サポートされているブラウザを使用してください。サポートされているブラウザの最新リストについては、『Release Notes for Cisco DNA Center on AWS, Release 1.3.x』[英語] を参照してください。

次の形式でブラウザに Cisco DNA Center インスタンスの IP アドレスを入力します。

http://ip-address/dna/home

次に例を示します。

http://192.0.2.27/dna/home

初回ログイン時に次のログイン情報を使用してください。

ユーザ名：admin

パスワード：maglev1@3

（注）	Cisco DNA Center に初めてログインしたときに、このパスワードを変更するよう求められます。

Cisco DNA Center の展開方式に応じた IP アドレスとキーを使用してください。

• Cisco DNA Center VA 起動パッド を使用して Cisco DNA Center を展開した場合は、Cisco DNA Center VA 起動パッド によって提供される IP アドレスとキーを使用します。

• AWS を使用して Cisco DNA Center を手動で展開した場合は、AWS によって提供される IP アドレスとキーを使用します。

  （注）	キーは .pem ファイルである必要があります。キーファイルが key.cer ファイルとしてダウンロードされている場合は、ファイル名を key.pem に変更する必要があります。

key.pem ファイルのアクセス権限を手動で 400 に変更してください。アクセス権限を変更するには、Linux の chmod コマンドを使用します。次に例を示します。

chmod 400 key.pem

Cisco DNA Center の CLI にアクセスするには、次の Linux コマンドを使用します。

次に例を示します。

エンタープライズ DNS の IP アドレス

（オプション）HTTPS ネットワークプロキシの詳細

AWS アカウントにアクセスするための有効なログイン情報を保有していること。

（注）	リソースの独立性と分離を維持するために、AWS アカウントをサブアカウント（子アカウント）にすることを推奨します。サブアカウントを使用することで、Cisco DNA Center を展開しても既存のリソースは影響を受けません。

重要：お使いの AWS アカウントが AWS Marketplace で Cisco DNA Center 仮想アプライアンスのライセンス持ち込み（BYOL）に登録されていること。

AWS アカウントに管理者アクセス権限が割り当てられていること（AWS では、ポリシー名は AdministratorAccess と表示されます）。

次のリソースとサービスを AWS で設定する必要があります。

• [VPC]：CIDR の推奨範囲は /25 です。CIDR の最後のオクテットには、0 または 128 のみを使用できます（例：x.x.x.0 または x.x.x.128xxx）。

• [Subnets]：推奨されるサブネット範囲は /28 です。企業のサブネットと重複しないようにする必要があります。

• [Route Tables]：VPC サブネットが VPN GW または TGW を介してエンタープライズ ネットワークと通信できることを確認します。

• [Security Groups]：AWS 上の Cisco DNA Center とエンタープライズ ネットワーク内のデバイス間の通信では、AWS 上の Cisco DNA Center に割り当てる AWS セキュリティグループで次のポートを許可する必要があります。

  • TCP 22、80、443、9991、25103、32626

  • UDP 123、162、514、6007、21730

  着信ポートと発信ポートも設定する必要があります。着信ポートを設定するには、次の図を参照してください。

  

  発信ポートを設定するには、次の図を参照してください。

  

  Cisco DNA Center が使用するポート、それらのポート上で通信するサービス、ポート使用におけるアプライアンスの目的、および推奨アクションを次の表に示します。

