この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
Cisco DNA Center を使用すると、ネットワークの特定の側面(ネットワークアクセスなど)に対する組織のビジネス目標を反映したポリシーを作成できます。Cisco DNA Center は、ポリシー内で収集された情報を取得し、お使いのネットワークデバイスのさまざまなタイプ、メーカー、モデル、オペレーティングシステム、ロール、およびリソースの制約によって必要とされる、ネットワーク固有およびデバイス固有の設定に変換します。
Cisco DNA Center を使用して、仮想ネットワーク、アクセス コントロール ポリシー、トラフィック コピー ポリシー、およびアプリケーション ポリシーを作成できます。
Cisco DNA Center は、次の 2 つの方法で Software-Defined Access を実装します。
仮想ネットワーク(VN)は、たとえば、企業のネットワークから IoT デバイスを分離するといった、マクロレベルのセグメンテーションを提供します。
グループベースのポリシーは、たとえば、エンジニアリンググループと HR グループの間で許可または拒否するネットワークトラフィックのタイプを制御するといった、マイクロレベルのセグメンテーションを提供します。
グループベースのアクセス コントロール ポリシーには、次の利点があります。
ネットワークの自動化とアシュアランスの利点を備えた、豊富なアイデンティティベースのアクセス制御機能。
きめ細かいアクセス制御。
スケーラブルグループは、すべての仮想ネットワークに適用されるため、ポリシー管理が簡素化されます。
ポリシービューは、全体的なポリシー構造を理解し、必要なアクセス コントロール ポリシーを作成または更新するのに役立ちます。
さまざまなアプリケーションを切り替えてスケーラブルグループを管理し、保護される資産を定義する必要がなくなります。
エンタープライズ全体のアクセス コントロール ポリシーを展開するための拡張機能を提供します。
アイデンティティまたはネットワーク アドミッション コントロール(NAC)アプリケーションが配置される前に、ランサムウェアなどの脅威のラテラルムーブメントを制限します。
サードパーティのアイデンティティ アプリケーションを使用しているが、Cisco ISE に移行したいユーザーに対して、Cisco Identity Services Engine(Cisco ISE)への簡単な移行パスを提供します。
Cisco DNA Center での IP プール、サイト、および仮想ネットワークの作成方法については、Cisco DNA Center のユーザーガイドを参照してください。
Cisco DNA Center for Cisco ISE の設定の詳細については、Cisco DNA Center のインストールガイドを参照してください。
Cisco ISE for Cisco DNA Center の設定の詳細については、Cisco Identity Services Engine 管理者ガイド [英語] を参照してください。
グループベースのアクセス コントロール ポリシー ダッシュボードでは、ネットワークアクティビティ、ポリシー関連の問題、およびトラフィックトレンドの概要が提供されます。このダッシュボードを表示するには、Cisco DNA Center GUI で [Menu] アイコン(
)をクリックして選択します の順に選択します。
このダッシュボードでは、次の詳細方法を表示できます。
[View Traffic]:スケーラブルグループ、Cisco ISE プロファイル、および Stealthwatch ホストグループのトラフィックを表示できます。このデータを表示するには、グループベースポリシー分析パッケージをインストールする必要があります。グループベースポリシー分析で提供される分析情報により、新しいアクセスコントロールの導入による影響を評価するために、資産間の通信を可視化してグループベースポリシーを作成したり、そのポリシーで許可する必要があるプロトコルを正確に特定することができます。シスコのグループベースポリシー分析では、ネットワーク上のアセットのグループとそれらの通信に関する情報が集約されます。詳細については、シスコのグループベースポリシー分析を参照してください。
[View Policy-Related Issues]:ポリシー関連の問題の数が表示されます。数をクリックすると詳細情報が表示されます。新しいブラウザタブで [Assurance Issues] ダッシュボードが開きます。ここで、詳細情報を確認できます。
このポリシー関連の問題のビューは、現在選択されている期間に関するものであることに注意してください。必要に応じて、時間セレクタを使用して時間枠を調整します。
[View Most Active and Least Active Policies]:最もアクティブなポリシーと最もアクティブでないポリシーの詳細情報が提供されます。デフォルトでは、このビューは、各ポリシー(各送信元/宛先グループペア)に関してネットワークで確認されたパケットの総数に基づいています。ドロップダウンリストを使用して、許可されたパケットまたはドロップされたパケットのみを選択することができます。ドロップされたパケットのオプションを使用すると、ポリシーベースのドロップが最もアクティブに実行されているポリシーを確認することができます。
このポリシーアクティビティのビューは、現在選択されている期間に関するものであることに注意してください。必要に応じて、時間セレクタを使用して時間枠を調整します。
アクセス コントロール ポリシーは、送信元スケーラブルグループから宛先スケーラブルグループに渡すことができるネットワークトラフィックを定義します。
スケーラブルグループ:ユーザー、ネットワークデバイス、またはリソースを割り当てることができる分類カテゴリ。スケーラブルグループは、アクセス コントロール ポリシーで使用されます。組織のネットワーク設定、アクセス要件、および制限に基づいて、スケーラブルグループを仮想ネットワークに関連付けることができます。
契約:アクセス契約は、送信元と宛先のスケーラブルグループ間の通過を許可されるネットワークトラフィックのタイプを制御する一連のルールです。つまり、契約はトラフィックフィルタの定義です。アクセス契約は、トラフィックがネットワーク アプリケーション、プロトコル、およびポートに一致したときに実行されるアクション(許可または拒否)を定義します。他のルールが一致しない場合、デフォルトアクションでは Catch All ルールが使用されます。
グループベースのアクセス コントロール ポリシー:グループベースのアクセス コントロール ポリシーは、特定の送信元と宛先グループのペアを識別し、アクセス契約を関連付けます。アクセス契約は、送信元グループと宛先グループの間で許可または拒否されるトラフィックのタイプを指定します。これらのポリシーは単方向です。
スケーラブルグループおよびアクセス契約は、アクセス コントロール ポリシーの基本的な構成要素です。アクセス コントロール ポリシーを作成する際には、前に作成したスケーラブルグループと契約を使用したり、ポリシーの作成時に新しいスケーラブルグループと契約を作成したりできます。特定の送信元グループからアクセスできるネットワークリソースを指定する場合は、1つの送信元グループと複数の宛先グループを含むアクセス コントロール ポリシーを作成できます。一方、特定のネットワークリソースへのアクセスが許可されている送信元グループを指定する場合は、1 つの宛先グループと複数の送信元グループを含むアクセス コントロール ポリシーを作成できます。たとえば、「請負業者」送信元スケーラブルグループに関連付けられたユーザーがアクセスできるネットワークリソースを指定する場合は、1 つの送信元グループと複数の宛先グループを含むアクセス コントロール ポリシーを作成できます。「財務サーバー」宛先スケーラブルグループへのアクセスが許可されている送信元グループを指定する場合は、1 つの宛先グループと複数の送信元グループを含むアクセス コントロール ポリシーを作成できます。
送信元と宛先のスケーラブルグループの組み合わせにコントラクトが指定されていない場合に使用するデフォルトポリシーを指定できます。デフォルトポリシーは [Permit] です。必要に応じて、このポリシーを [Deny]、[Permit_IP_Log]、または [Deny_IP_Log] に変更できます。ネットワークタイプ、オープンネットワーク、またはクローズドネットワークに基づいて、デフォルトポリシーを設定できます。
 (注) |
すべてのネットワーク インフラストラクチャ デバイスに必要なネットワークトラフィックを許可する明示的なポリシーを作成した場合のみ、デフォルトポリシーを [Permit] から [Deny] に変更することをお勧めします。そのようにしない場合、すべてのネットワーク接続が失われる可能性があります。 |
[Group-Based Access Control] ウィンドウの右上にある [List] アイコンをクリックして、[List] ビューを起動します。
[Source View]:送信元グループに基づいて編成された既存のポリシーのリストが表示されます。各行を展開して、特定の送信元と宛先のポリシーの詳細を表示できます。
[Destination View]:宛先グループに基づいて編成された既存のポリシーのリストが表示されます。各行を展開して、特定の送信元と宛先のポリシーの詳細を表示できます。
特定の送信元グループから使用可能な宛先グループを確認するには、[Source] ビューを使用します。特定の宛先グループへのアクセスが許可されている送信元グループを確認するには、[Destination] ビューを使用します。たとえば、「請負業者」送信元スケーラブルグループの一部であるユーザーが使用できる宛先グループを確認するには、[Source] ビューを使用します。「財務サーバー」宛先スケーラブルグループにアクセスできる送信元グループを確認するには、[Destination] ビューを使用します。
ポリシー適用統計データをポリシーリストテーブルで表示することもできます。選択した期間内のポリシーの許可と拒否の総数が表示されます。
ポリシー適用統計は、グループベースのポリシーおよびテレメトリデータ言語(TDL)サブスクリプション用にプロビジョニングされたネットワークデバイスから収集されます。これらの設定は、通常、ファブリックの一部であるネットワークデバイスに関して自動的にプロビジョニングされます。非ファブリック ネットワーク デバイスに関しては手動設定を実行できます。
ポリシー適用統計データを使用する場合は、次の点に注意してください。
ポリシー適用統計データは、グループベースポリシー分析パッケージが展開されている場合にのみ使用できます。
テレメトリ サブスクリプションは、ファブリック ネットワーク デバイスと非ファブリック ネットワーク デバイスの両方に関する基本プロビジョニングの一部として追加されます。新しいネットワークデバイスが DNAC に追加され、サイトに割り当てられると、TrustSec 適用コマンドがプッシュされます。
Software-Defined Access(SDA)は、ファブリックに追加されたネットワークデバイスに TrustSec 適用を追加します。TrustSec テレメトリデータは、ネットワークデバイスでこの適用が有効になっている場合にのみ収集されます。有効になっていない場合は、ポリシーモニターリングに使用されるテレメトリ サブスクリプションが TrustSec の TDL データの収集に使用されます。
Cisco IOS XE 16.12 以降では、TDL ストリーミングデータがサポートされています。
ネットワークデバイスで NETCONF を有効にする必要があります。
非ファブリック ネットワーク デバイスについては、次の設定を手動で追加する必要があります。
cts role-based enforcement vlan-list <VLAN of the endpoints>
Cisco DNA Center 2.2.2 にアップグレードすると、[Provision] > [Network Devices] > [Inventory] ウィンドウに次のメッセージが表示される場合があります。
IOS-XE デバイスがネットワークで検出されました。これには、保証データの新しいテレメトリ サブスクリプションを有効にし、既存のサブスクリプションの一部をパフォーマンスのために最適化する必要があります。netconf を有効にし、これらのデバイスのインベントリクレデンシャルで
netconf ポートを設定する必要があることに注意してください。また、これらのデバイスは、グループベースのポリシー モニターリング テレメトリの新しいサブスクリプションを受信することに注意してください。これらのサブスクリプションをプロビジョニングするためのアクションを実行しますか?
[Apply Fix] をクリックして、サイトが割り当てられているすべてのネットワークデバイスに設定をプッシュします。
[Deploy] をクリックして、更新されたポリシーをネットワークデバイスに展開します。[Deploy] をクリックすると、Cisco DNA Center は Cisco Identity Services Engine(Cisco ISE)に、ポリシーの変更に関する通知をネットワークデバイスに送信するように要求します。
[Group-Based Access Control] ウィンドウの右上にある [Grid] アイコンをクリックして、[Matrix] ビューを起動します。[Matrix] ビューはコアポリシービューであり、すべてのスケーラブルグループに関するすべてのポリシーの概要を提供します(明示的またはデフォルトを問わない)。[Matrix] ビューを使用して、すべての送信元と宛先のポリシーを表示し、全体的なポリシー構造を理解できます。[Matrix] ビューからアクセス コントロール ポリシーを表示、作成、および更新できます。
[Matrix] ビューには、次の 2 つの軸があります。
送信元軸:垂直軸にはすべての送信元スケーラブルグループがリストされます。
宛先軸:水平軸にはすべての宛先スケーラブルグループがリストされます。
特定の送信元スケーラブルグループと宛先スケーラブルグループのポリシーを表示するには、セルにカーソルを置きます。セルの色は、そのセルに適用されるポリシーに基づいています。次の色は、各セルに適用されるポリシーを示しています。
[Permit]:緑色
[Deny]:赤色
[Custom]:金色
[Default]:灰色
マトリックスの上部に表示される [Permit]、[Deny]、[Custom]、または [Default] アイコンにカーソルを置くと、そのポリシーが適用されているセルが表示されます。
セルをクリックすると、[Create Plicy] または [Edit Policy] スライドインペインが開き、選択したセルのポリシーを作成または編集できます。[Create Policy] スライドインペインには、送信元と宛先のスケーラブルグループが読み取り専用フィールドとして表示されます。ポリシーのステータスとアクセス契約を更新できます。
ポリシーマトリックスのカスタムビューを作成して、関心のあるポリシーだけに絞り込むことができます。これを実行するには、[View] ドロップダウンリストをクリックし、[Create View] を選択します。カスタムビューを作成するときに、カスタムビューに含めるスケーラブルグループのサブセットを指定できます。必要に応じて、カスタムビューを保存し、後で編集することができます。[View] ドロップダウンリストをクリックし、[Manage Views] を選択して、カスタムビューを作成、編集、複製、または削除します。[Default View] には、すべての送信元および宛先スケーラブルグループが表示されます。
カーソルでマトリックスコンテンツ領域をドラッグするか、または水平および垂直スクロールバーを使用して、マトリックス内を移動できます。ミニマップを使用して、マトリックス内を移動することもできます。ミニマップを使用すると、マトリックスのサイズが大きく、画面サイズを超えている場合に、マトリックス内を簡単に移動できます。ミニマップは、画面上の任意の場所に移動して配置できます。ミニマップにはマトリックスビュー全体が表示されます。ミニマップの薄い灰色の部分は、画面に現在表示されているマトリックスの部分を表します。この領域をドラッグして、マトリックスをスクロールできます。
(注) |
ミニマップはデフォルトで閉じられています。[Expand] アイコンをクリックして、ミニマップを展開して表示します。 |
セルを選択すると、[Matrix] ビューによってそのセルと対応する行(送信元スケーラブルグループ)およびカラム(宛先スケーラブルグループ)が強調表示されます。選択したセルの座標(送信元スケーラブルグループおよび宛先スケーラブルグループ)がマトリックスコンテンツ領域の近くに表示されます。
[Deploy] をクリックして、更新されたポリシーをネットワークデバイスに展開します。[Deploy] をクリックすると、Cisco DNA Center は Cisco ISE に、ポリシーの変更に関する通知をネットワークデバイスに送信するように要求します。
[Filter] オプションを使用して、選択した一連の送信元および宛先グループのポリシーマトリックスのサブセットを表示できます。フィルタを作成して、関心のあるポリシーだけに絞り込むことができます。フィルタを作成するには、含める送信元および宛先グループを選択します。
Cisco DNA Center と Cisco ISE を統合します。Cisco ISE は、Cisco DNA Center の代わりにネットワークデバイスにポリシーをダウンロードするためのランタイム ポリシー プラットフォームを提供します。ポリシーの同期の問題を防ぐために、セキュリティグループ、セキュリティ グループ アクセス コントロール リスト(SGACL)、およびイーグレスポリシーの [TrustSec Workcenter] ユーザーインターフェイス画面が Cisco ISE に読み取り専用モードで表示されます。
組織の分類を定義するか、または最初に使用する組織の一部を定義します。
特定した分類のスケーラブルグループを作成します。
制御するネットワークトラフィックのタイプのアクセス契約を作成します。すべてのトラフィックを許可または拒否するためのサンプルアクセス契約が事前に定義されています。また、一部の契約例では、より具体的なトラフィックフィルタリングが示されています。特定のアプリケーション定義に基づいて、さらにきめ細かいアクセス契約を作成できます。
