オーバーレイネットワークの管理


(注)  


簡素化と一貫性を実現するために、Cisco SD-WAN ソリューションは Cisco Catalyst SD-WAN としてブランド名が変更されました。さらに、Cisco IOS XE SD-WAN リリース 17.12.1a および Cisco Catalyst SD-WAN リリース 20.12.1 以降、次のコンポーネントの変更が適用されます。Cisco vManage から Cisco Catalyst SD-WAN Manager への変更、Cisco vAnalytics から Cisco Catalyst SD-WAN Analytics への変更、Cisco vBond から Cisco Catalyst SD-WAN Validator への変更、Cisco vSmart から Cisco Catalyst SD-WAN コントローラへの変更、および Cisco コントローラから Cisco Catalyst SD-WAN 制御コンポーネントへの変更。すべてのコンポーネントブランド名変更の包括的なリストについては、最新のリリースノートを参照してください。新しい名前への移行時は、ソフトウェア製品のユーザーインターフェイス更新への段階的なアプローチにより、一連のドキュメントにある程度の不一致が含まれる可能性があります。

Cisco Catalyst SD-WAN クラウドホスト型ファブリックの作成

Cisco Catalyst SD-WAN ポータル は、次の手順の中で提供する情報に従って Cisco Catalyst SD-WAN ファブリックをプロビジョニングします。

はじめる前に

次の点を確認してください。

  • アクティブな Cisco スマートアカウント。

  • アクティブな Cisco バーチャルアカウント。

  • Cisco スマートアカウントの SA 管理者ロール。(Cisco Catalyst SD-WAN ポータル に初めてアクセスしてファブリックを作成するために必要です。以降は不要です。)

  • Cisco Commerce(旧 CCW)でのコントローラの有効な注文。

手順

  1. シスコからの電子メールで受け取った URL に移動して Cisco Catalyst SD-WAN ポータル にアクセスし、ログインします。

  2. Cisco Catalyst SD-WAN ポータル メニューから [Create Overlay] を選択します。

    [Create Cisco Hosted Fabric] ページが表示されます。

  3. [Smart Account] ドロップダウンリストから、ファブリックを関連付ける Cisco スマートアカウントの名前を選択します。

  4. [Virtual Account] ドロップダウンリストから、ファブリックを関連付ける Cisco バーチャルアカウントの名前を選択します。

  5. [Assign Controllers] をクリックし、[Assign Controllers] エリアで次の操作を実行します。

    1. 次の表で説明されているように、専用ファブリックのコントローラタイプの数のオプションを設定します。

      オプション

      説明

      Assign (for the vManage controller type)

      展開内の Cisco SD-WAN Manager コントローラの数を入力します。

      有効値は 13、または 6 です。

      Assign (for the vBond controller type)

      展開内の Cisco SD-WAN Validator の数を入力します。

      最小値は 2 です。

      Assign (for the vSmart controller type)

      展開内の Cisco SD-WAN コントローラ の数を入力します。

      最小値は 2 です。

      Enable Cluster

      Cisco SD-WAN Manager コントローラの数に 3 または 6 を選択した場合にのみ適用されます。

      Cisco SD-WAN Manager クラスタを作成するには、このオプションをオンにします。

      Cluster Type

      [Enable Cluster] オプションをオンにした場合にのみ適用されます。

      [Single Tenant Cluster] を選択して、単一テナントクラスタを有効にします。

    2. [Assign] をクリックします。

  6. [Fabric] フィールドにファブリックの名前を入力します。

  7. [Cloud Provider] で、シスコがファブリックのコントローラをホストするクラウドプロバイダーとして [AWS] を選択します。

  8. [SD-WAN Version] ドロップダウンリストから、コントローラで使用する Cisco Catalyst SD-WAN のバージョンを選択します。

    必要な特定の機能があり、その機能が別のバージョンでのみ利用可能な場合を除き、推奨バージョンを選択します。推奨バージョンについては、Cisco Software Central でご確認ください。Cisco Catalyst SD-WAN リリースの詳細については、『User Documentation for Cisco IOS XE (SD-WAN) Release 17』「Release Information」エリアにある Cisco Catalyst SD-WAN リリースノートを参照してください。

