クイックスタートガイド – Catalyst SD-WAN簡素化された設定とポリシー
内容
はじめに
このドキュメントは、Catalyst SD-WANでの設定とポリシーの簡素化のためのクイックスタートガイドです。
要約
Cisco Catalyst SD-WANソフトウェアリリース20.12/17.12を使用する場合、デバイスと機能のテンプレートに基づく従来の設定から、設定グループとポリシーグループに基づく新しい設定方法への移行を開始することが推奨されます。このドキュメントでは、新しい設定方法に関する重要な詳細について説明します。
このドキュメントの主な目的は、20.12ゴールデンリリースで、設定、ポリシー、オンボーディングの新しい構成を使用することから始めるためのガイドとして役立つことです。 このドキュメントでは、個々の機能については説明しません。
新規導入
新しい設定方法を正しく利用するには、次の手順を実行する必要があります。
- ネットワーク:ネットワーク階層とシステム構造の定義
- 構成:ワークフローを使用した構成グループを含む構成の作成
- アプリケーション:アプリケーションカタログを使用して、必要に応じてカスタムアプリケーションを定義します。
- ポリシー:ポリシーグループを使用したポリシーの作成
- トポロジ:トポロジを定義する
- オンボード:オンボードデバイスとタグデバイス
- 展開:構成グループとポリシーグループを関連付けて展開します。トポロジをアクティブにします。
新規導入のフローチャート
既存の導入
ユーザエクスペリエンスの強化と運用の簡素化
Cisco Catalyst SD-WANは、ユーザエクスペリエンスの向上と運用の簡素化を実現します。
- 共通UI:新しいUXフレームワークがCatalyst SD-WAN Managerおよび他のシスコ製品に導入されました。これは、User eXperienceの一貫性を保ち、製品間で共通のルックアンドフィールを提供するものです。
- 設定:直感的なインテントベースのワークフローとシスコ推奨のスマートデフォルトの使用により、設定とポリシーの作成および導入が簡素化されます。
- モニタリング:新しいウィジェットとカスタマイズ可能で強化されたダッシュボードにより、ネットワークおよびアプリケーションのパフォーマンスと健全性に関する豊富な情報を提供します。
- トラブルシューティング:動的なサイトおよびネットワークトポロジビュー、コンテキストベースのトラブルシューティングツールへのアクセス、ネットワークおよびアプリケーションパフォーマンスに関するレポートを定期的に提供します。
利点
| 使いやすい |
直感的なガイド付きワークフロー |
| 構成の無秩序な増加 |
無秩序な増加の抑制(モデルに依存しない、再利用、構造) |
| 構成の作成 |
スマートなデフォルト設定で迅速かつ簡単に |
| 設定の変更 |
今すぐ変更、後で選択的に展開 |
| 可視性 |
新しいダッシュボード、アプリケーション/サイトのパフォーマンスモニタリング |
| トラブルシューティングガイダンス |
サイトトポロジ、トラブルシューティングツールのガイダンス |
ネットワーク階層とシステム構成の定義
ネットワーク階層
ネットワークの「階層」、つまりサイト、リージョン、エリアの概念を提供します。これはネットワークに基づいて作成できます。
以下に例を挙げます。
ネットワーク階層マネージャ(NHM)
これは、運用の簡素化に役立つ使いやすいサイト名を定義するのに役立ちます。
システム構成
これらのプールは、デバイス設定の導入時にシステムIPとサイトIDの割り当てを自動化します。
System-IP自動割り当て用のIPプールを定義できます。 サイトIDはGlobal_Siteプールから割り当てられます。
![[Add IP Pool]](/c/dam/en/us/support/docs/routers/sd-wan/222297-quick-start-guide-simplified-configura-02.png)
プールパラメータの追加
プールの表示と管理
[Workflows]
ワークフローは、特定のタスクを簡単に実行するのに役立つガイド付きステップの集合です。
- ワークフローの目標は、初心者ユーザが簡単に設定を作成してデバイスに導入できるようにすることです。
- ほとんどの設定ノブ/設定は、シスコ推奨のスマートデフォルトに設定されています。
- ユーザが指定する必要があるのは、いくつかの設定だけです。
- 高度な設定ノブは、ワークフローの外部で使用できます。ワークフローでは、設定グループを手動で編集できます。
ワークフローライブラリには、使用可能なすべてのワークフローが一覧表示されます。
ワークフローライブラリ
構成グループ
構成グループは、シンプルさ、再利用性、および構造の原則に基づく、ファブリック構成への新しいアプローチです。
構成グループの構造
構成グループ
