Cisco NFVIS SD-Branch ソリューションの導入

導入のセクションでは、NFVIS WAN エッジデバイスを導入する上での前提条件について説明し、その後さまざまなオンボーディングオプションやオンボーディング検証について説明します。

NFVIS WAN エッジオンボーディングの前提条件

WAN Edge のオンボーディングプロセスを開始する前に、次の前提条件が満たされていることを確認してください。

  • NFVIS WAN エッジデバイスは、Cisco vBond オーケストレータおよび Cisco vManage に到達可能です。

  • 承認された WAN エッジデバイスのホワイトリストは、WAN エッジデバイスを追加し、PnP ポータルで vBond コントローラプロファイルに関連付けることによって、すべての SD-WAN コントローラにアップロードされます。ホワイトリスト プロビジョニング ファイルは、PnP ポータルからダウンロードして Cisco vManage にアップロードしたり、[Sync Smart] オプションを使用して Cisco vManage に同期したりできます。Cisco vManage は、後でこのホワイトリストを追加のコントローラに配布します。


    (注)  

    仮想環境に展開されたソフトウェア WAN エッジデバイスには、シャーシまたはシリアル番号がありません。このようなデバイスの場合、ソフトウェアデバイスが PnP ポータルに追加されると、PnP サーバーは一意のシリアル番号を生成します。

  • WAN エッジデバイスは、証明書の状態が [Valid] または [Staging] である必要があります。

    Cisco vManage で、[Configuration]、[Devices]、[WAN Edge List] の順に移動し、WAN Edge デバイスを特定します。[Validity] 列で、デバイスが [Valid] または [Staging] 状態になっていることを確認します。


    (注)  

    [Staging] 状態の WAN エッジデバイスは、SD-WAN コントローラとの制御接続のみを確立します。データプレーン接続は、WAN エッジデバイス間では確立されません。デバイスを完全にオンボードするには、デバイスの状態を [Staging] から [Valid] に移行する必要があります。Cisco vManageで、[Configuration]、[Certificates]、[WAN Edge List] の順に選択して、WAN Edge デバイスを選択し、[Validity] 列で状態を [Valid]に変更して、[Send to Controllers] をクリックします。

  • WAN エッジデバイスは NFVIS ソフトウェアを実行している必要があります。

PnP プロセスを使用した NFVIS WAN エッジデバイスの導入準備の前提条件

PnP プロセスを使用した NFVIS WAN エッジデバイスのオンボーディングについて、次の前提条件が満たされていることを確認してください。

  • 工場出荷時の ENCS NFVIS デバイスは、FQDNのdevicehelper.cisco.com を解決し、Cisco クラウドホスト型のプラグアンドプレイ接続サーバーに到達して、vBond コントローラ情報、組織名、およびエンタープライズルート CA 証明書を取得できる必要があります(エンタープライズルート CA 証明書)。

  • ブートストラップオプションを使用してオンボーディングする前に、WAN エッジを工場出荷時のデフォルト設定にする必要があります。


    (注)  

    ENCS NFVIS デバイスは、必要に応じてデバイスで CLI コマンドを使用して工場出荷時のデフォルトに設定できますfactory-default-reset all

  • http://software.cisco.com の Cisco PnP Connect サーバーには、ENCS NFVIS WAN Edge が追加され、vBond コントローラプロファイルに関連付けられたデバイスが必要です。

    [Cisco Software Central] > [Network Plug and Play] > [Plug and Play Connect] > [Devices] に移動し、関連付けられた [Controller] プロファイルでデバイスが使用可能であることを確認します。

プラグアンドプレイプロセスを使用した NFVIS デバイスのオンボーディング

NFVIS WAN エッジは、最初に PnP プロセスによって SD-WAN オーバーレイネットワークにオンボードされます。


(注)  

出荷時のデフォルトの NFVIS WAN エッジデバイスには、PnP でサポートされるインターフェイスが事前に設定されています。デバイスは IP アドレスを動的に取得し、SD-WAN コントローラに自身を登録します。

