ネットワークデバイスのコンプライアンス監査

コンプライアンスの概要

コンプライアンスは、元のコンテンツに影響を与えることなく注入または再設定される可能性があるネットワークのインテント逸脱やアウトオブバンドの変更を特定するのに役立ちます。

ネットワーク管理者は、Cisco DNA Center でソフトウェアイメージ、PSIRT、ネットワークプロファイルなどコンプライアンスのさまざまな側面のコンプライアンス要件を満たさないデバイスを簡単に特定できます。

コンプライアンスチェックは、自動化することも、オンデマンドで実行することもできます。

  • 自動コンプライアンスチェック:Cisco DNA Center でデバイスから収集された最新のデータを使用します。このコンプライアンスチェックは、インベントリや SWIM などさまざまなサービスからのトラップと通知をリッスンして、データを評価します。

  • 手動コンプライアンスチェック:Cisco DNA Center でユーザーが手動でコンプライアンスをトリガーできます。

  • スケジュールされたコンプライアンスチェック:スケジュールされたコンプライアンスジョブは毎日午後 11:00 に実行され、過去 7 日間コンプライアンスチェックが実行されなかったデバイスのコンプライアンスチェックをトリガーします。

コンプライアンスのタイプ

コンプライアンスタイプ コンプライアンスチェック コンプライアンスステータス

スタートアップ設定と実行中の設定

このコンプライアンスチェックは、デバイスのスタートアップ設定と実行中の設定が同期しているかどうかを識別するために役立ちます。デバイスのスタートアップ設定と実行中の設定が同期していない場合は、コンプライアンスがトリガーされ、アウトオブバンド変更の詳細レポートが表示されます。スタートアップ設定と実行中の設定の比較に関するコンプライアンスは、アウトオブバンド変更の 5 分以内にトリガーされます。

  • [Noncompliant]:スタートアップ設定と実行中の設定は同じではありません。詳細ビューには、スタートアップと実行中との違いか、または実行中と以前の実行中との違いが表示されます。

  • [Compliant]:スタートアップ設定と実行中の設定は同じです。

  • [NA (Not Applicable)]:このコンプライアンスタイプのデバイス(AireOS など)はサポートされていません。

ソフトウェア イメージ

このコンプライアンスチェックは、Cisco DNA Center のタグ付きのゴールデンイメージがデバイスで実行されているかどうかをネットワーク管理者が確認するために役立ちます。これにより、デバイスのゴールデンイメージと実行中のイメージとの違いがわかります。ソフトウェアイメージに変更があると、遅延なくすぐにコンプライアンスチェックがトリガーされます。

  • [Noncompliant]:デバイスは、デバイスファミリのタグ付きのゴールデンイメージを実行していません。

  • [Compliant]:デバイスは、デバイスファミリのタグ付きのゴールデンイメージを実行しています。

  • [NA (Not Applicable)]:選択したデバイスファミリではゴールデンイメージを使用できません。

重大なセキュリティ(PSIRT)

このコンプライアンスチェックでは、ネットワークデバイスが重大なセキュリティの脆弱性なしで実行されているかどうかを確認できます。

  • [Noncompliant]:デバイスに重要なアドバイザリがあります。詳細レポートには、その他のさまざまな情報が表示されます。

  • [Compliant]:デバイスに重大な脆弱性はありません。

  • [NA (Not Applicable)]:Cisco DNA Center でネットワーク管理者がセキュリティ アドバイザリ スキャンを実行していないか、デバイスがサポートされていません。

ネットワークプロファイル

Cisco DNA Center では、ネットワークプロファイルでインテント設定を定義して、そのインテントをデバイスにプッシュできます。アウトオブバンド変更またはその他の変更のために任意の時点で違反が検出された場合、このチェックにより、それが識別されて、評価され、フラグが立てられます。違反は、コンプライアンス サマリー ウィンドウの [Network Profiles] でユーザーに対して表示されます。

(注)  

