プロビジョニング

クラウドホスト型コントローラへのアクセスの取得

シスコマネージドクラウドホスト型コントローラは、デフォルトで管理アクセス用にクローズされています。シスコでは、セキュリティ上の理由から、クラウドホスト型 Cisco Catalyst SD-WAN コントローラ向けの 0.0.0.0/0 へのアクセスを許可していません。お客様のエンタープライズ VPN 内にアクセス用の特定のパブリック IP プレフィックスがあると考えられるため、そのパブリック IP プレフィックスのみがアクセス用にオープンされます。特定の送信元 IP プレフィックスについては、https と ssh のみを許可リストに含めるようにリクエストして、アクセスを制限できます。

Cisco SD-WAN Cloud-Pro コントローラのインターフェイスにはプライベート IP アドレスが割り当てられています。各プライベート IP アドレスには、クラウド上のパブリック IP アドレスにマッピングされた 1 対 1 NAT があります。これらの IP アドレスは、インターフェイスが静的 IP または DHCP のどちらを使うように設定されているかどうかにかかわらず、変更されません。インスタンスが復旧または交換された場合にのみ IP アドレスが変更されます。

許可リストは、パブリック IP アドレスを持つすべてのコントローラのすべてのネットワークインターフェイスに適用されます。

インバウンドルールの更新

オーバーレイタイプに基づいて、Cisco SD-WAN Cloud-Pro コントローラセットに適用される許可リストを更新できます。

共用テナントオーバーレイ：Cisco SD-WAN Cloud-Pro コントローラセットに適用される許可リストを更新または表示するには、Cisco TAC のサポートでケースをオープンします。

次のサポートを要求できます。
- アクセスリストで許可される最大 5 つの IP プレフィックスを指定する
- Cisco SD-WAN Manager ポータルへの Web ログインの IP プレフィックスへの https アクセスのみを許可する
専用オーバーレイ：Cisco SD-WAN Cloud-Pro シングルテナント専用コントローラがクラウドセキュリティグループの許可リストを追加、削除、または変更できるようにするには、次のいずれかのオプションを使用します。
- https://ssp.sdwan.cisco.com で Cisco Catalyst SD-WAN ポータルにログインし、アクセスリストを管理します。オーバーレイコントローラプロファイルを基本とするスマートアカウントの Cisco PNP スマートアカウント管理者である必要があります。
- アクセスリストで許可される IP プレフィックスを最大 200 個指定できます。
- Cisco TAC サポートケースをオープンして、次の情報を入力します。
  - オーバーレイ/VA 名
  - Cisco SD-WAN Manager IP/FQDN
  - IP アドレス
  - すべてのトラフィックまたは選択したトラフィック（https、SSH など）で IP アドレスを許可するかどうかの指定

スマートアカウント管理者のみが Cisco Catalyst SD-WAN ポータルにアクセスできます。このポータルは、コントローラの IP アドレスの表示やコントローラの IP アクセスリストの変更など、顧客の Cisco SD-WAN Cloud-Pro コントローラインフラストラクチャに関連する運用タスクを表示および実行するために使用されます。ユーザーの SA 管理者権限を無効にするには、 Cisco Software Central の [Manage Smart Account] セクションに移動し、ユーザーをスマートアカウント管理者として削除します。または、IDP（ID プロバイダー）のオンボーディング機能を使用して、信頼できるユーザーに Cisco Catalyst SD-WAN ポータルへのアクセスを許可します。

クラウドホスト型 SD-WAN 制御コンポーネント：インターフェイスとアクセス

クラウドホスト型 Cisco SD-WAN 制御コンポーネント：インターフェイス

Cisco SD-WAN 制御コンポーネントのネットワークインターフェイスの割り当てと設定

SD-WAN Manager インスタンスの場合、シスコは 3 つのネットワークインターフェイスを割り当てます。

eth0
eth1
eth2

SD-WAN Validator および SD-WAN コントローラインスタンスの場合、シスコは 2 つのネットワークインターフェイスを割り当てます。

eth0
eth1

ネットワークインターフェイスには、静的なパブリック IP アドレスおよびプライベート IP アドレスが割り当てられます。ただし、Cisco SD-WAN 制御コンポーネントインスタンスが置き換えられたり、新しいリージョンに移動されたりすると、IP アドレスが変更される可能性があります。

