ご利用のコンピュータを設定する方法 このラボでは Web ブラウザが必要になります。 APIC-EM アプリケーションと使用例 このラボでは、APIC-EM アプリケーションと使用例について学習します。 目標 所要時間:30 分 • • APIC-EM アプリケーション 使用例について説明する 前提条件 • APIC-EM を初めて使用する場合は、「コントローラの基本と APIC-EM」ラボを完了して おくことをお勧めします。 ステップ 1:APIC-EM アプリケーション このラボで取り上げるアプリケーションを以下に示します。 プラグ アンド プレイ(PnP) APIC-EM コントローラの PnP(プラグ アンド プレイ)アプリケーションは、シスコ エンタープライズ ネットワークのルータ、スイッチ、ワイヤレス コントローラの ZTD(ゼロタッチ導入)を実現します。 Easy QoS APIC-EM コントローラの Easy Quality of Service アプリケーションでは、アプリケーションの優 先度を簡単に分類して割り当てることができます。 Intelligent WAN(IWAN)アプリケーション APIC-EM コントローラの Intelligent WAN(IWAN)アプリケーションは、Cisco 4000 シリーズ サービス統合型ルータの高度な IWAN 機能の設定を自動化します。 パス トレース APIC-EM コントローラのパス可視化アプリケーションは、接続に関するトラブルシューティング 作業を大幅に簡素化し、時間を短縮します。 ステップ 2:プラグ アンド プレイ ネットワーク エンジニアがネットワーク自動化を積極的に採用する以前、ネットワーク機器の導 入やネットワーク サイトの新規立ち上げには何日も、あるいは何週間もかかっていました。たと えば、スイッチ、ルータ、アクセス ポイントなど、100 台のシスコ デバイスを新たに導入するプロ ジェクトに任命されたとします。それぞれのネットワーク デバイスには基本設定を適用し、デバイ スのオペレーティング システム(OS)は最新リリースにアップグレードする必要があります。これ らの最小要件を考えると、このプロジェクトの完了には少なくとも数週間はかかることが予想され ます。これを支援するため、Cisco APIC-EM にはプラグ アンド プレイ(PnP)機能があります。 APIC-EM ですべての設定ファイルとアップグレード イメージの設定、DHCP サーバでの DHCP オプションの設定などを行えば、面倒な作業は APIC-EM が自動的に行います。この機能を使 用すれば、導入プロセスを数週間から数時間にまで短縮できます。 仕組み 最近のシスコのネットワーク デバイスは、自動化を考慮して製造されています。これはどういう 意味でしょうか。出荷時のデフォルト設定の Catalyst スイッチ、ISR ルータと ASR ルータ、ワイ ヤレス アクセス ポイントを使用すれば、プリインストールされた PnP エージェントが PnP 対応 サーバに接続し、必要な設定ファイルを取得します。 コンポーネント PnP エコシステムは、複数のコンポーネントで構成されます。これらのコンポーネントと、それぞ れの役割を次に示します。 • • • • • PnP ヘルパー アプリケーション:これは、ブートストラップ設定のロード、モニタリングとト ラブルシューティングに使用するモバイル アプリケーションです。 PnP エージェント:このエージェントは、Cisco Catalyst スイッチ、ISR ルータと ASR ルー タ、およびワイヤレス アクセス ポイントで動作します。 クラウド リダイレクト サービス:このコンポーネントは、PnP サーバを特定し、デバイスの エージェントを適切なサーバにリダイレクトすることで、オンラインのデバイスのヘルパー として機能します。 PnP プロトコル:このコンポーネントは、PnP エージェントと PnP サーバ間の通信を可能 にします。 PnP サーバ:PnP 機能を制御し、設定と管理のための API を提供します。 PnP サーバの検出オプション PnP を検出する方法として最も一般的なのは、DHCP サーバを使用してオプション 60 と 43 を 設定する方法です。オプション 43 の形式の例を示します。他にも、DNS ルックアップ、クラウド リダイレクト サービス、USB ベースのブートストラップなどの方法があります。シスコ インストーラ アプリケーションを使用して、手動でブートストラップを行うこともできます。 