- WAN内で共通の目的を共有するデバイスの論理グループ。
- ユーザは、ビジネスニーズに基づいてこのグループ化を定義し、カスタマイズできます。
たとえば、東部/西部、南・北・中央アメリカ/APJC/EMEAR、小売店/流通センター
機能プロファイル
- 構成グループ間で共有できる柔軟な「バケット」。
- 必要なフィーチャに基づいてフィーチャプロファイルを作成する
- プロファイルを組み合わせて、構成要素などのデバイス構成を完成させる
- 構築、保存、再利用
例:基本プロファイル、WANプロファイル、LANプロファイル
設定グループの導入例
注:
- 設定グループはデバイスモデルに依存しない
- 機能プロファイルを複数の設定グループで共有可能
使用例1:政府関係の顧客
使用例1:設定グループ
設定グループハブ
構成グループの作成ワークフローを実行します。
構成グループの作成ワークフローオプション
WANプロファイル
使用例1:WANプロファイル1
ワークフローを使用して、この使用例の完全なWANプロファイル設定を生成できます。
実際のスタティックIP、スタティックデフォルトルートのIP/サブネット/ネクストホップなどのエンティティは、グローバルまたはデバイス固有として指定できます。
デバイス固有のオプションは、デバイスへの設定グループの導入時に実際の値で指定できます。
LAN プロファイル
使用例1:LANプロファイル1
ワークフローを使用して、この使用例のほとんどのLANプロファイル設定を生成できます。
- 2つのVPN
- 各VPNのBGPルーティング(AS番号、ネットワークプレフィクス、ネイバー)
実際のDot1Qサブインターフェイスなどのエンティティや、デバイス固有としてマークされたその他のエンティティは、デバイスへの設定グループの導入時に実際の値で指定できます。
| 注: ルート再配布やデフォルトルートアドバタイズメントなどの高度な設定は、設定グループを手動で編集してワークフローの後で設定する必要があります。また、サブインターフェイスを導入時に使用する場合は、サブインターフェイスも設定する必要があります。 |
System Profile
使用例1:System Profile 1
ワークフローを使用して、この使用例のシステムプロファイル設定の大部分(OMP、AAA、NTP、ロギングなど)を生成できます。
| 注: OMP-BGP再配布などの高度な設定、およびOMP、AAA、NTPなどのシステム機能に対するその他の変更は、ワークフローの後で、設定グループを手動で編集して設定する必要があります。 |
構成グループSiteType1
Create Configuration Groupワークフローを実行します。
WANプロファイル
使用例1:WANプロファイル2
このワークフローを使用すると、この使用例のほとんどのWANプロファイル設定を生成できます。インターネットおよびStarlinkのイーサネットインターフェイスDHCP を完了せずに ARP メッセージを転送した場合。
| 注: スタティックルートを含むLTEリンクのセルラーインターフェイスは、設定グループを手動で編集して、ワークフロー後に設定する必要があります。 |
LAN プロファイル
使用例1:LANプロファイル2
ワークフローを使用して、この使用例のLANプロファイル設定の一部を生成できます。2 VPN、DIAスタティックルート。
実際のDot1Qサブインターフェイスなどのエンティティや、デバイス固有としてマークされたその他のエンティティは、デバイスへの設定グループの導入時に実際の値で指定できます。
| 注: SVI、ワイヤレスSSID、アクセススイッチポートなどは、手動で設定グループを編集して、ワークフロー後に設定する必要があります。 |
System Profile
使用例1:System Profile 2
ワークフローを使用して、この使用例のシステムプロファイル設定の大部分(OMP、AAA、NTP、ロギングなど)を生成できます。
| 注: アプリケーションパフォーマンスモニタリングなどの高度な設定は、設定グループを手動で編集して、ワークフローの後に設定する必要があります。 |
CLIプロファイル
使用例1:CLIプロファイル2
App/Flow Visibility(NBAR)の有効化など、GUIではサポートされていない機能は、CLIプロファイルを使用して設定できます。
アプリケーション/フローの可視性
アプリケーションの可視性とフローの可視性を有効にするには、CLIプロファイル/パーセルを使用します。
(20.13以降では、ポリシーグループの詳細設定で使用できます)
ただし、20.12では、AARポリシーが設定されている場合、アプリケーション/フローの可視性が有効になります。CLIプロファイル/パーセルを使用してこれを設定する必要はありません。
構成グループSiteType2
Create Configuration Groupワークフローを実行します。
