Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
Amazon Web Services(AWS)でのクラウド(C9800 CL)版 CiscoCatalyst 9800ワイヤレスコントローラのための導入ガイド
はじめに 2
パブリッククラウドの概要 2
Catalyst 9800のパブリッククラウド導入モード 6
AWSクラウド上の Catalyst 9800ワイヤレスコントローラの起動 10
AWS VPNルータを使用した VPN接続の確立 11
CloudFormationテンプレートを使用した AWS Marketplaceからの C9800-CLの起動 16
AMIを使用した AWS Marketplaceからの C9800-CLの起動 25
AWSコンソールから C9800-CLインスタンスを直接起動する 32
パブリッククラウド上の C9800-CLの DAY 0設定 42
CLIを使用した C9800-CLの設定:DAY 0のガイド付きフローをスキップする 45
C9800-CLの工場出荷時状態へのリセット 47
改訂:2019年 1月 29日
はじめに
IOS XEベースの Cisco Cloudワイヤレス LANコントローラは、世界で最も利用されているネットワーキングワイヤレスプラットフォームを Amazon Web Services(AWS)に導入することで、AWSクラウドに最高のパフォーマンスを備えた Infrastructure as a Service(IaaS)セキュアワイヤレスネットワークサービスの基準を確立しました。
Cisco Cloudワイヤレス LANコントローラ(C9800-CL)は、AWSパブリッククラウドの利点と柔軟性、および通常はオンプレミス展開で利用されるカスタマイズなどの豊富な機能を兼ね備えています。Catalyst 9800は、AWS GovCloudに導入された最初のワイヤレスコントローラです。
C9800-CLは初回リリースで、ゼロタッチ APプロビジョニング、高可用性、アプリケーションの可視化と制御など、エンタープライズクラスのあらゆる差別化機能により、1000の APと 10000のクライアントにスケールアップしました。ソフトウェアのコストはまったくかかりません。
この導入ガイドでは、AWSパブリッククラウドに C9800ワイヤレスコントローラを導入する方法について説明します。パブリッククラウドと利用可能なサービスモデルについて簡単に解説し、主要なクラウドネットワーク構築を取
り上げ、Managed VPN導入モデルおよび FCSでのサポート対象について説明します。その後、以下の手順を説明します。
•オンプレミスルータから AWSクラウド内の VPCへの VPN接続を作成する
• CloudFormationテンプレートを使用して AWSで C9800-CLインスタンスを起動する
• Amazonマシンイメージ(AMI)から C9800-CLインスタンスを直接起動する
パブリッククラウドの概要
現在、クラウドコンピューティングはデジタル変革戦略の重要な要素と見なされており、多くの企業がイノベーショ
ンおよび競合他社との差別化を実現する戦略として、すでにパブリッククラウドを採用しています。しかし、「パブ
リッククラウドの採用」とは実際どのような意味なのでしょうか。まずは、この基本的な点を明確にしましょう。
パブリッククラウドサービスモデル
米国国立標準技術研究所(NIST)の Special Publication 800-145に従って、3つのクラウドサービスモデルが一般的に使用できます。
• Software as a Service(SaaS)
•サービスとしてのプラットフォーム(PaaS)
• Infrastructure as a Service(IaaS)
次の図では、最も重要なスタックコンポーネント、クラウドプロバイダーと使用者間の責任の範囲、これらのサービ
スを利用しているコンシューマを強調して、サービスモデルの例が表されています。
2
SaaSモデルは、最もレベルの高い抽象化と簡素化を実現します。インフラストラクチャからアプリケーションレベルに至るまで、「サービス」スタック全体がクラウドサービスプロバイダーによって提供されます。お客様として、ユー
ザWebインターフェイスまたはアプリケーションプログラミングインターフェイス(API)からサービスに直接アクセスします。その一方で、使用者は基盤となるクラウドインフラストラクチャの管理と制御を行いません。CiscoMerakiではこのモデルが活用されています。
PaaSモデルでは、クラウドサービスプロバイダーが、お客様が独自のアプリケーションを実行するために必要なプラットフォームのすべてのコンポーネントを提供します。これには、基盤となるクラウドインフラストラクチャのネッ
トワーキングとセキュリティに加えて、データベースやモニタリングツールなどのサービスが含まれます。
最後の IaaSモデルでは、コンピューティングリソース、ストレージおよびネットワーキングコンポーネント(ルータやファイアウォールなど)が提供され、アプリケーションとサービスの導入はお客様が行います。このモデルの場合、
お客様は最高レベルの制御と高い柔軟性を確保できますが、ある一定の統合作業が必要になります。クラウド上では
Catalyst 9800ワイヤレスコントローラ向けに IaaSモデルが選択されます。
IaaSとしての Cisco Catalyst 9800ワイヤレスコントローラクラウド向け Cisco Catalyst 9800で選択されるパブリッククラウドモデルは、Infrastructure as a Service(IaaS)です。つまり、お客様はネットワーキング、コンピューティング、セキュリティインフラストラクチャの提供についてはパ
ブリッククラウドベンダーに依頼できますが、C9800はクラウドでの仮想マシンとして完全に管理および制御することになります。
お客様が IaaSモデルを使用してクラウドへの C9800の導入を検討すべき主な理由は次の 2つです。
1. パブリッククラウドの利点の活用
2. 通常はオンプレミスのコントローラで実現されるカスタマイズと制御の維持
パブリッククラウドの採用には多くの利点がありますが、ここではC9800で最も重要となるポイントをご紹介します。
•機敏性:AWSでC9800インスタンスを生成するには数分しかかかりません。その後は、ワイヤレスコントローラを起動して新機能をテストし、完了するプロセスを非常に簡単に実行できます。
3
