AVS- ACI 1.2(x) リリースを使用した GoTo（L3）モードの ASAv

概要

このドキュメントでは、ACI 1.2を使用してクライアントとサーバ間の通信を確立するために、L4-L7サービスグラフとして、Routed/GOTOモードの適応型セキュリティ仮想アプライアンス(ASAv)シングルファイアウォールを導入する方法について説明しますx)リリース

前提条件

要件

次の項目に関する知識があることが推奨されます。

• アクセスポリシーが設定され、インターフェイスがアップおよびインサービス
• EPG、ブリッジドメイン(BD)および仮想ルーティングおよび転送(VRF)はすでに設定されています

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

ハードウェアおよびソフトウェア：

• UCS C220 - 2.0(6d)
• ESXi/vCenter:5.5
• ASAv:asa-device-pkg-1.2.4.8
• AVS - 5.2.1.SV3.1.10
• APIC - 1.2(1i)
• リーフ/スパイン – 11.2(1i)
• デバイスパッケージ*.zipはすでにダウンロードされています

機能

• AVS
• ASAv
• EPG、BD、VRF
• Access Control List（ACL; アクセス コントロール リスト）
• L4-L7サービスグラフ
• vCenter

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期（デフォルト）設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

設定

ネットワーク図

この図に示すように、

設定

AVS Initial Setup creates a VMware vCenter Domain（VMM統合）2

注：

• 1つのドメインに複数のデータセンターおよび分散仮想スイッチ(DVS)エントリを作成できます。ただし、各データセンターに割り当てることができるCisco AVSは1つだけです。

• Cisco AVSを使用したサービスグラフの導入は、Cisco ACIリリース1.2(1i)とCisco AVSリリース5.2(1)SV3(1.10)からサポートされています。 サービスグラフ全体の設定は、Cisco Application Policy Infrastructure Controller(Cisco APIC)で行います。

• Cisco AVSを使用したサービス仮想マシン(VM)の展開は、Virtual Local Area Networks(VLAN)カプセル化モードを使用するVirtual Machine Manager(VMM)ドメインでのみサポートされます。ただし、コンピューティングVM（プロバイダーおよびコンシューマVM）は、Virtual Extensible LAN(VXLAN)またはVLANカプセル化を使用するVMMドメインに属することができます。

• また、ローカルスイッチングを使用する場合は、マルチキャストアドレスとプールは必要ありません。ローカルスイッチングが選択されていない場合は、マルチキャストプールを設定する必要があり、AVSファブリック全体のマルチキャストアドレスはマルチキャストプールに含まれません。AVSから発信されるすべてのトラフィックは、VLANまたはVXLANカプセル化されます。

図に示すように、[VM Networking] > [VMWare] > [Create vCenter Domain]に移動します。

ポートチャネルまたはVPC（仮想ポートチャネル）を使用している場合は、vSwitchポリシーを設定してMacピニングを使用することを推奨します。

この後、図に示すように、APICはAVSスイッチ設定をvCenterにプッシュする必要があります。

APICでは、VXLANトンネルエンドポイント(VTEP)アドレスがAVSのVTEPポートグループに割り当てられていることがわかります。このアドレスは、使用されている接続モード（VLANまたはVXLAN）に関係なく割り当てられます

vCenterへのCisco AVSソフトウェアのインストール

• このリンクを使用してCCOからvSphere Installation Bundle(VIB)をダウンロードします

注：この場合、ESX 5.5を使用しています。表1に、ESXi 6.0、5.5、5.1、および5.0の互換性マトリクスを示します

表1:ESXi 6.0、5.5、5.1、および5.0のホストソフトウェアバージョンの互換性

ZIPファイル内には3つのVIBファイルがあり、ESXiホストバージョンごとに1つずつ、図に示すようにESX 5.5に適した1つを選択します。

• VIBファイルをESX Datastoreにコピーします。これは、CLIを使用するか、vCenterから直接実行できます

注：VIBファイルがホスト上に存在する場合は、esxcli software vib removeコマンドを使用して削除します。

esxcliソフトウェアvib remove -n cross_cisco-vem-v197-5.2.1.3.1.5.0-3.2.1.vib

またはデータストアを直接参照します。

• ESXiホストで次のコマンドを使用して、AVSソフトウェアをインストールします。

 esxcli software vib install -v /vmfs/volumes/datastore1/cross_cisco-vem-v250-5.2.1.3.1.10.0-3.2.1.vib —maintenance-mode —no-sig-check

