Cisco DNA Center 2.3.7.3 on ESXi 管理者ガイド

システム設定について

Cisco DNA Center の使用を開始するには、最初にシステム設定を構成して、サーバーがネットワークの外部と通信し、セキュアな通信の確保やユーザーの認証といった主要なタスクを実行できるようにする必要があります。システム設定を構成するには、この章で説明されている手順を使用します。

（注）

プロキシサーバー設定の変更など、Cisco DNA Center の構成を変更する場合、すべて Cisco DNA Center GUI で実行する必要があります。
IP アドレス、静的ルート、DNS サーバー、または maglev ユーザーパスワードの変更は、CLI から sudo maglev-config update コマンドを使用して実行する必要があります。
デフォルトでは、Cisco DNA Center システムのタイムゾーンは UTC に設定されています。Cisco DNA Center の GUI はブラウザのタイムゾーンで動作するため、設定でこのタイムゾーンを変更しないでください。

ユーザープロファイルの役割および権限

Cisco DNA Center は、ロールベースアクセスコントロール（RBAC）をサポートします。ユーザープロファイルに割り当てられたロールは、ユーザーが実行する権限を持つ機能を定義します。Cisco DNA Center には、次の 3 つの主要なデフォルトユーザーロールがあります。

SUPER-ADMIN-ROLE
NETWORK-ADMIN-ROLE
OBSERVER-ROLE

SUPER-ADMIN-ROLE は、ユーザーに幅広い機能を提供し、カスタムロールの作成やユーザープロファイルへの割り当てなど、Cisco DNA Center GUI ですべてのアクションを実行できるようにします。NETWORK-ADMIN-ROLE と OBSERVER-ROLE は、Cisco DNA Center GUI での機能が制限されます。

Cisco DNA Center でアクションを実行できない場合、それを許可しないロールがユーザープロファイルに割り当てられていることが原因である可能性があります。詳細については、システム管理者に確認するか、またはCisco DNA Center 管理者ガイドを参照してください。

システム 360 の使用

[System 360] タブには、Cisco DNA Center に関する一目でわかる情報が表示されます。

手順

ステップ 1

左上隅にあるメニューアイコンをクリックして次を選択します。[System] > [System 360] の順に選択します。

ステップ 2

[System 360] ダッシュボードで、表示される次のデータメトリックを確認します。

クラスタ

[Hosts]：Cisco DNA Center ホストに関する情報を表示します。表示される情報には、ホストの IP アドレスと、ホストで実行されているサービスに関する詳細なデータが含まれます。ホストで実行されているサービスに関する詳細なデータを表示するには、[View Services] リンクをクリックします。

（注）

ホスト IP アドレスの横には、カラーバッジが付きます。緑色のバッジは、ホストが正常であることを示します。赤色のバッジは、ホストが正常でないことを示します。

側面パネルには、次の情報が表示されます。

[Node Status]：ノードのヘルスステータスが表示されます。

ノードヘルスが正常でない場合は、ステータスにカーソルを合わせると、トラブルシューティングのための追加情報が表示されます。
[Services Status]：サービスのヘルスステータスが表示されます。1 つでもサービスがダウンしていると、ステータスは [Unhealthy] になります。
[Name]：サービス名。
[Appstack]：アプリケーションスタック名。

アプリケーションスタックは、疎結合されたサービスの集合です。この環境でのサービスは、要求が増えると自身のインスタンスを追加し、要求が減ると自身のインスタンスを解放する、水平方向にスケーラブルなアプリケーションです。
[Health]：サービスのステータス。
[Version]：サービスのバージョン。
[Tools]：サービスのメトリックとログを表示します。Grafana でサービスモニターリングデータを表示するには、[Metrics] リンクをクリックします。Grafana は、オープンソースのメトリック分析および可視化スイートです。サービスモニターリングデータを調べることで、問題をトラブルシューティングすることができます。Grafana の詳細については、https://grafana.com/ を参照してください。[Logs] リンクをクリックすると、Kibana でサービスログが表示されます。Kibana は、オープンソースの分析および可視化プラットフォームです。サービスログを調べることで、問題をトラブルシューティングすることができます。Kibana の詳細については、https://www.elastic.co/products/kibana を参照してください。
[Actions]：サービスを再起動するために使用できるオプション。一部の内部サービスおよびシステム固有のサービスでは、[Actions] オプションが無効になっています。

[High Availability]：VMware vSphere によって提供されるため、HA のステータスは ESXi 上の Cisco DNA Center では使用できません。詳細については、高可用性を参照してください。

[Cluster Tools]：次のツールにアクセスできます。

[Monitoring]：オープンソースメトリック分析および可視化スイートである Grafana を使用して、Cisco DNA Center コンポーネントの複数のダッシュボードにアクセスします。[Monitoring] ツールを使用して、メモリおよび CPU 使用率などの主要な Cisco DNA Center メトリックを確認および分析します。Grafana の詳細については、https://grafana.com/ を参照してください。

（注）

マルチホスト Cisco DNA Center 環境では、複数のホストによる Grafana データの重複が予想されます。

[Log Explorer]：Kibana を使用して Cisco DNA Center のアクティビティログとシステムログにアクセスします。Kibana は Elasticsearch と連動するように設計されたオープンソースの分析および可視化を実行するプラットフォームです。[Log Explorer] ツールを使用して、詳細なアクティビティログおよびシステムログを確認します。Kibana の左側にあるナビゲーションウィンドウで、[Dashboard] をクリックします。次に、[System Overview] をクリックしてすべてのシステムログを表示します。Kibana の詳細については、https://www.elastic.co/guide/en/kibana/current/index.html を参照してください。Elasticsearch の詳細については、https://www.elastic.co/guide/index.html を参照してください。

（注）

デフォルトでは、Cisco DNA Center のロギングはすべて有効です。

システム管理

[Software Updates]：インストールされているバージョンのステータスとシステムアップデートに関する情報が表示されます。[View] リンクをクリックすると、更新の詳細が表示されます。ダッシュレットは、エアギャップモードが有効になると通知します。

（注）

更新には、その横にカラーバッジが付きます。緑色のバッジは、更新または更新に関連するアクションが正常に完了したことを示します。黄色のバッジは、使用可能な更新があることを示します。

[Backups]：最新のバックアップのステータスが表示されます。[View] リンクをクリックすると、すべてのバックアップの詳細が表示されます。

さらに、次のスケジュールバックアップのステータスも表示されます（またはスケジュールされているバックアップがないことを示します）。エアギャップモードが有効になっている場合、バックアップ設定は見つかりません。

（注）

バックアップには、その横にカラーバッジが付きます。緑色のバッジは、バックアップが正常に完了したことをタイムスタンプとともに示します。黄色のバッジは、次のバックアップがまだスケジュールされていないことを示します。

Cisco DNA Center と Cisco ISE の統合

Cisco ISE には、Cisco DNA Center に関して次の 3 つの使用例があります。

Cisco ISE はユーザー、デバイス、クライアント認証用の AAA（「トリプル A」と発音）サーバーとして使用できます。アクセスコントロールポリシーを使用していない場合、または Cisco ISE をデバイス認証用の AAA サーバーとして使用していない場合は、Cisco ISE のインストールおよび設定は不要です。
アクセスコントロールポリシーは Cisco ISE を使用してアクセス制御を適用します。アクセスコントロールポリシーを作成および使用する前に、Cisco DNA Center と Cisco ISE を統合します。このプロセスでは、特定のサービスを用いて Cisco ISE をインストールして設定し、Cisco DNA Center で Cisco ISE の設定を行う必要があります。Cisco DNA Center を用いた Cisco ISE のインストールと設定の詳細については、Cisco DNA Center 設置ガイドを参照してください。
ネットワークでのユーザー認証に Cisco ISE を使用している場合、Cisco ISE を統合するためにアシュアランスを設定します。この統合により、有線クライアントの詳細（ユーザー名やオペレーティングシステムなど）をアシュアランスで確認できるようになります。詳細については、Cisco DNA Assurance ユーザガイドの「Cisco DNA Center の Cisco ISE 設定について」を参照してください。

Cisco ISE が正常に登録され、Cisco DNA Center で信頼性が確立されると、Cisco DNA Center は Cisco ISE と情報を共有します。 Cisco ISE を使って AAA サーバーとして構成されたサイトに割り当てられた Cisco DNA Center デバイスのインベントリデータは Cisco ISE に伝達されます。さらに、Cisco DNA Center におけるそれらの Cisco DNA Center デバイスに対するすべての更新（デバイスクレデンシャルなど）も Cisco ISE を変更によって更新します。

Cisco ISE を使って AAA サーバーとしてサイトに関連付けられている Cisco DNA Center デバイスが想定どおり Cisco ISE に伝達されない場合、Cisco DNA Center は一定期間待機した後、自動的に再試行します。この後続の試行は、 Cisco ISE への最初の Cisco DNA Center デバイスプッシュが、ネットワークの問題、Cisco ISE のダウンタイム、またはその他の自動訂正可能なエラーが原因で失敗した場合に行われます。Cisco DNA Center は、デバイスの追加または Cisco ISE へのデータの更新を再試行することで、 Cisco ISEとの最終的な一貫性の確立を試みます。ただし、Cisco ISE へのデバイスまたはデバイスデータの伝達が、Cisco ISE 自体による拒否が原因で入力検証エラーとして失敗した場合、再試行は行われません。

Cisco ISE について RADIUS の共有秘密を変更しても、Cisco ISE が Cisco DNA Center を更新する際にその変更は反映されません。Cisco DNA Center の共有秘密を Cisco ISE と一致するように更新するには、新しいパスワードで AAA サーバーを編集します。Cisco DNA Center は新しい証明書を Cisco ISE からダウンロードし、Cisco DNA Center を更新します。

Cisco ISE は既存のデバイス情報を Cisco DNA Center と共有しません。Cisco DNA Center が Cisco ISE 内のデバイスに関する情報を認識するには、そのデバイスに Cisco DNA Center と同じ名前を付ける必要があります。Cisco DNA Center と Cisco ISE は、デバイスのホスト名変数を通じて、この統合用に固有のデバイスを識別します。

（注）

Cisco DNA Center インベントリデバイスを Cisco ISE に伝達し、変更を更新するプロセスはすべて Cisco DNA Center 監査ログにキャプチャされます。Cisco DNA Center と Cisco ISE 間のワークフローに問題がある場合は、Cisco DNA Center GUI で監査ログの情報を確認します。

Cisco DNA Center は、プライマリ管理者 ISE ノードと統合されています。Cisco DNA Center から Cisco ISE にアクセスする場合は、このノードと接続します。

Cisco DNA Center は 15 分ごとに Cisco ISE をポーリングします。Cisco ISE サーバーがダウンした場合、Cisco DNA Center に Cisco ISE サーバーが赤色（到達不能）で表示されます。

Cisco ISE サーバーに到達不能な場合、Cisco DNA Center はポーリングを 15 秒に増やし、その後 30 秒、1 分、2 分、4 分といった具合に、最大ポーリング時間の 15 分になるまで倍増していきます。Cisco DNA Center は 15 分間隔でのポーリングを 3 日間継続します。Cisco DNA Center は接続が復活しない場合、ポーリングを停止し、Cisco ISE サーバーのステータスを [Untrusted] に更新します。この場合、Cisco DNA Center と Cisco ISE サーバー間の信頼関係を再確立する必要があります。

次の追加要件と推奨事項を確認して、Cisco DNA Center と Cisco ISE の統合を確認してください。

Cisco DNA Center と Cisco ISE の統合はプロキシサーバー経由ではサポートされていません。プロキシサーバーを使用して設定されている Cisco ISE がネットワークにある場合、そのプロキシサーバーを使用しないように Cisco DNA Center を設定します。設定するにはプロキシサーバーの IP アドレスをバイパスします。
Cisco DNA Center と Cisco ISE の統合は、現在、Cisco DNA Center 仮想 IP アドレス（VIP）経由ではサポートされていません。Cisco DNA Center にエンタープライズ CA 発行の証明書を使用している場合は、サブジェクトの別名（SAN）拡張内にある Cisco DNA Center のすべてのインターフェイスの IP アドレスが Cisco DNA Center 証明書に含まれていることを確認します。Cisco DNA Center が 3 ノードクラスタの場合、3 ノードの全インターフェイスの IP アドレスが、Cisco DNA Center 証明書の SAN 拡張に含まれている必要があります。
Cisco ISE での管理者レベルのアクセス権が必要です。
Cisco ISE の管理者ユーザーのパスワードの有効期限を無効にします。または、期限が切れる前に、パスワードを忘れずに更新します。詳細については、Cisco Identity Services Engine Administrator Guideを参照してください。
Cisco ISE 証明書が変更された場合は、Cisco DNA Center を更新する必要があります。更新するには、AAA サーバー（Cisco ISE）を編集し、パスワードを再入力して保存します。これにより、Cisco DNA Center は新しい管理証明書の証明書チェーンを Cisco ISE からダウンロードし、Cisco DNA Center を更新します。Cisco ISE を HA モードで使用し、管理者証明書がプライマリまたはセカンダリ管理ノードで変更された場合は、Cisco DNA Center を更新する必要があります。
Cisco DNA Center は、pxGrid 経由で接続するように、自身の証明書、および Cisco ISE の証明書を設定します。pxGrid に対する別の証明書を使用して、別の pxGrid クライアント（Firepower など）に接続することもできます。これらの接続が、Cisco DNA Center および Cisco ISE の pxGrid 接続と干渉することはありません。
RADIUS のシークレットパスワードは変更できます。シークレットパスワードは、[System] > [Settings] > [External Services] > [Authentication and Policy Servers] で Cisco ISE を AAA サーバーとして設定する際に指定しています。シークレットパスワードを変更するには、[Design] > [Network Settings] > [Network] の順に選択し、[Change Shared Secret] リンクをクリックします。これにより、Cisco ISE は、Cisco DNA Center によって管理されているネットワークデバイスに接続するとき、新しいシークレットパスワードを使用するようになります。
分散 Cisco ISE クラスタでは、各ノードは PAN（管理）、MnT（監視とトラブルシューティング）、PSN（ポリシーサービス）などの特定の機能のみを実行します。PAN ノードでは管理証明書のみを使用し、PSN ノードでは EAP 認証証明書のみを使用することができます。ただし、この構成により pxGrid の Cisco DNA Center と Cisco ISE の統合が妨げられます。したがって、Cisco ISE プライマリ PAN ノードで EAP 認証証明書の使用を有効にすることをお勧めします。
アップグレード後に Cisco DNA Center が PSN を認識するようにするには、次の手順を実行する必要があります。
1. PSN に関連付けられている PAN を再度追加します。『Cisco Identity Services Engine Administrator Guide』の「Configure a Primary Policy Administration Node」のトピックを参照してください。
2. Cisco ISE を Cisco DNA Center と再統合します。『Cisco DNA Center Installation Guide』の「Integrate Cisco ISE with Catalyst Center」のトピックを参照してください。
Cisco DNA Center は、CRL 配布ポイント（CDP）および Online Certificate Status Protocol（OCSP）による証明書失効チェックをサポートしています。統合中に、Cisco DNA Center はポート 9060 で Cisco ISE 管理証明書を受信し、その Cisco ISE 管理証明書内の CDP および OCSP URL に基づいてその有効性を検証します。CDP（CRL のリストを含む）と OCSP の両方が設定されている場合、Cisco DNA Center は OCSP を使用して証明書の失効ステータスを確認し、OCSP URL にアクセスできない場合は CDP にフォールバックします。CDP に複数の CRL がある場合、Cisco DNA Center は最初の CRL に到達できない場合は、次の CRL に接続します。ただし、JDK PKI Oracle のバグにより、すべての CRL エントリはチェックされません。

プロキシは証明書の検証ではサポートされていません。Cisco DNA Center はプロキシなしで CRL および OCSP サーバーに接続します。
- 証明書の OCSP および CRL エントリはオプションです。
- LDAP は、証明書検証用のプロトコルとしてサポートされていません。CDP または AIA 拡張に LDAP URL を含めないでください。
- Cisco DNA Center から CDP および OCSP のすべての URL に到達できる必要があります。到達不能な URL が原因で、統合の失敗など、統合エクスペリエンスの低下が生じる可能性があります。
Cisco ISE の証明書のサブジェクト名と発行者は ASN.1 PrintableString 文字に準拠する必要があり、スペースと次の文字のみを使用できます：A ～ B、a ～ z、0 ～ 9、' ( ) + 、- . / : = ?