アプリケーションサーバーや他のネットワークへの接続など、特定のネットワークリソースへのアクセスを必要とするネットワークユーザーのカテゴリを決定します。
アクセスポリシーを作成し、送信元グループ、宛先グループ、およびアクセス契約を関連付け、送信元から宛先へのトラフィックのフローを許可する方法を定義します。
| ステップ 1 |
Cisco DNA Center GUI で [Menu] アイコン( |
||
| ステップ 2 |
[Create Scalable Group] をクリックします。 |
||
| ステップ 3 |
[Create Scalable Group] スライドインペインで、スケーラブルグループの名前と説明(オプション)を入力します。
Cisco DNA Center タグ値を生成します。必要に応じて、この値を更新できます。指定した値が既存のスケーラブルグループによってすでに使用されている場合は、エラーメッセージが表示されます。有効な範囲は 2 ~ 65519 です。 |
||
| ステップ 4 |
このスケーラブルグループに関連付ける仮想ネットワークをドロップダウンリストから選択します。デフォルトでは、デフォルトの仮想ネットワーク(DEFAULT_VN)が選択されています。 |
||
| ステップ 5 |
スケーラブルグループを Cisco Application Centric Infrastructure(ACI)に伝播する場合は、[Propagate to ACI] チェックボックスをオンにします。 |
||
| ステップ 6 |
[Save] をクリックします。 |
[Scalable Groups] ウィンドウには、スケーラブルグループ名、タグ値、割り当てられた仮想ネットワーク、および関連付けられたポリシーが表示されます。このウィンドウでは、スケーラブルグループのサンプルを表示することもできます。それらのスケーラブルグループを使用または削除できます。
スケーラブルグループは、[Scalable Groups] ウィンドウから編集または削除できます。スケーラブルグループの詳細を表示するには、[Scalable Group Name] のリンクをクリックします。スケーラブルグループの詳細を更新するには、[View Scalable Group] ウィンドウで [Edit] をクリックします。[Deploy] をクリックすると、Cisco DNA Center は Cisco ISE に、ネットワークデバイスへの変更に関する通知を送信するように要求します。
スケーラブルグループの [Policies] 列のリンクをクリックすると、そのスケーラブルグループとそれが属するポリシーを使用するアクセス制御ルールが表示されます。スケーラブルグループが任意のアクセスポリシーで使用されている場合は、それを削除することはできません。
Cisco ISE との同期が完了していない場合は、スケーラブルグループの横にオレンジ色の三角形のアイコンが表示されます。
Cisco ISE は、 内部エンドポイントグループ(IEPG)を同期し、Cisco ISE に関連付けられている読み取り専用スケーラブルグループを作成することで、ACI から TrustSec ドメインへのパケットをサポートします。これらのスケーラブルグループは、[Created In] 列の値が ACI である [Scalable Groups] ウィンドウに表示されます。ACI から学習したスケーラブルグループを編集または削除することはできませんが、ポリシーで使用することはできます。
[Associated Contracts] 列には、ACI から学習したスケーラブルグループに関連付けられている ACI 学習契約が表示されます。[Associated Contracts] 列に表示されるリンクをクリックすると、関連付けられた契約に関する詳細が表示されます。
IEPG が ACI で更新されると、対応するスケーラブルグループ設定が Cisco ISE で更新されます。Cisco ISE でスケーラブルグループが作成されると、新しい EEPG が ACI に作成されます。
(注) |
名前が「ANY」またはタグ値が 0xFFFF/65535 のスケーラブルグループを作成することはできません。スケーラブルグループ ANY/65535 は、Cisco DNA Center デフォルトポリシーに使用される予約済みの内部スケーラブルグループです。 |
Cisco DNA Center でスケーラブルグループを Cisco ISE と同期する場合、次のようになります。
スケーラブルグループが Cisco DNA Center に存在し、Cisco ISE に存在しない場合は、Cisco ISE に作成されます。
スケーラブルグループが Cisco ISE に存在し、Cisco DNA Center に存在しない場合は、Cisco DNA Center に作成されます。
Cisco DNA Center と Cisco ISE の両方でスケーラブルグループ名が同じだが、説明と ACI データが異なっている場合は、 Cisco DNA Center が Cisco ISE で指定されたデータを使用して更新されます。
Cisco DNA Center と Cisco ISE でスケーラブルグループ名が同じだが、タグ値が異なる場合は、Cisco ISE で指定されたタグ値を持つ新しいスケーラブルグループが Cisco DNA Center に作成されます。Cisco DNA Center にすでにあるスケーラブルグループの名前は、サフィックス _DNAC で更新されます。
タグ値が同じだが、スケーラブルグループ名が異なる場合は、Cisco DNA Center のスケーラブルグループ名が Cisco ISE で指定された名前で更新されます。
アクセス契約は、送信元と宛先のスケーラブルグループ間の通過を許可されるネットワークトラフィックのタイプを制御する一連のルールです。Access contracts define the actions(permit or deny)performed when the traffic matches a network application, protocol, and port.
(注) |
Cisco ISE のセキュリティ グループ アクセス コントロール リスト(SGACL)は、Cisco DNA Center のアクセス契約と呼ばれます。 |
| ステップ 1 |
Cisco DNA Center GUI で [Menu] アイコン( |
| ステップ 2 |
[Create Access Contract] をクリックします。 |
| ステップ 3 |
[Create Access Contract] スライドインペインで、契約の名前と説明を入力します。 |
| ステップ 4 |
トラフィックフィルタルールを作成します。
複数のルールを作成できます。1 つの契約に複数のルールを作成するには、[Plus] 記号をクリックし、[Action] 列と [Application] 列の設定を選択します。ルールは、契約に記載されている順序でチェックされます。ルールの左端にあるハンドルアイコンを使用してドラッグして、ルールの順序を変更します。 [Logging] トグルを使用して、任意のトラフィックフィルタルール(デフォルトアクションを含む)のロギングを有効化または無効化できます。ロギングはデフォルトではディセーブルになっています。ロギングが有効になっている場合、トラフィックフィルタルールにヒットすると、ネットワークデバイスは syslog メッセージを送信します。これは、ポリシーのトラブルシューティングと初期化テストに役立つ場合があります。ただし、ネットワークデバイスのリソースとパフォーマンスに影響を与える可能性があるため、このオプションは慎重に使用することを推奨します。 |
| ステップ 5 |
[Default Action] ドロップダウンリストで、[Deny] または [Permit] を選択します。 必要に応じて、デフォルトアクションのロギングを有効にできます。 |
| ステップ 6 |
[Save] をクリックします。 |
[Access Contracts] リストウィンドウで、契約の表示、作成、複製、更新、および削除ができます。
また、[Access Contracts] ウィンドウでサンプル契約を表示することもできます。それらのサンプル契約は使用または削除できます。ただし、デフォルトの契約(Permit IP、Deny IP、Permit_IP_Log、Deny_IP_Log)は削除できません。
[Access Contracts] ウィンドウの [Contract Name] リンクをクリックして、契約の詳細を表示します。契約の詳細を編集するには、[View Contract] ウィンドウで [Edit] をクリックします。
Cisco ISE との同期が完了していない場合は、契約の横にオレンジ色の三角形のアイコンが表示されます。
ACI から学習した契約は [Access Contracts] ウィンドウに表示され、[Created In] 列の値が [ACI] になります。ACI から学習した契約を編集したり削除したりすることはできませんが、ACI から学習したスケーラブルグループの使用中にポリシーで使用することはできます。マトリックスビューからポリシーを作成または更新する場合に、ACI から学習したスケーラブルグループを接続先グループとして選択すると、関連する契約が [Preferred Contracts] タブに表示されます。[All Contracts] タブですべての契約を確認できます。
[Rules Count] 列で、各契約で使用されているルールの数を確認できます。
契約を使用するポリシーを表示するには、契約の [Policies] 列のリンクをクリックします。
ポリシーで使用されている場合、契約を削除することはできません。契約を削除する前に、そのポリシーから契約を削除する必要があります。
スケーラブルグループ、契約、またはポリシーを更新する場合は、ネットワークデバイスに変更を展開する必要があります。ポリシーを更新し、更新したポリシーを展開しない場合、ポリシーの変更に関する通知はネットワークデバイスに送信されず、ネットワークで現在アクティブになっているポリシーは、Cisco DNA Center に表示されるポリシー情報と一致しない可能性があります。この状況を解決するには、ネットワークデバイスに、更新したポリシーを展開する必要があります。
既存の契約を複製し、必要な詳細を編集して新しい契約を作成することができます。契約を複製すると、既存の契約に含まれるすべての情報がコピーされ、コピーした契約は、既存の契約名の末尾に文字列 Copy が付加された名前になります。
[Filter] オプションを使用して、探している契約を検索できます。
Cisco DNA Center のアクセス契約を Cisco ISE と同期している間:
契約が Cisco DNA Center に存在し、Cisco ISE に存在しない場合は、Cisco ISE に作成されます。
コントラクトがに存在Cisco ISEし、にCisco DNA Center存在しない場合は、にCisco DNA Center作成されます。
Cisco DNA CenterとCisco ISEの契約名が同じであるが、説明とトラフィックルールの内容が異なっている場合、Cisco DNA CenterはCisco ISEで指定されたデータを使用して更新されます。
契約名とルールが同じですが、説明が異なっている場合Cisco DNA Centerは、でCisco ISE指定された説明を使用して更新されます。
Cisco ISEの Text SGACL コマンドラインは、非解析コンテンツとして移行されます。これらの契約は編集できますが、Cisco DNA Centerでは解析または構文チェックは実行されません。Cisco DNA Center で加えた変更は、同様に Cisco ISE にも反映されます。
Cisco ISE でポリシーに複数の SGACL がある場合、それらの契約は Cisco DNA Center のデフォルトポリシーとして移行されます。
スケーラブルグループおよびアクセス契約は、アクセス コントロール ポリシーの基本的な構成要素です。アクセス コントロール ポリシーを作成する際には、以前に作成したスケーラブルグループと契約を使用したり、ポリシーの作成時に新しいスケーラブルグループと契約を作成したりできます。特定の送信元グループからアクセスできるネットワークリソースを指定する場合は、1つの送信元グループと複数の宛先グループを含むアクセス コントロール ポリシーを作成できます。一方、特定のネットワークリソースへのアクセスが許可されている送信元グループを指定する場合は、1 つの宛先グループと複数の送信元グループを含むアクセス コントロール ポリシーを作成できます。たとえば、「請負業者」送信元スケーラブルグループに関連付けられたユーザーがアクセスできるネットワークリソースを指定する場合は、1 つの送信元グループと複数の宛先グループを含むアクセス コントロール ポリシーを作成できます。「Finance Servers」宛先スケーラブルグループへのアクセスが許可されている送信元グループを指定する場合は、1 つの宛先と複数の送信元グループを使用してアクセス コントロール ポリシーを作成できます。
グループベースのアクセス コントロール ポリシーの作成
| ステップ 1 |
[Policy List] または [Matrix]ビューで、[Create Policies] をクリックします。 |
| ステップ 2 |
[Source To Destination(s)] をクリックして、単一の送信元と複数の宛先グループを含むアクセス コントロール ポリシーを作成します。 |
| ステップ 3 |
[Destination to Source(s)] をクリックして、1 つの宛先と複数の送信元グループを含むアクセス コントロール ポリシーを作成します。 |
Cisco DNA Center でポリシーを Cisco ISE と同期する場合、次のようになります。
ポリシーが Cisco DNA Center に存在し、Cisco ISE に存在しない場合は、Cisco ISE に作成されます。
契約が Cisco ISE に存在し、Cisco DNA Center に存在しない場合は、Cisco DNA Center に作成されます。
Cisco ISE でポリシー契約が異なる場合、 Cisco DNA Center は Cisco ISE で指定された契約で更新されます。
ポリシーモード情報(有効、無効、またはモニター)も Cisco ISE からインポートされます。
Cisco ISE には、単一のポリシーに対して複数の SGACL を許可するオプションがあります(このオプションは Cisco ISE ではデフォルトで有効になっていません)。Cisco DNA Center では、単一のポリシーに対して複数のアクセス契約を使用することはサポートされていません。ポリシーの同期中に、Cisco ISE のポリシーに複数の SGACL がある場合、Cisco DNA Center 管理者には、そのポリシーを変更して契約を選択しないようにするオプションがあります(デフォルトポリシーを使用する場合)。管理者は、ポリシーの同期が完了した後に、そのポリシーに対して新規または既存のアクセス契約を選択できます。
ここでは、シスコのグループベースポリシー分析について詳しく説明します。
グループベースポリシー分析で提供される情報を使用することで、資産間の通信を可視化してグループベースポリシーを作成したり、新しいアクセスコントロールの導入による影響を評価したり、ポリシーで許可する必要があるプロトコルを正確に特定したりできます。
シスコのグループベースポリシー分析では、ネットワーク上の資産のグループとそれらの通信に関する次のような情報が集約されます。
相互に通信しているグループ
通信の種類
特定の資産が属するグループ
Cisco DNA Center のライセンスの種類は次のとおりです。
Cisco DNA Essentials
Cisco DNA Advantage
Cisco DNA Premier
Cisco DNA Advantage と Cisco DNA Premier には、グループベースポリシー分析パッケージが含まれています。このパッケージは、次のアーカイブ(.tar.gz ファイル)で構成されています。
バックエンド
ユーザー インターフェイス
サマライザパイプライン
集約の定義
シスコのグループベースポリシー分析は Cisco DNA Center の一部ですが、デフォルトではインストールされません。Cisco DNA Center GUI で [Menu] アイコン()をクリックして選択します の順に選択します。[Policy Applications] で [Group-Based Policy Analytics] まで下にスクロールします。[Install] をクリックしてアプリケーションをインストールします。
シスコのグループベースポリシー分析は、次のハードウェア プラットフォームでサポートされています。
44 コアのシングルノードクラスタと 3 ノードクラスタ
56 コアのシングルノードクラスタと 3 ノードクラスタ
112 コアのシングルノードクラスタと 3 ノードクラスタ
これらのプラットフォームは、ここで説明するパフォーマンスと拡張性の要件を満たしている必要があります。
サポートされているハードウェアの詳細については、「Cisco UCS M4 appliances」または「Cisco UCS M5 appliances」を参照してください。
次の表に、Cisco DNA Center およびシスコのグループベースポリシー分析でサポートされるパフォーマンスメトリックをコアプラットフォームごとに示します。NetFlow メトリックは、シスコのグループベースポリシー分析で導入されています。
| メトリック | 44 コア、3 ノード | 56 コア | 112 コア |
|---|---|---|---|
|
デバイス (NAD) |
5000 スイッチが 1000、ルータが 1000、またはその両方の組み合わせ、AP が 4000 |
8000 スイッチが 2000、ルータが 2000、またはその両方の組み合わせ、AP が 6000 |
18,000 スイッチが 5000、ルータが 5000、またはその両方の組み合わせ、AP が 12,000 |
|
Clients (エンドポイント) |
25,000 ワイヤレスが 20,000、有線が 5,000 |
