プロビジョニング


(注)  


簡素化と一貫性を実現するために、Cisco SD-WAN ソリューションは Cisco Catalyst SD-WAN としてブランド名が変更されました。さらに、Cisco IOS XE SD-WAN リリース 17.12.1a および Cisco Catalyst SD-WAN リリース 20.12.1 以降、次のコンポーネントの変更が適用されます。Cisco vManage から Cisco Catalyst SD-WAN Manager への変更、Cisco vAnalytics から Cisco Catalyst SD-WAN Analytics への変更、Cisco vBond から Cisco Catalyst SD-WAN Validator への変更、Cisco vSmart から Cisco Catalyst SD-WAN コントローラへの変更、および Cisco コントローラから Cisco Catalyst SD-WAN 制御コンポーネントへの変更。すべてのコンポーネントブランド名変更の包括的なリストについては、最新のリリースノートを参照してください。新しい名前への移行時は、ソフトウェア製品のユーザーインターフェイス更新への段階的なアプローチにより、一連のドキュメントにある程度の不一致が含まれる可能性があります。


クラウドホスト型コントローラへのアクセスの取得

シスコ マネージド クラウドホスト型コントローラは、デフォルトで管理アクセス用にクローズされています。シスコでは、セキュリティ上の理由から、クラウドホスト型 Cisco Catalyst SD-WAN コントローラ 向けの 0.0.0.0/0 へのアクセスを許可していません。お客様のエンタープライズ VPN 内にアクセス用の特定のパブリック IP プレフィックスがあると考えられるため、そのパブリック IP プレフィックスのみがアクセス用にオープンされます。特定の送信元 IP プレフィックスについては、https と ssh のみを許可リストに含めるようにリクエストして、アクセスを制限できます。

クラウドホスト型コントローラのインターフェイスにはプライベート IP アドレスがあります。各プライベート IP アドレスには、クラウド上のパブリック IP アドレスにマッピングされた 1 対 1 NAT があります。これらの IP アドレスは、インターフェイスが静的 IP または DHCP のどちらを使うように設定されているかどうかにかかわらず、変更されません。インスタンスが復旧または交換された場合にのみ IP アドレスが変更されます。

許可リストは、パブリック IP アドレスを持つすべてのコントローラのすべてのネットワークインターフェイスに適用されます。

インバウンドルールの更新

オーバーレイタイプに基づいて、クラウドホスト型コントローラセットに適用される許可リストを更新できます。

  1. 共用テナントオーバーレイ:クラウドホスト型コントローラセットに適用される許可リスト を更新または表示するには、Cisco TAC のサポートでケースをオープンします。

    次のサポートを要求できます。

    • アクセスリストで許可される最大5つの IP プレフィックスを指定する

    • Cisco SD-WAN Manager ポータルへの Web ログインの IP プレフィックスへの https アクセスのみを許可する

  2. 専用オーバーレイ:シスコがホストするクラウドベースのシングルテナント専用コントローラがクラウドセキュリティグループの許可リストを追加、削除、または変更できるようにするには、次のいずれかのオプションを使用します。

    • https://ssp.sdwan.cisco.comCisco Catalyst SD-WAN ポータル にログインし、アクセスリストを管理します。オーバーレイ コントローラ プロファイルを基本とするスマートアカウントの Cisco PNP スマートアカウント管理者である必要があります。

    • アクセスリストで許可される IP プレフィックスを最大 200 個指定できます。

    • Cisco TAC サポートケースをオープンして、次の情報を入力します。

      • オーバーレイ/VA 名

      • Cisco SD-WAN Manager IP/FQDN

      • IP アドレス

      • すべてのトラフィックまたは選択したトラフィック(https、SSH など)で IP アドレスを許可するかどうかの指定

スマートアカウント管理者のみが、コントローラの IP アドレスの表示やコントローラの IP アクセスリストの変更など、顧客のホスト型コントローラ インフラストラクチャに関連する運用タスクを表示および実行するために使われる Cisco Catalyst SD-WAN ポータル にアクセスできます。ユーザーの SA 管理者権限を無効にするには、 Cisco Software Central の [Manage Smart Account] セクションに移動し、ユーザーをスマートアカウント管理者として削除します。または、IDP(ID プロバイダー)のオンボーディング機能を使用して、信頼できるユーザーに Cisco Catalyst SD-WAN ポータル へのアクセスを許可します。

クラウドホスト型コントローラ IP のプロビジョニング

Cisco SD-WAN Manager完全修飾ドメイン名(FQDN)は VPN 512 パブリック IP にマップされ、管理アクセスに使用されます。ただし、エッジノードは、VPN 0 上にあり、異なるパブリック IP アドレスを持つ Cisco SD-WAN Manager のトランスポート インターフェイスでトンネルを形成します。シスコは、クラウドホスティングのために Cisco SD-WAN ManagerCisco SD-WAN Validator に FQDN を割り当てています。