 
ネットワーク プロファイル コンプライアンスは、ルータおよびワイヤレスコントローラに適用されます。

  • [Noncompliant]:デバイスでプロファイルのインテント設定が実行されていません。

  • [Compliant]:ネットワークプロファイルがデバイスに適用されており、同時に、Cisco DNA Center にプッシュされたデバイス設定がデバイスでアクティブに実行されています。

  • [Error]:根本的なエラーのため、コンプライアンスがステータスを計算できませんでした。詳細については、エラーログを参照してください。

ファブリック(SDA)

この機能はベータ版です。

ファブリック コンプライアンスは、ファブリックインテント違反(ファブリック関連の設定のアウトオブバンド変更など)の識別に役立ちます。

  • [Noncompliant]:デバイスでインテント設定が実行されていません。

  • [Compliant]:デバイスでインテント設定が実行されています。

アプリケーションの可視性

Cisco DNA Center では、アプリケーション可視性インテントを作成して、CBAR および NBAR を介してデバイスにプロビジョニングできます。デバイスにインテント違反がある場合、このチェックにより、違反が識別されて、評価され、[Application Visibility] ウィンドウに準拠または非準拠として表示されます。自動コンプライアンスチェックは、5 時間ごとに実行されるようにスケジュールされます。

  • [Noncompliant]:デバイスで CBAR/NBAR 設定が実行されていません。

  • [Compliant]:デバイスで CBAR/NBAR のインテント設定が実行されています。

モデル設定

このコンプライアンスチェックにより、ネットワーク管理者は、モデル設定の設計意図との不一致をチェックできます。違反は、[Compliance Summary] ウィンドウの [Network Profiles] に表示されます。

  • [Noncompliant]:モデル設定の属性の実際の値と意図された値が一致しません。

  • [Compliant]:モデル設計の属性が意図した値に一致します。

CLIテンプレート

Cisco DNA Center ではネットワーク管理者は、CLI テンプレートをデバイスの実行コンフィギュレーションと比較できます。コンフィギュレーションの不一致にはフラグが立てられます。違反は、[Compliance Summary] ウィンドウの [Network Profiles] に表示されます。

(注)  

 

CLI テンプレート コンプライアンスにはいくつかの制限があります。「CLI テンプレート コンプライアンスの制限事項」を参照してください。

  • [Noncompliant]:CLI テンプレートとデバイスの実行コンフィギュレーションが一致しません。

  • [Compliant]:CLI テンプレートとデバイスの実行コンフィギュレーションの間に不一致はありません。

コンプライアンスサマリーの表示

インベントリページには、デバイスごとにコンプライアンスの集約ステータスが表示されます。

手順

ステップ 1

メニューアイコン()をクリックして、[Provision] > [Inventory] の順に選択します。

コンプライアンス列には、デバイスごとに集約コンプライアンスステータスが表示されます。

ステップ 2

コンプライアンスステータスをクリックすると、コンプライアンス サマリー ウィンドウが開きます。このウィンドウには、選択したデバイスに適用可能な次のコンプライアンスチェックが表示されます。

  • スタートアップ設定と実行中の設定

  • ソフトウェア イメージ

  • 重大なセキュリティの脆弱性

  • ネットワークプロファイル

  • ネットワーク設定

  • ファブリック

  • アプリケーションの可視性

  • EoX - サポート終了

(注)  

 
[Network Settings、][Network Profile]、[Fabric]、および [Application Visibility] はオプションであり、デバイスが必要なデータでプロビジョニングされている場合にのみ表示されます。

