2019-02-22 05:49 PM 2020-06-02 03:22 PM 更新
このドキュメントでは実機の cEdge の交換作業について説明します。このドキュメントはゼロタッチプロビジョニングを利用していない環境で cEdge を交換するフィールドエンジニアの方が参照することを想定して作成しました。
なお、cEdge とは XE SD-WAN ソフトウェアが動作するルータのことを指します。例えば、XE SD-WAN ソフトウェアが動作する以下の機器などを cEdge と呼びます。
software.cisco.com 上の作業や vManage の GUI 上の作業については Field Engineer や TAC の Engineer が実施することは出来ません。お客様がご自身で実施して頂く必要があります。
XE SD-WAN イメージと ROMmon の互換性に問題がないか確認してください。
互換性がない場合は ROMmon のアップグレードを行ってください。
この作業は以下のコンテンツを参照して行ってください。
XE SD-WANイメージと ROMmon の互換性
https://community.cisco.com/t5/-/-/ta-p/3832974
以下を参照しコンフィグのバックアップを行ってください。
SD-WAN : cEdge のコンフィグのバックアップ
https://community.cisco.com/t5/-/-/ta-p/4094001
On-Site Bootstrap Process を実施する場合にはコンフィグのバックアップは必要ありませんが、
(可能性は低いですが)Software の不具合等で On-Site Bootstrap Process を実施できない可能性もあるため
バックアップをお願いします。
以下のドキュメントを参照し、交換前の機器(故障機)の情報を PnP Connect から削除してください。
SD-WAN : vEdge/cEdge を PnP Connect から削除する手順
https://community.cisco.com/t5/-/-/ta-p/4094176
以下のドキュメントを参照し、交換後の機器(交換部材)の情報を PnP Connect に追加してください。
SD-WAN : cEdge を PnP Connect に登録する手順
https://community.cisco.com/t5/-/-/ta-p/4093971
以下を参照し On-Site Bootstrap Process を実施してください。
SD-WAN : On-Site Bootstrap Process
https://community.cisco.com/t5/-/-/ta-p/4094202
On-Site Bootstrap Process を何らかの理由で実施できない場合は代わりに以下の手順を実施してください。
SD-WAN : On-Site Bootstrap Process を実施できない場合
https://community.cisco.com/t5/-/-/ta-p/4095122
On-Site Bootstrap Process を実施できないのは以下のような場合です。
・Software の不具合で On-Site Bootstrap Process 時に Bootstrap Configuration を読み込めない
・何らかの理由で Template を利用していない
特別な理由がない限りは On-Site Bootstrap Process をご実施頂くことを推奨します。
以下を参照し Root 証明書を cEdge にインストールしてください。
SD-WAN : Root 証明書のインストール
https://community.cisco.com/t5/-/-/ta-p/4094604
ここまでの作業が正常に完了していれば cEdge と SD-WAN Controller との Control Connection が張れていて、他のサイトの Edge Router と IPSec が張れている状態になっています。
正常性確認のために以下のようなことをご実施ください。
インターネットへの接続性の確認
Router#ping 8.8.8.8
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 2/3/4 ms
名前解決の正常性確認
Router#ping www.cisco.com
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 72.163.4.161, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 132/134/140 ms
Router#
時間が正しいか確認
*コントローラーとの時間のずれが大きいとコントロールコネクションを張れない等の問題が起きます。
Router#show clock 14:44:37.427 JST Wed Feb 13 2019
コントロールコネクションの確認(vManage, vBond, vSmart とコントロールコネクションが張れていることを確認してください)
Router#show sdwan control connections PEER PEER CONTROLLER PEER PEER PEER SITE DOMAIN PEER PRIV PEER PUB GROUP TYPE PROT SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR PROXY STATE UPTIME ID ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- vsmart dtls 10.10.1.3 1 1 192.168.100.3 12446 192.168.100.3 12446 biz-internet No up 3:08:48:23 0 vbond dtls 0.0.0.0 0 0 192.168.100.2 12346 192.168.100.2 12346 biz-internet - up 3:08:48:26 0 vmanage dtls 10.10.1.1 1 0 192.168.100.1 12446 192.168.100.1 12446 biz-internet No up 3:08:48:26 0
