この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
ここでは、IoT FND を設定してトンネルのプロビジョニングを行う方法、および FAR(CGR と C800)および HER を接続するトンネルを管理およびモニタする方法について説明します。具体的な内容は、次のとおりです。
■概要
IoT FND は、トンネルのプロビジョニング テンプレートを処理することにより生成されたコマンドを FAR および HER に送信し、その間に安全なトンネルをプロビジョニングします。デフォルトの IoT FND テンプレートには CLI コマンドが含まれ、GRE および IPsec トンネルをセットアップおよび構成します。1 つの HER で、同じ HER EID および名前を持つ複数のトンネルを含む、500 までの FAR を実行できます。
(注)IoT FND リリース 3.1.x を使用して始める場合、ネットワークへの FAR の導入前に、FAR と HER の間に IPSec トンネルのプロビジョニングを設定する必要がなくなります(トンネルは、FAR とそれに対応する HER を接続しますに示します)。
代わりに、トンネル プロビジョニング テンプレートに CLI が含まれないようにして設定する、IPSec なしの ZTD を開始できます。工場出荷時の設定なしにネットワークを起動するこの最初のアプローチは、ネットワークにおけるこの後の IPSec 使用を排除するものではありません。
図 1 トンネルは、FAR とそれに対応する HER を接続します
HER および FAR の間にトンネルをプロビジョニングするため、IoT FND はこれらのデバイスで CLI トンネル設定コマンドを実行します。デフォルトでは、IoT FND は CLI トンネル設定コマンドを含む基本的なトンネル設定テンプレートを提供します。また、お使いのテンプレートを使用することもできます。トンネルのプロビジョニング プロセスは自動ですが、最初に トンネル プロビジョニング設定プロセス に概要が示されている設定手順を実行する必要があります。この後、FAR がオンラインになると必ず、IoT FND により自動的にトンネルでプロビジョニングされます。IoT FND をトンネルのプロビジョニング用に設定する前に、IoT FND TPS プロキシがインストールおよび実行されていることを確認します。
トンネルのプロビジョニングを設定する前に、IoT FND 上にキーストア ファイルおよび TPS プロキシを生成する必要があります。次に、相互に通話するようIoT FNDおよび TPS プロキシを設定します(TPS プロキシの設定およびTPS プロキシを使用するための IoT FND の設定)
IoT FND を設定してトンネル プロビジョニングを行うには、次の手順を実行します。
以上の手順を完了した後、FAR を展開し、電源を入れます。トンネルのプロビジョニングが自動的に行われます。
1. FAR がオンになり、アップリンク ネットワークに接続すると、証明書の登録のリクエストを送信します。
2. その後、IoT FND TPS プロキシによって IoT FND にトンネルのプロビジョニングを要求します。
3. IoT FND は IoT FND データベースの FAR レコードを調べ、使用するトンネル プロビジョニング テンプレートを決定します。IoT FND は、トンネルを確立するため HER の経路を調べます。
4. Cisco IOS CGR では、デフォルトのテンプレートは FlexVPN を使用するよう CGR を設定します。FlexVPN クライアントが CGR に設定され、CGR は HER に連絡して FlexVPN トンネルが動的に構築されるよう要求します。以上が、HER が CGR の新しいトンネル エンドポイント インターフェイスを動的に追加する方法です。
5. FAR のテンプレートを処理する前に、IoT FND は HER トンネル削除テンプレートを処理し、その結果であるコマンドを HER に送信します。これは、各 HER に対して行われ、FAR に関連付けられている可能性がある既存のトンネル設定を削除します。
6. IoT FND は FreeMarker テンプレート エンジンを使用して、FAR トンネル追加テンプレートを処理します。エンジンはテンプレートを IoT FND により CLI 設定コマンドと仮定されるテキストに変換します(CGR ごとに CG-OS または Cisco IOS)。IoT FND はこれらのコマンドを使用して、FAR にトンネルの一端を設定し、立ち上げます。
7. IoT FND は FreeMarker テンプレート エンジンを使用して、HER トンネル追加テンプレートを処理します。エンジンはテンプレートを、IoT FND により HER のトンネル設定のためのコマンドと仮定されるテキストに変換します。
指定された URL は、トンネル プロビジョニング ポートの代わりに IoT FND の登録ポート(デフォルトで 9121)を使用します。この URL の 完全修飾ドメイン名(FQDN)は異なっており、トンネル経由でのみ到達可能な IP アドレスに解決します。
ここでは、トンネル プロビジョニング用に IoT FND を設定する方法について説明します。
■CNR を使用したトンネルのプロビジョニング用 DHCP 設定
