SD-WANでのSD-AVCの設定

はじめに

このドキュメントでは、ソフトウェア定義ワイドエリアネットワーク(SD-WAN)でソフトウェア定義アプリケーションの可視性と制御(SD-AVC)を設定する方法について説明します。

前提条件

要件

次の項目に関する知識があることが推奨されます。

• SD-WAN
• SD-AVC

Cisco vManageの仮想マシンには、次の最小限のリソースが必要です。

• RAM:32 GB
• ストレージ：500 GB
• vCPU:16

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

• Cisco vManageリリース20.3.x以降
• vManageバージョン20.6.3
• vBondバージョン20.6.3
• vSmartバージョン20.6.3
• サービス統合型ルータ(ISR)4321/K9バージョン17.5.1a

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

背景

SD-AVCとは

Cisco SD-AVCは、Cisco Application Visibility Control(AVC)のコンポーネントです。 AVCは、従来は専用アプライアンスとして使用されていたルーティングデバイスのアプリケーション認識機能とパフォーマンスモニタリング機能を組み込みます。中央集中型のネットワークサービスとして機能し、ネットワーク内の特定のデバイスで動作します。 

詳細については、『SD-AVCの機能と利点』を参照してください。

Cisco Cloud Connectorとは

Cisco Cloud Connectorは、トラフィック分類を改善するシスコが提供するクラウドサービスです。この機能は、公衆インターネットサイトやサービスで使用されるサーバアドレスに関する最新の情報を使用して、トラフィックのSD-AVC分類を改善します。

設定

クラウドコネクタの有効化

1. Cisco API Consoleを開いて、 My Apps & Keysをクリックします。

注：デバイスがホストするSD-AVCネットワークでは、Cisco SD-AVCクラウドサーバドメイン(api.cisco.com、cloudsso.cisco.com、prod.sdavc-cloud-api.com)へのアクセスが必要です。

2. 図に示すよう Register a New App にクリックします。

3. 「 Name of your application 」フィールドに、アプリケーションの記述名を入力します。

4. チェ Client Credentials ックボックスをオンにします。

5. チェ Hello API ックボックスをオンにします。

6. チェックボックスをオンにして、利用規約に同意します。

7. Registerをクリックします。Cisco APIコンソールページに、クライアントIDとクライアントシークレットの詳細が表示されます。このページを開いたままにして、次の図に示す手順を実行します。

vManageでのSD-AVCの有効化

1. Administration > Cluster Management > Service Configurationに移動します。をクリック (...) More Actions し、 Editを選択します。

注：SD-AVCを有効にするために、VPN 0トンネル/トランスポートまたはVPN 512インターフェイスを使用しないでください。 vpn 0のクラスタインターフェイスを使用できます。 

2. vManage IP Addressセクションで、IPアドレスをクリックします。  VPN 0の非トンネルIPアドレスを選択します。クレデンシャルを入力し、 Enabled SD-AVC チェックボックスをオンにして、図に示すようにUpdateクリックします。

3. アップデートを確認したら、OKをクリックして、図に示すようにデバイスをリブートします。

4. vManageがリブートした後、Administration > Cluster Management > Service Reachabilityに移動します。「SD-AVC」と表示され Reachableます。

vManageでのSD-AVC Cloud Connectorの有効化

SD-AVC Cloud Connectorの有効化（20.10より前）

1. vManage GUIセクションで、Administration > Settings > SD-AVC Cloud Connectorに移動し、 Editをクリックします。

2. SD-AVC Cloud Connectorについては、Enabledオプションボタンをクリックします。図に示すように、Enable Cloud Connectorセクションで生成されたこれらのフィールドに値を入力します。

• クライアント ID
• クライアントシークレット
• 組織名
• アフィニティ
• テレメトリ（オプション）

3. Saveをクリックし、次の図に示すように通知を確認します。

SD-AVC Cloud Connectorの有効化（20.13まで）

20.10.1以降のCloud Connectorを有効にするには、クライアントIDとクライアントシークレットの代わりに、クラウドゲートウェイURLとワンタイムパスワード(OTP)が必要です。
シスコがホストする20.10.1以降の新規インストールでは、Cloud Connectorはデフォルトで有効になっており、クレデンシャルの入力は必要ありません。

1. vManage GUIセクションで、Administration > Settings > SD-AVCに移動し、 Editをクリックします。

2. Cloud Connectorについては、Enabledのオプションボタンをクリックします。図に示すように、Enable Cloud Connectorセクションで生成されたこれらのフィールドに値を入力します。

• OTP
  • クラウドホスト：Cisco Catalyst SD-WAN Portalを使用してOTPを取得します。詳細については、『Cisco Catalyst SD-WAN Portal Configuration Guide』を参照してください。

     

  • オンプレミス：OTPに関するCisco TACケースをオープンします。
• クラウドゲートウェイURL
  https://datamanagement-us-01.sdwan.cisco.com/validate_sdavc/を使用

 

3.Saveをクリックし、通知の設定が適用されたことを確認します。

EnableSD-AVC Cloud Connector、20.14以降

20.14.1では、Administration > SettingsのCloud ServicesオプションからCisco SD-AVC Cloud Connectorを有効にするための新しい手順を導入しています。このリリースから、Cloud Connectorを有効にするために、OTPを実行したり、TACケースをオープンしたりする必要はありません。

1. vManage GUIセクションで、 Administration > Settings > Cloud Services.  Confirm Cloud Services are enabled.

