Connected Gridルータソリューションによるゼロタッチ導入におけるコンフィギュレーションファイルの編成
内容
概要
このドキュメントでは、ゼロタッチ導入(ZTD)プロセスのさまざまな部分でコンフィギュレーションファイルを作成する方法と、Connected Gridルータ(CGR)上の特定のコンフィギュレーションファイルにロールバックする手順について説明します。
前提条件
要件
このドキュメントに特有の要件はありません。
使用するコンポーネント
このドキュメントの情報は、CGRによるZTDの導入に基づいています。
コンポーネントとして、CGR(CGR1120/CGR1240)、Field Network Director(FND)、Tunnel Provisioning Server(TPS)、およびRegistration Authority(RA)が含まれます。
CG-NMSは以前のバージョンのFNDであるため、FNDとCisco Connected Grid Network Management System(CG-NMS)は互換性があります。
このドキュメントの情報は、特定のラボ環境に置かれたデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。ネットワークが稼働中の場合は、コマンドの潜在的な影響を理解してください。
概要
Internet of Things(IoT)の世界では、ZTD機能が数百万のデバイスの設定導入をサポートする鍵となります。FNDは、Connected Grid End(CGE)ポイントとCGRの両方でZTDをサポートします。
ZTDサービス
CGR向けZTDは、次のような幅広いサービスを提供します。
- 最小限で一貫した設定(製造設定またはexpress-configファイルと呼ばれる)によるCGRの初期導入。 最終的な場所に展開されると、この設定により、CGRはFNDを使用してZTDプロセスを開始し、最終的な設定を取得できます。
- CGR構成管理。完全に導入されると、FNDはCGR設定の任意の部分を変更する機能を統合します。
- ZTDプロセスが任意の段階で失敗した場合のCGR回復メカニズム。
- CGRイメージのアップグレード。
ZTDフェーズ
ステップ1:ユーティリティ公開キーインフラストラクチャによるCGR登録
ステップ2:CGRトンネル設定のプロビジョニング
ステップ3:CGRの最終登録(デバイス設定のプロビジョニング)
FNDによって実行されるポーリングまたはディスカバリメカニズムはありません。各フェーズはCGRによってトリガーされます。フェーズ1および2の後、FNDはロールバックポイントを作成するため、トンネルプロビジョニングまたはデバイス設定フェーズを繰り返す前に、CGRを信頼できる設定に戻すことができます。
要約
次の表は、さまざまなサービスの実装に使用されるZTDのフェーズをまとめたものです。
| 機能またはイベント | SCEP(Simple Certificate Enrollment Protocol)登録 | トンネルプロビジョニング | デバイス登録 | 注 |
|---|---|---|---|---|
| デバイス設定の更新 | No | No | Yes | CGRはフェーズ2の設定にロールバック |
| CGRの初期導入 | Yes | Yes | Yes | |
| CGRの予期しないリロード | No | No | Yes | リロード前にCGRが登録されました |
| ファームウェア アップグレード | No | Yes | Yes | CGRはフェーズ1の設定にロールバック |
| 製造構成または工場出荷時再プロビジョニング | No | Yes | Yes | CGRはフェーズ1の設定にロールバック |
| トンネル設定の再プロビジョニング | No | Yes | Yes | CGRはフェーズ1の設定にロールバック |
構成ファイルの構成
プロセスの異なる部分に異なるコンフィギュレーションファイルが作成されます。CGRの状態を信頼していない場合や、CGR設定の特定の部分を更新したい場合に、FNDがCGR設定のロールバックに使用できるトラストポイントを作成することを目的としています。これらのコンフィギュレーションファイルは、CGRフラッシュに保存されます。
| [名前(Name)] | 定義 | 作成者 | 作成時 |
|---|---|---|---|
| cisco default configuration | シスコの製造部門からの設定 | 『シスコ | Cisco Factory |
| manufacturing-config (express-config) |
SCEPおよびZTDを開始するには、事前設定が必要です。 express-setup-configファイルは、製造設定が適用されると作成されます。 |
サードパーティまたはユーティリティ | 最終導入前 |
| before-tunnel-config (ps-start-config) |
=ユーティリティPKIへの登録後のmanufacturing-config。 唯一の違いは、CGR httpsサーバがLDevIDというFARユーティリティ証明書を使用するように再設定されていることです。このファイルは、トンネル設定が適用される前にFNDによって作成されます。これは最初の信頼できる設定ファイルであり、CGRが将来トンネルプロビジョニングを再度行う必要がある場合に使用されます。 |
FND | トンネル設定を適用する前に |
| before-registration-config (golden config) |
