はじめに
このドキュメントでは、ソフトウェア定義ワイドエリアネットワーク(SD-WAN)でソフトウェア定義アプリケーションの可視性と制御(SD-AVC)を設定する方法について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
Cisco vManageの仮想マシンには、次の最小限のリソースが必要です。
- RAM:32 GB
- ストレージ:500 GB
- vCPU:16
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- Cisco vManageリリース20.3.x以降
- vManageバージョン20.6.3
- vBondバージョン20.6.3
- vSmartバージョン20.6.3
- サービス統合型ルータ(ISR)4321/K9バージョン17.5.1a
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景
SD-AVCとは
Cisco SD-AVCは、Cisco Application Visibility Control(AVC)のコンポーネントです。 AVCは、従来は専用アプライアンスとして使用されていたルーティングデバイスのアプリケーション認識機能とパフォーマンスモニタリング機能を組み込みます。中央集中型のネットワークサービスとして機能し、ネットワーク内の特定のデバイスで動作します。
詳細については、『SD-AVCの機能と利点』を参照してください。
Cisco Cloud Connectorとは
Cisco Cloud Connectorは、トラフィック分類を改善するシスコが提供するクラウドサービスです。この機能は、公衆インターネットサイトやサービスで使用されるサーバアドレスに関する最新の情報を使用して、トラフィックのSD-AVC分類を改善します。
設定
クラウドコネクタの有効化
1. Cisco API Consoleを開いて、 My Apps & Keysをクリックします。
注:デバイスがホストするSD-AVCネットワークでは、Cisco SD-AVCクラウドサーバドメイン(api.cisco.com、cloudsso.cisco.com、prod.sdavc-cloud-api.com)へのアクセスが必要です。
2. 図に示すよう Register a New App にクリックします。
3. 「 Name of your application 」フィールドに、アプリケーションの記述名を入力します。
4. チェ Client Credentials ックボックスをオンにします。
5. チェ Hello API ックボックスをオンにします。
6. チェックボックスをオンにして、利用規約に同意します。
7. Registerをクリックします。Cisco APIコンソールページに、クライアントIDとクライアントシークレットの詳細が表示されます。このページを開いたままにして、次の図に示す手順を実行します。
vManageでのSD-AVCの有効化
1. Administration > Cluster Management > Service Configurationに移動します。をクリック (...) More Actions し、 Editを選択します。
注:SD-AVCを有効にするために、VPN 0トンネル/トランスポートまたはVPN 512インターフェイスを使用しないでください。 vpn 0のクラスタインターフェイスを使用できます。
2. vManage IP Addressセクションで、IPアドレスをクリックします。 VPN 0の非トンネルIPアドレスを選択します。クレデンシャルを入力し、 Enabled SD-AVC チェックボックスをオンにして、図に示すようにUpdateクリックします。
3. アップデートを確認したら、OKをクリックして、図に示すようにデバイスをリブートします。
4. vManageがリブートした後、Administration > Cluster Management > Service Reachabilityに移動します。「SD-AVC」と表示され Reachableます。
vManageでのSD-AVC Cloud Connectorの有効化
SD-AVC Cloud Connectorの有効化(20.10より前)
1. vManage GUIセクションで、Administration > Settings > SD-AVC Cloud Connectorに移動し、 Editをクリックします。
2. SD-AVC Cloud Connectorについては、Enabledオプションボタンをクリックします。図に示すように、Enable Cloud Connectorセクションで生成されたこれらのフィールドに値を入力します。
- クライアント ID
- クライアントシークレット
- 組織名
- アフィニティ
- テレメトリ(オプション)
3. Saveをクリックし、次の図に示すように通知を確認します。
SD-AVC Cloud Connectorの有効化(20.13まで)
20.10.1以降のCloud Connectorを有効にするには、クライアントIDとクライアントシークレットの代わりに、クラウドゲートウェイURLとワンタイムパスワード(OTP)が必要です。
シスコがホストする20.10.1以降の新規インストールでは、Cloud Connectorはデフォルトで有効になっており、クレデンシャルの入力は必要ありません。
1. vManage GUIセクションで、Administration > Settings > SD-AVCに移動し、 Editをクリックします。
2. Cloud Connectorについては、Enabledのオプションボタンをクリックします。図に示すように、Enable Cloud Connectorセクションで生成されたこれらのフィールドに値を入力します。
3.Saveをクリックし、通知の設定が適用されたことを確認します。
EnableSD-AVC Cloud Connector、20.14以降
20.14.1では、Administration > SettingsのCloud ServicesオプションからCisco SD-AVC Cloud Connectorを有効にするための新しい手順を導入しています。このリリースから、Cloud Connectorを有効にするために、OTPを実行したり、TACケースをオープンしたりする必要はありません。
1. vManage GUIセクションで、 Administration > Settings > Cloud Services. Confirm Cloud Services are enabled.
