クイックスタートガイド – Catalyst SD-WANの簡素化された設定とポリシー
内容
はじめに
このドキュメントは、Catalyst SD-WANの設定とポリシーを簡素化するためのクイックスタートガイドです。
要約
Cisco Catalyst SD-WANソフトウェアリリース20.12/17.12を使用する場合、デバイスと機能のテンプレートに基づく従来の設定から、設定グループとポリシーグループに基づく新しい設定方法への移行を開始することをお勧めします。このドキュメントでは、新しい設定方法に関する重要な詳細について説明します。
このドキュメントの主な目的は、20.12ゴールデンリリースで、設定、ポリシー、オンボーディングの新しい構成の使用を開始するためのガイドとして機能することです。 このドキュメントでは、個々の機能については説明していません。
新規導入
新しい設定方法を正しく使用するには、次の手順を実行する必要があります。
- ネットワーク:ネットワーク階層とシステム構成の定義
- 構成:ワークフローを使用した構成グループを含む構成の作成
- アプリケーション:アプリケーションカタログを使用して、必要に応じてカスタムアプリケーションを定義します
- ポリシー:ポリシーグループを使用したポリシーの作成
- トポロジ:トポロジの定義
- オンボード:オンボードデバイスとタグデバイス
- 展開:構成グループとポリシーグループを関連付けて展開します。トポロジをアクティブにします。
新規導入のフローチャート
既存の導入
ユーザエクスペリエンスの強化と運用の簡素化
Cisco Catalyst SD-WANは、ユーザエクスペリエンスの向上と運用の簡素化を実現します。
- Common UI:新しいUXフレームワークがCatalyst SD-WAN Managerおよび他のシスコ製品に導入されました。これは、ユーザエクスペリエンスの一貫性に関するもので、製品間で共通のルックアンドフィールを提供します。
- 設定:直感的なインテントベースのワークフローとシスコ推奨のスマートデフォルトの使用により、設定とポリシーの作成および導入が簡素化されます。
- モニタリング:新しいウィジェットとカスタマイズ可能で強化されたダッシュボードにより、ネットワークとアプリケーションのパフォーマンスおよび健全性に関する豊富な情報を提供します。
- トラブルシューティング:動的なサイトおよびネットワークトポロジビュー、コンテキストベースのトラブルシューティングツールへのアクセス、ネットワークおよびアプリケーションパフォーマンスに関するレポートを定期的に提供します。
利点
| 使いやすさ |
直感的なガイド付きワークフロー |
| 構成の無秩序な増加 |
無秩序な広がりを軽減(モデルに依存しない、再利用、構造) |
| 構成の作成 |
スマートなデフォルト設定で迅速かつ簡単に |
| 設定の変更 |
今すぐ変更、後で選択的に展開 |
| 可視性 |
新しいダッシュボード、アプリケーション/サイトのパフォーマンスモニタリング |
| トラブルシューティングガイダンス |
サイトトポロジ、トラブルシューティングツールのガイダンス |
ネットワーク階層とシステム構成の定義
ネットワーク階層
ネットワークの「階層」、つまりサイト、リージョン、エリアの概念を提供します。次のことができます ネットワークに基づいてこれを作成します。
例:
ネットワーク階層マネージャ(NHM)
これにより、わかりやすいサイト名を定義して、運用を簡素化できます。
システム構成
これらのプールは、デバイス設定の導入時にシステムIPおよびサイトIDの割り当てを自動化します。
System-IP自動割り当てのIPプールを定義できます。 サイトIDはGlobal_Siteプールから割り当てられます。
プールパラメータの追加
プールの表示と管理
[Workflows]
ワークフローは、特定のタスクを簡単に実行するのに役立つガイド付きステップの集合です。
- ワークフローの目標は、初心者ユーザが簡単に設定を作成してデバイスに導入できるようにすることです。
- ほとんどの設定ノブ/設定は、シスコが推奨するスマートデフォルトに設定されています。
- ユーザが指定する必要があるのは、いくつかの設定だけです。
- 高度な構成ノブは、ワークフローの外部で使用できます。ワークフローでは、構成グループを手動で編集できます。
ワークフローライブラリには、使用可能なすべてのワークフローが一覧表示されます。
ワークフローライブラリ
構成グループ
構成グループは、シンプルさ、再利用性、および構造の原則に基づく、ファブリック構成への新しいアプローチです。
構成グループの構造
構成グループ
- WAN内で共通の目的を共有するデバイスの論理グループ。
- ユーザは、ビジネスニーズに基づいてこのグループを定義し、カスタマイズできます。