•拡張性:パブリッククラウドには物理的な制限がないため、追加のAPまたはクライアントの要件が増大するにしたがって、新しいインスタンスを追加できます。
•グローバルな占有領域:遅延だけでなくセキュリティおよびプライバシーポリシーにとっても重要です。パブリッククラウドプロバイダーにはそのようなグローバルな占有領域があるため、APを設置する任意の場所から 50ミリ秒未満でクラウド内のC9800-CLに到達できます。お客様によっては、ユーザのデータおよびトラフィックを特定のリージョン内に留める必要性を定めた厳格なセキュリティポリシーを適用しています。したがって、パブリッ
ククラウドプロバイダーは地理的地域ごとにデータセンターを用意しています。
•コスト効率:データセンターの占有領域とインフラストラクチャのコストを軽減します。設備投資(先行投資)モデルから運用コスト(従量制)モデルに移行します。
お客様にとっては、実行するソフトウェアイメージ、オンまたはオフにする機能、適用する設定など、Catalystワイヤレスコントローラの構成を完全に制御することが可能になります。この点では、オンプレミスでのワイヤレスコント
ローラの導入と同じです。
IaaSモデルを使用して導入し、クラウド内で独自のインスタンスを管理します。つまり、お客様は、クラウドインフラストラクチャとの C9800の統合をさらに行います。次に、重要なクラウドネットワーキングの概念を紹介し、AWSで C9800-CLを導入する方法について説明します。
パブリッククラウドネットワーキング
パブリッククラウドに C9800-CLを導入するには、リージョン、可用性ゾーン、VPCなどの新しい概念を十分に理解する必要があります。このガイドの目的は、これらの概念を簡単に説明し、利用可能なAWSドキュメントを使用してユーザが再確認できるようにすることです。
AWSコンソール(https://console.aws.amazon.com)の初回ログイン時に、インスタンスをインストールするリージョンを選択する必要があります。リージョンとは、世界中にある分散型データセンターの場所です。各リージョンは独立
していて分離されています。AWSでは、次に示す世界中の15の異なるリージョンを利用できます(前述のグローバルな占有領域の利点)。
4
ユーザは APを導入する場所に最も近いリージョンを選択します。
リージョン内に可用性ゾーンがあります。これらはリージョン内にある耐障害性エリアで、すべて相互接続されていま
す。インスタンスの起動時に、可用性ゾーンを選択することも、AWSで自動選択することもできます。ここでは、リージョンと可用性ゾーンをわかりやすく視覚化しています。
もう 1つの重要な概念は、仮想プライベートクラウド(VPC)です。これはクラウド内のプライベートネットワークを表します。オンプレミスネットワークをクラウドに拡張したものです。すべてのリージョンにデフォルトVPCがあり、C9800-CLを導入する際は、デフォルト VPCを使用するか、カスタム VPCを作成することができます。カスタムVPCを作成すると、サブネット、ゲートウェイ、セキュリティグループなど、ネットワーキングのすべての部分を定義できるため、総合的な柔軟性が確保されます。
5
VPCを定義した後は、VPC内でサブネットを作成してこれらのネットワーク間のルートを定義し、さらにVPCのインスタンスにアクセスするためのセキュリティルールを指定できます。これがパブリッククラウド内のプライベート
ネットワークです。VPCの詳細については、AWSのドキュメントを参照してください。
https://docs.aws.amazon.com/vpc/latest/userguide/getting-started-ipv4.html
Catalyst 9800のパブリッククラウド導入モードVPCでC9800-CLを作成した後は、クラウドインスタンスとオンプレミスのAP間の接続を確立する必要があります。これには、次の 2つの方法があります。
• APロケーションとパブリッククラウド間に仮想プライベートネットワーク(VPN)を作成する
•インターネットとパブリック IPアドレスを利用してクラウドのワイヤレスコントローラに接続する
最初は、AWSクラウドの C9800-CLでサポートされる唯一の導入モデルがManaged VPNとなります。
パブリック IPモデルに関する注意点:パブリック IPを使用して APを参加させることはサポートされていませんが、お客様は、簡単に管理するために C9800-CLインスタンスにパブリック IPを割り当てることもできます。これは FCSでは公式にサポートされていません。したがって、お客様の責任において、インターネットゲートウェイへのデフォ
ルトルートと、パブリック IPを使用してC9800-CLコントローラに到達するすべてのCAPWAPトラフィックをブロックするセキュリティグループを VPCに適切に設定してください。
Managed VPN導入モードこの最初のリリース(16.10)で Cisco Cloudワイヤレス LANコントローラがサポートしている導入シナリオでは、Managed VPNを介してお客様のエンタープライズネットワークに接続された AWS仮想プライベートネットワーク(VPC)で C9800-CLを使用します。VPNは、AWSゲートウェイルータ、またはお客様が採用している AWSベースのルータ(Cisco CSRクラウドルータなど)で終端できます。
6
企業の DCからの VPNトンネルを確立し、すべての APロケーションで C9800-CLへのアクセスに VPNトンネルを利用するか、各 APロケーション(支店など)でクラウドへの VPNトンネルを確立する必要があります。
次のセッションで説明するように、AWS提供のVPNゲートウェイへのVPNトンネルは簡単に確立できます。ただし、いくつかの制限があります。サポートされるリモート VPN接続は 10のみで、IPSECトンネルのみがサポートされます。
VPNの他のオプション(IPSec、DMVPN、FlexVPN、GETVPN、EZVPN)および大規模な導入が必要な場合は、CiscoCSRvルータをVPN終端の代替として使用できます。詳細: https://www.cisco.com/c/en/us/td/docs/routers/csr1000/software/aws/b_csraws.html
トンネルが確立されると、C9800-CLは VPCのプライベートサブネットの IPアドレスを取得します。このサブネットは、APが存在するオンプレミスネットワークにルーティングされる必要があります。前述のように、VPCはオンプレミスネットワークを拡張したものにすぎないため、適切なルーティングを確立する必要があります。次に簡単な例を