オプション 43 の形式と例 * Function: pnpa_api_process_dhcp_op43() * * Description: * dhcpc receiving DHCP Offer with option 43 info, pass these info * to PNPA do the special handling here * * 5A = PnP DHCP ID * 1D = PnP DHCP debug on * 1o = PnP DHCP debug off * token.K = <protocol> 1: XMPP-starttls; 2: XMPP-socket; 3:: XMPP-tls; 4: HTTP; 5: HTTPS * token.B = <address type> 1:host; 2:ipv4; 3:ipv6 * token.I = <remote server ip add / hostname> * token.J = <remote server port> * token.P = <server jid> * token.N = user <name> * token.O = <password> * * Example of expected PNPA DHCP Option 43 commands: * 1.To build the following * pnp profile zero-touch * device user [email protected] password 0 cisco * transport xmpp socket ipv4 172.19.193.60 port 5222 sasl plain serverjid pnpserver2.ejabberd.test * * Configure one of the following (1D=debug) on DHCP Server * option 43 ascii "5A1o;K2;B2;I172.19.193.60;J5222;Ppnpserver2.ejabberd.test;Npnpagent2@ejabber d.test;Ocisco" * option 43 ascii "5A1D;K2;B2;I172.19.193.60;J5222;Ppnpserver2.ejabberd.test;Npnpagent2@ejabber d.test;Ocisco" * * * * * * * * 2.To build the following pnp profile zero-touch transport http host FE80::2E0:81FF:FE2D:3799 port 6088 Configure one of the following (1D=debug) on DHCP Server option 43 ascii "5A1o;K4;B3;IFE80::2E0:81FF:FE2D:3799;J6088" option 43 ascii "5A1D;K4;B3;IFE80::2E0:81FF:FE2D:3799;J6088" * IPv4 Address of PnP server * option 43 ascii "5A;I172.19.193.60” DHCP 検出の例 PnP サーバを検出する方法として最も一般的なのは、オプション 43 を設定して DHCP サーバ を使用する方法です。次のコードは、非常に簡単な DHCP 設定例を示しています。 ip dhcp pool pnp_pool network 10.51.89.160 255.255.255.248 default-router 10.51.89.254 option 43 ascii "5A1D;B2;K4;I10.51.89.147;J80" オプション 43 のフォーマットの説明を示します。 5A = PnP DHCP ID 1D = PnP DHCP debug on 1o = PnP DHCP debug off token.K = <protocol> 1: XMPP-starttls; 2: XMPP-socket; 3: XMPP-tls; 4: HTTP; 5: HTTPS token.B = <address type> 1:host; 2:ipv4; 3:ipv6 token.I = <remote server ip add / hostname> token.J = <remote server port> token.P = <server jid> token.N = user <name> token.O = <password> 最後にネットワーク デバイスが起動すると、DHCP オプションによって PnP サーバとの通信に必 要な設定が自動的に引き継がれます。 pnp profile pnp-zero-touch transport http ipv4 10.51.89.147 port 80 PnP 設定オプション PnP の設定には 2 つのオプションがあります。 1. APIC-EM UI は使いやすいインターフェイスです。数回のクリックのみで、必要なファイ ルが APIC-EM データベースにアップロードされます。 2. APIC-EM PnP REST API を使用すれば、PnP 設定の自動化が可能です。 ステップ 3:ポリシー サービス:EasyQoS QoS ポリシー設定の作成と配信を SDN コントローラへと委任し、人的エラー要因を排除できた らどうでしょうか。すばらしいですよね。APIC-EM はそのような機能を備えています。APIC-EM のポリシー サービスを使用すれば、ネットワーク オペレータの不安は解消されます。APIC-EM では、検証とテストを行った Cisco Validated Designs 機能を活用して、エンド ツー エンドの QoS を設定できます。作成とプロビジョニングに要する時間が、月単位から分単位にまで短縮 されます。 