってデバイスにプッシュされたインテント Cisco Umbrella 設定からの逸脱を特定できます。違反が検出された場合、コンプライアンスチェックによってそれを特定し、評価し、フラグを下げます。

[Compliance Summary] ウィンドウの [Workflow] に違反が表示されます。

(注)  

 

Cisco Umbrella のコンプライアンスチェックは、スイッチまたはシスコ組み込みワイヤレスコントローラに適用されます。デバイスのプロビジョニングが完了していることを確認してください。

また、Cisco Umbrella がデバイスでプロビジョニングされている必要があります。詳細については、ネットワークデバイスでの Cisco Umbrella のプロビジョニングを参照してください。

  • [Noncompliant]:デバイスでインテント設定が実行されていません。

  • [Compliant]:プッシュされたインテント設定が、デバイスでアクティブに実行されています。

  • [NA](該当なし):Cisco Umbrella がデバイス用に設定されていません。

コンプライアンスサマリーの表示

インベントリページには、デバイスごとにコンプライアンスの集約ステータスが表示されます。

手順

ステップ 1

左上隅にあるメニューアイコンをクリックして次を選択します:[Provision] > [Inventory] の順に選択します。

コンプライアンス列には、デバイスごとに集約コンプライアンスステータスが表示されます。

ステップ 2

コンプライアンスステータスをクリックすると、コンプライアンス サマリー ウィンドウが開きます。このウィンドウには、選択したデバイスに適用可能な次のコンプライアンスチェックが表示されます。

  • スタートアップ設定と実行中の設定

    Catalyst Center では、スタートアップ コンフィギュレーションと実行コンフィギュレーションを比較しながらアウトオブバンド設定変更の詳細を表示できます。[Change History] エリアのバブルにカーソルを合わせると、詳細が表示されます。

    この図は、スタートアップ コンフィギュレーションと実行コンフィギュレーションの比較ビューを示しています。

    アウトオブバンドの変更については、次の詳細が表示されます。

    • [Lines Added, Removed, Modified]:追加、削除、または変更された行の数を示します。

    • [Triggered By]:設定変更イベントを表示します。イベントの詳細については、「Configuration Drift of a Device」を参照してください。

    • [Terminal Name, Login IP, Username]:ユーザーの端末名、ログイン IP、およびユーザー名を表示します。

    • [Config Method, Timestamp]:行った変更の設定方法とタイムスタンプを表示します。

      (注)  

       

      [Config Method] がメモリの場合、デバイスによって設定が自己生成されたことを示します。

  • ソフトウェア イメージ

  • 重大なセキュリティの脆弱性

  • ネットワークプロファイル

  • ネットワーク設定

  • ファブリック

  • SD-Accessのサポートされていない構成

  • アプリケーションの可視性

  • EoX - サポート終了

  • Cisco Umbrella

(注)  

 
[Network Settings]、[Network Profile]、[Fabric]、[SD-Access Unsupported Configuration]、および [Application Visibility] はオプションであり、デバイスが必要なデータでプロビジョニングされている場合にのみ表示されます。

手動コンプライアンスの実行

Catalyst Center では、コンプライアンスチェックを手動でトリガーできます。

手順

ステップ 1

左上隅にあるメニューアイコンをクリックして次を選択します:[Provision] > [Inventory] の順に選択します。

ステップ 2

一括してコンプライアンスチェックを行う場合は、次の手順を実行します。

  1. 該当するすべてのデバイスを選択します。

  2. [Actions] ドロップダウンリストから、[Compliance] > [Run Compliance] の順に選択します。

ステップ 3

デバイスごとにコンプライアンスチェックを行う場合は、次の手順を実行します。

  1. コンプライアンスチェックを実行するデバイスを選択します。

  2. [Actions] ドロップダウンリストから、[Compliance] > [Run Compliance] の順に選択します。

  3. あるいは、[Compliance] 列(使用可能な場合)をクリックし、[Run Compliance] をクリックします。

ステップ 4

デバイスの最新のコンプライアンスステータスを表示するには、次の手順を実行します。

  1. デバイスとインベントリを選択します。デバイス情報の再同期を参照してください。

  2. [Actions] ドロップダウンリストから、[Compliance] > [Run Compliance] の順に選択します。

(注)  

 