示します。
この例に示すVPCサブネットは10.10.10.0/24です。VPN-GW経由でルーティングされてAPサブネット(10.100.0.0/24)に到達します。クラウドネットワーキングに関する重要な考慮事項は次のとおりです。
7
•パブリッククラウド内のすべてのインターフェイスはレイヤ 3です。トランクインターフェイスの概念はありません。
•パブリッククラウド IPの割り当ては、DHCPを使用して行われます。お客様はコントローラのインスタンスに割り当てる IPを決定できますが、その場合も DHCPを使用します。
• AWSの Catalyst 9800クラウドワイヤレスコントローラでは、1つのインターフェイスのみの導入がサポートされます。これは、デバイス管理/サービスインターフェイスとワイヤレス管理インターフェイスが同じであることを意味します。
• FCSでは、APの初回接続時(初回のみ)に、ダウンロード時間が通常(W2 APで 30~ 40分)よりも長くなる可能性があります。これは、VPNトンネルが小さいサイズのMTUを採用するためです。
パブリッククラウドを使用した AP導入モードワイヤレスコントローラのインスタンスをパブリッククラウドで展開するため、クライアントトラフィックは APの配置場所に対してローカルに維持することが理にかなっています。また、APの動作モードを決める際は、パブリックインターネットに起因する遅延を考慮する必要があります。
これらの理由から、AWSクラウドのC9800-CLでサポートされるAP導入モードは、Flex中央認証と、IPv4および IPv6クライアントのローカルスイッチング(クラウドコントローラへのリンクが利用できなくなった場合はローカル認証
にフォールバックする)のみです。
AAAサーバはオンプレミスと想定されるため、検証されている設定でありサポート対象です。
これは、クライアントを完全認証するために次のような高レベルのトラフィックフローが発生することを意味します。
1. EAPトラフィックが APによって受信されてWLCに送信される
2. WLCが ISE/AAAとの Radius通信を行う
3. ISEが認証結果で応答する
4. WLCが APに応答を送信する
5. APがクライアントに認証フレームをリレーする
6. APでトラフィックがローカルにスイッチされる
高速ローミングがサポートされている場合(802.11rなど)は、ネットワークに対して初めてクライアントが認証されるときにのみこの交換が行われます。後続のローミングはすべて APでローカルに処理されるため、AAAサーバと通信する必要はありません。
デバイスで低速ローミングのみがサポートされている場合、前述のフローが各ローミングで発生します。
8
これは FlexConnect導入であるため、WAN/インターネットに関する推奨事項と要件が同様に適用されます。詳細については、Flex導入ガイドを参照してください。 https://www.cisco.com/c/en/us/td/docs/wireless/controller/technotes/8-7/Flex_7500_DG.html#pgfId-43317
(注)
パブリッククラウド上の C9800-CLの高可用性パブリッククラウド内の C9800-CLでサポートされる高可用性(HA)は、APを登録するプライマリコントローラ、セカンダリコントローラ、およびオプションのターシャリコントローラをユーザが定義する N+1可用性です。
すべての SSIDに FlexConnectローカルスイッチングが設定されているため、プライマリコントローラで障害が発生しても、N+1 HAによってネットワークのダウンタイムが回避されます。APは既存のクライアント接続を維持したままスタンドアロンモードに移行し、セカンダリコントローラに接続します。
冗長性を確保するために、セカンダリコントローラを別の可用性ゾーンでインスタンス化することを推奨します。こ
れは、異なるサブネットにセカンダリコントローラを展開してサブネットを異なる可用性ゾーンに割り当てることで
実現できます。その後、APのプライマリ/セカンダリを設定する必要があります。
この設定は、サイトタグとサイトタグ内の参加プロファイル設定を使用してロケーションレベルで行うことができま
す。
または APで直接設定することもでき、この場合はターシャリコントローラを定義することも可能です。
9
パブリッククラウド上の C9800-CLの管理Cisco Catalyst 9800ワイヤレスコントローラは、統合されたWebグラフィカルユーザインターフェイス(GUI)とプログラム可能なインターフェイスの両方で管理できます。
GUIには、ボックスの初期設定を簡単にする DAY 0インターフェイスと、他のすべての可能な設定に使用できる直感的なDAY1インターフェイスがあります。Catalyst 9800ワイヤレスコントローラでは、次の 2つのガイド付き設定ワークフローを利用できます。
•基本:設定の詳細を省いて、指示に沿って 3つの簡単な手順でリモートまたはローカルサイトを作成できるインテントベースの設定フローです。
•詳細:関連するすべての構成要素(プロファイルとタグ)を設定できるガイド付きワークフローです。
C9800-CLは、標準的な方法で管理できるようにする NETCONFインターフェイスを追加設定なしでサポートします。YANGデータモデルは、設定およびストリーミングテレメトリに利用できるデータを定義します。Catalyst 9800シリーズのプログラマビリティの詳細については、関連する導入ガイドを参照してください。
AWSクラウド上の Catalyst 9800ワイヤレスコントローラの起動
AWSでの Cisco Catalyst 9800の起動に関する情報Cisco Catalyst 9800の Amazonマシンイメージ(AMI)の起動は、AWSMarketplaceから直接実行します。Cisco Catalyst9800は、Amazon VPCインスタンス内の Amazon EC2インスタンスに導入されます。
サポートされている AMIタイプおよびスケーリングクラウド向けCiscoCatalyst 9800ワイヤレスコントローラの初回リリースでは、次のインスタンスタイプがサポートされます。
• C5.xlarge:4つの vCPU、8 GBの RAM、1つの vNICを備えた 8 GBのディスク
割り当てられたリソースを使って、インスタンスを 1,000の APと 10,000のクライアントにスケーリングできます。