EasyQoS 設定オプション APIC-EM の EasyQoS には複数の設定方法があります。1 番目のオプションは APIC-EM の UI を使用する方法です。ネットワーク オペレータは、アプリケーションを [ビジネス関連 (Business Relevant)]、[ビジネス以外(Business Irrelevant)]、[デフォルト(Default)] と定義して 分類できます。2 番目のオプションは、REST API を使用する方法です。アプリケーションが API を使用して APIC-EM と直接対話します。その他の方法は、ダイナミック ポリシーと呼ばれ ます。これについては次のセクションで説明します。どちらのオプションによる設定も、プラット フォーム固有の設定に変換され、APIC-EM によってネットワーク デバイスにプッシュされます。 アプリケーション主導型ダイナミック ポリシー たとえば、クライアント A がクライアント B に対してビデオ会議コールを行う場合に、ネットワーク 内の輻輳が激しいためにビデオ コールの品質が非常に低いとします。APIC-EM のダイナミッ ク ポリシーはそのような場合に役立ちます。ユーザ A がコールを開始すると、ビデオ会議アプ リケーションが APIC-EM サーバにコール設定情報と合わせて API コールを送信します。 APIC-EM は情報を処理し、エンドポイントを特定して、ビデオ会議用のポリシーを作成します。 APIC-EM は、コールを行うネットワーク デバイスに設定をプッシュします。コールが完了する と、同じアプリケーションがコールの完了について APIC-EM に通知します。この情報に基づい て、APIC-EM はネットワーク デバイスの QoS ポリシーの削除を開始します。 仕組み Cisco Jabber を使用するクライアント A がクライアント B に対するビデオ コールを開始する例を 見てみましょう。最初にクライアント A が Cisco Unified Call(UC)Manager を使用してコールを 登録します。続いて UC Manager が REST API を通じて APIC-EM にリクエストを送信し、ビデ オ コールに必要なポリシーを作成します。APIC-EM は UC Manager から受信した情報(送信 元、送信先、アプリケーションなど)に基づいて QoS ポリシーを作成し、基盤となるネットワーク デバイスに適用します。コールが終了すると、UC Manager は APIC-EM に通知し、ネットワーク からそれらのポリシーが削除されます。 ステップ 4:ポリシー サービス:IWAN 自動化 製品概要 IWAN アプリケーションは、高度に直観的なポリシー ベースのインターフェイスにより、WAN 導 入を容易にします。IT 部門はネットワークの複雑性解消と、ビジネス上の目的に沿った設計が 可能になります。ビジネス ポリシーはネットワーク ポリシーに自動的に変換され、ネットワーク全 体に適用されます。このソリューションにより、IT 部門はハイブリッド WAN への移行を加速する ことができます。またコスト削減、IT のシンプル化、セキュリティ向上、アプリケーション パフォー マンスの最適化など、ソフトウェア デファインド WAN(SD-WAN)の利点が容易に実現します。 IWAN アプリケーションは Cisco Validated Design の規範となるものであり、そのコア機能を多 数のサイトに一元的にプロビジョニングすることを可能にします。電源投入時にはブランチ オ フィス ルータが自動的に設定され、使用可能になります。このアーキテクチャは、オープン イン ターフェイス、ソフトウェア デファインド ネットワーク(SDN)サービス プレーン、およびデバイス レイヤ抽象化に基いています。このアプローチにより、完全なポリシー指向型のネットワーク導 入と運用が実現します。ブランチ オフィスのアクティブ化やアプリケーション展開に応じて数分 で導入される自動化機能によって、IT 部門は基幹業務(LOB)が必要とする市場投入までの時 間短縮を達成できます。すべてのルータを含むネットワークが抽象化されるため、IT 部門はト ポロジに頭を悩ませることなく、ビジネスの優先課題に専念することができます。 機能および利点 IWAN 向け Cisco APIC-EM アプリケーションの機能と利点を次に示します。 • • • • • • • プラグ アンド プレイ:ネットワークが、新しいサイトでの Cisco 4000 シリーズ Integrated Services Routers(ISR)の導入に使用されます。コントローラのスキャナは、新しいルータ を検出すると、そのルータのネットワーク情報データベース(NIDB)エントリを作成して自 動的に設定します。この機能(ゼロタッチ導入)によって手動による作業が不要となるた め、時間を節約し、エラーを防ぐことができます。必要なことは、ケーブルを接続してデ バイスに電源を投入するだけです。 一元的なポリシー自動化:IWAN アプリケーションには一元的なポリシー自動化エンジ ンがあり、管理者が設定したビジネス ポリシーがすべてのサイトに適用されます。