40,000 ワイヤレスが 30,000、有線が 10,000 |
100,000 ワイヤレスが 60,000、有線が 40,000 |
| NetFlow/秒 | 30,000 | 48,000 | 120,000 |
シスコのグループベースポリシー分析を使用するには、NetFlow を有効にする必要があります。次の表に、さまざまなネットワークデバイスで NetFlow を有効にする方法を示します。
| ネットワーク デバイス(Network Devices) | シリーズ | Cisco DNA Center UI の [Network Settings] の [Telemetry] セクションでの NetFlow の設定(Flexible NetFlow または Application Visibility and Control ベースの NetFlow) | Cisco DNA Center UI のテンプレートエディタツールを使用した NetFlow の設定(Flexible NetFlow または Application Visibility and Control ベースの NetFlow) | ファブリック展開での NetFlow の収集 | 非ファブリック展開での NetFlow の収集 |
|---|---|---|---|---|---|
| ルータ | Cisco 1000 シリーズ サービス統合型ルータ(ISR1K) | 対応 | 対応 | 対応 | 対応 |
| Cisco 4000 シリーズ サービス統合型ルータ(ISR4K) | 対応 | 対応 | 対応 | 対応 | |
| Cisco 1000v シリーズ クラウド サービス ルータ(CSR 1000v) | 対応 | 対応 | 対応 | 対応 | |
| Cisco 1000 シリーズ アグリゲーション サービス ルータ(ASR1K) | 対応 | 対応 | 対応 | 対応 | |
| スイッチ | Cisco Catalyst 9200 シリーズ | 対応 | 対応 | 対応 | 対応 |
| Cisco Catalyst 9300 シリーズ | 対応 | 対応 | 対応 | 対応 | |
| Cisco Catalyst 9400 シリーズ | 対応 | 対応 | 対応 | 対応 | |
| Cisco Catalyst 9500 シリーズ | 非対応 | 対応 | 対応 | 対応 | |
| Cisco Catalyst 9600 シリーズ | 非対応 | 対応 | 対応 | 対応 | |
| Cisco Catalyst 2k シリーズ | 非対応 | 対応 | 該当なし | 対応 | |
| Cisco Catalyst 3560 シリーズ | 非対応 | 対応 | 該当なし | 対応 | |
| Cisco Catalyst 3650 シリーズ | 非対応 | 対応 | 対応 | 対応 | |
| Cisco Catalyst 3850 シリーズ | 非対応 | 対応 | 対応 | 対応 | |
| Cisco Catalyst 4k シリーズ | 非対応 | 対応 | 対応 | 対応 | |
| Cisco Catalyst 6500 シリーズ スイッチ | 非対応 | 対応 | 対応 | 対応 | |
| Cisco Catalyst 6800 シリーズ スイッチ | 非対応 | 対応 | 対応 | 対応 | |
| ワイヤレス コントローラ | Cisco 3504 ワイヤレスコントローラ(AireOS ベース) | 対応 | 対応 | 非対応 | 対応、中央スイッチング SSID のみ |
| Cisco 5520 ワイヤレスコントローラ(AireOS ベース) | 対応 | 対応 | 非対応 | 対応、中央スイッチング SSID のみ | |
| Cisco 8540 ワイヤレスコントローラ(AireOS ベース) | 対応 | 対応 | 非対応 | 対応、中央スイッチング SSID のみ | |
|
Cisco Catalyst 9800 ベースのコントローラ |
対応 |
対応 |
対応 |
対応 |
Cisco ISE 2.4 パッチ 7 以降、2.6 パッチ 1 以降、および 2.7 がサポートされています。
Cisco Stealthwatch 7.x 以降がサポートされています。
シスコのグループベースポリシー分析は、次の Web ブラウザを備えた 64 ビットの Windows、Macintosh、および Linux システムと互換性があります。
Google Chrome:バージョン 73.0 以降
Mozilla Firefox:バージョン 65.0 以降
シスコのグループベースポリシー分析は、次のソース(コネクタとも呼ばれます)からテレメトリを収集します。コネクタを設定するには、シスコのグループベースのポリシー分析の初期設定 ワークフローに従うか、 の順に選択します。
グループデータコネクタ
グループデータコネクタは、資産が分類されるグループに関する情報を収集します。グループデータコネクタには Cisco ISE と Cisco Stealthwatch があります。
Cisco ISE
Cisco ISE は、アイデンティティおよびアクセス コントロール ポリシーを管理する次世代のプラットフォームとして、企業のコンプライアンス遵守、インフラストラクチャ セキュリティの強化、サービスオペレーションの効率化を実現します。Cisco ISE は、仮想マシンまたは物理マシン、あるいはその両方の組み合わせにインストールされます。Cisco ISE を構成するサービスに Cisco Platform Exchange Grid(pxGrid)があります。これは、SessionDirectory、スケーラブルグループ、およびその他の情報を共有するためのパブリッシャおよびサブスクライバとして機能するモジュールです。PxGrid は、クエリインターフェイスを使用し、一括ダウンロードをサポートしています。ネットワークのユーザーの認証、許可、アカウンティングが行われ、セッションディレクトリが維持されます。ユーザーイベントは、SessionDirectory サービスに登録されているコネクタにパブリッシュされます。スケーラブルグループ通知などの他のサービスにも登録できます。
ネットワークに入ってきたパケットは、認証で取得したユーザーアイデンティティとデバイスの情報を使用して分類されます。このパケット分類は、パケットがネットワークに入ってきたときに、そのパケットにタグ付けすることによって維持されます。これにより、パケットはデータパス全体で正しく識別され、セキュリティおよびその他のポリシー基準が適用されるようになります。このタグは、スケーラブルグループタグ(SGT)と呼ばれることもあります。ネットワークデバイスで SGT に応じてトラフィックをフィルタ処理できるようにすることにより、Cisco ISE でアクセス コントロール ポリシーを適用できるようになります。
さらに、Cisco ISE は、ネットワークに接続されているエンドポイントの情報も収集します。これには、デバイスのタイプ、OS、OS のバージョン、IP アドレスなどの属性が含まれます。これらは ISE プロファイルと呼ばれます。
Cisco ISE コネクタは、シスコのグループベースポリシー分析に使用するスケーラブルグループタグ(SGT)の定義とプロファイルを Cisco ISE から提供します。
Cisco StealthWatch
Cisco Stealthwatch は、高度な脅威検出、脅威への迅速な対応、およびネットワークトラフィックのセキュリティ分析を可能にするネットワークベースの異常検出システムです。Cisco Stealthwatch コネクタは、Cisco Stealthwatch で設定されているホストグループを取得します。ホストグループは基本的に、場所、機能、トポロジなどの類似の属性を持つ複数のホスト IP アドレスまたは IP アドレス範囲の仮想コンテナです。
通信コネクタ
通信コネクタは、グループベースのポリシーの決定に役立つグループ間のトラフィックに関する情報を収集します。これは、Cisco DNA Center で管理しているネットワークデバイスからの NetFlow を使用して実行されます。Cisco DNA Center では、NetFlow がネイティブで収集および集約されます。
Cisco DNA Center にシスコのグループベースポリシー分析がインストールされている必要があります。
| ステップ 1 |
Cisco DNA Center GUI で [Menu] アイコン( |
| ステップ 2 |
[Get Started] をクリックします。 |
| ステップ 3 |
[Let's Do it] をクリックします。 [Configure Group Data Connectors] ウィンドウが表示されます。 Cisco DNA Center にインストールされている Cisco ISE のバージョンがシスコのグループベースポリシー分析を実行するために必要なバージョンよりも前のバージョンの場合は、次のエラーメッセージが表示されます。 |
| ステップ 4 |
設定するコネクタの下部にある [Configure] をクリックします。 |
| ステップ 5 |
[Settings] ウィンドウを閉じます。[Configure Group Data connectors] ウィンドウで、正常に設定されたコネクタの [Configure] オプションの横に緑色のドットが表示されます。 |
| ステップ 6 |
[Next] をクリックします。 |
| ステップ 7 |
次のいずれかのオプションを使用して、通信コネクタ(NetFlow)を設定します。
|
| ステップ 8 |
[Next] をクリックします。 |
| ステップ 9 |
グループとエンドポイントの検出を開始するには、[Done] をクリックします。 |
ここでは、各種グループ間のトラフィックを可視化するさまざまな方法について説明します。
[Overview] ウィンドウの [Scalable Groups] ボックスに表示されている数をクリックすると、[Explore Scalable Groups] ウィンドウが表示されます。このウィンドウでは、スケーラブルグループについてのすべてのグループ間通信の概要を確認できます。デフォルトでは、過去 24 時間の時間範囲のデータが表示されます。これは、過去 14 日間に設定された [Overview] ウィンドウの時間範囲とは異なることに注意してください。チャートには、一意のフローが最も多い送信元スケーラブルグループなどについて、特定の期間における上位 25 の送信元スケーラブルグループとその対応するやり取りが表示されます。
アイコンをクリックするとチャートビューが表示され、
をクリックするとテーブルビューが表示されます。
テーブルビューで、特定の行の [See destinations] リンクをクリックすると、選択した送信元スケーラブルグループに対応するすべての宛先スケーラブルグループが表示されたウィンドウが開き、各宛先スケーラブルグループの一意のフローの数が表示されます。
送信元グループをクリックすると、単一のグループから複数のグループのウィンドウが表示されます。
リンクにカーソルを合わせると強調表示され、ツールチップに一意のトラフィックフローの数が表示されます。リンクをクリックすると、単一のグループから単一のグループのウィンドウに切り替わります。
[Overview] ウィンドウの [ISE Profiles] ボックスに表示されている数をクリックすると、[Explore ISE Profiles] ウィンドウが表示されます。このウィンドウでは、送信元が ISE プロファイルで宛先がスケーラブルグループであるすべての通信の概要を確認できます。グループベースポリシーを決定することが目的の場合は、このビューで送信元または宛先のいずれかのカテゴリをスケーラブルグループにする必要があります。
[Overview] ウィンドウの [Stealthwatch Host Groups] ボックスに表示されている数をクリックすると、[Explore Stealthwatch Host Groups] ウィンドウが表示されます。このウィンドウでは、送信元が Stealthwatch ホストグループで宛先がスケーラブルグループであるすべての通信の概要を確認できます。グループベースポリシーを決定することが目的の場合は、このビューで送信元または宛先のいずれかのカテゴリをスケーラブルグループにする必要があります。
このウィンドウには、単一の送信元グループと複数の宛先グループの間のアクティビティが表示されます。送信元と宛先の少なくとも一方がスケーラブルグループである必要があります。デフォルトでは過去 24 時間の時間範囲のデータが表示され、表示されるリンクまたはレコードのデフォルト数は 10 です。
アイコンをクリックするとチャートビューが表示され、 をクリックするとテーブルビューが表示されます。
[Outbound] をクリックすると、選択したスケーラブルグループから開始された接続が表示されます。[Inbound] をクリックすると、このスケーラブルグループに対して別のグループから開始された接続が表示されます。
任意の列をクリックして、昇順または降順で並べ替えることができます。
グループをクリックすると、選択したグループを宛先とする単一のグループから単一のグループのウィンドウが表示されます。送信元グループは変わりません。
リンクにカーソルを合わせると強調表示され、ツールチップに一意のトラフィックフローの数が表示されます。リンクをクリックすると、単一のグループから単一のグループのウィンドウに切り替わります。
[Create Report] をクリックすると、このビューの情報から CSV 形式の新しいレポートが生成されます。表示される [Reports] ウィンドウで、生成されたレポートを確認できます。このウィンドウから、以前生成されたレポートにアクセスし、レポートをダウンロードすることもできます。
[Download Report] をクリックして、生成されたレポートを表示します。表示される [Reports] ウィンドウで、[Last Run] 列のダウンロードアイコンをクリックするとレポートをダウンロードできます。
[Inbound] をクリックすると、選択したスケーラブルグループを宛先としていずれかのグループから開始されたすべての接続が表示されます。
このウィンドウには、単一の送信元グループと単一の宛先グループの間のアクティビティが表示されます。送信元グループと宛先グループの少なくとも一方がスケーラブルグループである必要があります。デフォルトでは過去 24 時間の時間範囲のデータが表示され、表示されるリンクまたはレコードのデフォルト数は 10 です。
リンクにカーソルを合わせると強調表示され、ツールチップに一意のトラフィックフローの数が表示されます。
送信元グループと宛先グループの間に表示されている方向矢印をクリックすると、このビューの送信元グループと宛先グループが入れ替わります。
[Create Report] をクリックすると、このビューの情報から CSV 形式の新しいレポートが生成されます。表示される [Reports] ウィンドウで、生成されたレポートを確認できます。このウィンドウから、以前生成されたレポートにアクセスし、レポートをダウンロードすることもできます。
[Download Report] をクリックして、生成されたレポートを表示します。表示される [Reports] ウィンドウで、[Last Run] 列のダウンロードアイコンをクリックするとレポートをダウンロードできます。
[View Contract] ウィンドウの左側のペインに、送信元グループと宛先グループ間で許可および拒否されるトラフィックのルールが表示されます。右側のペインでは、選択したルールに一致するトラフィックフローを確認できます。トラフィックフローに使用されるポートとプロトコルを確認することもできます。契約の詳細については、「アクセス契約」を参照してください。
アイコンをクリックするとチャートビューが表示され、 をクリックするとテーブルビューが表示されます。
日時セレクタを使用して日付と時刻を設定できます。
[View Contract] ウィンドウを起動するには、[Explore Scalable Groups] ウィンドウで [View Contract] をクリックします。[View Contract] ウィンドウの左側のペインに、送信元グループと宛先グループ間で許可および拒否されるトラフィックのルールが表示されます。右側のペインでは、選択したルールに一致するトラフィックフローを確認できます。
この表には [Policies] ウィンドウからもアクセスできます。Cisco DNA Center GUI で [Menu] アイコン()をクリックして選択します の順に選択します。
ポリシーマトリックスビューで、契約を作成または変更するセルをクリックします。[Policy Details] スライドインペインで、[View Traffic Flows] をクリックします。
現在、送信元グループと宛先グループの間に契約が割り当てられていない場合、データは表示されません。[Change Contract] または [Create Access Contract] オプションを使用して、契約を作成または変更することができます。
[Action] 列の [View traffic] をクリックして、そのルールに一致するフローのリストを表示します。
[Contract Content] ウィンドウを起動するには、[Policy Details] ペインで [Create Access Contract] をクリックします。トラフィックフィルタルールを作成するには、次の手順を実行します。
[Action] ドロップダウンリストで、[Deny] または [Permit] を選択します。
From the APplication drop-down list, choose the application for which you want to apply that action. ポートとプロトコルは、選択したアプリケーションに基づいて自動的に選択されます。
トランスポートプロトコル、送信元ポート、および宛先ポートを指定する場合は、[Application] ドロップダウンリストから [Advanced] オプションを選択します。
複数のルールを作成できます。1 つの契約に複数のルールを作成するには、プラスのアイコンをクリックし、[Action] 列と [Application] 列の設定を選択します。ルールは、契約に記載されている順序でチェックされます。ルールの左端にあるハンドルのアイコンを使用して、ルールをドラッグして順序を変更します。