10
ライセンス
AWS向けのCiscoCatalyst 9800ワイヤレスコントローラは、ライセンス持ち込み(BYOL)AMIモデルを使用してAWSMarketplaceでAmazonMachine Image(AMI)として購入および起動します。AWSにC9800-CLを導入した後は、スマートライセンスモデルを使用して APの DNAサブスクリプションライセンスを購入する必要があります。
暗号化された Elastic Block Storage(EBS)AWSMarketplaceから Cisco Catalyst 9800を起動するときに、暗号化された Elastic Block Storage(EBS)を選択することはできません。ただし、暗号化された Elastic Block Storageを使用する AMIの作成手順を実行できます。このプロセスの概要は次のとおりです。
• AWS Marketplaceから Cisco Catalyst 9800インスタンスを作成する
•この Cisco Catalyst 9800インスタンスのスナップショットを作成する
•スナップショットに基づいてプライベート AMIを作成する
•プライベート AMIを新しい AMIにコピーし、[Encrypt target EBS snapshots]を選択する
AWSクラウド内のシスコワイヤレス 9800インスタンスを起動するさまざまな方法FCSで AWSパブリッククラウド内の C9800-CLをスピンアップする方法は 3つあります。
• CloudFormationテンプレートを使用して AWS Marketplaceから C9800-CLインスタンスを起動する
• AMIを使用して AWS Marketplaceから C9800-CLインスタンスを起動する
• AWSコンソールから C9800-CLインスタンスを起動する
AWSコンソールを使って各設定パラメータを手動で制御する手順から、CloudFormationテンプレートを使用する完全なガイド付きフローまで、さまざまなプロセスが用意されているため、それぞれの要件を満たす最適な方法を選択でき
ます。
前述したように、FCSで新しいコントローラのクラウドへの導入モードとしてサポートされるのは、Managed VPNのみです。これは、APのオンプレミスロケーションと AWSクラウド内にある VPC間の VPNトンネルが安定している必要があることを意味します。
したがって、AWSパブリッククラウド内の Catalyst 9800ワイヤレスコントローラを起動する手順の前に、この VPNトンネルを作成するために必要な手順について説明します。
AWS VPNルータを使用した VPN接続の確立前述したように、FCSシスコでサポートされるのは、Managed VPN導入モードを利用した AWSクラウドへの C9800の導入だけです。
11
前提条件
VPCがすでに作成されている必要があります。作成していない場合はデフォルトVPC を使用できます。VPC の設定方法の詳細については、次のURLを参照してください。https://docs.aws.amazon.com/vpc/latest/userguide/getting-started-ipv4.html
エンタープライズルータから AWS ゲートウェイへの VPN 接続の作成エンタープライズルータから VPC の AWS ゲートウェイへの VPN 接続を作成するには、次の手順を実行します。
手順
ステップ 1 AWSコンソールにログインして VPCダッシュボードに移動します。
ステップ 2 左側のメニューで [VPN Connections] > [Customer Gateways]に移動します。
ステップ 3 [create customer gateway]をクリックします。
ステップ 4 下記のウィンドウが表示されます。VPNルータの名前を入力し、この VPNでダイナミックルーティングするかスタティックルーティングするかを選択し、ルータ/ファイアウォールのインターネットルーティング可能な外部アドレスを指定します。[create customer gateway]をクリックします。
ステップ 5 次に AWS仮想プライベートゲートウェイを作成します。VPCダッシュボードで [VPN Connections] >[Virtual Private Gateway]に移動し、[create Virtual Private Gateway]をクリックします。
ステップ 6 下記のウィンドウが表示されます。名前(AWS VPNルータ名)を入力します。ASNを選択するか、Amazonによって選択されているデフォルトのままにします。
12
ステップ 7 作成が完了すると、AWSVPNゲートウェイのステータスが [detached]と表示されるので、VPCに接続する必要あります。
ステップ 8 [Actions]をクリックして [Attach to VPC]を選択します。
ステップ 9 ポップアップウィンドウで VPCを選択します。
ステップ 10 これで顧客ゲートウェイと AWS VPNゲートウェイの両方が定義されたので、次は VPN接続を作成します。VPCダッシュボードで [VPN Connections] > [VPN Connections]に移動し、[create VPN connection]をクリックします。
ステップ 11 ポップアップウィンドウが表示されたら、すべての情報を入力する必要があります。VPN接続の名前(名前のみ)を入力し、前のステップ 5~ 9で作成した AWS VPNゲートウェイを選択してください。顧客ゲートウェイについては、最初にステップ 4で設定したゲートウェイを選択します。ルートの交換に使用するルーティングオプションを選択します。この例では、わかりやすいように [Static]が選択されています。VPN経由で到達可能なリモートサブネットを設定します。これは、オンプレミスで APを設置するリモートネットワークです。
13
ステップ 12 必要に応じて、IPSECVPNのトンネルインターフェイスにサブネットとキーを割り当てることができます。AWSでは、冗長性を確保するために常に 2つのトンネルインターフェイスが作成されます。空白のままにすると、AWSがこれらの設定を自動的に選択します。
ステップ 13 [Create VPN Connection]をクリックします。「Create VPN Connection Request Succeed」というメッセージが表示されます。
ステップ 14 接続が設定されて、ステータスが [pending]から...