トンネルのプロビジョニングを成功させるには、IoT FND によって使用される DHCP サーバーを設定し、アドレスを指定して FAR と HER の間にトンネルを作ります。たとえば、パーマネント リースの原則に基づき、DHCP サーバを設定して、トンネルのプロビジョニングに IP アドレスを提供します。
IoT FND はトンネル プロビジョニング テンプレートで定義された設定に基づいて DHCP 要求を行います。トンネルのプロビジョニングの間、IoT FND テンプレートは 2 種類の DHCP 要求を行うことができます。
■IP アドレスを要求した後、テンプレートで使用可能にします。
■2 つの IP アドレスのサブネットを要求し、両方のアドレスをテンプレートで使用可能にします。
IoT FND は これらの要求を IPv4 アドレス、IPv6 アドレス用に行うことができます。
テンプレートから DHCP アドレスを要求する機能は、トンネルの設定を定義する際の柔軟性を最大に高めます。各 FAR および対応する HER のインターフェイスに必要な正確なアドレスを割り当てるためです。提供されるデフォルトのトンネル プロビジョニング テンプレートは、最も一般的な使用法の例、FAR とそれに対応する HER の間の 1 つの IPsec トンネルを定義します。この IPsec トンネルの両端が、動的に割り当てられた IPv4 アドレスを取得します。
■ご使用の DHCP サーバがサブネットの割り当てをサポートしている場合、同じサブネットに属する 2 つのアドレスを取得するためにこれを使用します。
■ご使用の DHCP サーバが、アドレスの割り当てのみをサポートしている場合、2 つの DHCP アドレスが IPsec トンネルの両端として使用できるリターン アドレスを要求するように設定します。
■ルーティング プランが、各 FAR に一意の IPv4 アドレスを割り当て、それを、IPsec トンネル上のループバック インターフェイスに割り当てる必要がある場合、IoT FND テンプレートを使用してこのアドレスを割り当てます。
IPv6 GRE トンネルを作成することを選択する場合、DHCP プレフィックス委任または個々のアドレス要求を使用して、トンネルの両端に IPv6 アドレスを割り当てます。
ここでは、トンネルのプロビジョニングの DHCP 設定例について説明します。これらの設定の設定方法は、ご使用の装置によって異なります。この項では、Cisco Network Registrar(CNR)を使用してトンネルのプロビジョニング向けに DHCP サーバを設定するための一般的な注意事項を説明します。
次にあげる CNR の CLI スクリプト例は、IoT FND のデフォルトのトンネル プロビジョニング テンプレートから発信したリクエストを処理するよう、CNR DHCP サーバを設定します。このスクリプトを使用する際は、サブネットがご使用の DHCP サーバ環境に適していることを確認してください。
CNR DHCP サーバ のトンネル プロビジョニング スクリプト例
FAR のトンネル プロビジョニングを一括で設定するには、IoT FND でグループを使用します。デフォルトでは、IoT FND に追加されたすべての FAR(デバイスの一括追加 を参照)は、適切なデフォルト グループ default-cgr1000 または default-c800 です。デフォルト グループには、IoT FND がトンネルのプロビジョニングに使用する 3 つのテンプレートが含まれています。
すべての FAR に 1 組のテンプレートの使用を予定している場合、使用するのがデフォルトのテンプレート、修正されたデフォルトのテンプレート、またはカスタム テンプレートのいずれであっても、追加のグループは作成しないでください。複数組のテンプレートを定義するには、グループを作成し、それらのグループのテンプレートをカスタマイズします。
(注)ご使用のカスタム テンプレートが両方のルータのタイプに適用可能な場合、CGR と C800 を同じトンネル プロビジョニング グループに入れることができます。
1. [Config] > [Tunnel Provisioning] の順に選択します。
3. 新しいグループの名前を入力し、[OK] をクリックします。
グループが [TUNNEL GROUPS] ペインに表示されます。
トンネル グループを作成した後、FAR の別のグループへの移動に示すように、他のグループから FAR を移動します。
空白のグループのみが削除できます。トンネル グループを削除するには、そこに含まれているデバイスを他のグループに移動する必要があります。
1. [Config] > [Tunnel Provisioning] の順に選択します。
トンネルのプロビジョニング ページでは、既存のトンネル グループに関する情報を一覧表示します。
IoT FND に定義されたトンネル グループを表示するには、次の手順を実行します。
1. [Config] > [Tunnel Provisioning] の順に選択します。
3. [TUNNEL GROUPS] ペインで、グループを選択します。
IoT FND によりグループ内のすべての FAR のリストが表示されます。リスト ナビゲーション ボタンを使用してリストをスクロールします。トンネル グループ フィールド に、リスト フィールドを示します。
トンネル グループの名前はいつでも変更できます。シスコでは、短くわかりやすい名前を使用することをお勧めしています。名前は 250 文字以内である必要があります。