データの匿名化

Cisco DNA Center では、有線エンドポイントとワイヤレスエンドポイントのデータを匿名化できます。ユーザー ID やデバイスのホスト名など、有線エンドポイントとワイヤレスエンドポイントの個人を特定できる情報をスクランブル化できます。

[Discovery] を実行する前に、匿名化が有効になっていることを確認します。[Discovery] を実行した後にデータを匿名化した場合、システムに入ってくる新しいデータは匿名化されますが、既存のデータは匿名化されません。

手順

ステップ 1

左上隅にあるメニューアイコンをクリックして次を選択します。[System] > [Settings] > [Trust & Privacy] > [Anonymize Data] の順に選択します。

ステップ 2

[Anonymize Data] ウィンドウで、[Enable Anonymization] チェックボックスをオンにします。

ステップ 3

[Save] をクリックします。

匿名化を有効にすると、デバイス検索時に、MAC アドレス、IP アドレスなどの匿名以外の情報しか指定できなくなります。

認証サーバとポリシーサーバの設定

Cisco DNA Center は AAA サーバをユーザ認証に使用し、Cisco ISE をユーザ認証とアクセス制御の両方に使用します。この手順を使って Cisco ISE を含む AAA サーバを設定します。

始める前に

Cisco ISE を使用してポリシーと AAA 機能の両方を実行する場合、Cisco DNA Center および Cisco ISE が統合されていることを確認します。
他の製品（Cisco ISE 以外）で AAA 機能を使用している場合、以下に注意してください。
- AAA サーバーで Cisco DNA Center を登録します。これには、AAA サーバーと Cisco DNA Center の共有秘密を定義することが含まれます。
- AAA サーバーで Cisco DNA Center の属性名を定義します。
- Cisco DNA Center マルチホストクラスタの設定の場合は、AAA サーバーのマルチホストクラスタに、すべての個別のホスト IP アドレスと仮想 IP アドレスを定義します。

Cisco ISE を設定する前に、以下の点を確認してください。

Cisco ISE をネットワークに展開していること。サポートされている Cisco ISE バージョンの詳細については、『Cisco DNA Center Compatibility Matrix』を参照してください。Cisco ISE のインストールについては、Cisco Identity Services Engine インストールおよびアップグレードガイド [英語] を参照してください。

スタンドアロン ISE 展開環境がある場合は、Cisco DNA Center を Cisco ISE ノードと統合し、そのノード上で pxGrid サービスと外部 RESTful サービス（ERS）を有効にする必要があります。

（注）

pxGrid 2.0 では Cisco ISE の展開で最大 4 つの pxGrid ノードを使用できますが、Cisco DNA Center 2.2.1.x 以前のリリースは 2 つを超える pxGrid ノードをサポートしていません。

分散型 Cisco ISE 展開がある場合：

Cisco DNA Center をプライマリポリシー管理ノード（PAN）と統合し、PAN 上で ERS を有効にする必要があります。

（注）

PAN 経由で ERS を使用することを推奨します。ただし、バックアップの場合は、PSN 上で ERS を有効にできます。

分散型展開環境内のいずれかの Cisco ISE ノード上で pxGrid サービスを有効化する必要があります。PAN 上で pxGrid サービスを有効化することを選択できますが、必須ではありません。分散型展開環境にある任意の Cisco ISE ノード上で pxGrid を有効にできます。
TrustSec または SD-Access のコンテンツと PAC を処理するように Cisco ISE で設定する PSN は、[Work Centers] > [Trustsec] > [Trustsec Servers] > [Trustsec AAA Servers] でも定義する必要があります。詳細については、『Cisco Identity Services Engine Administrator Guide』を参照してください。

ポート 443、5222、8910、9060 で Cisco DNA Center と Cisco ISE の通信を有効にする必要があります。
pxGrid が有効化されている Cisco ISE ホストには、Cisco ISE eth0 インターフェイスの IP アドレス上の Cisco DNA Center から到達できる必要があります。
Cisco ISE ノードは、アプライアンス NIC 経由でファブリックアンダーレイネットワークに到達できます。
Cisco ISE 管理ノード証明書のサブジェクト名またはサブジェクト代替名（SAN）のいずれかに Cisco ISE の IP アドレスまたは FQDN が含まれている必要があります。

Cisco DNA Center システム証明書の SAN フィールドに、Cisco DNA Center アプライアンスの IP アドレスと FQDN の両方がリストされている必要があります。

（注）

Cisco ISE 2.4 パッチ 13、2.6 パッチ 7、および 2.7 パッチ 3 では、pxGrid 証明書に Cisco ISE のデフォルトの自己署名証明書を使用している場合、証明書が Cisco ISE によって拒否されることがあります。これは、その証明書の古いバージョンに、SSL サーバとして指定された Netscape Cert Type 拡張があるためです。これは、クライアント証明書が必要なため失敗します。

この問題は Cisco ISE 3.0 以降では発生しません。詳細については、Cisco Cloud APIC リリースノート [英語] を参照してください。

手順

ステップ 1

左上隅にあるメニューアイコンをクリックして次を選択します。[System] > [Settings] > [External Services] > [Authentication and Policy Servers]。

ステップ 2

[Add] ドロップダウンリストから、[AAA] または [ISE] を選択します。

ステップ 3

プライマリ AAA サーバーを設定するには、次の情報を入力します。

[Server IP Address]：AAA サーバの IP アドレス。
[Shared Secret]：デバイス認証のキー。共有秘密の長さは、最大 100 文字です。

（注）

既存の Cisco ISE クラスタの一部である PSN をプライマリ AAA サーバーに設定しないでください。

ステップ 4

Cisco ISE サーバーを設定するには、次の詳細情報を入力します。

[Server IP Address]：Cisco ISE サーバーの IP アドレス。
[Shared Secret]：デバイス認証のキー。
[Username]：Cisco ISE に HTTPS 経由でログインするために使用するユーザー名。

[Password]：Cisco ISE HTTPS ユーザー名のパスワード。

（注）

ユーザー名とパスワードは、ネットワーク管理者に属する ISE 管理者アカウントである必要があります。

[FQDN]：Cisco ISE サーバーの完全修飾ドメイン名（FQDN）。

（注）

Cisco ISE（[Administration] > [Deployment] > [Deployment Nodes] > [List]）で定義されている FQDN をコピーして、このフィールドに直接貼り付けることをお勧めします。
入力した FQDN は、Cisco ISE 証明書で定義されている FQDN、共通名（CN）または Subject Alternative Name（SAN）と一致する必要があります。

FQDN は、次の形式で、ホスト名およびドメイン名の 2 つのパートで構成されています。

hostname.domainname.com

たとえば、Cisco ISE サーバーの FQDN は ise.cisco.com である可能性があります。

[Virtual IP Address（es）]：Cisco ISE ポリシーサービスノード（PSN）が背後に配置されているロードバランサの仮想 IP アドレス。異なるロードバランサの背後に複数の PSN ファームがある場合は、最大 6 つの仮想 IP アドレスを入力できます。

ステップ 5

[Advanced Settings] をクリックして、設定を構成します。

[Connect to pxGrid]：pxGrid 接続を有効にするには、このチェックボックスをオンにします。

Cisco DNA Center システム証明書を pxGrid クライアント証明書として使用する場合（pxGrid クライアントとして Cisco DNA Center システムを認証するために Cisco ISE に送信）、[Use Cisco DNA Center Certificate for pxGrid] チェックボックスをオンにします。動作環境で使用されるすべての証明書を同じ CA で生成する必要がある場合は、このオプションを使用できます。このオプションを無効にすると、Cisco DNA Center は、システムが使用する pxGrid クライアント証明書を生成するための要求を Cisco ISE に送信します。

このオプションを有効にする場合は、次のことを確認してください。
- Cisco DNA Center 証明書が、Cisco ISE で使用中の CA と同じ認証局（CA）によって生成されていること（そうでない場合、pxGrid 認証は失敗します）。
- [Certificate Extended Key Use（EKU）] フィールドに「クライアント認証」が含まれていること。

[Protocol]：[TACACS] と [RADIUS]（デフォルト）。両方のプロトコルを選択できます。

注目	ここで Cisco ISE サーバーの TACAS を有効にしない場合は、ネットワークデバイス認証用に AAA サーバーを設定するときに、[Design] > [Network Settings] > [Network]で Cisco ISE サーバーを TACAS サーバーとして設定できません。

[Authentication Port]：AAA サーバーへの認証メッセージのリレーに使用されるポート。デフォルトの UDP ポートは 1812 です。
[Accounting Port]：AAA サーバーへの重要なイベントのリレーに使用されるポート。デフォルトの UDP ポートは 1813 です。
[Port]：デフォルトの TACACS ポートは 49 です。
[Retries]：接続の試行が中止される前に、Cisco DNA Center が AAA サーバへの接続を試みた回数。デフォルトの試行回数は 3 回です。
[Timeout]：接続の試行が中止される前に、デバイスが AAA サーバーの応答を待機するタイムアウト期間。デフォルトのタイムアウトは 4 秒です。

（注）

必要な情報を入力すると、Cisco ISE は 2 つのフェーズを経て Cisco DNA Center と統合されます。統合が完了するまでには数分かかります。フェーズごとの統合ステータスは、[Authentication and Policy Servers] ウィンドウと [System 360] ウィンドウに表示されます。

Cisco ISE サーバー登録フェーズ：

[Authentication and Policy Servers] ウィンドウ：「進行中」
[System 360] ウィンドウ：「プライマリ使用可能」

pxGrid サブスクリプション登録フェーズ：

[Authentication and Policy Servers] ウィンドウ：「アクティブ」
[System 360] ウィンドウ：「プライマリ使用可能」および「pxGrid 使用可能」

設定された Cisco ISE サーバーのステータスがパスワードの変更により [FAILED] と表示されている場合は、[Retry] をクリックし、パスワードを更新して Cisco ISE 接続を再同期します。

ステップ 6

[Add] をクリックします。

ステップ 7

セカンダリサーバーを追加するには、前述の手順を繰り返します。

Cisco AI Network Analytics の設定

この手順で、Cisco AI Analytics 機能を有効にして、ネットワークデバイスとインベントリ、サイト階層、トロポジデータからネットワークイベントのデータを Cisco AI Cloud にエクスポートします。

始める前に

Cisco DNA Center 用の Cisco DNA Advantage ソフトウェアライセンスを保有していることを確認してください。AI ネットワーク分析アプリケーションは、Cisco DNA Advantage ソフトウェアライセンスに含まれています。
AI Network Analytics アプリケーションの最新バージョンがインストールされていることを確認してください。
ネットワークまたは HTTP プロキシが、次のクラウドホストへのアウトバウンド HTTPS（TCP 443）アクセスを許可するように設定されていることを確認します。
- [api.use1.prd.kairos.ciscolabs.com]（米国東部地域）
- [api.euc1.prd.kairos.ciscolabs.com]（EU 中央地域）

手順

ステップ 1	左上隅にあるメニューアイコンをクリックして次を選択します。[System] > [Settings]の順に選択します。
ステップ 2	[External Services] までスクロールし、[Cisco AI Analytics] を選択します。 AI ネットワーク分析ウィンドウが開きます。
ステップ 3	次のいずれかを実行します。アプライアンスに以前のバージョンの Cisco AI Network Analytics がインストールされている場合は、次の手順を実行します。 [Recover from a config file] をクリックします。 [Restore] AI ネットワーク分析ウィンドウが開きます。表示されたエリアにコンフィギュレーションファイルをドラッグアンドドロップするか、ファイルシステムからファイルを選択します。 [Restore] をクリックします。 Cisco AI Network Analytics の復元には数分かかる場合があり、その後、[Success] ダイアログボックスが表示されます。 Cisco AI Network Analyticsを初めて構成する場合、次の手順を実行します。 [Configure] をクリックします。 [Where should we securely store your data?] 領域で、データを保存する場所を選択します。[Europe (Germany)] または [US East (North Virginia)] を選択できます。 [Testing cloud connectivity...] タブで示されているように、システムはクラウド接続のテストを開始します。クラウド接続のテストが完了すると、[Testing cloud connectivity...] タブが [Cloud connection verified] に変わります。 [Next] をクリックします。 [Terms and Conditions] ウィンドウが表示されます。 [Accept Cisco Universal Cloud Agreement] チェックボックスをオンにして契約条件に同意してから、[Enable] をクリックします。 Cisco AI Network Analytics が有効になるまでに数分かかる場合があり、その後、[Success] ダイアログボックスが表示されます。
ステップ 4	[Success] ダイアログボックスで [Okay] をクリックします。 AI ネットワーク分析ウィンドウが表示され、[Enable AI Network Analytics] トグルボタンが表示されます。
ステップ 5	（推奨）AI ネットワーク分析ウィンドウで、[Download Configuration] ファイルをクリックします。

クライアント証明書の更新

AI エージェントは、X.509 クライアント証明書を使用して AI クラウドへの認証を実行します。証明書は、AI クラウドへのテナントのオンボーディング時に AI クラウド CA によって作成および署名され、3 年間有効です（2021 年 8 月に 1 年に短縮）。有効期限が切れる前に、クラウド接続が失われないようにクライアント証明書を更新する必要があります。証明書の自動更新メカニズムが導入されています。このメカニズムでは、更新後に証明書を手動でバックアップする必要があります。新しい Cisco DNA Center を復元または移行する場合は、バックアップが必要です。

更新後、すべての AI 分析ウィンドウ（ピア比較、ヒートマップ、ネットワーク比較、トレンドおよびインサイト）に通知が表示され、新しい AI ネットワーク分析構成をバックアップするように指示されます。

Cisco AI Network Analytics の無効化

Cisco AI Network Analytics のデータ収集を無効にするには、次のように AI Network Analytics 機能を無効にする必要があります。

手順

ステップ 1	左上隅にあるメニューアイコンをクリックして次を選択します。[System] > [Settings]の順に選択します。
ステップ 2	[External Services] までスクロールし、[Cisco AI Analytics] を選択します。各機能のチェックマーク（）は、その機能が有効になっていることを示します。チェックボックスがオフの場合（）、機能は無効になっています。
ステップ 3	[AI Network Analytics] 領域で、[Enable AI Network Analytics] トグルボタンをクリックしてオフにします（）。
ステップ 4	[Update] をクリックします。
ステップ 5	Cisco AI Network Analytics クラウドからネットワークデータを削除するには、Cisco Technical Response Center（TAC）に連絡してサポートリクエストをオープンします。
ステップ 6	以前の設定が間違って配置されている場合は、[Download configuration file] をクリックします。

機械推論ナレッジベースの更新

機械推論ナレッジパックは、機械推論エンジン（MRE）がセキュリティの問題を特定し、根本原因の自動分析を改善するために使用する、段階的なワークフローです。これらのナレッジパックは、より多くの情報を受信しながら継続的に更新されます。機械推論ナレッジベースは、これらのナレッジパック（ワークフロー）のリポジトリです。最新のナレッジパックは、機械推論ナレッジベースが毎日自動で更新されるようCisco DNA Centerを設定するか、手動で更新することで入手できます。

手順

ステップ 1	左上隅にあるメニューアイコンをクリックして次を選択します。[System] > [Settings]の順に選択します。
ステップ 2	[External Services] まで下にスクロールし、[Machine Reasoning Knowledge Base]を選択します。 [Machine Reasoning Knowledge Base] ウィンドウには、次の情報が表示されます。 [INSTALLED]：インストールされている機械推論ナレッジベースパッケージのバージョンとインストール日が表示されます。機械推論ナレッジベースに新しいアップデートがある場合は、[Machine Reasoning Knowledge Base] ウィンドウに [AVAILABLE UPDATE] が表示され、アップデートの [Version] と [Details] が示されます。 [AUTO UPDATE] ：機械推論ナレッジベースが Cisco DNA Center で自動的に毎日更新されます。 [CISCO CX CLOUD SERVICE FOR NETWORK BUG IDENTIFIER, SECURITY ADVISORY, FIELD NOTICES AND EOX]：自動構成を実行できる CX Cloud と Cisco DNA Center を統合します。この統合により、Cisco DNA Centerのセキュリティアドバイザリツールから直接デバイスの脆弱性を検出する機能が更に強化されました。
ステップ 3	（推奨）[AUTO UPDATE] チェックボックスをオンにして、機械推論ナレッジベースを自動的に更新します。 [Next Attempt] 領域に、次回の更新の日付と時刻が表示されます。自動更新は、Cisco DNA Center がクラウドの機械推論エンジンに正常に接続されている場合にのみ実行できます。
ステップ 4	機械推論ナレッジベースを Cisco DNA Center で手動で更新するには、次のいずれかを実行します。 [AVAILABLE UPDATES] の下にある [Update] をクリックします。[Success] ポップアップウィンドウが表示され、更新のステータスが表示されます。機械推論ナレッジベースをローカルマシンに手動でダウンロードして Cisco DNA Center にインポートします。次の手順を実行します。 [Download] をクリックします。 [Opening mre_workflow_signed] ダイアログボックスが表示されます。ダウンロードしたファイルを開くか、ローカルマシンの目的の場所に保存して、[OK] をクリックします。 [Import] をクリックして、ダウンロードした機械推論ナレッジベースをローカルマシンから Cisco DNA Center にインポートします。
ステップ 5	[CISCO CX CLOUD SERVICE FOR NETWORK BUG IDENTIFIER AND SECURITY ADVISORY] チェックボックスをオンにして、ネットワークバグ ID およびセキュリティアドバイザリとの Cisco CX Cloud の連携を有効にします。
ステップ 6	[Security Advisories Settings] エリアで、[RECURRING SCAN] トグルボタンをクリックして、毎週の定期的なスキャンを有効または無効にします。
ステップ 7	[CISCO CX CLOUD] トグルボタンをクリックして、Cisco CX Cloud を有効または無効にします。

シスコのクレデンシャルの設定

Cisco DNA Center の Cisco のクレデンシャルを設定できます。Cisco のクレデンシャルは、シスコの顧客またはパートナーとして制限付きの場所にアクセスするために、シスコの Web サイトのログインに使用するユーザー名とパスワードです。

（注）

次の手順を使用して、Cisco DNA Center 用に設定された Cisco のクレデンシャルは、ソフトウェアイメージや更新プログラムをダウンロードするために使用されます。Cisco のクレデンシャルはまた、セキュリティのために、このプロセスによって暗号化されます。

始める前に

SUPER-ADMIN-ROLE 権限を持つユーザのみがこの手順を実行することができます。

手順

ステップ 1

左上隅にあるメニューアイコンをクリックして次を選択します。[System] > [Settings] > [Cisco Accounts] > [Cisco.com Credentials] の順に選択します。

ステップ 2

シスコユーザー名およびパスワードを入力してください。

ステップ 3

[Save] をクリックします。

cisco.com のログイン情報がソフトウェアとサービスに対して設定されます。

シスコのクレデンシャルのクリア

Cisco DNA Center に対して現在設定されている cisco.com のログイン情報を削除するには、次の手順を実行します。

（注）

ソフトウェアのダウンロードやデバイスのプロビジョニングに関連するタスクを実行する際、cisco.com のログイン情報が設定されていないと、タスクの開始前にログイン情報を入力するように求められます。入力したログイン情報を保存して Cisco DNA Center 全体で使用するには、表示されたダイアログボックスで [Save for Later] チェックボックスをオンにします。それ以外の場合は、これらのタスクを実行するたびにログイン情報を入力する必要があります。
この手順を完了すると、エンドユーザーライセンス契約（EULA）の承認が取り消されます。EULA の承認を再入力する方法については、ライセンス契約書の受諾を参照してください。

始める前に

SUPER-ADMIN-ROLE 権限を持つユーザーのみがこの手順を実行することができます。詳細については、ユーザロールの概要を参照してください。

手順

ステップ 1	左上隅にあるメニューアイコンをクリックして次を選択します。[System] > [Settings] > [Cisco Accounts] > [Cisco.com Credentials] の順に選択します。
ステップ 2	[Clear] をクリックします。
ステップ 3	表示されたダイアログボックスで、[Continue] をクリックして操作を確定します。

接続モードの設定

接続モードは、Cisco DNA Center と連携するネットワーク内のスマート対応デバイスと Cisco Smart Software Manager（SSM）の間の接続を管理します。異なる接続モードを設定するには、SUPER-ADMIN アクセス権限が必要です。

手順

ステップ 1

左上隅にあるメニューアイコンをクリックして次を選択します。[System] > [Settings] > [Cisco Accounts] > [SSM Connection Mode] の順に選択します。

次の接続モードを使用できます。

直接
オンプレミス CSSM
スマートプロキシ

ステップ 2

Cisco SSM クラウドへの直接接続を有効にするには、[Direct] を選択します。

ステップ 3

組織のセキュリティを高める必要がある場合は、[On-Prem CSSM] を選択します。オンプレミスオプションでは、Cisco SSM クラウドでライセンスを管理する際に、インターネットで直接接続する代わりに Cisco SSM 機能のサブセットにアクセスできます。

[On-Prem CSSM] を有効にする前に、サテライトがネットワークサイトに展開されて稼働していることを確認してください。

サテライトが FQDN で設定されている場合、サテライト FQDN の Call Home 設定が IP アドレスの代わりにプッシュされます。
[On-Prem CSSM Host]、[Smart Account Name]、[Client ID]、および [Client Secret] の詳細を入力します。