= before-tunnel-config + FNDによってプッシュされるトンネル設定。 このファイルは、デバイス設定がプッシュされる前に、2番目のトラストポイントとしてFNDによって作成されます。このファイルは、デバイス設定を変更する必要がある場合に使用されます。 |
FND | フィールドのCGR、トンネル後プロビジョニング |
| 最終設定 | = before-tunnel-config + Tunnel config + Device Config = before-registration-config + Device Config。 この設定は、通常の方法、つまりstartup-configに保存されます |
FND | フィールドのCGR、トンネル後プロビジョニング |
CGRの再プロビジョニング
CGRでの再プロビジョニングは、特定の設定ファイルへのロールバック設定に対して実行されます。
IoT FNDで、[Tunnel Provisioning]ページ([Config] > [Tunnel Provisioning])の[Reprovisioning Actions]ペインでこれらの再プロビジョニング操作を実行します。
工場出荷時再プロビジョニング
これは、製造構成の再プロビジョニングとも呼ばれます。
CGR(express-setup-config)の工場出荷時設定を変更するには、IoT FNDの工場出荷時再プロビジョニング機能を使用します。
トンネルの再プロビジョニング
この機能により、ユーティリティNOCは、トンネルのプロビジョニングフェーズ中にプッシュされるトンネル設定の任意の部分を変更できます。
IoT FNDは、CGRの設定をps-start-configテンプレートファイルで定義された設定にロールバックします。
要約
要約すると、CGRの最終設定は3つの異なるブロックに基づいて構築され、それぞれが特定の目標を持ちます。
| 構成ブロック | 目的 | 主な機能 | 設定ブロックの生成に使用されるCG-NMSテンプレート |
|---|---|---|---|
| 製造設定ファイル | ZTDの開始点 | – バックホールネットワークへの接続 - SCEP登録のトリガー - RAに到達できること |
製造仕様またはユーティリティ仕様 |
| before-tunnel-config file | 新しいトンネル設定をプロビジョニングするためのロールバックポイントを提供する | – バックホールネットワークへの接続 - TPSサーバに到達できること |
RAからのSCEPの追加 |
| before-registration-config file | 新しいデバイス設定をプロビジョニングするためのロールバック・ポイントを提供する | - FNDとの安全なパスの確立 – バックホールネットワークへのトラフィックリークを回避する – トンネル内に期待されるルーティングパスを提供する |
FARトンネルの追加 |
| device-config template (この設定が適用された後に作成された特定のファイルはありません) |
FAR設定の確定 | – メッシュインターフェイスの設定 – 構成の強化 – トンネルプロビジョニングフェーズで不要な残りの機能一部はFNDにハードコードされ、テンプレートの上に追加されます。 |
FARデバイス設定テンプレート |
FNDを使用した設定のロールバックの手順
FNDまたはCG-NMSには、ルータの特定のコンフィギュレーションファイルにロールバックする機能があります。この機能は、 config replace コマンドが表示されない場合もあります。
FNDは、CGRをbefore-tunnel-configまたはbefore-registration-configコンフィギュレーションファイルにロールバックするたびに、この機能を利用します。ただし、失敗する場合があるため、このようなシナリオから回復するにはロジックが必要です。このようなロジックは、実際にはno-config-replace.tclという専用のTCLスクリプト(Cisco IOS®イメージにも組み込まれています)によって実装されます。FNDは、CGRを特定の設定ファイルにロールバックする必要があるたびに、そのスクリプトを使用します。スクリプトには、次の入力が必要です。
| 入力 | 定義 | 値 |
|---|---|---|
| configFile | ロールバックする構成ファイル | flash:/before-tunnel-configまたはflash:/before-registration-config |
| profileName | 設定交換後にアクティブ化するCGNAプロファイル | cg-nms-tunnelまたはcg-nms-register |
| replaceFlag | Trueは、設定を置き換えることを意味します | 1(TRUE) |
| renameFlag | Trueは、設定を置き換えずにファイルの名前を変更することを意味します | 0(FALSE) |
FNDは、CGRでこのスクリプトを1回だけ実行するために、これらのコマンドを送信します。この例では、FNDはデバイス登録前にCGRを設定にロールバックします。
- cgna exec-profile
- add-command event manager run no_config_replace.tcl flash:/before-registration-config cg-nms-register 1 0
- インターバル1
- active
関連情報
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
03-Oct-2016 |
初版 |
フィードバック