WANプロファイル
使用例1:WANプロファイル3
このワークフローを使用すると、この使用例のほとんどのWANプロファイル設定を生成できます。インターネット用イーサネットインターフェイス。DHCP を完了せずに ARP メッセージを転送した場合。
| 注: スタティックルートを含むLTEリンクのセルラーインターフェイスは、設定グループを手動で編集して、ワークフロー後に設定する必要があります。 |
LAN プロファイル
使用例1:LANプロファイル3
ワークフローを使用して、この使用例のLANプロファイル設定の一部を生成できます。1 VPN、DIAスタティックルート。
実際のDot1Qサブインターフェイスなどのエンティティや、デバイス固有としてマークされたその他のエンティティは、デバイスへの設定グループの導入時に実際の値で指定できます。
| 注: SVI、アクセススイッチポートなど、設定グループを手動で編集して、ワークフロー後に設定する必要があります。 |
System Profile
設定グループSiteType1と同じ
CLIプロファイル
設定グループSiteType1と同じ
構成グループSiteType3
Create Configuration Groupワークフローを実行します。
WANプロファイル
設定グループSiteType2と同じ
LAN プロファイル
使用例1:LANプロファイル4
ワークフローを使用して、この使用例のLANプロファイル設定の一部を生成できます。1 VPN、DIAスタティックルート。
実際のDot1Qサブインターフェイスなどのエンティティや、デバイス固有としてマークされたその他のエンティティは、デバイスへの設定グループの導入時に実際の値で指定できます。
| 注: SVI、ワイヤレスSSID、アクセススイッチポートなど、設定グループを手動で編集して、ワークフロー後に設定する必要があります。 |
System Profile
設定グループSiteType1と同じ
CLIプロファイル
設定グループSiteType1と同じ
使用例2:小売業のお客様
使用例2:設定グループ
設定グループHQおよびウェアハウス
Create Configuration Groupワークフローを実行します。
WANプロファイル
ワークフローを使用して、この使用例のすべてのWANプロファイル設定を生成できます。
LAN プロファイル
ワークフローを使用して、この使用例のすべてのLANプロファイル設定を生成できます。
実際のDot1Qサブインターフェイスなどのエンティティや、デバイス固有としてマークされたその他のエンティティは、デバイスへの設定グループの導入時に実際の値で指定できます。
System Profile
ワークフローを使用して、このユースケースのすべてのシステムプロファイル構成を生成できます。
| 注: 何らかの変更が必要な場合、またはアプリケーションパフォーマンスモニタリングなどの高度な設定が必要な場合は、設定グループを手動で編集して、ワークフロー後に変更を設定する必要があります。 |
構成グループストア
Create Configuration Groupワークフローを実行します。
WANプロファイル
このワークフローを使用すると、この使用例のほとんどのWANプロファイル設定を生成できます。
| 注: 設定グループを手動で編集して、ワークフロー後にルーティングを含むLTEリンクのセルラーインターフェイスを設定する必要があります。 |
LAN プロファイル
ワークフローを使用して、この使用例のすべてのLANプロファイル設定を生成できます。
実際のDot1Qサブインターフェイスなどのエンティティや、デバイス固有としてマークされたその他のエンティティは、デバイスへの設定グループの導入時に実際の値で指定できます。
System Profile
構成グループHQおよびウェアハウスと同じ。
関連付け
設定グループの編集ページ(Configuration -> Configuration Groups)で、設定グループにデバイスを関連付けることができます。
Associate Devicesをクリックして、ワークフローの手順に従います。
デバイスの関連付け – 設定グループ
展開
設定グループの導入ワークフローを実行します。
構成グループの展開ワークフロー
| 注:
|
再利用
- 設定グループはデバイスモデルに依存しません。
設定グループ – デバイスモデルに依存しない
| 注: デバイスモデルで特定の構成がサポートされていない場合、対応する機能パーセルプッシュは実行されず、展開タスクの一部として適切なメッセージが表示されます。 例:デバイスはWi-Fiをサポートしていませんが、設定グループにWi-Fi区画が含まれています。展開時に、Wi-Fi区画設定がスキップされ、Wi-Fi設定のプッシュがスキップされたことを通知する展開タスクメッセージが表示されます。 |
