シスコ マネージド クラウドホスト型コントローラは、デフォルトで管理アクセス用にクローズされています。シスコでは、セキュリティ上の理由から、クラウドホスト型 Cisco Catalyst SD-WAN コントローラ 向けの 0.0.0.0/0 へのアクセスを許可していません。お客様のエンタープライズ VPN 内にアクセス用の特定のパブリック IP プレフィックスがあると考えられるため、そのパブリック IP プレフィックスのみがアクセス用にオープンされます。特定の送信元 IP プレフィックスについては、https と ssh のみを許可リストに含めるようにリクエストして、アクセスを制限できます。

クラウドホスト型コントローラのインターフェイスにはプライベート IP アドレスがあります。各プライベート IP アドレスには、クラウド上のパブリック IP アドレスにマッピングされた 1 対 1 NAT があります。これらの IP アドレスは、インターフェイスが静的 IP または DHCP のどちらを使うように設定されているかどうかにかかわらず、変更されません。インスタンスが復旧または交換された場合にのみ IP アドレスが変更されます。

許可リストは、パブリック IP アドレスを持つすべてのコントローラのすべてのネットワークインターフェイスに適用されます。

インバウンドルールの更新

オーバーレイタイプに基づいて、クラウドホスト型コントローラセットに適用される許可リストを更新できます。

1. 共用テナントオーバーレイ：クラウドホスト型コントローラセットに適用される許可リスト を更新または表示するには、Cisco TAC のサポートでケースをオープンします。

   次のサポートを要求できます。

   • アクセスリストで許可される最大5つの IP プレフィックスを指定する

   • Cisco SD-WAN Manager ポータルへの Web ログインの IP プレフィックスへの https アクセスのみを許可する

2. 専用オーバーレイ：シスコがホストするクラウドベースのシングルテナント専用コントローラがクラウドセキュリティグループの許可リストを追加、削除、または変更できるようにするには、次のいずれかのオプションを使用します。

   • https://ssp.sdwan.cisco.com で Cisco Catalyst SD-WAN ポータル にログインし、アクセスリストを管理します。オーバーレイ コントローラ プロファイルを基本とするスマートアカウントの Cisco PNP スマートアカウント管理者である必要があります。

   • アクセスリストで許可される IP プレフィックスを最大 200 個指定できます。

   • Cisco TAC サポートケースをオープンして、次の情報を入力します。

     • オーバーレイ/VA 名

     • Cisco SD-WAN Manager IP/FQDN

     • IP アドレス

     • すべてのトラフィックまたは選択したトラフィック（https、SSH など）で IP アドレスを許可するかどうかの指定

スマートアカウント管理者のみが、コントローラの IP アドレスの表示やコントローラの IP アクセスリストの変更など、顧客のホスト型コントローラ インフラストラクチャに関連する運用タスクを表示および実行するために使われる Cisco Catalyst SD-WAN ポータル にアクセスできます。ユーザーの SA 管理者権限を無効にするには、 Cisco Software Central の [Manage Smart Account] セクションに移動し、ユーザーをスマートアカウント管理者として削除します。または、IDP（ID プロバイダー）のオンボーディング機能を使用して、信頼できるユーザーに Cisco Catalyst SD-WAN ポータル へのアクセスを許可します。

オーバーレイ プロビジョニング後のクラウドゲートウェイへのリクエスト

TAC-CSOne で CloudOps のケースをオープンして、次の詳細を確認および実行します。

1. AAA または TACAC を有効化するには、既存のファブリック内で使用されていない IP プレフィックスを指定する必要があり、そのプレフィックスを使用してコントローラを作成できます（元のコントローラはシャットダウンされてスナップショットが作成され、複製されます）。

   コントローラが設定されている各リージョンは、1 つの /24 Cisco Catalyst SD-WAN ファブリックに関する一意のカスタムサブネットを持ちます。各オーバーレイには 2 つのリージョンがあるため、2 つのサブネットが必要となります。

2. Cisco SD-WAN Validator、Cisco SD-WAN コントローラ、および Cisco SD-WAN Manager デバイスへの管理者クレデンシャルがあります。

   実際の変更期間の開始時にクレデンシャルを入力できます。

3. CloudOps エンジニアによる事前承認と事前チェックの完了後、8 時間のメンテナンス期間をスケジュールできます。

4. プロセスを開始する前に、Cisco SD-WAN Validator の DNS を有効にし、すべてのコントローラを設定します。

5. Cisco Catalyst SD-WAN または Cisco SD-WAN コントローラ デバイスで、GR がデフォルトで 12 時間以上に設定されていることを確認します。

6. 2 つの使用可能なクラウド Cisco Catalyst SD-WAN UUID を PNP 経由で予約し、Cisco SD-WAN Manager に接続します。