• Virtual Ethernet モジュール(VEM)が起動したら、AVSにホストを追加できます。

図に示すように、[Add Host to vSphere Distributed Switch]ダイアログボックスで、リーフスイッチに接続されている仮想NICポートを選択します（この例では、vmnic6のみを移動します）。

• [Next] をクリックします。
• [ネットワーク接続]ダイアログボックスで、[次へ]をクリックします
• [仮想マシンネットワーキング]ダイアログボックスで、[次へ]をクリックします
• [完了準備]ダイアログボックスで、[完了]をクリックします

注：複数のESXiホストを使用する場合は、すべてのホストでAVS/VEMを実行して、標準スイッチからDVSまたはAVSに管理できるようにする必要があります。

これでAVSの統合が完了し、L4-L7 ASAvの導入を続行する準備が整いました。

 ASAvの初期設定

• Cisco ASAvデバイスパッケージをダウンロードし、APICにインポートします。

図に示すように、[L4-L7 Services] > [Packages] > [Import Device Package]に移動します。

• すべてが正常に動作している場合、図に示すように、インポートされたデバイスパッケージが[L4-L7 Service Device Types]フォルダを展開していることがわかります。

続行する前に、実際のL4-L7統合を実行する前に、インストールのいくつかの側面を決定する必要があります。

管理ネットワークには、インバンド管理とアウトオブバンド(OOB)の2種類があり、これらはASAv、ロードバランサなどの基本的なアプリケーションセントリックインフラストラクチャ(ACI)に含まれないデバイスの管理に使用できます。

この場合、ASAvのOOBは標準vSwitchを使用して展開されます。ベアメタルASAまたはその他のサービスアプライアンスやサーバの場合は、図に示すように、OOB管理ポートをOOBスイッチまたはネットワークに接続します。

ASAv OOB管理ポート管理接続は、ESXiアップリンクポートを使用してOOB経由でAPICと通信する必要があります。vNICインターフェイスをマッピングする場合、Network adapter1は常にASAvのManagement0/0インターフェイスとに一致し、残の残はNetwork adapter2から開始します。

表2に、ネットワークアダプタIDとASAvインターフェイスIDの対応を示します。

表 2

• [File] > [Deploy OVF (Open Virtualization Format) Template]のウィザードを使用して、ASAv VMを展開します
• スタンドアロンESX ServerまたはvCenterにasav-viを使用する場合はasav-esxiを選択します。この場合、vCenterが使用されます。

• インストールウィザードに進み、利用規約に同意します。ウィザードの途中で、ホスト名、管理、IPアドレス、ファイアウォールモード、ASAvに関するその他の特定の情報など、いくつかのオプションを決定できます。ASAvにはOOB管理を使用することを忘れないでください。この場合は、VMネットワーク（標準スイッチ）を使用している間はインターフェイスManagement0/0を維持する必要があり、インターフェイスGigabitEthernet0-8がデフォルトのネットワークポートです。

• [Finish]をクリックし、ASAvの導入が完了するまで待ちます

• ASAv VMの電源をオンにし、コンソールからログインして初期設定を確認します。

• 図に示すように、一部の管理設定はすでにASAvファイアウォールにプッシュされています。adminユーザ名とパスワードを設定します。このユーザ名とパスワードは、ASAにログインして設定するためにAPICによって使用されます。ASAはOOBネットワークに接続でき、APICに到達できる必要があります。

username admin password <device_password> encrypted privilege 15

 さらに、グローバルコンフィギュレーションモードでhttp serverを有効にします。

http server enable

http 0.0.0.0 0.0.0.0 management

APICでのASAv統合のためのL4-L7:

• ACI GUIにログインし、サービスグラフを展開するテナントをクリックします。ナビゲーションペインの下部にある[L4-L7 services]を展開し、[L4-L7 Devices]を右クリックし、[Create L4-L7 devices]をクリックしてウィザードを開きます

• この実装では、次の設定が適用されます。

       – マネージモード

       – ファイアウォールサービス

       – 仮想デバイス

       – 単一ノードでAVSドメインに接続

       -ASAvモデル 

       – ルーテッドモード(GoTo)