たとえば、East/West、Americas/APJC/EMEAR、Retail Store/Distribution Center
機能プロファイル
- 構成グループ間で共有できる柔軟な構成「バケット」。
- 必要なフィーチャに基づいてフィーチャプロファイルを作成する
- プロファイルを組み合わせて、構成要素のようなデバイス構成を完成させる
- 構築、保存、再利用
例:基本プロファイル、WANプロファイル、LANプロファイル
設定グループの導入例
注:
- 設定グループはデバイスモデルに依存しない
- 機能プロファイルを複数の設定グループで共有可能
使用例1:政府顧客
使用例1:設定グループ
設定グループハブ
構成グループの作成ワークフローを実行します。
構成グループの作成ワークフローオプション
WANプロファイル
使用例1:WANプロファイル1
ワークフローを使用して、この使用例の完全なWANプロファイル設定を生成できます。
実際のスタティックIP、スタティックデフォルトルートのIP/サブネット/ネクストホップなどのエンティティは、グローバルまたはデバイス固有として指定できます。
デバイス固有のオプションは、デバイスへの設定グループの導入時に実際の値で指定できます。
LAN プロファイル
使用例1:LANプロファイル1
ワークフローを使用して、この使用例のLANプロファイル設定のほとんどを生成できます。
- 2つのVPN
- 各VPNのBGPルーティング(AS番号、ネットワークプレフィックス、ネイバー)
実際のDot1Qサブインターフェイスなどのエンティティや、デバイス固有としてマークされたその他のエンティティは、デバイスへの設定グループの導入時に実際の値で指定できます。
| 注: ルート再配布やデフォルトルートアドバタイズメントなどの高度な設定は、展開の際にサブインターフェイスを使用する場合は、設定グループもサブインターフェイスとして手動で編集し、ワークフローの後で設定する必要があります。 |
System Profile
使用例1:System Profile 1
ワークフローを使用して、この使用例のシステムプロファイル設定の大部分(OMP、AAA、NTP、ロギングなど)を生成できます。
| 注: OMP-BGP再配布などの高度な設定、およびOMP、AAA、NTPなどのシステム機能に対するその他の変更は、ワークフローの後で、設定グループを手動で編集して設定する必要があります。 |
構成グループSiteType1
Create Configuration Groupワークフローを実行します。
WANプロファイル
使用例1:WANプロファイル2
ワークフローを使用して、この使用例のWANプロファイル設定のほとんどを生成できます。インターネットおよびStarlink用のイーサネットインターフェイスDHCP を完了せずに ARP メッセージを転送した場合。
| 注: スタティックルートを含むLTEリンクのセルラーインターフェイスは、ワークフロー後に手動で設定グループを編集して設定する必要があります。 |
LAN プロファイル
使用例1:LANプロファイル2
ワークフローを使用して、この使用例のLANプロファイル設定の一部を生成できます。2 VPN、DIAスタティックルート。
実際のDot1Qサブインターフェイスなどのエンティティや、デバイス固有としてマークされたその他のエンティティは、デバイスへの設定グループの導入時に実際の値で指定できます。
| 注: SVI、ワイヤレスSSID、アクセススイッチポートなどは、手動で設定グループを編集して、ワークフロー後に設定する必要があります。 |
System Profile
使用例1:System Profile 2
ワークフローを使用して、この使用例のシステムプロファイル設定の大部分(OMP、AAA、NTP、ロギングなど)を生成できます。
| 注: アプリケーションパフォーマンスモニタリングなどの高度な設定は、設定グループを手動で編集して、ワークフローの後に設定する必要があります。 |
CLIプロファイル
使用例1:CLIプロファイル2
App/Flow Visibility(NBAR)の有効化など、GUIを介してサポートされない機能は、CLIプロファイルを使用して設定できます。
アプリケーション/フローの可視性
app-visibilityおよびflow-visibilityを有効にするには、CLI profile/parcelを使用します。
(20.13以降では、ポリシーグループの詳細設定で使用できます)
ただし、20.12では、AARポリシーが設定されると、アプリケーション/フローの可視性が有効になります。CLIプロファイル/パーセルを使用してこれを設定する必要はありません。
構成グループSiteType2
Create Configuration Groupワークフローを実行します。
WANプロファイル
使用例1:WANプロファイル3