[Smart Account] フィールドに、1 つの SSM オンプレミスアカウント名のみを入力します。スペースやアンダースコアは使用できません。

クライアント ID とクライアントシークレットを取得する方法については、『Cisco Smart Software Manager On-Prem User Guide』を参照してください。
[Test Connection] をクリックして Cisco SSM 接続を検証します。
[Save] をクリックしてから [Confirm] をクリックします。
変更した SSM で再登録が必要なデバイスがある場合は、[Need to Re-Register Devices] ダイアログボックスが表示されます。ダイアログボックスで [OK] をクリックします。

[Tools] > [License Manager] > [Devices] ウィンドウで、再度登録するデバイスを選択し、[Sync Connection Mode] をクリックします。

（注）

このようなデバイスには、「接続モードが同期していない（Connection Mode out of sync）」旨のタグまたはメッセージが表示されます。

[Resync Devices] ダイアログボックスで、次の手順を実行します。
- [Smart Account] を入力します。
- [Virtual Account] を入力します。
- [Now] をクリックしてすぐに再同期を開始するか、[Later] をクリックして特定の時間に再同期をスケジュールします。
- [Resync] をクリックします。
[Recent Tasks] ウィンドウには、デバイスの再同期ステータスが表示されます。

ステップ 4

[Smart Proxy] を選択し、Cisco DNA Center を介して Cisco SSM クラウドにスマート対応デバイスを登録します。このモードでは、デバイスを Cisco SSM クラウドに直接接続する必要はありません。Cisco DNA Center は、デバイスからの要求を自身を介して Cisco SSM クラウドにプロキシします。

Call Home 設定をデバイスにプロビジョニングするときに、サテライトが FQDN で設定されている場合、IP アドレスの代わりにサテライトの FQDN がプッシュされます。

プラグアンドプレイの登録

Cisco DNA Center を、Cisco Plug and Play（PnP）Connect のコントローラとして、リダイレクトサービス用に Cisco スマートアカウントに登録できます。これにより、Cisco PnP Connect クラウドポータルから Cisco DNA Center の PnP に、デバイスインベントリを同期することができます。

始める前に

SUPER-ADMIN-ROLE またはシステム管理権限を持つ CUSTOM-ROLE のユーザーのみがこの手順を実行することができます。

スマートアカウントで、特定の機能の実行を許可するロールがユーザーに割り当てられます。

スマートアカウント管理者ユーザーは、すべてのバーチャルアカウントにアクセスできます。
ユーザーは、割り当てられたバーチャルアカウントにのみアクセスできます。

手順

ステップ 1	左上隅にあるメニューアイコンをクリックして次を選択します。[System] > [Settings] > [Cisco Accounts] > [PnP Connect] の順に選択します。 PnP 接続プロファイルのテーブルが表示されます。
ステップ 2	[Register] をクリックして、バーチャルアカウントを登録します。
ステップ 3	[Register Virtual Account] ウィンドウで、設定したスマートアカウントが [Select Smart Account] ドロップダウンリストに表示されます。[Select Virtual Account] ドロップダウンリストからアカウントを選択できます。
ステップ 4	必要な [IP] または [FQDN] オプションボタンをクリックします。
ステップ 5	コントローラの IP アドレスまたは FQDN（完全修飾ドメイン名）を入力します。
ステップ 6	プロファイル名を入力します。指定した設定を使用して、選択したバーチャルアカウントのプロファイルが作成されます。
ステップ 7	[Use as Default Controller Profile] チェックボックスをオンにして、この Cisco DNA Center コントローラを Cisco PnP Connect クラウドポータルにデフォルトコントローラとして登録します。
ステップ 8	[Register] をクリックします。

PnP イベント通知の作成

イベント通知を作成することで、プラグアンドプレイ（PnP）イベントが Cisco DNA Center で発生するたびに通知を受け取ります。サポートされているチャネルを設定し、イベント通知を作成する方法については、『Cisco DNA Center Platform User Guide』の「Work with Event Notifications」トピックを参照してください。

次の PnP イベントのイベント通知を作成してください。


イベント名	イベント ID	説明
デバイスの追加に失敗しました。	NETWORK-TASK_FAILURE-3-008	デバイスは、単一または一括インポートでは追加されません。単一または一括インポートによってデバイスを追加すると、エラーが発生します。
デバイスの追加に成功しました。	NETWORK-TASK_COMPLETE-4-007	単一または一括インポートによってデバイスが正常に追加されました。
デバイスはエラー状態です。	NETWORK-ERROR_1-002	デバイスはエラー状態になります。
デバイスはプロビジョニング状態です。	NETWORK-INFO_4-003	デバイスはプロビジョニング状態になります。
デバイスがオンボーディング状態でスタックします。	NETWORK-TASK_PROGRESS-2-006	デバイスが 15 分以上オンボーディング状態でスタックしています。
デバイスが請求を待っています。	NETWORK-INFO_2-001	デバイスは未請求の状態になり、プロビジョニングの準備ができています。
スマートアカウントの同期に失敗しました。	NETWORK-TASK_FAILURE-1-005	一部のデバイスでスマートアカウントの同期に失敗しました。
スマートアカウントの同期に成功しました。	NETWORK-TASK_COMPLETE-4-004	一部のデバイスで、スマートアカウントの同期に成功しました。

スマートアカウントの設定

シスコスマートアカウントのログイン情報は、スマートライセンスアカウントに接続する目的で使用されます。ライセンスマネージャツールは、権限付与とライセンス管理のために、このスマートアカウントの詳細なライセンス情報を使用します。

始める前に

SUPER-ADMIN-ROLE 権限を取得しておきます。

手順

ステップ 1

左上隅にあるメニューアイコンをクリックして次を選択します。[System] > [Settings] > [Cisco Accounts] > [Smart Account]。

ステップ 2

[Add] ボタンをクリックします。スマートアカウントのログイン情報を入力するように求められます。

スマートアカウントのユーザー名およびパスワードを入力します。
[Save] をクリックします。

スマートアカウントが設定されます。

ステップ 3

選択したスマートアカウントの名前を変更するには、[Change] をクリックします。Cisco SSM クラウドでスマートライセンスアカウントへの接続に使用されるスマートアカウントを選択するように促されます。

ドロップダウンリストから [Smart Account] を選択します。
[Save] をクリックします。

ステップ 4

[View all virtual accounts] をクリックし、そのスマートアカウントに関連付けられているすべてのバーチャルアカウントを表示します。

（注）

シスコアカウントは複数のスマートアカウントとバーチャルアカウントをサポートしています。

ステップ 5

（オプション）スマートライセンス対応デバイスをバーチャルアカウントに自動登録する場合、[Auto register smart license enabled devices] チェックボックスをオンにします。スマートアカウントに関連付けられているバーチャルアカウントのリストが表示されます。

ステップ 6

必要なバーチャルアカウントを選択します。スマートライセンス対応デバイスがインベントリに追加されるたびに、選択したバーチャルアカウントに自動的に登録されます。

ステップ 7

ライセンスを取得したスマートアカウントユーザーとそれに関連する履歴データを削除する場合は、[Delete historical information] をクリックします。

[Delete Historical Data] スライドインペインには、ライセンスを取得したスマートアカウントユーザーが表示されます。また、Cisco DNA Center に現在存在していない既存のスマートアカウントも表示されますが、それらの履歴データは引き続き利用できます。

ステップ 8

[Smart Account list] エリアで、削除するスマートアカウントの横にあるチェックボックスをオンにします。

ステップ 9

[Delete] をクリックします。

ステップ 10

次の確認ウィンドウで、[Delete] をクリックします。

ステップ 11

[Delete the associated license historical information] チェックボックスをオンにして、関連するライセンスの履歴情報を削除します。

スマートライセンス

シスコスマートライセンシングを使用すると、Cisco SSM に Cisco DNA Center を登録できます。

スマートライセンスを使用するには、まず Cisco Software Central でスマートアカウントを設定する必要があります（software.cisco.com）。

シスコライセンスの詳細については、cisco.com/go/licensingguide を参照してください。

始める前に

スマートライセンスを有効にするには、Cisco クレデンシャルを設定し（「シスコのクレデンシャルの設定」を参照）、Cisco SSM で Cisco DNA Center ライセンス規則をアップロードする必要があります。
スマートライセンスを有効にするには、[System] > [Settings] > [Cisco Accounts] > [Smart Account] でスマートアカウントを追加する必要があります。詳細については、スマートアカウントの設定を参照してください。

手順

ステップ 1	左上隅にあるメニューアイコンをクリックして次を選択します。[System] > [Settings] > [Cisco Accounts] > [Smart Licensing]の順に選択します。デフォルトでは、[Smart Account] の詳細が表示されます。
ステップ 2	登録するバーチャルアカウントを [Search Virtual Account] ドロップダウンリストから選択します。
ステップ 3	[Register] をクリックします。
ステップ 4	登録が正常に完了したら、[View Available Licenses] リンクをクリックして、Cisco DNA Center の使用可能なライセンスを確認します。

デバイスの可制御性

デバイスの可制御性とは、Cisco DNA Center におけるいくつかのデバイス層機能の同期状態を徹底するシステムレベルのプロセスです。この目的は、Cisco DNA Center がデバイスを管理するのに必要なネットワーク設定の導入を支援することです。ディスカバリを実行したり、インベントリにデバイスを追加したり、デバイスをサイトに割り当てたりすると、ネットワークデバイスに変更が加えられます。

デバイスにプッシュされる設定を表示するには、[Provision] > [Inventory] に移動し、[Focus] ドロップダウンリストから [Provision] を選択します。[Provision Status] 列の [See Details] をクリックします。

（注）

Cisco DNA Centerによりデバイスが設定または更新されると、トランザクションが監査ログにキャプチャされ、変更の追跡と問題のトラブルシューティングに使用できます。

下記のデバイス設定がデバイスの可制御性の一部として有効になります。

デバイス検出
- SNMP クレデンシャル
- NETCONF クレデンシャル

インベントリへのデバイスの追加

Cisco TrustSec（CTS）クレデンシャル

（注）

[Global] サイトが Cisco ISE で AAA として設定されている場合にのみ、Cisco TrustSec（CTS）クレデンシャルがインベントリ中にプッシュされます。それ以外の場合は、CTS が Cisco ISE で AAAとして設定されている場合に「サイトへの割り当て」中にデバイスにプッシュされます。

デバイスのサイトへの割り当て

コントローラ証明書

（注）

Cisco IOS デバイスの場合、PKCS 証明書の有効期限の処理で問題が発生しないように、デバイスの UI コンソールからタイムゾーンを設定することを推奨します。

SNMP トラップサーバ定義
Syslog サーバ定義
NetFlow サーバ定義
Wireless Service Assurance（WSA）
IPDT の有効化

デバイスの可制御性はデフォルトで有効です。デバイスの可制御性を有効にしたくない場合は、手動で無効にします。詳細については、デバイスの可制御性の設定を参照してください。

デバイスの可制御性が無効の場合、ディスカバリ実行時やデバイスのサイトへの割り当て時に、上述のクレデンシャルや機能が Cisco DNA Center で設定されることはありません。

次のような状況により、デバイスの可制御性によってデバイスにネットワーク設定が適用されるかどうかが決まります。

デバイス検出：SNMP と NETCONF クレデンシャルがまだデバイスに存在しない場合は、この設定が検出プロセス中に適用されます。
インベントリ内のデバイス：初期インベントリ収集が正常に終了すると、IPDT がデバイスで設定されます。

以前のリリースでは、次の IPDT コマンドが設定されていました。
```
ip device tracking
ip device tracking probe delay 60
ip device tracking probe use-svi
```
インターフェイスごとに、次の手順を実行します。
```
interface $physicalInterface
ip device tracking maximum 65535
```
現在のリリースでは、新しく検出されたデバイスに対して次の IPDT コマンドが設定されます。
```
device-tracking tracking
device-tracking policy IPDT_POLICY
tracking enable
```
インターフェイスごとに、次の手順を実行します。
```
interface $physicalInterface
device-tracking attach-policy IPDT_POLICY
```
グローバルサイト内のデバイス：デバイスが正常に追加、インポート、または検出されると、Cisco DNA Center はデフォルトでデバイスを [Managed] 状態にして [Global] サイトに割り当てます。グローバル サイト用の SNMP サーバ、Syslog サーバ、および NetFlow コレクタ設定が定義済みの場合でも、デバイス上のこれらの設定を変更 Cisco DNA Center しません。
サイトに移動されたデバイス：デバイスを [Global] サイトから、SNMP サーバ、Syslog サーバ、NetFlow コレクタ設定が定義済みの新しいサイトに移動させると、Cisco DNA Center ではデバイスのこれらの設定が新しいサイト用に定義された設定に変更されます。
サイトから削除されたデバイス：デバイスをサイトから削除する場合、Cisco DNA Center ではデバイスの SNMP サーバ、Syslog サーバ、NetFlow コレクタ設定が削除されません。
削除されるデバイスCisco DNA Center：デバイスを Cisco DNA Center から削除し、[Configuration Clean-up] チェックボックスがオンにすると、 SNMP サーバ、Syslog サーバ、および NetFlow コレクタ設定はデバイスから削除されます。
別のサイトに移動したデバイス：たとえばサイト A からサイト B にデバイスを移動させると、Cisco DNA Center ではデバイスの SNMP サーバ、Syslog サーバ、NetFlow コレクタ設定が、サイト B に割り当てられた設定に置き換えられます。
サイトテレメトリの変更の更新：デバイスの可制御性の範囲内にある設定に対する変更は、デバイスのプロビジョニング中、またはテレメトリ設定の更新アクションの実行時にネットワークデバイスに適用されます。

デバイスの制御可能性が有効になっている場合、Cisco DNA Centerがユーザーが提供した SNMP 資格情報を介してデバイスに接続できず、デバイス情報を収集できない場合、Cisco DNA Centerがユーザーが提供した SNMP 資格情報をデバイスにプッシュします。 SNMPv3 の場合、ユーザーは [Default] グループの下に作成されます。

（注）

Cisco AireOS デバイスの場合、ユーザ指定の SNMPv3 パスフレーズには 12 ～ 31 文字が含まれている必要があります。

デバイスの可制御性の設定

デバイスの可制御性は、Cisco DNA Centerでデバイスを管理するために必要なネットワーク設定の展開を支援します。

（注）

デバイスの可制御性を無効にすると、[Device Controllability] ページに記載されているログイン情報または機能は、ディスカバリ時または実行時にデバイスに設定されません。

デバイスの可制御性はデフォルトで有効です。デバイスの可制御性を手動で無効にするには、次の手順を実行します。

手順

ステップ 1	左上隅にあるメニューアイコンをクリックして次を選択します。[System] > [Settings] > [Device Settings] > [Device Controllability]。
ステップ 2	[Enable Device Controllability] チェックボックスをオフにします。
ステップ 3	[Save] をクリックします。

ライセンス契約書の受諾

ソフトウェアをダウンロードする前、またはデバイスをプロビジョニングする前に、エンドユーザーライセンス契約（EULA）に同意する必要があります。

（注）

cisco.com のログイン情報をまだ設定していない場合は、先に進む前に、[Device EULA Acceptance] ウィンドウで設定するように求められます。

手順

ステップ 1	左上隅にあるメニューアイコンをクリックして次を選択します。[System] > [Settings] > [Device Settings] > [Device EULA Acceptance] の順に選択します。
ステップ 2	[Cisco End User License Agreement] リンクをクリックし、EULA を読みます。
ステップ 3	[I have read and accept the Device EULA] チェックボックスをオンにします。
ステップ 4	[Save] をクリックします。

SNMP プロパティの設定

SNMP の再試行とタイムアウトの値を設定することができます。

始める前に

SUPER-ADMIN-ROLE 権限を持つユーザのみがこの手順を実行することができます。

手順

ステップ 1	左上隅にあるメニューアイコンをクリックして次を選択します。[System] > [Settings] > [Device Settings] > [SNMP] の順に選択します。
ステップ 2	次のフィールドを設定します。 [Retries]：許容されるデバイス接続の最大試行回数。有効な値は 1 ～ 3 です。デフォルトは 3 です。 [Timeout]：タイムアウトになるまでにデバイスとの接続の確立を試みる際に、Cisco DNA Center が待機する秒数。有効な値は、5 秒間隔で 1 ～ 300 秒です。デフォルトは 5 秒です。
ステップ 3	[Save] をクリックします。
ステップ 4	（オプション）デフォルトの設定に戻すには、[Reset] をクリックしてから [Save] をクリックします。

ICMP ping の有効化

Internet Control Message Protocol（ICMP）ping が有効になっていて、FlexConnect モードで到達不能なアクセスポイントがある場合、Cisco DNA Center は ICMP を使用して 5 分ごとにそれらのアクセスポイントに ping を実行し、到達可能性を強化します。

次の手順では、ICMP ping を有効にする方法について説明します。

手順

ステップ 1	左上隅にあるメニューアイコンをクリックして次を選択します。[System] > [Settings] > [Device Settings] > [ICMP Ping] の順に選択します。
ステップ 2	[Enable ICMP ping for unreachable access Points in FlexConnect mode] チェックボックスをオンにします。
ステップ 3	[Save] をクリックします。

PnP 導入準備用の AP ロケーションの設定

Cisco DNA Center では、PnP 導入準備の AP の場所として、PnP 要求中に割り当てられたサイトを使用できます。[Configure AP Location] チェックボックスをオンにすると、Cisco DNA Center は割り当てられたサイトを PnP 導入準備用の AP の場所として設定します。チェックボックスをオフにした場合は [Configure Access Points] ワークフローを使用して、PnP 導入準備用の AP の場所を設定します。詳細については、『Cisco DNA Center User Guide』の「AP Configuration in Cisco DNA Center」を参照してください。

（注）

これらの設定は、Day-N 運用中には適用されません。Day-N 運用の AP の場所を設定するには、[Configure Access Points] ワークフローを使用します。

手順

ステップ 1	左上隅にあるメニューアイコンをクリックして次を選択します。 [System] > [Settings] > [Device Settings] > [PnP AP Location] の順に選択します。
ステップ 2	[Configure AP Location] チェックボックスをオンにします。
ステップ 3	[Save] をクリックします。

イメージ配信サーバの設定

イメージ配信サーバーは、ソフトウェアイメージの保管と配信に役立ちます。ソフトウェアイメージを配信するように最大 3 つの外部イメージ配信サーバーを設定できます。また、新しく追加されたイメージ配信サーバーに 1 つ以上のプロトコルを設定できます。

サポートされているサーバーの詳細については、Cisco DNA Center 管理者ガイドのトピック「バックアップサーバーの要件」にある「自動化データバックアップのサーバー要件」セクションを参照してください。

手順

ステップ 1

左上隅にあるメニューアイコンをクリックして次を選択します。[System] > [Settings] > [Device Settings] > [Image Distribution Servers]。

ステップ 2

[Image Distribution Servers] ウィンドウで、[Servers] をクリックします。

[Image Distribution Servers] テーブルには、イメージ配信サーバーのホスト、ユーザー名、SFTP、SCP、および接続に関する詳細が表示されます。