  • 到達不能のデバイスやサポートされていないデバイスに対してコンプライアンスの実行をトリガーすることはできません。

  • デバイスに対してコンプライアンスを手動で実行しない場合、コンプライアンスチェックはコンプライアンスのタイプに応じて一定期間後に実行されるように自動的にスケジュールされます。

  • CLI テンプレート コンプライアンスは、実現されたテンプレートをデバイスの実行コンフィギュレーションと比較します。実行コンフィギュレーションは、デバイスで使用可能な最新のアーカイブから取得されます。

  • イベントベースのアーカイブは、トラップを受信してから更新されるまでに少なくとも 2 分かかります。正確な結果を得るには、設定の変更後にコンプライアンスを手動で実行する前に、少なくとも 2 分間待つことをお勧めします。

  • Syslog ベースの収集を機能させるには、[Design] > [Network Settings] > [Telemetry] > [Syslogs] ウィンドウで Catalyst Center を Syslog サーバーとして設定する必要があります。

ネットワークデバイスのコンプライアンス監査レポートの生成

Catalyst Center では、個々のネットワークデバイスのコンプライアンスステータスを示す統合されたコンプライアンス監査レポートを取得できます。このレポートを使用すると、ネットワークを完全に可視化できます。

詳細については、『Cisco Catalyst Center Platform User Guide』の「Run a Compliance Report」[英語] を参照してください。

コンプライアンス違反の確認

Catalyst Centerでは、デバイスに関する重要度の低いコンプライアンス違反を認識し、コンプライアンスステータスの計算から違反をオプトアウトできます。必要に応じて、コンプライアンスステータスの計算に違反をオプトインすることもできます。

手順

ステップ 1

左上隅にあるメニューアイコンをクリックして次を選択します:[Provision] > [Inventory] の順に選択します。

ステップ 2

デバイス名をクリックするとダイアログボックスが開き、そのデバイスの高度な情報が表示されます。ダイアログボックスの [View Device Details] リンクをクリックします。

[Device Details] ウィンドウが表示されます。

ステップ 3

左側のペインで、[Compliance] [Summary] を選択します。

ステップ 4

[Compliance Summary] ウィンドウで、違反を確認するコンプライアンスタイルをクリックします。

表の [Open Violations] および [Acknowledged Violations] に、次の情報が表示されます。

  • モデル名

  • 属性

  • ステータス:この列には、次のいずれかのステータスが表示されます。

    • Added:デバイスに属性が追加されます。

    • Changed:インテント値とデバイス値が一致しません。

    • Removed:デバイスからインテントが削除されます。

  • Intended Value:Catalyst Centerによって構成されたインテント値を示します。

  • Actual Value:現在デバイスに構成されている値を表示します。

  • Action:未解決の違反には [Acknowledge] リンクを表示し、確認済みの違反には [Move to Open Violations] リンクを表示します。

コンプライアンスステータスの計算から違反をオプトアウトするには、次の手順を実行します。

  1. [Open Violations] タブをクリックします。

  2. 違反を選択し、[Actions] 列で [Acknowledge] をクリックします。

  3. 違反を一括で確認するには、表の上部にあるチェックボックスをオンにするか、複数の違反を選択して [Acknowledge] をクリックします。

  4. 確認ウィンドウで、[Confirm] をクリックします。

    違反は、[Acknowledged Violations] タブに移動します。

コンプライアンスステータスの計算に違反をオプトインするには、次の手順を実行します。

  1. [Acknowledged Violations] タブをクリックします。

  2. 違反を選択し、[Actions] 列で [Move to Open Violations] をクリックします。

  3. 違反をまとめて移動するには、表の上部にあるチェックボックスをオンにするか、複数の違反を選択して [Move to Open Violations] をクリックします。

  4. 確認ウィンドウで、[Confirm] をクリックします。

    違反は [Open Violations] タブに移動します。

ステップ 5

コンプライアンスステータスの計算からオプトアウトした属性のリストを表示するには、[Compliance Summary] ウィンドウで [View Preference for Acknowledged Violations] リンクをクリックします。

ステップ 6

コンプライアンスステータスの計算に属性をオプトインするには、[Acknowledge Violation Preferences] スライドインペインで、次の手順を実行します。