  ポート	サービス名	目的	推奨処置
  —	ICMP	デバイスは ICMP メッセージを使用してネットワーク接続の問題を通知します。	ICMP を有効にします。
  TCP 22、80、443	HTTPS、SFTP、HTTP	Cisco DNA Center からのソフトウェアイメージのダウンロードに HTTPS 443、SFTP 22、HTTP 80 を使用します。 Cisco DNA Center からの証明書のダウンロードに HTTPS 443、HTTP 80（Cisco 9800 ワイヤレスコントローラ、PnP）、センサー/テレメトリを使用します。 （注）     ポート 80 については、プラグアンドプレイ（PnP）、ソフトウェアイメージ管理（SWIM）、組み込みイベント管理（EEM）、デバイス登録、Cisco 9800 ワイヤレスコントローラを使用しない場合はブロックしてください。	これらのポートで Cisco DNA Center にアクセスできるホストまたはネットワークデバイスの送信元 IP がファイアウォールルールで制限されていることを確認してください。 （注）     HTTP 80 の使用は推奨されません。可能な限り HTTPS 443 を使用してください。
  UDP 123	NTP	デバイスは時刻の同期に NTP を使用します。	デバイスが時刻を同期できるようにポートを開いておく必要があります。
  UDP 162	SNMP	Cisco DNA Center はデバイスから SNMP ネットワークテレメトリを受信します。	SNMP に基づくデータ分析用にポートを開いておく必要があります。
  UDP 514	Syslog	Cisco DNA Center はデバイスから syslog メッセージを受信します。	syslog に基づくデータ分析用にポートを開いておく必要があります。
  UDP 6007	NetFlow	Cisco DNA Center はデバイスから NetFlow ネットワークテレメトリを受信します。	NetFlow に基づくデータ分析用にポートを開いておく必要があります。
  TCP 9991	Wide Area Bonjour サービス	Cisco DNA Center は、Bonjour 制御プロトコルを使用して、サービス検出ゲートウェイ（SDG）エージェントからマルチキャスト ドメイン ネーム システム（mDNS）トラフィックを受信します。	Bonjour アプリケーションがインストールされている場合、Cisco DNA Center でポートを開いておく必要があります。
  UDP 21730	アプリケーション可視性サービス	アプリケーション可視性サービスの CBAR デバイス通信。	ネットワークデバイスで CBAR が有効になっている場合、ポートを開いておく必要があります。
  TCP 25103	ストリーミングテレメトリが有効になっている Cisco 9800 ワイヤレスコントローラおよび Cisco Catalyst 9000 スイッチ	テレメトリに使用されます。	Cisco DNA Center と Catalyst 9000 デバイス間のテレメトリ接続用にポートが開いている必要があります。
  TCP 32626	インテリジェントキャプチャ（gRPC）コレクタ	Cisco DNA アシュアランス インテリジェントキャプチャ（gRPC）機能で使用されるトラフィック統計情報とパケットキャプチャデータの受信に使用されます。	Cisco DNA アシュアランス インテリジェントキャプチャ（gRPC）機能を使用する場合、ポートを開いておく必要があります。

• [VPN Gateway (VPN GW)] または [Transit Gateway (TGW)]：エンタープライズ ネットワークへの既存の接続が必要です。これはカスタマーゲートウェイ（CGW）を指します。

  CGW から AWS への既存の接続については、ファイアウォール設定またはプロキシゲートウェイのどちらでポートを開くかを問わず、Cisco DNA Center VA との間で送受信されるトラフィックフローに対して適切なポートが開いていることを確認する必要があります。アプライアンスで使用される既知のネットワークサービスポートの詳細については、『Cisco DNA Center First-Generation Appliance Installation Guide, Release 2.3.5』[英語] の「Plan the Deployment」の章に記載されている「Required Network Ports」を参照してください。

• [Site-to-Site VPN Connection]：トランジット ゲートウェイ アタッチメントとトランジット ゲートウェイ ルート テーブルを使用できます。

AWS 環境は、次のいずれかのリージョンで設定する必要があります。

• ap-northeast-1（東京）

• ap-northeast-2（ソウル）

• ap-south-1（ムンバイ）

• ap-southeast-1（シンガポール）

• ap-southeast-2（シドニー）

• ca-central-1（カナダ）

• eu-central-1（フランクフルト）

• eu-south-1（ミラノ）

• eu-west-1（アイルランド）

• eu-west-2（ロンドン）

• eu-west-3（パリ）

• us-east-1（バージニア）

• us-east-2（オハイオ）

• us-west-1（北カリフォルニア）

• us-west-2（オレゴン）

複数の IAM ユーザーが同じ環境設定を使用して Cisco DNA Center を設定できるようにするには、次のポリシーを持つグループを作成し、該当するユーザーをそのグループに追加する必要があります。

• IAMReadOnlyAccess

• AmazonEC2FullAccess

• AWSCloudFormationFullAccess

Cisco DNA Center インスタンスのサイズは、次の最小リソース要件を満たす必要があります。

• r5a.8xlarge（AWS インスタンスタイプは、推奨される最小サイジング仕様の一例です）

  重要	Cisco DNA Center は r5a.8xlarge インスタンスサイズのみをサポートします。この設定は変更できません。さらに、r5a.8xlarge インスタンスサイズは、特定の可用性ゾーンではサポートされていません。サポートされている可用性ゾーンのリストを表示するには、『Release Notes for Cisco DNA Center on AWS, Release 1.3.x』[英語] を参照してください。