[All Unique Traffic Flows] ペインの [Add to Contract] オプションを使用して契約にエントリを追加することができます。
新しく作成または編集した契約を保存する際は、次のオプションがあります。
[Update current policy only]:契約の複製が作成され、現在のポリシーに適用されます。この契約を参照する他のポリシーは影響を受けません。
[Update contract for all referenced policies]:契約が更新され、現在のポリシーとこの契約を参照する他のポリシーに適用されます。
[Create a new contract with no policies affected]:契約の複製が作成されますが、どのポリシーにも適用されません。
[Change Contract] ウィンドウを起動するには、[Policy Details] ペインで [Change Contract] をクリックします。使用可能なすべての契約が表示されます。必要な契約を選択し、[Change] をクリックすると、その契約をポリシーに追加できます。
[Edit] オプションは、契約がすでにポリシーに追加されている場合にのみ表示されます。契約の詳細を編集するには、契約の名前の後に表示される [Edit] をクリックします。
契約を更新したら、[Save] をクリックします。次のオプションを使用できます。
[Update current policy only]:契約の複製が作成され、現在のポリシーに適用されます。この契約を参照する他のポリシーは影響を受けません。
[Update contract for all referenced policies]:契約が更新され、現在のポリシーとこの契約を参照する他のポリシーに適用されます。
[Create a new contract with no policies affected]:契約の複製が作成されますが、どのポリシーにも適用されません。
適切なオプションを選択した後に、名前と説明を入力し(1 つ目または 3 つ目のオプションを選択した場合)、[Confirm] をクリックします。
接続の概要を表示する期間を選択できます。過去 14 日から現在の 1 時間までの時間範囲を選択できます。
次のいずれかのオプションを選択します。[End Time] は自動的に調整されます。
月、日、年を手動で入力するかカレンダーアイコンを使用して [Start Date] を指定します。
[Start Time] をドロップダウンメニューから選択します。
[Overview] ウィンドウには、スケーラブルグループ、ISE プロファイル、Stealthwatch ホストグループ、IP アドレス、または MAC アドレスのデータ全体を検索するための [Search] フィールドが用意されています。
検索フィールドへの文字入力を開始すると、スケーラブルグループ、ISE プロファイル、および Stealthwatch ホストグループの自動検索が実行され、グループタイプごとに最大 3 件の結果が表示されます。IP アドレスの場合、関連文字は整数とピリオドです。MAC アドレスの場合、関連文字は 16 進数とコロンです。
(注) |
|
[Focus] ドロップダウンリストから、検索条件を変更するために必要なオプションを選択します。
フィルタのアイコン(
)は高度なフィルタ処理に使用され、MAC アドレスまたは IP アドレスを検索する場合にのみ使用できます。 アイコンをクリックすると、各列の列名の上に検索フィールドが表示されます。
列ごとの検索条件は、最大 3 つまで入力できます。列ごとの条件を複数入力する場合は、OR 演算または AND 演算を指定できます。このように作成したクエリでは、複数の列を対象に AND 演算が実行されます。
アイコンをクリックして [Save Current Search] オプションを使用すると、現在表示されている検索を保存できます。
保存した検索を削除するには、 アイコンをクリックします。保存した検索の名前にカーソルを合わせ、
アイコンをクリックします。[Delete Saved Filter] ダイアログボックスで [Yes] をクリックすると、フィルタが完全に削除されます。
シスコのグループベースポリシー分析は、ロールベース アクセス コントロールをサポートしています。読み取り/書き込みユーザーと読み取り専用ユーザーが区別されます。ただし、シスコのグループベースポリシー分析のリリース 1.0 は可視化を主としたもので、システムに変更は加えられないため、読み取り専用ユーザーに対する制限は限られたものになります。
読み取り専用ユーザーは検索クエリを保存できません。
読み取り専用ユーザーは シスコのグループベースのポリシー分析の初期設定 ウィンドウで変更を行うことはできません。
データのエクスポートは HTTPS POST 操作であるため、読み取り専用ユーザーはデータをエクスポートできません。
読み取り専用ユーザーはグループによる検索のみを実行でき、HTTPS POST 操作を伴う他の検索機能は実行できません。
IP ベースのアクセス コントロール ポリシーは、アクセス コントロール リスト(ACL)と同じ方法でシスコ デバイスに出入りするトラフィックを制御します。ACL と同様に、IP ベースのアクセス コントロール ポリシーにはプロトコル タイプ、送信元 IP アドレス、宛先 IP アドレス、宛先ポート番号などのさまざまな条件に基づいてトラフィック フローに適用される許可条件および拒否条件のリストが含まれています。
IP ベースのアクセス コントロール ポリシーを使用して、セキュリティ、モニターリング、ルート選択、ネットワーク アドレス変換などのさまざまな目的のためにトラフィックをフィルタ処理できます。
IP ベースのアクセス コントロール ポリシーには、次の 2 つの主要コンポーネントがあります。
[IP Network Groups]:IP ネットワークグループは、同じアクセス制御要件を共有する IP サブネットで構成されています。これらのグループは Cisco DNA Center でのみ定義できます。IP ネットワークグループに含めることができる IP サブネットは 1 つだけです。
[Access Contract]:アクセスコントラクトは、IP ベースのアクセス コントロール ポリシーとグループベースのアクセス コントロール ポリシーの両方で使用される共通の構成要素です。これはアクセス制御ポリシーを構成するルールを定義します。これらのルールでは、トラフィックが特定のポートまたはプロトコルに一致したときに実行されるアクション(許可または拒否)や他のルールが一致しないときに実行される暗黙のアクション(許可または拒否)を指定します。
新しい IP ベースのアクセス コントロール ポリシーを作成中に、 ウィンドウでグループを追加する場合、Cisco ISE は必須ではありません。
次のグローバルネットワーク設定が定義されていることを確認し、デバイスをプロビジョニングします。
ネットワークサーバー(AAA、DHCP、DNS サーバーなど):グローバル ネットワーク サーバーの設定 を参照してください。
CLI、SNMP、HTTP、HTTPS などのデバイスのログイン情報:グローバル デバイス クレデンシャルについてを参照。
IP アドレスプール:IP アドレス プールを設定するを参照。
SSID、ワイヤレスインターフェイス、ワイヤレス無線周波数プロファイルなどのワイヤレス設定:グローバル ワイヤレス設定の構成を参照。
デバイスのプロビジョニング:プロビジョニングを参照。
| ステップ 1 |
IP ネットワーク グループを作成します。 詳細については、「IP ネットワーク グループの作成」を参照してください。 |
| ステップ 2 |
IP ベースのアクセス制御契約を作成します。 IP ベースのアクセス制御契約は、送信元と宛先の間の一連のルールを定義します。これらのルールは、ネットワーク デバイスが、指定されたプロトコルまたはポートに一致するトラフィックに基づいて実行するアクション(許可または拒否)を指定します。詳細については、「IP ベースのアクセス コントロール契約の作成」を参照してください。 |
| ステップ 3 |
IP ベースのアクセス コントロール ポリシーの作成アクセス コントロール ポリシーは、送信元と宛先の IP ネットワーク グループ間のトラフィックを制御するアクセス制御契約を定義します。 詳細については、IP ベースのアクセス コントロール ポリシーの作成を参照してください。 |
ネットワーク全体のデフォルトになるグローバル ネットワーク サーバーを定義することができます。
(注) |
サイト固有の設定を定義することで、サイトのグローバル ネットワーク設定を上書きできます。 |
| ステップ 1 |
Cisco DNA Center GUI で [Menu] アイコン( |
||
| ステップ 2 |
[DHCP サーバー(DHCP Server)] フィールドに、DHCP サーバーの IP アドレスを入力します。
|
||
| ステップ 3 |
[DNS サーバー(DNS Server)] フィールドに、DNS サーバーのドメイン名を入力します。
|
||
| ステップ 4 |
[Save] をクリックします。 |
| ステップ 1 |
Cisco DNA Center GUI で [Menu] アイコン( |
| ステップ 2 |
[グループの追加(Add Group)] をクリックします。 |
| ステップ 3 |
[名前(Name)] フィールドに、IP ネットワーク グループの名前を入力します。 |
| ステップ 4 |
[説明(Description)] フィールドに、IP ネットワーク グループを説明する単語またはフレーズを入力します。 |
| ステップ 5 |
[IP アドレスまたは IP/CIDR(IP Address or IP/CIDR)] フィールドに、IP ネットワーク グループを構成する IP アドレスを入力します。 |
| ステップ 6 |
[Save] をクリックします。 |
| ステップ 1 |
Cisco DNA Center GUI で [Menu] アイコン( |
| ステップ 2 |
[IP ネットワーク グループ(IP Network Groups)] テーブルで、編集または削除するグループの横にあるチェックボックスをオンにします。 |
| ステップ 3 |
次のいずれか 1 つのタスクを実行します。
|
| ステップ 1 |
Cisco DNA Center GUI で [Menu] アイコン( |
| ステップ 2 |
[コントラクトの追加(Add Contract)] をクリックします。 |
| ステップ 3 |
契約の名前と説明を入力します。 |
| ステップ 4 |
[暗黙的アクション(Implicit Action)] ドロップダウン リストから、[拒否(Deny)] または [許可(Permit)] を選択します。 |
| ステップ 5 |
テーブルの [アクション(Action)] ドロップダウン リストから、[拒否(Deny)] または [許可(Permit)] を選択します。 |
| ステップ 6 |
[ポート/プロトコル(Port/Protocol)] ドロップダウン リストから、ポートまたはプロトコルを選択します。
|
| ステップ 7 |
(任意) 契約にさらにルールを含めるには、[追加(Add)] をクリックして、手順 5 および 6 を繰り返します。 |
| ステップ 8 |
[Save] をクリックします。 |
ポリシーで使用されている契約を編集すると、[IP ベースのアクセス コントロール ポリシー(IP Based Access Control Policies)] ウィンドウのポリシーの状態が [変更(MODIFIED)] に変わります。変更されたポリシーは、ネットワークに導入されたポリシーと一致しないため、古いと見なされます。この問題を解決するには、ネットワークにポリシーを再展開する必要があります。
| ステップ 1 |
Cisco DNA Center GUI で [Menu] アイコン( |
||
| ステップ 2 |
編集または削除する契約の横にあるチェックボックスをオンにして、次のいずれかのタスクを実行します。
|
1 つのポリシーに異なる設定で複数のルールを追加することができます。
IP グループと契約の分類子の特定の組み合わせでルールが作成され、デバイスにプッシュされます。この数は、Cisco WLC が ACL でのルールを最大 64 に制限しているため、64 個のルールを超えることはできません。
展開された ポリシー内で使用されるカスタム契約または IP グループが変更された場合、そのポリシーは古いものであり、デバイスにプッシュする新しい設定のために再展開される必要があることを示す [変更済み(Modified)] というステータスでフラグが付けられます。
| ステップ 1 |
Cisco DNA Center GUI で [Menu] アイコン( |
||||||||||||||||||||
| ステップ 2 |
[ポリシーの追加(Add Policy)] をクリックします。 |
||||||||||||||||||||
| ステップ 3 |
次のフィールドに入力します。
|
||||||||||||||||||||
| ステップ 4 |
(任意) IP ネットワーク グループを作成するには、[IP ネットワーク グループの作成(Create IP Network Group)] をクリックします。 |
||||||||||||||||||||
| ステップ 5 |
(任意) 別のルールを追加するには、プラス記号をクリックします。
|
||||||||||||||||||||
| ステップ 6 |
(任意) ルールの順序を変更するには、変更したい順序でルールをドラッグ アンド ドロップします。 |
||||||||||||||||||||
| ステップ 7 |
[Deploy] をクリックします。 「IP ベースのアクセス コントロール ポリシーが作成され、正常に展開されました」という成功メッセージが表示されます。選択した SSID によっては、FlexConnect ポリシーまたは標準ポリシーが異なるマッピング情報レベルで作成され、展開されます。ポリシーの [ステータス(Status)] は、[展開済み(DEPLOYED)] として表示されます。[ポリシー名(Policy Name)] の横にあるワイヤレス アイコンは、展開されたアクセス ポリシーがワイヤレス ポリシーであることを示しています。 |
必要な場合は、IP ベースのアクセス コントロール ポリシーを変更または削除できます。
(注) |
ポリシーを編集すると、[IPベースのアクセスコントロールポリシー(IP-Based Access Control Policies)] ウィンドウのポリシーの状態が [変更(MODIFIED)] に変わります。変更されたポリシーは、ネットワークに導入されたポリシーと一致しないため、古いと見なされます。この問題を解決するには、ネットワークにポリシーを再展開する必要があります。 |
| ステップ 1 |
Cisco DNA Center GUI で [Menu] アイコン( |
| ステップ 2 |
編集または削除するポリシーの横にあるチェック ボックスをオンにして、次のいずれかのタスクを実行します。
|
| ステップ 3 |
ポリシーを変更した場合は、ポリシー名の横にあるチェック ボックスをオンにして [展開(Deploy)] をクリックすることによって、変更したポリシーを展開します。 |
ポリシーの設定に影響する変更を加えた場合は、これらの変更を実装するポリシーを再度展開する必要があります。
| ステップ 1 |
Cisco DNA Center GUI で [Menu] アイコン( |
||
| ステップ 2 |
展開するポリシーを探します。 |
||
| ステップ 3 |
ポリシーの横にあるチェック ボックスをオンにします。 |
||
| ステップ 4 |
[Deploy] をクリックします。 |
||
| ステップ 5 |
次のいずれかを実行します。
|
Quality of Service(QoS)とは、選択したネットワーク トラフィックに、優先的なサービスやニーズに合ったサービスを提供するネットワーク機能を意味します。QoS を設定することで、ビジネスの目標(音声品質が会社の標準規格を満たしていることの保証、ビデオの高い Quality of Experience(QoE)の確保など)を引き続き順守しながら、ネットワーク リソースを最も効率的に使用する方法でネットワーク トラフィックを処理することができます。
QoS は、Cisco DNA Center のアプリケーション ポリシーを使用してネットワークに設定できます。アプリケーション ポリシーは、次の基本的なパラメータで構成されています。
[Application Sets]:同様のネットワークトラフィックを必要とする一連のアプリケーション。各アプリケーション セットには、トラフィックの優先順位を定義するビジネスとの関連性グループ(ビジネス関連、デフォルト、またはビジネスと無関係)が割り当てられます。QoS パラメータは、Cisco Validated Design(CVD)に基づいて 3 つのグループごとに定義されます。一部のパラメータは、それぞれの目的に合わせてより詳細に調整できます。
[Site Scope]:アプリケーションポリシーが適用されているサイト。有線ポリシーを設定すると、ポリシーは、サイト範囲内のすべての有線デバイスに適用されます。同様に、選択したサービス セット識別子(SSID)のワイヤレス ポリシーを設定すると、範囲内で SSID が定義されているすべてのワイヤレス デバイスにポリシーが適用されます。
Cisco DNA Center はこれらのパラメータをすべて受け取り、適切なデバイスの CLI コマンドに変換します。Cisco DNA Center はポリシーの展開時に、サイトの範囲で定義されているデバイスに各コマンドを設定します。
(注) |
Cisco DNA Center はデバイスで使用可能な QoS 機能セットに基づいて、各デバイスに QoS ポリシーを設定します。デバイスの QoS 実装の詳細については、対応するデバイスの製品マニュアルを参照してください。 |
アプリケーション ポリシーのデフォルトの QoS 信頼およびキューイング設定は、Enterprise Medianet の QoS デザイン向けの Cisco Validated Design(CVD)に基づいています。CVD は、一般的な使用例や現行のシステム設計上の優先事項に基づき、システム設計の基盤を提示しています。CVD には、お客様のニーズに応じるための幅広いテクノロジー、機能、アプリケーションが組み込まれています。それぞれのソリューションには、エンジニアによる包括的なテストと文書化が実施されており、迅速で、信頼性が高く、予測可能な導入が確保されています。