（注）

Catalyst SD-WAN ポータルを使用し、[オーバーレイの詳細（Overlay Details）] > [コントローラビュー（Controller view）] > [プライベートIP（Private IP）]から静的 IP アドレスを表示できます。

インターフェイスの設定

次の表に、各インターフェイスの推奨設定を示します。

表 1. インターフェイスコンフィギュレーション
制御コンポーネント	ネットワークインターフェイス 1（eth0）	ネットワークインターフェイス 2（eth1）	ネットワークインターフェイス 3（eth2）
制御コンポーネント	管理アクセス	ファブリック内のノードによるアクセスの制御	クラスタ内の SD-WAN Manager インスタンス間の通信。SD-AVC コンポーネントの機能
SD-WAN Manager	プライベート IP：静的。シスコによって割り当てられます。（注 1 を参照）パブリック IP：静的。シスコによって割り当てられます。プライベート IP への 1 対 1 の NAT マッピング。設定の要件： [VPN 512] 非トンネルインターフェイス DHCP クライアントとして設定（注 2 を参照）	プライベート IP：静的。シスコによって割り当てられます。パブリック IP：静的。シスコによって割り当てられます。プライベート IP への 1 対 1 の NAT マッピング。設定の要件： VPN 0 トンネルインターフェイス DHCP クライアントとして設定（注 2 を参照）	プライベート IP：静的。シスコによって割り当てられます。パブリック IP：割り当てなし設定の要件： VPN 0 非トンネルインターフェイス静的 IP で設定。シスコがインターフェイスに割り当てたプライベート IP アドレスを使用します。 Catalyst SD-WAN ポータルを使用し、[オーバーレイの詳細（Overlay Details）] > [コントローラビュー（Controller view）] > [プライベートIP（Private IP）]から静的 IP アドレスを表示します。
SD-WAN Validator	SD-WAN Manager の場合と同じです。	SD-WAN Manager の場合と同じです。	N/A
SD-WAN コントローラ	SD-WAN Manager の場合と同じです。	SD-WAN Manager の場合と同じです。	N/A

注 1：Catalyst SD-WAN ポータルを使用して展開されたクラウドゲートウェイからアクセスできます。詳細については、Cisco Catalyst SD-WAN CloudOps のガイドでクラウドホスト型 SD-WAN 制御コンポーネントのカスタム IP プレフィックスに関する項を参照してください。

注 2：IP 割り当てに DHCP が設定されている場合でも、インターフェイスは DHCP の更新ごとに常に同じプライベート IP を受信します。

クラウドホスト型 Cisco SD-WAN 制御コンポーネント：アクセス

Cisco SD-WAN 制御コンポーネントへのエッジデバイスのアクセス

WAN エッジデバイスは、Cisco SD-WAN 制御コンポーネントの VPN 0 トンネルインターフェイスのみを使用して Cisco SD-WAN 制御コンポーネントに接続します。

Cisco SD-WAN 制御コンポーネントへのエッジデバイスのアクセス

エッジデバイスは、Transport Layer Security（TLS）ポートまたは Datagram Transport Layer Security（DTLS）ポートを使用して Cisco SD-WAN 制御コンポーネントと通信します。