  9. [Locations]で、次のアクションを実行します。

    1. [Primary Location] ドロップダウンリストから、Cisco SD-WAN Manager コントローラがプロビジョニングされている地理的な場所を選択します。

      ネットワークに比較的近い場所を選択することをお勧めします。

    2. [Secondary Location] ドロップダウンリストから、バックアップのデータストレージとロードバランシングの地理的な場所を選択します。プライマリとセカンダリの両方に同じリージョンを選択すると、SSP は自動的に同じリージョン内の 2 つの異なるゾーンにインスタンスを配置します。


      (注)  


      プライマリロケーションに最も近い場所を選択することをお勧めします。


    3. [Data Location] ドロップダウンリストから、Cisco Catalyst SD-WAN Analytics データストレージの地理的な場所を選択します。

      プライマリロケーションに最も近い場所を選択することをお勧めします。

  10. [Contacts] で次の情報を入力します。

    • [Fabric Admins] フィールドに、Cisco Catalyst SD-WAN ポータル がファブリックに関する通知を送信する 1 つ以上のカンマ区切りの電子メールアドレスまたはメーラーリスト名を入力します。

    • [Cisco Contact Email] フィールドに、緊急の問題が発生し、ファブリックの管理者と連絡が取れない場合に連絡可能なシスコの連絡先の電子メールアドレスを入力します。

    • [Enter Contract number of service] フィールドに、Cisco Catalyst SD-WAN ポータル サービス契約の番号を入力します。

    • [Enter CCO ID of Service Requester] フィールドに、Cisco Catalyst SD-WAN ポータル のチケットを作成した人の Cisco ID を入力します。

    アラート通知:SSP は、サブスクリプションの期限切れ、メンテナンス期間、機能の変更などさまざまな理由でお客様にアラート通知を送信します。SSP 通知は、オーバーレイの詳細で設定された、登録済みの「オーバーレイ管理者」の連絡先である電子メールアドレスに送信されます。この電子メールアドレスを最新の状態に保つのはお客様の責任となります。複数の電子メールアドレスを登録できます。電子メール アドレスを更新するには、次の手順を実行します。

    1. https://ssp.sdwan.cisco.com で SSP にログインします。 ログインするには、Cisco PNP スマートアカウント管理者ロールが必要です。

      または、スマートアカウント管理者が SSP 上で IDP をすでにセットアップしている場合は、管理者から提供されたロールでログインできます。

    2. [Overlay Details] > [Description] > [Overlay Admin]に移動します。

    3. 編集するには、鉛筆アイコンをクリックします。

    4. 電子メールアドレスを入力し、Tab キーを押します。

    5. チェックマークアイコンをクリックして保存します。

  11. 必要に応じて次の詳細オプションを設定します。

    これらのオプションの詳細については、Cisco Catalyst SD-WAN クラウドホスト型ファブリックの詳細オプションの設定」を参照してください

    • [Custom Subnets]:コントローラ インターフェイスの IP アドレスに使用するプライベート IP アドレスを設定します。

    • [Custom Domain Settings]Cisco SD-WAN Validator および Cisco SD-WAN Manager コントローラにアクセスするためのカスタムドメインを設定します。

    • [Snapshot Settings]:展開で Cisco SD-WAN Manager インスタンスのスナップショットを作成する頻度を設定します。

    • [Custom Organization Name]:ネットワークを識別する一意の組織名を設定します。

    • [Compliance]:ファブリックの認定コンプライアンスを選択します。

    • [Dual Stack]:IPv6 デュアルスタックを有効にします。

  12. [Click here to review and agree to Terms & Conditions before proceeding] をクリックし、[Terms and Conditions] ダイアログボックスに表示される情報を確認して、[I Agree] をクリックします。

  13. [Create Fabric] をクリックします。

    システムによってファブリックが作成されます。このプロセスには最大 60 分かかる場合があります。このプロセスの進行状況に関する情報は、[Create Fabric Progress] 領域に表示されます。