2. Cloud Connectorについては、Enabledのオプションボタンをクリックします。

 

 

3.Saveをクリックし、通知の設定が適用されたことを確認します。

ポリシー設定

SD-AVCを有効にしたら、ローカライズされたポリシーを作成し、アプリケーションの可視性を有効にする必要があります。

1. vManage GUIに移動し、 Configuration > Policies > Localized Policy > Add Policyを選択します。

2. Policy Overview,に移動します。Policy Settingsのセクションで、チ Application ェックボックスをオンにして、 Save Policyをクリックします。

3. Configuration > Templatesに移動します。Ciscoエッジルータのテンプレート名を特定し、(...) More Actionsをクリックして、図に示すようにEdit選択します。

4. Additional Templatesに移動します。ドロ Policy ップダウンリストから、先ほど作成したローカライズされたポリシーを選択します。

5. テンプレートを保存します。

確認

このセクションでは、設定が正常に動作していることを確認します。

1. Ciscoエッジデバイスで次のコマンドを入力し、CiscoエッジデバイスとSD-AVCコントローラの間の接続を確認します。

ISR4321#show avc sd-service info summary
Status : CONNECTED <<<<<<<<<<<<<<<< The device is connected with SD-AVC
Device ID: ISR4321
Device segment name: <organization name>
Device address:<device ip address>
Device OS version:17.03.05
Device Type: ISR4321/K9

Active controller:
Type : Primary
IP : <system-ip>
Status: Connected
Version :4.0.0
Last connection: 21:20:28.000 UTC Thu Jul 31 2022

Active SDAVC import files 
Protocol pack: Not loaded
Secondaru protocol pack PPDK_af575ccaebf99b0c4740dfc7a611d6.pack

2. vManage CLIにログインし、コンテナのステータスを確認します。

vManage# request nms container-manager status
Container Manager is running<<<<<<<<<<<<<<<<<<

vManage# request nms-container sdavc status
b'Container: sdavc\nCreated: 7 weeks ago ago\nStatus: Up 7 weeks\n' <<<<<<<<<<<<

vManage# request nms container-manager diagnostics
NMS container manager
Checking container-manager status
Listing all images
------------------------
REPOSITORY                  TAG                 IMAGE ID            CREATED             SIZE
sdwan/cluster-oracle        1.0.1               aa5d2a4523a4        5 months ago        357MB
cloudagent-v2               fb3fc5c0841         fa24f9ef31a7        6 months ago        590MB
sdwan/host-agent            1.0.1               038ad845f080        7 months ago        152MB
sdwan/statistics-db         6.8.10              08fc31a50152        8 months ago        877MB
sdwan/coordination-server   3.6.2               5f4497812153        13 months ago       260MB
sdwan/configuration-db      4.1.7               ad351b31f7b9        13 months ago       736MB
sdwan/messaging-server      0.20.0              a46dc94d4993        13 months ago       71.2MB
sdavc                       4.1.0               721c572475f9        14 months ago       1.17GB
sdwan/support-tools         latest              0c3a995f455c        15 months ago       16.9MB
sdwan/service-proxy         1.17.0              4e3c155026d8        15 months ago       205MB
sdwan/ratelimit             master              f2f93702ef35        16 months ago       47.6MB