ステップ 3

[Add] をクリックして新しいイメージ配信サーバを追加します。

[Add a New Image Distribution Server]スライドインペインが表示されます。

ステップ 4

イメージ配信サーバについて、次の項目を設定します。

[Host]：イメージ配信サーバーのホスト名または IP アドレスを入力します。

[Root Location] ：ファイル転送用の作業ルートディレクトリ。

（注）

Cisco AireOS ワイヤレスコントローラの場合、設定されたパスが 16 文字を超えると、イメージの配信は失敗します。

[Username]：イメージ配信サーバーへのログインに使用されるユーザー名を入力します。ユーザー名には、サーバーの作業ルートディレクトリに対する読み取り/書き込み権限が必要です。
[Password]：イメージ配信サーバーへのログインに使用されるパスワード。
[ポート番号]：イメージ配信サーバーが実行されているポート番号を入力します。

ステップ 5

[Save] をクリックします。

ステップ 6

一部のワイヤレスコントローラの旧バージョンのソフトウェアでは、SFTP の暗号方式として弱い暗号方式（SHA1 ベースの暗号など）しかサポートされていないため、Cisco DNA Center でソフトウェアイメージの管理やワイヤレスアシュアランスの設定を行うには、ワイヤレスコントローラからの SFTP 接続に対して SFTP 互換モードを有効にする必要があります。Cisco DNA Center の SFTP サーバーでは、弱い暗号方式のサポートを最大 90 日間まで一時的に有効にすることができます。弱い暗号を許可するには、以下を実行します。

SFTP サーバーの IP アドレスの横にある [i] アイコンにカーソルを合わせ、[Click here] をクリックします。
[Compatibility Mode] スライドインペインで [Compatibility Mode] チェックボックスをオンにして期間（ 1 分～ 90 日）を入力します。
[Save] をクリックします。

ステップ 7

（任意）設定を編集するには、対応するイメージ配信サーバーの横にある [Edit] アイコンをクリックし、必要な変更を行って [Save] をクリックします。

ステップ 8

（任意）イメージ配信サーバーを削除するには、イメージ配信サーバーの横にある [Delete] アイコンをクリックし、[Delete] をクリックします。

PnP デバイス許可の有効化

次の手順では、デバイスで許可を有効にする方法について説明します。

手順

ステップ 1

左上隅にあるメニューアイコンをクリックして次を選択します。[System] > [Settings] > [Device Settings] の順に選択します。

ステップ 2

[Device Settings] ドロップダウンリストから [PnP Device Authorization] を選択します。

（注）

デフォルトでは、デバイスは自動的に許可されます。

ステップ 3

[Device Authorization] チェックボックスをオンにしてデバイスで許可を有効にします。

ステップ 4

[Save] をクリックします。

デバイスプロンプトの構成

Cisco DNA Center ではユーザー名とパスワードのカスタムプロンプトを作成できます。カスタムプロンプトを使用してデバイスに関する情報を収集するように、ネットワーク内のデバイスを構成できます。

カスタムプロンプトの作成

手順

ステップ 1

左上隅にあるメニューアイコンをクリックして次を選択します。[System] > [Settings] > [Device Settings] > [Device Prompts]の順に選択します。

[Device Prompts] ウィンドウが開きます。

ステップ 2

[Create Custom Prompt] をクリックします。

[Create Custom Prompt] スライドインペインが開きます。

ステップ 3

ユーザー名のカスタムプロンプトを作成するには、次の手順を実行します。

[Prompt Type] ドロップダウンリストから、[username] を選択します。
[Prompt Text] フィールドに、正規表現（Regex）でテキストを入力します。
[Save] をクリックします。

ステップ 4

パスワードのカスタムプロンプトを作成するには、次の手順を実行します。

[Prompt Type] ドロップダウンリストから、[password] を選択します。
[Prompt Text] フィールドに、正規表現（Regex）でテキストを入力します。
[Save] をクリックします。

（注）

[Device Prompts] ウィンドウにカスタムプロンプトが表示されます。ユーザー名とパスワードのカスタムプロンプトを 8 つまで作成できます。

ステップ 5

カスタムプロンプトを必要な順序でドラッグアンドドロップします。

（注）

Cisco DNA Center は、カスタムプロンプトの順序を維持し、プロンプトをコンマ区切り値としてデバイスに渡します。最上位のカスタムプロンプトの優先度が高くなります。

ステップ 6

編集アイコンをクリックして、カスタムプロンプトを編集します。

ステップ 7

カスタムプロンプトを削除するには、削除アイコンをクリックします。

（注）

ユーザー名のプロンプトとパスワードのプロンプトには、一意の正規表現が必要です。同じまたは類似の正規表現を作成すると、デバイスで認証の問題が発生します。

デバイス構成のバックアップ設定の構成

Cisco DNA Center は、デバイスの実行構成の定期的なバックアップを実行します。バックアップの日時と、デバイスごとに保存できる構成ドリフトの合計数を選択できます。

（注）

[Daily Backup]：Cisco DNA Center は、毎日午後 11:00（UTC タイムゾーン）に実行するようにスケジュールされた自動設定バックアップを実行します。このプロセス中、Cisco DNA Center は、最後にデバイス構成の収集が行われた時点のタイムスタンプと、デバイス構成がアーカイブされた時点のタイムスタンプを比較します。この差が 30 分を超える場合は、デバイス構成のアーカイブが実行されます。

日次バックアップは、週次バックアップがスケジュールされている日には実行されません。
[Weekly Backup]：Cisco DNA Center は、毎週日曜日の午後 11:30（UTC タイムゾーン）に実行するようにスケジュールされた自動設定バックアップを実行します。

手順

ステップ 1

左上隅にあるメニューアイコンをクリックして次を選択します。 [System] > [Settings] > [Configuration Archive] を選択します。

ステップ 2

[Configuration Archive] ウィンドウで、[Internal] タブをクリックします。

ステップ 3

[Number of config drift per device] ドロップダウンリストをクリックし、デバイスごとに保存する構成ドリフトの数を選択します。

デバイスごとに 7 ～ 50 の構成ドリフトを保存できます。保存される構成ドリフトの合計には、デバイスのすべてのラベル付き構成が含まれます。

（注）

デフォルトでは、デバイスごとに保存される構成ドリフトの数は 15 です。

ステップ 4

バックアップの日時を選択します。

選択したバックアップの日時は、ネットワークに展開された Cisco DNA Center クラスタのタイムゾーンに基づきます。

ステップ 5

[Save] をクリックします。

バックアップは、スケジュールした後にアクティビティセンターで表示できます。

ステップ 6

[External] タブをクリックして、デバイス構成をアーカイブするための外部サーバーを構成します。詳細については、アーカイブデバイス構成用の外部サーバーの構成を参照してください。

アーカイブデバイス構成用の外部サーバーの構成

デバイスの実行コンフィギュレーションをアーカイブするための外部 SFTP サーバーを構成できます。

始める前に

外部サーバーで SSH、SFTP、SCP が有効になっていることを確認します。

手順

ステップ 1

左上隅にあるメニューアイコンをクリックして次を選択します。 [System] > [Settings] > [Configuration Archive] を選択します。

ステップ 2

[Configuration Archive] ウィンドウで、[External] タブをクリックします。

ステップ 3

[Add] をクリックして、[External Repository] を追加します。

（注）

追加できる SFTP サーバーは 1 つだけです。

ステップ 4

[Add New External Repository] スライドインペインで、次の詳細を入力します。

[Host]：ホストの IP アドレスを入力します。

[Root Location]：ルートフォルダの場所を入力します。

（注）

ルートの場所のパスが相対パスではなく絶対パスであることを確認します。
外部サーバーのルートの場所は空である必要があります。

[Server Protocol]：SFTP サーバーのユーザー名、パスワード、ポート番号を入力します。

[Backup Format] を選択します。

[RAW]：実行コンフィギュレーションがすべて公開されます。すべての機密設定とプライベート設定は、バックアップデータでマスク解除されます。パスワードを入力して、バックアップファイルをロックします。

（注）

ファイルのパスワードは Cisco DNA Center に保存されません。SFTP サーバー上のファイルにアクセスするには、パスワードを覚えておく必要があります。

[Sanitized (Masked)]：実行コンフィギュレーションの機密設定とプライベート設定の詳細がマスクされます。

パスワードは、RAW バックアップ形式を選択した場合にのみ適用されます。

バックアップサイクルをスケジュールします。

バックアップの日付、時刻、タイムゾーン、およびバックアップの繰り返し間隔を入力します。

ステップ 5

[Save] をクリックします。

ステップ 6

SFTP サーバーの詳細を編集するには、[Action] 列の編集ボタンをクリックします。

ステップ 7

SFTP サーバーを削除するには、[Action] 列の下にある削除ボタンをクリックします。

整合性検証

整合性検証（IV）では、主要なデバイスデータに対する、デバイス侵害の可能性を示す予期しない変更または無効な値を監視します（該当する場合）。この目的は、シスコデバイスに対する不正な変更の検出時間を大幅に短縮することで、侵害の影響を最小限に抑えることにあります。

（注）

このリリースでは、IV で Cisco DNA Center にアップロードされたソフトウェアイメージの整合性検証チェックを実行します。整合性検証チェックを実行するために、IV サービスは、Known Good Value（KGV）ファイルをアップロードする必要があります。

KGV ファイルのアップロード

セキュリティの整合性を提供するために、真正かつ有効なソフトウェアを実行しているものとしてシスコデバイスを検証する必要があります。現在、シスコデバイスには、真正なシスコソフトウェアを実行しているかどうかを判別するための参照ポイントがありません。IV では、収集されたイメージ整合性データをシスコソフトウェアの KGV と比較するためのシステムを使用します。

シスコは、その多くの製品の KGV が含まれる KGV データファイルを生成および発行しています。この KGV ファイルは標準の JSON 形式であり、シスコによって署名され、他のファイルとともに単一の KGV ファイルにバンドルされ、シスコの Web サイトから入手できます。KGV ファイルは、次の場所に掲載されています。

https://tools.cisco.com/cscrdr/security/center/files/trust/Cisco_KnownGoodValues.tar

KGV ファイルは IV にインポートされ、ネットワークデバイスから取得した整合性の測定を検証するために使用されます。

（注）

デバイス整合性の測定値は IV に提供され、IV 内で完全に使用されます。IV と cisco.com の間の接続は必要ありません。KGV ファイルを保護された環境にエアギャップ転送し、IV にロードできます。

始める前に

SUPER-ADMIN-ROLE 権限を持つユーザのみがこの手順を実行することができます。

手順

ステップ 1

左上隅にあるメニューアイコンをクリックして次を選択します。[System] > [Settings] > [External Services] > [Integrity Verification] の順に選択します。

ステップ 2

現在の KGV ファイル情報を確認します。

[File Name]：KGV tar ファイルの名前。
[Imported By]：KGV ファイルをインポートした Cisco DNA Center ユーザー。自動的にダウンロードされる場合、値は [System] です。
[Imported Time]：KGV ファイルがインポートされた時刻。
[Imported Mode]：ローカルまたはリモートのインポートモード。
[Records]：処理されたレコード。
[File Hash]：KGV ファイルのファイルハッシュ。
[Published]：KGV ファイルの発行日。

ステップ 3

KGV ファイルをインポートするには、次のいずれかの手順を実行します。

KGV ファイルをローカルにインポートするには、[Import New from Local] をクリックします。
KGV ファイルを cisco.com からインポートするには、[Import Latest from Cisco] をクリックします。

（注）

[Import Latest from Cisco] オプションでは、ファイアウォール設定は必要ありません。ただし、ファイアウォールがすでに設定されている場合は、https://tools.cisco.com への接続のみを開く必要があります。

ステップ 4

[Import Latest from Cisco] をクリックした場合は、cisco.com への接続が行われ、最新の KGV ファイルが自動的に Cisco DNA Center にインポートされます。

（注）

https://tools.cisco.com へのセキュアな接続は、Cisco DNA Center とそのプロキシ（初回セットアップ時に設定された場合）に追加された証明書を使用して行われます。

ステップ 5

[Import New from Local] をクリックした場合は、[Import KGV] ウィンドウが表示されます。

ステップ 6

次の手順のいずれかを実行してローカルにインポートします。

ローカル KGV ファイルを [Import KGV] フィールドにドラッグアンドドロップします。
[Click here to select a KGV file from your computer] をクリックして、ご使用のコンピュータ上のフォルダから KGV ファイルを選択します。
[Latest KGV file] リンクをクリックし、最新の KGV ファイルをダウンロードしてから、そのファイルを [Import KGV] フィールドにドラッグアンドドロップします。

ステップ 7

[Import] をクリックします。

KGV ファイルが Cisco DNA Center にインポートされます。

ステップ 8

インポートが完了したら、GUI で現在の KGV ファイル情報を検証し、ファイルが更新されたことを確認します。

IV は、Cisco DNA Center が展開されてから 7 日後に最新の KGV ファイルを cisco.com からシステムに自動的にダウンロードします。自動ダウンロードは 7 日ごとに継続されます。KGV ファイルをローカルシステムに手動でダウンロードして、Cisco DNA Center にインポートすることもできます。たとえば、金曜日に新しい KGV ファイルが使用可能になり、自動ダウンロードが 7 日ごと（月曜日）に行われる場合は、手動でダウンロードできます。

次の KGV 自動ダウンロード情報が表示されます。

[Frequency]：自動ダウンロードの頻度。
[Last Attempt]：KGV スケジューラが最後にトリガーされた時間。
[Status]：KGV スケジューラの最後の試行のステータス。

[Message]：ステータスメッセージ。

（注）

最新の KGV ファイルをインポートするときにエラーが見つかった場合は、エラーメッセージが表示されます。このエラーメッセージは複数の言語に翻訳されるようになりました。

次のタスク

最新の KGV ファイルをインポートしたら、[Design] > [Image Repository] を選択して、インポートされたイメージの整合性を表示します。

（注）

すでにインポートされたイメージが検証不能ステータス（物理または仮想）である場合は、KGV ファイルをインポートした効果を [Image Repository] ウィンドウで確認できます。さらに、将来のイメージインポートでも、新しくアップロードした KGV を検証のために参照します（該当する場合）。

IP アドレスマネージャの設定

Cisco DNA Center を外部 IP アドレスマネージャ（IPAM）と通信するように設定できます。Cisco DNA Center を使用して、IP アドレスプールの作成、予約、または削除を行うと、Cisco DNA Center はその情報を外部 IPAM に伝達します。

始める前に

外部 IP アドレスマネージャがセットアップされ、機能していることを確認します。

手順

ステップ 1

左上隅にあるメニューアイコンをクリックして次を選択します。[System] > [Settings] > [External Services] > [IP Address Manager] の順に選択します。

ステップ 2

[Server Name] フィールドに、IPAM サーバーの名前を入力します。

ステップ 3

[Server URL] フィールドに、IPAM サーバーの URL または IP アドレスを入力します。

証明書がこのサーバーに対して信頼されていないことを示す警告アイコンとメッセージが表示されます。信頼証明書を IPAM から直接インポートするには、次の手順を実行します。

警告アイコンをクリックします。

[Certificate Warning] ダイアログボックスが表示されます。
証明書の発行者、シリアル番号、および有効期限を確認します。
情報が正しい場合は、チェックボックスをクリックして Cisco DNA Center による IP アドレスへのアクセスを許可し、信頼できない証明書を信頼できる証明書に追加します。
[Allowed] をクリックします。

ステップ 4

[Username] および [Password] フィールドに、IPAM ログイン情報を入力します。

ステップ 5

[Provider] ドロップダウンリストからプロバイダーを選択します。

（注）

[BlueCat] をプロバイダとして選択した場合は、自分のユーザーに、BlueCat アドレスマネージャの API アクセスが許可されていることを確認します。1 人または複数のユーザーの API アクセスを設定する方法に関する詳細については、BlueCat のマニュアルを参照してください。

Cisco DNA Center を連邦情報処理標準（FIPS）モードの BlueCat と統合するには、BlueCat 9.3.0 を使用します。

ステップ 6

[View] ドロップダウンリストから、デフォルトの IPAM ネットワークビューを選択します。専用ビューが 1 つ設定されている場合、[default] のみがドロップダウンリストに表示されます。ネットワークビューが IPAM で作成され、IP アドレスプールのコンテナとして使用されます。

ステップ 7

[Save] をクリックします。

次のタスク

証明書が正常に追加されたことを確認するには、[System] > [Settings] > [Trust & Privacy] > [Trusted Certificates] に移動します。

（注）

信頼できる証明書では、証明書はサードパーティの信頼できる証明書として参照されます。

[System] > [System 360]に移動し、外部 IP アドレスマネージャ設定が正常に完了したことを確認します。

Webex 統合の設定

Cisco DNA Center はクライアント 360 の Webex 会議セッション情報を提供します。

手順

ステップ 1	左上隅にあるメニューアイコンをクリックして次を選択します。[System] > [Settings] > [External Services] > [Webex Integration] の順に選択します。
ステップ 2	[Authenticate to Webex] をクリックします。
ステップ 3	[Cisco Webex] ポップアップウィンドウで、電子メールアドレスを入力し、[Sign In] をクリックします。
ステップ 4	パスワードを入力し、[Sign In] をクリックします。 Webex 認証が正常に完了します。
ステップ 5	[Default Email Domain for Webex Meetings Sign-In] で、Webex ユーザーの電子メールドメインを入力し、[Save] をクリックします。 Webex ドメインは組織全体に適用され、ドメインを使用するすべてのユーザーが会議を主催したり会議に参加したりできます。
ステップ 6	（任意） [Authentication Token] で、[Delete] をクリックして Webex 認証を削除します。

AppX MS-Teams 統合の構成

アクティブ化すると、Cisco DNA Center のアプリケーション 360 ダッシュボードとクライアント 360 ダッシュボードに通話品質メトリック情報が表示されます。

始める前に

管理者権限を付与された Microsoft Teams アカウントが必要です。

手順

ステップ 1

左上隅にあるメニューアイコンをクリックして次を選択します。 [System] > [Settings] > [External Services] > [Cisco DNA - Cloud] の順に選択します。

ステップ 2

[Region] ドロップダウンリストから目的の地域を選択します。

ステップ 3

アイコンをクリックし、名前で検索して、[AppX MS-Teams] を見つけます。

ステップ 4

[Activate] をクリックします。

[Cisco DNA - Cloud] ウィンドウにリダイレクトされます。

ステップ 5

[Cisco DNA - Cloud] ウィンドウで、次の手順を実行します。

cisco.com ログイン情報を使用して [Cisco DNA - Cloud] にログインします。

cisco.com ログイン情報がない場合は、作成することができます。
[Activate application on your product] ウィンドウで、同意フローリンクをクリックして、次の手順を実行します。
- [Sign in to your account] ウィンドウで、Microsoft 管理者のユーザー名とパスワードを入力し、[Sign In] をクリックします。
- [Accept] をクリックします。
[Activate application on your product] ウィンドウで、アクティブ化する製品を選択し、[Next] をクリックします。