ワークフローを使用して、この使用例のWANプロファイル設定のほとんどを生成できます。インターネット用イーサネットインターフェイスDHCP を完了せずに ARP メッセージを転送した場合。
| 注: スタティックルートを含むLTEリンクのセルラーインターフェイスは、ワークフロー後に手動で設定グループを編集して設定する必要があります。 |
LAN プロファイル
使用例1:LANプロファイル3
ワークフローを使用して、この使用例のLANプロファイル設定の一部を生成できます。1 VPN、DIAスタティックルート。
実際のDot1Qサブインターフェイスなどのエンティティや、デバイス固有としてマークされたその他のエンティティは、デバイスへの設定グループの導入時に実際の値で指定できます。
| 注: SVI、アクセススイッチポートなど、設定グループを手動で編集して、ワークフロー後に設定する必要があります。 |
System Profile
設定グループSiteType1と同じ
CLIプロファイル
設定グループSiteType1と同じ
構成グループSiteType3
Create Configuration Groupワークフローを実行します。
WANプロファイル
設定グループSiteType2と同じ
LAN プロファイル
使用例1:LANプロファイル4
ワークフローを使用して、この使用例のLANプロファイル設定の一部を生成できます。1 VPN、DIAスタティックルート。
実際のDot1Qサブインターフェイスなどのエンティティや、デバイス固有としてマークされたその他のエンティティは、デバイスへの設定グループの導入時に実際の値で指定できます。
| 注: SVI、ワイヤレスSSID、アクセススイッチポートなど、設定グループを手動で編集して、ワークフロー後に設定する必要があります。 |
System Profile
設定グループSiteType1と同じ
CLIプロファイル
設定グループSiteType1と同じ
使用例2:小売業のお客様
使用例2 – 構成グループ
構成グループHQおよび倉庫
Create Configuration Groupワークフローを実行します。
WANプロファイル
ワークフローを使用して、この使用例のWANプロファイル設定をすべて生成できます。
LAN プロファイル
ワークフローを使用して、この使用例のすべてのLANプロファイル設定を生成できます。
実際のDot1Qサブインターフェイスなどのエンティティや、デバイス固有としてマークされたその他のエンティティは、デバイスへの設定グループの導入時に実際の値で指定できます。
System Profile
ワークフローを使用して、このユースケースのすべてのシステムプロファイル構成を生成できます。
| 注: 何らかの変更が必要な場合、またはアプリケーションパフォーマンスモニタリングなどの高度な設定が必要な場合は、設定グループを手動で編集して、ワークフロー後に変更を設定する必要があります。 |
構成グループストア
Create Configuration Groupワークフローを実行します。
WANプロファイル
ワークフローを使用して、この使用例のWANプロファイル設定のほとんどを生成できます。
| 注: 設定グループを手動で編集して、LTEリンクのセルラーインターフェイス(ルーティングを含む)をワークフロー後に設定する必要があります。 |
LAN プロファイル
ワークフローを使用して、この使用例のすべてのLANプロファイル設定を生成できます。
実際のDot1Qサブインターフェイスなどのエンティティや、デバイス固有としてマークされたその他のエンティティは、デバイスへの設定グループの導入時に実際の値で指定できます。
System Profile
構成グループHQおよびWarehouseと同じ。
関連付け
Configuration Group編集ページ(Configuration -> Configuration Groups)で、デバイスを設定グループに関連付けることができます。
Associate Devicesをクリックして、ワークフローの手順を実行します。
デバイスの関連付け:設定グループ
展開
構成グループの展開ワークフローを実行します。
構成グループの展開ワークフロー
| 注:
|
再利用
- 設定グループはデバイスモデルに依存しません。
設定グループ – デバイスモデルに依存しない
| 注: デバイスモデルで特定の構成がサポートされていない場合、対応する機能パーセルのプッシュは実行されず、展開タスクの一部として適切なメッセージが表示されます。 例:デバイスはWi-Fiをサポートしていないが、設定グループにWi-Fiパーセルが含まれている。展開時に、Wi-Fi区画設定がスキップされ、展開タスクメッセージにWi-Fi設定のプッシュがスキップされたことが通知されます。 |
- 設定変数の使用:デバイス固有の値
設定グループ:デバイス固有の変数
機能プロファイルは、テンプレート変数と同様に、デバイス固有として定義された設定を持つことができます。