オンプレミスのファイアウォールを使用している場合は、次のいずれかの方法でファイアウォールを設定できます。

特定の TLS または DTLS ポートについて、任意の IP（0.0.0.0 を使用）でトラフィックを有効にする、または

クラウドベースの SD-WAN コントローラの現在のパブリック IP アドレスへのトラフィックを有効にする

（注）

割り当てられたパブリック IP は、Catalyst SD-WAN ポータルの[オーバーレイの詳細（Overlay Details）] > [コントローラビュー（Controller view）] > [パブリックIP（Public IP）]で確認できます。

TLS および DTLS ポートの詳細については、『Cisco Catalyst SD-WAN スタートアップガイド』の「複数の vCPU を実行している Cisco Catalyst SD-WAN デバイスで使用されるポート」を参照してください。

SD-WAN Manager への管理アクセス

ユーザーは、VPN 512 パブリック IP にマッピングされた完全修飾ドメイン名（FQDN）を使用して、管理アクセス目的で SD-WAN Manager に接続します。 

オーバーレイが 3 ノードまたは 6 ノード SD-WAN Manager クラスタでプロビジョニングされている場合、FQDN はすべての SD-WAN Manager インスタンスのパブリック IP アドレスに解決されます。

SD-WAN Manager への HTTPS アクセス

HTTP/HTTPS アクセスは SD-WAN Managerでのみ使用でき、他の Cisco SD-WAN 制御コンポーネントでは使用できません。

SD-WAN Manager と SD-WAN Validator のドメイン名

クラウドホスト型 SD-WAN 環境では、シスコはクラウドホスティング用に SD-WAN Manager と SD-WAN Validator にのみドメイン名を割り当てます。

ドメイン名で SD-WAN Validator にアクセス

SD-WAN ファブリックでノードを設定する場合は、IP アドレスで SD-WAN Validator へのアクセスを設定しないでください。代わりに SD-WAN Validator の FQDN を使用します。この方法により、SD-WAN Validator の IP アドレスが変更された場合、またはファブリックに SD-WAN Validator が追加された場合でも、信頼性の高い運用が継続されます。

DNS サーバ

ハードウェアエッジデバイス、ソフトウェアエッジデバイス、および Cisco SD-WAN 制御コンポーネントを含むファブリック内の各ノードについて、VPN 0 でアクセス可能な DNS サーバーを設定することを推奨します。

例：

vpn 0 
   dns 208.67.222.222 primary
   dns 208.67.220.220 secondary

SD-WAN Validator にアクセスするための正しい設定と誤った設定の例

これらの例では、SD-WAN Manager、SD-WAN コントローラ、エッジデバイスなど、ネットワーク内の他のノードで SD-WAN Validator へのアクセスを設定する方法を示します。

正しい

この設定は、SD-WAN Validator ドメイン名を使用しているため正しい設定です。

system
   vbond validator-domain-name

誤り

この設定は、ドメイン名ではなく静的 IP アドレスを使用しているため、誤りです。

system
   vbond 10.1.1.1

（注）

Catalyst SD-WAN ポータルを使用して、ファブリックの SD-WAN Validator の FQDN を表示できます。[オーバーレイの詳細（Overlay Details）] > [説明（Description）] > [vBond DNS]を開きます。[vBond] は [SD-WAN Validator] に置き換えられる場合があります。

SD-WAN Validator にアクセスするための VPN 0 の正しい設定と誤った設定の例

これらの例では、SD-WAN Manager、SD-WAN コントローラ、およびエッジデバイスなど、ネットワーク内の他のノードで SD-WAN Validator にアクセスできるようにする VPN 0 設定を示します。

正しい

この設定は、SD-WAN Validator ドメイン名を解決できる DNS サーバーを設定するため、正しい設定です。

vpn 0
   dns dns-server-ip primary

誤り

この設定は、SD-WAN Validator の静的ホスト IP を使用するため、誤りです。

vpn 0
   ip host validator-domain-name 10.1.1.1

（注）

クラウドホスト型コントローラのカスタム IP プレフィックス

（注）

カスタム IP プレフィックスは、シスコがホストするクラウドベースの専用シングルテナントコントローラを使用する場合にのみ適用されます。これらは、共用テナントオーバーレイには適用されません。