QoS に関連する最新の検証済み設計は、Cisco Press の書籍『End-to-End QoS Network Design: Quality of Service for Rich-Media & Cloud Networks, 2nd Edition』(http://www.ciscopress.com/store/end-to-end-qos-network-design-quality-of-service-for-9781587143694)で公開されています。追加情報については、次のシスコのドキュメントを参照してください。
サイト範囲は、アプリケーション ポリシーが適用されるサイトを定義します。ポリシーを定義するときに、ポリシーが有線デバイス用かワイヤレス デバイス用かを設定します。また、サイト範囲も設定します。有線ポリシーを設定すると、ポリシーは、サイト範囲内のすべての有線デバイスに適用されます。同様に、選択したサービス セット識別子(SSID)のワイヤレス ポリシーを設定すると、サイト範囲内で SSID が定義されている、サイト範囲内のすべてのワイヤレス デバイスにポリシーが適用されます。
これにより、有線ネットワーク セグメントとワイヤレス ネットワークセグメントの動作の相違を補うために、必要に応じてトレードオフを実施できます。たとえば、ワイヤレス ネットワークでは通常、有線ネットワークと比較した場合に低帯域幅、低速、パケット損失増加の特徴があります。個々のワイヤレス セグメントは、ローカルの RF 干渉、輻輳、ネットワーク デバイスの機能の違いなどの要因によってさらに変動が見られます。個々のワイヤレス セグメントにセグメントごとのポリシーを適用できるすることで、優先順位の高いトラフィックが受ける、ワイヤレス ネットワークの劣化による影響が小さくなるように、トラフィック処理ルールを調整できます。
ビジネス関連グループは、ビジネスや事業への関連性に応じて、指定されたアプリケーション セットを分類します。
ビジネス関連グループ(ビジネス関連、デフォルト、ビジネスと無関係)は、基本的に 3 種類のトラフィック(高優先順位、ニュートラル、低優先順位)にマッピングされます。
ビジネス関連(Business Relevant):(高優先トラフィック)このグループのアプリケーションは組織の目的に直接関与し、音声、ビデオ、ストリーミング、コラボレーション型マルチメディア アプリケーション、データベース アプリケーション、エンタープライズ リソース アプリケーション、電子メール、ファイル転送、コンテンツ配布など、さまざまな種類があります。ビジネス関連として指定されているアプリケーションは、Internet Engineering Task Force(IETF)RFC 4594 の規定に従い、業界推奨のベスト プラクティスに従って処理されます。
デフォルト(Default):(平均的優先度のトラフィック)このグループは、ビジネスに関連している場合もあればしていない場合もあるアプリケーションを対象としています。たとえば一般的な HTTP または HTTPS トラフィックは、組織の目的に寄与する場合もしない場合もあります。たとえば、レガシーアプリケーションや新しく導入されたアプリケーションなどでも、一部のアプリケーションの目的については分析していない場合があります。したがって、これらのアプリケーションのトラフィック フローは、IETF RFC 2747 および 4594 で説明されているように、デフォルトの転送サービスで処理する必要があります。
ビジネスと無関係(Business Irrelevant):(低優先トラフィック)このグループは、組織の目的達成に寄与しないと識別されたアプリケーションを対象としています。主にコンシューマ向けかエンターテイメント向け、あるいは本質的にその両方に該当するアプリケーションです。この種類のトラフィックは、IETF RFC 3662 および 4594 で説明されている「スカベンジャ」サービスとして処理することをお勧めします。
アプリケーションはアプリケーション セットに分類されて、ビジネス関連グループにソートされます。アプリケーション セットはポリシーに現状のまま含めることができます。または、ビジネス目標やネットワーク構成のニーズを満たすように変更することができます。
たとえば、YouTube はコンシューマ メディア アプリケーション セットのメンバーです。一般的に、ほとんどのお客様がこのアプリケーションをこのように分類しているため、(デフォルトでは)YouTube はビジネスと無関係です。ただし、この分類がすべての企業に当てはまるわけではありません。たとえば、いくつかのビジネスでは YouTube をトレーニング目的で使用することがあります。このような場合、管理者は、デフォルトでビジネス関連であるストリーミング ビデオ アプリケーション セットに YouTube アプリケーションを移動できます。
あるアプリケーションから別のアプリケーションにトラフィックが送られた(特定の a から b へのトラフィック フローが作成された)ときにトラフィックが特定の方法で処理されるように、アプリケーション間の関係を設定することができます。このような関係のアプリケーションをプロデューサとコンシューマと呼び、次のように定義しています。
プロデューサ:アプリケーション トラフィックの送信元。たとえば、クライアント/サーバー アーキテクチャでは、トラフィック フローは主にサーバーからクライアントの方向であるため、アプリケーション サーバーがプロデューサと見なされます。ピアツーピア アプリケーションの場合は、リモート ピアがプロデューサと見なされます。
コンシューマ:アプリケーション トラフィックの受信者。コンシューマに該当するのは、クライアント/サーバー アーキテクチャの場合はクライアント エンドポイント、ピアツーピア アプリケーションの場合はローカル デバイスなどです。コンシューマはエンドポイント デバイスであることがありますが、場合によっては、そのようなデバイスの特定のユーザーであることもあります(通常、IP アドレスまたは特定のサブネットによって識別される)。また、あるアプリケーションが別のアプリケーション トラフィック フローのコンシューマになる場合もあります。
このような関係を設定することにより、このシナリオに一致するトラフィックに特定のサービス レベルを設定することが可能になります。
Cisco DNA Center は、IETF RFC 4594 およびアプリケーションに割り当てられたビジネス関連のカテゴリでの処理のマーキング、キューイング、およびドロッピングをベースとしています。Cisco DNA Center は、デフォルト カテゴリのすべてのアプリケーションをデフォルトの転送アプリケーション クラスに割り当て、無関係なビジネス カテゴリのすべてのアプリケーションをスカベンジャ アプリケーション クラスに割り当てます。関連するビジネス カテゴリのアプリケーションについては、Cisco DNA Center はアプリケーションのタイプに基づいてトラフィック クラスをアプリケーションに割り当てます。次の表に、アプリケーションクラスとそれぞれの処理を示します。
| ビジネス関連性 | アプリケーション クラス | ホップ毎の挙動 | キューイングとドロッピング | アプリケーションの説明 |
|---|---|---|---|---|
|
該当する |
VoIP1 |
Expedited Forwarding(EF) |
プライオリティ キューイング(PQ) |
VoIP テレフォニー(ベアラのみ)トラフィック。たとえば、Cisco IP 電話。 |
|
ブロードキャスト ビデオ |
クラス セレクタ(CS)5 |
PQ |
ブロードキャスト TV、ライブイベント、ビデオ監視フロー、同様の非弾性ストリーミング メディア フロー(Cisco IP Video Surveillance や Cisco Enterprise TV など)。(非弾性フローとは、非常にドロップされやすく、再送信またはフロー制御機能のいずれか、または両方がないフローを意味します。) |
|
|
リアルタイム インタラクティブ |
CS4 |
PQ |
非弾性の高解像度インタラクティブ ビデオ アプリケーションおよびそれらのアプリケーションのオーディオおよびビデオコンポーネント(Cisco TelePresence など)。 |
|
|
マルチメディア会議 |
相対的優先転送(AF)41 |
帯域幅(BW)キューと Differentiated Services Code Point(DSCP)Weighted Random Early Detect(WRED) |
デスクトップソフトウェアのマルチメディア コラボレーション アプリケーションおよびそれらのアプリケーションのオーディオおよびビデオコンポーネント(Cisco Jabber や Cisco WebEx など)。 |
|
|
マルチメディア ストリーミング |
AF31 |
BW キューと DSCP WRED |
ビデオオンデマンド(VoD)ストリーミング ビデオ フローおよび仮想デスクトップ アプリケーション。たとえば、Cisco Digital Media System。 |
|
|
ネットワーク制御 |
CS6 |
BW キューのみ2 |
EIGRP、OSPF、BGP、HSRP、IKE などのエンタープライズ ネットワークの信頼性の高い運用のために必要とされるネットワーク コントロール プレーン トラフィック。 |
|
|
シグナリング |
CS3 |
BW キューと DSCP |
IP 音声およびビデオ テレフォニー インフラストラクチャのコントロール プレーン トラフィック。 |
|
|
Operations, Administration, and Management(OAM) |
CS2 |
BW キューと DSCP3 |
SSH、SNMP、syslog などのネットワーク運用、管理、管理トラフィック |
|
|
トランザクション データ(低遅延データ) |
AF21 |
BW キューと DSCP WRED |
エンタープライズ リソース プランニング(ERP)、顧客関係管理(CRM)、およびその他のデータベース アプリケーションなどのインタラクティブ(フォアグラウンド)データ アプリケーション。 |
|
|
バルクデータ(高スループットデータ) |
AF11 |
BW キューと DSCP WRED |
電子メール、File Transfer Protocol(FTP)、バックアップ アプリケーションなどの非インタラクティブ(バックグラウンド)データ アプリケーション。 |
|
|
デフォルト |
デフォルトの転送(ベスト エフォート) |
DF |
デフォルト キューと RED |
デフォルトのアプリケーション、およびデフォルトのビジネス関連グループに割り当てられるアプリケーション。プライオリティ、保証された帯域幅、または差分サービス クラスに割り当てられるのはごく少数のアプリケーションであるため、大部分のアプリケーションは引き続きデフォルトでベスト エフォート型サービスになります。 |
|
非関連 |
スカベンジャー |
CS1 |
最小 BW キュー(ディファレンシャル)と DSCP |
非ビジネス関連のトラフィック フロー、およびビジネス関連でないグループに割り当てられているアプリケーション(エンターテイメント向けのデータやメディア アプリケーションなど)。たとえば、YouTube、Netflix、iTunes、Xbox Live。 |
サービス プロバイダ(SP)プロファイルは、特定の WAN プロバイダのサービス クラスを定義します。4 クラス、5 クラス、6 クラス、8 クラスのモデルを定義できます。
アプリケーション ポリシーがデバイスに展開されると、各 SP プロファイルには、各 SP クラスを DSCP 値と帯域幅割り当てのパーセンテージにマップする特定のサービス レベル契約(SLA)が割り当てられます。
アプリケーション ポリシーを設定するときに SP プロファイルの DSCP 値と 帯域幅割り当てのパーセンテージをカスタマイズできます。
SP プロファイルを作成したら、そのプロファイルを WAN インターフェイスで設定する必要があります。
|
クラス名 |
DSCP |
プライオリティ クラス |
SLA |
|
|---|---|---|---|---|
| 帯域幅(%) |
Remaining Bandwidth (%) |
|||
|
音声 |
EF |
はい |
10 |
— |
|
クラス 1 データ |
AF31 |
— |
— |
44 |
|
クラス 2 データ |
AF21 |
— |
— |
25 |
|
デフォルト |
0 |
— |
— |
31 |
|
クラス名 |
DSCP |
プライオリティ クラス |
SLA |
|
|---|---|---|---|---|
| 帯域幅(%) |
Remaining Bandwidth (%) |
|||
|
音声 |
EF |
はい |
10 |
— |
|
クラス 1 データ |
AF31 |
— |
— |
44 |
|
クラス 2 データ |
AF21 |
— |
— |
25 |
|
クラス 3 データ |
AF11 |
— |
— |
1 |
|
デフォルト |
ベスト エフォート |
— |
— |
30 |
|
クラス名 |
DSCP |
プライオリティ クラス |
SLA |
|
|---|---|---|---|---|
| 帯域幅(%) |
Remaining Bandwidth (%) |
|||
|
クラス 1 データ |
AF31 |
— |
— |
10 |
|
クラス 3 データ |
AF11 |
— |
— |
1 |
|
ビデオ |
AF41 |
— |
— |
34 |
|
音声 |
EF |
はい |
10 |
— |
|
デフォルト |
0 |
— |
— |
30 |
|
クラス 2 データ |
AF21 |
— |
— |
25 |
|
クラス名 |
DSCP |
プライオリティ クラス |
SLA |
|
|---|---|---|---|---|
| 帯域幅(%) |
Remaining Bandwidth (%) |
|||
|
ネットワーク-コントロール管理 |
CS6 |
— |
— |
5 |
|
ストリーミング ビデオ |
AF31 |
— |
— |
10 |
|
コール シグナリング |
CS3 |
— |
— |
4 |
|
スカベンジャー |
CS1 |
— |
— |
1 |
|
インタラクティブ ビデオ |
AF41 |
— |
— |
30 |
|
音声 |
EF |
はい |
10 |
— |
|
デフォルト |
0 |
— |
— |
25 |
|
重要なデータ |
AF21 |
— |
— |
25 |
キューイング プロファイルでは、インターフェイス速度とトラフィック クラスに基づいたインターフェイスの帯域幅割り当てを定義することができます。
(注) |
キューイングプロファイルは、サービス プロバイダ プロファイルに接続されている WAN 側インターフェイスには適用されません。 |
次のインターフェイス速度がサポートされます。
100 Gbps
10/40 Gbps
1 Gbps
100 Mbps
10 Mbps
1 Mbps
インターフェイスの速度が 2 つのインターフェイス速度の間である場合、Cisco DNA Center は、より低いインターフェイス速度でインターフェイスを取り扱います。
(注) |
Cisco DNA Center は、正しいポリシーを適用するためにインターフェイスの動作速度の検出を試みます。ただし、スイッチ ポートが管理上ダウンしている場合、Cisco DNA Center は速度を検出できません。この場合、Cisco DNA Center は、インターフェイスのサポートされた速度を使用します。 |
キューイング ポリシーは、アプリケーション ポリシーの一部として定義します。アプリケーション ポリシーを展開すると、サイト範囲内の選択されたサイトのデバイスが、割り当てられた LAN キューイング ポリシーで設定されます。LAN キューイング ポリシーが割り当てられていない場合、アプリケーション ポリシーはデフォルトの CVD キューイング ポリシーを使用します。
すでに展開されているアプリケーション ポリシーのキューイング ポリシーを変更すると、ポリシーは失効し、変更をデバイスに適用するにはポリシーを展開しなおす必要があります。
キューイング ポリシーに関する次の追加の注意事項および制約事項に注意してください。
LAN キューイング プロファイルは、ポリシーで使用されている場合には削除できません。
ポリシーに関連付けられているキューイングプロファイルを更新すると、ポリシーは期限切れとしてマーキングされます。最新の変更をプロビジョニングするには、ポリシーを展開しなおす必要があります。
トラフィック クラス キューイングをカスタマイズしても、シスコのサービス プロバイダ スイッチおよびルータのインターフェイスは影響を受けません。これらのインターフェイスの設定は、引き続き Cisco DNA Center を使用することなく実施します。
| トラフィック クラス | デフォルトの帯域幅(合計= 100%)4 |
|---|---|
|
ビジネス関連の音声 |
10% |
|
ビジネス関連のブロードキャストビデオ |
10% |
|
ビジネス関連のリアルタイム インタラクティブ |
13% |
|
ビジネス関連のマルチメディア会議 |
10% |
|
ビジネス関連のマルチメディア ストリーミング |
10% |
|
ビジネス関連のネットワーク制御 |
3% |
|
ビジネス関連のシグナリング |
2% |
|
ビジネス関連の OAM |
2% |
|
ビジネス関連のトランザクションデータ |
10% |
|
ビジネス関連のバルクデータ |
4% |
|
ビジネス関連のスカベンジャ |
1% |
|
ビジネス関連のベストエフォート |
25% |
ネットワーク デバイスの中には、ネットワーク アクセス コントロール リスト(ACL)および ACE を格納するためのメモリ(TCAM と呼ばれる)が制限されているものがあります。このため、アプリケーション用の ACL と ACE がこれらのデバイス上に設定されている場合は、利用可能な TCAM 領域が使用されます。When the TCAM space is depleted, QoS settings for additional applications cannot be configured on that device.