7. プロビジョニングされたコントローラ用にはシングルテナントかつシングルノードの Cisco SD-WAN Manager オーバーレイ、およびシングルテナントかつクラスタノードの Cisco SD-WAN Manager オーバーレイでのみサポートされ、プロビジョニング予定のコントローラセットに対してはすべて新規となります。この機能は、Cisco Multi-tenant Cisco SD-WAN Manager クラスタオーバーレイではサポートされません。

8. Cisco SD-WAN Validator、Cisco SD-WAN コントローラ、およびもしあればシスコ提供のクラウド Cisco Catalyst SD-WAN デバイスに、Cisco SD-WAN Manager のテンプレートを接続することをお勧めします。

シスコプロビジョニング後のクラウドゲートウェイの構成

1. Cisco CloudOps がクラウドホスト型コントローラの横にあるクラウドゲートウェイのプロビジョニングを完了すると、CloudOps は各クラウドゲートウェイの顧客へのパブリックおよびプライベート IP 割り当てを共有します。フォーマットは（VPN 512, VPN 0, VPN X）です。

   Cisco CloudOps は、新しくプロビジョニングされたクラウドゲートウェイのログイン情報を共有します。

2. クラウドゲートウェイの VPN 512 および VPN X インターフェイスは、そのリージョンのコントローラの VPN 512 と同じサブネットにあります。

   Cisco CloudOps によってプロビジョニングされるクラウドゲートウェイは、特に AAA/TACACS を目的とし、常に上記のネットワーク レイアウト フォーマットで作成されます。

   クラウドゲートウェイへの到達可能性に問題がある場合は、一般に、クラウドゲートウェイのインターフェイス IP またはルート構成に問題があります。

3. また、パブリック IP とプライベート IP は 1:1 NAT されており、クラウド ゲートウェイ インターフェイスに割り当てられています。ゲートウェイ インターフェイス自体は dhcp で設定できますが、常に同じ IP をクラウドから取得します。

   VPN X インターフェイスの場合は、Cisco CloudOps で共有されているものとまったく同じ静的 IP を設定する必要があります。

   サブネット内のランダム IP は使用できません。

4. クラウドゲートウェイは、オーバーレイごとに同じ固有の環境でプロビジョニングされるため、コントローラと同じインバウンド許可アクセスリストの対象となります。

   パブリック IP と提供されたログイン情報で、SSH 経由でゲートウェイにログインする必要があります。

5. ここで、必要な構成を使用して新しいクラウドゲートウェイを構成する必要があります。たとえば、サイト ID、システム IP、組織名、Cisco SD-WAN Validator DNS または IP などです。

6. エンタープライズルート CA を使用している場合は、クラウドゲートウェイにも同様にアップロードしてインストールする必要があります。

7. viptelatac/ciscotacro/ciscotacrw ユーザーが有効になっているローカルで auth-fallback を使用して Cisco SD-WAN Manager 上の AAA/TACACS をローカルに設定できます。これにより、シスコサポートは必要に応じてログインし、問題のトラブルシュートを行うことができます。

8. プロビジョニングされたクラウドゲートウェイごとに 1 つずつ、Cisco SD-WAN Manager のデバイスリストから未使用のクラウドゲートウェイ UUID を取得する必要があります。

   使用している Cisco SD-WAN Manager の WAN エッジデバイスリストで使用可能なクラウドゲートウェイ UUID がない場合は、Cisco PNP ポータルにログインし、オーバーレイに関連付けられているスマートアカウントとバーチャルアカウントにログインし、ソフトウェアデバイス（VEDGE-CLOUD- DNA）を追加してから、Cisco SD-WAN Manager 上でスマートアカウントを同期する必要があります。

9. 次に、クラウドゲートウェイで UUID をアクティブにして、Cisco SD-WAN Manager によって認証され、Cisco Catalyst SD-WAN ファブリックに参加できるようにする必要があります。

10. クラウドゲートウェイの VPN X 静的 IP を指すように、（管理用のコントローラにアクセスするための顧客管理チームからの）顧客のエンタープライズサブネット用の特定の静的ルートを使用して、コントローラ（Cisco SD-WAN Manager、Cisco SD-WAN Validator、Cisco SD-WAN コントローラ）の VPN 512 を設定する必要があります。

11. Azure でシスコがホストするオーバーレイの場合は、Cisco TAC ケースを開き、特定のエンタープライズ サブネット プレフィックスを指定してください。ここから、コントローラの VPN 512 への接続が必須となります。

    Azure サブネットのデフォルトゲートウェイは、ゲートウェイサービスの VPN IP をエンタープライズサブネットのゲートウェイとして構成した場合でも、事実上のゲートウェイです。したがって、コントローラの VPN 512 での構成に加えて、Azure 側で追加の構成が必要になります。シスコは、必要なエンタープライズサブネットごとに Azure ルート テーブル（RT）エントリを適用し、クラウド ゲートウェイ インターフェイスで IP 転送を有効にします。