プロビジョニング

クラウドホスト型コントローラへのアクセスの取得

シスコマネージドクラウドホスト型コントローラは、デフォルトで管理アクセス用にクローズされています。シスコでは、セキュリティ上の理由から、クラウドホスト型 Cisco Catalyst SD-WAN コントローラ向けの 0.0.0.0/0 へのアクセスを許可していません。お客様のエンタープライズ VPN 内にアクセス用の特定のパブリック IP プレフィックスがあると考えられるため、そのパブリック IP プレフィックスのみがアクセス用にオープンされます。特定の送信元 IP プレフィックスについては、https と ssh のみを許可リストに含めるようにリクエストして、アクセスを制限できます。

Cisco SD-WAN Cloud-Pro コントローラのインターフェイスにはプライベート IP アドレスがあります。各プライベート IP アドレスには、クラウド上のパブリック IP アドレスにマッピングされた 1 対 1 NAT があります。これらの IP アドレスは、インターフェイスが静的 IP または DHCP のどちらを使うように設定されているかどうかにかかわらず、変更されません。インスタンスが復旧または交換された場合にのみ IP アドレスが変更されます。

許可リストは、パブリック IP アドレスを持つすべてのコントローラのすべてのネットワークインターフェイスに適用されます。

インバウンドルールの更新

オーバーレイタイプに基づいて、Cisco SD-WAN Cloud-Pro コントローラセットに適用される許可リストを更新できます。

共有テナントオーバーレイ：Cisco SD-WAN Cloud-Pro コントローラセットに適用される許可リストを更新または表示するには、Cisco TAC サポートでケースを開きます。

次のサポートを要求できます。
- アクセスリストで許可される最大 5 つの IP プレフィックスを指定する
- Cisco SD-WAN Manager ポータルへの Web ログインの IP プレフィックスへの https アクセスのみを許可する
専用オーバーレイ：Cisco SD-WAN Cloud-Pro シングルテナント専用コントローラが、クラウドセキュリティグループの許可リストを追加、削除、または変更できるようにするには、次のいずれかのオプションを使用します。
- https://ssp.sdwan.cisco.com で Cisco Catalyst SD-WAN ポータルにログインし、アクセスリストを管理します。オーバーレイコントローラプロファイルを基本とするスマートアカウントの Cisco PNP スマートアカウント管理者である必要があります。
- アクセスリストで許可される IP プレフィックスを最大 200 個指定できます。
- Cisco TAC サポートケースをオープンして、次の情報を入力します。
  - オーバーレイ/VA 名
  - Cisco SD-WAN Manager IP/FQDN
  - IP アドレス
  - すべてのトラフィックまたは選択したトラフィック（https、SSH など）で IP アドレスを許可するかどうかの指定

コントローラの IP アドレスの表示やコントローラの IP アクセスリストの変更など、お客様の Cisco SD-WAN Cloud-Pro コントローラインフラストラクチャに関連する運用タスクの表示と実行に使用される Cisco Catalyst SD-WAN ポータルにアクセスできるのは、スマートアカウント管理者のみです。ユーザーの SA 管理者権限を無効にするには、 Cisco Software Central の [Manage Smart Account] セクションに移動し、ユーザーをスマートアカウント管理者として削除します。または、IDP（ID プロバイダー）のオンボーディング機能を使用して、信頼できるユーザーに Cisco Catalyst SD-WAN ポータルへのアクセスを許可します。

クラウドホスト型 SD-WAN 制御コンポーネント：インターフェイスとアクセス

クラウドホスト型 Cisco SD-WAN 制御コンポーネント：インターフェイス

Cisco SD-WAN 制御コンポーネントのネットワークインターフェイスの割り当てと設定

SD-WAN Manager インスタンスの場合、シスコは 3 つのネットワークインターフェイスを割り当てます。

eth0
eth1
eth2

SD-WAN Validator および SD-WAN コントローラインスタンスの場合、シスコは 2 つのネットワークインターフェイスを割り当てます。

eth0
eth1

ネットワークインターフェイスにはパブリック IP アドレスとプライベート IP アドレスが割り当てられ、これらはいずれも静的です。ただし、Cisco SD-WAN 制御コンポーネントインスタンスが置き換えられたり、新しいリージョンに移動されたりすると、変更される可能性があります。

（注）

Catalyst SD-WAN ポータルを使用し、[Overlay Details > Controller view > Private IP] から静的 IP アドレスを表示できます。