Cisco SD-WAN Validator では HTTP/HTTPs アクセスは使用できず、Cisco SD-WAN Manager のみが Web サーバーと Web/https へのアクセスを使用できます。

各コントローラインスタンスには、パブリック IP 1:1 に NAT 処理されるプライベート IP インターフェイスがあります。一般に、インスタンス インターフェイスのパブリック IP およびプライベート IP アドレスは変更されません。Cisco SD-WAN Validator/Cisco Catalyst SD-WAN コントローラ/Cisco SD-WAN Manager のプライベート/パブリック IP は、インスタンスを置き換えるか、新しいリージョンに移動する必要がある場合にのみ変更されます。

すべてのカスタマーエッジは、DTLS/TLS ポートを介してコントローラと通信します。オンプレミスのファイアウォールは、これらの特定の DTLS/TLS ポートの任意の IP(0.0.0.0)に設定することも、クラウドコントローラの現在のパブリック IP にのみ開くこともできます。DTLS/TLS ポートの詳細については、「複数の vCPU を実行する Cisco SD-WAN デバイスで使用されるポート」セクションの表 3 を参照してください。

クラウドホスト型コントローラのカスタム IP プレフィックス


(注)  


カスタム IP プレフィックスは、シスコがホストするクラウドベースの専用シングル テナント コントローラを使用する場合にのみ適用されます。これらは、共用テナントオーバーレイには適用されません。


一部のユースケースでは、管理アクセスと制御のため、クラウド コントローラ インターフェイスでカスタム ネットワーク プレフィックスに基づく IP が必要になる場合があります。次に例を示します。

  • AAA または TACACS ベースの認証を使用した Cisco Catalyst SD-WAN トンネル経由の Cisco SD-WAN ManagerCisco SD-WAN Validator、または Cisco SD-WAN コントローラ のデバイスの管理 VPN 512 にアクセスする。

  • VPN 512 を介して Cisco SD-WAN Manager から Cisco Catalyst SD-WAN トンネル経由で syslog サーバーに syslog を送信する。

図 1. AAA TACAS

デフォルトでは、シスコ マネージド クラウドホスト型コントローラは、VPN 512 サブネットを含む 10.0.0.0/16 ベースのサブネットで展開されます。クラウド Cisco Catalyst SD-WAN を追加し、VPN 512 サブネットをファブリック内の到達可能なサブネットとして使用すると、既存のサブネットと競合する可能性があります。

このような場合は、コントローラの展開の 2 つのリージョンごとに /24 プレフィックスを共有する必要があります。これらの IP プレフィックスはコントローラの作成に使用され、サブネットは Cisco Catalyst SD-WAN ファブリック内で使用できるように設定されます。

オーバーレイ プロビジョニング後のクラウドゲートウェイへのリクエスト

TAC-CSOne で CloudOps のケースをオープンして、次の詳細を確認および実行します。

  1. AAA または TACAC を有効化するには、既存のファブリック内で使用されていない IP プレフィックスを指定する必要があり、そのプレフィックスを使用してコントローラを作成できます(元のコントローラはシャットダウンされてスナップショットが作成され、複製されます)。

    コントローラが設定されている各リージョンは、1 つの /24 Cisco Catalyst SD-WAN ファブリックに関する一意のカスタムサブネットを持ちます。各オーバーレイには 2 つのリージョンがあるため、2 つのサブネットが必要となります。

  2. Cisco SD-WAN ValidatorCisco SD-WAN コントローラ、および Cisco SD-WAN Manager デバイスへの管理者クレデンシャルがあります。

    実際の変更期間の開始時にクレデンシャルを入力できます。

  3. CloudOps エンジニアによる事前承認と事前チェックの完了後、8 時間のメンテナンス期間をスケジュールできます。

  4. プロセスを開始する前に、Cisco SD-WAN Validator の DNS を有効にし、すべてのコントローラを設定します。

  5. Cisco Catalyst SD-WAN または Cisco SD-WAN コントローラ デバイスで、GR がデフォルトで 12 時間以上に設定されていることを確認します。

  6. 2 つの使用可能なクラウド Cisco Catalyst SD-WAN UUID を PNP 経由で予約し、Cisco SD-WAN Manager に接続します。

  7. プロビジョニングされたコントローラ用にはシングルテナントかつシングルノードの Cisco SD-WAN Manager オーバーレイ、およびシングルテナントかつクラスタノードの Cisco SD-WAN Manager オーバーレイでのみサポートされ、プロビジョニング予定のコントローラセットに対してはすべて新規となります。この機能は、Cisco Multi-tenant Cisco SD-WAN Manager クラスタオーバーレイではサポートされません。