一部のユースケースでは、管理アクセスと制御のため、クラウドコントローラインターフェイスでカスタムネットワークプレフィックスに基づく IP が必要になる場合があります。次に例を示します。

AAA または TACACS ベースの認証を使用した Cisco Catalyst SD-WAN トンネル経由の Cisco SD-WAN Manager、Cisco SD-WAN Validator、または Cisco SD-WAN コントローラのデバイスの管理 VPN 512 にアクセスする。
VPN 512 を介して Cisco SD-WAN Manager から Cisco Catalyst SD-WAN トンネル経由で syslog サーバーに syslog を送信する。

デフォルトでは、シスコマネージドクラウドホスト型コントローラは、VPN 512 サブネットを含む 10.0.0.0/16 ベースのサブネットで展開されます。クラウド Cisco Catalyst SD-WAN を追加し、VPN 512 サブネットをファブリック内の到達可能なサブネットとして使用すると、既存のサブネットと競合する可能性があります。

このような場合は、コントローラの展開の 2 つのリージョンごとに /24 プレフィックスを共有する必要があります。これらの IP プレフィックスはコントローラの作成に使用され、サブネットは Cisco Catalyst SD-WAN ファブリック内で使用できるように設定されます。

オーバーレイプロビジョニング後のクラウドゲートウェイへのリクエスト

TAC-CSOne で CloudOps のケースをオープンして、次の詳細を確認および実行します。

AAA または TACAC を有効化するには、既存のファブリック内で使用されていない IP プレフィックスを指定する必要があり、そのプレフィックスを使用してコントローラを作成できます（元のコントローラはシャットダウンされてスナップショットが作成され、複製されます）。

コントローラが設定されている各リージョンは、1 つの /24 Cisco Catalyst SD-WAN ファブリックに関する一意のカスタムサブネットを持ちます。各オーバーレイには 2 つのリージョンがあるため、2 つのサブネットが必要となります。
Cisco SD-WAN Validator、Cisco SD-WAN コントローラ、および Cisco SD-WAN Manager デバイスへの管理者クレデンシャルがあります。

実際の変更期間の開始時にクレデンシャルを入力できます。
CloudOps エンジニアによる事前承認と事前チェックの完了後、8 時間のメンテナンス期間をスケジュールできます。
プロセスを開始する前に、Cisco SD-WAN Validator の DNS を有効にし、すべてのコントローラを設定します。
Cisco Catalyst SD-WAN または Cisco SD-WAN コントローラデバイスで、GR がデフォルトで 12 時間以上に設定されていることを確認します。
2 つの使用可能なクラウド Cisco Catalyst SD-WAN UUID を PNP 経由で予約し、Cisco SD-WAN Manager に接続します。
プロビジョニングされたコントローラ用にはシングルテナントかつシングルノードの Cisco SD-WAN Manager オーバーレイ、およびシングルテナントかつクラスタノードの Cisco SD-WAN Manager オーバーレイでのみサポートされ、プロビジョニング予定のコントローラセットに対してはすべて新規となります。この機能は、Cisco Multi-tenant Cisco SD-WAN Manager クラスタオーバーレイではサポートされません。
Cisco SD-WAN Validator、Cisco SD-WAN コントローラ、およびもしあればシスコ提供のクラウド Cisco Catalyst SD-WAN デバイスに、Cisco SD-WAN Manager のテンプレートを接続することをお勧めします。

シスコプロビジョニング後のクラウドゲートウェイの構成

Cisco CloudOps がクラウドホスト型コントローラの横にあるクラウドゲートウェイのプロビジョニングを完了すると、CloudOps は各クラウドゲートウェイの顧客へのパブリックおよびプライベート IP 割り当てを共有します。フォーマットは（VPN 512, VPN 0, VPN X）です。