       – 管理アドレス（Mgmt0/0インターフェイスに割り当てられた以前のアドレスと一致する必要があります）

• APICとしてHTTPSを使用するデフォルトでは、最もセキュアなプロトコルを使用してASAvと通信します

• 導入を成功させるには、デバイスインターフェイスとクラスタインターフェイスを正しく定義することが重要です

最初の部分では、前のセクションで示した表2を使用して、ネットワークアダプタIDと使用するASAvインターフェイスIDを正しく一致させます。パスは、ファイアウォールインターフェイスの出入りを可能にする物理ポート、ポートチャネル、またはVPCを指します。この場合、ASAはESXホスト内に配置され、両方のインターフェイスの入出力が同じです。物理アプライアンスでは、ファイアウォール(FW)の内部と外部は異なる物理ポートになります。

2つ目の部分では、クラスタインターフェイスを常に例外なく定義する必要があります（クラスタHAを使用していない場合でも）。これは、オブジェクトモデルがmIfインターフェイス（デバイスパッケージのメタインターフェイス）、LIfインターフェース（外部、内部、内部など）とCIf（具体的なインタフェース）。 L4-L7の具体的なデバイスは、デバイスクラスタ設定で設定する必要があり、この抽象化は論理デバイスと呼ばれます。論理デバイスは、コンクリートデバイス上の具体的なインタフェースにマッピングされた論理インタフェースを有する。

この例では、次の関連付けが使用されます。

Gi0/0 = vmnic2 = ServerInt/provider/server > EPG1

Gi0/1 = vmnic3 = ClientInt/consumer/client > EPG2

注：フェールオーバー/HAの導入では、GigabitEthernet 0/8がフェールオーバーインターフェイスとして事前設定されています。

デバイスの状態が安定しており、機能プロファイルとサービスグラフテンプレートを導入する準備が整っている必要があります

サービスグラフ寺

まず、ASAvの機能プロファイルを作成します。その前に、図に示すように、機能プロファイルグループを作成し、そのフォルダの下にL4-L7サービス機能プロファイルを作成する必要があります。

• ドロップダウンメニューから[WebPolicyForRoutedMode Profile]を選択し、ファイアウォールのインターフェイスの設定に進みます。以降の手順はオプションであり、後で実装または変更できます。これらの手順は、サービスグラフの再利用可能またはカスタム化の方法に応じて、導入のいくつかの段階で実行できます。

この演習では、ルーテッドファイアウォール（GoToモード）では、各インターフェイスに一意のIPアドレスが必要です。標準のASA設定には、インターフェイスのセキュリティレベルもあります（外部インターフェイスのセキュリティは低く、内部インターフェイスのセキュリティは高くなります）。 必要に応じて、インターフェイスの名前を変更することもできます。この例では、デフォルトを使用します。

• [Interface Specific Configuration]を展開し、IPアドレスx.x.x.x/y.y.y.yまたはx.x.x.x/yyの次の形式でServerIntのIPアドレスとセキュリティレベルを追加します。ClientIntインターフェイスのプロセスを繰り返します。

注：デフォルトのアクセスリスト設定を変更し、独自の基本テンプレートを作成することもできます。デフォルトでは、RoutedModeテンプレートにはHTTPおよびHTTPSのルールが含まれます。この演習では、許可された外部アクセスリストにSSHとICMPが追加されます。

• 次に、[送信]をクリックします
• ここで、サービスグラフテンプレートを作成します

• デバイスクラスタを右側にドラッグアンドドロップして、コンシューマとプロバイダーの関係を形成し、[ルーテッドモード(Routed Mode)]と以前に作成した機能プロファイルを選択します。

• テンプレートの障害をチェックします。テンプレートは再利用可能になるように作成され、特定のEPGなどに適用する必要があります。

• テンプレートを適用するには、右クリックして[Apply L4-L7 Service Graph Template]を選択します

• どのEPGがコンシューマ側とプロバイダー側になるかを定義します。この演習では、AVS-EPG2がコンシューマ（クライアント）であり、AVS-EPG1がプロバイダー（サーバ）です。 フィルタは適用されないことに注意してください。これにより、ファイアウォールは、このウィザードの最後のセクションで定義されたアクセスリストに基づいてすべてのフィルタリングを実行できます。
• [Next] をクリックします。