- 設定変数の使用:デバイス固有の値
設定グループ:デバイス固有の変数
機能プロファイルには、テンプレート変数と同様に、デバイス固有の設定を設定できます。
例:インターフェイスIPアドレス、ポート番号、インターフェイス名など。
これらのデバイス固有の値は、導入時に指定できます。また、デバイスごとに異なる場合があります。
設定グループ – デバイス固有の変数の例1
設定グループ – デバイス固有の変数の例2
設定グループ – デバイス固有の変数の例3
- フィーチャプロファイルを再利用する
機能プロファイルは、複数の設定グループにわたって再利用できます。
図:
WANとシステムの設定が同じで、LAN設定のみが異なる場合など、複数のデバイスでは、WANとシステムのプロファイルを設定グループ間で再利用しながら、それぞれに異なるLANプロファイルを設定できます。
フィーチャプロファイルの再利用 – 1
LANプロファイル1
フィーチャプロファイルの再利用 – 2
LANプロファイル2
フィーチャプロファイルの再利用 – 3
LANプロファイル3
アプリケーションカタログ
従来のデバイスは、送信元と宛先のIPアドレス、送信元/宛先ポート、およびプロトコルの条件付き照合によってトラフィックフローを操作できました。 DNSに依存するアプリケーションやHTTPに組み込まれるアプリケーションが増加するにつれて、ネットワークトラフィックをアプリケーションレベルで正確に特定することが困難になります。
シスコのNetwork Based Application Recognition(NBAR)エンジンは、1500を超えるアプリケーションを分類する機能を備えており、ネットワークエンジニアは、より詳細なレベルでトラフィックフローを分類および操作できます。 Cisco Catalyst SD-WAN Managerは、アプリケーションのシグネチャを迅速に更新できるシスコアプリケーションリポジトリに接続する機能を備えています。これは、クラウドプロバイダーがホスティング場所やトラフィックパターンを変更する場合に重要です。
アプリケーションカタログを使用すると、サーバ名、IPアドレス、ポート、またはプロトコルの照合に基づいて、カスタムアプリケーションを作成できます。 その後、アプリケーションは、特定のアプリケーションファミリ、アプリケーショングループ、トラフィッククラス、およびビジネス関連性に定義されます。
アプリケーションカタログ
アプリケーションは、適切なビジネス関連性やトラフィック分類にドラッグアンドドロップできます。 変更を保存すると、データベース内の定義が更新されます。
| 注:アプリケーション分類はグローバルであり、アプリケーションカタログの変更はすべてのデバイス分類に影響します。 |
ポリシーグループ
設定グループと同様に、ポリシーグループは、ポリシーグループに関連付けられたデバイスに導入されるポリシーのグループです。
ポリシーグループは、意図に基づいてポリシーの作成と導入に取り組みます。シンプルなUIとワークフローにより、ポリシーの作成、ポリシーのグループ化、デバイスへの展開が簡単になります。
| 前提条件: デバイスへの設定グループの関連付けと導入は、そのデバイスへのポリシーグループの導入に必須です。 |
ポリシーグループ
アプリケーションの優先度とSLA
このポリシーの目的では、次の項目を指定できます。
- アプリケーション認識型ルーティングおよびSLAポリシー
- QoSポリシー
- トラフィックデータポリシー
- DIAポリシー
- SIGポリシー
2つのモードが提供されます。
簡易モード
これはデフォルト モードです。
簡易モード
これにより、ネットワークのアプリケーションプライオリティとSLAをすばやく簡単に定義できます。
| 注: 1. デフォルトのポリシーアクションはDROP 2. 一致基準として使用できるのはアプリケーションだけです。プレフィクスが必要な場合は、詳細モードを使用します |
詳細モード
これは完全で柔軟なモードです。
詳細モード
| 注: 1. デフォルトのポリシーアクションはDROP 2. アプリケーションリストとトラフィッククラスは、基本的にアプリケーションのリストです。 アプリケーションのリストの照合には、いずれか1つを使用できます。トラフィッククラスへのアプリケーションのマッピングは、アプリケーションカタログで実行できます。 簡易モードでは、これらのいずれかまたは両方を使用してルールが生成されます。一方、詳細モードでは、アプリケーション・リストのみが提供されます。 |
Quality of Service
QoS Queue オプションでは、QoSポリシーを追加できます。
QoSポリシーの追加
キューイングモデル
次に、トラフィックデータポリシーを定義します(トラフィックポリシーの追加)。
目的のトラフィックに一致するルールを追加し、適切な転送クラスにリダイレクトします。