Cisco CloudOps は、新しくプロビジョニングされたクラウドゲートウェイのログイン情報を共有します。
クラウドゲートウェイの VPN 512 および VPN X インターフェイスは、そのリージョンのコントローラの VPN 512 と同じサブネットにあります。

Cisco CloudOps によってプロビジョニングされるクラウドゲートウェイは、特に AAA/TACACS を目的とし、常に上記のネットワークレイアウトフォーマットで作成されます。

クラウドゲートウェイへの到達可能性に問題がある場合は、一般に、クラウドゲートウェイのインターフェイス IP またはルート構成に問題があります。
また、パブリック IP とプライベート IP は 1:1 NAT されており、クラウドゲートウェイインターフェイスに割り当てられています。ゲートウェイインターフェイス自体は dhcp で設定できますが、常に同じ IP をクラウドから取得します。

VPN X インターフェイスの場合は、Cisco CloudOps で共有されているものとまったく同じ静的 IP を設定する必要があります。

サブネット内のランダム IP は使用できません。
クラウドゲートウェイは、オーバーレイごとに同じ固有の環境でプロビジョニングされるため、コントローラと同じインバウンド許可アクセスリストの対象となります。

パブリック IP と提供されたログイン情報で、SSH 経由でゲートウェイにログインする必要があります。
ここで、必要な構成を使用して新しいクラウドゲートウェイを構成する必要があります。たとえば、サイト ID、システム IP、組織名、Cisco SD-WAN Validator DNS または IP などです。
エンタープライズルート CA を使用している場合は、クラウドゲートウェイにも同様にアップロードしてインストールする必要があります。
viptelatac/ciscotacro/ciscotacrw ユーザーが有効になっているローカルで auth-fallback を使用して Cisco SD-WAN Manager 上の AAA/TACACS をローカルに設定できます。これにより、シスコサポートは必要に応じてログインし、問題のトラブルシュートを行うことができます。
プロビジョニングされたクラウドゲートウェイごとに 1 つずつ、Cisco SD-WAN Manager のデバイスリストから未使用のクラウドゲートウェイ UUID を取得する必要があります。

使用している Cisco SD-WAN Manager の WAN エッジデバイスリストで使用可能なクラウドゲートウェイ UUID がない場合は、Cisco PNP ポータルにログインし、オーバーレイに関連付けられているスマートアカウントとバーチャルアカウントにログインし、ソフトウェアデバイス（VEDGE-CLOUD- DNA）を追加してから、Cisco SD-WAN Manager 上でスマートアカウントを同期する必要があります。
次に、クラウドゲートウェイで UUID をアクティブにして、Cisco SD-WAN Manager によって認証され、Cisco Catalyst SD-WAN ファブリックに参加できるようにする必要があります。
クラウドゲートウェイの VPN X 静的 IP を指すように、（管理用のコントローラにアクセスするための顧客管理チームからの）顧客のエンタープライズサブネット用の特定の静的ルートを使用して、コントローラ（Cisco SD-WAN Manager、Cisco SD-WAN Validator、Cisco SD-WAN コントローラ）の VPN 512 を設定する必要があります。
Azure でシスコがホストするオーバーレイの場合は、Cisco TAC ケースを開き、特定のエンタープライズサブネットプレフィックスを指定してください。ここから、コントローラの VPN 512 への接続が必須となります。

Azure サブネットのデフォルトゲートウェイは、ゲートウェイサービスの VPN IP をエンタープライズサブネットのゲートウェイとして構成した場合でも、事実上のゲートウェイです。したがって、コントローラの VPN 512 での構成に加えて、Azure 側で追加の構成が必要になります。シスコは、必要なエンタープライズサブネットごとに Azure ルートテーブル（RT）エントリを適用し、クラウドゲートウェイインターフェイスで IP 転送を有効にします。

Cisco Catalyst SD-WAN CloudOps

偏向のない言語

翻訳について

Book Title