• 各EPGのBD情報を確認します。この場合、EPG1はIntBD DBのプロバイダーであり、EPG2はBD ExtBDのコンシューマです。EPG1はファイアウォールインターフェイスServerIntに接続し、EPG2はインターフェイスClientIntに接続します。両方のFWインターフェイスが各EPGのDGになるため、トラフィックは常にファイアウォールを通過するように強制されます。
• [Next] をクリックします。

• [Config Parameters]セクションで[All Parameters]をクリックし、更新または設定が必要なREDインジケータがあるかどうかを確認します。図に示す出力では、アクセスリストの順序が間違っていることがわかります。これは、show ip access-list Xで表示される回線順序と同じです。

• 先に定義した機能プロファイルから割り当てられたIPアドレスを確認することもできます。必要に応じて情報を変更する可能性が高くなります。すべてのパラメータを設定したら、図に示すように[Finish]をクリックします。

• 問題がなければ、新しい展開済みデバイスとグラフインスタンスが表示されます。

確認

• サービスグラフを作成した後で確認すべき重要な点の1つは、コンシューマ/プロバイダー関係が適切なメタコネクタで作成されていることです。[Function Connector Properties]で確認します。

注：ファイアウォールの各インターフェイスには、AVSダイナミックプールからencap-vlanが割り当てられます。障害がないことを確認します。

• 次に、ASAvにプッシュされた情報も確認できます

• 新しい契約がEPGの下に割り当てられます。今後、アクセスリストに何らかの変更を加える必要がある場合は、プロバイダーEPGのL4-L7サービスパラメータを変更する必要があります。

• vCenterでは、シャドウEPGが各FWインターフェイスに割り当てられていることを確認することもできます。

このテストでは、2つのEPGを標準契約と通信させ、これら2つのEPGは異なるドメインと異なるVRFにあるため、これらの間のルート漏出は以前に設定されています。これにより、FWが2つのEPG間でルーティングとフィルタリングを設定するときに、サービスグラフを挿入した後に少し簡素化されます。EPGおよびBDで以前に設定したDGは、契約と同じように削除できます。L4-L7によってプッシュされた契約だけがEPGの下に残ります。

標準の契約が削除されると、トラフィックがASAvを通過していることを確認できます。クライアントがサーバに要求を送信するたびに、show access-listコマンドでルールのヒットカウントが増加します。

リーフでは、クライアントとサーバのVMおよびASAvインターフェイスに対してエンドポイントを学習する必要があります

VEMに接続された両方のファイアウォールインターフェイスを参照してください。

ESX-1

ESX-2

最後に、送信元EPGと宛先EPGのPCタグがわかっている場合は、リーフレベルでもファイアウォールルールを確認できます。

フィルタIDをリーフのPCタグと一致させて、FWルールを確認できます。

注：EPG PCTags/Sclassは直接通信しません。通信は、L4-L7サービスグラフの挿入によって作成されたシャドウEPGを介して中断または結合されます。

サーバへの通信クライアントが動作します。

トラブルシュート

VTEPアドレスが割り当てられていない

AEPで[Infrastructure Vlan]がチェックされていることを確認します。

サポートされていないバージョン

VEMのバージョンが正しいことを確認し、適切なESXi VMWareシステムをサポートします。

~ # vem version
Running esx version -1746974 x86_64
VEM Version: 5.2.1.3.1.10.0-3.2.1
OpFlex SDK Version: 1.2(1i)
System Version: VMware ESXi 5.5.0 Releasebuild-1746974
ESX Version Update Level: 0

[an error occurred while processing this directive]

VEMとファブリック通信が機能しない

- Check VEM status
vem status
 
- Try reloading or restating the VEM at the host:
vem reload
vem restart
 
- Check if there’s connectivity towards the Fabric. You can try pinging 10.0.0.30 which is (infra:default) with 10.0.0.30 (shared address, for both Leafs)
 
~ # vmkping -I vmk1 10.0.0.30
PING 10.0.0.30 (10.0.0.30): 56 data bytes
 
--- 10.0.0.30 ping statistics ---
3 packets transmitted, 0 packets received, 100% packet loss
 
If ping fails, check:
 
- Check OpFlex status - The DPA (DataPathAgent) handles all the control traffic between AVS and APIC (talks to the immediate Leaf switch that is connecting to) using OpFlex (opflex client/agent). 
All EPG communication will go thru this opflex connection.
 