例:インターフェイスIPアドレス、ポート番号、インターフェイス名など。
これらのデバイス固有の値は、導入時に指定できます。また、デバイスごとに異なる場合があります。
設定グループ:デバイス固有の変数の例1
設定グループ:デバイス固有の変数の例2
設定グループ:デバイス固有の変数の例3
- フィーチャプロファイルを再利用する
機能プロファイルは、複数の設定グループにわたって再利用できます。
図:
たとえば、WANとシステムの設定が同じで、LANの設定のみが異なる場合、一部のデバイスでは、WANとシステムのプロファイルを設定グループ間で再利用しながら、それぞれに異なるLANプロファイルを設定できます。
フィーチャプロファイルの再利用 – 1
LANプロファイル1
フィーチャプロファイルの再利用 – 2
LANプロファイル2
フィーチャプロファイルの再利用 – 3
LANプロファイル3
アプリケーションカタログ
従来のデバイスは、送信元と宛先のIPアドレス、送信元/宛先ポート、およびプロトコルの条件付き照合によってトラフィックフローを操作できました。 DNSに依存するアプリケーションやHTTPに組み込まれるアプリケーションが増えるにつれて、ネットワークトラフィックをアプリケーションレベルで正確に特定することが困難になります。
シスコのNetwork Based Application Recognition(NBAR)エンジンは、1,500を超えるアプリケーションを分類する機能を備えており、ネットワークエンジニアは、より詳細にトラフィックフローを分類および操作できます。 Cisco Catalyst SD-WAN Managerには、アプリケーションのシグネチャを迅速に更新できるシスコアプリケーションリポジトリに接続する機能があります。これは、クラウドプロバイダーがホスティングの場所やトラフィックパターンを変更する場合に重要です。
アプリケーションカタログを使用すると、サーバ名、IPアドレス、ポート、またはプロトコルの照合に基づいて、カスタムアプリケーションを作成できます。 その後、アプリケーションは特定のアプリケーションファミリ、アプリケーショングループ、トラフィッククラス、およびビジネス関連性に定義されます。
アプリケーションカタログ
アプリケーションは、適切なビジネス関連性やトラフィック分類にドラッグアンドドロップできます。 変更を保存すると、データベース内の定義が更新されます。
| 注:アプリケーション分類はグローバルであり、アプリケーションカタログの変更はすべてのデバイス分類に影響します。 |
ポリシーグループ
設定グループと同様に、ポリシーグループは、ポリシーグループに関連付けられたデバイスに展開されるポリシーのグループです。
ポリシーグループは、意図に基づいてポリシーの作成と導入に取り組みます。シンプルなUIとワークフローにより、ポリシーの作成、ポリシーのグループ化、デバイスへの展開が簡単に行えます。
| 前提条件: 設定グループのデバイスへの関連付けと導入は、そのデバイスにポリシーグループを導入するための前提条件です。 |
ポリシーグループ
アプリケーションの優先度とSLA
このポリシーの目的では、次の項目を指定できます。
- アプリケーション認識型ルーティングおよびSLAポリシー
- QoSポリシー
- トラフィックデータポリシー
- DIAポリシー
- SIGポリシー
2つのモードが提供されます。
簡易モード
これはデフォルト モードです。
簡易モード
これにより、ネットワークのアプリケーションプライオリティとSLAをすばやく簡単に定義できます。
| 注: 1. デフォルトのポリシーアクションはDROP 2. 一致基準は、アプリケーションのみで指定できます。プレフィクスが必要な場合は、詳細モードを使用します |
詳細モード
これは完全で柔軟なモードです。
詳細モード
| 注: 1. デフォルトのポリシーアクションはDROP 2. アプリケーションリストとトラフィッククラスは、基本的にアプリケーションのリストです。 アプリケーションのリストを照合するには、そのいずれかを使用できます。トラフィッククラスへのアプリケーションのマッピングは、アプリケーションカタログで実行できます。 簡易モードでは、これらのいずれかまたは両方を使用してルールが生成されますが、詳細モードではアプリケーション・リストのみが提供されます。 |
Quality of Service
QoS Queue オプションで、QoSポリシーを追加できます。
QoSポリシーの追加
キューイングモデル
次に、トラフィックデータポリシーを定義します(トラフィックポリシーの追加)。
目的のトラフィックに一致するルールを追加し、適切な転送クラスにリダイレクトします。
QoSポリシー2
アプリケーション認識型ルーティング
SLAクラスを定義してトラフィックポリシーで使用することで、AARポリシーの目的を実現できます。
