Cisco vManage を使用した Cisco NFVIS SD-Branch の設計と導入

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ
このマニュアル内で検索

検索結果

Updated:
2022年1月12日水曜日

章のタイトル: Cisco NFVIS SD-Branch ソリューションの定義

Cisco NFVIS SD-Branch ソリューションの定義

Cisco SD-Branch ソリューションは、エンタープライズグレードのネットワークおよびアプリケーションサービスを提供するフルスタックソリューションです。設計要件に合わせて、さまざまなコンピューティング プラットフォームから選択できます。サポートされているすべてのプラットフォームには、SD-Branch デバイスのライフサイクル管理用のホスト OS として NFVIS があります。このアーキテクチャでは、Cisco vManage を使用してブランチ ネットワーク コンピューティング デバイスのサービスをゼロタッチでプロビジョニングできます。


(注)  

NFVIS SD-Branch ソリューションは現在、ENCS 5400 デバイスのみをサポートしています。

承認済みデバイスリストの作成

ENCS デバイスのシリアル番号は、お客様固有の Cisco スマートアカウントとバーチャルアカウントにアップロードされます。これは自動化されたプロセスですが、場合によっては、バーチャルアカウントを手動で作成し、ENCS デバイスのシリアル番号をアップロードする必要があります。次の手順は、顧客ロケーションのデバイスを顧客固有のコントローラにリダイレクトする方法を示しています。

  1. バーチャルアカウントにコントローラ情報を追加します。

    • PnP Connect サーバーで [Devices] を選択し、[+ Add Devices] をクリックして、PID、シリアル番号、およびコントローラに関する情報を含む CSV ファイルをアップロードします。Symantec によって発行された証明書をアップロードするか、エンタープライズのルート証明書をアップロードできます。


      (注)  

      Cisco vManage 20.4 以降では、ENCS デバイス証明書のシリアル番号が使用できない場合、[SUDI Number] 列にデバイスのシリアル番号を入力することで、デバイスのシリアル番号を使用してデバイスを認証できます。Cisco vManage スマート同期では、デバイスのシリアル番号を使用してデバイスを認証します。

    • [Controller Profiles] を選択し、[+Add Profiles] をクリックします。コントローラに関連する詳細を入力して、プロファイルを作成します。[Provisioning File] を選択してダウンロードします。

  2. デバイスリストを Cisco vManage に追加します。

    • 承認済みデバイスリストをバーチャルアカウントから Cisco vManage にアップロードします。

アイデンティティ、トラスト、およびホワイトリスト

NFVIS WAN エッジデバイスの ID は、シャーシ ID と証明書のシリアル番号によって一意に識別されます。WAN エッジデバイスに応じて、次の証明書が提供されます。

  • ENCS ハードウェアデバイス証明書は、製造時に取り付けられたオンボード SUDI チップに保存されます。ENCS ハードウェアは Cisco NFVIS ソフトウェアに付属しています。

  • Cisco SD-WAN 仮想デバイスには、デバイスにルート証明書が事前にインストールされていません。これらのデバイスでは、ワンタイムパスワード(OTP)が Cisco vManage によって提供され、SD-WAN コントローラでデバイスを認証します。

WAN エッジデバイスの信頼性は、製造時にプリロードされたルートチェーン証明書、手動でロードされたルートチェーン証明書、Cisco vManage によって自動的に配布されたルートチェーン証明書、自動展開プロビジョニングプロセスであるプラグアンドプレイ(PnP)またはゼロタッチプロビジョニング(ZTP)でインストールされたルートチェーン証明書を使用して実現されます。

Cisco SD-Branch ソリューションはホワイトリストモデルを使用します。つまり、SD-Branch オーバーレイネットワークに参加できる NFVIS WAN Edge デバイスは、すべての SD-Branch コントローラで事前に認識されている必要があります。これを行うには、PnP 接続ポータルに WAN エッジデバイスを追加します。追加された WAN エッジデバイスは、PnP ポータル(SD-Branch オーバーレイの組織名に関連付けられている)に含まれる Cisco vBond コントローラプロファイルに接続され、プロビジョニングファイルが作成されます。このファイルは SD-Banch vManage コントローラにインポートされ、デバイスのホワイトリストが残りの SD-Branch コントローラ(vBond)と自動的に共有されます。デバイスのホワイトリストを含むプロビジョニングファイルは、PnP 接続ポータルから Cisco vManage に REST API を使用してセキュアな SSL 接続を介して直接同期することもできます。


