Cisco Prime Network Services Controller 3.2.2b クイック スタート ガイド
目次
- Cisco Prime Network Services Controller の開始
- インストール要件
- 要件の概要
- システム要件
- ハイパーバイザ要件
- Web ベース GUI クライアント要件
- Prime Network Services Controller で使用するための Chrome の設定
- アクセスを必要とするファイアウォール ポート
- Cisco Nexus 1000V シリーズ スイッチの要件
- 設定およびインストールに必要な情報
- 共有秘密パスワードの条件
- VMware のインストールの概要
- Prime Network Services Controller 用の VMware 設定
- ISO イメージを使用した Cisco Prime Network Services Controller のインストール
- OVA イメージを使用した Cisco Prime Network Services Controller のインストール
- VMware のインストール後のタスクの実行
- NTP の設定
- VM での NTP の設定
- Cisco Prime Network Services Controller での NTP 設定
- VMware vCenter との接続の設定
- vCenter 拡張ファイルのエクスポート
- vCenter への vCenter 拡張プラグインの登録
- vCenter との接続の設定
- VMware へのサービス VM の登録
- Cisco VM の登録
- VMware へのサードパーティ製 VM の登録
- Prime Network Services Controller Device Adapter の VMware への展開
- Citrix NetScaler ロード バランサの Prime Network Services Controller への登録
- デフォルト サービス パスの削除
- Prime Network Services Controller の設定
- 設定の概要
- タスク 1:サービス VM の登録の確認
- タスク 2:テナントの設定
- タスク 3:アクセス ポリシーの設定
- アクセス ポリシーのベスト プラクティス
- ACL ポリシーの設定
- [Add ACL Policy Rule] ダイアログ ボックス
- タスク 4:サービス プロファイルの設定
- タスク 5:デバイス プロファイルの設定
- タスク 6:イメージのインポート
- タスク 7:サービス ライセンスの設定
- CSR 1000V エッジ ルータに対するスマート ライセンスの設定
- ロード バランサ ライセンスの設定
- Citrix ロード バランサ バンドル ライセンス
- license.xml ファイルの例
- ロード バランサ ライセンスのインポートと設定
- タスク 8:サービス デバイスの追加
- コンピュート ファイアウォール導入オプション
- エッジ ルータ導入オプション
- タスク 9:エッジ セキュリティ プロファイルの作成
- [Add NAT Policy Set] ダイアログ ボックス
- [Add NAT Policy] ダイアログ ボックス
- [Add NAT Policy Rule] ダイアログボックス
- [Add Condition] ダイアログ ボックス
- タスク 10:ロギングの有効化
- モニタ セッションでのポリシー エンジン ロギングの有効化
- グローバル ポリシーエンジン ロギングのイネーブル化
- トラブルシューティング
- CSR 1000V ライセンスの登録
- Device Adapter のプロパティの更新
- デバイス アダプタに到達不能
- デバイスとサービスのトラブルシューティング
- Prime Network Services Controller のアップグレード
- アップグレードの概要
- データのバックアップ
- Prime Network Services Controller へのアップグレード
- Prime Network Services Controller のバックアップおよび復元
- バックアップと復元の概要
- Prime Network Services Controller のバックアップ
- 以前のバージョンの復元
- 復元後のタスク
- VM マネージャの追加
- イメージの再インポート
- その他の情報
- 関連資料
- マニュアルの入手方法およびテクニカル サポート
Cisco Prime Network Services Controller の開始
Prime Network Services Controller のインストールおよび使用についての高レベルのワークフローには、次の表のタスクが含まれています。関連トピックで、これらのタスクの完了に必要な情報を提供します。
タスク 関連項目 1.インストール要件が満たされていることを確認します。
2.Prime Network Services Controller をインストールして、インストール後のタスクを実行します。
3.初期使用のために Prime Network Services Controller を設定します。
次の情報は、Prime Network Services Controller 3.2.2b に適用されます。
Prime Network Services Controller 3.2.2b は、スタンドアロン モードの VMware 環境にのみインストールできます。OpenStack 環境や Hyper-V Hypervisor 環境、またはオーケストレータ モードでは使用できません。
VMware 上の Prime Network Services Controller 3.2 または 3.2.2a のスタンドアロン導入を Prime Network Services Controller 3.2.2b にアップグレードできます。以前のバージョンを使用している場合、3.2.2b にアップグレードする前に 3.2 または 3.2.2a にアップグレードします。3.2 または 3.2.2a へのアップグレードの詳細については、次のガイドを参照してください。
インストール要件
要件の概要
Prime Network Services Controller のこのリリースには、新しいサポートとバグ修正が含まれています。詳細については、Cisco Prime Network Services Controller 3.2.2b のリリース ノート [英語] を参照してください。
次のトピックでは、Prime Network Services Controller のインストールおよび使用に関する主要な要件を特定します。
システム要件
要件 説明 Prime Network Services Controller 仮想アプライアンス
4 個の仮想 CPU
1.8 GHz
メモリ
4 GB メモリ
ディスク容量
管理インターフェイス
管理ネットワーク インターフェイス x 1
プロセッサ
VMware 互換表に記載された 64 ビット プロセッサを搭載した x86 Intel または AMD サーバ
Prime Network Services Controller Device Adapter
2 個の仮想 CPU
1.8 GHz
メモリ
2 GB のメモリ
ディスク容量
20 GB
インターフェイスとプロトコル
HTTP/HTTPS
—
Lightweight Directory Access Protocol(LDAP)
—
Intel VT
Intel 仮想化技術(VT)
BIOS でイネーブル化
ハイパーバイザ要件
Prime Network Services Controller は、VMware vSphere に導入できる仮想アプライアンスです。お使いのハードウェア プラットフォームが VMware でサポートされていることを確認するには、『VMware Compatibility Guide』[英語] を参照してください。
Web ベース GUI クライアント要件
要件 説明 オペレーティング システム
次のいずれかになります。
ブラウザ
次のいずれかになります。
Internet Explorer 10.0 以降
Mozilla Firefox 26.0 以降
Google Chrome 32.0 以降1
Flash Player
Adobe Flash Player プラグイン 11.9 以降
1 Prime Network Services Controller で Chrome を使用する前に、Chrome にデフォルトでインストールされている Adobe Flash Player を無効にする必要があります。詳細については、 Prime Network Services Controller で使用するための Chrome の設定を参照してください。Prime Network Services Controller で使用するための Chrome の設定
手順Chrome を Prime Network Services Controller で使用するには、Chrome にデフォルトでインストールされている Adobe Flash Player を無効にします。
(注)
クライアント マシンをリブートするたびにこの手順を実行する必要があります。Chrome の場合、それを実行しているシステムをリブートすると、Adobe Flash Player が自動的にイネーブルになります。
設定およびインストールに必要な情報
必要な情報 自分の情報 インストール前の設定
ISO または OVA イメージの場所
ISO または OVA イメージの名前
VM 管理用のネットワーク/ポート プロファイル2
VM 名
VMware データストアの場所
Prime Network Services Controller インストール
IP アドレス
サブネット マスク
ホスト名
ドメイン名
ゲートウェイ IP アドレス
DNS サーバの IP アドレス。
NTP サーバの IP アドレス
admin パスワード
Prime Network Services Controller と管理対象 VM 間の通信用の共有シークレット パスワード。(共有秘密パスワードの条件 を参照)。
共有秘密パスワードの条件
共有秘密パスワードとは、セキュア通信チャネルを使用するユーザにのみ知らされるパスワードです。不正アクセスを行うために簡単に類推されないパスワードは、強力なパスワードと呼ばれます。Prime Network Services Controller、VSG、ASA 1000V、および VSM 間で通信を行うために共有秘密パスワードを設定する際は、次の条件に従って有効で強力なパスワードを設定してください。
強力なパスワードの例:
VMware のインストールの概要
ISO イメージまたは OVAY イメージのいずれかを使用することによって、VMware に Prime Network Services Controller をインストールできます。ホストおよびストレージ エリア ネットワークの負荷にもよりますが、10 ~ 20 分のインストール時間がかかります。
VMware に Prime Network Services Controller をインストールするには、次のタスクを完了します。
Prime Network Services Controller 用の VMware 設定
ISO イメージを使用して、VMware 上に Prime Network Services Controller をインストールする前に、Prime Network Services Controller 用の VM を設定する必要があります。この手順では、Prime Network Services Controller を VM 上にインストールできるように VM を設定する方法について説明します。
はじめる前に手順
システム要件が満たされていることを確認します(要件の概要を参照)。
設定およびインストールに必要な情報に示されている、設定に必要な情報を収集します。
次の作業
ISO イメージを使用した Cisco Prime Network Services Controller のインストール に説明されているとおりに Prime Network Services Controller をインストールします。
ISO イメージを使用した Cisco Prime Network Services Controller のインストール
この手順では、Prime Network Services Controller 用に設定されたハイパーバイザに ISO イメージをインストールする方法について説明します。
(注)
Prime Network Services Controller 3.2.2b は、スタンドアロン モードで VMware にインストールできます。Prime Network Services Controller 3.2.2b は、OpenStack または Hyper-V Hypervisor 環境で、またはオーケストレータモードでは使用できません。はじめる前に手順次の項目を確認します。