AARポリシー
アプリケーション/フローの可視性
app-visibilityおよびflow-visibilityを有効にするには、設定グループでCLIプロファイル/パーセルを使用します。
(20.13以降では、ポリシーグループの詳細設定で使用できます)
ただし、20.12では、AARポリシーが設定されると、アプリケーション/フローの可視性が有効になります。CLIプロファイル/パーセルを使用してこれを設定する必要はありません。
トラフィックポリシー
トラフィックポリシーを使用して、DIAポリシー、SIGリダイレクションなどを作成することもできます。必要に応じて規則を追加します。
トラフィックポリシー
| 注: アプリケーションプライオリティおよびSLAポリシーが簡易モードで作成され、拡張モードに切り替えられた場合、一部の照合オプションは選択できません。例:宛先データのプレフィックスがグレー表示される。 |
組み込みセキュリティ
オンボックスのNGFW、IPS、マルウェア、およびコンテンツフィルタリングのセキュリティポリシーを定義
セキュアインターネットゲートウェイ/セキュアサービスエッジ
Cisco Secure Accessなどのクラウドベースのコンテンツおよびセキュリティエンティティへのトンネルを確立するために必要な設定を定義します。
| 注: 従来の設定方法では、これは機能テンプレートとして使用できました。 |
DNSセキュリティ
コンテンツフィルタリングにクラウドベースのDNSセキュリティサービスを使用するための設定を定義します。
関連するグループ
ポリシーで使用するオブジェクトリストを定義します。例:アプリケーションリスト、VPNリスト、サイトリスト、プレフィックスリストなど
さらに、セキュリティポリシーについては、高度な検査プロファイル、SSL復号化ポリシーなどのプロファイルを定義します。
ポリシーグループ:対象のグループ
関連付けと展開
設定グループと同様に、デバイスをポリシーグループに関連付けて展開します。
ローカライズされたポリシー
ACL、ルートポリシー、デバイスアクセスポリシーなどのローカライズされたポリシーは、設定グループで定義されます。
トポロジ
ネットワークトポロジを定義します。
フルメッシュまたはハブアンドスポークから開始し、必要に応じてカスタマイズします。
トポロジメニュー
トポロジとVPN
トポロジを作成し、VPNを指定する際は、これらの設計変更に留意してください。
新しい設計では、VPN名をVPN IDに1対1でマッピングするのではなく、動的にマッピングできます。
複数のVPN IDへのVPN名のマッピング
図:
2つの異なる設定グループに、Corporateという名前のVPNがあるとします。
一方にはVPN ID 10があり、もう一方にはVPN ID 20があります。
トポロジワークフローVPNリストには、社内 VPNの1つのインスタンスだけが表示されます。
Corporate VPNを選択すると、SD-WAN Managerはトポロジに基づいてVPN IDを判別します。
2つのサイトに2台のデバイスがあるとします。
1. サイト100のDevice1(VPN 10としてCorporateを使用)
2. サイト200のDevice2(VPN 20としてCorporateを使用)
サイト100とサイト200の両方がトポロジの一部である場合、SD-WAN Managerは両方のVPN ID(10と20)を持つVPNリストを作成します。
サイト100のみがトポロジの一部である場合、SD-WAN ManagerはVPN ID 10のみを含むVPNリストを作成します。
サイト200のみがトポロジの一部である場合、SD-WAN ManagerはVPN ID 20のみを含むVPNリストを作成します。
同じVPN IDにマッピングする複数のVPN名
同じVPN名を持つ複数のトポロジポリシーを、異なるサイトの異なるVPN IDにマッピングするように設定できます。
SD-WAN Managerは、どのトポロジがどのサイトに関連付けられているかに基づいて、実際のマッピングを決定します。
図:
2人のユーザが2つの異なる設定グループを作成できます。
一方はVPN ID 100をFinance VPNとして指定し、もう一方はEngineering VPNとして指定します。
その後、それぞれのVPN名を使用してトポロジを作成できます。
オンボーディング
物理ルータのオンボーディングには、Quick Connect Workflowを使用します。
このワークフローを使用して、オンボーディングするデバイスのホスト名、システムIP、およびサイト名/IDを事前に定義します。これらは自動的に生成されますが、必要に応じて変更できます。また、デバイスにタグを付けることもできます。このタグを使用して、デバイスを設定グループに自動的に関連付けることができます。