[available]に変わるまでには数分かかります。
14
ステップ 15 保留中の状態でも、設定をダウンロードしてオンプレミス VPNルータに導入できます。[DownloadConfiguration]ボタンをクリックします。ポップアップウィンドウで、ブランド、およびVPNルータ/ファイアウォールのタイプを選択します。
[Download]をクリックしてファイルをコンピュータにダウンロードします。このファイルには、VPN接続の設定に必要なすべてのコマンドが含まれています。VPC用に選択したリモートサブネットを入力してルートを変更し、ルータ/ファイアウォールに貼り付ける必要があります。
VPNルータがNATの背後にある場合は、AWSファイルのパブリック IPを置き換えて、ローカルプライベートアドレスを使用するようにダウンロード済みの設定を変更する必要がありま
す。たとえば Cisco IOSルータの場合、この影響は crypto local-addressとトンネル送信元設定の両方に及びます。
(注)
ステップ 16 VPNゲートウェイを指すリモートサブネットに到達するルートが VPC内にあることを確認します。次の例のリモートサブネットは 10.100.0.0/24です。
15
インターネットから VPCに到達する場合は、0.0.0.0./0ルートが必要です。APと管理アクセスは VPN接続を経由するため、このルートは任意です。これは FCSでもサポートされていません。c9800-CLコントローラとのすべての通信は VPNトンネルを介する必要があります。
(注)
CloudFormationテンプレートを使用した AWS MarketplaceからのC9800-CLの起動これは AWSの C9800-CLインスタンスをスピンアップする最も簡単な方法なので、最初にこの方法について説明します。
前提条件
1. 社内ネットワークから VPCへのManaged VPN接続が作成されている
2. VPCが C9800ワイヤレス管理インターフェイス向けに目的のサブネットで作成されている
3. C9800 CloudFormationテンプレート。CloudFormationテンプレートは起動手順で自動的に統合されるため、手動で扱う必要はありません。必要に応じて、製品の AWS Marketplaceページから CloudFormationテンプレートファイルをダウンロードして確認することもできます。
4. 目的の 9800ソフトウェアリリース用の Amazonマシンインスタンス ID(AMI-ID)。AMIは AWS Marketplaceで入手できます。
5. キーペアがない場合は、EC2ダッシュボードで [Network & Security] > [Key pairs]に移動し、[Create Key Pair]をクリックしてキーペアを作成します。
16
CloudFormationテンプレートを使用して AWS Marketplaceから C9800-CLを起動する手順
始める前に
手順
ステップ 1 AWS Marketplaceにサインインします: https://aws.amazon.com/marketplace/
ステップ 2 Catalyst 9800または C9800-CLを検索し、検索結果からクラウド向け Cisco Catalyst 9800-CLワイヤレスコントローラのページをクリックします。
ステップ 3 製品概要ページが表示されます。
17
このページで製品、サポート、ライセンスに関するすべての情報を確認し、さまざまなAWSリージョンで C9800-CLを導入する場合のコストを概算できます。
このページを下にスクロールすると、次の図に示すようにトポロジと CloudFormationテンプレートに関する情報が表示されます。
18
ファイル(メモ帳タイプのすべてのプログラムで開くことができます)を確認する場合は、[DownloadCloudFormation Template]をクリックします。
ステップ 4 右上隅の [Continue to Subscribe]をクリックします。
次に [Continue to Configuration]をクリックします。
ステップ 5 次のページで履行オプションをクリックし、[CloudFormation]を選択します。
下にスクロールして、C9800-CLインスタンスを作成するリージョンを選択します。
19
[Continue to Launch]をクリックします。
ステップ 6 これで起動の準備ができたので、表示されたページで [Launch]をクリックします。
20
ステップ 7 自動的にAWSコンソールのCloudFormationサービスにリダイレクトされ、次のページが表示されます。
上記のようにテンプレートがすでに選択されています。[Next]をクリックします。
21
デフォルトテンプレートの変更が必要な固有の要件がある場合は、[Upload a template to AmazonS3]セクションをクリックしてアップロードするファイルを選択すれば、別の特定のテンプレートをアップロードできます。
(注)
ステップ 8 次のページでスタックとインスタンスの詳細を入力します。スタック名は単なる名前なので、自由に指
定してください。C9800ホスト名を入力し、以前に作成したキーペアを選択します。
ステップ 9 ネットワークの詳細を入力します。ワイヤレス管理インターフェイスに割り当てるサブネットとセキュ
リティグループをドロップダウンボックスから選択してください。重要:選択したサブネットとセキュ
リティグループは、選択済みの同じ VPCに属している必要があります。
必要に応じて、選択したサブネット内のC9800インスタンスに割り当てる IPアドレスを入力できます。選択したサブネットに属している、使用されていない特定の IPであることを確認してください。それ以外の IPではスタックの作成が失敗します。
ステップ 10 インスタンスにリモート接続するためのユーザ名とパスワードを入力します。この手順は任意です。ユー
ザ名とパスワードを設定しなくても、デフォルト AWSユーザ(ec2-user)と上記の手順で指定したインスタンスのキーペアを使用して ssh経由でログインできます。スケールに合わせてインスタンスタイプを選択します。FCSでは、サポート対象のスケール(1,000の AP、10,000のクライアント)に対応するc5.xlargeのみがサポートされます。これはデフォルト値です。
22
[Next]をクリックします。
ステップ 11 オプションページはデフォルトのままにして [Next]をクリックします。
ステップ 12 設定内容を確認して [Create]をクリックします。
ステップ 13 ステータスが [CREATE_IN_PROGRESS]から [CREATE_CMPLETE]に変わるまで数秒待ちます。
何らかの理由でスタックの作成が失敗し、ステータスが [ROLLBACKCOMPLETE]と表示された場合は、スタック名をクリックして失敗の理由を確認してください。下の例では、すでに割り当てられた IPアドレスが選択されています。
23
ステップ 14 EC2ダッシュボードに移動して [Running Instances]をクリックします。
ステップ 15 新しいインスタンスは、[Status Checks](システムステータスチェックおよびインスタンスステータスチェック)が [Initializing]と表示されます。緑色に変わるまで数分待ちます。