  1. 属性を選択し、[Actions] 列で [Unlist] をクリックします。

  2. 一括で選択するには、表の上部にあるチェックボックスをオンにするか、複数の違反を選択して [Unlist] をクリックします。

[Models] タブに、モデル構成、ルーティング、ワイヤレス、アプリケーションの可視性、またはファブリックについて確認された属性が表示されます。確認済みのテンプレートは、[Templates] タブに表示されます。

(注)  

 

  • [Acknowledge Violation Preferences] ウィンドウで、空の(-)属性を持つモデルは、子属性を含むモデル全体が確認されていることを意味します。

  • [Added] または [Removed] のステータスを持つ違反が確認されると、Catalyst Centerはそれと類似する属性とその子属性を自動的に認識します。

  • [Added] または [Removed] のステータスを持つ類似した違反がオーバーライドしている場合、認識された子属性は [Open Violations] に移動できません。

デバイスのスタートアップ設定と実行中の設定の同期

デバイスのスタートアップ コンフィギュレーションと実行コンフィギュレーションに不一致がある場合、修復同期を実行して設定を一致させることができます。

手順

ステップ 1

左上隅にあるメニューアイコンをクリックして次を選択します:[Provision] > [Inventory] の順に選択します。

ステップ 2

一括修復の場合は、次の手順を実行します。

  1. 該当するすべてのデバイスを選択します。

  2. [Actions] ドロップダウンリストから、[Compliance] > [Write Running Config to Startup Config] の順に選択します。

デバイスごとの修復の場合は、次の手順を実行します。

  1. 修復同期を実行するデバイスを選択します。

  2. [Actions] ドロップダウンリストから、[Compliance] > [Write Running Config to Startup Config] の順に選択します。

    または、[Compliance] 列のリンクをクリックし、[Compliance Summary] > [Startup vs Running Configuration] > [Sync Device Config] の順に選択します。

ステップ 3

デバイスの修復ステータスを表示するには、次の手順を実行します。

  1. 左上隅にあるメニューアイコンをクリックして次を選択します:[Provision] > [Inventory] の順に選択します。

  2. [Actions] ドロップダウンリストから、[Compliance] > [Check Startup Config Write Status] の順に選択します。

コンプライアンス違反の修正

Catalyst Center では、デバイスのコンプライアンス違反の自動修正によって準拠ネットワークを維持できます。Catalyst Center のコンプライアンスチェックで特定されたデバイスのインテントからの逸脱は、この手順で修正されます。

手順

ステップ 1

左上隅にあるメニューアイコンをクリックして次を選択します:[Provision] > [Inventory] の順に選択します。

コンプライアンス列には、デバイスごとに集約コンプライアンスステータスが表示されます。

ステップ 2

コンプライアンスステータスをクリックして、[Compliance Summary] ウィンドウを起動します。

ステップ 3

ウィンドウの上部にある [Fix All Configuration Compliance Issues] リンクをクリックします。

[Fix Configuration Compliance Issues] slide-in paneが表示されます。

(注)  

 

コンプライアンス違反を修正するためのリンクは、サポートされているカテゴリに違反がある場合にのみ表示されます。それ以外の場合、リンクは表示されません。

ステップ 4

[Fix Configuration Compliance Issues] slide-in paneで、次の手順を実行します。

  1. [Summary of Issues to be Fixed] エリアで、ネットワークデバイスのコンプライアンス違反を確認します。[Issues Identified] 列には、未解決の違反と認識済みの違反の合計数が表示されます。[Schedule the Fix] をクリックします。

  2. [Visibility and Control of Configurations] の設定に応じて、使用可能なオプションを選択します。

    • 設定をすぐに展開するには、[Now] をクリックします。

    • 将来の日付と時刻で展開をスケジュールするには、[Later] をクリックし、展開する日付、時刻、タイムゾーンを定義します。

    • 設定をプレビューするには、[Generate Configuration Preview] をクリックします。

      可視性のみが有効になっている場合、または可視性と制御の両方が有効になっている場合、[Generate Configuration Preview] がデフォルトで選択され、[Now] と [Later] がグレー表示(使用不可)になります。詳細については、デバイス構成の可視性と制御を参照してください。

  3. 必要に応じて、デフォルトの [Task Name] を編集します。

  4. [Apply] をクリックします。

ステップ 5

(任意) [Fix Configuration Compliance Issues] slide-in paneで [Generate Configuration Preview] を選択した場合は、[Visibility and Control of Configurations] の設定に応じて、[Preview Configuration] ウィンドウで、次の手順を実行します。