    また、Cisco Catalyst SD-WAN ポータル[Notification] ページにはパスワードが表示されます。ファブリックに初めてアクセスする場合は、このパスワードを使用します。

    環境を保護するために、ログイン後すぐにパスワードを変更することをお勧めします。


    (注)  


    システムによって提供されるコントローラのパスワードは、7 日後から Cisco Catalyst SD-WAN ポータル に表示されなくなります。パスワードを保持する場合は、パスワードのコピーを取っておくことをお勧めします。
  14. ファブリックの準備ができたという通知を受け取ったら、次の手順を実行します。

Cisco Catalyst SD-WAN クラウドホスト型ファブリックの詳細オプションの設定

詳細オプションを使用すると、デフォルト設定が望むものではない場合に、ファブリックのさまざまな設定を指定できます。

ファブリックの詳細オプションを設定するには、Cisco Catalyst SD-WAN ポータル[Advanced Options] をクリックし、以降のセクションで説明するオプションを設定します。

[カスタムサブネット]

[Custom Subnets] エリアには、コントローラ インターフェイスの IP アドレスに使用するプライベート IP アドレスを設定するためのオプションがあります。

エンタープライズ TACACS への接続、認証、許可、およびアカウンティング(AAA)サーバーへの接続、syslog サーバーへのメッセージの送信、またはファブリックを介したインスタンスへの管理アクセスなどの使用例では、特定のプレフィックスのプライベート IP アドレスでコントローラを展開することをお勧めします。これらのプレフィックスは一意であり、ファブリック内の他の場所では使用されていません。

オプション

説明

プライマリサブネット

VPC サブネット

プライマリリージョンの VPC のプライベート IP アドレスブロックを入力します(例:192.168.0.0/24)。

この IP アドレスブロックは、プライベートネットワークから到達可能である必要があります。

プライマリロケーション

ファブリックのプライマリリージョンを表示します。

管理サブネット

プライマリリージョンの管理サブネットのプライベート IP アドレスブロックを入力します。

このアドレスは、VPC について入力する IP アドレスブロック内である必要があります。

IP アドレスブロックの最小サイズは 16 です。

制御サブネット

プライマリリージョンの制御サブネットのプライベート IP アドレスブロックを入力します。

このアドレスは、VPC について入力した IP アドレスブロック内である必要があります。

IP アドレスブロックの最小サイズは 16 です。

クラスタサブネット

プライマリリージョンのクラスタサブネットのプライベート IP アドレスブロックを入力します。

このアドレスは、VPC について入力した IP アドレスブロック内である必要があります。

IP アドレスブロックの最小サイズは 16 です。

セカンダリサブネット
VPC サブネット

セカンダリリージョンの VPC のプライベート IP アドレスブロックを入力します(例:192.168.1.0/24)。

この IP アドレスブロックは、プライベートネットワークから到達可能である必要があります。

プライマリロケーション

ファブリックのセカンダリリージョンを表示します。

管理サブネット

セカンダリリージョンの管理サブネットのプライベート IP アドレスブロックを入力します。

このアドレスは、VPC について入力した IP アドレスブロック内である必要があります。

IP アドレスブロックの最小サイズは 16 です。

制御サブネット

セカンダリリージョンの制御サブネットのプライベート IP アドレスブロックを入力します。

このアドレスは、VPC について入力した IP アドレスブロック内である必要があります。

IP アドレスブロックの最小サイズは 16 です。

クラスタサブネット

セカンダリリージョンのクラスタサブネットのプライベート IP アドレスブロックを入力します。

このアドレスは、VPC について入力した IP アドレスブロック内である必要があります。

IP アドレスブロックの最小サイズは 16 です。

[Custom Domain Settings]

[Custom Domain Settings] エリアには、Cisco SD-WAN Validator および Cisco SD-WAN Manager コントローラにアクセスするためのカスタムドメインを設定するオプションがあります。

デフォルトでは、ドメイン名は cisco.com です。必要な場合は、展開する別のドメインを指定できます。

カスタムドメインを指定する場合、シスコはユーザーのドメインにアクセスできないため、Cisco SD-WAN ValidatorCisco SD-WAN Manager について独自のドメインネームシステムを作成する必要があります。