(注)  

Cisco SD-WAN コンポーネント(Cisco vManage、Cisco vBond、Cisco vSmart コントローラ、WAN エッジデバイスなど)はすべて、同じ SD-Branch オーバーレイネットワークに参加するために同じ組織名で設定する必要があります。

VNF イメージパッケージの作成

表 1. 機能の履歴(表)
機能名 リリース情報 説明

異なる VNF イメージパッケージのアップロードのサポート

NFVIS 4.6.1

Cisco vManage リリース 20.6.1

この機能を使用すると、イメージパッケージ、スキャフォールド、およびディスクイメージ用の個別の VNF パッケージをアップロードして、VNF イメージを登録できます。

事前にパッケージ化された Cisco VM イメージ tar.gz のアップロードは、Cisco vManage でサポートされています。また、サポートされている形式(qcow2)でルートディスクイメージを提供することで、VM イメージをパッケージ化することもできます。Linux のコマンドライン NFVIS VM パッケージツール nfvpt.py を使用して qcow2 をパッケージ化するか、Cisco vManage からカスタマイズされた VM イメージを作成します。


(注)  

事前にパッケージ化された Cisco VM イメージを [ISRv Software Download] ページからダウンロードし、[Scaffold Files for Third Party VMs Software Download] ページからダウンロードします。https://software.cisco.com/download/home/286308649/type/286327969/release/17.03.01https://software.cisco.com/download/home/286308649/type/286327978/release/4.4.1

ファイアウォールなどの各 VM タイプには、カタログに追加される同じまたは異なるベンダーから Cisco vManage にアップロードされる複数の VM イメージを含めることができます。また、同じ VM のリリースに基づく異なるバージョンをカタログに追加できます。ただし、VM 名が一意であることを確認してください。

Cisco VM イメージ形式は *.tar.gz としてバンドルでき、次のものを含めることができます。

  • VM を起動するルートディスクイメージ。

  • パッケージ内のファイルリストのチェックサム検証用のパッケージマニフェスト。

  • VM メタデータをリストする XML 形式のイメージプロパティファイル。

  • (任意)0 日目設定、VM のブートストラップに必要なその他のファイル。

  • VM システムプロパティをリストする XML 形式のシステム生成プロパティファイル

VM イメージは、vManage がホストする HTTP サーバーローカルリポジトリまたはリモートサーバーの両方でホストできます。

VM が tar.gz などの NFVIS でサポートされる VM パッケージ形式である場合、Cisco vManage はすべての処理を実行し、VNF プロビジョニング中に変数キーと値を指定できます。

異なるイメージタイプのアップロード

NFVIS リリース 4.6.1 以降、イメージの登録プロセスはイメージプロパティのアップロードプロセスから分離されています。VNF イメージは、サポートされている任意のイメージ形式でアップロードすることで登録できます。サポートされるイメージ形式は次のとおりです。
  • イメージパッケージ:完全なイメージパッケージの .tar.gz ファイル。
  • Scaffold:.tar.gz ファイル(メタデータのみで構成)(イメージプロパティおよび第 0 日のコンフィギュレーション ファイル)。
  • ディスクイメージ:.qcow2 ディスクイメージ。
イメージタイプをアップロードするには、次の手順を実行します。
  1. [Cisco vManage] メニューから、[Maintenance] > [Software Repository]を選択します。
  2. [Virtual Images] をクリックします。
  3. [Upload Virtual Image] ドロップダウンリストから、[vManage] を選択します。
  4. [Upload VNF's Package to vManage] ウィンドウで、tar.gz または qcow2 ファイルをアップロードします。
  5. [File Type] ドロップダウンリストから、イメージタイプ([Image Package]、[Scaffold]、または [Disk Image])を選択します。
  6. (任意)説明とタグを追加して、イメージを識別しやすくします。使用可能なデフォルトタグを使用するか、独自のカスタムタグを作成できます。
  7. ディスクイメージをアップロードする場合は、[VNF Type]、[VNF Type]、および [Vendor] の値を選択します。
  8. [Upload] をクリックします。
VNF パッケージを編集するには、次の手順を実行します。
  1. [Cisco vManage] メニューから、[Maintenance] > [Software Repository]を選択します。
  2. [Virtual Images] をクリックします。
  3. 目的のイメージの […] をクリックし、[Edit] を選択します。
  4. 必要な変更を行った後、[Update] をクリックします。