BFD Session(IPSec) の確認。他の site の vEdge/cEdge と BFD Session(IPSec) が張れていることを確認してください。
Router#show sdwan bfd sessions SOURCE TLOC REMOTE TLOC DST PUBLIC DST PUBLIC DETECT TX SYSTEM IP SITE ID STATE COLOR COLOR SOURCE IP IP PORT ENCAP MULTIPLIER INTERVAL(msec) UPTIME TRANSITIONS ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- 10.10.20.1 20 up biz-internet default 172.16.1.101 172.16.1.2 12346 ipsec 7 1000 3:08:49:47 0 10.10.30.1 30 up biz-internet default 172.16.1.101 172.16.1.3 12366 ipsec 7 1000 3:08:49:47 0
機器交換のときに使われそうな状態確認コマンドを幾つか紹介します。
Command | Description |
---|---|
show version | 機器の version の確認 |
show sdwan running-config | 機器のコンフィグを確認 |
show platform | 機器や module 等の状態確認 |
show inventory |
module やシリアル番号の確認 |
show sdwan certificate serial | シリアル番号の確認 |
show ip route vrf * |
ルーティングテーブルの確認 |
show arp show arp vrf <vrf_name> |
ARP 情報を表示 |
show sdwan ipsec inbound-connections |
inbound/outbound の IPSec のコネクションを確認 |
show interfaces | インタフェースの状態確認 |
show sdwan control connections |
コントローラーとの接続状態の確認 |
show cellular 0 all |
モバイルネットワークとの接続性の確認 |
show tech-support |
show tech-support |
request platform software sdwan admin-tech |
show tech-support 相当の XE SD-WAN ソフトウェアのログファイルを生成するコマンド |
show clock |
時刻の確認 |
show sdwan bfd sessions |
BFD Session の確認 |
お世話になっております。
cEdgeの交換手順に関しまして確認させてください。
ご提示頂いた交換方法なのですが、2点不足があると考えております。
1.シャーシナンバーとトークンの情報を交換するcEdge機器に入力する必要があると考えております
request platform software sdwan vedge_cloud activate chassis-number xxxxxxxxxx token XXXXXXXXXXXXXXX
2.vManageからSSHなどで入手したROOTCA.pemをインストールする必要があると考えております。
*ルート証明書の使用のされ方で対応が異なるかもしれませんが。
request platform software sdwan root-cert-chain install bootflash:ROOTCA.pem
認識に間違いはございませんでしょうか。
また他に交換に関しまして記載いただいた情報に不足がありましたらご案内を頂きますようお願いいたします。
ご指摘ありがとうございました。
>1.シャーシナンバーとトークンの情報を交換するcEdge機器に入力する必要があると考えております
>
>request platform software sdwan vedge_cloud activate chassis-number xxxxxxxxxx token XXXXXXXXXXXXXXX
こちらは Virtual Router のみで必要な作業で実機では必要のない作業になります。
CSR1Kv、ISRv 等の Virtual Router で交換が必要になることはあまりないかと思いますが、
Virtual Router の交換が発生するのであればこちらの作業が必要です。
Virtual Router ではこちらの作業が必要な旨を時間がある際に追記しておきます。
> 2.vManageからSSHなどで入手したROOTCA.pemをインストールする必要があると考えております。
こちらは必ずしも必要ではありませんが、必要になる場合もあります。
時間がある際に追記しておきます。
どうぞよろしくお願いします。
お世話になっております。
早速のご返信を頂きましてありがとうございます。
こちらでは交換では無く、検証にてcEdgeをvManage(UCSサーバにインストールしクラウド管理ではございません)
で管理する際に、インストールの際に以下を実施しました。cEdgeはASR1002Xになります。