そのようなデバイスで最も重要なアプリケーションの QoS ポリシーが確実に設定されるように、Cisco DNA Center は次の順序で TCAM スペースを割り当てます。
[Rank]:カスタムアプリケーションおよびお気に入りのアプリケーションに割り当てられた番号(ただし既存のデフォルト NBAR アプリケーションは除く)。ランクの番号が小さくなるほど、優先順位が高くなります。たとえば、ランク 1 のアプリケーションはランク 2 のアプリケーションよりも優先順位が高くなります。ランクがない場合は、優先順位が最も低くなります。
(注) |
|
[Traffic Class]:優先順位は次の順序に基づいています。シグナリング、バルクデータ、ネットワーク制御、Operations Administration Management(Ops Admin Mgmt)、トランザクションデータ、スカベンジャ、マルチメディア ストリーミング、マルチメディア会議、リアルタイム インタラクティブ、ブロードキャストビデオ、VoIP テレフォニー。
[Popularity]:CVD の基準に基づいて割り当てられた番号(1 ~ 10)。ポピュラリティの番号は変更できません。ポピュラリティが 10 のアプリケーションは、ポピュラリティが 9 のアプリケーションよりも優先順位が高くなります。
(注) |
|
[Alphabetization]:2 つ以上のアプリケーションのランクとポピュラリティ番号が同一の場合、それらのアプリケーションはアプリケーション名のアルファベット順にソートされ、ソート順に従い優先順位が割り当てられます。
たとえば、次のアプリケーションを指定したポリシーを定義する場合を想定しましょう。
カスタム アプリケーション custom_realtime。デフォルトでランク 1 とポピュラリティ 10 が割り当てられています。
カスタム アプリケーション custom_salesforce。デフォルトでランク 1 とポピュラリティ 10 が割り当てられています。
corba-iiop という名前のトランザクション データ トラフィック クラスのアプリケーション。お気に入りとして指定されており、ランク 10,000、および(CVD に基づいて)ポピュラリティ 9 が付与されています。
gss-http という名前の Ops Admin Mgmt トラフィック クラスのアプリケーション。お気に入りとして指定されており、ランク 10,000、および(CVD に基づいて)ポピュラリティ 10 が付与されています。
他のすべてのデフォルト NBAR アプリケーションにはランクはありませんが、トラフィック クラスと(CVD に基づいて)デフォルト ポピュラリティに従って処理されます。
優先順位付けのルールに従って、アプリケーションはデバイスにおいて次の順序で設定されます。
| アプリケーションの設定順 | 理由 |
|---|---|
|
1. カスタム アプリケーション custom_realtime |
カスタム アプリケーションには最も高い優先順位が付与されます。custom_salesforce アプリケーションと custom_realtime アプリケーションのランクおよびポピュラリティが同じであるとすると、これらのアプリケーションはアルファベット順にソートされ、custom_realtime が custom_salesforce より前になります。 |
|
2. カスタム アプリケーション custom_salesforce |
|
|
3. お気に入りのアプリケーション gss-http |
これら両方のアプリケーションはお気に入りとして指定されているため、同じアプリケーション ランクになります。そのため、Cisco DNA Center は各アプリケーションをトラフィック クラスに基づいて評価します。gss-http は、Ops Admin Mgmt トラフィック クラスであるため、先に処理され、その後にトランザクション データ トラフィック クラスの corba-iiop アプリケーションが処理されます。トラフィック クラスによって処理順が決まっているため、ポピュラリティは考慮されません。 |
|
4. お気に入りのアプリケーション corba-iiop |
|
|
5. 他のすべてのデフォルト NBAR アプリケーション |
他のすべてのアプリケーションは、トラフィック クラスとポピュラリティに従って次に優先され、ポピュラリティが同じアプリケーションは、アプリケーション名のアルファベット順にソートされます。 |
ポリシーを作成するときに、ポリシーを展開せずにドラフトとして保存できます。ドラフトとして保存すると、後でポリシーを開いて変更できます。また、展開したポリシーを変更して、ドラフトとして保存することもできます。
(注) |
ポリシーを保存または展開した後に、名前を変更することはできません。 |
ドラフトポリシーと展開したポリシーは相互に関連付けられますが、それぞれ独自にバージョン管理されます。
ポリシーをドラフトとして保存すると、Cisco DNA Center はポリシー名に (Draft) を追加してバージョン番号を 1 つ上げます。ポリシーを展開すると、Cisco DNA Center が展開したポリシーのバージョン番号を 1 つ上げます。
たとえば、次の図に示すように、testPolicy1 という名前のポリシーを作成してドラフトとして保存します。ポリシーは testPolicy1 (Draft)、バージョン番号 1 として保存されます。ドラフトを変更して、再度保存します。ポリシーの名前は同じ testPolicy1 (Draft) のままですが、バージョン番号は 2 に上がります。
ポリシーが気に入ったのでネットワークに展開します。ポリシーは testPolicy1 という名前で展開され、バージョン番号は 1 です。展開したポリシーを変更して、ドラフトとして保存します。ドラフトポリシー testPolicy1 (Draft) は、バージョン番号 3 に上がります。最終的にそのバージョンを展開するとき、testPolicy1 はバージョン 2 になります。
ドラフト ポリシーまたは展開したポリシーのいずれかを変更および保存するときは、ドラフト ポリシーのバージョン番号が上がります。同様に、ドラフト ポリシーまたは変更した展開済みポリシーのいずれかを展開するときは、展開したポリシーのバージョンが上がります。
展開したポリシーと同様に、ドラフト ポリシーの履歴を表示し、以前のバージョンにロール バックすることができます。
ポリシー バージョンの履歴表示と以前のバージョンへのロール バックについては、ポリシーのバージョン管理を参照してください。
ポリシーを展開する前に、デバイスに適用される CLI を生成できます。
プレビュー操作では、ポリシーの CLI コマンドが生成され、デバイスの実行コンフィギュレーションの CLI コマンドと比較され、デバイスでポリシーを設定するのに必要な残りの CLI だけが返されます。
プレビュー出力の確認後、範囲内の全デバイスにポリシーを展開するか、ポリシーの変更を続行することができます。
アプリケーション ポリシーを作成するとき、ポリシーを展開する前に、サイト範囲のデバイスでサポートされるかどうかを確認できます。事前チェック機能では、デバイス タイプ、モデル、ライン カード、およびソフトウェア イメージが作成したアプリケーション ポリシーをサポートするかどうかチェックします。これらのコンポーネントのいずれかがサポートさCisco DNA Centerれていない場合、はデバイスの障害を報告します。Cisco DNA Centerまた、障害を修正する方法についても説明します。これらの対応で障害が修正されない場合、サイト範囲からデバイスを削除できます。
アプリケーション ポリシーをそのまま展開すると、事前チェック プロセス中に障害が報告されたデバイスでポリシー展開が失敗します。失敗を回避するには、サイト範囲からデバイスを削除するか、デバイス コンポーネントをアプリケーション ポリシーがサポートするレベルに更新します。サポート対象デバイスのリストについては、Cisco DNA Center のサポート対象デバイスドキュメントを参照してください。
ポリシーを作成または変更した後に、そのポリシーを、ポリシーに関連付けられたデバイスに展開または再展開できます。このポリシーの展開/再展開は、すぐに行うことも、特定の日時(たとえば、週末のオフピーク時)に行うこともできます。ポリシー導入のスケジューリングは有線またはワイヤレスのデバイスに対して実施できます。
展開するポリシーのスケジュールを設定すると、そのポリシーとサイト範囲がロックされます。ポリシーの表示は可能ですが、編集することはできません。ポリシーを展開する予定が変更された場合は、その展開をキャンセルできます。
(注) |
スケジュール イベントが発生すると、ポリシーは、さまざまなポリシー コンポーネント(アプリケーション、アプリケーションセット、およびキューイング プロファイルなど)に対して検証されます。この検証に失敗すると、ポリシーの変更は行われません。 |
このポリシーのバージョン管理により、次のタスクが可能になります。
以前のバージョンと現在(最新)のバージョンを比較して相違点を確認する。
ポリシーの以前のバージョンを表示し、サイト範囲内のデバイスに再適用するバージョンを選択する。
あるバージョンのポリシーを編集しても、そのポリシーの別のバージョンやポリシーのコンポーネント(そのポリシーによって管理されるアプリケーション セットなど)は影響を受けません。たとえば、ポリシーからアプリケーション セットを削除しても、そのアプリケーション セットは Cisco DNA Center、そのポリシーの別のバージョン、または他のポリシーからは削除されません。ポリシーとアプリケーション セットは互いに独立して存在するため、存在しなくなったアプリケーション セットを含むバージョンのポリシーを保持できます。存在しなくなったアプリケーション セットを参照するポリシーを展開しようとしたり、それらのポリシーを古いバージョンにロールバックしようとしたりすると、エラーが発生します。
(注) |
ポリシーのバージョン管理では、アプリケーション(ランク、ポート、プロトコルなど)、アプリケーション セット メンバー、LAN キューイング プロファイル、およびサイトの変更は取得されません。 |
初めてデバイスにポリシーを展開する際、Cisco DNA Center は、デバイスの元の Cisco Modular QoS CLI ポリシー設定をデタッチしますが、それらはデバイス上に残ります。Cisco DNA Center は、デバイスの元の NBAR 設定を Cisco DNA Center に保存します。このアクションにより、必要に応じてオリジナルのモジュラー式 QoS CLI ポリシーと NBAR 設定を後でデバイスに復元することが可能になります。
(注) |
このようにモジュラー式 QoS CLI ポリシーはデバイスから削除されませんが、ユーザーがこれらのポリシーを削除すると、元のポリシー復元する Cisco DNA Center の機能を使用してそれらを復元することができなくなります。 |
元のポリシー設定をデバイスに復元する際、Cisco DNA Center は、展開されている既存のポリシー設定を削除し、デバイス上にあった元の設定に戻します。
アプリケーション ポリシーを展開する前に存在していたモジュラー式 QoS CLI ポリシー設定はすべて、インターフェイスに再アタッチされます。ただし、マルチレイヤ スイッチング(MLS)設定などのキューイング ポリシーは復元されません。代わりに、デバイスは、Cisco DNA Center によって最後に適用された MLS 設定を維持します。
元のポリシー設定をデバイスに復元すると、Cisco DNA Center に保存されているポリシーが削除されます。
この機能には、次のような追加のガイドラインと制限事項があるので、注意してください。
初めてポリシーをデバイスに展開する試みが失敗すると、Cisco DNA Center は、元のポリシー設定をデバイスに復元することを自動的に試みます。
そのポリシーがデバイスに適用された後にデバイスがアプリケーションポリシーから削除された場合、そのポリシーはデバイス上に残ります。Cisco DNA Centerは、ポリシーを自動的に削除したり、デバイスの QoS 設定を元の (事前Cisco DNA Center) 設定に復元したりしません。
ポリシーで参照されているものの設定を変更すると、アプリケーション ポリシーが陳腐化する可能性があります。アプリケーション ポリシーが陳腐化した場合、変更を有効化するためにアプリケーション ポリシーを再展開する必要があります。
アプリケーション ポリシーは、次の理由で陳腐化する可能性があります。
アプリケーション設定で参照されているアプリケーションの変更。
SP プロファイルの割り当て、WAN サブ回線のレート、WAN または LAN マーキングなどのインターフェイスの変更。
キューイング プロファイルの変更。
ポリシーの親サイト下への新規サイトの追加。
ポリシーによって参照されるサイトへのデバイスの追加。
ポリシーが同じサイト間でのデバイスの移動。
インターフェイス除外/包含の変更。
デバイスコントローラベースのアプリケーション認識(CBAR)ステータスの変更。
Cisco DNA Center Cisco DNA Center は、ワイヤレスコントローラ(WLC)上で同じ SSID 名を使用して複数のワイヤレス LAN(WLAN)を学習することはできません。WLC には、名前は同じで WLAN プロファイル名が異なる複数のエントリを含めることもできますが、Cisco DNA Center はどの時点においても、一意の名前を持つ WLAN に対するエントリを 1 つだけ持ちます。
WLC ごとに重複する SSID 名を意図的に持つことも、Cisco DNA Center を使用して重複する SSID 名を持つ WLC を誤って追加してしまうこともあります。いずれの場合も、WLC ごとに重複する SSID 名を持つことは一部の機能にとって問題になります。
[Learn Config]:Cisco DNA Center は WLC ごとにランダムに選択された 1 つの SSID 名のみ学習し、残りの重複する SSID 名はすべて破棄します。([設定の学習(Learn Config)] は、通常はブラウンフィールド シナリオで使用されます)。
[Application Policy]:Cisco DNA Center は、アプリケーションポリシーの展開時に、重複するいずれかの SSID 名にのみポリシーをランダムに適用して、他には適用しません。さらに、ポリシーの復元、CLI プレビュー、EasyQoS ファーストレーン、および PSK オーバーライド機能が失敗するか、予期しない結果が生じることになります。
[Multiscale Network]:MULTISCALE ネットワークでは、複数のデバイスの複数の重複する SSID 名が原因で問題が発生することもあります。たとえば、1 台のデバイスには非ファブリック SSID として WLAN が設定されていて、2 台目のデバイスには同じ WLAN がファブリック SSID として設定されている場合、[設定の学習(Learn Config)] を実行すると、1 つの SSID 名のみ学習されます。その他のデバイスの他の SSID 名は破棄されます。この動作により、特に、2 台目のデバイスがファブリック SSID 名のみサポートしていて、Cisco DNA Center が非ファブリック SSID 名を持つデバイスに対して操作を実行しようとする場合に競合が生じることがあります。
[IPACL Policy]:Cisco DNA Center は、IPACL ポリシーの展開時に、重複する SSID のいずれか 1 つにのみランダムにポリシーを適用します。また、Flex Connect が関係するシナリオも影響を受けます。
Cisco DNA Center では、デバイス設定に対するアウト オブ バンド(OOB)の変更は推奨されません。OOB に変更を加えると、Cisco DNA Center のポリシーとデバイスに設定されているポリシーは一貫性のない状態になります。2 つのポリシーは、Cisco DNA Center のポリシーをデバイスに再度展開するまで一貫性のない状態のままになります。
QoS trust 機能は変更できません。
ワイヤレスコントローラではカスタムアプリケーションはサポートされていません。したがって、ワイヤレス アプリケーション ポリシーの作成時はカスタムアプリケーションは選択されません。
設計から SSID を削除してワイヤレスコントローラを再プロビジョニングする前に、対応するワイヤレス アプリケーション ポリシーを必ず削除してください。
eWLC のワイヤレスアプリケーションは、学習された設定からプロビジョニングされた SSID ではサポートされません。
(注) |
Cisco DNA Center では、AireOS および eWLC プラットフォームの FlexConnect ローカルスイッチングモードはサポートされていません。 |
ここでは、アプリケーション ポリシーの管理の方法に関する情報について説明します。
アプリケーション ポリシーを設定する場合は、次の要件を満たしていることを確認してください。
Cisco DNA Center は、ほとんどの Cisco LAN、WAN、WLAN デバイスをサポートします。お使いのネットワーク内でデバイスとソフトウェア バージョンがサポートされているかどうかを確認するには、Cisco DNA Center のサポート対象デバイス を参照してください。
ISR-G2、ASR 1000、ワイヤレス LAN コントローラなど、シスコのネットワーク デバイスに AVC(Application Visibility and Control)機能のライセンスがインストールされていることを確認します。詳細については、「NBAR2 (Next Generation NBAR) Protocol Pack FAQ」を参照してください。
AVC サポートは、スイッチで自動 QoS が設定されていない場合にのみ、IOS XE バージョン 16.9 を実行しているスイッチで使用できます。AVC サポートを利用するには、自動 QoS 設定のスイッチを IOS XE バージョン 16.11 以降にアップグレードする必要があります。