  1. デバイス構成を確認します。

  2. 準備ができたら、[Deploy] または [Submit for Approval] をクリックします。構成の展開、または ITSM 承認のために送信する準備ができていない場合は、[Exit and Preview Later] をクリックします。

    (注)  

     

    [Deploy] または [Submit for Approval] ではなく [Save Intent] が表示される場合、ワークフロー中に選択したパラメータはすでにデバイスに存在します。これらのパラメータをデータベースに保存するには、[Save Intent] をクリックします。設定はデバイスにプッシュされないため、ITSM の承認は必要ありません。

  3. slide-in paneで、設定を展開するタイミングを指定し、タイムゾーンを選択します。可視性と制御が有効になっている場合は、IT 管理者へのメモを追加します。

  4. [Submit] をクリックします。`

(注)  

 

Catalyst Center リリース 2.3.7 以降、IPDT では、デバイスロールの変更があるか、プロトコルエンドポイントが検出されるたびに、SNMP トラップ設定の場合、SNMP ユーザーグループの変更がシステムから検出されると、設定をデバイスに直接プッシュするのではなく、Catalyst Center 側でインテントが更新されます。

ステップ 6

プロセスが完了すると、成功メッセージが表示されます。

展開するタスクをプレビューしてスケジュールした場合は、[Tasks] ウィンドウでタスクを確認できます。

ITSM 承認のために設定を送信した場合は、[Tasks] ウィンドウで作業項目のステータスを確認できます。承認されていない場合は、ITSM 承認のために作業項目を再送信する必要があります。設定が承認されると、スケジュールされた時刻に展開され、[Tasks] ウィンドウで確認できます。

(注)  

 

  • ルーティング、ワイヤレスコントローラの HA の修復、ソフトウェアイメージ、セキュリティアドバイザリ、およびワークフローに関連するコンプライアンスの問題は、この修正では解消されません。これらに関しては、それぞれのセクションのアクションに従って個別に対処します。

  • CLI テンプレートのコンプライアンスにはいくつかの制限があるため、一部の CLI テンプレートは非準拠のままになることがあります。詳細については、CLI テンプレート コンプライアンスの制限事項を参照してください。

デバイスのアップグレード後のコンプライアンス動作

  • デバイスのアップグレードが正常に完了すると、該当するすべてのデバイス(システムでコンプライアンスが実行されたことがないデバイス)のコンプライアンスチェックがトリガーされます。

  • コンプライアンスは、[Startup vs Running] タイプを除き、インベントリに含まれるデバイスのステータスを計算して表示します。

  • アップグレード後、[Startup vs Running] タイルに [NA] が「Configuration data is not available」というテキストとともに表示されます。

  • アップグレードが正常に完了してから 1 日後に、1 回限りのスケジューラが実行され、デバイスで構成データを使用できるようになります。[Startup vs Running] タイルに、正しいステータス([Compliant]/[Non-Compliant])と詳細データが表示され始めます。

  • トラップを受信すると、設定アーカイブサービスが構成データを収集し、コンプライアンスチェックが再度実行されます。


(注)  

アップグレードセットアップでは、[Flex Profile] インターフェイスのコンプライアンスの不一致は無視してください。インターフェイス名の場合、[1] が [management] にマッピングされます。

CLI テンプレート コンプライアンスの制限事項

Catalyst Center では、CLI テンプレートをデバイスの実行コンフィギュレーションと比較して、意図との不一致を識別することができます。次のコンパレータエンジンの制限事項に注意してください。

  • CLI テンプレートコンパレータは、変数と値の大文字の使用をサポートしています。ただし、コマンドキーワードには大文字を使用しないでください。

  • CLI テンプレートコンパレータは、エイリアスの使用をサポートしています。

  • 非準拠としてフラグが設定されている省略または短縮コマンドの使用は避けてください。

  • コマンドが欠落していて、それがセクションレベルにある場合、欠落しているコマンドに続くセクションレベルのコマンドにもフラグが付けられます。この問題を回避するには、インデントを使用します。

    たとえば、次の CLI テンプレートコンパレータ出力は、インデントのないコマンドを示しています。

    実現されたテンプレート 実行コンフィギュレーション 出力 
    #interface Vlan111
#description SVI interface kan-111
#ip address 111.2.3.4 255.255.255.0
#ip helper-address 7.7.7.8
#no mop enabled
#no mop sysid
#!
    		 