Listing all containers
-----------------------

CONTAINER ID        IMAGE                             COMMAND                  CREATED             STATUS              PORTS                                                                                                                                                                                        NAMES
270601fc94ec        cloudagent-v2:fb3fc5c0841         "python ./main.py"       6 weeks ago         Up 6 weeks          0.0.0.0:50051->50051/tcp                                                                                                                                                                     cloudagent-v2
53bba5216b24        sdwan/ratelimit:master            "/usr/local/bin/rate…"   6 weeks ago         Up 6 weeks          6379/tcp, 0.0.0.0:8460-8462->8460-8462/tcp                                                                                                                                                   ratelimit
59bf900edf14        sdwan/service-proxy:1.17.0        "/entrypoint.sh /run…"   6 weeks ago         Up 6 weeks                                                                                                                                                                                                       service-proxy
62defa38c798        sdwan/messaging-server:0.20.0     "/entrypoint.sh /mes…"   6 weeks ago         Up 6 weeks          0.0.0.0:4222->4222/tcp, 0.0.0.0:6222->6222/tcp, 0.0.0.0:8222->8222/tcp                                                                                                                       messaging-server
3fbf32dd8d73        sdwan/coordination-server:3.6.2   "/docker-entrypoint.…"   6 weeks ago         Up 6 weeks          0.0.0.0:2181->2181/tcp, 0.0.0.0:2888->2888/tcp, 0.0.0.0:3888->3888/tcp                                                                                                                       coordination-server
c2e7b672774c        sdwan/configuration-db:4.1.7      "/sbin/tini -g -- /d…"   6 weeks ago         Up 6 weeks          0.0.0.0:5000->5000/tcp, 0.0.0.0:6000->6000/tcp, 0.0.0.0:6362->6362/tcp, 0.0.0.0:6372->6372/tcp, 0.0.0.0:7000->7000/tcp, 0.0.0.0:7473-7474->7473-7474/tcp, 0.0.0.0:7687-7688->7687-7688/tcp   configuration-db
f42ac9b8ab37        sdwan/statistics-db:6.8.10        "/bin/tini -- /usr/l…"   6 weeks ago         Up 17 hours         0.0.0.0:9200->9200/tcp, 0.0.0.0:9300->9300/tcp                                                                                                                                               statistics-db
112f3d9b578b        sdavc:4.1.0                       "/usr/local/bin/scri…"   7 weeks ago         Up 7 weeks          0.0.0.0:10503->8080/tcp, 0.0.0.0:10502->8443/tcp, 0.0.0.0:10001->50000/udp                                                                                                                   sdavc
06b09f3b030c        sdwan/host-agent:1.0.1            "python ./main.py --…"   7 weeks ago         Up 7 weeks          0.0.0.0:9099->9099/tcp                                                                                                                                                                       host-agent
3484957576ee        sdwan/cluster-oracle:1.0.1        "/entrypoint.sh java…"   7 weeks ago         Up 7 weeks          0.0.0.0:9090->9090/tcp                                                                                                                                                                       cluster-oracle
Docker info
-----------------------
Client:
 Debug Mode: false
Server:
 Containers: 10
  Running: 10
  Paused: 0
  Stopped: 0
 Images: 11
 Server Version: 19.03.12
 Storage Driver: aufs
  Root Dir: /var/lib/nms/docker/aufs
  Backing Filesystem: extfs
  Dirs: 149
  Dirperm1 Supported: true
 Logging Driver: json-file
 Cgroup Driver: cgroupfs
 Plugins:
  Volume: local
  Network: bridge host ipvlan macvlan null overlay
  Log: awslogs fluentd gcplogs gelf journald json-file local logentries splunk syslog
 Swarm: inactive
 Runtimes: runc
 Default Runtime: runc
 Init Binary: docker-init
 containerd version: fd103cb716352c7e19768e4fed057f71d68902a0.m
 runc version: 425e105d5a03fabd737a126ad93d62a9eeede87f-dirty
 init version: fec3683-dirty (expected: fec3683b971d9)
 Kernel Version: 4.9.57-ltsi
 Operating System: Linux
 OSType: linux
 Architecture: x86_64
 CPUs: 16
 Total Memory: 30.46GiB
 Name: vManage
 ID: XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXXX
 Docker Root Dir: /var/lib/nms/docker
 Debug Mode: false
 Registry: https://index.docker.io/v1/
 Labels:
 Experimental: false
 Insecure Registries:
  127.0.0.0/8
 Live Restore Enabled: false
WARNING: No cpu cfs quota support
WARNING: No cpu cfs period support
WARNING: bridge-nf-call-iptables is disabled
WARNING: bridge-nf-call-ip6tables is disabled
WARNING: the aufs storage-driver is deprecated, and will be removed in a future release.

20.10では、「request nms all status」の出力に動作の変更があります。
Cisco Catalyst SD-WANコントロールコンポーネントリリース20.10.x以降を使用している場合、シスコがホストするCisco Catalyst SD-WANのインストールでは、SD-AVCコンポーネントは以前のリリースとは動作が異なります。その結果、Cisco Catalyst SD-WANインスタンスでrequest nms all statusコマンドを実行すると、「NMS SDAVC server」コンポーネントが有効になっていないことが示されます。これは正常な動作であり、SD-AVCの問題を示すものではありません。「NMS SDAVC gateway」コンポーネントが有効になっていることが表示されます。

NMS SDAVC server Enabled: false Status: not running NMS SDAVC gateway Enabled: true Status: running PID:23722 for 125s. vManage Device Data Collector Enabled: true vmanage_20_12_1# request nms sdavc-gw status NMS SDAVC gateway Enabled: true Status: running PID:23722 for 130s

トラブルシュート

このセクションでは、設定のトラブルシューティングに役立つ情報を紹介します。

vManageログで、次のパスを確認します。

/var/log/nms/vmanage-server.log
/var/log/nms/containers/sdavc/avc/sdavc_application.log

コマンド

request nms container-manager {status | diagnostics}

Cisco Edge Cisco IOS® XEで次のコマンドを入力します。

Router#show avc sd-service info connectivity 
show avc sd-service info {export | import}

関連情報

Cisco Catalyst SD-WANスタートアップガイド – ハードウェアおよびソフトウェアのインストール