システム要件で指定されているシステム要件をすべて満たしている。
設定およびインストールに必要な情報に示されている情報が既知である。
ハイパーバイザが設定され、Prime Network Services Controller インストール手順用にプロビジョニングされている。
VM がネットワークに接続されている。
VM コンソールにアクセスできる。
ステップ 1 VM コンソールをまだ開いていない場合は、これを開きます。 ハイパーバイザの設定が終了したら、数分以内に Prime Network Services Controller インストーラが表示されます。 ステップ 2 [Network Configuration] 画面で、[Network Devices] 領域の [Edit] をクリックします。 ステップ 3 [Edit Interface] ダイアログボックスで、Prime Network Services Controller VM の IP アドレスとネットマスクを入力し、[OK] をクリックします。 ステップ 4 [Network Configuration] 領域で、ゲートウェイ、DNS サーバおよび NTP サーバのホスト名、ドメイン名、および IP アドレスを入力します。 ステップ 5 [Modes] 画面で、必要なモードを選択します。 ステップ 6 [Administrative Access] 画面で、管理者と共有シークレット パスワードを入力して、エントリを確認します。 強力なパスワードの作成の詳細については、共有秘密パスワードの条件を参照してください。
(注) 弱い共有シークレット パスワードを設定した場合、ここに入力してもエラー メッセージは生成されませんが、インストール プロセスの VM の起動時にこの共有シークレット パスワードは使用できません。
ステップ 7 [Summary] 画面で、情報が正しいことを確認し、[Finish] をクリックします。 Prime Network Services Controller が VM にインストールされます。これには数分かかる場合があります。 ステップ 8 プロンプトが表示されたら、[Reboot] をクリックします。 Prime Network Services Controller が正常に VM にインストールされます。 ステップ 9 Prime Network Services Controller がアクセス可能であることを確認するには、コンソールで CLI を使用して、またはブラウザで GUI を使用して、Prime Network Services Controller に接続します。
OVA イメージを使用した Cisco Prime Network Services Controller のインストール
この手順では、Prime Network Services Controller OVA イメージを VMware に展開する方法について説明します。
(注)
Prime Network Services Controller3.2.2b では、スタンドアロン モードのみをサポートしています。
はじめる前に手順
キーボードを英語(米国)に設定します。
Prime Network Services Controller OVA イメージが VMware vSphere クライアントからアクセスできることを確認します。
システム要件で指定されているシステム要件をすべて満たしていることを確認します。
設定およびインストールに必要な情報に示されている情報を収集します。
ステップ 1 VMware vSphere Client を使用して vCenter Server にログインします。 ステップ 2 Prime Network Services Controller VM を導入するホストを選択します。 ステップ 3 [File] > [Deploy OVF Template] を選択します。 ステップ 4 ウィザードで、次のテーブルで説明されている情報を入力します。
画面 アクション Source
Prime Network Services Controller OVA を選択します。
OVF Template Details
詳細を確認します。
End User License Agreement
契約内容を確認して、[Accept] をクリックします。
Name and Location
テンプレートの名前を入力して、場所を選択します。
展開設定
[Installer] を選択します。
Datastore
VM のデータ ストアを選択します。ストレージは、ローカルか、NFS や SAN などの共有リモートにできます。
Disk Format
VM 仮想ディスクを保存する [Thin provisioned format] と [Thick provisioned format] のどちらかを選択します。
Network Mapping
VM の管理ネットワーク ポート グループを選択します。
Properties
選択ボックスの下で赤色のテキストで表示されたエラーを解決します。エントリがフィールドの要件を満たしている場合は、プレースホルダ情報を入力できます。
A. IP Address
VM 管理 IP アドレス。
B. IP Netmask
VM サブネット マスク。
C. Gateway
ゲートウェイ IP アドレス。
D. DNS
E. NTP
NTP サーバの IP アドレス。
F. Operation Mode
(注) Prime Network Services Controller3.2.2b では、スタンドアロン モードのみをサポートしています。
G. Passwords
H. Restore
[Restore] のフィールドは無視しても問題ありません。
Ready to Complete
展開設定を確認します。
注意 不一致があると、VM の起動時に問題が発生する可能性があります。IP アドレス、サブネット マスク、およびゲートウェイ情報が正しいかを慎重に確認します。 ステップ 5 [Finish] をクリックします。 Prime Network Services Controllerが導入されるまで、タスクの経過が進行状況インジケータに表示されます。 ステップ 6 Prime Network Services Controller が正常に導入されたら、[Close] をクリックします。 ステップ 7 Prime Network Services Controller VM の電源を入れます。
VMware のインストール後のタスクの実行
Prime Network Services Controller のインストール後、次のタスクを完了して、Prime Network Services Controller が VMware および Prime Network Services Controller が管理する VM と通信できることを確認します。
NTP の設定
Prime Network Services Controller システムで操作を実行する前に、次の導入した VM および Prime Network Services Controller のいずれかで Network Time Protocol(NTP)を設定します。NTP を使用してこれらの項目を設定しなければ、コンポーネントを Prime Network Services Controller に登録できません。
NTP の設定の詳細については、次のトピックを参照してください。
VM での NTP の設定
次のテーブルの情報を使用して、VM で NTP を設定します。
VM の種類 対応 ASA 1000V
(VMware のみ)Prime Network Services Controller に ASA 1000V をインストールする前に、ASA 1000V を実行しているすべての ESX および ESXi サーバ上の NTP を設定します。詳細については、kb.vmware.com/kb/2012069 で「Configuring Network Time Protocol (NTP) on ESX/ESXi hosts using the vSphere Client」を参照してください。
インストール後に、ASA 1000V は VMware ESX または ESXi ホストからリアル タイム クロック(RTC)値を受け取ります。
Citrix NetScaler 1000V
Citrix NetScaler 1000V で NTP を設定する方法の詳細については、Citrix NetScaler のドキュメンテーションを参照してください。
Citrix NetScaler VPX
Citrix NetScaler 1000V で NTP を設定する方法の詳細については、Citrix NetScaler のドキュメンテーションを参照してください。
CSR 1000V
CSR 1000V で NTP を設定する方法の詳細については、CSR 1000V のドキュメンテーションを参照してください。
VSG
Prime Network Services Controller のユーザ ガイドの「Configuring NTP」セクションで説明されているように、Prime Network Services Controller GUI で NTP サーバを設定します。
VSM
VSM コンソールで次の CLI コマンドを入力します。x.x.x.x は NTP サーバの IP アドレスです。
clock timezone zone-name offset-hours offset-minutes clock summer-time zone-name start-week start-day start-month start-time end-week end-day end-month end-time offset-minutes ntp server x.x.x.xCisco Prime Network Services Controller での NTP 設定
手順
ステップ 1 ブラウザで、https://server-ip-address と入力します。server-ip-address は、Prime Network Services Controller IP アドレスです。 ステップ 2 Prime Network Services Controller ログイン ウィンドウで、ユーザ名 admin と管理ユーザ パスワードを入力します。これは、Prime Network Services Controller をインストールしたときに設定したパスワードです。 ステップ 3 次の手順を実行してタイム ゾーンを設定します。 ステップ 4 次のように、時刻源として外部 NTP サーバを追加します。
- [Administration] > [System Profile] > [root] > [Profile] > [default] を選択して、[Edit] をクリックします。
- [Policy] タブで、[Add NTP Server] をクリックします。
- NTP サーバの IP アドレスまたはホスト名を入力して [OK] をクリックします。
- [Save] をクリックします。
注意 NTP サーバを追加した後で時間帯を設定しないことを推奨します。
VMware vCenter との接続の設定
Prime Network Services Controller のインストール後、ハイパーバイザの Virtual Machine Manager(VMM)および Prime Network Services Controller が管理する VM と通信できるように Prime Network Services Controller を設定します。 Prime Network Services Controller は VMM と通信して、管理する VM で次のアクションを実行します。次のタスクを実行することによって、Prime Network Services Controller と VMware vCenter の接続を確立します。
vCenter 拡張ファイルのエクスポート
手順
ステップ 1 Prime Network Services Controller で、[Resource Management] > [VM Managers] > [VM Managers] を選択します。 ステップ 2 [VM Managers] ペインで、[Export vCenter Extension] をクリックします。 ステップ 3 vSphere Client 内から vCenter 拡張プラグインを登録する必要があるため(vCenter への vCenter 拡張プラグインの登録を参照)、vSphere Client がアクセス可能なディレクトリに vCenter 拡張ファイルを保存します。 ステップ 4 コンテンツを使用できることを確認するための XML 拡張ファイルを開きます。
