Cisco vManage の基本設定
システムテンプレートは、システムレベルの Cisco vManage ワークフローを構成するために使用されます。
[Settings] 画面を使用して、現在の設定を表示し、組織名、vBond オーケストレータの DNS 名または IP アドレス、証明書の設定、統計情報の収集などの Cisco vManage パラメータの設定を構成します。
各項目の現在の設定は、各項目のバーの名前の直後に表示されます。
組織名の設定
証明書署名要求(CSR)を生成する前に、組織の名前を構成する必要があります。組織名は CSR に含まれます。
Public Key Infrastructure(PKI)システムでは、デジタル ID 証明書を申請するために CSR が認証局に送信されます。
組織名を設定するには、次の手順を実行します。
-
Cisco vManage のメニューで、 を選択します。
-
[Organization Name] で、[Edit] をクリックします。
-
[Organization Name] に、組織の名前を入力します。組織名は、vBond オーケストレータで構成されている名前と同じである必要があります。
-
[Confirm Organization Name] で、組織名を再入力して確認します。
-
[Save] をクリックします。
(注) |
制御接続が起動して実行されると、組織名バーは編集できなくなります。 |
Cisco vBond のドメインネームシステム(DNS)名または IP アドレスの設定
-
[vBond] から、[Edit] をクリックします。
-
[vBond DNS/IP Address: Port] に、vBond オーケストレータを指す DNS 名とまたは Cisco vBond オーケストレータの IP アドレスと、それへの接続に使用するポート番号を入力します。
-
[Save] をクリックします。
(注)
DNS キャッシュのタイムアウトは、DNS が解決する必要がある Cisco vBond オーケストレーション の IP アドレスの数に比例する必要があります。そうしないと、リンク障害中に Cisco vManage の制御接続が行われない可能性があります。これは、チェックする IP アドレスが 6 つ以上ある場合(デフォルトの DNS キャッシュタイムアウトは現在 2 分であるため、これは推奨数です)、最も優先されるインターフェイスがすべての vBond IP アドレスを試行しても、別の色にフェールオーバーする前に、DNS キャッシュタイマーが期限切れになるためです。たとえば、1 つの IP アドレスへの接続を試みるのに約 20 秒かかります。したがって、解決する IP アドレスが 8 つある場合、DNS キャッシュのタイムアウトは 20*8=160 秒、つまり 3 分になります。
コントローラ認証局の設定
署名付き証明書は、オーバーレイネットワーク内のデバイスの認証に使用されます。認証されたデバイスは、相互にセキュアなセッションを確立できます。これらの証明書の生成、およびコントローラデバイス(Cisco vBond Orchestrator、Cisco vManage、および Cisco vSmart コントローラ)へのインストールは、Cisco vManage から実行します。Symantec によって署名された証明書を使用することも、エンタープライズルート証明書を使用することもできます。
コントローラの認定許可設定では、すべてのコントローラデバイスの認証生成がどのように行われるのかを確立します。証明書は生成しません。
証明書生成方式を 1 回だけ選択する必要があります。選択した方法は、オーバーレイネットワークにデバイスを追加するたびに自動的に使用されます。
Symantec 署名サーバーが各コントローラデバイスで証明書を自動的に生成、署名、およびインストールするようにするには、次の手順を実行します。
-
[Controller Certificate Authorization] から、[Edit] をクリックします。
-
[Symantec Automated] をクリックします(推奨)。これは、コントローラが署名した証明書の処理に推奨される方式です。
-
[Confirm Certificate Authorization Change] ダイアログボックスで、[Proceed] をクリックして、Symantec 署名サーバーが各コントローラデバイスに証明書を自動的に生成、署名、およびインストールするようにすることを確認します。
-
証明書のリクエスト送信者の姓名を入力します。
-
証明書のリクエスト送信者の電子メールアドレスを入力します。このアドレスは、電子メールを使用して署名付き証明書と確認電子メールをリクエスト送信者に送信するために必要です。カスタマーポータルから利用できるようにすることもできます。
-
証明書の有効期間を指定します。1 年、2 年、または 3 年に指定できます。
-
チャレンジフレーズを入力します。チャレンジフレーズは証明書のパスワードであり、証明書を更新するときや失効させるときに必要です。
-
チャレンジフレーズを確認します。
-
[Certificate Retrieve Interval] で、Symantec 署名サーバーが証明書を送信したかどうかを Cisco vManage サーバーが確認する頻度を指定します。
-
[Save] をクリックします。
Symantec 署名サーバーが生成して署名した証明書を手動でインストールするには、次の手順を実行します。
-
[Controller Certificate Authorization] から、[Edit] をクリックします。
-
[Symantec Manual] をクリックします。
-
[Confirm Certificate Authorization Change] ダイアログボックスで、[Proceed] をクリックして、Symantec 署名サーバーが生成して署名した証明書を手動でインストールします。
-
[Save] をクリックします。
エンタープライズルート証明書を使用するには、次の手順を実行します。
-
[Controller Certificate Authorization] から、[Edit] をクリックします。
-
[Enterprise Root Certificate] をクリックします。
-
[Confirm Certificate Authorization Change] ダイアログボックスで、[Proceed] をクリックして、エンタープライズルート証明書を使用することを確認します。
-
[Certificate] ボックスで、証明書を貼り付けるか、[Select a file] をクリックしてエンタープライズルート証明書を含むファイルをアップロードします。
-
デフォルトでは、エンタープライズルート証明書には次のプロパティがあります。この情報を表示するには、コントローラデバイスで show certificate signing-request decoded コマンドを発行し、Subject 行の出力を確認します。次に例を示します。
-
国:United States
-
州:California
-
市:San Jose
-
組織単位:ENB
-
組織:CISCO
-
ドメイン名:cisco.com
-
電子メール:cisco-cloudops-sdwan@cisco.com
vSmart# show certificate signing-request decoded ... Subject: C=US, ST=California, L=San Jose, OU=ENB, O=CISCO, CN=vsmart-uuid .cisco.com/emailAddress=cisco-cloudops-sdwan@cisco.com ...