QoSポリシー2
アプリケーション認識型ルーティング
SLAクラスを定義してトラフィックポリシーで使用することで、AARポリシーの目的を実現できます。
AARポリシー
アプリケーション/フローの可視性
アプリケーションの可視性とフローの可視性を有効にするには、設定グループでCLIプロファイル/パーセルを使用します。
(20.13以降では、ポリシーグループの詳細設定で使用できます)
ただし、20.12では、AARポリシーが設定されている場合、アプリケーション/フローの可視性が有効になります。CLIプロファイル/パーセルを使用してこれを設定する必要はありません。
トラフィックポリシー
トラフィックポリシーを使用して、DIAポリシー、SIGリダイレクションなどを作成することもできます。必要に応じてルールを追加します。
トラフィックポリシー
| 注: アプリケーションプライオリティおよびSLAポリシーが簡易モードで作成され、拡張モードに切り替えられた場合、一部の一致オプションは選択できません。例:宛先データのプレフィックスがグレー表示される。 |
組み込みセキュリティ
オンボックスのNGFW、IPS、マルウェア、およびコンテンツフィルタリングのセキュリティポリシーを定義
セキュアインターネットゲートウェイ/セキュアサービスエッジ
Cisco Secure Accessなどのクラウドベースのコンテンツおよびセキュリティエンティティへのトンネルを確立するために必要な設定を定義します。
| 注: 従来の設定方法では、これは機能テンプレートとして使用できました。 |
DNSセキュリティ
コンテンツフィルタリングにクラウドベースのDNSセキュリティサービスの使用を許可する設定を定義します。
関心のあるグループ
ポリシーで使用するオブジェクトリストを定義します。例:アプリケーションリスト、VPNリスト、サイトリスト、プレフィックスリストなど。
また、セキュリティポリシーについては、高度な検査プロファイル、SSL復号化ポリシーなどのプロファイルを定義します。
ポリシーグループ:対象のグループ
関連付けと導入
設定グループと同様に、デバイスをポリシーグループに関連付けて展開します。
ローカライズされたポリシー
ACL、ルートポリシー、デバイスアクセスポリシーなどのローカライズされたポリシーは、設定グループで定義されます。
トポロジ
ネットワークトポロジを定義します。
フルメッシュまたはハブアンドスポークから開始し、必要に応じてカスタマイズします。
トポロジメニュー
トポロジとVPN
トポロジを作成し、VPNを指定する際には、これらの設計変更に留意してください。
新しい設計では、1:1マッピングではなく、VPN名からVPN IDへのダイナミックマッピングが可能です。
複数のVPN IDへのVPN名のマッピング
図:
2つの異なる設定グループに、Corporateという名前のVPNがあるとします。
一方にはVPN ID 10があり、もう一方にはVPN ID 20があります。
トポロジワークフローVPNリストには、社内 VPNの1つのインスタンスだけが表示されます。
Corporate VPNを選択すると、SD-WAN Managerはトポロジに基づいてVPN IDを判別します。
2つのサイトに2つのデバイスがあるとします。
1. サイト100のDevice1、VPN 10としてCorporateを使用
2. サイト200のDevice2、VPN 20としてCorporateを使用
サイト100とサイト200の両方がトポロジの一部である場合、SD-WAN Managerは両方のVPN ID(10と20)を持つVPNリストを作成します。
サイト100のみがトポロジに含まれている場合、SD-WAN ManagerはVPN ID 10のみを持つVPNリストを作成します。
サイト200のみがトポロジに含まれている場合、SD-WAN ManagerはVPN ID 20のみを持つVPNリストを作成します。
同じVPN IDにマッピングする複数のVPN名
同じVPN名を持つ複数のトポロジポリシーを設定し、異なるサイトの異なるVPN IDにマッピングできます。
SD-WAN Managerは、どのトポロジがどのサイトに関連付けられているかに基づいて、実際のマッピングを決定します。
図:
2人のユーザが2つの異なる設定グループを作成できます。
一方はVPN ID 100をFinance VPNとして指定し、もう一方はEngineering VPNとして指定します。
その後、それぞれのVPN名を使用してトポロジを作成できます。
オンボーディング
物理ルータのオンボーディングには、Quick Connect Workflowを使用します。
このワークフローを使用して、オンボーディングするデバイスのホスト名、システムIP、およびサイト名/IDを事前に定義します。これらは自動的に生成されますが、必要に応じて変更できます。デバイスにタグを付けて、そのデバイスを設定グループに自動関連付けするために使用することもできます。