FCSでサポートされるモードであるため、インスタンスには要求されたプライベート IP(10.10.20.8)があってパブリック IPがないことに注意してください。これで、Catalyst 9800ワイヤレスコントローラのクラウドインスタンスを使用する準備ができました。VPN接続を介してアクセス可能になっています。
セキュリティ上の理由でインスタンスへのアクセスを制限できます。たとえば特定の IP範囲のCAPWAPのみを許可して、これらの APのみがコントローラに登録できるようにします。インバウンドおよびアウトバウンドで有効にする必要があるプロトコルのリストを次に示します。
(注)
24
AMIを使用した AWS Marketplaceからの C9800-CLの起動このメソッドでは、ガイド付きWebインターフェイスを使用して AWS Marketplaceから C9800-CLコントローラをインスタンス化できます。CloudFormationテンプレートに比べると必要なユーザ入力が増えますが、さまざまなクラウド設定の観点から詳細な制御が可能です。
前提条件
1. 社内ネットワークから VPCへのManaged VPN接続が作成されている
2. VPCが C9800ワイヤレス管理インターフェイス向けに目的のサブネットで作成されている
3. C9800 CloudFormationテンプレート。CloudFormationテンプレートは起動手順で自動的に統合されるため、手動で扱う必要はありません。必要に応じて、製品の AWS Marketplaceページから CloudFormationテンプレートファイルをダウンロードして確認することもできます。
4. 目的の 9800ソフトウェアリリース用の Amazonマシンインスタンス ID(AMI-ID)。AMIは AWS Marketplaceで入手できます。
5. キーペアがない場合は、EC2ダッシュボードで [Network & Security] > [Key pairs]に移動し、[Create Key Pair]をクリックしてキーペアを作成します。
25
AMIを使用して AWS Marketplaceから C9800-CLを起動する手順
手順
ステップ 1 AWS Marketplaceにサインインします: https://aws.amazon.com/marketplace/
ステップ 2 Catalyst 9800または C9800-CLを検索し、検索結果からクラウド向け Cisco Catalyst 9800-CLワイヤレスコントローラのページをクリックします。
ステップ 3 製品概要ページが表示されます。
26
このページで製品、サポート、ライセンスに関するすべての情報を確認し、さまざまな AWSリージョンで C9800-CLを導入する場合のコストを概算できます。
ステップ 4 右上隅の [Continue to Subscribe]をクリックします。
次に [Continue to Configuration]をクリックします。
ステップ 5 次のページで履行オプションをクリックし、[Amazon Machine Image]を選択します。
27
表示されたページを下にスクロールし、C9800-CLインスタンスを作成するリージョンを選択します。
28
[Continue to Launch]をクリックします。
ステップ 6 次のソフトウェア起動ページで、[ChooseAction]を選択して [Launch fromWebsite]に設定します。または、次の項で説明する [Launch through EC2]に設定すると、AWSコンソールにリダイレクトされます。
29
このページで必要な情報を入力します。[EC2 Instance Type]はデフォルトのままにしてください。VPCとサブネットを選択します。[Security Group Settings]まで下にスクロールして、キーペアを入力します。
30
完了したら [Launch]をクリックします。
ステップ 7 インスタンスが正常に起動したことを示すメッセージが表示されます。
ステップ 8 EC2ダッシュボードに移動して [Running Instances]をクリックします。
31
ステップ 9 新しいインスタンスは、[Status Checks](システムステータスチェックおよびインスタンスステータスチェック)が [Initializing]と表示されます。緑色に変わるまで数分待ちます。
初回リリースでサポートされるモードであるため、インスタンスにパブリック IPがないことに注意してください。
これで、Catalyst 9800ワイヤレスコントローラのクラウドインスタンスを使用する準備ができました。VPN接続を介してアクセス可能になっています。
セキュリティ上の理由でインスタンスへのアクセスを制限できます。たとえば特定の IP範囲のCAPWAPのみを許可して、これらの APのみがコントローラに登録できるようにします。インバウンドおよびアウトバウンドを有効にする必要があるプロトコルのリストを次に示します。
(注)
AWSコンソールから C9800-CLインスタンスを直接起動するここでは、AWSコンソールからインスタンスを直接起動する方法について説明します。
前提条件
1. 社内ネットワークから VPCへのManaged VPN接続が作成されている
2. VPCが C9800ワイヤレス管理インターフェイス向けに目的のサブネットで作成されている
32
3. C9800 CloudFormationテンプレート。CloudFormationテンプレートは起動手順で自動的に統合されるため、手動で扱う必要はありません。必要に応じて、製品の AWS Marketplaceページから CloudFormationテンプレートファイルをダウンロードして確認することもできます。
4. 目的の 9800ソフトウェアリリース用の Amazonマシンインスタンス ID(AMI-ID)。AMIは AWS Marketplaceで入手できます。
5. キーペアがない場合は、EC2ダッシュボードで [Network & Security] > [Key pairs]に移動し、[Create Key Pair]をクリックしてキーペアを作成します。
AWSコンソールから C9800-CLインスタンスを直接起動する手順ここでは、Amazonマシンイメージ(AMI)からWLCインスタンスを直接起動する手順について詳しく説明します。FCSの後は、C9800-CLを検索してイメージを選択すれば、AWS Marketplaceで AMIを直接選択できます。
始める前に
手順
ステップ 1 AWS Marketplaceにサインインします: https://aws.amazon.com/marketplace/
ステップ 2 Catalyst 9800または C9800-CLを検索し、検索結果からクラウド向け Cisco Catalyst 9800-CLワイヤレスコントローラのページをクリックします。
33
ステップ 3 製品概要ページが表示されます。
このページで製品、サポート、ライセンスに関するすべての情報を確認し、さまざまなAWSリージョンで C9800-CLを導入する場合のコストを概算できます。
ステップ 4 右上隅の [Continue to Subscribe]をクリックします。
次に [Continue to Configuration]をクリックします。
ステップ 5 次のページで履行オプションをクリックし、[CloudFormation]を選択します。