PnP ZTPオンボーディングプロセス中、デバイスはSD-WAN Managerへのコントロールプレーントンネル接続を確立します。SD-WAN Managerは、定義済みのファブリック構成をデバイスにプッシュし、デバイスはSD-WANファブリックに参加します。
クイック接続ワークフロー
クイック接続ワークフローの説明
タグ付け
デバイスは、ユーザ定義のタグに関連付けることができます。
タグは、デバイスのグループ化、説明、検索、または管理に使用できます。
タグを使用すると、デバイスをグループ化して、他の機能で使用できます。
タグ付けの例
例:デバイスへの設定グループの関連付け
設定グループのルールを設定すると、特定のタグを持つデバイスを、その設定グループに自動的に関連付けることができます。
タグの追加
Configuration->Devicesでは、デバイスに対してタグの作成、追加、削除ができます。
設定グループのタグルール
Configuration Group -> Associated Devicesページで、Tagルールを追加/編集できます。
図
タグ付けの図
既存の導入
SD-WANネットワークでは、従来の構成とポリシーを使用するデバイスは、簡素化された構成とポリシーを使用するデバイスと共存できます。
このセクションでは、簡素化された設定とポリシーを利用する場合の推奨事項を示します。また、推奨事項の一部を示します。
最初のステップでは、デバイスをデバイステンプレートから設定グループに移行する必要があります。 これが完了すると、ポリシーグループやトポロジを展開できます。
構成グループ
デバイステンプレートと設定グループは、エッジデバイス設定を提供します。 そのため、共存は簡単に行えます。 デバイステンプレートから設定グループに移行する手順は次のとおりです。
| 手順 1 |
デバイステンプレートからデバイス値のコピーを抽出します。 これを行うには、設定> テンプレートで、デバイスグループの右側の省略記号(...)をクリックし、「CSVのエクスポート」を選択します。 |
| 手順 2 |
構成グループを作成します(手動または変換ツールを使用)。 |
| 手順 3 |
デバイステンプレートをデバイスから切断します。 この時点で、デバイスは接続ポイントで設定を維持しますが、デバイステンプレート(またはコンポーネント機能テンプレート)に対する今後の変更は一切受け取りません。 |
| 手順 4 |
デバイスを新しい設定グループに関連付けます。 |
| 手順 5 |
設定グループに関連付けられたデバイスを導入します。 このプロセスを簡単に行うには、エクスポートされたCSVファイルを開き、CSVカラムヘッダーを変更して設定グループの新しい変数に一致させます。 |
| 手順 6 |
デバイス変数の入力画面の後で、デバイス設定をプレビューできます。 これにより、設定グループのどの部分が以前のインスタンスと一致しないか、またはデバイステンプレートからどの変数が変更されたかをプレビューできます。 |
変数に対して一貫した命名方式を維持することで、デバイス固有の設定が簡素化されます。 すべてのデバイスの値が1つのCSV形式の場合、カラムヘッダーの名前を変更する必要があるのは1回だけです。
| 注:デバイステンプレートまたは設定グループ用のCSVファイルを使用してカラムヘッダーを統合およびアルファベット順に変換するPythonスクリプトが存在します。 スクリプトは次の場所で入手できます。 |
ポリシーグループ
設定グループを使用して設定されたデバイスは、一元化されたポリシーを使用するか、ポリシーグループに移行できますが、同じアプリケーションに対して同時に両方を同時に移行することはできません。 基本的に、目標はエッジデバイスに対して同じ基本ポリシーを維持することです。 ポリシーグループは、元のAARポリシーとデータポリシーを1つのアプリケーションプライオリティおよびSLA PGコンポーネントに統合します。 基本的に、ポリシーの設定の構築方法を変更しているだけです(ただし、SD-WAN Managerには送信されません)。
データポリシーまたはAARポリシーは、両方とも同じ設定を構成するため、アプリケーションプライオリティおよびSLAコンポーネントを含むサイトを持つサイトリストを参照できないことに注意してください。
制御ポリシーのみを使用する一元化ポリシーは、アプリケーションの優先順位とSLAを持つポリシーグループを使用するサイトを参照できます。これは、一元化ポリシーのさまざまなコンポーネントを設定するためです。
中央集中型ポリシーからポリシーグループにデバイスを移行するには、次の手順を実行します。
| 手順 1 |
必要なポリシーグループコンポーネント(アプリケーションプライオリティとSLA、組み込みセキュリティ、セキュアインターネットゲートウェイ/セキュアサービスエッジ、DNSセキュリティ)を作成します。 |