vCenter への vCenter 拡張プラグインの登録
手順VMM を作成できるように vCenter 拡張プラグインを登録します。VMM は、Prime Network Services Controller が、Prime Network Services Controller が管理する vCenter および VM と通信することを可能にします。
ステップ 1 VMware vSphere Client から、Prime Network Services Controller を使用して管理する vCenter Server にログインします。 ステップ 2 vSphere Client で、[Plug-ins] > [Manage Plug-ins] を選択します。 ステップ 3 ウィンドウの背景を右クリックし、[New Plug-in] を選択します。
ヒント 下にスクロールし、ウィンドウの下部の付近を右クリックして、[New Plug-in] オプションを表示します。 ステップ 4 以前にエクスポートした vCenter 拡張ファイルを参照し、[Register Plug-in] をクリックします。 [vCenter Register Plug-in] ウィンドウが表示され、セキュリティの警告が表示されます。
ステップ 5 セキュリティ警告メッセージ ボックスで、[Ignore] をクリックします。
(注) 必要に応じて、公開キー インフラストラクチャ(PKI)と Kerberos 機能との統合をさらに進めるために、この証明書をインストールできます。
経過表示インジケータがタスクの状態を示します。
ステップ 6 成功のメッセージが表示されたら、[OK] をクリックし、[Close] をクリックします。
vCenter との接続の設定
vCenter に vCenter 拡張プラグインを登録した後に、 Prime Network Services Controller を設定して、ハイパーバイザの VMM および Prime Network Services Controller が管理する VM と通信できるようにします。手順
ステップ 1 [Resource Management] > [VM Managers] > [VM Managers] を選択して、[Add VM Manager] をクリックします。 ステップ 2 [Add VM Manager] ダイアログボックスで、次の情報を入力し、[OK] をクリックします。
VMware へのサービス VM の登録
サービス VM を Prime Network Services Controller に登録することによって、Prime Network Services Controller は VM を認識して通信できるようになります。
VMware に導入されているシスコおよびサードパーティの VM を Prime Network Services Controller に登録する方法の詳細については、次のトピックを参照してください。
シスコのサービス VM については、Cisco VM の登録を参照してください。
サードパーティのサービス VM については、VMware へのサードパーティ製 VM の登録を参照してください。
Cisco VM の登録
手順この手順では、次の Cisco VM を Prime Network Services Controller に登録する方法について説明します。この手順は、ハイパーバイザ上に直接インストールされた Cisco VM にのみに適用されます。 Prime Network Services Controller を介してハイパーバイザ上でインスタンス化される Cisco VM は、インスタンス化時に自動的に Prime Network Services Controller に登録されます。ハイパーバイザ上に直接インストールされる VSG は、手動で登録する必要はありません。展開の手順で、Prime Network Services Controller に自動的に登録されます。
ステップ 1 ハイパーバイザで、Prime Network Services Controller に登録する VM を選択します。 ステップ 2 その VM のコンソール ウィンドウを開きます。 ステップ 3 CLI で、次のように VM を登録します。
ASA 1000V
enable Password: vm-name# configure terminal vm-name(config)# vnmc policy-agent vm-name(config-vnmc-policy-agent)# registration host n.n.n.n vm-name(config-vnmc-policy-agent)# shared-secret MySharedSecret vm-name(config-vnmc-policy-agent)# copy running-config startup-configVSM(バージョン 5.2(1)SV3(1.1) 以降)
vm-name# configure terminal vm-name(config)# nsc-policy-agent vm-name(config-nsc-policy-agent)# registration-ip n.n.n.n vm-name(config-nsc-policy-agent)# shared-secret MySharedSecret vm-name(config-nsc-policy-agent)# policy-agent-image bootflash:vsmcpa.n.n.n.bin vm-name(config-nsc-policy-agent)# copy running-config startup-configVSM(5.2(1)SV3(1.1) より前のバージョン)
vm-name# configure vm-name(config)# vnm-policy-agent vm-name(config-vnm-policy-agent)# registration-ip n.n.n.n vm-name(config-vnm-policy-agent)# shared-secret MySharedSecret vm-name(config-vnm-policy-agent)# policy-agent-image bootflash: vnmc-vsgpa.n.n.n.bin vm-name(config-vnm-policy-agent)# copy running-config startup-config
VMware へのサードパーティ製 VM の登録
サードパーティ製 VM を Prime Network Services Controller に登録するには、Prime Network Services Controller Device Adapter をインストールしてからサードパーティ製 VM を導入して登録する必要があります。
次の表に、VMware に Citrix NetScaler ロード バランサ を導入するため、およびロード バランサを Prime Network Services Controller に登録するためのタスクと関連トピックを示します。
タスク 注 1.Prime Network Services Controller Device Adapter をインストールします。
Prime Network Services Controller Device Adapter の VMware への展開を参照してください。
2.(オプション)Citrix NetScaler ロード バランサのライセンスを設定します。
ロード バランサ ライセンスのインポートと設定を参照してください。
3.Citrix NetScaler ロード バランサを導入します。
4.Citrix NetScaler ロード バランサを Prime Network Services Controller に登録します。
Citrix NetScaler ロード バランサの Prime Network Services Controller への登録を参照してください。
Prime Network Services Controller Device Adapter の VMware への展開
Prime Network Services Controller Device Adapter では、サードパーティの VM(Citrix NetScaler ロード バランサ など)を Prime Network Services Controller に登録することができます。
この手順では、OVA イメージを使用して VMware ホスト上に Prime Network Services Controller Device Adapter をインストールします。ISO イメージを使用して VM を展開する方法の詳細については、VMware のドキュメンテーションを参照してください。
Prime Network Services Controller Device Adapter を展開するときは、次のガイドラインが適用されます。
Citrix NetScaler ロード バランサ などのサードパーティ サービスを展開して登録するには、Prime Network Services Controller Device Adapter が必要であり、インストール済みである必要があります。
Prime Network Services Controller Device Adapter からのポリシーの追加または編集は、サポートされていません。すべての設定は、Prime Network Services Controller GUI を使用して実施する必要があります。
各 Prime Network Services Controller インスタンスに対して、Prime Network Services Controller Device Adapter のインストールは 1 回のみ必要です。
Prime Network Services Controller を再初期化した場合は、Prime Network Services Controller Device Adapter も再初期化する必要があります。
はじめる前に手順Prime Network Services Controller Device Adapter IP アドレスと Prime Network Services Controller 管理 IP アドレス間のネットワーク パスが存在していることを確認します。
ステップ 1 VMware vSphere Client を使用して vCenter Server にログインします。 ステップ 2 Prime Network Services Controller Device Adapter を展開するホストを選択します。 ステップ 3 [File] > [Deploy OVF Template] を選択します。 ステップ 4 ウィザードで、次のテーブルで説明されている必要な情報を入力します。
画面 アクション Source
nsc-device-adapter.3.2.2b.ova ファイルを選択します。
OVF Template Details
Prime Network Services Controller Device Adapter テンプレートの詳細を確認します。
End User License Agreement
契約内容を確認して、[Accept] をクリックします。
Name and Location
VM の名前と場所を指定します。名前の先頭は文字である必要があります。
Storage
VM のデータ ストアを選択します。
Disk Format
必要なフォーマットを選択します。
Network Mapping
VM の管理ネットワーク ポート グループを選択します。
プロパティ
Ready to Complete
展開設定が正しいことを確認します。
ステップ 5 [Finish] をクリックします。 ステップ 6 展開が完了したら、VM の電源をオンにします。 VM コンソールを開いて、展開の進捗状況を監視できます。 ステップ 7 Prime Network Services Controller サーバにログインして [Administration] > [Service Registry] > [Providers] 選択し、Prime Network Services Controller Device Adapter VM が正しく Prime Network Services Controller に登録されていることを確認します。 [Providers] テーブルに、展開した Prime Network Services Controller Device Adapter VM の managed-endpoint および mgmt-controller のエントリが含まれている必要があります。
Citrix NetScaler ロード バランサの Prime Network Services Controller への登録
はじめる前に手順