• 32 vCPU

• 256 GB RAM

• 4 TB ストレージ

• 2500 ディスク入出力処理/秒（IOPS）

• 180 MBps のディスク帯域幅

次の AWS 情報を用意します。

• サブネット ID

• セキュリティ グループ ID

• キーペア ID

• 環境名

• CIDR 予約

Cisco DNA Center GUI にアクセスできること。

次の Cisco DNA Center 情報を用意します。

• [NTP Setting]

• デフォルトゲートウェイ設定

• CLI パスワード

• UI ユーザー名/パスワード

• スタティック IP（Static IP）

• Cisco DNA Center VA IP アドレスの FQDN

エンタープライズ DNS の IP アドレス

（オプション）HTTPS ネットワークプロキシの詳細

AWS アカウントにアクセスするための有効なログイン情報を保有していること。

（注）	リソースの独立性と分離を維持するために、AWS アカウントをサブアカウント（子アカウント）にすることを推奨します。サブアカウントを使用することで、Cisco DNA Center を展開しても既存のリソースは影響を受けません。

重要：お使いの AWS アカウントが AWS Marketplace で Cisco DNA Center 仮想アプライアンスのライセンス持ち込み（BYOL）に登録されていること。

AWS アカウントに管理者アクセス権限が割り当てられていること（AWS では、ポリシー名は AdministratorAccess と表示されます）。

次のリソースとサービスを AWS で設定する必要があります。

• [VPC]：CIDR の推奨範囲は /25 です。CIDR の最後のオクテットには、0 または 128 のみを使用できます（例：x.x.x.0 または x.x.x.128xxx）。

• [Subnets]：推奨されるサブネット範囲は /28 です。企業のサブネットと重複しないようにする必要があります。

• [Route Tables]：VPC サブネットが VPN GW または TGW を介してエンタープライズ ネットワークと通信できることを確認します。

• [Security Groups]：AWS 上の Cisco DNA Center とエンタープライズ ネットワーク内のデバイス間の通信では、AWS 上の Cisco DNA Center に割り当てる AWS セキュリティグループで次のポートを許可する必要があります。

  • TCP 22、80、443、9991、25103、32626

  • UDP 123、162、514、6007、21730

  着信ポートと発信ポートも設定する必要があります。着信ポートを設定するには、次の図を参照してください。

  

  発信ポートを設定するには、次の図を参照してください。

  

  Cisco DNA Center が使用するポート、それらのポート上で通信するサービス、ポート使用におけるアプライアンスの目的、および推奨アクションを次の表に示します。

  ポート	サービス名	目的	推奨処置
  —	ICMP	デバイスは ICMP メッセージを使用してネットワーク接続の問題を通知します。	ICMP を有効にします。
  TCP 22、80、443	HTTPS、SFTP、HTTP	Cisco DNA Center からのソフトウェアイメージのダウンロードに HTTPS 443、SFTP 22、HTTP 80 を使用します。 Cisco DNA Center からの証明書のダウンロードに HTTPS 443、HTTP 80（Cisco 9800 ワイヤレスコントローラ、PnP）、センサー/テレメトリを使用します。 （注）     ポート 80 については、プラグアンドプレイ（PnP）、ソフトウェアイメージ管理（SWIM）、組み込みイベント管理（EEM）、デバイス登録、Cisco 9800 ワイヤレスコントローラを使用しない場合はブロックしてください。	これらのポートで Cisco DNA Center にアクセスできるホストまたはネットワークデバイスの送信元 IP がファイアウォールルールで制限されていることを確認してください。 （注）     HTTP 80 の使用は推奨されません。可能な限り HTTPS 443 を使用してください。
  UDP 123	NTP	デバイスは時刻の同期に NTP を使用します。	デバイスが時刻を同期できるようにポートを開いておく必要があります。
  UDP 162	SNMP	Cisco DNA Center はデバイスから SNMP ネットワークテレメトリを受信します。	SNMP に基づくデータ分析用にポートを開いておく必要があります。
  UDP 514	Syslog	Cisco DNA Center はデバイスから syslog メッセージを受信します。	syslog に基づくデータ分析用にポートを開いておく必要があります。
  UDP 6007	NetFlow	Cisco DNA Center はデバイスから NetFlow ネットワークテレメトリを受信します。	NetFlow に基づくデータ分析用にポートを開いておく必要があります。
  TCP 9991	Wide Area Bonjour サービス	Cisco DNA Center は、Bonjour 制御プロトコルを使用して、サービス検出ゲートウェイ（SDG）エージェントからマルチキャスト ドメイン ネーム システム（mDNS）トラフィックを受信します。	Bonjour アプリケーションがインストールされている場合、Cisco DNA Center でポートを開いておく必要があります。
  UDP 21730	アプリケーション可視性サービス	アプリケーション可視性サービスの CBAR デバイス通信。	ネットワークデバイスで CBAR が有効になっている場合、ポートを開いておく必要があります。
  TCP 25103	ストリーミングテレメトリが有効になっている Cisco 9800 ワイヤレスコントローラおよび Cisco Catalyst 9000 スイッチ	テレメトリに使用されます。	Cisco DNA Center と Catalyst 9000 デバイス間のテレメトリ接続用にポートが開いている必要があります。
  TCP 32626	インテリジェントキャプチャ（gRPC）コレクタ	Cisco DNA アシュアランス インテリジェントキャプチャ（gRPC）機能で使用されるトラフィック統計情報とパケットキャプチャデータの受信に使用されます。	Cisco DNA アシュアランス インテリジェントキャプチャ（gRPC）機能を使用する場合、ポートを開いておく必要があります。