ポリシーが必要な WAN インターフェイスを Cisco DNA Center で特定するには、インターフェイス タイプ(WAN)および(必要に応じて)副回線レートとサービス プロバイダのサービス クラス モデルを指定する必要があります。詳細については、サービス プロバイダ プロファイルの WAN インターフェイスへの割り当てを参照してください。
ディスカバリプロセス中にデバイスに割り当てられたデバイスロールが、ネットワークに適切であることを確認します。必要に応じて、不適切なデバイスロールを変更します。詳細については、デバイスのロールの変更(インベントリ)を参照してください。
ビジネス目標を定義します。例えば、ネットワーク応答時間を最短化させたり、非ビジネス アプリケーションを特定して優先度を下げたりすることで、ユーザの生産性を向上させるようなものです。これらの目標に基づいて、どのビジネスとの関連性カテゴリがアプリケーションに分類されるかを決定します。
インベントリにデバイスがあることを確認します。デバイスがない場合は、ディスカバリ機能を使用して検出します。
ディスカバリプロセス中にデバイスに割り当てられたデバイスロールが、ネットワークに適切であることを確認します。必要に応じて、不適切なデバイスロールを変更します。詳細については、デバイスのロールの変更(インベントリ)を参照してください。
サイトへのデバイスの追加詳細については、「デバイスをサイトに追加する」を参照してください。
SP 向けのトラフィック用に対してこのポリシーを SP プロファイルで設定する場合は、SP プロファイルが設定されていることを確認してください。アプリケーションポリシーの作成後に SP プロファイルに戻り、SLA 属性をカスタマイズして SP プロファイルを WAN インターフェイスに割り当てます。詳細については、サービス プロバイダ プロファイルの設定を参照してください。
| ステップ 1 |
Cisco DNA Center GUI で [Menu] アイコン( |
||
| ステップ 2 |
[Add Policy] をクリックします。 |
||
| ステップ 3 |
[アプリケーション ポリシー名(Application Policy Name)] フィールドに、ポリシーの名前を入力します。 |
||
| ステップ 4 |
[有線(Wired)] または [ワイヤレス(Wireless)] ラジオ ボタンのいずれかを選択します。 |
||
| ステップ 5 |
ワイヤレスネットワークの場合は、[SSID] ドロップダウンリストからプロビジョニングされた SSID を選択します。 |
||
| ステップ 6 |
[サイトの範囲(Site Scope)] をクリックし、展開するポリシーの横にあるチェック ボックスをオンにします。
|
||
| ステップ 7 |
有線デバイスのポリシーでは、デバイスまたは特定のインターフェイスがポリシーで設定されないようにすることができます。
|
||
| ステップ 8 |
WAN デバイスでは、特定のインターフェイスを設定できます。
|
||
| ステップ 9 |
[サイトの範囲(Site Scope)] ペインで、[OK] をクリックします。 |
||
| ステップ 10 |
(任意) Cisco Validated Design(CVD)キューイング プロファイルがニーズを満たしていない場合は、カスタム キューイング プロファイルを作成することができます。
|
||
| ステップ 11 |
(任意) このポリシーが SP 向けトラフィックである場合は、SP プロファイルの SLA 属性をカスタマイズします。
|
||
| ステップ 12 |
(任意) ネットワークで使用されるアプリケーション セットのビジネスとの関連性を設定します。 Cisco DNA Center には、ビジネス関連性グループに事前設定されたアプリケーション セットが付属しています。あるビジネス関連性グループから別のグループにアプリケーション セットをドラッグ アンド ドロップして、この設定を維持したり、変更したりすることができます。 お気に入りとしてマークされたアプリケーションは、アプリケーションセットの上部に表示されます。お気に入りを変更するには、[Applications registry] に移動します。 |
||
| ステップ 13 |
(任意) コンシューマを作成してアプリケーションに割り当てるか、アプリケーションを双方向としてマークすることにより、アプリケーションをカスタマイズします。
|
||
| ステップ 14 |
ホスト トラッキングを設定します。[ホスト トラッキング(Host Tracking)] トグル ボタンをクリックして、ホスト トラッキングのオンとオフを切り替えます。 アプリケーションポリシーを展開する際に、Cisco DNA Center では、コラボレーション エンドポイント(テレプレゼンスユニットやシスコ電話など)が接続されているスイッチに、ACL のエントリを自動的に適用します。 ACE は、コラボレーション エンドポイントによって生成された音声およびビデオトラフィックを照合し、音声およびビデオトラフィックが正しくマークされるようにします。 ホストトラッキングがオンの場合、Cisco DNA Center はサイトの範囲内でコラボレーション エンドポイントの接続をトラッキングし、コラボレーション エンドポイントがネットワークに接続されるか、1 つのインターフェイスから別のインターフェイスに移動したときに、ACL エントリを自動的に再設定します。 ホストトラッキングが終了すると、Cisco DNA Center は、コラボレーション エンドポイントが新しいインターフェイスに移動または接続したときに、デバイスにポリシーを自動的に展開しません。代わりに、コラボレーション エンドポイントで正しく設定されるように、ACL のポリシーを再展開する必要があります。 |
||
| ステップ 15 |
(任意) デバイスに送信される CLI コマンドをプレビューします。詳細については、「アプリケーション ポリシーのプレビュー」を参照してください。 |
||
| ステップ 16 |
(任意) ポリシーを展開するデバイスを事前にチェックします。詳細については、「アプリケーション ポリシーの事前チェック」を参照してください。 |
||
| ステップ 17 |
次のいずれか 1 つのタスクを実行します。
|
作成および展開したアプリケーション ポリシーに関するさまざまな情報を表示できます。
少なくとも 1 つの展開されたアプリケーション ポリシーがなければなりません。
| ステップ 1 |
Cisco DNA Center GUI で [Menu] アイコン( |
| ステップ 2 |
ポリシーを名前で並べ替えたり、名前、ステータス、キューイング プロファイルによってフィルタ処理したりします。 |
| ステップ 3 |
ポリシーのリストと、それぞれに関する次の情報が表示されます。
|
アプリケーション ポリシーを編集できます。
少なくとも 1 つのポリシーを作成しておく必要があります。
| ステップ 1 |
Cisco DNA Center GUI で [Menu] アイコン( |
||
| ステップ 2 |
編集するポリシーを見つけるには、[フィルタ(Filter)] フィールドを使用します。 |
||
| ステップ 3 |
対応するポリシーの横にあるラジオ ボタンをクリックします。 |
||
| ステップ 4 |
[Actions] ドロップダウン リストから、[Edit] を選択します。 |
||
| ステップ 5 |
必要に応じて、アプリケーション ポリシーを変更します。 |
||
| ステップ 6 |
アプリケーションのビジネスとの関連性を変更するには、ビジネス関連、ビジネスと無関係、およびデフォルトグループの間でアプリケーションセットを移動します。 アプリケーションポリシーの設定については、アプリケーション ポリシーの作成を参照してください。 |
||
| ステップ 7 |
キューイングプロファイルを更新するには、[Queuing Profiles] をクリックし、左ペインのリストからキューイングプロファイルを選択します。 |
||
| ステップ 8 |
[Select] をクリックします。 |
||
| ステップ 9 |
次のいずれか 1 つのタスクを実行します。
|
ポリシーを作成、編集、または複製する際、ドラフトとして保存し、後で変更を続けることができます。また、展開したポリシーを変更して、ドラフトとして保存することもできます。
| ステップ 1 |
Cisco DNA Center GUI で [Menu] アイコン( |
| ステップ 2 |
ポリシーを作成、編集、または複製します。 |
| ステップ 3 |
[ドラフトの保存(Save Draft)] をクリックします。 詳細については、ポリシーのドラフトを参照してください。 |
新しいアプリケーションの追加や、アプリケーションをお気に入りとしてマークするなど、ポリシーの設定に影響する変更を加えた場合は、これらの変更を実装するポリシーを再展開する必要があります。
(注) |
IOS バージョン 16.x 以降を搭載した Cisco Catalyst 3850、Catalyst 3650、および Catalyst 9000 デバイスでは、ポリシーを展開する前に、自動 QoS 設定が自動的に削除されます。 カスタムアプリケーションの作成後、デバイスに関して CBAR が有効になっている場合、そのデバイスでカスタムアプリケーションが自動的に設定されます。デバイスにアプリケーションポリシーを展開する前に、最新のアプリケーションレジストリへの同期の完了を待つ必要があります。 で同期ステータスを確認することができます。 デバイスに関して CBAR が有効になっている場合は、カスタムアプリケーションが CBAR を介して設定されるため、アプリケーションポリシーの展開時には属性セットおよびマップだけがデバイスで設定されます。 |
| ステップ 1 |
Cisco DNA Center GUI で [Menu] アイコン( |
||
| ステップ 2 |
導入するポリシーを見つけるには、[フィルタ(Filter)] フィールドを使用します。 |
||
| ステップ 3 |
導入するポリシーの横のラジオ ボタンをクリックします。 |
||
| ステップ 4 |
[アクション(Actions)] ドロップダウンリストから、[導入(Deploy)] を選択します。 |
||
| ステップ 5 |
ポリシーを今すぐ導入するか、または後でスケジュールするかどうかを求められます。次のいずれかを実行します。
|
[導入(Deploy)] をクリックすると、Cisco DNA Center は、サイト範囲内のデバイスに関するポリシーの設定を開始します。間違いが見つかった場合は、ポリシーの展開をキャンセルできます。
ポリシー設定プロセスはバッチ処理として実行され、一度に 40 台のデバイスが設定されます。デバイスが 40 台以下の場合にポリシーの展開をキャンセルしても、デバイスの最初のバッチへの展開がすでに行われているため、デバイスが設定されている可能性があります。ただし、何百台ものデバイスがある場合は、必要に応じてポリシーの展開をキャンセルできます。
[中止(Abort)] をクリックすると、Cisco DNA Center によって設定がまだ開始されていないデバイスの設定プロセスがキャンセルされ、デバイスのステータスが [ポリシーの中止(Policy Aborted)] に変更されます。Cisco DNA Center では、完了している、または完了する予定の処理での導入はキャンセルされません。これらのデバイスでは、更新されたポリシー設定が維持され、ポリシー設定の状態(設定中、成功、または失敗)が反映されます。
ポリシー導入中に [中止(Abort)] をクリックしてポリシー設定プロセスをキャンセルします。
不要になったアプリケーション ポリシーを削除できます。
ポリシーを削除すると、クラスマップ、ポリシーマップ、およびポリシーマップとワイヤレス ポリシー プロファイルの関連付けが削除されます。
| ステップ 1 |
Cisco DNA Center GUI で [Menu] アイコン( |
| ステップ 2 |
削除するポリシーを見つけるには、[フィルタ(Filter)] フィールドを使用します。 |
| ステップ 3 |
削除するポリシーの横にあるラジオ ボタンを選択します。 |
| ステップ 4 |
[Actions] ドロップダウンリストから、[Undeploy Policy] を選択します。 |
| ステップ 5 |
[Undeploy Policy] ウィンドウで、[Delete policy from devices] オプションボタンをクリックし、[Apply] をクリックします。 |
| ステップ 6 |
削除を確定する場合は、[OK] をクリックします。それ以外の場合は、[Cancel] をクリックします。 |
| ステップ 7 |
削除を確認するメッセージが表示されたら、[OK] を再度クリックします。 [Application Policies] ページで、ポリシーの削除ステータスを確認できます。ステータスに [deletion failed] と表示された場合は、次の手順を実行します。
|
既存のアプリケーション ポリシーに、新しいポリシーで必要な設定のほとんどが含まれている場合は、既存のポリシーの複製し、変更してから異なる範囲に展開することで時間を節約できます。
少なくとも 1 つのポリシーを作成しておく必要があります。
| ステップ 1 |
Cisco DNA Center GUI で [Menu] アイコン( |
||
| ステップ 2 |
複製するポリシーを見つけるには、[フィルタ(Filter)] フィールドを使用します。 |
||
| ステップ 3 |
複製するポリシーの横にあるラジオ ボタンを選択します。 |
||
| ステップ 4 |
[アクション(Actions)] ドロップダウンリストから、[複製(Clone)] を選択します。 |
||
| ステップ 5 |
必要に応じてアプリケーション ポリシーを設定します。アプリケーション ポリシーの設定については、アプリケーション ポリシーの作成を参照してください。 |
||
| ステップ 6 |
次のいずれか 1 つのタスクを実行します。
|
ポリシーを作成または変更してから、最初からやり直すことを決定した場合、Cisco DNA Center を使ってこれを設定する前に、デバイスにあった元の QoS 設定を復元することができます。
| ステップ 1 |
Cisco DNA Center GUI で [Menu] アイコン( |
| ステップ 2 |
リセットするポリシーを見つけるには、[フィルタ(Filter)] フィールドを使用します。 |
| ステップ 3 |
ポリシーの横にあるラジオ ボタンをクリックします。 |
| ステップ 4 |
[Actions] ドロップダウンリストから、[Undeploy Policy] を選択します。 |
| ステップ 5 |
[Undeploy Policy] ウィンドウで、[Restore devices to original configurations] オプションボタンをクリックし、[Apply] をクリックします。 |
| ステップ 6 |
[OK] をクリックして変更を確定するか、[Cancel] をクリックして変更をキャンセルします。 [Application Policies] ページで、ポリシーの復元ステータスを確認できます。ステータスに [restoration failed] と表示された場合は、次の手順を実行します。
|
CVD 設定は、アプリケーションのデフォルト設定です。ポリシーの作成または変更を行った後で最初からやり直す必要が生じた場合は、アプリケーションを CVD 設定にリセットすることができます。CVD 設定の詳細については、アプリケーション ポリシーを参照してください。
| ステップ 1 |
Cisco DNA Center GUI で [Menu] アイコン( |
| ステップ 2 |
リセットするポリシーを見つけるには、[フィルタ(Filter)] フィールドを使用します。 |
| ステップ 3 |
ポリシーの横にあるラジオ ボタンをクリックします。 |
| ステップ 4 |
[Actions] ドロップダウン リストから、[Edit] を選択します。 |
| ステップ 5 |
[シスコ検証済みデザインのリセット(Reset to Cisco Validated Design)] をクリックします。 |
| ステップ 6 |
[OK] をクリックして変更を確定するか、[Cancel] をクリックして変更をキャンセルします。 |
| ステップ 7 |
次のいずれか 1 つのタスクを実行します。
|
ポリシーを展開する前に、デバイスに適用する CLI を生成して設定をプレビューできます。
| ステップ 1 |
Cisco DNA Center GUI で [Menu] アイコン( |
| ステップ 2 |
アプリケーション ポリシーの作成またはアプリケーション ポリシーの編集の説明に従って、ポリシーを作成または編集します。 |
| ステップ 3 |
ポリシーを展開する前に、[プレビュー(Preview)] をクリックします。 範囲内のデバイスのリストが表示されます。 |
| ステップ 4 |
対象のデバイスの横にある [生成(Generate)] をクリックします。 Cisco DNA Center により、ポリシーの CLI が生成されます。 |
| ステップ 5 |
[表示(View)] をクリックして CLI を表示するか、CLI をクリップボードにコピーします。 |
アプリケーション ポリシーを展開する前に、サイト範囲内のデバイスがサポート対象であるかどうかをチェックできます。事前チェック プロセスには、デバイスのモデル、ライン カード、およびソフトウェア イメージの検証が含まれます。
| ステップ 1 |
Cisco DNA Center GUI で [Menu] アイコン( |
| ステップ 2 |
アプリケーション ポリシーの作成またはアプリケーション ポリシーの編集の説明に従って、ポリシーを作成または編集します。 |