1. [Config] > [Tunnel Provisioning] の順に選択します。
2. [TUNNEL GROUPS] ペインで、名前を変更するトンネル グループをロールオーバーして、[Edit] の鉛筆のアイコン( )をクリックします。
(注)上に示すとおり、無効な文字(@、#、!、+など)をフィールドに入力すると、フィールドが赤くハイライトされて [OK] ボタンが無効化されます。
1. [Config] > [Tunnel Provisioning] の順に選択します。
2. [Group Members] タブをクリックします。
3. [TUNNEL GROUPS] ペインで、移動するトンネル グループとルータを選択します。
4. [Select a device type] ドロップダウン メニューから、デバイスのタイプを選択します。
5. 移動する FAR のチェック ボックスにチェックを入れます。
グループ内のすべての FAR を選択するには、カラムの一番上にあるチェック ボックスをクリックします。デバイスを選択すると、選択されたデバイスの数を表示し、[Clear Selection] と [Select All] のコマンドがある黄色いバーが表示されます。選択できるデバイスの最大数は 1000 です。
6. [Change Tunnel Group] ボタンをクリックします。
7. ドロップダウン メニューから、FAR の移動先のトンネル グループを選択します。
移動する FAR の名前を含む CSV または XML ファイルをインポートすることで、FAR を一括で別のグループに移動できます。エントリが、次にあげるフォーマットでファイルに含まれていることを確認してください。
最初の行はヘッダーで、残りの行に FAR EID が入ることを IoT FND に 伝えます(1 行あたり FAR EID 1 つ)。
1. 異なるグループに移動するデバイスの EID を 含む CSV または XML ファイルを作成します。
2. [Config] > [Tunnel Provisioning] の順に選択します。
3. [Assign Devices to Group] をクリックします。
4. [Browse] をクリックし、移動する FAR が含まれるファイルを検索します。
IoT FND には、デフォルトのトンネル プロビジョニング テンプレートが 3 つ含まれています。
■フィールド エリア ルータ トンネル追加:IoT FND はこのテンプレートを使用して FAR 上の IPsec トンネルの一端を作成するための CLI 設定コマンドを生成します。
■ヘッドエンド ルータ トンネル追加:IoT FND はこのテンプレートを使用して HER 上の IPsec トンネルの反対の端を作成するための CLI 設定コマンドを生成します。
■ヘッドエンド ルータ トンネル削除:IoT FND はこのテンプレートを使用して、トンネルの反対側にある FAR への既存のトンネルを削除するための CLI 設定コマンドを生成します。
IoT FND のトンネル プロビジョニング テンプレートは FreeMarker のシンタックスで表されます。FreeMarker は、テンプレートを処理するための Java ベース オープン ソース エンジンで、IoT FND に組み込まれています。IoT FND のテンプレートからの CLI コマンド生成 に示すとおり、FreeMarker は、入力として トンネル プロビジョニング テンプレートおよび IoT FND より提供されるデータを取得し、IoT FND が「configure terminal」コンテキストにおいて FAR と HER 上で実行する CLI コマンドを生成します。
図 2 IoT FND のテンプレートからの CLI コマンド生成
IoT FND では、トンネル プロビジョニング テンプレートはルータ CLI コマンド、FreeMarker の変数およびディレクティブで構成されています。FreeMarker のシンタックスを使用することにより、IoT FND は 1 つのテンプレートを定義して複数のルータをプロビジョニングすることができます。
ここでは、トンネル プロビジョニング テンプレートにおける FreeMarker の基本的なシンタックスについて説明します。FreeMarker について詳しくは、 http://freemarker.sourceforge.net/ にアクセスしてください。
トンネル プロビジョニング テンプレートのシンタックス で、デフォルトのトンネル プロビジョニング テンプレートにおけるシンタックスについて説明します。
ここでは、トンネル プロビジョニング テンプレートにおけるデータ モデルについて説明します。 far および her のプレフィックスはそれぞれ、FAR および HER のプロパティへのアクセスを提供します。これらのプロパティは IoT FND のデータベースに保存されています。データ モデル では、トンネル プロビジョニング テンプレートのデータ モデルによって提供される情報の参照を示します。
参照アドレス で、トンネル プロビジョニング テンプレートで参照するアドレスを示します。
|
|
---|---|
FAR トンネル追加テンプレートを編集して、グループ内の FAR に IPsec トンネルの一方の端を作る方法:
1. [Config] > [Tunnel Provisioning] の順に選択します。