手動コンプライアンスの実行

Cisco DNA Center では、コンプライアンスチェックを手動でトリガーできます。

手順

ステップ 1

メニューアイコン()をクリックして、[Provision] > [Inventory] の順に選択します。

ステップ 2

一括してコンプライアンスチェックを行う場合は、次の手順を実行します。

  1. 該当するすべてのデバイスを選択します。

  2. [Actions] ドロップダウンリストから、[Compliance] > [Run Compliance] の順に選択します。

ステップ 3

デバイスごとにコンプライアンスチェックを行う場合は、次の手順を実行します。

  1. コンプライアンスチェックを実行するデバイスを選択します。

  2. [Actions] ドロップダウンリストから、[Compliance] > [Run Compliance] の順に選択します。

  3. あるいは、[Compliance] 列(使用可能な場合)をクリックし、[Run Compliance] をクリックします。

ステップ 4

デバイスの最新のコンプライアンスステータスを表示するには、次の手順を実行します。

  1. デバイスとインベントリを選択します。デバイス情報の再同期を参照してください。

  2. [Actions] ドロップダウンリストから、[Compliance] > [Run Compliance] の順に選択します。

(注)  

 

  • 到達不能のデバイスやサポートされていないデバイスに対してコンプライアンスの実行をトリガーすることはできません。

  • デバイスに対してコンプライアンスを手動で実行しない場合、コンプライアンスチェックはコンプライアンスのタイプに応じて一定期間後に実行されるように自動的にスケジュールされます。

  • CLI テンプレート コンプライアンスは、実現されたテンプレートをデバイスの実行コンフィギュレーションと比較します。実行コンフィギュレーションは、デバイスで使用可能な最新のアーカイブから取得されます。

    イベントベースのアーカイブは、トラップを受信してから更新されるまでに少なくとも 5 分かかります。正確な結果を得るには、設定の変更後にコンプライアンスを手動で実行する前に、少なくとも 5 分間待つことをお勧めします。

ネットワークデバイスのコンプライアンス監査レポートの生成

Cisco DNA Center では、個々のネットワークデバイスのコンプライアンスステータスを示す統合されたコンプライアンス監査レポートを取得できます。このレポートを使用すると、ネットワークを完全に可視化できます。

詳細については、『Cisco DNA Center プラットフォーム ユーザガイド』の「Run a Compliance Report」[英語] を参照してください。

コンプライアンス違反の確認

Cisco DNA Centerでは、デバイスに関する重要度の低いコンプライアンス違反を認識し、コンプライアンスステータスの計算から違反をオプトアウトできます。必要に応じて、コンプライアンスステータスの計算に違反をオプトインすることもできます。

手順

ステップ 1

[Provision]メニューアイコン()をクリックして、 > [Inventory] の順に選択します。

ステップ 2

デバイス名をクリックするとダイアログボックスが開き、そのデバイスの高度な情報が表示されます。ダイアログボックスの [View Device Details] リンクをクリックします。

[Device Details] ウィンドウが表示されます。

ステップ 3

左側のペインで、[Compliance] [Summary] を選択します。

ステップ 4

[Compliance Summary] ウィンドウで、違反を確認するコンプライアンスタイルをクリックします。

表の [Open Violations] および [Acknowledged Violations] に、次の情報が表示されます。

  • モデル名

  • 属性

  • ステータス:この列には、次のいずれかのステータスが表示されます。

    • Added:デバイスに属性が追加されます。

    • Changed:インテント値とデバイス値が一致しません。

    • Removed:デバイスからインテントが削除されます。

  • Intended Value:Cisco DNA Centerによって構成されたインテント値を示します。

  • Actual Value:現在デバイスに構成されている値を表示します。

  • Action:未解決の違反には [Acknowledge] リンクを表示し、確認済みの違反には [Move to Open Violations] リンクを表示します。

コンプライアンスステータスの計算から違反をオプトアウトするには、次の手順を実行します。

  1. [Open Violations] タブをクリックします。

  2. 違反を選択し、[Actions] 列で [Acknowledge] をクリックします。

  3. 違反を一括で確認するには、表の上部にあるチェックボックスをオンにするか、複数の違反を選択して [Acknowledge] をクリックします。

  4. 確認ウィンドウで、[Confirm] をクリックします。

    違反は、[Acknowledged Violations] タブに移動します。

コンプライアンスステータスの計算に違反をオプトインするには、次の手順を実行します。

  1. [Acknowledged Violations] タブをクリックします。

  2. 違反を選択し、[Actions] 列で [Move to Open Violations] をクリックします。

  3. 違反をまとめて移動するには、表の上部にあるチェックボックスをオンにするか、複数の違反を選択して [Move to Open Violations] をクリックします。