(注)  

Cisco vManage は Cisco VNF のみを管理しますが、VNF 内の 1 日目 および N 日目の設定は他の VNF ではサポートされません。VM パッケージの形式と内容、および image_properties.xml とマニフェスト(package.mf)のサンプルの詳細については、『NFVIS Configuration Guide』の「VM Image Packaging」[英語] を参照してください。

同じ VM、同じバージョン、Communication Manager(CM)タイプの複数のパッケージをアップロードするには、3 つの値(名前、バージョン、VNF タイプ)のいずれかが異なることを確認します。その後、アップロードする VM *.tar.gz を再パッケージ化できます。

次に、ISRv パッケージの作成方法の例を示します。

  1. ブートストラップ設定のルートディスクイメージをアップロードします。

    イメージの横にある [View Configuration File] をクリックします。

  2. 変数を選択し、[Custom Variable] をクリックします。ポップアップウィンドウで、ドロップダウンメニューから変数タイプを選択します。

    [Done] をクリックしてから、 [Save] をクリックします。

  3. 必要に応じてイメージプロパティを選択できます。

  4. イメージパッケージが作成され、仮想イメージのリストに追加されたことを確認できます。

デバイスの検出と展開

WAN エッジデバイスは、ブートアップ時に Cisco vBond オーケストレータに接続し、セキュアな一時的な DTLS 制御接続を確立します。Cisco vBond 情報は、IP アドレスまたは解決可能なドメイン名 FQDN を使用し、WAN エッジデバイスの CLI を通じて手動で設定できます。または、PnP または ZTP プロセスによって自動的に取得することもできます。

SD-Branch コントローラ(Cisco vBond、Cisco vManage、および Cisco vSmart)と WAN Edge デバイスは、セキュアな制御接続を確立する前に、相互に認証して信頼する必要があります。SD-Branch コントローラが相互に認証し、WAN エッジデバイスが認証されると、次のようになります。

  • 証明書ルート CA の信頼ルートの検証

  • 受信した証明書の組織単位(OU)の組織名をローカルに設定された OU と比較します。

  • 証明書のシリアル番号を承認済みのホワイトリストと比較します。

WAN エッジデバイスがコントローラを認証すると、次のようになります。

  • 証明書ルート CA の信頼ルートの検証

  • 受信した証明書 OU の組織名をローカルに設定された OU と比較します。

認証に成功すると、vBond オーケストレータはセキュアな一時的な DTLS 制御接続を確立し、Cisco vManage IP アドレスを共有します。この時点で、Cisco vBond オーケストレータは、他の SD ブランチコントローラ(Cisco vManage および Cisco vSmart)に、WAN エッジデバイスからの制御接続要求を予期するよう通知します。ENCS デバイスは、Cisco SD-WAN デバイスとは異なり、vSmart との制御接続を維持しません。

NFVIS WAN エッジデバイスは、Cisco vManage 情報を学習すると、Cisco vManage サーバーへの制御接続を開始します。認証に成功すると、別のセキュアで永続的な DTLS/TLS 接続が確立されます。Cisco vManage は、WAN エッジデバイスに接続されたデバイステンプレートに基づいて、NETCONF プロトコルを使用して設定をプロビジョニングします。

NFVIS WAN エッジデバイスのデフォルトの動作は、次のとおりです。

  • オンボーディングプロセス中のみ、1 つの WAN トランスポートを介した Cisco vBond への一時的な DTLS 制御接続を保護します。

  • 単一の WAN トランスポートを介した Cisco vManage への永続的な DTLS/TLS 制御接続を保護します。

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