カスタムドメインを設定したら、次のマッピングを作成し、コントローラ証明書が起動できるようにします。

  • Cisco SD-WAN Validator DNS をすべての VPN 0 IP アドレスにマッピングします。

  • Cisco SD-WAN Manager DNS をすべての VPN 512 IP アドレスにマッピングします。

オプション

説明

vBond

Cisco SD-WAN Validator の DNS 名を入力します。

vManage

Cisco SD-WAN Manager の DNS 名を入力します。

[Snapshot Settings]

[Snapshot Settings] エリアには、展開で Cisco SD-WAN Manager インスタンスのスナップショットを作成する頻度を設定するオプションがあります。

デフォルトでは、ネットワークオーバーレイ設定は 1 日に 1 回バックアップされ、10 個のスナップショットが保存されます。

スナップショットの詳細については、『スナップショットについて』を参照してください。

オプション

説明

Frequency

システムが Cisco SD-WAN Manager インスタンスのスナップショットを作成する頻度を選択します。次のオプションがあります。

  • 1 日に 1 回

  • 2 日に 1 回

  • 3 日に 1 回

  • 4 日に 1 回

[Custom Organization Name]

[Custom Organization Name] エリアには、ネットワークを識別する一意の組織名を設定するオプションがあります。

オプション

説明

[Custom Organization Name]

組織の一意の名前を入力します。

最大 56 文字の名前を入力できます。

組織名が確実に一意のものとなるように、Cisco Catalyst SD-WAN ポータル では入力した名前の末尾にハイフン(-)とバーチャルアカウント ID が自動的に付加されます。

認定コンプライアンスモード

[Compliance Configuration] エリアには、ファブリックの認定コンプライアンスオプションがあります。次のコンプライアンスモードを使用できます。

表 1. サポートされる認定
オプション Description
PCI-DSS PCI DSS(クレジットカードデータ保護基準)、サービスプロバイダー、レベル 1
SOC2 System and Organization Controls
ISO27001、ISO27017、ISO27018、ISO27701 国際標準化機構(ISO)
C5 クラウド コンピューティング コンプライアンス コントロール カタログ(ドイツ)
ENS Esquema Nacional de Seguridad(スペイン)
Tx-RAMP Texas Risk and Authorization Management Program レベル 2

デュアル スタック

[Dual Stack] エリアには、コントローラの IPv6 を有効にするオプションがあります。

企業ネットワークが IPv6 で設定されている場合は、このオプションを有効にする必要があります。このオプションを有効にすると、ファブリックサブネットは IPv4 と IPv6 の両方で設定されます。IPv6 アドレスは、クラウド サービス プロバイダーによって割り当てられます。


(注)  


ファブリックに対してこのオプションを有効にすると、後で無効にすることはできません。

オプション

説明

IPv6 デュアルスタック

コントローラの IPv6 デュアルスタックを有効にするには、このチェックボックスをオンにします。

オーバーレイネットワークの削除

オーバーレイネットワークを削除するには、Cisco Catalyst SD-WAN のテクニカルサポートにお問い合わせください。オーバーレイネットワークは削除できません。

コントローラアクセスを管理するための IP アドレス許可リストの指定

シスコがホストするオーバーレイネットワークの場合、プレフィックスを含む信頼できる IP アドレスを指定して、そこからコントローラアクセスを管理できます。管理アクセスを有効化するには、アクセスが必要なルールタイプ、プロトコル、ポート範囲、および送信元 IP(IP アドレスとプレフィックス)を指定します。


(注)  


オーバーレイに参加するために WAN エッジデバイスの IP アドレスを追加する必要はありません。Cisco SD-WAN Manager がデバイスのシリアル番号を許可している限り、任意の IP アドレスを持つデバイスは、Datagram Transport Layer Security(DTLS)または Transport Layer Security(TLS)トンネルを使用してオーバーレイに参加できます。