インターフェイスの設定

こちらの表に、各インターフェイスの推奨設定の要約を示します。

表 1. インターフェイスコンフィギュレーション
制御コンポーネント	ネットワークインターフェイス 1（eth0）	ネットワークインターフェイス 2（eth1）	ネットワークインターフェイス 3（eth2）
制御コンポーネント	管理アクセス	ファブリック内のノードによるアクセスの制御	クラスター内の SD-WAN Manager インスタンス間の通信、SD-AVC コンポーネントの機能
SD-WAN Manager	プライベート IP：静的、シスコによって割り当て。（注 1 を参照）パブリック IP：静的、シスコによって割り当て。プライベート IP への 1 対 1 の NAT マッピング。設定の要件： VPN 512 非トンネルインターフェイス DHCP クライアントとして設定します（注 2 を参照）。	プライベート IP：静的、シスコによって割り当て。パブリック IP：静的、シスコによって割り当て。プライベート IP への 1 対 1 の NAT マッピング。設定の要件： VPN 0 トンネルインターフェイス DHCP クライアントとして設定します（注 2 を参照）。	プライベート IP：静的、シスコによって割り当て。パブリック IP：割り当てなし設定の要件： VPN 0 非トンネルインターフェイス静的 IP で設定します。シスコがインターフェイスに割り当てたプライベート IP アドレスを使用します。 Catalyst SD-WAN ポータルを使用し、[Overlay Details > Controller view > Private IP] から静的 IP アドレスを表示します。
SD-WAN Validator	SD-WAN Manager の場合と同じです。	SD-WAN Manager の場合と同じです。	N/A
SD-WAN コントローラ	SD-WAN Manager の場合と同じです。	SD-WAN Manager の場合と同じです。	N/A

注 1：Catalyst SD-WAN ポータルを使用してデプロイされたクラウドゲートウェイからアクセスできます。詳細については『Cisco Catalyst SD-WAN CloudOps』ガイドの、クラウドホスト型 SD-WAN 制御コンポーネントのカスタム IP プレフィックスに関するセクションを参照してください。

注 2：IP 割り当て用に DHCP が設定されている場合でも、インターフェイスは DHCP の更新ごとに同じプライベート IP を常に受信します。

クラウドホスト型 Cisco SD-WAN 制御コンポーネント：アクセス

Cisco SD-WAN 制御コンポーネントへのエッジデバイスのアクセス

WAN エッジデバイスは、Cisco SD-WAN 制御コンポーネントの VPN 0 トンネルインターフェイスのみを使用して Cisco SD-WAN 制御コンポーネントに接続します。

Cisco SD-WAN 制御コンポーネントへのエッジデバイスのアクセス

エッジデバイスは、Transport Layer Security（TLS）または Datagram Transport Layer Security（DTLS）ポートを使用して Cisco SD-WAN 制御コンポーネントと通信します。

オンプレミスのファイアウォールを使用している場合は、次のいずれかの目的でファイアウォールを設定できます。

特定の TLS または DTLS ポートについて、任意の IP で通信を有効にする（0.0.0.0 を使用）、または

クラウドベース型 SD-WAN コントローラの、現在のパブリック IP アドレスへの通信を有効にする。

（注）

割り当てられたパブリック IP は、Catalyst SD-WAN ポータルの [Overlay Details > Controller view > Public IP] で確認できます。

TLS および DTLS ポートの詳細については、『Cisco Catalyst SD-WAN スタートアップガイド』に記載されている、「複数の vCPU を実行している Cisco Catalyst SD-WAN デバイスで使用されるポート」を参照してください。

SD-WAN Manager への管理アクセス

ユーザーは、VPN 512 パブリック IP にマップされている完全修飾ドメイン名（FQDN）を使用して、管理アクセスのために SD-WAN Manager に接続します。 

オーバーレイが 3 ノードまたは 6 ノード SD-WAN Manager クラスターでプロビジョニングされている場合、FQDN はすべての SD-WAN Manager インスタンスのパブリック IP アドレスに解決されます。

SD-WAN Manager の HTTPS アクセス

HTTP/HTTPS アクセスは SD-WAN Manager でのみ使用でき、他の Cisco SD-WAN 制御コンポーネントでは使用できません。

SD-WAN Manager と SD-WAN Validator のドメイン名

クラウドホスト型 SD-WAN 環境では、シスコはクラウドホスティング用に SD-WAN Manager と SD-WAN Validator にのみドメイン名を割り当てます。

ドメイン名による SD-WAN Validator へのアクセス

SD-WAN ファブリックでノードを設定する場合は、IP アドレスによる SD-WAN Validator へのアクセスを設定しないでください。代わりに SD-WAN Validator の FQDN を使用します。これにより、SD-WAN Validator IP アドレスが変更された場合、またはファブリックに SD-WAN Validator が追加された場合でも、信頼性の高い運用を継続できます。

DNS サーバー

ハードウェアエッジデバイス、ソフトウェアエッジデバイス、および Cisco SD-WAN 制御コンポーネントを含むファブリック内の各ノードについて、VPN 0 でアクセス可能な DNS サーバーを設定することを推奨します。