-
[Set CSR Properties] をクリックします。
-
CSR に含めるドメイン名を入力します。このドメイン名は、証明書番号(CN)に付加されます。
-
CSR に含める組織単位(OU)を入力します。
-
CSR に含める組織(O)を入力します。
-
CSR に含める市(L)、州(ST)、および 2 文字の国コード(C)を入力します。
-
証明書リクエスト送信者の電子メールアドレス(emailAddress)を入力します。
-
証明書の有効期間を指定します。1 年、2 年、または 3 年に指定できます。
-
-
[Import & Save] をクリックします。
デバイスでのソフトウェアバージョンの適用
Cisco SD-WAN ホストサービスを使用している場合は、ルータが最初にオーバーレイネットワークに参加するときに、そのバージョンの Cisco SD-WAN ソフトウェアを強制的にルータ上で実行できます。
ソフトウェアバージョンを強制するアップグレード後にテンプレートが同期されるようにするには、アップグレードを実行する前に次のことを確認してください。
-
ルータのブートフラッシュとフラッシュには、アップグレードをサポートするのに十分な空き容量が必要です
-
アップグレード前にデバイス上にある SD-WAN イメージのバージョンは、次の手順で指定する強制 SD-WAN バージョンよりも低いバージョンである必要があります
ルータが最初にオーバーレイネットワークに参加するときに、ルータ上で Cisco SD-WAN ソフトウェアのバージョンを強制的に実行するには、次の手順を実行します。
-
目的のデバイス ソフトウェア バージョンのソフトウェアイメージが Cisco vManage ソフトウェア イメージ リポジトリに存在することを確認します。
-
Cisco vManage のメニューから、 を選択します。
[Software Repository] 画面が開き、ソフトウェアイメージのテーブルが表示されます。目的のソフトウェアイメージがリポジトリに存在する場合は、ステップ 2 に進みます。
-
ソフトウェアイメージを追加する必要がある場合は、[Add New Software] をクリックします。
-
ソフトウェアイメージをダウンロードする場所として、Cisco vManage、[Remote Server] または [Remote Server - vManage] を選択します。
-
x86 ベースまたは MIPS ベースのソフトウェアイメージを選択します。
-
リポジトリにイメージを配置するには、[Add] をクリックします。
-
-
Cisco vManage のメニューから、 を選択します。
-
[Enforce Software Version (ZTP)] で、[Edit] をクリックします。
-
[Enforce Software Version] で、[Enabled] をクリックします。
-
[Version] ドロップダウンリストから、デバイスがネットワークに参加したときにデバイスに適用するソフトウェアのバージョンを選択します。
-
[Save] をクリックします。
バナー
Cisco vBond オーケストレーション、Cisco vManage、Cisco vSmart コントローラ、、および Cisco IOS XE SD-WAN デバイスのバナーテンプレートを使用します。
-
Cisco vManage テンプレートを使用してログイン画面のバナーテキストを設定するには、このトピックの説明に従って、バナー機能テンプレートを作成して PIM パラメータを設定します。
-
Cisco vManage システムのログインバナーを設定するには、Cisco vManage のメニューから、 を選択します。
バナーの設定
-
Cisco vManage メニューから、 を選択します。
-
[Device Templates] をクリックし、[Create Template] をクリックします。
(注)
Cisco vManage リリース 20.7.x 以前のリリースでは、[Device Templates] は [Device] と呼ばれます。
-
[Create Template] ドロップダウンリストから、[From Feature Template] を選択します。
-
[Device Model] ドロップダウンリストから、テンプレートを作成するデバイスのタイプを選択します。
-
[Additional Templates] をクリックするか、[Additional Templates] セクションまでスクロールします。
-
[Banner] ドロップダウンリストから、[Create Template] をクリックします。[Banner] テンプレートフォームが表示されます。このフォームには、テンプレートに名前を付けるためのフィールドと、バナーパラメータを定義するためのフィールドが含まれています。
-
[Template Name] に、テンプレートの名前を入力します。名前の最大長は 128 文字で、英数字のみを使用できます。
-
[Template Description] に、テンプレートの説明を入力します。説明の最大長は 2048 文字で、英数字のみを使用できます。
初めて機能テンプレートを開くと、デフォルト値を持つパラメータごとに、その範囲が [Default] に設定され(チェックマークで示される)、デフォルト設定またはデフォルト値が表示されます。デフォルト値を変更するか、値を入力するには、[Scope] ドロップダウンリストをクリックします。
-
バナーを設定するには、次のパラメータを設定します。
表 1. バナーの設定時に設定するパラメータ: パラメータ名
説明
MOTD Banner