| ステップ 3 |
[事前チェック(Pre-check)] をクリックします。 Cisco DNA Center は、デバイスをチェックして、問題があれば [事前チェック結果(Pre-Check Result)] 列に内容を報告します。[Errors] タブには、このポリシーをサポートしていないデバイスが表示されます。[Warnings] タブには、デバイスにこのポリシーを展開することを選択した場合に、サポートされていない制限や機能が表示されます。[Warnings] タブに一覧表示されているデバイスのポリシーを展開することもできます。問題を解決するには、Cisco DNA Center のサポート対象デバイスに記載されている仕様にデバイスを準拠させます。 |
アプリケーション ポリシーのバージョン履歴を表示できます。バージョン履歴には、ポリシーのシリーズ番号(反復)と、バージョンが保存された日付と時刻が含まれています。
| ステップ 1 |
Cisco DNA Center GUI で [Menu] アイコン( |
| ステップ 2 |
表示したいポリシーの横にあるラジオ ボタンをクリックします。 |
| ステップ 3 |
[アクション(Actions)] ドロップダウン リストから、[履歴(History)] を選択します。 |
| ステップ 4 |
[ポリシー履歴(Policy History)] ダイアログボックスでは、次のことを実行できます。
|
ポリシー設定を変更し、その後その設定が不適切だと判明した場合、またはネットワークで目的の効果が得られなかった場合、最大で 5 バージョン前のポリシーに戻すことができます。
以前のポリシーバージョンにロールバックするには、少なくとも 2 つのポリシーバージョンを作成しておく必要があります。
| ステップ 1 |
Cisco DNA Center GUI で [Menu] アイコン( |
||
| ステップ 2 |
表示したいポリシーの横にあるラジオ ボタンをクリックします。 |
||
| ステップ 3 |
[アクション(Actions)] ドロップダウンリストから、[履歴の表示(Show History)] を選択します。 選択したポリシーの以前のバージョンは降順に表示され、最も新しいバージョン(最も大きい番号)が一覧の最上部に表示され、最も古いバージョン(最も小さい番号)が最下部に表示されます。 |
||
| ステップ 4 |
(任意) 選択したバージョンと最新バージョンの間の差異を表示するには、[View] 列で [Difference] をクリックします。 |
||
| ステップ 5 |
ロールバックする先のポリシー バージョンを決定した場合、そのポリシー バージョンに対して [Rollback] をクリックします。
|
||
| ステップ 6 |
[OK] をクリックして、ロールバック手順を確定します。 ロールバック先のバージョンが最新バージョンになります。 |
次のセクションでは、キューイング プロファイルを管理するために実行できるさまざまなタスクについて詳しく説明します。
| ステップ 1 |
Cisco DNA Center GUI で [Menu] アイコン( |
| ステップ 2 |
[Add Profile] をクリックします。 |
| ステップ 3 |
[Profile Name] フィールドに、プロファイルの名前を入力します。 |
| ステップ 4 |
スライダを使用して各トラフィック クラスに帯域幅を設定します。プラス記号(+)またはマイナス(-)記号をクリックするか、フィールドに特定の数値を入力します。 数値は、選択したアプリケーション クラスに確保されるインターフェイス帯域幅の合計に対しての割合を示します。帯域幅の合計は 100 なので、1 つのアプリケーション クラスに帯域幅を追加すると、別のアプリケーション クラスから帯域幅が差し引かれます。 開いた錠のアイコンは、そのアプリケーション クラスの帯域幅を編集できることを示します。閉じた錠のアイコンは、編集できないことを示します。 間違えた場合は、[シスコ検証済みデザインのリセット(Reset to Cisco Validated Design)] をクリックして CVD 設定に戻ることができます。 中央のグラフは、各アプリケーション クラスを設定している帯域幅の量の視覚化に役立ちます。 |
| ステップ 5 |
(高度なユーザー向け)Cisco DNA Center が各トラフィック クラスで使用する DSCP コード ポイントをカスタマイズするには、[表示(Show)] ドロップダウン リストで、[DSCP値(DSCP Values)] を選択し、フィールドに特定の数値を入力して、各アプリケーション クラスの値を設定します。 SP のクラウド内で必要な DSCP コード ポイントをカスタマイズするには、SP のプロファイルを設定します。 |
| ステップ 6 |
[Save] をクリックします。 |
| ステップ 1 |
Cisco DNA Center GUI で [Menu] アイコン( |
| ステップ 2 |
[キューイング プロファイル(Queuing Profile)] ペインで、編集または削除するキューイング プロファイルの横にあるラジオ ボタンをクリックします。 |
| ステップ 3 |
次のいずれか 1 つのタスクを実行します。
|
次のセクションでは、WAN インターフェイスのアプリケーション プロファイルを管理するために実行できるさまざまなタスクについて詳しく説明します。
自身のクラス モデルによって SP プロファイルに割り当てられたデフォルトの SLA 属性を使用しない場合は、要件に合わせて SP プロファイルの SLA 属性をカスタマイズすることができます。SP プロファイルのデフォルトの SLA 属性の詳細については、サービス プロバイダのプロファイルを参照してください。
インベントリにデバイスがあることを確認します。デバイスがない場合は、ディスカバリ機能を使用して検出します。
| ステップ 1 |
Cisco DNA Center GUI で [Menu] アイコン( |
| ステップ 2 |
変更するポリシーを見つけるには、[フィルタ(Filter)] フィールドを使用します。 |
| ステップ 3 |
ポリシーの横にあるラジオ ボタンを選択します。 |
| ステップ 4 |
[Actions] ドロップダウン リストから、[Edit] を選択します。 |
| ステップ 5 |
[SPプロファイル(SP Profiles)] をクリックし、SP プロファイルを選択します。 |
| ステップ 6 |
次のフィールドの情報を変更できます。
|
| ステップ 7 |
[OK] をクリックします。 |
アプリケーション ポリシーがすでに作成済みで、SP プロファイルを WAN インターフェイスに割り当てる場合は、ポリシーを編集してこの設定を実行し、必要に応じてインターフェイスに Subline Rate の設定を含めます。
ポリシーを作成していない場合は、ポリシーを作成し、同時に SP プロファイルを WAN インターフェイスに割り当てることができます。詳細については、「アプリケーション ポリシーの作成」を参照してください。
| ステップ 1 |
Cisco DNA Center GUI で [Menu] アイコン( |
||
| ステップ 2 |
編集するポリシーを見つけるには、[フィルタ(Filter)] フィールドを使用します。 |
||
| ステップ 3 |
ポリシーの横にあるラジオ ボタンをクリックします。 |
||
| ステップ 4 |
[Actions] ドロップダウン リストから、[Edit] を選択します。 |
||
| ステップ 5 |
[Site Scope] ペインで、対象のサイトの横にある歯車アイコンをクリックします。 |
||
| ステップ 6 |
対象のデバイスの [SPプロファイル設定(SP Profile Settings)] 列にある [設定(Configure)] をクリックします。 |
||
| ステップ 7 |
[WAN インターフェイス(WAN Interface)] 列で、[インターフェイスの選択(Select Interface)] ドロップダウン リストからインターフェイスを選択します。 |
||
| ステップ 8 |
[ロール(Role)] 列で[ロールの選択(Select Role)] ドロップダウン リストから設定するインターフェイスのタイプに従ってロールを選択します。
|
||
| ステップ 9 |
[サービス プロバイダー プロファイル(Service Provider Profile)] 列で、[プロファイルの選択(Select Profile)] ドロップダウン フィールドをクリックし、SP プロファイルを選択します。 |
||
| ステップ 10 |
必要に応じて、[サブ回線のレート(Mbps)(Sub-Line Rate(Mbps))] 列で、インターフェイスに必要なアップストリーム帯域幅を入力します。 |
||
| ステップ 11 |
追加の WAN インターフェイスを設定するには [+] をクリックし、ステップ 7 ~ 10 を繰り返します。 |
||
| ステップ 12 |
[Save] をクリックします。 |
||
| ステップ 13 |
[< サイト範囲へ戻る(< Back to Site Scope)] をクリックします。 |
||
| ステップ 14 |
[OK] をクリックします。 |
||
| ステップ 15 |
[Deploy] をクリックします。 ポリシーを今すぐ導入するか、または後でスケジュールするかどうかを求められます。 |
||
| ステップ 16 |
次のいずれかを実行します。
|
Cisco DNA Center を使用して、2 つのエンティティ間の IP トラフィック フローがモニターリングまたはトラブルシューティングのために指定された宛先にコピーされるように Encapsulated Remote Switched Port Analyzer(ERSPAN)を設定できます。
Cisco DNA Center を使用して ERSPAN を設定するには、コピーするトラフィック フローの送信元と宛先を定義するトラフィック コピー ポリシーを作成します。トラフィックのコピーを送信するデバイスおよびインターフェイスを指定するトラフィック コピー契約も定義できます。
(注) |
トラフィック コピー ポリシーにはスケーラブル グループまたは IP ネットワーク グループのいずれかを含めることができるため、このガイド全体を通して、グループという用語を使用する場合は他に指定がなければスケーラブル グループおよび IP ネットワーク グループの両方を指します。 |
Cisco DNA Center トラフィックのモニターリングプロセスを簡素化します。物理ネットワーク トポロジを知っている必要はありません。必要なのは、トラフィック フローの送信元および宛先とコピーされたトラフィックの宛先となるトラフィック コピーの宛先を定義することだけです。
[送信元(Source)]:モニターするトラフィックが通過する 1 つまたは複数のネットワーク デバイス インターフェイス。このインターフェイスは、エンドポイント デバイス、これらのデバイスの特定ユーザー、またはアプリケーションに接続することがあります。送信元グループを構成できるのは、イーサネット、ファスト イーサネット、ギガビット イーサネット、10 ギガビット イーサネット、またはポート チャネル インターフェイスのみです。
[宛先(Destination)]:モニターするトラフィックが流れる IP サブネットです。IP サブネットはサーバー、リモート ピア、またはアプリケーションに接続することがあります。
[トラフィックコピーの宛先(Traffic Copy Destination)]:ERSPAN データを受信、処理、および分析するデバイス上にあるレイヤ 2 またはレイヤ 3 の LAN インターフェイス。このデバイスは、通常、分析用にトラフィックのコピーを受信するパケット キャプチャ ツールまたはネットワーク分析ツールになります。
(注) |
宛先では、スイッチ プローブ デバイスなどのネットワーク アナライザやその他のリモート モニターリング(RMON)プローブを使用してトラフィック分析を実行することを推奨します。 |
使用可能なインターフェイス タイプは、イーサネット、ファスト イーサネット、ギガビット イーサネット、または 10 ギガビット イーサネットのみです。宛先として設定されると、そのインターフェイスはコピーされたトラフィックのみを受信するために使用されます。このインターフェイスは今後その他のタイプのトラフィックを受信できなくなり、トラフィック コピー機能が必要とする以外のトラフィックを転送できません。トランク インターフェイスを宛先として設定できます。この設定により、インターフェイスはカプセル化されたトラフィックを送信できるようになります。
(注) |
1 つのトラフィック コピー契約で使用できるトラフィック コピーの宛先は 1 つのみです。 |
トラフィック コピー ポリシー機能には次の制約事項があります。
最大 8 つのトラフィック コピー ポリシー、16 のコピー契約、および 16 のコピーの宛先を作成できます。
同じインターフェイスを複数のトラフィック コピーの宛先に使用することはできません。
Cisco DNA Center は、トラフィック コピー ポリシーが変更され、ネットワークに展開されているポリシーとの整合性が失われていることを示すステータス メッセージを表示しません。ただし、トラフィック コピー ポリシーが展開された後に変更されたことが分かった場合は、そのポリシーを展開しなおすことができます。
管理インターフェイスを送信元グループまたはトラフィック コピーの宛先として設定することはできません。
モニター対象にする、トラフィック コピー ポリシーで使用されている送信元スケーラブル グループが、スイッチとそれらのインターフェイスに静的にマッピングされている必要があります。
トラフィック コピー ポリシー宛先グループは、IP ネットワーク グループとして設定されている必要があります。詳細については、「IP ネットワーク グループの作成」を参照してください。
| ステップ 1 |
トラフィック コピーの宛先を作成します。 これは、さらに分析するためにトラフィック フローがコピーされる、デバイス上のインターフェイスです。詳細については、トラフィック コピーの宛先の作成を参照してください。 |
| ステップ 2 |
トラフィック コピーの契約を作成します。 契約はコピーの宛先を定義します。詳細については、トラフィック コピー契約の作成を参照してください。 |
| ステップ 3 |
トラフィック コピー ポリシーを作成します。 ポリシーは、トラフィック フローの送信元と宛先、およびコピーされたトラフィックが送信される宛先を指定するトラフィック コピーの契約を定義します。詳細については、トラフィック コピー ポリシーの作成を参照してください。 |
| ステップ 1 |
Cisco DNA Center GUI で [Menu] アイコン( |
| ステップ 2 |
トラフィック コピーの宛先の名前と説明を入力します。 |
| ステップ 3 |
デバイスと 1 つまたは複数のポートを選択します。 |
| ステップ 4 |
[Save] をクリックします。 |
| ステップ 1 |
Cisco DNA Center GUI で [Menu] アイコン( |
| ステップ 2 |
編集または削除する宛先の横にあるチェックボックスをオンにします。 |
| ステップ 3 |
次のいずれかを実行します。
|
| ステップ 1 |
Cisco DNA Center GUI で [Menu] アイコン( |
||
| ステップ 2 |
[Add]をクリックします。 |
||
| ステップ 3 |
ダイアログボックスに、契約の名前と説明を入力します。 |
||
| ステップ 4 |
[コピー先(Copy Destination)] ドロップダウン リストから、コピー先を選択します。
選択可能なコピー先がない場合は、1 つ作成できます。詳細については、トラフィック コピーの宛先の作成を参照してください。 |
||
| ステップ 5 |
[Save] をクリックします。 |
| ステップ 1 |
Cisco DNA Center GUI で [Menu] アイコン( |
| ステップ 2 |
編集または削除する契約の横にあるチェックボックスをオンにします。 |
| ステップ 3 |
次のいずれかを実行します。
|
| ステップ 1 |
[Policy] > [Traffic Copy] > [Traffic Copy Policies] の順に選択します。Cisco DNA Center GUI で [Menu] アイコン( |
| ステップ 2 |
[Add Policy] をクリックします。 |
| ステップ 3 |
[ポリシー名(Policy Name)] フィールドに名前を入力します。 |
| ステップ 4 |
[説明(Description)] フィールドにポリシーを表す単語またはフレーズを入力します。 |
| ステップ 5 |
[契約(Contract)] フィールドで、[契約の追加(Add Contract)] をクリックします。 |
| ステップ 6 |
使用する契約の隣にあるラジオ ボタンをクリックし、次に [保存(Save)] をクリックします。 |
| ステップ 7 |
[使用可能なグループ(Available Groups)] エリアから、[送信元(Source)]エリアにグループをドラッグ アンド ドロップします。 |
| ステップ 8 |
[使用可能なグループ(Available Groups)] エリアから、[宛先(Destination)] エリアにグループをドラッグ アンド ドロップします。 |
| ステップ 9 |
[Save] をクリックします。 |
| ステップ 1 |
[Policy] > [Traffic Copy] > [Traffic Copy Policies] の順に選択します。Cisco DNA Center GUI で [Menu] アイコン( |
| ステップ 2 |
編集または削除したいポリシーの横のチェック ボックスをオンにします。 |
| ステップ 3 |
次のいずれかを実行します。
|
をクリックします。
フィードバック