新しい製品を登録するには、こちらのリンクをクリックして、次の手順を実行します。
- [Host name/IP] フィールドに、製品の IP アドレスを入力します。
- [Product Name] フィールドに、製品の名前を入力します。
- [Type] フィールドに、製品のタイプを入力します。
- [Register] をクリックします。
Cisco DNA - Cloud が Cisco DNA Center と自動的に同期します。その後、[Choose the Scope for your Cisco DNA Center] ウィンドウにリダイレクトされます。 [Next] をクリックします。
[Summary] ウィンドウで、設定を確認します。変更するには、[Edit] をクリックします。

[Activate] をクリックします。

Cisco DNA Center に再びリダイレクトされます。

（注）

製品を非アクティブ化するか、AppX MS-Teams アプリケーションから接続解除する場合は、Cisco DNA - Cloud を使用した AppX MS-Teams 統合の構成を参照してください。

Cisco DNA - Cloud を使用した AppX MS-Teams 統合の構成

次の手順を使用して、Cisco DNA - Cloud サービスを介したデバイスでの MS-Teams 統合のステータスをアクティブ化、非アクティブ化、またはチェックします。

始める前に

管理者権限を付与された Microsoft Teams アカウントが必要です。

手順

ステップ 1

cisco.com ログイン情報を使用して [Cisco DNA - Cloud] にログインします。

cisco.com ログイン情報がない場合は、作成することができます。

ステップ 2

左上隅にあるメニューアイコンをクリックして次を選択します。アプリケーションと製品。

ステップ 3

[Region] ドロップダウンリストから目的の地域を選択します。

ステップ 4

アイコンをクリックし、名前で検索して、[AppX MS-Teams] を見つけます。

ステップ 5

[AppX MS-Teams] タイルで、[Activate] をクリックします。詳細については、AppX MS-Teams 統合の構成を参照してください。

ステップ 6

製品がアクティブ化されたら、[Exit] をクリックします。

ステップ 7

[Applications] ウィンドウにリダイレクトされます。

ステップ 8

[AppX MS-Team] タイルをクリックして、[App 360] ウィンドウに詳細を表示します。

ステップ 9

（オプション）[App 360] ウィンドウから製品をアクティブ化するには、次の手順を実行します。

[Product Activations] テーブルで、[Add] をクリックします。

アクティブ化する製品を選択し、[Next] をクリックします。

（注）

一度に複数の製品を選択することはできません。

[Summary] ウィンドウで、設定を確認します。変更するには、[Edit] をクリックします。それ以外の場合は、[Activate] をクリックします。

ステップ 10

（オプション）製品を非アクティブ化するには、次の手順を実行します。

[AppX MS-Teams] タイルをクリックします。
[Product Activations] テーブルで、非アクティブ化する製品の横にあるチェックボックスをオンにします。
[More Action] ドロップダウンリストから、[Deactivate] を選択します。
確認ウィンドウで、[Deactivate] をクリックします。

ステップ 11

（オプション）AppX MS-Teams アプリケーションから製品の接続を解除するには、次の手順を実行します。

[AppX MS-Teams] タイルをクリックして、[App 360] ウィンドウに詳細を表示します。
上部のメニューバーで、[View all details] をクリックします。

[Details] スライドインペインが表示されます。
[Disconnect now] をクリックします。

ThousandEyes の統合の構成

外部 ThousandEyes API エージェントと通信するように Cisco DNA Center を構成して、認証トークンを使用して ThousandEyes の統合を有効にできます。統合後、Cisco DNA Center はアプリケーションヘルスダッシュボードに ThousandEyes エージェントのテストデータを提供します。

ThousandEyes 統合を機能させるには、デバイスに ThousandEyes エージェントを展開する際に、[Provision] > [Network Devices] > [Inventory] テーブルの [Device Name] と同様のエージェントホスト名を設定する必要があります。

始める前に

Cisco Catalyst 9300 および 9400 シリーズスイッチをサポートするアプリケーションホスティングを介して ThousandEyes エージェントを展開したことを確認します。

手順

ステップ 1

左上隅にあるメニューアイコンをクリックして次を選択します。[System] > [Settings] > [External Services] > [ThousandEyes Integration] の順に選択します。

ステップ 2

[Insert new token here] フィールドに、認証トークンを入力します。

（注）

OAuth ベアラートークンを受け取るには、[ThousandEyes] ページに移動します。https://app.thousandeyes.com/

ステップ 3

[Save] をクリックします。

ThousandEyes が有効になっています。

ステップ 4

（オプション）[Delete] をクリックして、OAuth ベアラートークンを削除します。

デバッグログの設定

サービスの問題のトラブルシューティングに役立てるために、Cisco DNA Center サービスのログレベルを変更できます。

ログレベルによって、ログファイルでキャプチャされるデータ量が違います。各ログレベルは累積的です。つまり、各レベルには、指定されたレベル以上のレベルで生成されたデータがあれば、すべて含まれます。たとえば、ログレベルを [Info] に設定すると、[Warn] および [Error] ログもキャプチャされます。より多くのデータをキャプチャして、問題のトラブルシューティングに役立つようにログレベルを調整することをお勧めします。たとえば、ログレベルを調整することで、より多くのデータをキャプチャし、根本原因分析または RCA サポートファイルで確認できるようになります。

サービスのデフォルトのログレベルには情報提供（[Info]）が含まれています。情報提供からのログレベルを、さまざまなログレベル（[Debug] または [Trace]）に変更して、より詳細な情報をキャプチャできます。

注意	開示される可能性がある情報のタイプによっては、[Debug] レベル以上で収集されたログでアクセスを制限する必要があります。

（注）

ログファイルが作成されると Cisco DNA Center ホストの一元的な場所に保存され、GUI で表示されます。この場所から、Cisco DNA Center は、GUI（[System] > [System 360] > [Log Explorer]）でログを照会して表示できます。ログは、過去 2 日間のクエリにのみ使用できます。2 日以上経過したログは、この場所から自動的に消去されます。

始める前に

SUPER-ADMIN-ROLE 権限を持つユーザのみがこの手順を実行することができます。

手順

ステップ 1	左上隅にあるメニューアイコンをクリックして次を選択します。[System] > [Settings] > [System Configuration] > [Debugging Logs] の順に選択します。 [Debugging Logs] ウィンドウが表示されます。
ステップ 2	[Service] ドロップダウンリストからサービスを選択し、そのログレベルを調節します。 [Service] ドロップダウンリストには、現在 Cisco DNA Center に設定され、実行中のサービスが表示されます。
ステップ 3	[Logger Name] を入力します。これは、ロギングフレームワークにメッセージを出力するソフトウェアコンポーネントを制御するために追加された高度な機能です。この機能を使用する際は、十分注意してください。この機能を誤用すると、テクニカルサポートのために必要な情報が失われる可能性があります。ログメッセージは、ここで指定されたロガー（パッケージ）に対してのみ書き込まれます。デフォルトでは、ロガー名には `com.cisco` で始まるパッケージが含まれています。追加のパッケージ名はカンマ区切り値として入力できます。明示的に指示されていない限り、デフォルト値は削除しないでください。`*` を使用すると、すべてのパッケージがログに記録されます。
ステップ 4	[Logging Level] ドロップダウンリストで、サービスの新しいログレベルを選択します。 Cisco DNA Center では次のログレベルがサポートされています（詳細は以下、降順）。 [Trace]：トレースメッセージ [Debug]：デバッグメッセージ [Info]：正常だが重要な状態メッセージ [Warn]：警告状態メッセージ [Error]：エラー状態メッセージ
ステップ 5	[Time Out] フィールドで、ログレベルの期間を選択します。ログレベルの期間を 15 分単位で設定します（～無制限）。期間を無制限に指定する場合、トラブルシューティング作業が完了するたびに、デフォルトのログレベルをリセットする必要があります。
ステップ 6	選択内容を確認し、[Save] をクリックします。

ネットワークの再同期間隔の設定

[System] > [Settings] > [Network Resync Interval] の順に選択すると、グローバルレベルですべてのデバイスのポーリング間隔を更新できます。また、[Device Inventory] を選択すると、デバイスレベルで特定のデバイスのポーリング間隔を更新できます。[Network Resync Interval] を使用してポーリング間隔を設定すると、その値が [Device Inventory] ポーリング間隔値よりも優先されます。

始める前に

SUPER-ADMIN-ROLE 権限を持つユーザのみがこの手順を実行することができます。
インベントリにデバイスがあることを確認します。デバイスがない場合は、ディスカバリ機能を使用して検出します。

手順

ステップ 1	左上隅にあるメニューアイコンをクリックして次を選択します。[System] > [Settings] > [Device Settings] > [Network Resync Interval] の順に選択します。
ステップ 2	[Resync Interval] フィールドに、新しい時間値（分）を入力します。
ステップ 3	（オプション）すべてのデバイスに対して設定された既存のポーリング間隔をオーバーライドする場合は、[Override for all devices] チェックボックスをオンにします。
ステップ 4	[Save] をクリックします。

監査ログの表示

監査ログは、Cisco DNA Centerで実行されているさまざまなアプリケーションに関する情報を取得します。さらに、監査ログは、デバイス Public Key Infrastructure（PKI）通知についての情報も取得します。これらの監査ログの情報は、アプリケーションまたはデバイス CA 証明書に関連する問題（ある場合）のトラブルシューティングを支援するために使用できます。

監査ログは、発生したシステムイベント、発生した場所、開始したユーザーを記録するシステムでもあります。監査ログを使用すると、監査用の別のログファイルにシステムの設定変更が記録されます。

手順

ステップ 1

左上隅にあるメニューアイコンをクリックして次を選択します。[Activities] > [Audit Logs] の順に選択します。

[Audit Logs] ウィンドウが開きます。このウィンドウで、ネットワーク内の現在のポリシーに関するログを表示できます。これらのポリシーは、Cisco DNA Center にインストールされているアプリケーションによってネットワークデバイスに適用されます。

ステップ 2

タイムラインスライダをクリックして、ウィンドウに表示するデータの時間範囲を次のとおり指定します。

[Time Range] 領域で、[Last 2 Weeks]、[Last 7 Days]、[Last 24 Hours]、または [Last 3 Hours] の時間範囲を選択します。
カスタム範囲を指定するには、[By date] をクリックし、開始日時と終了日時を指定します。
[Apply] をクリックします。

ステップ 3

対応する子監査ログを表示するには、監査ログの横にある矢印をクリックします。

各監査ログは、いくつかの子監査ログの親になることができます。矢印をクリックすると、一連の追加の子監査ログを表示できます。

（注）

監査ログは、Cisco DNA Center によって実行されたタスクに関するデータをキャプチャします。子監査ログは、Cisco DNA Center によって実行されたタスクのサブタスクです。

ステップ 4

（任意）左側のペインに表示された監査ログのリストで特定の監査ログメッセージをクリックします。右側のペインで [Event ID] > [Copy Event ID to Clipboard] をクリックします。コピーされた ID を API で使用すると、イベント ID に基づく監査ログメッセージを取得できます。

監査ログの右側のペインに各ポリシーの [Description]、[User]、[Interface]、[Destination] が表示されます。

（注）

監査ログには、ペイロード情報を含む POST、DELETE、PUT などのノースバウンド操作の詳細と、デバイスにプッシュされた設定などのサウスバウンド操作の詳細が表示されます。Cisco DevNet の API の詳細については、『 CISCO DNA Center PlatformIntent APIs』を参照してください。

ステップ 5

（任意）[Filter] をクリックして、[User ID]、[Log ID]、または [Description] でログをフィルタリングします。

ステップ 6

[Subscribe] をクリックして監査ログイベントを登録します。

syslog サーバーのリストが表示されます。

ステップ 7

登録する syslog サーバーのチェックボックスをオンにし、[Save] をクリックします。

（注）

監査ログイベントの登録を解除するには、syslog サーバーのチェックボックスをオフにして [Save] をクリックします。

ステップ 8

右側のペインで、[Search] フィールドを使用して、ログメッセージ内の特定のテキストを検索します。

ステップ 9

左上隅にあるメニューアイコンをクリックして次を選択します。[Activities] > [Scheduled Tasks] で、OS の更新やデバイスの交換などの予定、進行中、完了および失敗の管理タスクを確認します。

ステップ 10

左上隅にあるメニューアイコンをクリックして次を選択します。[Activities] > [Work Items] タブで、進行中、完了、および失敗の作業項目を確認します。

Syslog サーバーへの監査ログのエクスポート

セキュリティに関する推奨事項：より安全で簡単なログモニタリングのために、監査ログを Cisco DNA Center からネットワーク内のリモート Syslog サーバーにエクスポートすることを強く推奨します。

syslog サーバーを複数登録することで、監査ログを Cisco DNA Center から複数の syslog サーバーにエクスポートできます。

始める前に

[System] > [Settings] > [External Services] > [Destinations] > [Syslog] 領域で syslog サーバーを設定します。

手順

ステップ 1	左上隅にあるメニューアイコンをクリックして次を選択します。[Activities] > [Audit Logs] の順に選択します。
ステップ 2	[Subscribe] をクリックします。
ステップ 3	登録する syslog サーバーを選択し、[Save] をクリックします。
ステップ 4	（任意）登録を解除するには、syslog サーバーの選択を解除し、[Save] をクリックします。

API を使用した Syslog サーバーでの監査ログの表示

Cisco DNA Center プラットフォームでは、API を使用して Syslog サーバーの監査ログを表示できます。[Developer Toolkit] の [Create Syslog Event Subscription] API を使用して、監査ログイベントの syslog サブスクリプションを作成できます。

監査ログイベントが発生するたびに、Syslog サーバーで監査ログイベントがリストされます。

設定の可視性と制御の有効化

[Visibility and Control of Configurations] 機能は、計画したネットワーク構成をデバイスに展開する前にセキュリティを強化するソリューションを提供します。優れた可視化機能により、デバイス構成を展開する前にプレビューできます（CLI および NETCONF コマンドを使用）。可視化機能はデフォルトで有効になっています。可視化機能が有効になっている場合は、確認するまでデバイス設定を展開できません。強化された制御により、計画されたネットワーク設定を IT サービス管理（ITSM）に送信して承認できます。制御が有効になっている場合は、IT 管理者が承認するまで設定を展開できません。

（注）

タスク展開のスケジュール時に次のバナーメッセージが表示される場合、ワークフローで可視性と制御がサポートされます。

このワークフローでは、ネットワーク管理者などのユーザーがネットワークデバイスにワークフローを展開する前に、設定をプレビューできます。ワークフロー設定を構成するには、[System] > [Settings] > [Visibility and Control of Configurations]に移動します。

始める前に

[ITSM Approval] を有効にできるように、Cisco DNA Center で ITSM が有効になっており、かつ設定されていることを確認します。ITSM を有効にし、設定する方法については、『Cisco DNA Center ITSM Integration Guide』の「Configure the Cisco DNA Center Automation Events for ITSM (ServiceNow) Bundle」を参照してください。

手順

ステップ 1

左上隅にあるメニューアイコンをクリックして次を選択します。 [System] > [Settings] > [System Configuration] > [Visibility and Control of Configurations] の順に選択します。

ステップ 2

[Configuration Preview] トグルボタンをクリックして、可視性を有効または無効にします。

可視性を有効にした場合、デバイス設定を展開する前にプレビューする必要があります。

可視性を無効にした場合、デバイス設定を展開する前にプレビューを強制されなくなります。可視性が無効になっている場合は、プレビューの要否にかかわらず設定をスケジュールして展開できます。

ステップ 3

（任意） [ITSM Approval] トグルボタンをクリックして制御を有効または無効にします。

制御を有効にした場合、計画したネットワーク構成を展開する前に、ITSM 管理者に送信して承認を受ける必要があります。

制御を無効にした場合、計画したネットワーク構成を展開する前の ITSM の承認が不要になります。制御が無効になっている場合、ITSM の承認なしで設定を展開できます。

タスクと作業項目の表示

Cisco DNA Center で、実行中のタスクと作業項目、完了したタスクと作業項目、および失敗したタスクと作業項目に関する情報を表示できます。

タスクは、ユーザーまたはシステムがスケジュール設定した操作であり、繰り返される可能性があります。タスクがある場合、これは、スケジュールどおりに展開するために完了する必要がある対応する作業項目がないことを意味します。

手順

高可用性

VMware vSphere 高可用性（HA）は、同じ vSphere クラスタ内の仮想マシンとそのホストをリンクすることで、ESXi 上の Cisco DNA Center に高可用性を提供します。vSphere HA が機能するには、共有ストレージが必要です。ホストに障害が発生すると、仮想マシンが代替ホストで再起動します。vSphere HA はその設定に基づいて障害に対応し、vSphere HA は次のレベルで障害を検出します。

ホストレベル
仮想マシン（VM）レベル
アプリケーションレベル

現在のリリースでは、 Cisco DNA Center はホストレベルの障害に対する高可用性のみをサポートします。

ホストレベルの障害に対する VMware vSphere の設定

ホストレベルの障害に対して vSphere HA を設定するには、次の手順を実行します。

始める前に

Cisco DNA Center 仮想アプライアンスが、障害が発生したホストを引き継ぐには、少なくとも 2 つのホストに、ESXi 上の Cisco DNA Center リリースノートで説明されている未予約の CPU/メモリリソースが必要です。

（注）

Cisco DNA Center 仮想アプライアンスに、障害が発生したホストを引き継ぐための十分なリソースを確保するために、適切な設定で HA アドミッションコントロールを有効にします。この設定では、システムに影響を与えることなく仮想アプライアンスを別のホストで再起動できるようにする必要があります。必要なリソースが予約されていない場合、リソース不足のために、フェールオーバーホストで再起動した仮想アプライアンスに障害が発生する可能性があります。

手順

ステップ 1	vSphere クライアントにログインします。
ステップ 2	デバイスメニューで適切な Cisco DNA Center クラスタを選択します。
ステップ 3	クラスタを設定するには、[Configure] > [Services] > [vSphere Availability] を選択します。
ステップ 4	右上隅の [Edit] をクリックします。
ステップ 5	トグルボタンをクリックして vSphere HA を有効にします。
ステップ 6	[Failures and responses] を選択し、次の設定を指定します。トグルボタンをクリックしてホストモニタリングを有効にします。 [Host Failure Response] ドロップダウンリストに移動し、[Restart VMs] を選択します。

vSphere HA、ホストモニタリング、およびホスト障害対応の設定。

ステップ 7

[OK] をクリックします。

ESXi 上の Cisco DNA Center 仮想マシンの優先再起動の設定

ホスト障害時に ESXi 上の Cisco DNA Center 仮想アプライアンスが優先的に再起動するようにするには、次の手順を実行します。

手順

ステップ 1	vSphere クライアントにログインします。
ステップ 2	デバイスメニューで適切な ESXi 上の Cisco DNA Center クラスタを選択します。
ステップ 3	クラスタを設定するには、[Configure] > [VM Overrides] > [ADD] を選択します。
ステップ 4	[Select a VM] ウィンドウで、展開済みの ESXi 上の Cisco DNA Center 仮想マシンを選択します。
ステップ 5	[OK] をクリックします。
ステップ 6	[Add VM Override] ウィンドウで、[vSphere HA] > [VM Restart Priority] に移動し、次の設定を指定します。 [Override] チェックボックスにマークを付けます。ドロップダウンリストから、[Highest] を選択します。

vSphere HA 仮想マシンの再起動優先順位の設定。

ステップ 7

[FINISH] をクリックします。

VMware vSphere 製品に関する資料

ESXi 上の Cisco DNA Center は、 VMware vSphere HA 機能を通じて高可用性をサポートします。vSphere HA クラスタを作成および使用するための VMware vSphere の実装と要件については、次の VMware vSphere 製品ドキュメントを参照してください。