    #interface Vlan111
# description SVI interface kan-111
# ip address 111.2.3.4 255.255.255.0
# ip helper-address 7.7.7.7
# ip helper-address 7.7.7.8
# no mop enabled
# no mop sysid
#!
    次のコマンドが欠落としてマークされています。
    
 # ip helper-address 7.7.7.7
 # ip helper-address 7.7.7.8
 # no mop enabled
 # no mop sysid

    次の CLI テンプレートコンパレータ出力は、インデントを含むコマンドを示しています。

    実現されたテンプレート 実行コンフィギュレーション 出力 
    #interface Vlan111
# description SVI interface kan-111
# ip address 111.2.3.4 255.255.255.0
# ip helper-address 7.7.7.8
# no mop enabled
# no mop sysid
#!
    		 
    #interface Vlan111
# description SVI interface kan-111
# ip address 111.2.3.4 255.255.255.0
# ip helper-address 7.7.7.7
# ip helper-address 7.7.7.8
# no mop enabled
# no mop sysid
#!
    コンパレーターは、欠落しているコマンドのみにフラグを立てます。
    
 #ip helper-address 7.7.7.7

  • 対話型およびイネーブルモードのコマンドは、コンプライアンスのために比較されません。コマンドですべてのオプションと値を指定することにより、対話型コマンドの代替形式を使用できます。

    たとえば、テンプレートコードが以下のように #ENABLE#INTERACTIVE モードのコマンドを一緒に指定した場合、コマンドの比較は行われません。 

    #MODE_ENABLE
 #INTERACTIVE
    mkdir <IQ>Create directory<R>xyz
 #ENDS_INTERACTIVE
 #MODE_END_ENABLE
#end

  • コンパレータによってフラグが設定されているコマンドでは範囲を使用しないでください。範囲は拡張形式で使用する必要があります。

  • 同じテンプレート内のオーバーライドしているコマンドにフラグが付けられます。次の例に示すように、ignore-compliance シンタックスでコマンドを囲むことで、不一致を回避できます。

    実現されたテンプレート 実行コンフィギュレーション 出力 
    #no banner motd #Welcome to Cisco .:|:.#
#banner motd #Welcome to Cisco .:|:.#
    		 
    #banner motd ^CWelcome to Cisco .:|:.^C
    • 次のコマンドは、欠落としてフラグが付けられています。
      
 no banner motd #Welcome to Cisco .:|:.#
    • 実行中のコマンドはすでに前記のコマンドと比較されているため、次のコマンドも欠落としてマークされています。
      
 banner motd #Welcome to Cisco .:|:.#

    不一致を回避するには、次の操作を行います。

    実現されたテンプレート 実行コンフィギュレーション 出力 
    #! @start-ignore-compliance
 #no banner motd #Welcome to Cisco .:|:#
#! @end-ignore-compliance
#banner motd #Welcome to Cisco .:|:.#
    		 
    #banner motd ^CWelcome to Cisco .:|:.^C

    シンタックスで囲まれたコマンドは比較されないため、不一致はありません。

  • Cisco IOS XE の以降のリリースでは、一部のデフォルトコマンドは、show run コマンドではなく、show run all コマンドが発行された場合にのみ表示されます。したがって、これらのコマンドは実行コンフィギュレーションに表示されず、非準拠としてフラグが設定されます。


    (注)  

    コンプライアンスチェックでこれらのデフォルトコマンドを無視するには、Cisco Technical Assistance Center(TAC)でサポートケースを開きます。

  • パスワードを含むコマンドは、デバイスに暗号化された形式で保存されるため、コンパレータによってフラグが設定されます。


(注)  
次の構文でコマンドを囲むことで、パスワードを含むコマンドと一部のデフォルトコマンドの不一致を回避できます。
! @start-ignore-compliance
! @end-ignore-compliance

次に、変更が表示されるようにテンプレートを再プロビジョニングします。

CLI テンプレートとデバイスの実行コンフィギュレーションとの不一致を避けるために、実行コンフィギュレーションと同様のコマンドを使用することをお勧めします。