| 手順 2 |
ポリシーグループを作成し、必要なコンポーネントを関連付けます。 |
| 手順 3 |
AARまたはデータポリシーで参照されているSiteListからサイトIDの関連付けを解除します。 |
| 手順 4 |
デバイスをポリシーグループに関連付け、ポリシーグループを保存します。 |
| 手順 5 |
選択したデバイスにポリシーグループを展開します。 この時点で、SD-WAN Managerは更新された設定をエッジデバイス(QoS/SIG用)とコントローラに送信します。これにより、コントローラは更新されたデータポリシーをエッジデバイスに送信できます。 |
| 注:ポリシーグループは集中型ポリシーと共存できますが、エッジデバイスを設定グループに変換する間、(AARおよびデータポリシーの)集中型ポリシーのままにしておくことをお勧めします。 その時点で、Application Priority & SLAコンポーネント内の機能について、一元化されたポリシーからポリシーグループへの移行を開始します。 これは、運用スタッフ間の混乱を減らし、シンプルにするために行われます。 |
| 注: |
トポロジ
設定グループを使用して設定されたデバイスは、中央集中型ポリシーを使用するか、トポロジに移行できます。基本的に、目標はSD-WANコントローラに対して同じ基本制御ポリシーを維持することです。トポロジは、制御ポリシーの最新の反復です。
コントロールポリシーポリシーは、トポロジが関連付けられているサイトと共にサイトリストを参照することはできず、両方とも同じ設定を構成することに注意してください。
データポリシーとAARポリシーのいずれかまたは両方を含む一元化されたポリシーを設定し、それらが異なるコンポーネントを設定する際にトポロジポリシーを設定することができます。
一元化されたポリシーからポリシーグループにデバイスを移行する手順:
| 手順 1 |
必要なトポロジコンポーネントの作成 |
| 手順 2 |
中央集中型ポリシーの古いトポロジリストからサイドの関連付けを解除します。 |
| 手順 3 |
AARまたはデータポリシーで参照されているサイトリストからサイトIDの関連付けを解除します。 |
| 手順 4 |
トポロジをアクティブにします。この時点で、SD-WAN Managerは更新された設定をコントローラに送信し、エッジデバイスに送信されるすべてのルートを変更します。 |
| 注:トポロジは集中型ポリシーと共存できますが、エッジデバイスを設定グループに変換する間、(トポロジおよびルート操作のための)集中型ポリシーのままにしておくことをお勧めします。 その時点で、トポロジの変更とルーティング操作を行う機能のために、一元化されたポリシーからトポロジへの移行を開始します。 これは、運用スタッフ間の混乱を減らし、シンプルにするために行われます。 |
変換ツール
対象範囲
変換ツールは、テンプレートを構成グループに1対1で変換します。このツールは、SD-WAN Managerインスタンスからテンプレートを収集し、それらを構成グループ(機能プロファイルと機能区画を含む)に変換し、新しく変換された構成をSD-WAN Managerにアップロードします。
* ポリシーからポリシーグループへの変換は、2024年10月にConversion Toolで利用可能になる予定です。
アクセスの詳細
ツールのベータ版が利用可能です。詳細については、sdwan-ux-conversion-tool@cisco.comまでお問い合わせください。
使用方法
前提条件
ツールを使用する前に、SD-WAN Managerが20.12.xを実行していることを確認します。そうでない場合は、先に進む前に20.12にアップグレードします。
変換ツールのワークフロー
| 手順 1 |
シスコから提供されたクレデンシャルを使用してツールにサインインします。(注:これらはCCOクレデンシャルではありません。詳細については、sdwan-ux-conversion-tool@cisco.comにお問い合わせください)。 |
| 手順 2 |
ホームページから「変換ツール」ワークフローを選択します。 ・ このワークフローを以前に実行したことがあり、変換後の構成のJSONファイルがある場合は、[ファイルからアップロード]ワークフローを選択する必要があります。 |
| 手順 3
|
Login: SD-WANマネージャのIPまたはURLをユーザクレデンシャルと一緒に入力します。 ・ ユーザーには読み取り/書き込みアクセス権が必要です。 ・ ポートおよびサブドメインのフィールドはオプションです。 |
| ステップ 4: |
インポート: SD-WAN Managerからすべてのレガシー構成(デバイステンプレート、機能テンプレート、ポリシー、および関連する構成)を取得するには、[収集]ボタンをクリックします。 ・ 収集したら、すべての構成を含むJSONファイルをダウンロードする必要があります。このファイルは、SD-WAN Managerから再度収集するのではなく、この手順で後で使用する必要があります。 |