2. [TUNNEL GROUPS] ペインで、編集するテンプレートのあるトンネル グループを選択します。
3. [Field Area Router Tunnel Addition] タブをクリックします。
ヒント:テンプレートを変更するには、テキスト エディタを使用し、テキストを IoT FND のテンプレート フィールドにコピーします。
トンネル プロビジョニング テンプレートのシンタックスも参照してください。
(注)両エンドポイントが一致するサブネットにあることを確認するには、このテンプレートで FAR テンプレートと同じ IAID を使用する必要があります。
HER トンネル追加テンプレートを編集して、グループ内の HER に IPsec の反対側の端を作成する方法:
1. [Config] > [Tunnel Provisioning] の順に選択します。
2. [TUNNEL GROUPS] ペインで、トンネル グループを選択します。
3. [Head-End Router Tunnel Addition] タブをクリックします。
HER トンネル削除テンプレートを編集して、トンネルの反対側にある FAR への既存のトンネルを削除する方法:
1. [Config] > [Tunnel Provisioning] の順に選択します。
2. [TUNNEL GROUPS] ペインで、テンプレートを編集するトンネル グループを選択します。
3. [Head-End Router Tunnel Deletion] タブをクリックします。
トンネルのステータスを表示するには、[Operations] > [Tunnel Status] の順に選択します。トンネル ステータスのページには、デバイスおよびプロビジョニングされたトンネルの一覧を表示し、トンネルおよびステータスに関する関連情報が表示されます。トンネルは HER と FAR の間にプロビジョニングされます。
ページ上部の [Show Filter] を選択すると、いくつかの検索フィールドが表示されます。トンネル ステータス フィールド に記載されているすべてのフィールド名でフィルタリングできます。1 つの検索フィールドに値を入力すると、使用できる他のフィールドが選択されます。検索フィールドを削除するには、[Hide Filter] を選択します。
トンネル ステータス フィールド で、トンネル ステータス フィールドを示します。リスト内のトンネルのソート順序を名前で変更するには、[HER Name] カラムのヘッダーをクリックします。ヘッダーの横の小さな矢印がソート順を示します。
(注)新しく作成されたトンネルのステータスが IoT FND に反映されるには時間がかかります
IoT FND では、CGR 再プロビジョニングは CGR の設定ファイルを変更するプロセスです。
(注)C800 は再プロビジョニングをサポートしていません。
IoT FND では、[Tunnel Provisioning] ページの [Reprovisioning Actions] ペインで以下の 2 つの CGR 再プロビジョニング アクションを実行できます([Config] > [Tunnel Provisioning])。
また、このページでメッシュ ファームウェアを有効化することができます。
[Reprovisioning Actions] ペインのフィールド で、[Reprovisioning Actions] ペインのフィールドについて説明します。
|
|
---|---|
トンネル プロビジョニング グループに対してトンネル再プロビジョニングまたは出荷時再プロビジョニングを開始すると、再プロビジョニング アルゴリズムが一度に 12 の CGR を連続して処理し、再プロビジョニングします。
IoT FND が正常にルータを再プロビジョニングした後、またはエラーが報告されると、IoT FND はグループ内の次のルータの再プロビジョニング プロセスを開始します。すべての CGR が再プロビジョニングされるまで、IoT FND はこのプロセスを繰り返します。
グループ内の各 CGR を再プロビジョニングする場合、4 時間でタイムアウトします。CGR が正常な再プロビジョニングを報告しなかったり、タイムアウト時間内にエラーがあった場合、IoT FND は CGR の再プロビジョニングのステータスを [Error] に変更し、タイムアウト エラーを表示します。その他の詳細情報はすべて、[Error Details] フィールドに表示されます。
フィールド エリア ルータ トンネル追加テンプレートを変更し、すでに IoT FND に接続したすべての CGR を変更されたテンプレートに基づく新しいトンネルで再プロビジョニングする場合、IoT FND のトンネル再プロビジョニング機能を使用します。
トンネル再プロビジョニングは、CGR をトンネルが設定されていない状態にし、その後、新しいトンネル プロビジョニング要求を開始します。トンネルを再プロビジョニングするため、IoT FND はトンネル プロビジョニング グループ内の FAR を連続して処理します(一度に 12)。各 CGR に対し、IoT FND は CGR の構成を ps-start-config テンプレート ファイルに定義された状態にロールバックします。