PnP ZTPオンボーディングプロセス中に、デバイスはSD-WAN Managerへのコントロールプレーントンネル接続を確立します。SD-WAN Managerが事前に定義されたファブリック構成をデバイスにプッシュし、デバイスがSD-WANファブリックに参加します。
クイック接続ワークフロー
クイック接続ワークフローの説明
タグ付け
デバイスは、ユーザ定義のタグに関連付けることができます。
タグは、デバイスのグループ化、説明、検索、管理に使用できます。
タグを使用すると、デバイスをグループ化して他の機能で使用できます。
タグ付けの例
例:デバイスへの設定グループの関連付け
設定グループのルールを設定すると、特定のタグを持つデバイスをその設定グループに自動的に関連付けることができます。
タグの追加
Configuration->Devicesでは、デバイスに対してタグの作成、追加、削除を行うことができます。
設定グループ内のタグ規則
Configuration Group -> Associated Devicesページで、タグルールを追加/編集できます。
図
タグ付けの図
既存の導入
SD-WANネットワークでは、従来の構成とポリシーを使用するデバイスは、簡素化された構成とポリシーを使用するデバイスと共存できます。
このセクションでは、簡素化された設定とポリシーを利用する場合の推奨事項について説明します。また、推奨事項についても説明します。
最初のステップでは、デバイスをデバイステンプレートから設定グループに移行する必要があります。 これが完了すると、ポリシーグループやトポロジを展開できます。
構成グループ
デバイステンプレートと設定グループは、エッジデバイス設定を提供します。 だから、共存は簡単に起こります。 デバイステンプレートから設定グループに移行する手順は次のとおりです。
| 手順 1 |
デバイステンプレートからデバイス値のコピーを抽出します。 これを行うには、設定>テンプレートで、デバイスグループの右側の省略記号(...)をクリックし、「CSVのエクスポート」を選択します。 |
| 手順 2 |
構成グループを作成します(手動または変換ツールを使用)。 |
| 手順 3 |
デバイステンプレートをデバイスから切り離します。 この時点で、デバイスは接続ポイントで設定を維持しますが、デバイステンプレート(またはコンポーネントフィーチャテンプレート)に対する今後の変更は受け取りません。 |
| 手順 4 |
デバイスを新しい設定グループに関連付けます。 |
| 手順 5 |
設定グループに関連付けられたデバイスを導入します。 このプロセスを簡単に行うには、エクスポートされたCSVファイルを開き、CSVカラムヘッダーを変更して、設定グループの新しい変数に一致させます。 |
| 手順 6 |
デバイス変数の入力画面が表示されたら、デバイス設定をプレビューできます。 これにより、設定グループのどの部分が以前のインスタンスと一致しないか、またはデバイステンプレートからどの変数が変更されたかについてプレビューできます。 |
変数に対して一貫した命名方式を維持すると、デバイス固有の設定が簡素化されます。 すべてのデバイスの値が1つのCSVファイル内にある場合は、カラムヘッダーの名前を変更する必要があるのは1回だけです。
| 注:デバイステンプレートまたは設定グループ用のCSVファイルを操作してカラムヘッダーを統合し、アルファベット順に並べ替えるPythonスクリプトが存在します。 スクリプトは次の場所にあります。 |
ポリシーグループ
設定グループを介して設定されたデバイスは、一元化されたポリシーを使用するか、ポリシーグループに移行できますが、同じアプリケーションに対して同時に両方を同時に移行することはできません。 基本的に、目標はエッジデバイスに対して同じ基本ポリシーを維持することです。 ポリシーグループは、元のAARポリシーとデータポリシーを1つのアプリケーションプライオリティおよびSLA PGコンポーネントに統合します。 基本的に、ポリシーの設定の構築方法を変更するだけです(ただし、SD-WAN Managerには送信されません)。
データポリシーまたはAARポリシーは、両方とも同じ設定を設定するため、アプリケーションプライオリティおよびSLAコンポーネントを持つサイトを含むサイトリストを参照できないことに注意してください。
制御ポリシーのみを使用する一元化ポリシーは、アプリケーションの優先順位とSLAを持つポリシーグループを使用するサイトを参照できます。これは、一元化ポリシーのさまざまなコンポーネントを設定するためです。
一元化ポリシーからポリシーグループにデバイスを移行するには、次の手順を実行します。
| 手順 1 |
必要なポリシーグループコンポーネント(アプリケーションプライオリティとSLA、組み込みセキュリティ、セキュアインターネットゲートウェイ/セキュアサービスエッジ、DNSセキュリティ)を作成します。 |