VMware High Availability の製品データシート（PDF）
『VMware Infrastructure: Automating High Availability (HA) Services with VMware HA』（PDF）
「How vSphere HA Works」（HTML）
「vSphere HA Checklist」（HTML）

統合設定の設定

ファイアウォールなどのルールが、Cisco DNA Center と Cisco DNA Center プラットフォームと通信する必要があるサードパーティ製アプリケーションの間に存在する場合は、[Integration Settings] を設定する必要があります。Cisco DNA Center の IP アドレスが、インターネットや外部ネットワークに接続する別の IP アドレスに内部的にマッピングされる場合には、このような事例が発生します。

重要	Cisco DNA Center のバックアップおよび復元後、[Integration Settings] ページにアクセスし、（必要に応じて）次の手順を使用して [Callback URL Host Name] または [IP Address] を更新する必要があります。

始める前に

Cisco DNA Center プラットフォームをインストールしておきます。

手順

ステップ 1

左上隅にあるメニューアイコンをクリックして次を選択します。 [System] > [設定] > [Integration Settings] の順に選択します。

ステップ 2

サードパーティ製アプリケーションが Cisco DNA Center プラットフォームと通信するときに接続する必要がある [Callback URL Host Name] または [IP Address] を入力します。

（注）

[Callback URL Host Name] または [IP Address] は、Cisco DNA Center に内部的にマッピングされている外部向けホスト名または IP アドレスです。3 ノードクラスタセットアップの VIP アドレスを設定します。

ステップ 3

[Apply] をクリックします。

ログインメッセージの設定

Cisco DNA Center にログインしたすべてのユーザーに表示されるメッセージを設定できます。

始める前に

SUPER-ADMIN-ROLE またはシステム管理権限を持つ CUSTOM-ROLE のユーザーのみがこの手順を実行することができます。

手順

ステップ 1

左上隅にあるメニューアイコンをクリックして次を選択します。[System] > [Settings] > [System Configuration] > [Login Message] の順に選択します。

ステップ 2

[Login Message] テキストボックスにメッセージを入力します。

ステップ 3

[Save] をクリックします。

このメッセージは、Cisco DNA Center ログインページの [Log In] ボタンの下に表示されます。

後でこのメッセージを削除する場合は、次の手順を実行します。

[Login Message Settings] ページに戻ります。
[Clear] をクリックし、[Save] をクリックします。

プロキシの設定

ESXi 上の Cisco DNA Center と管理しているネットワークデバイスとの間の仲介として設定されているプロキシサーバーがある場合は、プロキシサーバーへのアクセスを設定する必要があります。

（注）

ESXi 上の Cisco DNA Center は、Windows New Technology LAN Manager（NTLM）認証を使用するプロキシサーバーをサポートしていません。

始める前に

SUPER-ADMIN-ROLE 権限を持つユーザーのみがこの手順を実行することができます。詳細については、ユーザロールの概要を参照してください。

手順

ステップ 1

[System] > [Settings] > [System Configuration] 左上隅にあるメニューアイコンをクリックして次を選択します。。

ステップ 2

[System Configuration] ドロップダウンリストから、[Proxy] > [Outgoing Proxy]を選択します。

ステップ 3

プロキシサーバーの URL アドレスを入力します。

ステップ 4

プロキシサーバーのポート番号を入力します。

（注）

HTTP の場合、ポート番号は通常 80 です。
ポート番号の範囲は 0 ～ 65535 です。

ステップ 5

（オプション）プロキシサーバーが認証を必要とする場合、[Update] をクリックして、プロキシサーバーにアクセスするためのユーザー名とパスワードを入力します。

ステップ 6

[Validate Settings] チェックボックスをオンにし、適用時に ESXi 上の Cisco DNA Center でプロキシ構成時の設定が検証されるようにします。

ステップ 7

選択内容を確認し、[Save] をクリックします。

選択内容をキャンセルするには、[Reset] をクリックします。既存のプロキシ設定を削除するには、[Delete] をクリックします。

プロキシを設定した後、[Proxy] ウィンドウに設定を表示できます。

重要	ESXi 上の Cisco DNA Center サービスがプロキシサーバーの設定で更新されるまでに最大 5 分かかることがあります。

セキュリティに関する推奨事項

Cisco DNA Center は、それ自体とモニターおよび管理対象のホスト/ネットワークデバイス用の多数のセキュリティ機能を提供します。セキュリティ機能は、明確に理解して、正しく設定する必要があります。次のセキュリティに関する推奨事項に従うことを強く推奨します。

Cisco DNA Center は、プライベート内部ネットワーク内、およびインターネットなどの信頼できないネットワークに対して Cisco DNA Center を開いていないファイアウォールの背後に導入してください。
管理ネットワークとエンタープライズネットワークが個別にある場合は、Cisco DNA Center の管理インターフェイスとエンタープライズインターフェイスをそれぞれ管理ネットワークとエンタープライズネットワークに接続してください。これにより、Cisco DNA Center の管理に使用されるサービスと、ネットワークデバイスとの通信および管理に使用されるサービスとの間で確実にネットワーク分離が行われます。
3 ノードクラスタセットアップで Cisco DNA Center を展開する場合は、クラスタインターフェイスが分離されたネットワークに接続されていることを確認してください。
パッチのアナウンス後できる限り早急に、セキュリティパッチを含む重要なアップグレードで Cisco DNA Center をアップグレードしてください。詳細については、『Cisco DNA CenterUpgrade Guide』を参照してください。
HTTPS プロキシサーバーを使用する Cisco DNA Center によってアクセスされるリモート URL を制限してください。Cisco DNA Center は、インターネット経由でアクセスして、ソフトウェアアップデート、ライセンス、デバイスソフトウェアをダウンロードしたり、最新のマップ情報、ユーザーフィードバックなどを提供したりするように設定されています。これらの目的でインターネット接続を提供することは必須要件です。ただし、HTTPS プロキシサーバーを介して安全な接続を提供します。
既知の IP アドレスおよび範囲のみを許可し、未使用のポートへのネットワーク接続をブロックすることにより、ファイアウォールを使用した Cisco DNA Center への入力および出力管理とエンタープライズネットワーク接続を制限してください。
Cisco DNA Center の自己署名サーバー証明書を、内部認証局（CA）によって署名された証明書に置き換えてください。
使用しているネットワーク環境で可能な場合は、SFTP 互換モードを無効にします。このモードでは、レガシーネットワークデバイスが古い暗号スイートを使用して Cisco DNA Center に接続できます。
ブラウザベースのアプライアンス設定ウィザードを無効にします。このウィザードには、自己署名証明書が付属しています。

プロキシ証明書の設定

ネットワーク構成によっては、プロキシゲートウェイは、Cisco DNA Center と管理するリモートネットワーク（さまざまなネットワークデバイスを含む）の間に存在する可能性があります。80 や 443 などの一般的なポートは DMZ のゲートウェイプロキシを通過します。このため、Cisco DNA Center 用に設定されたネットワークデバイスからの SSL セッションは、プロキシゲートウェイで終了することになります。したがって、これらのリモートネットワーク内にあるネットワークデバイスは、プロキシゲートウェイ経由でのみ Cisco DNA Center と通信できます。ネットワークデバイスが Cisco DNA Center または、（存在する場合は）プロキシゲートウェイと安全で信頼できる接続を確立するため、ネットワークデバイスは、関連する CA ルート証明書で、または特定の状況ではサーバー独自の証明書を使って、適切にプロビジョニングされた PKI トラストストアを保有する必要があります。

PnP 検出/サービスによってデバイスのオンボード中にそのようなプロキシが配置されている場合は、ネットワークデバイスが安全に Cisco DNA Center を信頼および認証できるように、プロキシと Cisco DNA Center サーバー証明書を同一にすることを推奨します。

プロキシゲートウェイが Cisco DNA Center と管理対象のリモートネットワークの間に存在するネットワークトポロジでは、次の手順を実行してプロキシゲートウェイ証明書を Cisco DNA Center にインポートします。

始める前に

SUPER-ADMIN-ROLE 権限を持つユーザのみがこの手順を実行することができます。
Cisco DNA Center とそのサービスに到達するプロキシゲートウェイの IP アドレスを使用する必要があります。
プロキシゲートウェイで現在使用されている証明書ファイルを持っている必要があります。証明書ファイルの内容は、次のいずれかで構成されている必要があります。
- PEM または DER 形式のプロキシゲートウェイの証明書、および自己署名された証明書。
- PEM または DER 形式のプロキシゲートウェイの証明書、および有効な既知の CA によって発行された証明書。
- PEM または DER 形式のプロキシゲートウェイの証明書とそのチェーン。

デバイスとプロキシゲートウェイで使用される証明書は、次の手順に従って、Cisco DNA Center にインポートする必要があります。

手順

ステップ 1

左上隅にあるメニューアイコンをクリックして次を選択します。[System] > [Settings] > [System Configuration]の順に選択します。

ステップ 2

[System Configuration] ドロップダウンリストから、[Proxy] > [Incoming Proxy] を選択します。

ステップ 3

[Proxy Certificate] ウィンドウで、（存在する場合は）現在のプロキシゲートウェイ証明書のデータを表示します。

（注）

[Expiration Date and Time] は、グリニッジ標準時（GMT）値で表示されます。証明書有効期限の 2 ヵ月前に、Cisco DNA Center の GUI にシステム通知が表示されます。

ステップ 4

プロキシゲートウェイ証明書を追加するには、自己署名証明書または CA 証明書を [Drag and Drop Here] 領域にドラッグアンドドロップします。

（注）

PEM または DER ファイル（公開キー暗号化標準のファイル形式）だけが、この領域を使用して Cisco DNA Center にインポートできます。さらに、この手順には秘密キーは必要ではなく、Cisco DNA Center にアップロードもされません。

ステップ 5

[Save] をクリックします。

ステップ 6

[Proxy Certificate] ウィンドウを更新し、更新されたプロキシゲートウェイ証明書のデータを表示します。

[Proxy Certificate] ウィンドウに表示された情報は、新しい証明書名、発行者、および証明機関を反映するように変更する必要があります。

ステップ 7

プロキシゲートウェイ証明書の機能を有効にするには、[Enable] ボタンをクリックします。

[Enable] ボタンをクリックすると、プロキシゲートウェイからの要求時にコントローラがインポートされたプロキシゲートウェイ証明書を返します。[Enabled] ボタンをクリックしない場合、コントローラは独自の自己署名証明書またはインポートされた CA 証明書をプロキシゲートウェイに返します。

プロキシゲートウェイ証明書の機能が使用されている場合、[Enable] ボタンはグレー表示されます。

SSL インターセプトプロキシ証明書のアップロード

Cisco DNA Center とソフトウェアアップデートのダウンロード元である Cisco Cloud との間に設定されたプロキシサーバーで SSL 復号が有効になっている場合、正式な認証局から発行された証明書を使用してプロキシが構成されていることを確認してください。プライベート証明書を使用している場合は、次の手順を実行します。

（注）

セキュリティを強化するため、ルートシェルへのアクセスは Cisco DNA Center で無効になっています。制限付きシェルでは、ユーザーは基礎となるオペレーティングシステムとファイルシステムにアクセスできないため、運用上のリスクが軽減されます。ただし、このセクションのコマンドを使用するには、Cisco TACに連絡して、ルートシェルに一時的にアクセスする必要があります。制限付きシェルについてを参照してください。

手順

ステップ 1	プロキシサーバーの証明書（.pem 形式）を Cisco DNA Center サーバーのディレクトリに転送します。
ステップ 2	maglev ユーザーとして Cisco DNA Center サーバーに SSH で接続し、次のコマンドを入力します。`<directory>` は証明書ファイルの場所、`<proxy.pem>` はプロキシサーバーの TLS/SSL 証明書ファイルです。 `$ sudo /usr/local/bin/update_cacerts.sh -v -a /<directory>/<proxy.pem>` このコマンドは、次のような出力を返します。 `Reading CA cert from file /tmp/sdn.pem Adding certificate import_1E:94:6D:2C:81:22:BB:B2:2E:24:BD:72:57:AE:35:AD:EC:5E:71:44.crt Updating /etc/ca-certificates.conf Updating certificates in /etc/ssl/certs… 1 added, 0 removed; done. Running hooks in /etc/ca-certificates/update.d… done. Deleting tempfiles /tmp/file0PpQxV /temp/filePtmQ8U /tmp/filercR3cV`
ステップ 3	コマンド出力で、「1 added」の行を探し、追加された数がゼロでないことを確認します。チェーン内の証明書に基づき、この数は 1 または 1 を超える場合があります。
ステップ 4	次のコマンドを入力して、docker およびカタログサーバーを再起動します。 `sudo systemctl restart docker magctl service restart -d catalogserver`
ステップ 5	Cisco DNA Center GUI にログインし、次の手順を実行します。 [System] > [Settings] > [Trust & Privacy] > [Trusted Certificates] に移動し、同じ証明書をアップロードします。詳細については、信頼できる証明書の設定を参照してください。クラウド接続とC MX/Spaces 接続を確認します。

証明書および秘密キーのサポート

Cisco DNA Center は、セッション（HTTPS）の認証に使用される認証局管理機能をサポートしています。これらのセッションでは、CA と呼ばれる一般に認められた信頼されたエージェントを使用します。Cisco DNA Center は、認証局管理機能を使用して、内部 CA から X.509 証明書をインポートして保存し、管理します。インポートされた証明書は Cisco DNA Center のアイデンティティ証明書になり、Cisco DNA Center は認証のためにこの証明書をクライアントに提示します。クライアントは、ノースバウンド API アプリケーションとネットワークデバイスです。

Cisco DNA Center GUI を使用して次のファイルを（PEM または PKCS ファイル形式で）インポートできます。

X.509 証明書
秘密キー

（注）

秘密キーについては、Cisco DNA Center で RSA キーのインポートをサポートしています。ユーザー自身のキー管理システムで秘密キーを保護してください。秘密キーのモジュラスサイズは最小でも 2048 ビット必要です。

Cisco DNA Center 2.3.4.x 以前の場合、DSA、DH、ECDH、および ECDSA キータイプはサポートされていないため、インポートしないでください。Cisco DNA Center 2.3.4.x 以前では、証明書チェーンに関連付けられたリーフ証明書を含む ECDH および ECDSA の形式はサポートされません。

Cisco DNA Center 2.3.5 以降では、すべてのキータイプがサポートされます。

インポートする前に、内部 CA で発行された有効な X.509 証明書と秘密キーを取得する必要があります。証明書は所有する秘密キーに対応している必要があります。インポートすると、X.509 証明書と秘密キーに基づくセキュリティ機能が自動的にアクティブ化されます。Cisco DNA Center は証明書を、要求するデバイスまたはアプリケーションに提示します。ノースバウンド API アプリケーションとネットワークデバイスでは、これらのログイン情報を使用して Cisco DNA Center との信頼関係を確立できます。

（注）

自己署名証明書を使用したり、Cisco DNA Center にインポートしたりすることは推奨されません。内部 CA から有効な X.509 証明書をインポートすることをお勧めします。さらに、プラグアンドプレイ機能を正常に動作させるには、自己署名証明書（デフォルトで Cisco DNA Center にインストールされている）を、内部 CA によって署名された証明書に置き換える必要があります。

Cisco DNA Center は一度に 1 つのインポート済み X.509 証明書および秘密キーだけをサポートします。2 つ目の証明書および秘密キーをインポートすると、最初の（既存の）インポート済み証明書および秘密キーの値が上書きされます。

証明書チェーンのサポート

Cisco DNA Center では、GUI を介して証明書と秘密キーをインポートできます。Cisco DNA Center にインポートされる証明書（署名された証明書）につながる証明書チェーンに含まれる下位証明書がある場合は、それらの下位証明書とそれらの下位 CA のルート証明書が一緒に、インポートされる単一のファイルに追加される必要があります。これらの証明書を追加する場合は、認定の実際のチェーンと同じ順序で追加する必要があります。

次の証明書は、単一の PEM ファイルに一緒に貼り付ける必要があります。証明書のサブジェクト名と発行元を調べて、正しい証明書がインポートされ、正しい順序が維持されていることを確認してください。また、チェーンに含まれるすべての証明書が一緒に貼り付けられていることを確認してください。

[Signed Cisco DNA Center certificate]：件名フィールドに CN=<FQDN of Cisco DNA Center> が含まれていて、発行元が発行機関の CN を持っている。

（注）

内部認証局（CA）による署名入りの証明書をインストールする場合は、Cisco DNA Center へのアクセスに使用するすべての DNS 名（Cisco DNA Center の FQDN を含む）が証明書の alt_names セクションで指定されていることを確認してください。詳細については、『Cisco DNA Center Security Best Practices Guide』の「Generate a Certificate Request Using Open SSL」を参照してください。

[Issuing (subordinate) CA certificate that issues the Cisco DNA Center certificate]：件名フィールドに Cisco DNA Center の証明書を発行する（下位）CA の CN が含まれていて、発行元がルート CA の CN である。
[Next issuing (root/subordinate CA) certificate that issues the subordinate CA certificate]：件名フィールドがルート CA で、発行元が件名フィールドと同じ値である。それらが同じ値でない場合は、その次の発行元を追加していきます。

Cisco DNA Center のサーバー証明書の更新

Cisco DNA Center は、X.509 証明書と秘密キーの Cisco DNA Center へのインポートとストレージをサポートします。インポートをすると、証明書と秘密キーを使用して、Cisco DNA Center、ノースバウンド API アプリケーション、およびネットワークデバイスの間に安全で信頼できる環境を作成することができます。

GUI の [Certificates] ウィンドウを使用して、証明書と秘密キーをインポートできます。

始める前に

内部認証局によって発行された有効な X.509 証明書を取得します。証明書は、所有している秘密キーに対応している必要があります。

手順

ステップ 1

左上隅にあるメニューアイコンをクリックして次を選択します。 > [System] > [Settings] > [Trust & Privacy] > [System Certificate] の順に選択します。

ステップ 2

[System] タブで、現在の証明書データを確認します。

このウィンドウを最初に表示したときに現在の証明書として表示されるのは、Cisco DNA Center の自己署名証明書のデータです。自己署名証明書の有効期限は、数年先に設定されています。

（注）

有効期限の日時は、グリニッジ標準時（GMT）値で表示されます。証明書有効期限の 2 か月前に、Cisco DNA Center の GUI にシステム通知が表示されます。