VMware 上 に Citrix NetScaler ロード バランサ を展開します。詳細については、http://support.citrix.com/proddocs/topic/infocenter/ic-how-to-use.html の Citrix 製品ドキュメンテーションを参照してください。
Prime Network Services Controller で、仮想サーバ プロファイルを設定します。
ステップ 1 Prime Network Services Controller で、[Resource Management] > [Managed Resources] > [root ]>tenant を選択します。 ステップ 2 [Network Services] タブの [Active] ドロップダウン リストから、[Add Load Balancer] を選択します。 ステップ 3 Add Load Balancer ウィザードで、次の情報を入力します。
デフォルト サービス パスの削除
手順Prime Network Services Controller 3.2.2b では、ネットワーク サービスの自動インスタンス化に使用されるサービス パスがデフォルトで含まれています。このサービス パスは、オーケストレータ モードでのネットワーク サービスのインスタンス化用に設定できない場合は必要ありません。また、ポート プロファイルで使用した場合は問題が発生する可能性があります。したがって、デフォルト サービスのパスを Prime Network Services Controller 3.2.2b から削除することを推奨します。
ステップ 1 [Policy Management] > [Service Policies] > [root] > [Policies] > [Service Path] を選択します。 ステップ 2 [General] タブでデフォルト サービス パスを選択して、[Delete] をクリックします。
Prime Network Services Controller の設定
設定の概要
次の表のトピックでは、Prime Network Services Controller を使用するための初期設定方法について説明します。手順は高レベルのワークフローを反映しており、Prime Network Services Controller の GUI と機能を紹介することを目的としています。詳細については、Cisco Prime Network Services Controller ユーザ ガイド [英語] またはオンライン ヘルプを参照してください。
トピック 説明 必要なサービス VM が Prime Network Services Controller に登録されていることを確認します。
計算またはエッジ ファイアウォール、エッジ ルータ、ロード バランサなどのリソースを割り当てることのできるテナントを確立します。
指定した基準に基づいて、リソースへのアクセスを許可または阻止します。
1 つまたは複数のオブジェクトに対して一連のセキュリティ関連ポリシー(アクセス ポリシーおよび脅威緩和ポリシーなど)を適用できます。
ポート プロファイルまたはその他のリソースに対して一連のカスタム セキュリティ属性およびデバイス ポリシーを適用できます。
サービス デバイスのインスタンス化用のイメージをインポートできます。
CSR 1000V エッジ ルータおよび Citrix NetScaler ロード バランサ のライセンスを管理できます。
組織内の階層のテナントまたは別のレベルで、リソースをサービスに配置できます。
エッジ ファイアウォールに適用できるポリシーおよびポリシー セットを使用してエッジ プロファイルを作成します。
指定した重大度レベルの Syslog メッセージを確実に受信できるようになります。
タスク 1:サービス VM の登録の確認
手順
ステップ 1 Prime Network Services Controller Device Adapter が Prime Network Services Controller に登録されていることを確認するには、[Administration] > [Service Registry] > [Providers] を選択します。 [Providers] テーブルに、展開した Prime Network Services Controller Device Adapter の managed-endpoint および mgmt-controller のエントリが含まれている必要があります。また、[Oper Status] 列には、エントリに対して registered が含まれている必要があります。 ステップ 2 サービス VM が Prime Network Services Controller に登録されていることを確認するには、[Resource Management] > [Resources] >resource を選択します。resource は、リソースのタイプです(ASA 1000V、VSM、または VPX など)。 ステップ 3 テーブルの [Status] 列に、登録した各 VM に対して registered または not-associated が含まれていることを確認します。
タスク 2:テナントの設定
手順テナントはデータとプロセスが仮想データセンターの VM をホストとするエンティティ(企業、機関、または施設など)です。各テナントにファイアウォール セキュリティを提供するには、まず Prime Network Services Controller にテナントを設定する必要があります。
(注)
テナントは、このガイドで使用される最も低い組織レベルです。必要に応じて下位レベルを設定できます。
ステップ 1 [Tenant Management] > [root] を選択します。 ステップ 2 [Tenant Management Root] ペインの右上隅にある [Create Tenant] をクリックします。 ステップ 3 [Create Tenant] ダイアログボックスで、テナントの名前と簡単な説明を入力し、[OK] をクリックします。 テナントの名前には、ハイフン、アンダースコア、ドット、コロンを含めた 1 ~ 32 文字の英数字を含むことができます。作成後は、この名前を変更できません。
新規作成されたテナントはルートの下のナビゲーション ペインに表示されます。
タスク 3:アクセス ポリシーの設定
アクセス ポリシーは、リソースに対する不正アクセスを防止します。たとえば、ACL ポリシーはテナントとそのリソースに対するアクセスを有効化または拒否する基準を指定します。
アクセス ポリシーのベスト プラクティス
アクセス ポリシーを設定する前に、次のベスト プラクティスに注意してください。
計画段階で、許可するサービスとサービスのソースを特定します。
可能な場合は常にオブジェクト グループを使用します。つまり、IP アドレスの論理グループ、プロトコル、サービス、または ICMP タイプを作成し、アクセス リストでこれらのグループを参照します。
トラフィックの送信元に一番近いインターフェイスに ACL を適用します。
より一致の多い ACL を一致の少ない ACL の前に置きます。一致ルールが早く検出されるほど、次のパケットをより迅速に処理できます。
ネットワークまたはサブネットのより具体的な参照が、より全般的な参照よりも前に出現するように、アクセス リストを構成します。
アクセス リストの最後に deny ip any any ルールを暗黙的に含めます。
NAT ルールが存在しないことに基づくのではなく、ACL および アクセス コントロールのインスペクションを使用してトラフィックを阻止します。
(注)
Prime Network Services Controller は、ACL ルールまたは vZone で 1 つの属性に最大 8 個のインスタンスをサポートします。8 個以上のインスタンスが指定されている場合、VSG に適用されると設定は失敗します。NAT のベスト プラクティスの詳細については、http://www.cisco.com/c/en/us/support/docs/ip/network-address-translation-nat/26704-nat-faq-00.html#nat-bpを参照してください。
ACL ポリシーの設定
手順
ステップ 1 [Policy Management] > [Service Policies] > [root] >tenant > [Policies] > [ACL]> [ACL Policies] を選択します。tenant は、タスク 2:テナントの設定で作成したテナントです。 ステップ 2 [General] タブで、[Add ACL Policy] をクリックします。 ステップ 3 [Add ACL Policy] ダイアログボックスに、ポリシーの名前および説明を入力し、[Add Rule] をクリックします。 ステップ 4 [Add Rule Policy] ダイアログボックスで、[Add ACL Policy Rule] ダイアログ ボックスで説明されている情報を使用してルールを定義して、開いているダイアログボックスで [OK] をクリックします。
[Add ACL Policy Rule] ダイアログ ボックス
フィールド 説明 Name
ルール名(2 ~ 32 文字)。名前には英数字、ハイフン(-)、アンダースコア(_)、ピリオド()、およびコロン(:)を含めることができます。この名前は、保存後には変更できません。
Description
ルールの簡単な説明(1 ~ 256 文字)。名前には英数字、ハイフン(-)、アンダースコア(_)、ピリオド()、およびコロン(:)を含めることができます。
Action to Take
Condition Match Criteria
[Src-Dest-Service] タブ
ルールには、サービス条件またはプロトコル条件のいずれかを設定できます。両方を設定することはできません。
Source Conditions
Destination Conditions
Service
[Protocol] タブ
[Ether Type] タブ
[Time Range] タブ
To apply the rule all the time
[Always] チェックボックスをオンにします。
To apply the rule for a specific time range
To apply the rule based on membership in an object group
To apply the rule on a periodic basis, with the frequency you specify
[Always] チェックボックスをオフにします。
[Pattern] チェックボックスをオンにします。
[Operator] ドロップダウン リストから、[range(In range)] を選択します。
[Begin] のフィールドで、次の操作を行います。
[End] のフィールドで、次の操作を行います。
(注) [Begin] ドロップダウン リストから頻度を選択した場合は、[End] ドロップダウン リストでも同じ頻度を選択します。たとえば、[Weekdays] を [Begin] ドロップダウン リストと [End] ドロップダウン リストの両方で選択します。
[Advanced] タブ
タスク 4:サービス プロファイルの設定
手順プロファイルはポリシーの集合です。プロファイルを作成したうえで、そのプロファイルを 1 つまたは複数のオブジェクト(ASA 1000V のデータ インターフェイスまたは VSM ポート プロファイルなど)に適用することによって、これらのオブジェクトに一貫したポリシーを持たせることが確実にできます。
ステップ 1 [Policy Management] > [Service Profiles] > [root] >tenant > [Compute Firewall] > [Compute Security Profiles] を選択します。tenant は目的のテナントです。 ステップ 2 [General] タブで、[Add Compute Security Profile] をクリックします。 ステップ 3 [Add Compute Security Profile] ダイアログボックスで、セキュリティ プロファイルの名前と説明を入力し、[OK] をクリックします。
タスク 5:デバイス プロファイルの設定
タスク 6:イメージのインポート
手順イメージをインポートすると、イメージからサービス デバイスをインスタンス化し、そのデバイスをテナントに関連付けて、デバイスを展開することができます。
インポートされたすべてのイメージは、[Images] テーブル([Resource Management] > [Resources] > [Images])にリストされます。