| 手順 2 |
ポリシーグループを作成し、必要なコンポーネントを関連付けます。 |
| 手順 3 |
AARまたはデータポリシーで参照されているSiteListからサイトIDの関連付けを解除します。 |
| 手順 4 |
デバイスをポリシーグループに関連付け、ポリシーグループを保存します。 |
| 手順 5 |
選択したデバイスにポリシーグループを展開します。 この時点で、SD-WAN Managerはエッジデバイス(QoS/SIG用)とコントローラに更新された設定を送信します。これにより、コントローラは更新されたデータポリシーをエッジデバイスに送信できます。 |
| 注:ポリシーグループは集中型ポリシーと共存できますが、エッジデバイスを設定グループに変換する間、(AARおよびデータポリシーに対して)集中型ポリシーのままにしておくことをお勧めします。 次に、この時点で、アプリケーションプライオリティおよびSLAコンポーネント内の機能を使用するために、一元化ポリシーからポリシーグループへの移行を開始します。 これは単純な作業で、運用スタッフ間の混乱を減らすために行います。 |
| 注: |
トポロジ
設定グループを介して設定されたデバイスは、中央集中型ポリシーを使用するか、トポロジに移行できます。基本的に、目標はSD-WANコントローラと同じ制御ポリシーを維持することです。トポロジは、制御ポリシーの最新のイテレーションです。
コントロールポリシーポリシーは、関連付けられたトポロジを持つサイトを持つサイトリストを参照することはできないことに注意してください。どちらも同じ設定を設定するためです。
データポリシーまたはAARポリシーのみを使用する一元化ポリシーと、さまざまなコンポーネントを設定するトポロジポリシーを設定できます。
一元化ポリシーからポリシーグループにデバイスを移行する手順:
| 手順 1 |
必要なトポロジコンポーネントの作成 |
| 手順 2 |
中央集中型ポリシーの古いトポロジリストからサイドの関連付けを解除します。 |
| 手順 3 |
AARまたはデータポリシーで参照されているサイトリストからサイトIDの関連付けを解除します。 |
| 手順 4 |
トポロジをアクティブにします。この時点で、SD-WAN Managerは更新された設定をコントローラに送信し、エッジデバイスに送信されるすべてのルートを変更します。 |
| 注:トポロジは中央集中型ポリシーと共存できますが、エッジデバイスを設定グループに変換する間、(トポロジおよびルート操作のための)中央集中型ポリシーのままにしておくことをお勧めします。 次に、その時点で、トポロジの変更とルーティング操作を行う機能のために、中央集中型ポリシーからトポロジへの移行を開始します。 これは単純な作業で、運用スタッフ間の混乱を減らすために行います。 |
変換ツール
対象範囲
変換ツールは、テンプレートを設定グループに1対1で変換します。このツールは、SD-WAN Managerインスタンスからテンプレートを収集し、それらを構成グループ(機能プロファイルと機能パーセルを含む)に変換し、新しく変換した構成をSD-WAN Managerにアップロードします。
* ポリシーからポリシーグループへの変換は、2024年10月に変換ツールで利用可能になる予定です。
アクセスの詳細
ツールのベータ版が利用可能です。詳細については、sdwan-ux-conversion-tool@cisco.comまでお問い合わせください。
使用方法
前提条件
このツールを使用する前に、SD-WAN Managerで20.12.xが実行されていることを確認してください。そうでない場合は、先に進む前に20.12にアップグレードします。
変換ツールのワークフロー
| 手順 1 |
シスコから提供されたクレデンシャルを使用してツールにサインインします。(注:これらはCCOクレデンシャルではありません。詳細については、sdwan-ux-conversion-tool@cisco.comまでお問い合わせください)。 |
| 手順 2 |
ホームページから「変換ツール」ワークフローを選択します。 ・ このワークフローを以前に実行したことがあり、変換後の構成を含むJSONファイルがある場合は、[ファイルからアップロード]ワークフローを選択する必要があります。 |
| 手順 3 |
Login: SD-WANマネージャのIPまたはURLとユーザクレデンシャルを入力します。 ・ ユーザーは読み取り/書き込みアクセス権を持っている必要があります。 ・ ポートおよびサブドメインのフィールドはオプションです。 |
| ステップ 4: |
インポート: SD-WAN Managerからすべてのレガシー構成(デバイステンプレート、機能テンプレート、ポリシー、および関連する構成)を取得するには、[収集]ボタンをクリックします。 ・ 収集したら、すべての設定を含むJSONファイルをダウンロードする必要があります。このファイルは、SD-WAN Managerから再度収集するのではなく、この手順で後から使用する必要があります。 |