~ # vemcmd show opflex
Status: 0 (Discovering)
Channel0: 0 (Discovering), Channel1: 0 (Discovering)
Dvs name: comp/prov-VMware/ctrlr-[AVS]-vCenterController/sw-dvs-129
Remote IP: 10.0.0.30 Port: 8000
Infra vlan: 3967
FTEP IP: 10.0.0.32
Switching Mode: unknown
Encap Type: unknown
NS GIPO: 0.0.0.0
 
you can also check the status of the vmnics at the host level:
 
~ # esxcfg-vmknic -l
Interface  Port Group/DVPort   IP Family IP Address                              Netmask         Broadcast       MAC Address       MTU     TSO MSS   Enabled Type
vmk0       Management Network  IPv4      10.201.35.219                           255.255.255.0   10.201.35.255   e4:aa:5d:ad:06:3e 1500    65535     true    STATIC
vmk0       Management Network  IPv6      fe80::e6aa:5dff:fead:63e                64                              e4:aa:5d:ad:06:3e 1500    65535     true    STATIC, PREFERRED
vmk1       160                 IPv4      10.0.32.65                              255.255.0.0     10.0.255.255    00:50:56:6b:ca:25 1500    65535     true    STATIC
vmk1       160                 IPv6      fe80::250:56ff:fe6b:ca25                64                              00:50:56:6b:ca:25 1500    65535     true    STATIC, PREFERRED
~ #
 
- Also on the host, verify if DHCP requests are sent back and forth:
 
~ # tcpdump-uw -i vmk1
tcpdump-uw: verbose output suppressed, use -v or -vv for full protocol decode
listening on vmk1, link-type EN10MB (Ethernet), capture size 96 bytes
12:46:08.818776 IP truncated-ip - 246 bytes missing! 0.0.0.0.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from 00:50:56:6b:ca:25 (oui Unknown), length 300
12:46:13.002342 IP truncated-ip - 246 bytes missing! 0.0.0.0.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from 00:50:56:6b:ca:25 (oui Unknown), length 300
12:46:21.002532 IP truncated-ip - 246 bytes missing! 0.0.0.0.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from 00:50:56:6b:ca:25 (oui Unknown), length 300
12:46:30.002753 IP truncated-ip - 246 bytes missing! 0.0.0.0.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from 00:50:56:6b:ca:25 (oui Unknown), length 300

[an error occurred while processing this directive]

この時点で、ESXiホストとリーフの間のファブリック通信が正しく動作していないと判断できます。一部の検証コマンドは、リーフ側でチェックして根本原因を特定できます。

leaf2# show cdp ne
 
Capability Codes: R - Router, T - Trans-Bridge, B - Source-Route-Bridge
                  S - Switch, H - Host, I - IGMP, r - Repeater,
                  V - VoIP-Phone, D - Remotely-Managed-Device,
                  s - Supports-STP-Dispute
 
Device-ID          Local Intrfce  Hldtme  Capability  Platform      Port ID
AVS:localhost.localdomainmain
                     Eth1/5          169     S I s      VMware ESXi    vmnic4
AVS:localhost.localdomainmain
                     Eth1/6          169     S I s      VMware ESXi    vmnic5
N3K-2(FOC1938R02L)
                     Eth1/13         166     R S I s    N3K-C3172PQ-1  Eth1/13
 
leaf2# show port-c sum
Flags:  D - Down        P - Up in port-channel (members)
        I - Individual  H - Hot-standby (LACP only)
        s - Suspended   r - Module-removed
        S - Switched    R - Routed
        U - Up (port-channel)
        M - Not in use. Min-links not met
        F - Configuration failed
-------------------------------------------------------------------------------
Group Port-       Type     Protocol  Member Ports
      Channel
-------------------------------------------------------------------------------
5     Po5(SU)     Eth      LACP      Eth1/5(P)    Eth1/6(P)

[an error occurred while processing this directive]

Po5を介して接続されたESXiで使用される2つのポートがあります

VMwareを使用したASAvの導入

シスコ『Cisco Adaptive Security Virtual Appliance(ASAv)クイックスタートガイド』、9.4

Cisco ACIおよびCisco AVS

シスコ『Cisco ACI Virtualization Guide, Release 1.2(1i)』

シスコアプリケーションセントリックインフラストラクチャを使用したサービスグラフ設計ホワイトペーパー 

シスコアプリケーションセントリックインフラストラクチャを使用したサービスグラフ設計ホワイトペーパー

テクニカル サポートとドキュメント – Cisco Systems