ステップ 1 [Resource Management] > [Resources] > [Images] を選択します。 ステップ 2 [Import Service Image] をクリックします。 ステップ 3 [Import Service Image] ダイアログボックスで、次を実行します。
タスク 7:サービス ライセンスの設定
CSR 1000V エッジ ルータに対するスマート ライセンスの設定
スマート ソフトウェア ライセンシングは、お客様ごとにすべてのライセンス(デバイスやアプリケーションでサポートされている場合)が示される中央ポータルを提供するツールです。このポータルは、アカウントまたは部門を論理的なライセンス プールに分割することによって、ライセンス配布の管理、ソフトウェアの使用状況の計測を可能にしています。Cisco Smart Licensing の詳細については、http://www.cisco.com/c/en/us/products/abt_sw.htmlを参照してください。Prime Network Services Controller は、Cisco Cloud Services Router 1000V バージョン 3.12 以降のスマート ライセンスをサポートします。
(注)
- 1 つのテナントに対しては、1 つのスマート ライセンスのみ設定することができます。
- エッジ ルータをインスタンス化するには、事前に Prime Network Services Controller でスマート ライセンスを設定する必要があります。エッジ ルータが Prime Network Services Controller に追加された後にライセンスを設定するには、エッジ ルータ上でスマート ライセンス コマンドを実行する必要があります。
- 手動で導入されたエッジ ルータを登録する場合、エッジ ルータ上でスマート ライセンス コマンドを実行する必要があります。
はじめる前に手順次の内容を確認します。
- ライセンス カテゴリ(スループット レベルとテクノロジー パッケージ)が、エッジ ルータ用に購入済みである。ライセンスのスループット レベルとテクノロジー パッケージの詳細については、Cisco Cloud Services Router 1000V Data Sheet を参照してください。
- スマート ライセンス ポータル(http://tools.cisco.com/rhodui/index)から、ライセンス トークンを生成済みである。
- テナントが作成済みである。
ステップ 1 [Resource Management] > [Managed Resources] > [root] >tenant を選択します。 ステップ 2 [Licenses] タブで、[Create Remote License Category] をクリックします。 ステップ 3 カテゴリ名を入力し、後で追加するエッジ ルータに該当するカテゴリを選択して、[OK] をクリックします。 ステップ 4 [Licenses] タブで、[Create Smart License] をクリックして、以下の操作を実行します。
ステップ 5 [OK] をクリックします。選択したテナントに対してスマート ライセンスが作成されます。 ステップ 6 エッジ ルータがスマート ライセンス サーバと通信できるようにスタティック ルーティングを設定します([Policy Management] > [Service Policies] > [root] > [Policies] > [Routing] を選択して [Add Routing Policy] を選択)。 ステップ 7 エッジ ルータが Call Home 設定で指定されたスマート ライセンス サーバの URL を解決できるように、DNS ポリシーを設定します([Policy Management] > [Device Configurations] > [root] を選択して [Add Device Profile] を選択)。 ステップ 8 必要なエッジ ルータを追加します。エッジ ルータの追加の詳細については、オンライン ヘルプを参照してください。
次の作業
エッジ ルータが稼働中であることを Prime Network Services Controller GUI で確認し、そのエッジ ルータがライセンスによってインスタンス化されていることを確認します。([Resource Management] > [Managed Resources] > [root] >tenant > [Network Services] >edge-router > [Edit] を選択します。[Instantiated with License] フィールドに Yes と表示されているはずです。)
[Instantiated with License] フィールドに No と表示されている場合は、CSR 1000V ライセンスの登録で、エッジ ルータへのライセンスの登録ついての詳細を参照してください。
ロード バランサ ライセンスの設定
Prime Network Services Controller によって、バンドルされた Citrix NetScaler ロード バランサ ライセンスをインポートして、これらのライセンスをロード バランサに割り当てる準備を整えることができます。詳細については、次のトピックを参照してください。Citrix ロード バランサ バンドル ライセンス
Citrix NetScaler ロード バランサ ライセンス バンドルは、以下の内容を含む .zip ファイルです。license.xml ファイルの例については、license.xml ファイルの例を参照してください。
ライセンス バンドルには、次の条件が適用されます。
バンドル内のライセンス ファイルは、すべて単一のプラットフォーム向けに同一ベンダーから供与されている必要があります。現在のリリースでサポートされているベンダーとプラットフォームの組み合わせは、Citrix と VPX または NS1000V のみです。
バンドル内のすべてのライセンス ファイルは、同一のライセンス カテゴリである必要があります。たとえば、同じ機能レベル(Standard、Premium など)とスループット レベル(10、1000 など)である必要があります。
ロード バランサをインストールする前に、ライセンス バンドルをインポートする必要があります。
複数のライセンス バンドルをインポートできますが、バンドルには既存のファイルと同じホスト ID または同じファイル名のファイルを含めることはできません。
ロード バランサ サービス デバイスに割り当てられたライセンスは削除できません。
license.xml ファイルの例
xml version="1.0" encoding="UTF-8" <LicenseBundle> <Vendor>vendor-name</Vendor> <Platform>platform-type</Platform> <LicenseCategory> <FeatureLevel>feature-level</FeatureLevel> <ThroughputLevel>throughput-level</ThroughputLevel> <Licenses> <License file="license1.lic"> <HostId>host1-id</HostId> <License file="license2.lic"> <HostId>host2-id</HostId> </Licenses> </LicenseCategory> </LicenseBundle>
ライセンス XML タグ 説明 例 Vendor
ライセンスの取得元ベンダー。
Citrix
Platform
ライセンスを使用できるプラットフォーム。
VPX
LicenseCategory
機能とスループット レベルに基づいたライセンス カテゴリ。
FeatureLevel
バンドル内ライセンスの機能レベル。
規格
ThroughputLevel
バンドル内ライセンスのスループット レベル。
10
Licenses
バンドル内のライセンス。
License file
ライセンス ファイル名。
"GID_6087fdd1_1435dda300b__6e02.lic"
HostId
ライセンスが発行されたデバイスのホスト ID。
005056a91f72
ロード バランサ ライセンスのインポートと設定
はじめる前に手順
購入したライセンス カテゴリを確認します。Citrix NetScaler ロード バランサ の利用可能なライセンス カテゴリの詳細については、http://support.citrix.com/article/CTX122426を参照してください。
ステップ 1 [Resource Management] >[Managed Resources] > [root] または [root ]>tenant を選択します。
(注) ライセンスがルートにインポートされた場合は、ルート下のすべてのテナントでライセンスを使用できます。きめ細かい制御を行うために、テナント レベルまたはそれ以下でライセンスをインポートしてください。 ステップ 2 [License] タブで、[Import License Bundle] をクリックします。 ステップ 3 インポートの詳細を入力し、[OK] をクリックします。インポートのステータスを確認するには、[Recent Jobs] ウィンドウを表示します。インポートが完了したら、バンドルは成功のステータスでテーブルに表示されます。 ステップ 4 プラットフォーム エリア別の [Feature License] 下で、デバイスとライセンス カテゴリを選択します。 ステップ 5 [Edit] をクリックすると、そのカテゴリで利用可能なさまざまなライセンスが表示されます。このテーブルを後で表示して、どのライセンスがインスタンス化されたロード バランサに割り当てられているのかを確認できます。
これで、タスク 8:サービス デバイスの追加 で説明されているように、インポートされたライセンスを使用してロード バランサをインスタンス化できます。
タスク 8:サービス デバイスの追加
手順テナント、ポリシー、およびプロファイルが設定された後に、リソースまたはサービス デバイスをテナントに追加できます。サービス デバイスには、コンピュート ファイアウォール、エッジ ファイアウォール、エッジ ルータ、およびロード バランサが含まれます。次のいずれかの方法で、サービス デバイスをテナントに追加できます。VSG などの一部のリソースでは、リソース プールを作成し、そのプールをテナントに関連付けることができます。
ウィザードにより、サービス デバイスをテナントに追加する手順を進めることができ、設定に必要な情報が確実に提供されます。
(注)
サービス デバイスは、ルート レベルではなく、テナント レベル以下に追加することを推奨します。
以下の手順は、サービス デバイスを追加するために必要な手順の概要を示しています。具体的に必要な情報は、追加するサービス デバイスによって異なります。それぞれの画面の詳細については、オンライン ヘルプを参照してください。
ステップ 1 [Resource Management] > [Managed Resources] > [root] >tenant を選択します。 ステップ 2 [Network Services] タブの [Actions] ドロップダウン リストから、追加するサービス デバイスのタイプを選択します(コンピュート デバイス、ロード バランサなど)。 ウィザードが開き、[Properties] 画面が表示されます。
ステップ 3 [Properties] 画面で必要な情報を入力して、ポリシー(複数の場合もあります)がサービス デバイスに対して正しいことを確認します。 ステップ 4 [Service Device] 画面で、次のいずれかを実行します。 ステップ 5 (インスタンス化オプションのみ)[Placement ] 画面で、サービス デバイスに使用する VM ホストまたはリソース プールを選択します。 ステップ 6 [Interfaces] 画面で、必要なインターフェイスを設定します。設定するインターフェイスの数とタイプは、サービス デバイスのタイプおよびサービス デバイスがイメージからインスタンス化されたかどうかにより異なります。ツールチップで、各サービス デバイスの具体的なインターフェイス要件が提供されます。 ステップ 7 [Summary] 画面で情報が正確であることを確認して、[Finish] をクリックします。
エッジ ルータ導入オプション
エッジ ルータでは、仮想 CPU の数とメモリの量に応じて、さまざまなスループット量をサポートできます。実際の環境に適した仮想 CPU の数とメモリの量、および必要なスループットを選択してください。
スループット テクノロジー パッケージ 速度
規格
Advanced
Premium
10 Mbps
1 つの vCPU、2560 MB RAM
1 つの vCPU、2560 MB RAM
1 つの vCPU、2560 MB RAM
50 Mbps
1 つの vCPU、2560 MB RAM
1 つの vCPU、2560 MB RAM
1 つの vCPU、2560 MB RAM