2. Cloud Connectorについては、Enabledのオプションボタンをクリックします。
3.Saveをクリックし、通知の設定が適用されたことを確認します。
ポリシー設定
SD-AVCを有効にしたら、ローカライズされたポリシーを作成し、アプリケーションの可視性を有効にする必要があります。
1. vManage GUIに移動し、 Configuration > Policies > Localized Policy > Add Policyを選択します。
2. Policy Overview,に移動します。Policy Settingsのセクションで、チ Application ェックボックスをオンにして、 Save Policyをクリックします。
3. Configuration > Templatesに移動します。Ciscoエッジルータのテンプレート名を特定し、(...) More Actionsをクリックして、図に示すようにEdit選択します。
4. Additional Templatesに移動します。ドロ Policy ップダウンリストから、先ほど作成したローカライズされたポリシーを選択します。
5. テンプレートを保存します。
確認
このセクションでは、設定が正常に動作していることを確認します。
1. Ciscoエッジデバイスで次のコマンドを入力し、CiscoエッジデバイスとSD-AVCコントローラの間の接続を確認します。
ISR4321#show avc sd-service info summary
Status : CONNECTED <<<<<<<<<<<<<<<< The device is connected with SD-AVC
Device ID: ISR4321
Device segment name: <organization name>
Device address:<device ip address>
Device OS version:17.03.05
Device Type: ISR4321/K9
Active controller:
Type : Primary
IP : <system-ip>
Status: Connected
Version :4.0.0
Last connection: 21:20:28.000 UTC Thu Jul 31 2022
Active SDAVC import files
Protocol pack: Not loaded
Secondaru protocol pack PPDK_af575ccaebf99b0c4740dfc7a611d6.pack
2. vManage CLIにログインし、コンテナのステータスを確認します。
vManage# request nms container-manager status
Container Manager is running<<<<<<<<<<<<<<<<<<
vManage# request nms-container sdavc status
b'Container: sdavc\nCreated: 7 weeks ago ago\nStatus: Up 7 weeks\n' <<<<<<<<<<<<
vManage# request nms container-manager diagnostics
NMS container manager
Checking container-manager status
Listing all images
------------------------
REPOSITORY TAG IMAGE ID CREATED SIZE
sdwan/cluster-oracle 1.0.1 aa5d2a4523a4 5 months ago 357MB
cloudagent-v2 fb3fc5c0841 fa24f9ef31a7 6 months ago 590MB
sdwan/host-agent 1.0.1 038ad845f080 7 months ago 152MB
sdwan/statistics-db 6.8.10 08fc31a50152 8 months ago 877MB
sdwan/coordination-server 3.6.2 5f4497812153 13 months ago 260MB
sdwan/configuration-db 4.1.7 ad351b31f7b9 13 months ago 736MB
sdwan/messaging-server 0.20.0 a46dc94d4993 13 months ago 71.2MB
sdavc 4.1.0 721c572475f9 14 months ago 1.17GB
sdwan/support-tools latest 0c3a995f455c 15 months ago 16.9MB
sdwan/service-proxy 1.17.0 4e3c155026d8 15 months ago 205MB
sdwan/ratelimit master f2f93702ef35 16 months ago 47.6MB
Listing all containers
-----------------------
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
270601fc94ec cloudagent-v2:fb3fc5c0841 "python ./main.py" 6 weeks ago Up 6 weeks 0.0.0.0:50051->50051/tcp cloudagent-v2
53bba5216b24 sdwan/ratelimit:master "/usr/local/bin/rate…" 6 weeks ago Up 6 weeks 6379/tcp, 0.0.0.0:8460-8462->8460-8462/tcp ratelimit
59bf900edf14 sdwan/service-proxy:1.17.0 "/entrypoint.sh /run…" 6 weeks ago Up 6 weeks service-proxy
62defa38c798 sdwan/messaging-server:0.20.0 "/entrypoint.sh /mes…" 6 weeks ago Up 6 weeks 0.0.0.0:4222->4222/tcp, 0.0.0.0:6222->6222/tcp, 0.0.0.0:8222->8222/tcp messaging-server
3fbf32dd8d73 sdwan/coordination-server:3.6.2 "/docker-entrypoint.…" 6 weeks ago Up 6 weeks 0.0.0.0:2181->2181/tcp, 0.0.0.0:2888->2888/tcp, 0.0.0.0:3888->3888/tcp coordination-server