  4. 確認ウィンドウで、[Confirm] をクリックします。

    違反は [Open Violations] タブに移動します。

ステップ 5

コンプライアンスステータスの計算からオプトアウトした属性のリストを表示するには、[Compliance Summary] ウィンドウで [View Preference for Acknowledged Violations] リンクをクリックします。

ステップ 6

コンプライアンスステータスの計算に属性をオプトインするには、[Acknowledge Violation Preferences] スライドインペインで、次の手順を実行します。

  1. 属性を選択し、[Actions] 列で [Unlist] をクリックします。

  2. 一括で選択するには、表の上部にあるチェックボックスをオンにするか、複数の違反を選択して [Unlist] をクリックします。

[Models] タブに、モデル構成、ルーティング、ワイヤレス、アプリケーションの可視性、またはファブリックについて確認された属性が表示されます。確認済みのテンプレートは、[Templates] タブに表示されます。

(注)  

 

  • [Acknowledge Violation Preferences] ウィンドウで、空の(-)属性を持つモデルは、子属性を含むモデル全体が確認されていることを意味します。

  • [Added] または [Removed] のステータスを持つ違反が確認されると、Cisco DNA Centerはそれと類似する属性とその子属性を自動的に認識します。

  • [Added] または [Removed] のステータスを持つ類似した違反がオーバーライドしている場合、認識された子属性は [Open Violations] に移動できません。

デバイスのスタートアップ設定と実行中の設定の同期

デバイスのスタートアップ コンフィギュレーションと実行コンフィギュレーションに不一致がある場合、修復同期を実行して設定を一致させることができます。

手順

ステップ 1

メニューアイコン()をクリックして、[Provision] > [Inventory] の順に選択します。

ステップ 2

一括修復の場合は、次の手順を実行します。

  1. 該当するすべてのデバイスを選択します。

  2. [Actions] ドロップダウンリストから、[Compliance] > [Write Running Config to Startup Config] の順に選択します。

デバイスごとの修復の場合は、次の手順を実行します。

  1. 修復同期を実行するデバイスを選択します。

  2. [Actions] ドロップダウンリストから、[Compliance] > [Write Running Config to Startup Config] の順に選択します。

    または、[Compliance] 列のリンクをクリックし、[Compliance Summary] > [Startup vs Running Configuration] > [Sync Device Config] の順に選択します。

ステップ 3

デバイスの修復ステータスを表示するには、次の手順を実行します。

  1. メニューアイコン()をクリックして、[Provision] > [Inventory] の順に選択します。

  2. [Actions] ドロップダウンリストから、[Compliance] > [Check Startup Config Write Status] の順に選択します。

コンプライアンス違反の修正

Cisco DNA Center では、デバイスのコンプライアンス違反の自動修正によって準拠ネットワークを維持できます。Cisco DNA Center のコンプライアンスチェックで特定されたデバイスのインテントからの逸脱は、この手順で修正されます。

手順

ステップ 1

メニューアイコン()をクリックして、[Provision] > [Inventory] の順に選択します。

ステップ 2

デバイス名をクリックするとダイアログボックスが開き、そのデバイスの高度な情報が表示されます。ダイアログボックスの [View Device Details] をクリックします。

[Device Details] ウィンドウが表示されます。

ステップ 3

左側のペインで、[Compliance] > [Summary] の順にクリックします。

[Compliance Summary] ウィンドウが表示されます。

ステップ 4

ウィンドウの上部で、[Fix All Configuration Compliance Issues] をクリックします。

[Fix Configuration Compliance Issues] slide-in paneが表示されます。

(注)  