100 Mbps
1 つの vCPU、2560 MB RAM
1 つの vCPU、2560 MB RAM
1 つの vCPU、2560 MB RAM
250 Mbps
4 つの vCPU、4096 MB RAM
4 つの vCPU、4096 MB RAM
4 つの vCPU、4096 MB RAM
500 Mbps
4 つの vCPU、4096 MB RAM
—
—
1 Gbps
4 つの vCPU、4096 MB RAM
—
—
タスク 9:エッジ セキュリティ プロファイルの作成
手順タスク 8:サービス デバイスの追加でエッジ ファイアウォールを作成した場合、エッジ セキュリティ プロファイルを作成できます。エッジ セキュリティ プロファイルには、エッジ ファイアウォールのセキュリティを確保するために選択するポリシーおよびポリシー セットが含まれます。アクセス ポリシーを作成するときのベスト プラクティスについては、アクセス ポリシーのベスト プラクティスを参照してください。
ステップ 1 [Policy Management] > [Service Profiles] > [root] >tenant > [Edge Firewall] > [Edge Security Profiles] を選択します。 ステップ 2 [General] タブで、[Add Edge Security Profile] をクリックします。 ステップ 3 [Edge Security Profile] ダイアログボックスで、次の内容を実行します。
- [General] タブで、エッジ セキュリティ プロファイルの名前と説明を入力します。
- [Ingress] タブで、入力ポリシーの [Ingress Policy Set] ドロップダウン リストからポリシー セットを選択します。
- [Egress] タブで、入力ポリシーの [Egress Policy Set] ドロップダウン リストからポリシー セットを選択します。
(注) ACL ポリシー セットを追加するには、[Add ACL Policy Set] をクリックし、タスク 3:アクセス ポリシーの設定の手順に従います。 ステップ 4 [NAT] タブで、既存の NAT ポリシー セットを選択するか、次のように新しいポリシー セットを追加します。
- [Add NAT Policy Set] をクリックします。
- [Add NAT Policy Set] ダイアログボックスで、[Add NAT Policy Set] ダイアログ ボックスで説明されている情報を入力します。
- NAT ポリシーを追加するには、[Add NAT Policy] をクリックして、[Add NAT Policy] ダイアログ ボックスで説明されている情報を入力します。
- NAT ポリシーにルールを追加するには、[Add Rule] をクリックし、[Add NAT Policy Rule] ダイアログボックスで説明されている情報を入力します。
- ルール条件を追加するには、[Add Rule Condition] をクリックして、[Add Condition] ダイアログ ボックスで説明されている情報を入力します。
[VPN] および [Advanced] タブのフィールド レベルの情報については、オンライン ヘルプを参照してください。
ステップ 5 開いているダイアログボックスで [OK] をクリックします。
[Add NAT Policy Set] ダイアログ ボックス
フィールド 説明 Name
ポリシー セット名。
Description
ポリシー セットの簡単な説明。
Admin State
ポリシー セットの管理状態をイネーブルにするかまたはディセーブルにするか。
[Policies] 領域
Add NAT Policy
新しいポリシーを追加します。
Available
ポリシー セットに割り当て可能なポリシー。
(カラム間の矢印を使用して、カラム間でポリシーを移動します。)
Assigned
ポリシー セットに割り当てられたポリシー。
Up and down arrows
選択したポリシーの優先順位を変更します。
ポリシーを優先順位の高い順からリストします。
[Add NAT Policy] ダイアログ ボックス
フィールド 説明 Name
ポリシー名。
Description
ポリシーの簡単な説明。
Admin State
ポリシーの管理ステータス:enabled または disabled。
[Rule] テーブル
Add Rule
現在のポリシーにルールを追加します。
名前
ルール名。
Source Condition
現在のポリシーを適用するために一致する必要がある送信元属性。
Destination Condition
現在のポリシーを適用するために一致する必要がある宛先属性。
Protocol
ポリシーが適用されるプロトコル。
アクション
NAT 変換がスタティックであるかダイナミックであるか。
Source IP Pool
送信元 IP アドレス一致条件用の、変換されたアドレスのプール。
Source Port Pool
送信元ポート一致条件用の、変換されたアドレスのプール。
Source IP PAT Pool
送信元ポート アドレス変換(PAT)一致条件用の、変換されたアドレスのプール。
Destination IP Pool
宛先 IP アドレス一致条件用の、変換されたアドレスのプール。
Destination Port Pool
宛先ポート一致条件用の、変換されたアドレスのプール。
[Add NAT Policy Rule] ダイアログボックス
フィールド 説明 Name
ルール名。
Description
ルールの簡単な説明。
Original Packet Match Conditions
Source Match Conditions
現在のポリシーを適用するために一致する必要がある送信元属性。
新しい条件を追加するには、[Add Rule Condition] をクリックします。
使用可能な送信元属性は、IP アドレスとネットワーク ポートです。
Destination Match Conditions
現在のポリシーを適用するために一致する必要がある宛先属性。
新しい条件を追加するには、[Add Rule Condition] をクリックします。
使用可能な宛先属性は、IP アドレスとネットワーク ポートです。
Protocol
[NAT Action] テーブル
NAT Action
このドロップダウン リストから、[Static] または [Dynamic] のうち、必要な方のトランスレーション オプションを選択します。
Translated Address
たとえば、送信元 IP アドレスの一致条件を指定する場合は、[Source IP Pool] オブジェクト グループを選択する必要があります。同様に、宛先ネットワーク ポートの場合は、[Destination Port Pool] オブジェクト・グループを選択する必要があります。
[Source IP PAT Pool] オプションは、ダイナミック変換を選択した場合にのみ使用可能です。
変換アクション用のオブジェクト グループを追加するには、[Add Object Group] をクリックします。
NAT Options
[Enable Bidirectional]:双方向接続(ホストからの接続とホストへの接続)を開始するには、このチェックボックスをオンにします。スタティック アドレス変換の場合のみ使用可能です。
[Enable DNS]:NAT に対して DNS を有効にするには、このチェックボックスをオンにします。
[Enable Round Robin IP]:ラウンド ロビン方式で IP アドレスを割り当てるには、このチェックボックスをオンにします。ダイナミック アドレス変換の場合のみ使用可能です。
[Disable Proxy ARP]:プロキシ ARP を無効にするには、このチェックボックスをオンにします。スタティック アドレス変換の場合のみ使用可能です。
[Add Condition] ダイアログ ボックス
フィールド 説明 Attribute Type
この条件の属性タイプ。設定されているポリシーのタイプによって使用できるタイプは異なります。たとえば、ACL ポリシーに使用できる属性タイプは、NAT ポリシーに使用できるものとは異なります。
Expression
Attribute Name
属性名。使用可能な属性は、使用しているハイパーバイザによって異なります。
Operator
属性に適用できる演算子。選択した演算子によって、[Attribute Value] フィールドに異なる情報を入力する必要があります。
Attribute Value
属性値。必要な情報は、属性名と演算子によって異なります。
タスク 10:ロギングの有効化
サービス デバイスの Syslog ポリシーの設定および有効化によって、指定した重大度レベルの Syslog メッセージを確実に受信できるようになります。たとえば、Syslog ポリシーによって、ファイアウォール ルールが呼び出され、許可または拒否の処理が実行されたことを通知する Syslog メッセージを受信することができます。
ロギングによって、トラフィックをモニタし、問題をトラブルシューティングし、そしてデバイスが正常に設定され動作していることを確認することができます。
次のいずれかまたは両方を実行することによって、サービス デバイスの syslog ポリシーを設定および有効化することができます。
モニタ セッションでのポリシー エンジン ロギングの有効化
手順
ステップ 1 [Policy Management] > [Device Configurations] > [root] > [Policies] > [Syslog] を選択します。 ステップ 2 Syslog テーブルで、[default] を選択し、[Edit] をクリックします。 ステップ 3 [Edit Syslog Policy] ダイアログボックスで、[Servers] タブをクリックします。 ステップ 4 [Syslog Policy] テーブルで、プライマリ サーバのタイプを選択し、[Edit] をクリックします。 ステップ 5 [Edit Syslog Client] ダイアログボックスに次の情報を入力し、開いているダイアログボックスで [OK] をクリックします。
トラブルシューティング
次のトピックは、 Prime Network Services Controller のインストールまたは設定時に直面することがある問題のトラブルシューティングに役立ちます。CSR 1000V ライセンスの登録
手順CSR 1000V エッジ ルータに対してスマート ライセンスを設定してもライセンスがエッジ ルータに自動的に登録されない場合、この手順で説明されているように、CLI を使用して手動でライセンスを登録する必要があります。
ステップ 1 CSR 1000V 管理 IP アドレスを使用して、エッジ ルータのコンソールを開き、CLI にログインします。 ステップ 2 show license all コマンドを入力して、ライセンスがエッジ ルータに登録されていないことを確認します。[Smart Licensing State] フィールドに unidentified と表示され、ライセンスが登録されていないことが示されます。 ステップ 3 コマンド license smart register idtokentoken を入力して、ライセンスをエッジ ルータに登録します。token は、スマート ライセンス ポータルから取得したトークンです。 ステップ 4 1 分待機して、もう一度 show license all コマンドを入力して、ライセンスがエッジ ルータに登録されていることを確認します。
Device Adapter のプロパティの更新
Prime Network Services Controller Device Adapter の展開時に誤った情報を入力すると、 Prime Network Services Controller に登録されません。たとえば、OVF の展開時に誤った IP アドレスまたは共有シークレット パスワードを入力すると、Device Adapter を Prime Network Services Controller に登録できません。この状態が生じた場合は、次の手順を実行して修正します。手順
ステップ 1 ハイパーバイザで、Device Adapter VM を停止します。 ステップ 2 ハイパーバイザで OVF の設定に移動し、必要に応じてプロパティを更新します。 ステップ 3 Device Adapter を再起動します。 Device Adapter が Prime Network Services Controller に登録されます。
デバイス アダプタに到達不能
ネットワーク接続の喪失などの特定の状況で、Prime Network Services Controller および Prime Network Services Controller Device Adapter(デバイス アダプタ)は相互に通信できなくなることがあります。この場合、このトピックの指示に従って通信を回復します。
