この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
各ハブ サイトやブランチ サイトには 1 つ以上のデバイスを関連付けることができます。IWAN アプリは、ネットワーク内のデバイスに対するバッチ CLI コマンドの実行を有効化するカスタム設定機能など、デバイスを個別に管理する手段を提供します。
カスタム設定は、IWAN ネットワーク内のデバイスに対して CLI 設定コマンドを実行するためのメカニズムです。この機能はコマンドをバッチ ファイルで実行する場合と同じように機能しますが、IWAN アプリからリモートで動作します。一連のコマンドを入力し(後で使用するために任意に保存)、設定コマンドを実行するデバイスを選択します。IWAN アプリは指定されたデバイスにコマンドを送信し、コマンドの実行が成功したか否かを示します。
コマンドの実行に失敗した場合、この機能はロールバック メカニズムを備えているので、失敗した設定操作を無効にする一連のコマンドを実行できます。
カスタム設定には、コマンドが実行されている各デバイスに固有のパラメータ値を入力するように実行時に求める「パラメータ」機能があります。設定を実行すると、選択したターゲット デバイスごとに値を 1 つずつ入力することを求められます。パラメータは、ドル記号($)の後にパラメータ名が続く形式で表示されます。
例:$interface
IWAN アプリには、さまざまなネットワーキング機能に CLI レベルのサポートを提供するデフォルト設定テンプレートが含まれています。各テンプレートは、事前定義済み機能を実行するための一連の CLI コマンドで構成されます。テンプレートには「デバイスごとに設定できるパラメータ」が含まれていることがあります。その場合、設定を実行すると、選択したターゲット デバイスごとに値を 1 つずつ入力することを求められます。
次の表は、デフォルトで含まれている設定テンプレートの概要を示します。
|
|
---|---|
LiveAction ネットワーク監視を有効にします。 LiveAction と互換性がある NetFlow モニタを設定し、LiveAction サーバをエクスポートするようにモニタを設定します。 |
|
ダイレクト インターネット アクセス(DIA)を設定します。 NAT、ゾーン ベースのポリシー ファイアウォール(ZFW)、およびポリシー ベース ルーティング(PBR)をブランチからのダイレクト インターネット アクセス用に設定します。また、テンプレートは、インターネット ゲートウェイ IP のトラッキング、およびインターネット ゲートウェイが到達不能の場合にはトンネル オーバーレイへのフェールオーバーを設定します。 |
|
テンプレートを実行する際に、次のものを入力する必要があります。
|
|
ゲスト インターネット アクセスを IWAN ブランチ ルータで有効にします。 ルータ上のゲスト VLAN インターフェイスを NAT およびゾーン ベースのポリシー ファイアウォール(ZFW)とともに作成します。ゲスト VLAN は、IWAN-GUEST と呼ばれる別個の VRF に割り当てられます。 |
|
テンプレートを実行する際に、次のものを入力する必要があります。
|
カスタム設定機能による CLI 設定コマンドの実行を有効にするには、次の手順を実行します。
手順 1 サイト リスト ページで、テーブルの上部にある歯車アイコンをクリックして [Custom Config Status] を選択し、[Custom Config Status] 列を表示します。列が表示され、テーブルの上部に [Custom Config] ボタンが表示されます。
[Custom Configuration] ウィンドウを開いて、カスタム設定の CLI バッチ ファイルを作成したり、既存のカスタム設定(テンプレート)を実行したりするには、次の手順を実行します。
手順 1 サイト リスト ページで、テーブルの上部にある [Custom Config] ボタンをクリックします。ボタンが表示されない場合は、カスタム設定の有効化を参照してください。[Custom Config] ページが表示されます。
手順 2 既存のカスタム設定を選択するか、プラス記号アイコン( )をクリックして新しいカスタム設定を作成します。
手順 3 [Actual] ペインで、バッチ CLI コマンド ファイルの場合と同様に、実行する CLI コマンドを入力します。コマンドは、デバイスに対してコンフィギュレーション モードで実行されます。
(注) IWAN アプリは入力されたコマンドを検証しません。
手順 4 (任意)選択したすべてのデバイスに対してコマンドのフル セットを実行します。設定コマンドを実行する各デバイス固有のパラメータを個々に入力するには、CLI コマンドで「パラメータ」値を使用します(パラメータ名の前にドル記号($)を付けます)。
例:$interface
カスタム設定を実行すると、選択したターゲット デバイスごとにこの「パラメータ」の値を 1 つずつ入力することを要求されます。最大 10 個のパラメータを使用できます。
手順 5 [Rollback] ペインで、[Actual] ペインの設定コマンドの 1 つ以上が正常に実行されなかった場合に実行するコマンドを入力します。カスタム設定コマンドの実行に失敗した場合の対処方法については、カスタム設定の実行に失敗した場合の対処方法を参照してください。
手順 6 [Devices] ペインで、CLI 設定コマンドを実行するデバイスを選択します。
手順 7 [Save] をクリックして、設定を実行せずに保存します。[Deploy] をクリックして、指定したデバイスに対して設定を実行します。サイト リスト ページが自動的に開き、設定コマンドの実行ステータス([Success] または [Failure])を表示できるようになります。
サイト リスト ページの [Custom Config Status] 列には、設定コマンドの実行ステータス([Success] または [Failure])がサイトごとに表示されます。