例：

vpn 0 
   dns 208.67.222.222 primary
   dns 208.67.220.220 secondary

SD-WAN Validator にアクセスするための正しい設定と誤った設定の例

これらの例では、ネットワーク内の他のノード（SD-WAN Manager、SD-WAN コントローラ、およびエッジデバイスなど）にある SD-WAN Validator へのアクセスの設定方法を示します。

正しい方法

この設定は、SD-WAN Validator ドメイン名を使用しているので正しいです。

system
   vbond validator-domain-name

誤り

この設定は、ドメイン名ではなく静的 IP アドレスを使用しているので誤りです。

system
   vbond 10.1.1.1

（注）

Catalyst SD-WAN ポータルを使用して、ファブリックの SD-WAN Validator の FQDN を表示できます。[Overlay Details > Description > vBond DNS] を開きます。[vBond] は [SD-WAN Validator] に置き換えられる場合があるので注意してください。

SD-WAN Validator にアクセスするための、VPN 0 の正しい設定と誤った設定の例

これらの例では、ネットワーク内の他のノード（SD-WAN Manager、SD-WAN コントローラ、およびエッジデバイスなど）にある SD-WAN Validator へのアクセスを可能にする VPN 0 の設定を示します。

正しい方法

この設定は、SD-WAN Validator ドメイン名を解決できる DNS サーバーを設定しているので正しいです。

vpn 0
   dns dns-server-ip primary

誤り

この設定は、SD-WAN Validator の静的ホスト IP を使用しているので誤りです。

vpn 0
   ip host validator-domain-name 10.1.1.1

（注）

クラウドホスト型コントローラのカスタム IP プレフィックス

（注）

カスタム IP プレフィックスは、シスコがホストするクラウドベースの専用シングルテナントコントローラを使用する場合にのみ適用されます。これらは、共用テナントオーバーレイには適用されません。

一部のユースケースでは、管理アクセスと制御のため、クラウドコントローラインターフェイスでカスタムネットワークプレフィックスに基づく IP が必要になる場合があります。次に例を示します。

AAA または TACACS ベースの認証を使用した Cisco Catalyst SD-WAN トンネル経由の Cisco SD-WAN Manager、Cisco SD-WAN Validator、または Cisco SD-WAN コントローラのデバイスの管理 VPN 512 にアクセスする。
VPN 512 を介して Cisco SD-WAN Manager から Cisco Catalyst SD-WAN トンネル経由で syslog サーバーに syslog を送信する。

デフォルトでは、シスコマネージドクラウドホスト型コントローラは、VPN 512 サブネットを含む 10.0.0.0/16 ベースのサブネットで展開されます。クラウド Cisco Catalyst SD-WAN を追加し、VPN 512 サブネットをファブリック内の到達可能なサブネットとして使用すると、既存のサブネットと競合する可能性があります。

このような場合は、コントローラの展開の 2 つのリージョンごとに /24 プレフィックスを共有する必要があります。これらの IP プレフィックスはコントローラの作成に使用され、サブネットは Cisco Catalyst SD-WAN ファブリック内で使用できるように設定されます。

オーバーレイプロビジョニング後のクラウドゲートウェイへのリクエスト

TAC-CSOne で CloudOps のケースをオープンして、次の詳細を確認および実行します。

AAA または TACAC を有効化するには、既存のファブリック内で使用されていない IP プレフィックスを指定する必要があり、そのプレフィックスを使用してコントローラを作成できます（元のコントローラはシャットダウンされてスナップショットが作成され、複製されます）。

コントローラが設定されている各リージョンは、1 つの /24 Cisco Catalyst SD-WAN ファブリックに関する一意のカスタムサブネットを持ちます。各オーバーレイには 2 つのリージョンがあるため、2 つのサブネットが必要となります。
Cisco SD-WAN Validator、Cisco SD-WAN コントローラ、および Cisco SD-WAN Manager デバイスへの管理者クレデンシャルがあります。

実際の変更期間の開始時にクレデンシャルを入力できます。
CloudOps エンジニアによる事前承認と事前チェックの完了後、8 時間のメンテナンス期間をスケジュールできます。
プロセスを開始する前に、Cisco SD-WAN Validator の DNS を有効にし、すべてのコントローラを設定します。
Cisco Catalyst SD-WAN または Cisco SD-WAN コントローラデバイスで、GR がデフォルトで 12 時間以上に設定されていることを確認します。
2 つの使用可能なクラウド Cisco Catalyst SD-WAN UUID を PNP 経由で予約し、Cisco SD-WAN Manager に接続します。
プロビジョニングされたコントローラ用にはシングルテナントかつシングルノードの Cisco SD-WAN Manager オーバーレイ、およびシングルテナントかつクラスタノードの Cisco SD-WAN Manager オーバーレイでのみサポートされ、プロビジョニング予定のコントローラセットに対してはすべて新規となります。この機能は、Cisco Multi-tenant Cisco SD-WAN Manager クラスタオーバーレイではサポートされません。
Cisco SD-WAN Validator、Cisco SD-WAN コントローラ、およびもしあればシスコ提供のクラウド Cisco Catalyst SD-WAN デバイスに、Cisco SD-WAN Manager のテンプレートを接続することをお勧めします。