• [VPN Gateway (VPN GW)] または [Transit Gateway (TGW)]：エンタープライズ ネットワークへの既存の接続が必要です。これはカスタマーゲートウェイ（CGW）を指します。

  CGW から AWS への既存の接続については、ファイアウォール設定またはプロキシゲートウェイのどちらでポートを開くかを問わず、Cisco DNA Center VA との間で送受信されるトラフィックフローに対して適切なポートが開いていることを確認する必要があります。アプライアンスで使用される既知のネットワークサービスポートの詳細については、『Cisco DNA Center First-Generation Appliance Installation Guide, Release 2.3.5』[英語] の「Plan the Deployment」の章に記載されている「Required Network Ports」を参照してください。

• [Site-to-Site VPN Connection]：トランジット ゲートウェイ アタッチメントとトランジット ゲートウェイ ルート テーブルを使用できます。

AWS 環境は、次のいずれかのリージョンで設定する必要があります。

• ap-northeast-1（東京）

• ap-northeast-2（ソウル）

• ap-south-1（ムンバイ）

• ap-southeast-1（シンガポール）

• ap-southeast-2（シドニー）

• ca-central-1（カナダ）

• eu-central-1（フランクフルト）

• eu-south-1（ミラノ）

• eu-west-1（アイルランド）

• eu-west-2（ロンドン）

• eu-west-3（パリ）

• us-east-1（バージニア）

• us-east-2（オハイオ）

• us-west-1（北カリフォルニア）

• us-west-2（オレゴン）

複数の IAM ユーザーが同じ環境設定を使用して Cisco DNA Center を設定できるようにするには、次のポリシーを持つグループを作成し、該当するユーザーをそのグループに追加する必要があります。

• IAMReadOnlyAccess

• AmazonEC2FullAccess

• AWSCloudFormationFullAccess

Cisco DNA Center インスタンスのサイズは、次の最小リソース要件を満たす必要があります。

• r5a.8xlarge（AWS インスタンスタイプは、推奨される最小サイジング仕様の一例です）

  重要	Cisco DNA Center は r5a.8xlarge インスタンスサイズのみをサポートします。この設定は変更できません。さらに、r5a.8xlarge インスタンスサイズは、特定の可用性ゾーンではサポートされていません。サポートされている可用性ゾーンのリストを表示するには、『Release Notes for Cisco DNA Center on AWS, Release 1.3.x』[英語] を参照してください。

• 32 vCPU

• 256 GB RAM

• 4 TB ストレージ

• 2500 ディスク入出力処理/秒（IOPS）

• 180 MBps のディスク帯域幅

次の AWS 情報を用意します。

• サブネット ID

• セキュリティ グループ ID

• キーペア ID

• 環境名

• CIDR 予約

Cisco DNA Center GUI にアクセスできること。

次の Cisco DNA Center 情報を用意します。

• [NTP Setting]

• デフォルトゲートウェイ設定

• CLI パスワード

• UI ユーザー名/パスワード

• スタティック IP（Static IP）

• Cisco DNA Center VA IP アドレスの FQDN