また IWAN アプリケーションにより、管理者はアプリケーション配信に関するビジネス ニーズ をドラッグ アンド ドロップの直観的な方法で指定できます。Dynamic Multipoint VPN (DMVPN)、サービス品質(QoS)、パフォーマンス ルーティング(PfR)などの高度なテク ノロジーを、コマンドライン インターフェイス(CLI)のコマンドを学習することなく提供でき ます。 パブリック キー インフラストラクチャ(PKI)証明書:IWAN アプリケーションは APIC-EM Trust Manager サービスを使用します。このサービスは IWAN 用 PKI X.509 証明書の 発行、更新、失効のライフサイクル管理を自動化します。IWAN アプリケーションはこの 機能を利用して、ネットワーク内での信頼性の確立と維持のプロセスを大幅にシンプル 化します。 一元的なハイブリッド WAN の管理:IWAN アプリケーションは、ハイブリッド WAN リン クの優先パスを考慮しながら、アプリケーションまたはアプリケーションのグループごとに ビジネス レベルの初期設定を定義します。この機能により、全リンクを活用して、また非 アクティブなリンクやバックアップ リンクを使用して、アプリケーション エクスペリエンスを 保証できるため、コスト削減が実現します。 QoS 導入と管理の変更:IWAN アプリケーションは、WAN および LAN 対応の QoS プ ライオリティ ポリシーを適用できます。アプリケーションは、ビジネス クリティカル、デフォ ルト、またはベスト エフォートに分類できます。この機能により、アプリケーション トラ フィックが安定し、かつ QoS サービスレベル契約(SLA)に準拠したものになります。 Application Visibility and Control(AVC)によるネットワーク全体の可視性と制御: IWAN アプリケーションには一般的なアプリケーション セットが含まれており、またカスタ ム アプリケーションのプロファイルを作成できます。この機能により、アプリケーションま たはアプリケーション セットごとに、またビジネス ニーズと優先順位に応じて QoS とパス 制御を適用できます。 DMVPN の導入と管理の変更:IWAN アプリケーションにより、Cisco DMVPN のプロビ ジョニングが完全に自動化されます。この自動化には、DMVPN で利用する IP アドレス 割り当ての管理、高度な暗号化ポリシーの設定が含まれます。このアプリケーションによ り、DMPVN のプロビジョニングが高度に自動化されシンプルなものとなります。 • Cisco Validated Designs ベースの IWAN 導入ワークフロー:ビジネス上の目的に沿っ たワークフローにより、テンプレートの作成に時間をかけずに、多数のサイトを迅速に導 入できます。これには、ハイブリッド WAN の導入に関するシスコのベスト プラクティス と、一般的なサービス プロバイダーの QoS モデルがプリロードされています。 ステップ 5:APIC-EM フロー分析 – UI パス トレースとも呼ばれる APIC-EM フロー分析により、ネットワーク オペレータとエンジニア は、1 つのホストから別のホストへのパス トレースをリアルタイムに実行し、そのパスでの問題の 有無を確認できます。APIC-EM のパス トレースではリバース トレースを行い、パケットが両方 向で同じパスを通っているかどうかも確認できます。 パス トレースを実行するには、5 つのタプル情報(2 つ必須、3 つオプション)を APIC-EM に提 供する必要があります。 パス トレースでは、すべてのトレースが [進行中(In Progress)]、[アクティブ(Active)] および [完了(Completed)] に分類されます。 • • • [進行中(In Progress)]:現在進行中のすべてのパス トレース。 [アクティブ(Active)]:トレース中に問題が検出されたすべてのパス トレース。たとえば 1 つの ACL がポートをブロックしている場合、トレースはアクティブ状態になり、ブロックし ているデバイスが赤い十字アイコンで特定されます。 [完了(Completed)]:トレースが正常に完了したすべてのパス トレース。 仕組み APIC-EM のパス トレース機能を使用して、ホスト 65.1.1.48 からホスト 207.1.10.20 に対するパ ス トレースを行い、機能を確認します。 トレースが完了すると、トレースのイニシエータに詳細な情報が提供されます。赤い三角形のア イコンは、トレース中に発生した問題を示します。たとえばパケットのドロップなどの問題です。 パス トレースでは、完了したトレースをトポロジにオーバーレイとして重ねることもできます。 すでに述べたように、逆方向のパスでリバース トレースを行うことで、リターン パスでの問題の 有無を確認できます。 パス トレースは REST API コールを使用して開始することもでき、それによってネットワーク オ ペレータはトレースを自動化することが可能です。 おめでとうございます。APIC-EM アプリケーションと使用例のラボが完了しました。
© Copyright 2024 ExpyDoc