request platform software sdwan vedge_cloud activate chassis-number xxxxxxxxxx token XXXXXXXXXXXXXXX
交換を試せていないのですが、インストールではpnpで登録後、代替品でProvisioningファイルをvManageにUploadしますと
シャーシ番号とトークンが表示されると認識しておりましたので交換の際も同様ではないかと考えておりますが
頂いた回答でお間違いないでしょうか。
再度の確認になりますがよろしくお願いいたします。
手順に関して追加の確認をさせていただきます。
・交換時、故障した機器に際しは物理交換前に、vManageのCONFIGURATION>DEVICESで対象機器をDecomisionする必要があるでしょうか。
・代替え機にて疎通確認までできた後は、故障機の情報はvManageの
CONFIGURATION>DEVICESでDelete WAN Edgeする必要があるでしょうか。
よろしくお願いいたします。
度々失礼致します。
cEdgeの交換の際にも以下のvManageでの作業が必要かと考えております。
SD-WAN : vEdge の交換 (PnP/vManageの作業)
https://community.cisco.com/t5/ネットワークインフラストラクチャ-ドキュメント/sd-wan-vedge-の交換-pnp-vmanageの作業/ta-p/3779738
交換機をinvalidにし、代替品はinvalidでProvisioningファイルをUploadし設定投入後Validにすれば良いと考えます。
その場合には上記に記載したDecommisionは必要無いと考えています。
また、Validにした後も、以下のコマンドはcEdgeをvManage管理化に置くときには必要なのではと考えます。
request platform software sdwan vedge_cloud activate chassis-number xxxxxxxxxx token XXXXXXXXXXXXXXX
最後に、vManageのLocal configを使用しリストアした場合には以下の設定を削除したファイルで
load overrideが必要と考えています。
omp
no shutdown <-- これ
(snip)
no ip finger <-- これ
いくつか投稿させていただいておりますが、可能な限りご返信や、記事の追記など頂ければ幸いです。
よろしくお願いいたします。
現在このドキュメント全体を最新の情報に合わせて更新中です。
来週中(6/1-5)には更新できるかと思いますので、その後頂いた内容については回答させて頂きたいと思います。
恐縮ですがもうしばらくお待ち下さい。
>こちらでは交換では無く、検証にてcEdgeをvManage(UCSサーバにインストールしクラウド管理ではございません)
>で管理する際に、インストールの際に以下を実施しました。cEdgeはASR1002Xになります。
>
>request platform software sdwan vedge_cloud activate chassis-number xxxxxxxxxx token XXXXXXXXXXXXXXX
>
>交換を試せていないのですが、インストールではpnpで登録後、代替品でProvisioningファイルをvManageにUploadしますと
>シャーシ番号とトークンが表示されると認識しておりましたので交換の際も同様ではないかと考えておりますが
>頂いた回答でお間違いないでしょうか。
すみません、ASR1002-X について失念しておりました。
ASR1002-X のみ例外的に物理 Router でも以下のコマンドが必要です。
request platform software sdwan vedge_cloud activate chassis-number xxxxxxxxxx token XXXXXXXXXXXXXXX
詳細は以下のドキュメントの「7. (Optional)デバイスの認証」に記載してあります。
SD-WAN : On-Site Bootstrap Process を実施できない場合
https://community.cisco.com/t5/-/-/ta-p/4095122
>・交換時、故障した機器に際しは物理交換前に、vManageのCONFIGURATION>DEVICESで対象機器を
> Decomisionする必要があるでしょうか。
>・代替え機にて疎通確認までできた後は、故障機の情報はvManageの >CONFIGURATION>DEVICESでDelete WAN Edge
> する必要があるでしょうか
更新後のドキュメントには cEdge を削除する手順を追加しました。 お手数ですが再度ドキュメントをご確認頂けますか。
>最後に、vManageのLocal configを使用しリストアした場合には以下の設定を削除したファイルで
>load overrideが必要と考えています。
>omp
> no shutdown <-- これ
>(snip)
> no ip finger <-- これ
omp 配下の no shutdown については削除する必要はないと思います。削除しなくても正常に load override が動作することを確認しました。
no ip finger についてはご認識の通りです。削除する必要があるので以下に追記させて頂きました。
ご指摘ありがとうございました。
SD-WAN : cEdge のコンフィグのバックアップ
https://community.cisco.com/t5/-/-/ta-p/4094001
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
下記より関連するコンテンツにアクセスできます