 

コンプライアンス違反を修正するためのリンクは、サポートされているカテゴリに違反がある場合にのみ表示されます。それ以外の場合、リンクは表示されません。

ステップ 5

[Summary of Issues to be Fixed] エリアで、デバイスの違反を確認します。[Issues Identified] 列には、未解決の違反と認識済みの違反の合計数が表示されます。

[Schedule the Fix] エリアで、次の手順を実行します。

  1. 必要に応じて、[Task Name] フィールドのデフォルト名を変更します。

  2. 次のいずれかを実行します。

    1. [Now] をクリックしてすぐに違反を修正し、[Apply] をクリックします。

    2. 後で修正をスケジュールするには、[Later] をクリックして日時を定義し、[Apply] をクリックします。

    3. [Generate Preview] をクリックして修復のプレビューを生成し、[Apply] をクリックします。

[Compliance Summary] ウィンドウの上部に、[Activities] > [Work Items] プレビューリンクが表示されます。

ステップ 6

プレビューリンクをクリックし、修復を確認します。[Deploy] をクリックし、選択したデバイスの違反を修正します。

(注)  

 

  • ルーティング、ワイヤレスコントローラの HA の修復、ソフトウェアイメージ、セキュリティアドバイザリ、およびワークフローに関連するコンプライアンスの問題は、この修正では解消されません。これらに関しては、それぞれのセクションのアクションに従って個別に対処します。

  • CLI テンプレートのコンプライアンスにはいくつかの制限があるため、一部の CLI テンプレートは非準拠のままになります。詳細については、CLI テンプレート コンプライアンスの制限事項を参照してください。

デバイスのアップグレード後のコンプライアンス動作

  • デバイスのアップグレードが正常に完了すると、該当するすべてのデバイス(システムでコンプライアンスが実行されたことがないデバイス)のコンプライアンスチェックがトリガーされます。

  • コンプライアンスは、[Startup vs Running] タイプを除き、インベントリに含まれるデバイスのステータスを計算して表示します。

  • アップグレード後、[Startup vs Running] タイルに [NA] が「Configuration data is not available」というテキストとともに表示されます。

  • アップグレードが正常に完了してから 1 日後に、1 回限りのスケジューラが実行され、デバイスで構成データを使用できるようになります。[Startup vs Running] タイルに、正しいステータス([Compliant]/[Non-Compliant])と詳細データが表示され始めます。

  • トラップを受信すると、設定アーカイブサービスが構成データを収集し、コンプライアンスチェックが再度実行されます。


(注)  

アップグレードセットアップでは、[Flex Profile] インターフェイスのコンプライアンスの不一致は無視してください。インターフェイス名の場合、[1] が [management] にマッピングされます。

CLI テンプレート コンプライアンスの制限事項

Cisco DNA Center では、CLI テンプレートをデバイスの実行コンフィギュレーションと比較して、意図との不一致を識別することができます。次のコンパレータエンジンの制限事項に注意してください。

  • CLI テンプレートコンパレータは、変数と値の大文字の使用をサポートしています。

  • コマンドキーワードに大文字を使用しないでください。

  • CLI テンプレートコンパレータは、エイリアスの使用をサポートしています。

  • 非準拠としてフラグが設定されている省略または短縮コマンドの使用は避けてください。

  • コマンドが欠落していて、それがセクションレベルにある場合、欠落しているコマンドに続くセクションレベルのコマンドにもフラグが付けられます。この問題を回避するには、インデントを使用します。

    たとえば、次の CLI テンプレートコンパレータ出力は、インデントのないコマンドを示しています。

    実現されたテンプレート 実行コンフィギュレーション 出力 
    #interface Vlan111
#description SVI interface kan-111
#ip address 111.2.3.4 255.255.255.0
#ip helper-address 7.7.7.8
#no mop enabled
#no mop sysid
#!
    		 