  8. Cisco SD-WAN ValidatorCisco SD-WAN コントローラ、およびもしあればシスコ提供のクラウド Cisco Catalyst SD-WAN デバイスに、Cisco SD-WAN Manager のテンプレートを接続することをお勧めします。

シスコプロビジョニング後のクラウドゲートウェイの構成

  1. Cisco CloudOps がクラウドホスト型コントローラの横にあるクラウドゲートウェイのプロビジョニングを完了すると、CloudOps は各クラウドゲートウェイの顧客へのパブリックおよびプライベート IP 割り当てを共有します。フォーマットは(VPN 512, VPN 0, VPN X)です。

    Cisco CloudOps は、新しくプロビジョニングされたクラウドゲートウェイのログイン情報を共有します。

  2. クラウドゲートウェイの VPN 512 および VPN X インターフェイスは、そのリージョンのコントローラの VPN 512 と同じサブネットにあります。

    Cisco CloudOps によってプロビジョニングされるクラウドゲートウェイは、特に AAA/TACACS を目的とし、常に上記のネットワーク レイアウト フォーマットで作成されます。

    クラウドゲートウェイへの到達可能性に問題がある場合は、一般に、クラウドゲートウェイのインターフェイス IP またはルート構成に問題があります。

  3. また、パブリック IP とプライベート IP は 1:1 NAT されており、クラウド ゲートウェイ インターフェイスに割り当てられています。ゲートウェイ インターフェイス自体は dhcp で設定できますが、常に同じ IP をクラウドから取得します。

    VPN X インターフェイスの場合は、Cisco CloudOps で共有されているものとまったく同じ静的 IP を設定する必要があります。

    サブネット内のランダム IP は使用できません。

  4. クラウドゲートウェイは、オーバーレイごとに同じ固有の環境でプロビジョニングされるため、コントローラと同じインバウンド許可アクセスリストの対象となります。

    パブリック IP と提供されたログイン情報で、SSH 経由でゲートウェイにログインする必要があります。

  5. ここで、必要な構成を使用して新しいクラウドゲートウェイを構成する必要があります。たとえば、サイト ID、システム IP、組織名、Cisco SD-WAN Validator DNS または IP などです。

  6. エンタープライズルート CA を使用している場合は、クラウドゲートウェイにも同様にアップロードしてインストールする必要があります。

  7. viptelatac/ciscotacro/ciscotacrw ユーザーが有効になっているローカルで auth-fallback を使用して Cisco SD-WAN Manager 上の AAA/TACACS をローカルに設定できます。これにより、シスコサポートは必要に応じてログインし、問題のトラブルシュートを行うことができます。

  8. プロビジョニングされたクラウドゲートウェイごとに 1 つずつ、Cisco SD-WAN Manager のデバイスリストから未使用のクラウドゲートウェイ UUID を取得する必要があります。

    使用している Cisco SD-WAN Manager の WAN エッジデバイスリストで使用可能なクラウドゲートウェイ UUID がない場合は、Cisco PNP ポータルにログインし、オーバーレイに関連付けられているスマートアカウントとバーチャルアカウントにログインし、ソフトウェアデバイス(VEDGE-CLOUD- DNA)を追加してから、Cisco SD-WAN Manager 上でスマートアカウントを同期する必要があります。

  9. 次に、クラウドゲートウェイで UUID をアクティブにして、Cisco SD-WAN Manager によって認証され、Cisco Catalyst SD-WAN ファブリックに参加できるようにする必要があります。

  10. クラウドゲートウェイの VPN X 静的 IP を指すように、(管理用のコントローラにアクセスするための顧客管理チームからの)顧客のエンタープライズサブネット用の特定の静的ルートを使用して、コントローラ(Cisco SD-WAN ManagerCisco SD-WAN ValidatorCisco SD-WAN コントローラ)の VPN 512 を設定する必要があります。

  11. Azure でシスコがホストするオーバーレイの場合は、Cisco TAC ケースを開き、特定のエンタープライズ サブネット プレフィックスを指定してください。ここから、コントローラの VPN 512 への接続が必須となります。

    Azure サブネットのデフォルトゲートウェイは、ゲートウェイサービスの VPN IP をエンタープライズサブネットのゲートウェイとして構成した場合でも、事実上のゲートウェイです。したがって、コントローラの VPN 512 での構成に加えて、Azure 側で追加の構成が必要になります。シスコは、必要なエンタープライズサブネットごとに Azure ルート テーブル(RT)エントリを適用し、クラウド ゲートウェイ インターフェイスで IP 転送を有効にします。