34
下にスクロールして、C9800-CLインスタンスを作成するリージョンを選択します。
35
[Continue to Launch]をクリックします。
ステップ 6 次のソフトウェア起動ページで、[Choose Action]を選択して [Launch through EC2]に設定すると、AWSコンソールにリダイレクトされます。
36
ステップ 7 AWSコンソールの最初の EC2画面でインスタンスタイプを選択します。初回リリースでサポートされるタイプは c5.xlarge、c5.2xlarge、および c54xlargeのみです。必要なコンピューティングリソースを含む 1,000のAPと 10,000のクライアントに対応しているため、c5.xlargeが推奨されます。[Next: ConfigureInstance Details]をクリックします。
ステップ 8 インスタンスの詳細を設定します。VPCを選択し、VPC内のサブネットを選択してください。
37
デフォルトで、[Auto-assign Public IP]フィールドに [Use subnet setting]と表示されていますが、FCSではパブリック IPがサポートされていないため、無効に設定することをお勧めします。
インスタンスにリモート管理用のパブリック IPを割り当てる必要がある場合は、この設定を変更できます。その場合は、お客様の責任においてデフォルトルートを設定し、インターネットゲートウェイを使
用して VPCに接続してください。また、シスコではパブリック IPアドレスを使用して APを C9800-CLに参加させる方法をサポートしていないため、CAPWAPトラフィックをフィルタ処理するセキュリティグループを VPCに設定することもお客様の責任になります。
38
最後に [Shutdown behavior]として [Stop]または [Terminate](インスタンスの「停止」または「終了」)を選択します。デフォルトは [Stop]です。
ステップ 9 ネットワークインターフェイスの詳細を設定します。デフォルトのままにしてDHCPによって自動割り当て IPをインスタンスに割り当てることも、使用する DHCP固有のアドレスを入力することもできます。以前に選択した同じサブネットに属する未使用のアドレスを指定してください。それ以外のアドレ
スではエラーが表示されます。
AWSへのWLC導入では 1つのインターフェイスのみがサポートされます。(注)
ステップ 10 [Advanced Details]セクションでユーザデータを追加します。ここでは、インスタンスの起動に使用するIOSコマンドを入力できます。たとえば、後で sshを使用してアクセスするためのホスト名、ユーザ名、パスワードを指定します。[Next]をクリックします。
特定の Cisco IOSコマンドを入力する場合は、ios-config-x="<コンフィギュレーションモードで入力する IOSコマンド>"の形式を使用してください(xは一意のシーケンス番号です)。
(注)
例:
ios-config-1="username cisco priv 15 pass ciscoxyz"ios-config-2="hostname myc9800-CL"
C9800コードでは https、ssh、scpサーバ、および netconf-yangがデフォルトで有効になっているため、ここで手動で有効にする必要はありません。
(注)
ステップ 11 必要なストレージのタイプを選択します。SSDの使用が推奨されます。
ステップ 12 セキュリティグループを選択するか新規で作成し、[Review and Launch]をクリックします。
39
セキュリティ上の理由でインスタンスへのアクセスを制限できます。たとえば特定の IP範囲のCAPWAPのみを許可して、これらの APのみがコントローラに登録できるようにします。インバウンドおよびアウトバウンドを有効にする必要があるプロトコルのリストを次に示します。
(注)
ステップ 13 確認して [Launch]をクリックします。キーペアを選択するか新規で作成してキーペアにアクセスできることを確認するよう求められます。その後、[Launch Instances]をクリックします。
40
数分後には、Catalyst 9800ワイヤレスコントローラのクラウドインスタンスを使用できるようになります。
AWS内の C9800-CLへの接続この時点で、クラウドでC9800ワイヤレスコントローラを使用する準備ができています。https://<ワイヤレス管理インターフェイスの IP>にアクセスして DAY 0 GUIを起動するか、ボックスに ssh接続できます。IPは、AWSによって自動的に割り当てられたプライベート IPか、ユーザが CloudFormationテンプレートまたは AWSコンソールで予約したプライベート IPです。
ssh接続には、次の 2つの方法があります。
1. インスタンスの作成時に指定したユーザ名とパスワードを使用する
2. .pemファイルを使用して証明書で認証する
• chmod 400 <file>.pem
• issh -i “file name.pem” ec2-user@<c9800-CL IP>
パブリック IPでインスタンスに到達できるようにする場合は、上記の「AWS VPNルータを使用した VPN接続の確立」で説明したように、VPCルートテーブルにデフォルトルートが含まれている必要があります。セキュリティグループがパブリック IPで目的のプロトコルのみを許可することを確認してください。
(注)
41
パブリッククラウド上の C9800-CLの DAY 0設定DAY 0 Webグラフィカルユーザインターフェイス(GUI)の目的は、最初の Catalyst 9800ワイヤレスコントローラの設定を簡単にして、APとクライアントの接続に必要な設定が含まれているインスタンスを提供することです。DAY 0GUIは、ワイヤレスコントローラが規制国ドメインで設定されていないため使用できない場合に毎回起動されます。
DAY 0 GUIに接続するには、httpsを使用して定義済みのデバイス管理/ワイヤレス管理インターフェイスにログインします。
ログインには、前の項で C9800インスタンスを作成する際に指定したクレデンシャル(ユーザ名とパスワード)を使用します。
ログインすると、基本的なパラメータを設定してコントローラを正常に動作させるためのシンプルな設定フローが提示
されます。
最初のページで、必要な情報を入力します。
42
入力する項目は、国コード、日付と時刻、NTP(任意)、AAAサーバ(任意)です。1つのインターフェイスのみがサポートされるため、インターフェイスギガビット1のみがボックスに存在していることがわかります。[Next]をクリックします。
次のページでは、クライアントが接続できるようにWLAN(任意)を追加できます。この例では PSKダイアログが表示されています。
43
次のページで、基本的な RFパラメータと AP証明書を設定できます。
一般に、トラストポイントとは信頼できる認証局のことであり、暗黙的に信頼される認証局であるため、「トラストポ
イント」と呼ばれています。トラストポイントの証明書は自己署名証明書です。他の誰かまたは第三者による信頼には