Cisco IOS XE SD-WAN デバイスで、ログインバナーの前に表示する今日のメッセージのテキストを入力します。ストリングの長さは、最大 2048 文字まで可能です。改行を挿入するには、\n と入力します。
ログイン バナー
ログインプロンプトの前に表示するテキストを入力します。ストリングの長さは、最大 2048 文字まで可能です。改行を挿入するには、\n と入力します。
-
機能テンプレートを保存するには、[Save] をクリックします。
CLI の同等の設定:
banner{login login-string | motd motd-string}
カスタムバナーの作成
Cisco vManage にログインした後に表示されるカスタムバナーを作成するには、次の手順を実行します。
-
[Banner] から、[Edit] をクリックします。
-
[Enable Banner] で、[Enabled] をクリックします。
-
[Banner Info] で、ログインバナーのテキスト文字列を入力するか、[Select a File] をクリックして、テキスト文字列を含むファイルをダウンロードします。
-
[Save] をクリックします。
デバイス統計の収集
オーバーレイネットワーク内のデバイス統計情報の収集を有効または無効にします。デフォルトでは、オーバーレイネットワーク内のすべてのデバイスで統計情報の収集が有効になっています。
-
Cisco vManage のメニューで、 を選択します。
-
デバイス統計情報を収集するための設定を変更するには、[Statistics Setting] をクリックし、[Edit] をクリックします。
ヒント
構成された設定を表示するには、[View] をクリックします。
デフォルトでは、統計のすべてのグループ(Aggregated DPI、AppHosting など)について、すべてのデバイスの統計情報の収集が有効になっています。
-
すべてのデバイスの統計グループの収集を有効にするには、特定のグループの [Enable All] をクリックします。
-
すべてのデバイスの統計グループの収集を無効にするには、特定のグループの [Disable All] をクリックします。
-
Cisco vAnalytics でのみ使用するために、すべてのデバイスの統計グループの収集を有効にするには、特定のグループの [vAnalytics only] をクリックします。
-
オーバーレイネットワーク内の特定のデバイスの統計グループの収集を有効または無効にするには、特定のグループの [Custom] をクリックします。
[Select Devices] ダイアログボックスでは、デバイスの統計収集が有効か無効かに応じて、デバイスは [Enabled Devices] または [Disabled Devices] にそれぞれ一覧表示されます。
-
1 つまたは複数のデバイスの統計収集を有効にするには、[Disabled Devices] でデバイスを選択し、[Enabled Devices] に移動します。
ヒント
[Disabled Devices] のすべてを選択するには、[Select All] をクリックします。
-
1 つまたは複数のデバイスの統計収集を無効にするには、[Enabled Devices] でデバイスを選択し、[Disabled Devices] に移動します。
ヒント
[Enabled Devices] のすべてを選択するには、[Select All] をクリックします。
-
選択内容を保存するには、[Done] をクリックします。
選択内容を破棄するには、[Cancel] をクリックします。
-
-
変更した設定を適用するには、[Save] をクリックします。
変更内容を破棄するには、[Cancel] をクリックします。
デフォルト設定に戻すには、[Restore Factory Default] をクリックします。
デバイス統計を収集する時間間隔の設定
-
Cisco vManage のメニューで、 を選択します。
-
デバイス統計が収集される時間間隔を変更するには、[Statistics Configuration] を見つけて [Edit] をクリックします。
ヒント
設定された時間間隔を表示するには、[View] をクリックします。
-
目的の [Collection Interval] を分単位で入力します。
-
デフォルト値:30 分
-
最小値:5 分
-
最大値:180 分
-
-
変更した設定を適用するには、[Save] をクリックします。
変更内容を破棄するには、[Cancel] をクリックします。
デフォルト設定に戻すには、[Restore Factory Default] をクリックします。
vManage サーバー メンテナンス ウィンドウの設定またはキャンセル
vManage サーバーのメンテナンスウィンドウの開始時刻と終了時刻、および期間を設定またはキャンセルできます。
-
Cisco vManage のメニューで、 を選択します。
-
[Maintenance Window] から、[Edit] をクリックします。
メンテナンスウィンドウをキャンセルするには、[Cancel] をクリックします。
-
[Start date and time] ドロップダウンリストをクリックし、[Maintenance Window] を開始する日時を選択します。
-
[End date and time] ドロップダウンリストをクリックし、[Maintenance Window] を終了する日時を選択します。
-
[Save] をクリックします。メンテナンスウィンドウの開始時刻と終了時刻、および期間は、[Maintenance Window] バーに表示されます。
ウィンドウの開始 2 日前に、Cisco vManage ダッシュボードにメンテナンスウィンドウのアラート通知が表示されます。