最初に、Prime Network Services Controller とデバイス アダプタが相互に接続できないことを確認します。そのためには、Prime Network Services Controller GUI にログインして [Administration] > [Service Registry] を選択します。デバイス アダプタは、managed-endpoint および mgmt-controller の 2 つのエントリで表示されます。どちらのエントリも lost-visibility 状態の場合、Prime Network Services Controller とデバイス アダプタが長期間相互に通信できなかったことを示します。Prime Network Services Controller とデバイス アダプタが相互の通信を再開できると、lost-visibility 状態から回復します。
エンドポイントとの通信を再確立できなかった場合、lost-visibility 状態の管理対象エンドポイントを削除できます。ただし、デバイス アダプタの管理対象エンドポイントは削除しないでください。代わりに、lost-visibility 状態のデバイス アダプタ VM と同じホスト情報(ホスト名、アクセス資格情報、および管理 IP アドレス)を使用して、デバイス アダプタ VM を置き換えます。
既存の VM を削除して同じホスト情報でデバイス アダプタ VM を再作成することで、Prime Network Services Controller は新しいデバイス アダプタ VM を以前のデバイス アダプタ VM の代替として認識します。さらに、新しいデバイス アダプタ VM は、以前のデバイス アダプタ VM が管理したサード パーティ製デバイスの管理を想定します。
シナリオ 1
このシナリオでは、 Prime Network Services Controller はデバイス アダプタを使用して導入されます。
Prime Network Services Controller は、Adapter1 によって管理される 3 つのロード バランサ(lb1、lb2、および lb3)を導入します。
Adapter1 が使用できなくなります。
管理者は、Adapter1 の管理対象エンドポイントを削除しません。
管理者は、Adapter1 VM を削除し、元のデバイス アダプタと同じホスト情報を使用してそれを再作成します。
Prime Network Services Controller は、接続を回復して、新しいデバイス アダプタ VM を以前の Adapter1 の代替として認識します。
新しい Adapter1 は、既存のサービス ノードの管理を想定します。さらに、Prime Network Services Controller は、新しい Adapter1 に割り当てられる新しいサービス ノード(lb4 など)を導入します。
(注)
新しい Adapter1 は、既存のサービス ノード(lb1、lb2、および lb3)に設定を再適用しようとすることがあります。この場合、Prime Network Services Controller はこれらのサービス ノードの設定状態を failed-to-apply に更新する場合があります。この場合、サービス ノードを再起動して正しい設定状態を表示します。
シナリオ 2
このシナリオでは、新しいデバイス アダプタのホスト情報は元のデバイス アダプタとは異なります。
新しいデバイス アダプタ VM のホスト情報が異なる(管理 IP アドレスまたはホスト名などが異なる)場合、Prime Network Services Controller はこれを既存の VM の代替として認識しないことがあります。元のデバイス アダプタ VM によって管理されていたすべての既存サービス ノードは引き続き実行されますが、ヘッドレス モードになります。Prime Network Services Controller を使用してこれらのサービス ノードに行われた追加の設定変更は、適用されません。また、Prime Network Services Controller は新しいデバイス アダプタ VM を以前のデバイス アダプタ VM の代替として認識しないため、それらを元のデバイス アダプタに割り当てることができず、その後の導入は失敗します。
前のシナリオと同様に、 Prime Network Services Controller はデバイス アダプタ(Adapater1)を使用して導入されます。
Prime Network Services Controller は、3 つのロードバランサ(lb1、lb2、および lb3)を導入します。
Adapter1 は、lost-visibility 状態になります。
管理者は、Adapter1 の管理対象エンドポイントを削除しません。
管理者は、Adapter1 の管理 IP アドレスとは異なる管理 IP アドレスを使用して、新しいデバイス アダプタ VM(Adapter2)を導入します。
Prime Network Services Controller は、Adapter2 を Adapter1 の代替として認識せず、代わりにデバイス アダプタの新しいインスタンスと見なします。
Adapter1 によって管理されていたすべてのサービス(lb1、lb2、および lb3)は引き続き実行されますが、ヘッドレス モードになります。つまり、Prime Network Services Controller がこれらのサービスの設定を変更しようとすると失敗します。
lb4 などの追加導入は管理用に Adapter1 に割り当てられることがあり、それによって導入を完了できなくなります。
(注)
デバイス アダプタ VM を置き換える前にデバイス アダプタの管理対象エンドポイントを削除すると、Prime Network Services Controller は新しいデバイス アダプタ VM を元のデバイス アダプタ VM の代替として認識しません。代わりに、このシナリオで説明した動作が発生します。
デバイスとサービスのトラブルシューティング
手順
ステップ 1 [Resource Management] > [Managed Resources] > [root] >tenant を選択します。 ステップ 2 [Network Services] タブで、必要なサービスまたはデバイスを選択して、[Edit] をクリックします。 ステップ 3 [General] タブの [Status] 領域で、到達可能性、設定または関連付けに影響する問題や状態がないか確認します。 ステップ 4 [Faults] タブで、表示された障害を確認します。エラーについての詳細情報を表示するには、エントリをダブルクリックするか、エントリを選択して [Properties] をクリックします。
Prime Network Services Controller のアップグレード
アップグレードの概要
次の情報は、Prime Network Services Controller 3.2.2b に適用されます。
Prime Network Services Controller 3.2.2b は、InterCloud 機能をサポートしていません。InterCloud オブジェクトが含まれている以前のバージョンの Prime Network Services Controller からアップグレードする場合、アップグレード手順でこれらのオブジェクトが検出され、アップグレード手順が停止します。3.2.2b にアップグレードする前にすべての InterCloud オブジェクトを削除する必要があります。
VMware 上の Prime Network Services Controller 3.2 または 3.2.2a のスタンドアロン導入を Prime Network Services Controller 3.2.2b にアップグレードできます。以前のバージョンを使用している場合、3.2.2b にアップグレードする前に 3.2 または 3.2.2a にアップグレードします。
Prime Network Services Controller 3.2.2b へのアップグレードは、OpenStack 環境や Hyper-V Hypervisor 環境、またはオーケストレータ モードでは使用できません。
次の表に、Prime Network Services Controller 3.2.2b のサポートされているアップグレード パスを示します。
表 1 Prime Network Services Controller 3.2.2b のサポートされているアップグレード パス ハイパーバイザ
サポートされているアップグレード バージョン
スタンドアロン モード
オーケストレータ モード
VMware
3.2、3.2.2a
N/A
VNMC 2.x から Prime Network Services Controller 3.2.2b にアップグレードするには、まず、いずれかのサポートされているアップグレード バージョンにアップグレードする必要があります。
次のシナリオはサポートされません。
VNMC 1.x または 2.x からのバックアップおよび Prime Network Services Controller 3.2.2b への復元
VNMC 1.x または 2.x からのエクスポートおよび Prime Network Services Controller 3.2.2b へのインポート
Prime Network Services Controller 3.2.2b にアップグレードするには、次の要件を満たしていることを確認します。
VNMC 2.1 からアップグレードする場合、VNMC 2.1 が 1 つのディスクに導入されていることを確認します。VNMC 2.1 の導入が複数のディスクに及ぶと、アップグレードは失敗します。
VNMC 2.0 または 2.1 からアップグレードする場合、まず、Prime Network Services Controller 3.2 または 3.2.2a にアップグレードします。http://www.cisco.com/en/US/products/ps13213/prod_installation_guides_list.html の『Cisco Prime Network Services Controller 3.2 Quick Start Guide』[英語] または『Cisco Prime Network Services Controller 3.2.2 Quick Start Guide』[英語] を参照してください。
タスク
注意
1.Secure Copy Protocol(SCP)を使用して、Prime Network Services Controller の完全な状態のバックアップを実行します。
データのバックアップを参照してください。
2.Prime Network Services Controller デバイス アダプタ VM を停止します。
まだこの VM を削除しないでください。アップグレードが成功し、以前のバージョンを復元する必要がないことを確認した後に、この VM を削除します。
3.CLI update bootflash コマンドを使用して、Prime Network Services Controller をアップグレードします。
4.新しい Prime Network Services Controller デバイス アダプタ バージョンを使用して、新しい Prime Network Services Controller デバイス アダプタ VM を導入し、電源を入れます。
新しい Prime Network Services Controller デバイス アダプタ VM を設定する場合は、以前のバージョンと同じホスト情報(ホスト名、アクセス資格情報、および管理 IP アドレス)を使用します。
5.Prime Network Services Controller が正常にアップグレードされたことを確認します。
コンソールで、show version コマンドを入力して、新しいバージョンがインストールされていることを確認します。
Prime Network Services Controller GUI にログインして、サービス ノードが登録されていることを確認します。
6.以前の Prime Network Services Controller デバイス アダプタ VM を削除します。
サービス ノードが登録されていることを確認した後、この VM を削除できます。
Prime Network Services Controller のアップグレード後:
システムが同期して安定するまで少なくとも 15 分待ちます。このとき、ポリシーまたはサービス デバイスを追加したり変更しないでください。
Prime Network Services Controller に登録するために、各サービス ノードのノードごとに約 5 分待ちます。