依存しないため、トラストポイントという名前になっています。APが C9800-CLに参加するにはトラストポイントが必要になるため、ユーザは DAY 0にトラストポイントが自動生成されるように設定できます。または、[GenerateCertificate]を [NO]に切り替えた場合は、APが参加できるように DAY 1に独自の認証局を設定する必要があります。
[Summary]をクリックして設定を確認してから、[Finish]をクリックします。設定とトラストポイントがデバイスにプッシュされ、ユーザはログアウトされます。9800-CLコントローラは再起動しませんが、ユーザに再ログイン(同じクレデンシャルの入力)を求めるプロンプトが表示されるのに約 60秒かかります。
44
今回は初期設定がすでに完了しているため DAY 0のページがスキップされ、ユーザはメインのダッシュボードにリダイレクトされます。
CLIを使用した C9800-CLの設定:DAY 0のガイド付きフローをスキップする
DAY 0のWebベースのガイド付きフローをスキップし、CLIを使用して基本設定を行う場合は、次の手順を実行します。次の手順を実行すると、DAY 1設定用の GUIにアクセスできます。
45
AWSクラウド上の C9800-CLで使用できるインターフェイスはGigabitEthernet 1のみで、このインターフェイスには次の特徴があります。
•レイヤ 3インターフェイスです(AWSはこのタイプのインターフェイスのみをサポートしています)
• IPアドレスは DHCPを使用して取得します
C9800-CL用のワイヤレス CLIウィザードがないため、次の手順は手動で行ってください。
手順
ステップ 1 前の項で説明したように、sshを使用して CLIにアクセスします。
.pemファイルを使用して証明書で認証する
1. chmod 400 <file>.pem
2. ssh -i “file name.pem” ec2-user@<c9800-CL IP>
ステップ 2 必要に応じてホスト名を設定します。
WLC(config)#hostname C9800
ステップ 3 コンフィギュレーションモードを開始し、次のコマンドを使用してログインクレデンシャルを追加します。
C9800(config)#username <name> privilege 15 password <yourpwd>
ステップ 4 GigabitEthernet 1の設定と IPアドレスを確認します。インターフェイスが DHCP用に設定されていることがわかります。
c9800#sh run int gig 1Building configuration...Current configuration : 99 bytes!interface GigabitEthernet1ip address dhcpnegotiation autono mop enabledno mop sysidendc9800#sh ip int briefInterface IP-Address OK? Method Status ProtocolGigabitEthernet1 10.10.30.231 YES DHCP up upVlan1 unassigned YES unset administratively down down
ステップ 5 ワイヤレスネットワークを無効にして国コードを設定します。
C9800(config)#ap dot11 5ghz shutdownDisabling the 802.11a network may strand mesh APs.Are you sure you want to continue? (y/n)[y]: yC9800(config)#ap dot11 24ghz shutdownDisabling the 802.11b network may strand mesh APs.Are you sure you want to continue? (y/n)[y]: y
ステップ 6 APの国ドメインを設定します。C9800が動作するには国コードが必要なため、この設定によって GUIがトリガーされて DAY 0フローがスキップされます。
46
C9800(config)# c9800-10-30(config)#ap country ?WORD Enter the country code (e.g. US,MX,IN) upto a maximum of 20 countries
ステップ 7 APが仮想 C9800に参加するには、証明書が必要です。この証明書は DAY 0フローで自動作成するか、次のコマンドを使用して手動で作成できます。
•インターフェイスをワイヤレス管理インターフェイスとして指定します。C9800(config)#wireless management interface gig 1
• EXECモードで次のコマンドを発行します。C9800#wireless config vwlc-ssc key-size 2048 signature-algo sha256 password 0 <pwd>Configuring vWLC-SSC…Script is completed
これは、証明書全体の作成を自動化するスクリプトです。
•証明書のインストールを確認します。C9800#show wireless management trustpointTrustpoint Name : ewlc-default-tpCertificate Info : AvailableCertificate Type : SSCCertificate Hash : e55e61b683181ff0999ef317bb5ec7950ab86c9ePrivate key Info : Available
証明書およびトラストポイントの設定は省略できますが、その場合は APが参加できなくなります。GUIに移動し、目的の証明書をインポートして設定する必要があります。
(注)
メインのダッシュボードにアクセスするには、https://<ワイヤレス管理インターフェイスの IP>に移動します。以前に入力したクレデンシャルを使用します。すでに国コードが設定されているため、GUIは DAY 0のページをスキップし、DAY 1設定用のメインのダッシュボードを表示します。
C9800-CLの工場出荷時状態へのリセットAWSクラウド内の C9800-CL上ではコンソールアクセスを使用できません。インスタンスへの唯一のアクセス方法はネットワークを使用することです(つまりブートストラップ時に設定した IPとクレデンシャルを使用して)。設定を完全に消去するとユーザがロックアウトされ、回復する方法がないことは明白です。
つまり、インスタンスを工場出荷時状態にリセットしたり(「wr erase」など)、startup-configを無視するようにコンフィギュレーションレジスタを設定したりする従来の IOS-XE方式は使用できないということです。
工場出荷時設定のインスタンスを取得する唯一の方法は、新しく生成することです。
47
【注意】シスコ製品をご使用になる前に、安全上の注意(www.cisco.com/jp/go/safety_warning/)をご確認ください。本書は、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、
日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サ
イトのドキュメントを参照ください。また、契約等の記述については、弊社販売パートナー、または、
弊社担当者にご確認ください。