c2e7b672774c sdwan/configuration-db:4.1.7 "/sbin/tini -g -- /d…" 6 weeks ago Up 6 weeks 0.0.0.0:5000->5000/tcp, 0.0.0.0:6000->6000/tcp, 0.0.0.0:6362->6362/tcp, 0.0.0.0:6372->6372/tcp, 0.0.0.0:7000->7000/tcp, 0.0.0.0:7473-7474->7473-7474/tcp, 0.0.0.0:7687-7688->7687-7688/tcp configuration-db
f42ac9b8ab37 sdwan/statistics-db:6.8.10 "/bin/tini -- /usr/l…" 6 weeks ago Up 17 hours 0.0.0.0:9200->9200/tcp, 0.0.0.0:9300->9300/tcp statistics-db
112f3d9b578b sdavc:4.1.0 "/usr/local/bin/scri…" 7 weeks ago Up 7 weeks 0.0.0.0:10503->8080/tcp, 0.0.0.0:10502->8443/tcp, 0.0.0.0:10001->50000/udp sdavc
06b09f3b030c sdwan/host-agent:1.0.1 "python ./main.py --…" 7 weeks ago Up 7 weeks 0.0.0.0:9099->9099/tcp host-agent
3484957576ee sdwan/cluster-oracle:1.0.1 "/entrypoint.sh java…" 7 weeks ago Up 7 weeks 0.0.0.0:9090->9090/tcp cluster-oracle
Docker info
-----------------------
Client:
Debug Mode: false
Server:
Containers: 10
Running: 10
Paused: 0
Stopped: 0
Images: 11
Server Version: 19.03.12
Storage Driver: aufs
Root Dir: /var/lib/nms/docker/aufs
Backing Filesystem: extfs
Dirs: 149
Dirperm1 Supported: true
Logging Driver: json-file
Cgroup Driver: cgroupfs
Plugins:
Volume: local
Network: bridge host ipvlan macvlan null overlay
Log: awslogs fluentd gcplogs gelf journald json-file local logentries splunk syslog
Swarm: inactive
Runtimes: runc
Default Runtime: runc
Init Binary: docker-init
containerd version: fd103cb716352c7e19768e4fed057f71d68902a0.m
runc version: 425e105d5a03fabd737a126ad93d62a9eeede87f-dirty
init version: fec3683-dirty (expected: fec3683b971d9)
Kernel Version: 4.9.57-ltsi
Operating System: Linux
OSType: linux
Architecture: x86_64
CPUs: 16
Total Memory: 30.46GiB
Name: vManage
ID: XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXXX
Docker Root Dir: /var/lib/nms/docker
Debug Mode: false
Registry: https://index.docker.io/v1/
Labels:
Experimental: false
Insecure Registries:
127.0.0.0/8
Live Restore Enabled: false
WARNING: No cpu cfs quota support
WARNING: No cpu cfs period support
WARNING: bridge-nf-call-iptables is disabled
WARNING: bridge-nf-call-ip6tables is disabled
WARNING: the aufs storage-driver is deprecated, and will be removed in a future release.
20.10では、「request nms all status」の出力に動作の変更があります。
Cisco Catalyst SD-WANコントロールコンポーネントリリース20.10.x以降を使用している場合、シスコがホストするCisco Catalyst SD-WANのインストールでは、SD-AVCコンポーネントは以前のリリースとは動作が異なります。その結果、Cisco Catalyst SD-WANインスタンスでrequest nms all statusコマンドを実行すると、「NMS SDAVC server」コンポーネントが有効になっていないことが示されます。これは正常な動作であり、SD-AVCの問題を示すものではありません。「NMS SDAVC gateway」コンポーネントが有効になっていることが表示されます。
NMS SDAVC server Enabled: false Status: not running NMS SDAVC gateway Enabled: true Status: running PID:23722 for 125s. vManage Device Data Collector Enabled: true vmanage_20_12_1# request nms sdavc-gw status NMS SDAVC gateway Enabled: true Status: running PID:23722 for 130s
トラブルシュート
このセクションでは、設定のトラブルシューティングに役立つ情報を紹介します。
vManageログで、次のパスを確認します。
/var/log/nms/vmanage-server.log
/var/log/nms/containers/sdavc/avc/sdavc_application.log
コマンド
request nms container-manager {status | diagnostics}
Cisco Edge Cisco IOS® XEで次のコマンドを入力します。
Router#show avc sd-service info connectivity
show avc sd-service info {export | import}
関連情報
Cisco Catalyst SD-WANスタートアップガイド – ハードウェアおよびソフトウェアのインストール