  1. PnP 対応インターフェイスをインターネット WAN トランスポートに接続します。

    上の図に含まれる手順を以下で詳しく説明します。

    1. ENCS デバイスの電源を入れ、WAN インターフェイスを GE0-0 に接続します。

    2. ENCS は devicehelper.cisco.com に接続します。ENCS は、PnP Connect サーバーからルート証明書を取得します。

    3. ENCS は vBond にリダイレクトされます。PnP Connect サーバーは、ENCS デバイスの状態を [Pending] から [Redirected] に変更します。

    4. ENCS は、このステップで Cisco vManage に自動的に登録されます。

  2. GE0/0 ポートを WAN に接続し、ENCS デバイスの電源をオンにします。

    • ブートアップ後、デバイスはアップストリーム WAN 転送デバイスから DHCP プロセスを介して IP アドレス、デフォルトゲートウェイ、および DNS 情報を動的に取得します。

    • WAN エッジデバイスは、devicehelper.cisco.com を ZTP サーバーに接続するための DNS 要求を行います。

    • WAN エッジデバイスは、シスコクラウドでホストされている PnP Connect サーバーに到達し、サーバーで認証するためにシャーシとシリアル番号を提示します。

    • 認証後、PnP Connect ポータルは vBond オーケストレータ、組織名、およびルート証明書に関する情報を提供します。


      (注)  

      エンタープライズルート CA 証明書を使用する展開の場合、デバイスは、HTTPS プロトコルを使用して、エンタープライズルート CA 証明書を vBond IP アドレスまたは DNS および組織名とともにダウンロードします。この情報は、vEdge コントローラとの制御接続を開始するために WAN エッジデバイスによって使用されます。

    • この段階で PnP ポータルは、WAN エッジデバイスが PnP 経由で vBond コントローラにリダイレクトされた場合に、[Redirect Successful] ステータスを示します。

      次に、正常にリダイレクトされる ENCS 5412 の例を示します。

  3. vBond オーケストレータによる認証後、Cisco vManage 情報は、NFVIS WAN エッジデバイスで登録され、セキュアな接続を確立します。

    • デバイスは、Cisco vManage とのセキュアな制御接続を確立しようとします。デバイスには設定がなく、システムの IP アドレスとして 0.0.0.0 を使用して Cisco vManage との初期制御接続を確立します。

    • デバイスプロファイルを WAN エッジデバイスに接続すると、Cisco vManage を介してデバイスを制御および設定できるようになります。デバイスを接続するには、次の手順を実行します。

      • [Cisco vManage] メニューから、[Configuration] > [Network Design] を選択します。

      • [Attach Devices] をクリックし、ネットワークトポロジ上のデバイスを選択します。

      • [Attach Devices] をクリックします。

      • 使用可能なデバイスのリストがポップアップウィンドウに表示されます。使用可能なリストから特定のデバイスを選択し、矢印を使って選択したリストに移動します。

        [Attach] をクリックします。

      • 選択したデバイスは、[Edit Device Template] を使用して変更できます。

      • すべてのサイト固有のパラメータを更新し、[Update] をクリックします。

      • デバイスの名前をクリックし、[config preview] を選択します。選択したデバイスに関連付けられている設定をプレビューできます。

        新しい CLI アドオン機能テンプレートを含むデバイステンプレートをここにアタッチすると、設定がマージされ、ここに表示されます。

        [Configure Devices] をクリックして、設定をデバイスにプッシュします。

      • デバイスを設定すると、2 番目のデバイスがトポロジに正常にプロビジョニングされたことが [Network Design] 画面に表示されます。コンフィギュレーションの更新が選択したデバイスにプッシュされます。

      • [WAN Edge List] で接続デバイスの有効性を確認できます。

    • 認証および接続デバイスのプロビジョニングフローの後、Cisco vManage はデバイスのシステム IP アドレスで NFVIS に応答し、共有システム IP アドレスを使用してデバイスで強制的に再認証します。

    • 次に、WAN エッジデバイスは、設定されたシステム IP アドレスを使用してすべての SD-WAN コントローラ(Cisco vBond、Cisco vManage コントローラ)への制御接続を再開し、SD-WAN オーバーレイネットワークに参加します。