| ステップ 5: |
次を選択します: 新しい同等のテンプレートおよびポリシーに変換するテンプレートおよびポリシーを選択します。[マイグレーション]をクリックして、選択した構成を変換します。 |
| 手順 6: |
Transform: このページには、新しく変換されたすべての構成が表示されます。準備ができたら、[アップロード]をクリックして、これらの設定をSD-WAN Managerにプッシュします。 ・ SD-WAN Managerにプッシュする準備ができていない場合は、変換された構成をJSONファイルとしてダウンロードし、後で「ファイルからアップロード」ワークフローを使用できます。 |
| 手順 7: |
要約: この時点で、設定がプッシュされ、SD-WAN Managerで作成されています。設定をプッシュすると、経過表示バーが表示されます。アップロードが完了すると、アップロードされた設定の概要が表示されます。 ・ 「構成グループ」、「機能プロファイル」、「ポリシーグループ」の各クイックリンクを使用して、SD-WAN Managerの新しい構成を表示できます。 ・ エラーやミスが発生した場合は、このステップでロールバックも実行できます。ロールバックを実行すると、このワークフロー/セッション中にSD-WAN Managerにプッシュされたすべての構成が削除されます。 |
変換後
これで、新しい構成を使用する準備ができました。「既存の導入」セクションの手順を実行して、デバイスを新しく変換された設定グループに移行します。
考慮事項
- ツールで提供される変換は、ガイダンスとして機能することを目的としています。実稼働環境に導入する前に、分析とテストを行ってください。
- このツールでは、設定グループのデバイスに依存しない機能は考慮されません。ユーザは、変換する設定グループを選択または分析する前にテンプレートを分析し、デバイスに依存しない機能の利点を活用できるようにデバイスを関連付けることができます。
- 旧形式の構成の変数名とグローバル値は、新しく変換された構成にコピーされます。
- このツールでは、設定はデバイスにプッシュされません。変換を実行した後、ユーザはテンプレートからデバイスを切り離し、新しい設定グループに関連付ける必要があります。
20.12考慮事項
| No. |
項目の説明 |
| 1 |
17.12より前のバージョンを実行するエッジに設定グループを展開する場合、CLIアドオンプロファイルを使用してDNS設定をプッシュする必要があります。 |
| 2 |
トポロジを作成するには、NHMで定義されたエリアを選択するのではなく、サイトを選択する必要があります。 |
| 3 |
設定グループの作成のワークフローでは、VPN512およびこのVPNのインターフェイスはWANプロファイルに作成されません。これが必要な場合は、設定グループを編集して手動で作成できます。 |
| 4 |
機能プロファイルをコピー/複製する機能。ポリシーはサポートされていません。 Pythonスクリプトのセットは、このタスクを実行でき、次の場所にあります。 |
| 5 |
ポリシー設定(ローカライズされたポリシー)に関連する機能パーセルを作成する前に、ポリシーオブジェクトプロファイルを設定グループに関連付ける必要があります。 例:ACL |
| 6 |
インターフェイス変数のCSVのインポートでは、文字列にセミコロンが挿入されて失敗します |
| 7 |
AppQoE最適化(TCP OptおよびDRE)と損失修正(FECおよびPkt Dup)の設定では、引き続き従来のテンプレート/ポリシーを使用します。設定/ポリシーグループでもCLIプロファイルを使用して設定可能(UIパーセルの20.14) |
| 8 |
SaaS向けクラウドオンランプでは、従来のテンプレート/ポリシーが引き続き使用されます。 |
| 9 |
TrustSec/SGTはCLIプロファイルでのみサポート |
| 10 |
CLIプロファイルのみでサポートされるUC音声/DSPファーム/SRST(20.13以降はUIパーセル) |
関連情報
- Cisco SD-WANおよびクラウドネットワーキングYouTubeチャネル: https://www.youtube.com/@CiscoSDWANandCloudNetworking
- UX2.0 – 運用の簡素化:1.単一ルータサイトの設定: https://www.youtube.com/watch?v=98z-d3knd
- シスコのテクニカルサポートとダウンロード
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
16-Aug-2024 |
初版 |
フィードバック