    #interface Vlan111
# description SVI interface kan-111
# ip address 111.2.3.4 255.255.255.0
# ip helper-address 7.7.7.7
# ip helper-address 7.7.7.8
# no mop enabled
# no mop sysid
#!
    次のコマンドが欠落としてマークされています。
    
 # ip helper-address 7.7.7.7
 # ip helper-address 7.7.7.8
 # no mop enabled
 # no mop sysid

    次の CLI テンプレートコンパレータ出力は、インデントを含むコマンドを示しています。

    実現されたテンプレート 実行コンフィギュレーション 出力 
    #interface Vlan111
# description SVI interface kan-111
# ip address 111.2.3.4 255.255.255.0
# ip helper-address 7.7.7.8
# no mop enabled
# no mop sysid
#!
    		 
    #interface Vlan111
# description SVI interface kan-111
# ip address 111.2.3.4 255.255.255.0
# ip helper-address 7.7.7.7
# ip helper-address 7.7.7.8
# no mop enabled
# no mop sysid
#!
    コンパレーターは、欠落しているコマンドのみにフラグを立てます。
    
 #ip helper-address 7.7.7.7

  • 対話型およびイネーブルモードのコマンドは、コンプライアンスのために比較されません。コマンドですべてのオプションと値を指定することにより、対話型コマンドの代替形式を使用できます。

    たとえば、テンプレートコードが以下のように #ENABLE#INTERACTIVE モードのコマンドを一緒に指定した場合、コマンドの比較は行われません。 

    #MODE_ENABLE
 #INTERACTIVE
    mkdir <IQ>Create directory<R>xyz
 #ENDS_INTERACTIVE
 #MODE_END_ENABLE
#end

  • コンパレータによってフラグが設定されているコマンドでは範囲を使用しないでください。範囲は拡張形式で使用する必要があります。

  • 同じテンプレート内のオーバーライドしているコマンドにフラグが付けられます。次の例に示すように、ignore-compliance シンタックスでコマンドを囲むことで、不一致を回避できます。

    実現されたテンプレート 実行コンフィギュレーション 出力 
    #no banner motd #Welcome to Cisco .:|:.#
#banner motd #Welcome to Cisco .:|:.#
    		 
    #banner motd ^CWelcome to Cisco .:|:.^C
    • 次のコマンドは、欠落としてフラグが付けられています。
      
 no banner motd #Welcome to Cisco .:|:.#
    • 実行中のコマンドはすでに前記のコマンドと比較されているため、次のコマンドも欠落としてマークされています。
      
 banner motd #Welcome to Cisco .:|:.#

    不一致を回避するには、次の操作を行います。

    実現されたテンプレート 実行コンフィギュレーション 出力 
    #! @start-ignore-compliance
 #no banner motd #Welcome to Cisco .:|:#
#! @end-ignore-compliance
#banner motd #Welcome to Cisco .:|:.#
    		 
    #banner motd ^CWelcome to Cisco .:|:.^C

    シンタックスで囲まれたコマンドは比較されないため、不一致はありません。

  • Cisco IOS XE の以降のリリースでは、一部のデフォルトコマンドは、show run コマンドではなく、show run all コマンドが発行された場合にのみ表示されます。したがって、これらのコマンドは実行コンフィギュレーションに表示されず、非準拠としてフラグが設定されます。

  • パスワードを含むコマンドは、デバイスに暗号化された形式で保存されるため、コンパレータによってフラグが設定されます。


(注)  
次の構文でコマンドを囲むことで、パスワードを含むコマンドと一部のデフォルトコマンドの不一致を回避できます。
! @start-ignore-compliance
! @end-ignore-compliance

次に、変更が表示されるようにテンプレートを再プロビジョニングします。

CLI テンプレートとデバイスの実行コンフィギュレーションとの不一致を避けるために、実行コンフィギュレーションと同様のコマンドを使用することをお勧めします。