| ステップ 5: |
次を選択します: 新しい同等のテンプレートおよびポリシーに変換するテンプレートおよびポリシーを選択します。[マイグレーション]をクリックして、選択した構成を変換します。 |
| 手順 6: |
Transform: このページには、新しく変換されたすべての構成が表示されます。準備ができたら、「アップロード」をクリックして、これらの設定をSD-WAN Managerにプッシュします。 ・ まだSD-WAN Managerにプッシュする準備ができていない場合は、変換された構成をJSONファイルとしてダウンロードし、後で「ファイルからアップロード」ワークフローを使用できます。 |
| 手順 7: |
要約: この時点で、設定はSD-WAN Managerにプッシュされて作成されます。設定をプッシュすると、経過表示バーが表示されます。アップロードが完了すると、アップロードされた設定の概要が表示されます。 ・ 「構成グループ」、「機能プロファイル」、「ポリシーグループ」の各クイックリンクを使用して、SD-WAN Managerの新しい構成を表示できます。 ・ エラーまたはミスが発生した場合は、このステップでロールバックも使用できます。ロールバックを実行すると、このワークフロー/セッション中にSD-WAN Managerにプッシュされたすべての構成が削除されます。 |
変換後
これで、新しい構成を使用する準備ができました。「既存の導入」セクションの手順を実行して、デバイスを新しく変換した設定グループに移行します。
考慮事項
- このツールで提供される変換は、ガイダンスとして機能することを目的としています。実稼働環境に導入する前に、分析とテストを行ってください。
- このツールでは、設定グループのデバイスに依存しない機能は考慮されません。ユーザは、変換または分析する設定グループを選択する前にテンプレートを分析し、デバイスに依存しない機能を活用できるようにデバイスを関連付けることができます。
- 旧形式の構成の変数名とグローバル値は、新しく変換された構成にコピーされます。
- このツールでは、設定はデバイスにプッシュされません。変換を実行した後、ユーザはデバイスをテンプレートから切り離し、新しい設定グループに関連付ける必要があります。
20.12考慮事項
| No. |
アイテムの説明 |
| 1 |
17.12より前のバージョンを実行するエッジに設定グループを展開する場合は、CLIアドオンプロファイルを使用してDNS設定をプッシュする必要があります。 |
| 2 |
トポロジを作成するには、NHMで定義されたエリアを選択するのではなく、サイトを選択する必要があります。 |
| 3 |
構成グループの作成ワークフローでは、VPN512およびこのVPNのインターフェイスはWANプロファイルに作成されません。これが必要な場合は、設定グループを編集して手動で作成できます。 |
| 4 |
機能プロファイルをコピー/複製する機能。ポリシーはサポートされていません。 Pythonスクリプトのセットは、このタスクを実行でき、次の場所にあります。 |
| 5 |
ポリシー設定(ローカライズされたポリシー)に関連する機能パーセルを作成する前に、ポリシーオブジェクトプロファイルを設定グループに関連付ける必要があります。例:ACL |
| 6 |
インターフェイス変数のCSVのインポートは、セミコロンを文字列に挿入して失敗します |
| 7 |
AppQoE最適化(TCP OptおよびDRE)と損失修正(FECおよびPkt Dup)の設定では、引き続き従来のテンプレート/ポリシーを使用します。設定/ポリシーグループでもCLIプロファイルを使用して設定可能(UIパーセル内の20.14) |
| 8 |
SaaS向けクラウドオンランプは、従来のテンプレート/ポリシーを引き続き使用します。 |
| 9 |
TrustSec/SGTはCLIプロファイルでのみサポート |
| 10 |
CLIプロファイルのみでサポートされるUC音声/DSPファーム/SRST(UIパーセルで20.13以降) |
関連情報
- Cisco SD-WANおよびクラウドネットワーキングYouTubeチャネル:https://www.youtube.com/@CiscoSDWANandCloudNetworking
- UX2.0 – 運用の簡素化:1.単一ルータサイトの設定:https://www.youtube.com/watch?v=98z-d3knd
- シスコのテクニカルサポートとダウンロード
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
16-Aug-2024 |
初版 |
フィードバック