サイト内のいずれかのデバイスで実行に失敗した場合は、そのサイトの [Custom Config Status] 列に [Failure] と表示されます。エラーが発生した場合は、[Custom Config Status] 列の [Failure] リンクをクリックすると、サイト内の各デバイスのステータスが表示されます。カスタム設定の実行に失敗した場合の対処方法については、カスタム設定の実行に失敗した場合の対処方法を参照してください。
CLI カスタム設定コマンドの実行に失敗した場合は、次の手順を実行して対処します。
手順 1 サイト リスト ページの [Custom Config Status] 列には、設定コマンドの実行ステータス([Success] または [Failure])がサイトごとに表示されます。サイト内のいずれかのデバイスで実行に失敗した場合は、そのサイトの [Custom Config Status] 列に [Failure] と表示されます。エラーが発生した場合は、[Custom Config Status] 列の [Failure] リンクをクリックすると、[Site Details] ポップアップが開きます。
手順 2 [Site Details] ポップアップには、サイト内の各デバイスのステータスが表示されます。スタータスが [Failure] の各サイトに対して、デフォルトで [Rollback] オプションが表示されます。次のいずれかを実行して、各デバイスのエラー状態を解決します。
ハブ サイトにプロビジョニングされたデバイスを交換するには、いくつかの手順を手動で実行する必要があります。これには、交換後のルータが交換前のルータとまったく同様に動作することを確認する目的があります。これは一般に「手動 RMA」と呼ばれます。この手順はブランチ サイトのデバイスには適用されません。
手順 1 既存のルータ(交換前)へのコンソール接続を使用して、ルータに保存されている実行コンフィギュレーション(running-config)のコピーを作成します。
a. running-config に「crypto pki trustpoint sdn-network-infra-iwan」が含まれる場合、コピーされたテキストからこの行を削除します。running-config を交換後のルータに貼り付けるときに、この行を含めないでください。
b. このコピーされた running-config を後の手順で使用するために保存します。
手順 3 前のルータが取り付けられていたとおりに新しいルータを接続します。
手順 4 新しく取り付けられたルータへのコンソール接続を使用して、(前の手順で)古いルータからコピーした実行コンフィギュレーションを貼り付けます。
手順 5 新しいルータへの SSH アクセスを有効にし、RSA キーと端末 VTY 回線を作成します。
手順 6 APIC-EM インベントリ同期が自動的に実行されるのを待ちます。通常、25 分以内に実行されます。
インベントリ同期が新しいルータに対して行われたことを確認するには、次の手順を実行します。
a. 新しいルータで、 show version コマンドを使用して、シリアル番号を表示します。
b. APIC-EM でデバイス インベントリ アプリを開きます。表に、IWAN ネットワーク上のすべてのデバイスが表示されます。
c. [Layout] メニューを使用して、表にシリアル番号が表示されていることを確認します。
d. 新しいルータのシリアル番号が表示されていること、および [Last Inventory Collection Status] 列で新しいルータが [Managed] と示されていることを確認します。
手順 7 APIC-EM を介して API コマンドを実行して、新しいルータのトラストポイントを作成します。
a. 新しいルータで、 show license udi コマンドを入力します。
b. プラットフォーム ID(PID 列)をメモします。例:ASR1002-X
c. APIC-EM のホームページを開き、上部のメニュー バーの [API] をクリックします。APIC-EM に使用可能な API のリストが表示されます。
d. API のリストで、[PKI Broker Service] をクリックします。[Show] をクリックして、PKI ブローカー サービスの REST API コマンド オプションを表示します。
e. [POST /trust-point] をクリックします。
f. テキスト エディタで、新しいルータに関する次の情報を、以下のような JSON 形式で収集します。
|
|
---|---|
新しいルータのシリアル番号。シリアル番号は、(前のステップで説明されている) show version コマンドを使用して表示されます。 |
|
g. [pkiTrustPointInput] フィールドに、前の手順で JSON 形式で収集された情報を貼り付けます。
h. [APIC-EM] ウィンドウで、[GET /trust-point] をクリックします。
j. 応答本文テキストの下までスクロールして、[ID] フィールドの値をコピーします。
例:"id": "efb1234d-0123-456d-bd12-345a12345b67"
k. [APIC-EM] ウィンドウで、[POST /trust-point/{trustPointId}] をクリックします。
l. [Parameters] セクションで、trustPointId パラメータについて、前の API コマンドの応答テキストからコピーされた値を貼り付けます。
例:efb1234d-0123-456d-bd12-345a12345b67
手順 8 新しいルータで、コンフィギュレーション モードで次のコマンドを入力して、CLI コマンドを ikev2 プロファイルに追加します。
crypto ikev2 profile < profile-name >
pki trustpoint sdn-network-infra-iwan
手順 9 (オプション)古いルータでスポークが設定され、ルータに接続されている場合、DMVPN トンネルが機能することを確認します。