[System] タブには次のフィールドが表示されます。

[Current Certificate Name]：現在の証明書の名前。
[Issuer]：証明書に署名し、証明書を発行したエンティティの名前。
[Expires]：証明書の有効期限。

ステップ 3

[System Certificate] ウィンドウで、[Replace Certificate] をクリックします。

初めて CSR を生成する場合、[Generate New CSR] リンクが表示されます。

それ以外の場合は、[Download existing CSR] リンクが表示されます。既存の CSR をダウンロードしてプロバイダーに送信し、証明書を生成できます。既存の CSR を使用しない場合は、[Delete existing CSR] をクリックし、次の [Confirmation] ウィンドウで [Accept] をクリックします。[Generate New CSR] リンクが表示されます。

ステップ 4

[Generate New CSR] リンクをクリックします。

ステップ 5

[Certificate Signing Request Generator] ウィンドウで、必須フィールドに情報を入力します。

ステップ 6

[Generate New CSR] をクリックします。

生成された新しい CSR は自動的にダウンロードされます。

[Certificate Signing] ウィンドウには、CSR のプロパティが表示され、次のことができます。

CSR プロパティをプレーンテキストでコピーします。
Base64 をコピーし、任意の認証局に貼り付けます。たとえば、Base64 を Microsoft 認証局に貼り付けることができます。
Base64 をダウンロードします。

ステップ 7

Cisco DNA Center にインポートする証明書のファイル形式タイプを選択します。

[PEM]：プライバシー強化メールファイル形式
[PKCS]：公開キー暗号化標準ファイル形式

（注）

[Generate New CSR] オプションを選択して証明書を要求した場合、[PKCS] ファイルタイプは無効になります。

ステップ 8

証明書発行元から p7b で証明書の完全なチェーン（サーバーおよび CA）が提供されていることを確認します。不明な場合は、次の手順を実行し、チェーンを確認して組み立てます。

p7b バンドルを DER 形式でダウンロードし、dnac-chain.p7b として保存します。
dnac-chain.p7b 証明書を Cisco DNA Center クラスタに SSH を介してコピーします。

次のコマンドを入力します。

openssl pkcs7 -in dnac-chain.p7b -inform DER -out dnac-chain.pem -print_certs

すべての証明書が出力に記載され、発行者と Cisco DNA Center 証明書が含まれていることを確認します。PEM としてアップロードを続行します。証明書がルーズファイルにある場合は、次の手順を実行して、個々のファイルをダウンロードして組み立てます。

ステップ 9

証明書発行元からルーズファイルで証明書とその発行元 CA チェーンが提供された場合は、次の手順を実行します。

PEM（base64）ファイルを収集するか、openssl を使用して DER を PEM に変換します。
証明書とその発行元 CA を連結し、証明書から下位 CA に続いてルート CA までを dnac-chain.pem ファイルに出力します。次に例を示します。

cat certificate.pem subCA.pem rootCA.pem > dnac-chain.pem
PEM としてアップロードを続行します。

ステップ 10

[PEM] ファイルの場合、次のタスクを実行します。

[Drag and Drop] 領域にファイルをドラッグアンドドロップして、 [PEM] ファイルをインポートします。

（注）

PEM ファイルには、有効な PEM 形式の拡張子（.pem）が必須です。証明書の最大ファイルサイズは 10 MB です。

アップロードに成功すると、システム証明書が検証されます。

[Drag and Drop] 領域にファイルをドラッグアンドドロップして、[Private Key] をインポートします。

（注）

秘密キーには、有効な秘密キー形式の拡張子（.key）が必須です。秘密キーの最大ファイルサイズは 10 MB です。

アップロードに成功すると、秘密キーが検証されます。

秘密キーの [Encrypted] 領域から、暗号化オプションを選択します。
暗号化を選択した場合、[Password] フィールドに秘密キーのパスワードを入力します。

ステップ 11

[PKCS] ファイルの場合、次のタスクを実行します。

[Drag and Drop] 領域にファイルをドラッグアンドドロップして、[PKCS] ファイルをインポートします。

（注）

PKCS ファイルには、有効な PKCS 形式の拡張子（.pfx または .p12）が必須です。証明書の最大ファイルサイズは 10 MB です。

アップロードに成功すると、システム証明書が検証されます。

[Password] フィールドで証明書用のパスフレーズを入力します。

（注）

PKCS の場合は、インポートした証明書もパスフレーズを必要とします。

[Private Key] フィールドについては、秘密キーの暗号化オプションを選択します。
[Private Key] フィールドで、暗号化を選択した場合は、[Password] フィールドに秘密キーのパスワードを入力します。

ステップ 12

[Save] をクリックします。

（注）

Cisco DNA Center サーバーの SSL 証明書が置き換えられると、自動的にログアウトされるため、再度ログインする必要があります。

ステップ 13

[Certificates] ウィンドウに戻り、更新された証明書データを確認します。

[System] タブに表示される情報が更新され、新しい証明書名、発行者、および認証局が反映されます。

外部 SCEP ブローカーの使用

Cisco DNA Center では、ネットワークデバイスへの証明書の登録とプロビジョニングに Simple Certificate Enrollment Protocol（SCEP）が使用されます。独自の SCEP ブローカと証明書サービスを使用したり、外部の SCEP ブローカを使用したりできます。外部 SCEP ブローカをセットアップするには、以下の手順を実行します。

（注）

SCEP の詳細については、「Simple Certificate Enrollment Protocol Overview」を参照してください。

手順

ステップ 1

左上隅にあるメニューアイコンをクリックして次を選択します。 [System] > [Settings] > [Trust & Privacy] > [Certificate Authority]。

ステップ 2

[Certificate Authority] ウィンドウで、[Use external SCEP broker] オプションボタンをクリックします。

ステップ 3

外部証明書をアップロードするには、次のいずれかのオプションを使用します。

ファイルを選択する
ドラッグアンドドロップしてアップロードする

（注）

.pem、.crt、.cer などのファイルタイプのみ使用できます。ファイルサイズは 1 MB を超えることはできません。

ステップ 4

[Upload] をクリックします。

ステップ 5

デフォルトでは、[Manages Device Trustpoint] が有効になっています。つまり、デバイスで sdn-network-infra-iwan トラストポイントが設定されます。Cisco DNA Center次の手順を実行してください。

デバイスが SCEP 経由で証明書を要求する登録 URL を入力します。
（任意）証明書で使用される任意のサブジェクトフィールド（国、地域、州、組織、組織単位など）を入力します。共通名（CN）は、デバイスのプラットフォーム ID とデバイスのシリアル番号を使用して Cisco DNA Center によって自動的に設定されます。
[Revocation Check] フィールドで、ドロップダウンリストをクリックし、適切な失効チェックオプションを選択します。
（任意）[Auto Renew] チェックボックスをオンにして、自動登録の割合を入力します。

[Manages Device Trustpoint] が無効になっている場合、デバイスが有線およびワイヤレスのアシュアランステレメトリを Cisco DNA Center に送信するようにするため、デバイスに手動で sdn-network-infra-iwan トラストポイントを設定し、証明書をインポートする必要があります。「デバイス証明書トラストポイントの設定」を参照してください。

ステップ 6

[Save] をクリックします。

外部 CA 証明書がアップロードされます。

アップロードされた外部証明書を置き換える場合は、[Replace Certificate] をクリックし、必要な詳細を入力します。

内部認証局への切り替え

外部証明書をアップロードした後、内部証明書に切り替える場合は、次の手順を実行します。

手順

ステップ 1

左上隅にあるメニューアイコンをクリックして次を選択します。 [System] > [Settings] > [Trust & Privacy] > [Certificate Authority]。

ステップ 2

[Certificate Authority] ウィンドウで、[Use Cisco DNA Center] オプションボタンをクリックします。

ステップ 3

[Switching back to Internal Certificate Authority] アラートで、[Apply] をクリックします。

[Settings have been updated] メッセージが表示されます。詳細については、認証局のロールをルートから下位に変更を参照してください。

Cisco DNA Center 認証局のエクスポート

Cisco DNA Center では、デバイスを認証するための AAA サーバーまたは Cisco ISE サーバーなどの外部エンティティの設定に必要なデバイス証明書をダウンロードできます。

手順

ステップ 1	左上隅にあるメニューアイコンをクリックして次を選択します。 [System] > [Settings] > [Trust & Privacy] > [Certificate Authority]。
ステップ 2	[Download] をクリックして、デバイス CA をエクスポートし、信頼できる CAとして外部エンティティに追加します。

証明書の管理

デバイス証明書の管理

管理対象デバイスがデバイスを認証および識別するために Cisco DNA Center によって発行された証明書を表示および管理できます。

手順

ステップ 1	左上隅にあるメニューアイコンをクリックして次を選択します。[System] > [Settings] > [Trust & Privacy] > [Device Certificate] の順に選択します。 [Device Certificate] ウィンドウには、発行された証明書のステータスが個別のステータスタブに表示されます。 [Expired] ステータスタブ：有効期限が切れた証明書のリストを表示します。 [Expiring] ステータスタブ：有効期限が近づいている証明書のリストを昇順で表示します。 [All] ステータスタブ：有効な証明書、期限切れの証明書、および期限切れ間近の証明書のリストを表示します。 [Revoked] ステータスタブ：取り消された証明書を表示します。
ステップ 2	[Device Name] と [Issue To] の値に基づいて、証明書をフィルタリングできます。
ステップ 3	有効な証明書を取り消す場合は、次の手順を実行します。 [All] ステータスタブをクリックします。 [Actions] 列で、取り消す証明書に対応する [Revoke] アイコンをクリックします。確認ウィンドウで、[OK] をクリックします。
ステップ 4	期限切れの証明書を削除するには、次の手順を実行します。 [All] ステータスタブをクリックします。 [Actions] 列で、削除する証明書に対応する [Delete] アイコンをクリックします。確認ウィンドウで、[OK] をクリックします。
ステップ 5	証明書の詳細をエクスポートする場合は、[Export] をクリックします。証明書の詳細が CSV 形式でエクスポートされます。

デバイス証明書の有効期間の設定

Cisco DNA Center では、Cisco DNA Center のプライベート（内部）CA で管理および監視しているネットワークデバイスの証明書の有効期間を変更できます。Cisco DNA Center での証明書の有効期間のデフォルト値は 365 日です。Cisco DNA Center GUI を使用して証明書の有効期間を変更すると、それ以降に Cisco DNA Center に対して証明書を要求するネットワークデバイスにその有効期間の値が割り当てられます。

（注）

デバイス証明書のライフタイム値を CA 証明書のライフタイム値より大きくすることはできません。さらに、CA 証明書の残りの有効期間が設定されたデバイスの証明書の有効期間より短い場合、デバイス証明書の有効期間の値は CA 証明書の残りの有効期間と同じになります。

手順

ステップ 1	左上隅にあるメニューアイコンをクリックして次を選択します。[System] > [Settings] > [Trust & Privacy] > [Device Certificate] の順に選択します。
ステップ 2	デバイス証明書と現在のデバイス証明書の有効期間を確認します。
ステップ 3	[Device Certificate] ウィンドウで、[Modify] をクリックします。
ステップ 4	[Device Certificate Lifetime] ダイアログボックスに、新しい値を入力します（日数）。
ステップ 5	[Save] をクリックします。

認証局のロールをルートから下位に変更

デバイス CA は Cisco DNA Center のプライベート CA であり、サーバーとクライアントの間の接続の確立と保護に使用される証明書やキーを管理します。デバイス CA のロールをルート CA から下位 CA に変更するには、次の手順を実行します。

[Certificate Authority Management] ウィンドウの GUI を使用して、プライベート（内部）Cisco DNA Center CA のロールをルート CA から下位 CA に変更できます。このロールを変更する際は、次の手順を実行します。

Cisco DNA Center が下位 CA の役割を果たすようにする場合、すでにルート CA（たとえば Microsoft CA）があり、Cisco DNA Center を下位 CA として認めているものと見なされます。
下位 CA が完全に設定されていない限り、Cisco DNA Center は内部ルート CA としての役割を継続します。

Cisco DNA Center 用の証明書署名要求ファイルを生成し（次の手順の記述に従う）、手動で外部ルート CA に署名させる必要があります。

（注）

Cisco DNA Center は、この期間中は内部ルート CA として実行し続けます。

証明書署名要求が外部ルート CA によって署名された後、GUI を使用してこの署名ファイルを Cisco DNA Center にインポートし直す必要があります（次の手順の記述に従う）。

インポート後、Cisco DNA Center は下位 CA として自身を初期化し、下位 CA の既存機能をすべて提供します。
内部ルート CA から下位 CA への切り替え前にデバイスの制御可能性が有効になっている場合（デフォルト）、新しいデバイス証明書は自動的に更新されます。
GUI に表示されている下位 CA 証明書有効期間は、証明書から読み取られたもので、システム時刻を使って計算されたものではありません。したがって今日、証明書を有効期間 1 年でインストールして来年の同じ時間に GUI で見ると、証明書の有効期間は 1 年間と表示されます。
下位 CA 証明書として PEM または DER 形式のみを使用できます。
下位 CA は上位の CA と連携しないため、上位レベルの証明書がある場合は、その失効に注意してください。このため、下位 CA からネットワークデバイスに対して、証明書の失効に関する情報が通知されることもありません。下位 CA にはこの情報がないため、すべてのネットワークデバイスは下位 CA を Cisco Discovery Protocol（CDP）送信元としてのみ使用します。

始める前に

ルート CA 証明書のコピーが必要です。

手順

ステップ 1	左上隅にあるメニューアイコンをクリックして次を選択します。 [System] > [Settings] > [Certificate Authority] の順に選択します。
ステップ 2	[CA Management] タブをクリックします。
ステップ 3	GUI で既存のルートまたは下位 CA 証明書の設定情報を確認します。 [Root CA Certificate]：現在のルート CA 証明書（外部または内部）を表示します。 [Root CA Certificate Lifetime]：現在のルート CA 証明書の最新の有効期間を表示します（日数）。 [Current CA Mode]：現在の CA モードを表示します（ルート CA または下位 CA）。 [Sub CA mode]：ルート CA から下位 CA に変更できます。
ステップ 4	[CA Management] タブで、[Sub CA Mode] チェックボックスをオンにします。
ステップ 5	[Next] をクリックします。
ステップ 6	表示される警告内容を確認します。次に例を示します。ルート CA から下位 CA に変更するプロセスは元に戻すことができません。ルート CA モードで登録された、または証明書が発行されたネットワークデバイスがないことを確認する必要があります。ネットワークデバイスを誤ってルート CA モードで登録した場合は、ルート CA から下位 CA に変更する前に、取り消しをする必要があります。下位 CA の設定プロセスが終了しなければ、ネットワークデバイスをオンラインにできません。
ステップ 7	[OK] をクリックして続行します。 [Certificate Authority Management] ウィンドウに、[Import External Root CA Certificate] フィールドが表示されます。
ステップ 8	[Import External Root CA Certificate] フィールドにルート CA 証明書をドラッグアンドドロップして、[Upload] をクリックします。ルート CA 証明書が Cisco DNA Center にアップロードされ、証明書署名要求の生成に使用されます。アップロードプロセスが完了すると、「Certificate Uploaded Successfully」というメッセージが表示されます。
ステップ 9	[Next] をクリックします。 Cisco DNA Center で証明書署名要求が生成されて表示されます。
ステップ 10	Cisco DNA Center で生成された証明書署名要求を GUI で確認し、次のアクションのいずれかを実行します。 [Download] リンクをクリックして、証明書署名要求ファイルのローカルコピーをダウンロードします。その後、この証明書署名要求ファイルを電子メールに添付して、ルート CA に送信することができます。 [Copy to the Clipboard] リンクをクリックして、証明書署名要求ファイルの内容をコピーします。その後、この証明書署名要求の内容を電子メールに貼り付けるか、電子メールに添付ファイルとして添付して、ルート CA に送信することができます。
ステップ 11	証明書署名要求ファイルをルート CA に送信します。ルート CA から下位 CA ファイルが返されます。このファイルを Cisco DNA Center にインポートし直す必要があります。
ステップ 12	ルート CA から下位 CA ファイルを受信した後、Cisco DNA Center の GUI に再度アクセスし、[Certificate Authority Management] ウィンドウに戻ります。
ステップ 13	[CA Management] タブをクリックします。
ステップ 14	[Change CA mode] ボタンの [Yes] をクリックします。 [Yes] をクリックすると、GUI に証明書署名要求が表示されます。
ステップ 15	[Next] をクリックします。 [Certificate Authority Management] ウィンドウに、[Import Sub CA Certificate] フィールドが表示されます。
ステップ 16	[Import Sub CA Certificate] フィールドに下位 CA 証明書をドラッグアンドドロップして、[Apply] をクリックします。下位 CA 証明書が Cisco DNA Center にアップロードされます。アップロードが完了すると、GUI の [CA Management] タブに、下位 CA モードが表示されます。
ステップ 17	[CA Management] タブのフィールドを確認します。 [Sub CA Certificate]：現在の下位 CA 証明書を表示します。 [External Root CA Certificate]：ルート CA 証明書を表示します。 [Sub CA Certificate Lifetime]：下位 CA 証明書の有効期間を表示します（日数）。 [Current CA Mode]：SubCA モードを表示します。

ロールオーバー下位 CA 証明書のプロビジョニング

Cisco DNA Center では、既存の下位 CA の有効期間が 70% 以上経過している場合に、ユーザーがロールオーバー下位 CA として下位証明書を適用することができます。

始める前に

下位 CA ロールオーバープロビジョニングを開始するには、認証局のロールを下位 CA モードに変更しておく必要があります。認証局のロールをルートから下位に変更を参照してください。
現在の下位 CA 証明書の有効期限が 70 % 以上経過していることが必要です。この状態になると、Cisco DNA Center の [CA Management] タブの下に [Renew] ボタンが表示されます。
ロールオーバー下位 CA の署名付き証明書のコピーが必要です。