シスコプロビジョニング後のクラウドゲートウェイの構成

Cisco CloudOps がクラウドホスト型コントローラの横にあるクラウドゲートウェイのプロビジョニングを完了すると、CloudOps は各クラウドゲートウェイの顧客へのパブリックおよびプライベート IP 割り当てを共有します。フォーマットは（VPN 512, VPN 0, VPN X）です。

Cisco CloudOps は、新しくプロビジョニングされたクラウドゲートウェイのログイン情報を共有します。
クラウドゲートウェイの VPN 512 および VPN X インターフェイスは、そのリージョンのコントローラの VPN 512 と同じサブネットにあります。

Cisco CloudOps によってプロビジョニングされるクラウドゲートウェイは、特に AAA/TACACS を目的とし、常に上記のネットワークレイアウトフォーマットで作成されます。

クラウドゲートウェイへの到達可能性に問題がある場合は、一般に、クラウドゲートウェイのインターフェイス IP またはルート構成に問題があります。
また、パブリック IP とプライベート IP は 1:1 NAT されており、クラウドゲートウェイインターフェイスに割り当てられています。ゲートウェイインターフェイス自体は dhcp で設定できますが、常に同じ IP をクラウドから取得します。

VPN X インターフェイスの場合は、Cisco CloudOps で共有されているものとまったく同じ静的 IP を設定する必要があります。

サブネット内のランダム IP は使用できません。
クラウドゲートウェイは、オーバーレイごとに同じ固有の環境でプロビジョニングされるため、コントローラと同じインバウンド許可アクセスリストの対象となります。

パブリック IP と提供されたログイン情報で、SSH 経由でゲートウェイにログインする必要があります。
ここで、必要な構成を使用して新しいクラウドゲートウェイを構成する必要があります。たとえば、サイト ID、システム IP、組織名、Cisco SD-WAN Validator DNS または IP などです。
エンタープライズルート CA を使用している場合は、クラウドゲートウェイにも同様にアップロードしてインストールする必要があります。
viptelatac/ciscotacro/ciscotacrw ユーザーが有効になっているローカルで auth-fallback を使用して Cisco SD-WAN Manager 上の AAA/TACACS をローカルに設定できます。これにより、シスコサポートは必要に応じてログインし、問題のトラブルシュートを行うことができます。
プロビジョニングされたクラウドゲートウェイごとに 1 つずつ、Cisco SD-WAN Manager のデバイスリストから未使用のクラウドゲートウェイ UUID を取得する必要があります。

使用している Cisco SD-WAN Manager の WAN エッジデバイスリストで使用可能なクラウドゲートウェイ UUID がない場合は、Cisco PNP ポータルにログインし、オーバーレイに関連付けられているスマートアカウントとバーチャルアカウントにログインし、ソフトウェアデバイス（VEDGE-CLOUD- DNA）を追加してから、Cisco SD-WAN Manager 上でスマートアカウントを同期する必要があります。
次に、クラウドゲートウェイで UUID をアクティブにして、Cisco SD-WAN Manager によって認証され、Cisco Catalyst SD-WAN ファブリックに参加できるようにする必要があります。
クラウドゲートウェイの VPN X 静的 IP を指すように、（管理用のコントローラにアクセスするための顧客管理チームからの）顧客のエンタープライズサブネット用の特定の静的ルートを使用して、コントローラ（Cisco SD-WAN Manager、Cisco SD-WAN Validator、Cisco SD-WAN コントローラ）の VPN 512 を設定する必要があります。
Azure でシスコがホストするオーバーレイの場合は、Cisco TAC ケースを開き、特定のエンタープライズサブネットプレフィックスを指定してください。ここから、コントローラの VPN 512 への接続が必須となります。

Azure サブネットのデフォルトゲートウェイは、ゲートウェイサービスの VPN IP をエンタープライズサブネットのゲートウェイとして構成した場合でも、事実上のゲートウェイです。したがって、コントローラの VPN 512 での構成に加えて、Azure 側で追加の構成が必要になります。シスコは、必要なエンタープライズサブネットごとに Azure ルートテーブル（RT）エントリを適用し、クラウドゲートウェイインターフェイスで IP 転送を有効にします。

Cisco Catalyst SD-WAN CloudOps

偏向のない言語

翻訳について

Book Title

Cisco Catalyst SD-WAN CloudOps

Chapter Title