ブラウザに以前のバージョンの Prime Network Services Controller が表示される場合、ブラウザのキャッシュと履歴をクリアして、ブラウザを再起動します。これは、サポートされているすべてのブラウザ(Internet Explorer、Mozilla Firefox、および Google Chrome)に適用されます。
データのバックアップ
手順Prime Network Services Controller をアップグレードする前に、CLI または GUI を使用してデータをバックアップできます。CLI を使用するには、このトピックを続行します。GUI を使用するには、Prime Network Services Controller のバックアップを参照してください。
(注)
一時的にリモート ファイル サーバで Cisco Security Agent (CSA) を無効にします。
TFTP を使用してデータをバックアップしないでください。
システムでイメージをインポートしている間は、バックアップを実行しないでください。
CLI にアクセスするにはコンソールを使用し、SSH は使用しないでください。SSH セッションが接続解除されると、VM にアクセスできなくなります。
ステップ 1 コンソールを使用して、管理者として Prime Network Services Controller にログインします。 ステップ 2 システム モードに入ります。 scope systemステップ 3 完全な状態のバックアップ ファイルを作成します。 値は次のとおりです。create backup scp://user@host/file full-state enabledステップ 4 プロンプトが表示されたら、必要なパスワードを入力します。 ステップ 5 /system/backup* プロンプトで、次を入力します。 commit-bufferステップ 6 SCP サーバにログインして、/file が存在し、ファイル サイズがゼロ(0)でないことを確認します。
Prime Network Services Controller へのアップグレード
既存の Prime Network Services Controller インストールのデータをバック アップした後に、Prime Network Services Controller にアップグレードできます。
はじめる前に手順次の内容を確認します。
必要に応じて、現在のシステムがリカバリ目的でバックアップされている。詳細については、データのバックアップを参照してください。
ステップ 1 コンソールを使用して、管理者として Prime Network Services Controller にログインします。 ステップ 2 local-mgmt に接続します。 connect local-mgmtステップ 3 (任意)Prime Network Services Controller ソフトウェアの現在のバージョンを確認します。 show versionステップ 4 リモート ファイル サーバから、Prime Network Services Controller イメージをダウンロードします。 copy scp://imageURLtoBinFile bootflash:/ステップ 5 Prime Network Services Controller にアップグレードします。 update bootflash:/nsc.3.2.2b.binここで、 nsc.3.2.2b.bin は、イメージ名です。ステップ 6 次の手順でサーバを再起動します。 service restartステップ 7 (任意)Prime Network Services Controller サーバが希望どおりに動作していることを確認してください。 service statusステップ 8 (任意)Prime Network Services Controller ソフトウェア バージョンが更新されていることを確認してください。 show versionステップ 9 アップグレード後、Prime Network Services Controller が完全にアクセス可能か確認するには、GUI を使ってログインします。 ブラウザにアップグレード バージョンの代わりに以前のバージョンが表示された場合は、ブラウザ キャッシュおよび参照の履歴を消去し、ブラウザを再起動します。
ステップ 10 サーバのホスト名または完全修飾ドメイン名(FQDN)を変更した場合は、VMM との Prime Network Services Controller 接続を再設定します。
(注) エンタープライズ VM 関連の操作を試みる前にこの手順を実行する必要があります。 詳細については、VMware vCenter との接続の設定を参照してください。
Prime Network Services Controller のバックアップおよび復元
バックアップと復元の概要
(注)
詳細については、Cisco Prime Network Services Controller ユーザ ガイド [英語] の管理操作の設定に関する項を参照してください。Prime Network Services Controller によって、同じ Prime Network Services Controller のバージョンでバックアップおよび復元が可能になります。つまり、次のバックアップおよび復元の操作がサポートされます。あるバージョンをバックアップして別のバージョンに復元すること(VNMC 2.1 をバックアップして Prime Network Services Controller に復元することなど)は、サポートされていません。
Prime Network Services Controller を復元した後、システムが同期して安定するまで少なくとも 15 分待ちます。このとき、ポリシーまたはサービス デバイスを追加したり変更しないでください。
(注)
バックアップおよび復元操作に TFTP を使用しないでください。Prime Network Services Controller のバックアップ
Prime Network Services Controller によって、GUI または CLI を使用したバックアップが可能になります。同じ Prime Network Services Controller バージョンのデータをバックアップおよび復元できます。あるバージョンをバックアップして別のバージョンに復元すること(VNMC 2.1 をバックアップして Prime Network Services Controller に復元することなど)はサポートされていません。
次の点を推奨します。
システムがイメージをインポートしているときは、バックアップを実行しないでください。
CLI の使用:データのバックアップを参照してください。
GUI の使用:Cisco Prime Network Services Controller ユーザ ガイド [英語] の管理操作の設定に関する項を参照してください。
以前のバージョンの復元
手順
(注)
TFTP を使用してデータを更新しないでください。
CLI にアクセスするにはコンソールを使用し、SSH は使用しないでください。SSH セッションが接続解除されると、VM にアクセスできなくなります。
ステップ 1 コンソールを使用して、管理者として Prime Network Services Controller にログインします。 ステップ 2 local-mgmt に接続します。 connect local-mgmtステップ 3 (任意)Prime Network Services Controller の現在のバージョンを確認します。 show versionステップ 4 リモート ファイル サーバから、必要なイメージをダウンロードします。 copy scp://imageURLtoBinFile bootflash:/ステップ 5 update コマンドを入力してください。 update bootflash:/ forceステップ 6 以前のバージョンを復元します。 restore scp://user@host-ip-address/tmp/backup-file.tgz値は次のとおりです。ステップ 7 次の手順でサーバを再起動します。 service restartステップ 8 (任意)Prime Network Services Controller サーバが希望どおりに動作していることを確認してください。 service statusステップ 9 (任意)Prime Network Services Controller のソフトウェア バージョンが更新されていることを確認します。 show versionステップ 10 システムが少なくとも 15 分間同期できるように、安定状態を維持します。この期間に、ポリシーまたはサービス デバイスを追加または変更しないでください。 ステップ 11 Prime Network Services Controller が完全にアクセス可能であることを確認するために、GUI を使用してログインします。
次の作業
復元後のタスクで説明されている、復元後の作業を行います。
復元後のタスク
正常に Prime Network Services Controller を復元した後、次のタスクを完了して以前の環境を再構築します。VM マネージャの追加
手順
ステップ 1 [Resource Management] > [VM Managers] を選択します。 ステップ 2 VM マネージャを保持するには、VM マネージャを再度追加します。詳細については、VMware vCenter との接続の設定を参照してください。 ステップ 3 使用しなくなった VM マネージャ エントリを削除します。
イメージの再インポート
Prime Network Services Controller では、以前にインポートされたイメージは復元されません。Prime Network Services Controller を復元した後に、以下の手順を実行して、必要なイメージをすべて再インポートします。
(注)
デバイスをアウトオブバンドでアップグレードできますが、この方法ではスタンドアロン サービス ノードのトラフィックが中断される可能性があります。はじめる前に手順以前のバージョンの復元の説明に従って Prime Network Services Controller を復元します。
ステップ 1 Prime Network Services Controller GUI にログインします。 ステップ 2 [Resource Management] > [Resources] > [Images] を選択します。 ステップ 3 再インポートする各イメージについて、その名前、オペレーティング システム、バージョンなどのプロパティをメモします。使わなくなった、または不要になったイメージは削除できます。
ヒント イメージの元の場所を特定するには、項目を右クリックして [Edit] または [Properties] を選択します。ダイアログボックスに、ソース ファイルの場所と名前が表示されます。
ステップ 4 詳細をメモした後、各イメージを Prime Network Services Controller から削除します。 ステップ 5 手順 3 で収集した情報を使用して、イメージを再インポートします。
その他の情報
関連資料
Prime Network Services Controller
Prime Network Services Controller のマニュアルは、Cisco.com の次の URL で入手できます。
Cisco Cloud Services Router 1000V のマニュアル
Cisco Cloud Services Router 1000V(CSR 1000V)のマニュアルは、Cisco.com の次の URL で入手できます。
Cisco Prime Data Center Network Manager のマニュアル
Cisco Prime Data Center Network Manager(DCNM)のマニュアルは、Cisco.com の次の URL で入手できます。
Cisco Virtual Security Gateway に関するマニュアル
Cisco Virtual Security Gateway(VSG)のマニュアルは、Cisco.com の次の URL で入手できます。
マニュアルの入手方法およびテクニカル サポート
ドキュメントの入手、Cisco Bug Search Tool(BST)の使用、サービス要求の送信、追加情報の収集の詳細については、『What's New in Cisco Product Documentation』を参照してください。
新しく作成された、または改訂されたシスコのテクニカル コンテンツをお手元に直接送信するには、『What's New in Cisco Product Documentation』RSS フィードをご購読ください。RSS フィードは無料のサービスです。
Copyright © 2014-2016, Cisco Systems, Inc. All rights reserved.
フィードバック