  • オーバーレイごとに最大 200 のルールを追加できます。

  • 各ルールは、オーバーレイ内のすべてのクラウドホストコントローラに一律に適用されます。

  • 新しいクラウドホスト型インスタンスが追加されるか、既存のインスタンスが置き換えられた場合は、同じルールが自動的に適用されます。ルールは、単一の IP アドレスまたはより大きな IP プレフィックスのいずれかです。

  1. Cisco Catalyst SD-WAN ポータル ダッシュボードから、オーバーレイネットワークに移動します。

  2. [List View] タブでオーバーレイネットワークの名前をクリックします。

  3. [Inbound Rules] をクリックします。

  4. [Add Inbound Rule] をクリックします。

  5. IP アドレスまたはプレフィックスの次のパラメータを指定します。

    • [Rule type]:[All]、[SSH]、[HTTPS]、[Custom TCP rule]、または [Custom UDP rule] のいずれかを選択します。

    • [Port range]:カスタム TCP および UDP ルールの場合、ポート範囲を指定します。

    • [Source]:IP アドレスまたは IP アドレスプレフィックスを指定します。

    • [Description]:インバウンドルールの説明を入力します。

  6. [Add Rule] をクリックします。

  7. (オプション)[Add New Inbound Rule] をクリックして、他の許可する IP アドレスまたは IP アドレスプレフィックスを追加します。

事前定義されたインバウンドルールの作成

表 2. 機能の履歴

機能名

リリース情報

説明

事前定義されたインバウンドルール

2023 年 3 月リリース

この機能を使用すると、信頼できる IP アドレスを指定できます。これらの IP アドレスは、この機能を設定するスマートアカウントで作成する新しいオーバーレイに適用されます。これらの IP アドレスは、この機能を設定するスマートアカウントの既存のオーバーレイに適用することもできます。

事前定義されたインバウンドルールについて

この機能を使用すると、それぞれが信頼できる IP アドレスを指定するインバウンドルールを作成できます。これらの IP アドレスは、この機能を設定するスマートアカウントで作成する新しいオーバーレイに適用されます。これらの IP アドレスは、この機能を設定するスマートアカウントの既存のオーバーレイに適用することもできます。

インバウンドルールには、ルール名、ルールが適用されるプロトコルとポート範囲、および送信元 IP アドレスまたはプレフィックスの情報が含まれます。最大で 200 のインバウンドルールを作成できます。

事前定義されたインバウンドルールの使用例

事前定義されたインバウンドルールにより、同じ信頼できる IP アドレスのグループを既存のオーバーレイと新しいオーバーレイに追加するための便利な方法が提供されます。事前定義されたインバウンドルールを作成することで、各オーバーレイの信頼できる IP アドレスを手動で設定する必要がなくなります。

事前定義されたインバウンドルールの設定

  1. Cisco Catalyst SD-WAN ポータル メニューから [Admin Settings] を選択します。

  2. 定義済みのインバウンドルールを設定するスマートアカウントの横にある [...] をクリックし、[Manage Predefined Inbound Rules] をクリックします。

    設定されているインバウンドルールのリストが表示されます。

  3. [Add Predefined Inbound Rules] をクリックします。

  4. [Add Inbound Rule] エリアで次のアクションを実行します。

    1. [Name] フィールドに、ルールの一意の名前を入力します。

    2. [Rule Type] ドロップダウンリストから、ルールを適用するプロトコルのタイプ([All][SSH][HTTPS][Custom TCP rule]、または [Custom UDP rule])を選択します。

    3. [Custom TCP rule] または [Custom UDP rule] のルールタイプを選択した場合は、[Port Range] フィールドにルールを適用するポート範囲を入力します。

    4. [Source] フィールドに、IP アドレスまたは IP アドレスプレフィックスを入力します。

    5. [Description] フィールドに、事前定義されたインバウンドルールの説明を入力します。

    6. (オプション) [Automatically add this rule to ALL overlays] をクリックすると、このスマートアカウントで今後作成されるオーバーレイに加え、このスマートアカウントの既存のオーバーレイにもこの新しいルールが追加されます。

      このオプションをクリックしない場合、このルールは今後作成されるオーバーレイにのみ追加されます。

    7. [Add] をクリックします。