概要
このドキュメントでは、障害が発生したcEdgeユニットを別のユニットと交換する方法について説明します。これには、障害が発生したルータから交換用ルータへの設定のコピー、このcEdgeの削除、およびネットワークへの新しいルータの追加が含まれます。このプロセスはvEdgeの置き換えと似ていますが、cEdgeのvManageではコピーオプションが欠落しています。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- Cisco Software-Defined Wide Area Network(SD-WAN)
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- cEdgeバージョン17.3.3
- vManageバージョン20.4.2
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
通常、障害が発生したcEdgeユニットを新しいユニットと交換するのは、古いcEdgeルータが完全に故障した、またはルータのコンポーネントとCisco TACがRMAを進めたためにRMAルータが届いた場合です。
cEdgeを交換する前に、新しいcEdgeルータがコントロール接続を正常に確立できるように、いくつかの点を確認します。
ステップ 1:スペアまたはRMAデバイスをコントローラとSDWAN互換イメージにアップグレードします。
注:現在のcEdgeバージョンがコントローラのバージョンと互換性があることを確認してください。「互換性マトリクス」を参照してください。
注:CLIによるcEdgeアップグレードプロセスの詳細については、『Cisco IOS XEルータのソフトウェアインストールとアップグレード』を参照してください。
ステップ 2:[Basic Configuration]を配置して、cEdgeがvBond、vManage、およびvSmartに到達するようにします。
問題のcEdgeが正しく設定されていることを確認します。次の内容が含まれます。
- インストールされている有効な証明書。
- 「system」ブロックで次のように設定します。
System-IP
Site-ID
Organization-Name
vBond address
- トンネルオプションとIPアドレスが設定されたVPN 0トランスポートインターフェイス。
- cEdgeで正しく設定されているシステムクロックと、他のデバイスやコントローラと一致するシステムクロック。
コマンドshow clockは現在の時刻セットを確認し、clock setを使用してデバイスで正しい時刻を設定します。
show clock
clock set
- cEdgeがvBondに到達することを確認します。FQDNがvBondに使用される場合は、DNSがVPN 0で設定され、vBondを解決することを確認します。
注意:新しいcEdgeでは、元のルータまたは障害が発生したルータとは異なるシステムIPを使用してください。最後のステップでは、system-IPを元のcEdgeと同じIPに変更します。
ステップ 3: ルートCA証明書をスペアまたはRMA cEdgeにコピーしてインストールします。
ルートCAは、vBond、vSmart、vManageなどの任意のコントローラのCLIによって取得されます。vshellで証明書を見つけます。
vBondの例:
vshell
cd /usr/share/viptela
証明書の内容を表示し、すべての内容をコピーします
ls -l root*
cat root-ca.crt
証明書をcEdgeのブートフラッシュにコピーするには、FTP、SFTP、またはUSBドライブを使用します。これが不可能な場合は、最後のリソースとして証明書を手動でコピーします。
RMA cEdgeで新しいルートCAのファイルを作成します。
注意:コマンドラインには「!」で始まるコメントがあります。すべてのコメントを削除します。
tclsh !Hit enter
puts [open "bootflash:root-ca-new.cert" w+] { !Hit enter
!Paste-all-the-previous-content-from-vBond-or-vManage-certificaet-WITHOUT-spaces
}!Hit enter
exit
Cisco IOS® XE SD-WANの新しいバージョンでは、tclshコマンドはデフォルトで無効になっています。このコマンドを一時的に有効にするには、service internalコマンドが必要です。
config-t
(config)# service internal
(config)# commit
(config)# end
debug platform software sdwan unlock-ios-cl
古いルートCAをアンインストールし、追加したルートCAをインストールします。
request platform software sdwan root-cert-chain uninstall
request platform software sdwan root-cert-chain install bootflash:<RootCAFile>
show control connectionsをチェックして、デバイスがコントローラとの接続を再度確立したことを確認します。
ステップ 4:vManageでデバイスリストを同期/アップロードします。
RMAルータは、[vManage] > [Devices]の下に表示される必要があります。デバイスがvManageの下にない場合は、そのデバイスがPnPポータルに追加されていることを確認します。
この時点で、cEdgeはコントローラまでのコントロール接続を持ちます。
cEdgeがテンプレートを使用する場合の交換プロセス
ステップ 1:デバイステンプレートで使用されている現在の値をバックアップします。
テンプレートでデバイスに使用されている現在の値をバックアップします。[vManage] > [Device Template] > [Template] > [Export CSV] に移動します。
ステップ 2:接続されているデバイステンプレートから、障害が発生したデバイスを削除します。
最初に変数の値をバックアップします。
注:デバイステンプレートの削除後、テンプレートのすべての変数値が失われます。復旧する唯一の方法は、障害が発生したユニットまたは元のユニットの設定を確認することです。さらに、WANエッジルータが到達不能の状態にある場合は、デバイステンプレートをデタッチできません。vManage GUIに「Please fix DTLS, NETCONF connectivity between device and vManage before template attempt workflow」というメッセージが表示されます。この状況では、最初にデバイスを無効にしてから([Configuration] -> [Certificate])、テンプレートのデタッチに進みます。
接続されているデバイステンプレートからデバイスを削除します。
ステップ 3:古いルータまたは障害が発生したルータを無効にします。
[vManage] > [Certificates] > [Devices] で、障害が発生したルータを無効にします。
注:これらの手順では、すべての制御接続が失われます。
ステップ 4:コントローラに送信します。
[Send to controllers] を選択して、変更をコントローラにプッシュします。
注意:無効なルータの情報が不要になり、同じsystem-ipをRMAルータで再利用する必要がある場合は、vManageから無効なルータを削除してください。
ステップ 5:スペアまたはRMAルータにテンプレートをプッシュします。
テンプレートをスペアのルータまたはRMAルータにプッシュします。
注:ステップ1のCSVファイルを使用して、デバイステンプレートの接続時に要求されるすべての値を入力します。
CLIを使用してcEdgeを設定する場合の交換プロセス
ステップ 1:現在の設定をバックアップします。
現在の設定をバックアップします。[vManage] > [Device] > [Running Config] に移動します。
デバイスがオフラインの場合は、[Local Configuration] を選択して、デバイス設定のバックアップがあるかどうかを確認します。
vManageに設定が保存されている場合は、デバイス自体からこの設定を取得します。
CLIで次のコマンドを使用して、現在のすべての設定を含むファイルをブートフラッシュに作成します。
show running-config | redirect bootflash:sdwan/ios.cli
show sdwan running-config | redirect bootflash:sdwan/sdwan.cli
ステップ 2:古いルータまたは障害が発生したルータを無効にします。
[vManage] > [Certificates] > [Devices] で古い/障害のあるルータを無効にします。
注:デバイスを無効にすると、設定は失われます。vManageから設定を回復する方法はありません。設定は、障害が発生したデバイスまたは元のデバイスで引き続き使用できます。
注:これらの手順では、すべての制御接続が失われます。
注意:無効なルータの情報が不要になり、同じsystem-ipをRMAルータで再利用する必要がある場合は、vManageから無効なルータを削除してください。
ステップ 3:コントローラに送信します。
[Send to controllers] を選択して、変更をコントローラにプッシュします。
ステップ 4:ルータに設定を配置します。
すべての設定をルータに配置します。この時点で、障害が発生したルータまたは元のルータのシステムIPを使用するようにシステムIPを変更しても安全です。
関連情報