手順

ステップ 1	左上隅にあるメニューアイコンをクリックして次を選択します。 [System] > [Settings] > [Trust & Privacy] > [Certificate Authority]。
ステップ 2	[CA Management] タブをクリックします。
ステップ 3	CA 証明書の設定情報を確認します。 [Subordinate CA Certificate]：現在の下位 CA 証明書を表示します。 [External Root CA Certificate]：ルート CA 証明書を表示します。 [Subordinate CA Certificate Lifetime]：現在の下位 CA 証明書の有効期間（日数）を表示します。 [Current CA Mode]：SubCA モードを表示します。
ステップ 4	[Renew] をクリックします。 Cisco DNA Center は既存の下位 CA を使用して、ロールオーバー下位 CA の証明書署名要求を生成し、表示します。
ステップ 5	生成された証明書署名要求を GUI で確認し、次のアクションのいずれかを実行します。 [Download] リンクをクリックして、証明書署名要求ファイルのローカルコピーをダウンロードします。その後、この証明書署名要求ファイルを電子メールに添付して、ルート CA に送信することができます。 [Copy to the Clipboard] リンクをクリックして、証明書署名要求ファイルの内容をコピーします。その後、この証明書署名要求の内容を電子メールに貼り付けるか、電子メールに添付ファイルとして添付して、ルート CA に送信することができます。
ステップ 6	証明書署名要求ファイルをルート CA に送信します。次にルート CA がロールオーバー下位 CA ファイルを返送してくると、それを Cisco DNA Center にインポートし直す必要があります。下位 CA ロールオーバーの証明書署名要求は、RootCA モードから SubCA モードに切り替えた際にインポートした下位 CA に署名したルート CA と同じルート CA によって署名される必要があります。
ステップ 7	ルート CA からロールオーバー下位 CA ファイルを受信した後、[Certificate Authority Management] ウィンドウに戻ります。
ステップ 8	[CA Management] タブをクリックします。
ステップ 9	証明書署名要求が表示されている GUI で [Next] をクリックします。 [Certificate Authority Management] ウィンドウに、[Import Sub CA Certificate] フィールドが表示されます。
ステップ 10	下位ロールオーバー CA 証明書を [Import Sub CA Certificate] フィールドにドラッグアンドドロップし、[Apply] をクリックします。ロールオーバー下位 CA 証明書が Cisco DNA Center にアップロードされます。アップロードが終了すると、GUI が変更され、[CA Management] タブの [Renew] ボタンが無効になります。

デバイス証明書トラストポイントの設定

Cisco DNA Center で [Manages Device Trustpoint] が無効になっている場合、デバイスが有線およびワイヤレスアシュアランステレメトリを Cisco DNA Center に送信するようにするため、デバイスに手動で sdn-network-infra-iwan トラストポイントを設定し、証明書をインポートする必要があります。

SCEP を介して外部 CA から登録するには、次の手動設定が必要です。

手順

ステップ 1

次のコマンドを入力します。

crypto pki trustpoint sdn-network-infra-iwan
  enrollment url http://<SCEP_enrollment_URL_to_external_CA> 
  fqdn <device_FQDN>
  subject-name CN=<device_platform_ID>_<device_serial_number>_sdn-network-infra-iwan
  revocation-check <crl, crl none, or none>  # to perform revocation check with CRL, CRL fallback to no check, or no check
  rsakeypair sdn-network-infra-iwan
  fingerprint <CA_fingerprint> # to verify that the CA at the url connection matches the fingerprint given

ステップ 2

（任意、ただし推奨）証明書を自動的に更新し、証明書の有効期限を回避します。

auto-enroll 80 regenerate

ステップ 3

（任意）登録 URL に到達可能なインターフェイスを指定します。それ以外の場合、http サービスの送信元インターフェイスがデフォルトで設定されます。

source interface <interface>

証明書の更新

Cisco DNA Center は、Kubernetes によって生成された証明書や、Kong および資格情報マネージャサービスが使用する証明書など、多数の証明書を使用します。これらの証明書は 1 年間有効です。証明書はクラスタをインストールするとすぐに開始され、期限切れに設定される前に Cisco DNA Center によって 1 年自動的に更新されます。

期限切れになる前に証明書を更新することを推奨します。
今から 100 日間の間に期限切れになるように設定されている証明書のみを更新できます。この手順では、それ以降に期限切れになる証明書については何も実行されません。
このスクリプトでは、サードパーティ/認証局（CA）署名付き証明書ではなく、自己署名証明書のみを更新します。サードパーティ/CA 署名付き証明書の場合、スクリプトは Kubernetes と資格情報マネージャによって使用される内部証明書を更新します。
自己署名証明書の場合、更新プロセスではルート CA が変更されないため、証明書をデバイスにプッシュする必要はありません。
クラスタという用語は、単一ノードと 3 ノード Cisco DNA Center 設定の両方に適用されます。

手順

ステップ 1	各クラスタノードが正常であり、問題が発生していないことを確認します。
ステップ 2	そのノードで現在使用されている証明書のリストとそれらの有効期限を表示するには、次のコマンドを入力します。 `sudo maglev-config certs info`
ステップ 3	次のコマンドを入力して、すぐに期限切れになるように設定されている証明書を更新します。 `sudo maglev-config certs refresh`
ステップ 4	他のクラスタノードに対して上記の手順を繰り返します。
ステップ 5	ユーティリティのヘルプを表示するには、次のように入力します。 `$ sudo maglev-config certs --help Usage: maglev-config certs [OPTIONS] COMMAND [ARGS]... Options: --help Show this message and exit. Commands: info refresh`

信頼できる証明書の設定

Cisco DNA Center には、事前インストールされているシスコの信頼できる証明書バンドル（シスコが信頼する外部ルートバンドル）が含まれています。Cisco DNA Center は、シスコからの更新された信頼できる証明書バンドルのインポートとストレージもサポートしています。信頼できる証明書バンドルは、Cisco DNA Center およびそのアプリケーションとの信頼関係を確立するために、サポートされるシスコネットワーキングデバイスによって使用されます。

（注）

シスコの信頼できる証明書バンドルは、サポートされているシスコデバイスのみをアンバンドルして使用できる、ios.p7b と呼ばれるファイルです。この ios.p7b ファイルには、シスコを含む有効な認証局のルート証明書が含まれています。このシスコの信頼できる証明書バンドルは、Cisco cloud（Cisco InfoSec）で使用できます。リンクは https://www.cisco.com/security/pki/ にあります。

この信頼できる証明書バンドルは、同じ CA を使用してすべてのネットワークデバイスの証明書および Cisco DNA Center の証明書を管理する、安全で便利な方法を提供します。信頼できる証明書バンドルは Cisco DNA Center によって使用され、自身の証明書およびプロキシゲートウェイ証明書（存在する場合）を検証し、それが有効な CA 署名付き証明書かを判断します。さらに、PnP ワークフローの開始時にネットワーク PnP 対応デバイスにアップロードできるように、また、その後の HTTPS ベースの接続で Cisco DNA Center を信頼できるように、信頼できる証明書バンドルを使用できます。

GUI の [Trusted Certificates] ウィンドウを使用して、シスコトラストプールバンドルをインポートします。

手順

ステップ 1	左上隅にあるメニューアイコンをクリックして次を選択します。 [System] > [Settings] > [Trust & Privacy] > [Trusted Certificates] の順に選択します。
ステップ 2	[Trusted Certificates] ウィンドウで、[Update] ボタンをクリックして信頼できる証明書バンドルの新規ダウンロードおよびインストールを開始します。 [Update] ボタンは、ios.p7b ファイルの更新バージョンが使用可能で、インターネットアクセスが可能なときにのみアクティブになります。 Cisco DNA Center に新しい信頼できる証明書バンドルがダウンロードおよびインストールされると、Cisco DNA Center はシスコのデバイスのダウンロードをサポートするよう、この信頼できる証明書バンドルを使用可能にします。
ステップ 3	新しい証明書ファイルをインポートする場合は、[Import] をクリックしてローカルシステムから有効な証明書ファイルを選択し、[Import Certificate] ウィンドウで [Import] をクリックします。
ステップ 4	[Export] をクリックして、証明書の詳細を CSV 形式でエクスポートします。

制限付きシェルについて

セキュリティを強化するため、ルートシェルへのアクセスは無効になっています。Shell コマンドへのアクセスが制限されることで、ユーザーは基礎となるオペレーティングシステムとファイルシステムにアクセスできなくなるため、運用上のリスクが軽減されます。

セキュリティ上の理由から、Shell コマンドへのアクセスが制限されています。ただし、root shell に一時的にアクセスしたい場合は、Cisco TAC にお問い合わせください。

必要に応じて、次の限定されたリストのコマンドを使用できます。

$ help
Help:
  cat                  concatenate and print files in restricted mode
  clear                clear the terminal screen
  date                 display the current time in the given FORMAT, or set the system date
  debug                enable console debug logs
  df                   file system information
  dmesg                print or control the kernel ring buffer.
  du                   summarize disk usage of the set of FILEs, recursively for directories.
  free                 quick summary of memory usage
  history              enable shell commands history
  htop                 interactive process viewer.
  ip                   print routing, network devices, interfaces and tunnels.
  kubectl              Interact with Kubernetes Cluster in a restricted manner.
  last                 show a listing of last logged in users.
  ls                   restricted file system view chrooted to maglev Home
  lscpu                print information about the CPU architecture.
  magctl               tool to manage a Maglev deployment
  maglev-config        tool to configure a Maglev deployment
  manufacture_check    tool to perform manufacturing checks
  netstat              print networking information.
  nslookup             query Internet name servers interactively.
  ntpq                 standard NTP query program.
  ping                 send ICMP ECHO_REQUEST to network hosts.
  ps                   check status of active processes in the system
  rca                  root cause analysis collection utilities
  reboot               Reboot the machine
  rm                   delete files in restricted mode
  route                print the IP routing table.
  runonce              Execute runonce scripts
  scp                  restricted secure copy
  sftp                 secure file transfer
  shutdown             Shutdown the machine
  ssh                  OpenSSH SSH client.
  tail                 Print the last 10 lines of each FILE to standard output
  top                  display sorted list of system processes
  traceroute           print the route packets trace to network host.
  uname                print system information.
  uptime               tell how long the system has been running.
  vi                   text editor
  w                    show who is logged on and what they are doing.

製品使用状況テレメトリの収集について

Cisco DNA Center ではデフォルトでテレメトリデータが収集されますが、一部のデータ収集をオプトアウトできます。データ収集は、製品機能の開発を支援し、運用上の問題に対処して、より優れた価値と投資回収率（ROI）を実現することを目的としています。シスコが収集するデータの種類は、Cisco.com ID、システム、機能の使用状況、ネットワークデバイスインベントリ、およびソフトウェア利用資格です。収集されるデータの詳しいリストについては、「Cisco DNA Center のデータシート」を参照してください。一部のデータ収集をオプトアウトするには、シスコのアカウント担当者および Cisco Technical Assistance Center（TAC）にお問い合わせください。

左上隅にあるメニューアイコンをクリックして次を選択します。 [System] > [Settings] > [Terms and Conditions] > [Telemetry Collection] の順に選択します。[Telemetry Collection] ウィンドウから、ライセンス契約、プライバシーポリシー、プライバシーデータシートを確認できます。

テレメトリコレクションの設定

手順

ステップ 1	左上隅にあるメニューアイコンをクリックして次を選択します。[System Settings] > [Settings] > [Telemetry Collection] の順に選択します。
ステップ 2	テレメトリコレクションの契約を確認するには、[End User License Agreement] をクリックします。
ステップ 3	（任意）テレメトリコレクションを無効にするには、[Telemetry Collection] チェックボックスをオフにして [Update] をクリックします。

vManage プロパティの設定

Cisco DNA Center は、統合 vManage 設定を使用して Cisco vEdge 展開をサポートします。vEdge トポロジをプロビジョニングする前に、[Settings] ウィンドウで vManage の詳細を保存できます。

手順

ステップ 1	左上隅にあるメニューアイコンをクリックして次を選択します。[System] > [Settings] > [External Services] > [vManage] の順に選択します。
ステップ 2	vManage プロパティを設定します。 [Host Name/IP Address]：vManage の IP アドレス。 [Username]：vManage にログインするために使用される名前。 [Password]：vManage にログインするために使用されるパスワード。 [Port Number]：vManage にログインするために使用されるポート。 [vBond Host Name/IP Address]：vBond の IP アドレス。vManage を使用して NFV を管理する場合に必要です。 [Organization Name]：組織の名前。vManage を使用して NFV を管理する場合に必要です。
ステップ 3	vManage 証明書をアップロードするには、[Select a file from your computer] をクリックします。
ステップ 4	[Save] をクリックします。

アカウントのロックアウト

アカウントロックアウトポリシーを設定して、ユーザーによるログインの試行、アカウントのロックアウト期間、ログインの再試行回数を管理できます。

手順

ステップ 1

左上隅にあるメニューアイコンをクリックして次を選択します。[System] > [Settings] > [Trust & Privacy] > [Account Lockout] の順に選択します。

ステップ 2

[Enforce Account Lockout] トグルボタンをクリックして、チェックマークが表示された状態にします。

ステップ 3

[Enforce Account Lockout] の次のパラメータの値を入力します。

Maximum Login Retries
Lockout Effective Periods (minutes)
Reset Login Retries after (minutes)

（注）

[Info] にカーソルを合わせると、各パラメータの詳細が表示されます。

ステップ 4

ドロップダウンリストから [Idle Session Timeout] の値を選択します。

ステップ 5

[Save] をクリックします。

セッションをアイドル状態のままにすると、セッションタイムアウトの 5 分前に [Session Timeout] ダイアログボックスが表示されます。セッションを続行する場合は、[Stay signed in] をクリックします。[Sign out] をクリックすると、すぐにセッションを終了できます。

パスワードの有効期限切れ

パスワード有効期限ポリシーを設定して、以下を管理できます。

パスワードの有効期限の通知間隔。
パスワードが期限切れになる前にユーザーに通知が表示される日数。
猶予期間。

手順

ステップ 1

左上隅にあるメニューアイコンをクリックして次を選択します。[System] > [Settings] > [Trust & Privacy] > [Password Expiry] の順に選択します。

ステップ 2

[Enforce Password Expiry] トグルボタンをクリックして、チェックマークが表示された状態にします。

ステップ 3

次の [Enforce Password Expiry] パラメータの値を入力します。

パスワード期限（日）
パスワードの期限の警告（日）
猶予期間（日）

（注）

[Info] にカーソルを合わせると、各パラメータの詳細が表示されます。

ステップ 4

[Save] をクリックして、パスワード有効期限設定を保存します。

IP アクセス制御

IP アクセス制御を使用すると、ホストまたはネットワークの IP アドレスに基づいて Cisco DNA Center へのアクセスを制御できます。Cisco DNA Center では、IP アクセス制御に次のオプションがあります。

すべての IP アドレスに Cisco DNA Center へのアクセスを許可します。デフォルトでは、すべての IP アドレスが Cisco DNA Center にアクセスできます。
選択した IP アドレスのみに Cisco DNA Center へのアクセスを許可します。

IP アクセス制御の構成

IP アクセス制御を構成し、選択した IP アドレスのみに Cisco DNA Center へのアクセスを許可するには、次の手順を実行します。

IP アクセス制御の有効化
IP アクセスリストへの IP アドレスの追加
（任意） IP アクセスリストからの IP アドレスの削除

IP アクセス制御の有効化

始める前に

SUPER-ADMIN-ROLE 権限を取得しておきます。
Cisco DNA Center サービスサブネット、クラスタサービスサブネット、およびクラスタインターフェイスサブネットを許可サブネットのリストに追加します。

手順

ステップ 1

左上隅にあるメニューアイコンをクリックして次を選択します。[System] > [Settings] > [Trust & Privacy] > [IP Access Control] の順に選択します。

ステップ 2

[リストされている IP アドレスのみに接続を許可する（Allow only listed IP addresses to connect）] オプションボタンをクリックします。

ステップ 3

[Add IP List] をクリックします。

ステップ 4

[Add IP] スライドインペインの [IP Address] フィールドに、IPv4 アドレスを入力します。

（注）

IP アドレスを IP アクセスリストに追加しないと、Cisco DNA Center にアクセスできなくなる可能性があります。

ステップ 5

[Subnet Mask] フィールドにサブネットマスクを入力します。

サブネットマスクの有効範囲は 0 ～ 32 です。

ステップ 6

[Save] をクリックします。

IP アクセスリストへの IP アドレスの追加

IP アクセスリストに IP アドレスを追加するには、次の手順を実行します。

始める前に

IP アクセス制御が有効になっていることを確認してください。詳細については、IP アクセス制御の有効化を参照してください。

手順

ステップ 1	左上隅にあるメニューアイコンをクリックして次を選択します。[System] > [Settings] > [Trust & Privacy] > [IP Access Control] の順に選択します。
ステップ 2	[Add] をクリックします。
ステップ 3	[Add IP] スライドインペインの [IP Address] フィールドに、ホストまたはネットワークの IPv4 アドレスを入力します。
ステップ 4	[Subnet Mask] フィールドにサブネットマスクを入力します。サブネットマスクの有効範囲は 0 ～ 32 です。
ステップ 5	[Save] をクリックします。

IP アクセスリストからの IP アドレスの削除

IP アクセスリストから IP アドレスを削除して Cisco DNA Center へのアクセスを無効にするには、以下の手順を実行します。

始める前に

IP アクセスコントロールを有効にして、IP アドレスを IP アクセスリストに追加したことを確認します。詳細については、IP アクセス制御の有効化およびIP アクセスリストへの IP アドレスの追加を参照してください。

手順

ステップ 1	左上隅にあるメニューアイコンをクリックして次を選択します。[System] > [Settings] > [Trust & Privacy] > [IP Access Control] の順に選択します。
ステップ 2	[Action] 列で、対応する IP アドレスの [Action] アイコンをクリックします。
ステップ 3	[Delete] をクリックします。

IP アクセス制御の無効化

IP アクセス制御を無効化し、すべての IP アドレスに Cisco DNA Center へのアクセスを許可するには、次の手順を実行します。

始める前に

SUPER-ADMIN-ROLE 権限を取得しておきます。

手順

ステップ 1	左上隅にあるメニューアイコンをクリックして次を選択します。[System] > [Settings] > [Trust & Privacy] > [IP Access Control] の順に選択します。
ステップ 2	[Allow all IP addresses to connect] オプションボタンをクリックします。

偏向のない言語

翻訳について

検索結果

章のタイトル： システム設定の構成

システム設定の構成

システム設定について

ユーザープロファイルの役割および権限

システム 360 の使用

手順

Cisco DNA Center と Cisco ISE の統合

データの匿名化

手順

認証サーバとポリシー サーバの設定

始める前に

手順

Cisco AI Network Analytics の設定

始める前に

手順

クライアント証明書の更新

Cisco AI Network Analytics の無効化

手順

機械推論ナレッジベースの更新

手順

シスコのクレデンシャルの設定

始める前に

手順

シスコのクレデンシャルのクリア

始める前に

手順

接続モードの設定

手順

プラグアンドプレイの登録

始める前に

手順

PnP イベント通知の作成

スマートアカウントの設定

始める前に

手順

スマートライセンス

始める前に

手順

デバイスの可制御性

デバイスの可制御性の設定

手順

ライセンス契約書の受諾

手順

SNMP プロパティの設定

始める前に

手順

ICMP ping の有効化

手順

PnP 導入準備用の AP ロケーションの設定

手順

イメージ配信サーバの設定

手順

PnP デバイス許可の有効化

手順

デバイスプロンプトの構成

カスタムプロンプトの作成

手順

デバイス構成のバックアップ設定の構成

手順

アーカイブデバイス構成用の外部サーバーの構成

始める前に

手順

整合性検証

KGV ファイルのアップロード

始める前に

手順

次のタスク

IP アドレスマネージャの設定

始める前に

手順

次のタスク

Webex 統合の設定

手順

AppX MS-Teams 統合の構成

始める前に

手順

章のタイトル：システム設定の構成

認証サーバとポリシーサーバの設定