ps-start-config へのロールバックの後、CGR は IoT FND にコンタクトしてトンネル プロビジョニングを要求します。IoT FND はフィールド エリア ルータ トンネル追加テンプレートを処理し、その結果として得られた新しいトンネル作成の設定コマンドを CGR に送信します。トンネル再プロビジョニング プロセス に示すとおり、トンネル プロビジョニング プロセスには、新しい設定情報が含まれるよう golden-config ファイルを更新することが含まれます。
(注)CG-OS CGR では、ロールバックにより CGR がリロードされます。また、IoT FND が CGR をロールバックすると、IoT FND は対応するトンネル情報を CGR が接続された HER から削除します。
Cisco IOS ベースの CGR に構成の置換を実行します。
(注)フィールド エリア ルータ出荷時再プロビジョニング テンプレートは、トンネル再プロビジョニングの実行時には使用されません。
1. [Config] > [Tunnel Provisioning] の順に選択します。
2. [TUNNEL GROUPS] ペインで、テンプレートを再プロビジョニングするトンネル グループを選択します。
3. [Reprovisioning Actions] タブをクリックします。
4. [Action] ドロップダウン メニューから、[Tunnel Reprovisioning] を選択します。
IoT FND は [Reprovisioning Status] フィールドを [Initialized] に変更し、次に [Running] に変更します。
(注)トンネル再プロビジョニングの実行中に [Stop] をクリックすると、IoT FND は選択されなかったキューの FAR についてのみ、再プロビジョニング プロセスを停止します。ただし、再プロビジョニングを選択したキューの CGR に関しては、プロセスは完了され(正常またはエラー)、停止することはできません。
再プロビジョニング プロセスは、IoT FND がトンネル プロビジョニング グループ内の各 CGR を再プロビジョニングする試みを終了した後、完了します。CGR が 1 つでも再プロビジョニングできなければ、IoT FND は CGR が報告したエラー メッセージを表示します。
IoT FND の出荷時再プロビジョニング機能を使って、CGR の工場出荷時の設定(express-setup-config)を変更します。
3. フィールド エリア ルータ出荷時再プロビジョニング テンプレートを処理し、結果として得られたコマンドを CGR にプッシュします。
4. express-setup-config ファイルの構成を保存します。
これらの手順が正常に完了した後、IoT FND はフィールド エリア ルータ トンネル追加、ヘッドエンド ルータ トンネル追加、およびヘッドエンド ルータ トンネル削除の各テンプレートを処理し、結果として得られたコマンドを CGR にプッシュします(トンネル プロビジョニング設定プロセス参照)。
1. [Config] > [Tunnel Provisioning] の順に選択します。
2. [TUNNEL GROUPS] ペインで、テンプレートを編集するトンネル グループを選択します。
3. [Field Area Router Factory Reprovision] タブをクリックし、適用する設定コマンドを含むテンプレートを入力します。
(注)このフィールド エリア ルータ出荷時再プロビジョニング テンプレートは出荷時再プロビジョニングの間に 2 回処理されます。設定をプッシュするときに 1 回、設定を express-setup-config に保存する前にもう 1 回です。この理由により、個人的にテンプレートを作るときは、デフォルトのテンプレートで定義された特定の if/else 条件モデルを使用してください。
5. 必要に応じて、フィールド エリア ルータ トンネル追加、ヘッドエンド ルータ トンネル追加、およびヘッドエンド ルータ トンネル削除の各テンプレートに必要な変更を加えます。
6. [Reprovisioning Actions] タブをクリックします。
7. [Action] ドロップダウン メニューから、[Factory Reprovisioning] を選択します。
8. [Interface] ドロップダウン メニューから、再プロビジョニングのため FAR との接続に使用するIoT FND の CGR インターフェイスを選択します。
9. [Interface Type] ドロップダウン メニューから [IPv4] または [IPv6] を選択します。
IoT FND は [Reprovisioning Status] フィールドを [Initialized] に変更し、次に [Running] に変更します。
(注)出荷時再プロビジョニング実行中に [Stop] をクリックすると、IoT FND は選択されなかったキューの FAR についてのみ、再プロビジョニング プロセスを停止します。ただし、再プロビジョニングを選択したキューの CGR に関しては、プロセスは完了され、停止することはできません。
再プロビジョニング プロセスは、IoT FND がトンネル プロビジョニング グループ内の各 CGR を再プロビジョニングする試みを終了した後、完了します。CGR が 1 つでも再プロビジョニングできなければ、IoT FND は CGR が報告したエラー メッセージを表示します。
フィールド エリア ルータ出荷時再プロビジョニング テンプレートの例
このテンプレートの例は、工場出荷時構成の WiFi SSID およびパスフレーズを変更します。