この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。
このドキュメントでは、ACI 1.2を使用してクライアントとサーバ間の通信を確立するために、L4-L7サービスグラフとして、Routed/GOTOモードの適応型セキュリティ仮想アプライアンス(ASAv)シングルファイアウォールを導入する方法について説明しますx)リリース
次の項目に関する知識があることが推奨されます。
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
ハードウェアおよびソフトウェア:
機能
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
この図に示すように、
AVS Initial Setup creates a VMware vCenter Domain(VMM統合)2
注:
図に示すように、[VM Networking] > [VMWare] > [Create vCenter Domain]に移動します。
ポートチャネルまたはVPC(仮想ポートチャネル)を使用している場合は、vSwitchポリシーを設定してMacピニングを使用することを推奨します。
この後、図に示すように、APICはAVSスイッチ設定をvCenterにプッシュする必要があります。
APICでは、VXLANトンネルエンドポイント(VTEP)アドレスがAVSのVTEPポートグループに割り当てられていることがわかります。このアドレスは、使用されている接続モード(VLANまたはVXLAN)に関係なく割り当てられます
vCenterへのCisco AVSソフトウェアのインストール
注:この場合、ESX 5.5を使用しています。表1に、ESXi 6.0、5.5、5.1、および5.0の互換性マトリクスを示します
表1:ESXi 6.0、5.5、5.1、および5.0のホストソフトウェアバージョンの互換性
ZIPファイル内には3つのVIBファイルがあり、ESXiホストバージョンごとに1つずつ、図に示すようにESX 5.5に適した1つを選択します。
注:VIBファイルがホスト上に存在する場合は、esxcli software vib removeコマンドを使用して削除します。
esxcliソフトウェアvib remove -n cross_cisco-vem-v197-5.2.1.3.1.5.0-3.2.1.vib
またはデータストアを直接参照します。
esxcli software vib install -v /vmfs/volumes/datastore1/cross_cisco-vem-v250-5.2.1.3.1.10.0-3.2.1.vib —maintenance-mode —no-sig-check
図に示すように、[Add Host to vSphere Distributed Switch]ダイアログボックスで、リーフスイッチに接続されている仮想NICポートを選択します(この例では、vmnic6のみを移動します)。
注:複数のESXiホストを使用する場合は、すべてのホストでAVS/VEMを実行して、標準スイッチからDVSまたはAVSに管理できるようにする必要があります。
これでAVSの統合が完了し、L4-L7 ASAvの導入を続行する準備が整いました。
ASAvの初期設定
図に示すように、[L4-L7 Services] > [Packages] > [Import Device Package]に移動します。
続行する前に、実際のL4-L7統合を実行する前に、インストールのいくつかの側面を決定する必要があります。
管理ネットワークには、インバンド管理とアウトオブバンド(OOB)の2種類があり、これらはASAv、ロードバランサなどの基本的なアプリケーションセントリックインフラストラクチャ(ACI)に含まれないデバイスの管理に使用できます。
この場合、ASAvのOOBは標準vSwitchを使用して展開されます。ベアメタルASAまたはその他のサービスアプライアンスやサーバの場合は、図に示すように、OOB管理ポートをOOBスイッチまたはネットワークに接続します。
ASAv OOB管理ポート管理接続は、ESXiアップリンクポートを使用してOOB経由でAPICと通信する必要があります。vNICインターフェイスをマッピングする場合、Network adapter1は常にASAvのManagement0/0インターフェイスとに一致し、残の残はNetwork adapter2から開始します。
表2に、ネットワークアダプタIDとASAvインターフェイスIDの対応を示します。
表 2
username admin password <device_password> encrypted privilege 15
さらに、グローバルコンフィギュレーションモードでhttp serverを有効にします。
http server enable
http 0.0.0.0 0.0.0.0 management
APICでのASAv統合のためのL4-L7:
この実装では、次の設定が適用されます。
– マネージモード
– ファイアウォールサービス
– 仮想デバイス
– 単一ノードでAVSドメインに接続
-ASAvモデル
– ルーテッドモード(GoTo)
– 管理アドレス(Mgmt0/0インターフェイスに割り当てられた以前のアドレスと一致する必要があります)
最初の部分では、前のセクションで示した表2を使用して、ネットワークアダプタIDと使用するASAvインターフェイスIDを正しく一致させます。パスは、ファイアウォールインターフェイスの出入りを可能にする物理ポート、ポートチャネル、またはVPCを指します。この場合、ASAはESXホスト内に配置され、両方のインターフェイスの入出力が同じです。物理アプライアンスでは、ファイアウォール(FW)の内部と外部は異なる物理ポートになります。
2つ目の部分では、クラスタインターフェイスを常に例外なく定義する必要があります(クラスタHAを使用していない場合でも)。これは、オブジェクトモデルがmIfインターフェイス(デバイスパッケージのメタインターフェイス)、LIfインターフェース(外部、内部、内部など)とCIf(具体的なインタフェース)。 L4-L7の具体的なデバイスは、デバイスクラスタ設定で設定する必要があり、この抽象化は論理デバイスと呼ばれます。論理デバイスは、コンクリートデバイス上の具体的なインタフェースにマッピングされた論理インタフェースを有する。
この例では、次の関連付けが使用されます。
Gi0/0 = vmnic2 = ServerInt/provider/server > EPG1
Gi0/1 = vmnic3 = ClientInt/consumer/client > EPG2
注:フェールオーバー/HAの導入では、GigabitEthernet 0/8がフェールオーバーインターフェイスとして事前設定されています。
デバイスの状態が安定しており、機能プロファイルとサービスグラフテンプレートを導入する準備が整っている必要があります
サービスグラフ寺
まず、ASAvの機能プロファイルを作成します。その前に、図に示すように、機能プロファイルグループを作成し、そのフォルダの下にL4-L7サービス機能プロファイルを作成する必要があります。
この演習では、ルーテッドファイアウォール(GoToモード)では、各インターフェイスに一意のIPアドレスが必要です。標準のASA設定には、インターフェイスのセキュリティレベルもあります(外部インターフェイスのセキュリティは低く、内部インターフェイスのセキュリティは高くなります)。 必要に応じて、インターフェイスの名前を変更することもできます。この例では、デフォルトを使用します。
注:デフォルトのアクセスリスト設定を変更し、独自の基本テンプレートを作成することもできます。デフォルトでは、RoutedModeテンプレートにはHTTPおよびHTTPSのルールが含まれます。この演習では、許可された外部アクセスリストにSSHとICMPが追加されます。
注:ファイアウォールの各インターフェイスには、AVSダイナミックプールからencap-vlanが割り当てられます。障害がないことを確認します。
このテストでは、2つのEPGを標準契約と通信させ、これら2つのEPGは異なるドメインと異なるVRFにあるため、これらの間のルート漏出は以前に設定されています。これにより、FWが2つのEPG間でルーティングとフィルタリングを設定するときに、サービスグラフを挿入した後に少し簡素化されます。EPGおよびBDで以前に設定したDGは、契約と同じように削除できます。L4-L7によってプッシュされた契約だけがEPGの下に残ります。
標準の契約が削除されると、トラフィックがASAvを通過していることを確認できます。クライアントがサーバに要求を送信するたびに、show access-listコマンドでルールのヒットカウントが増加します。
リーフでは、クライアントとサーバのVMおよびASAvインターフェイスに対してエンドポイントを学習する必要があります
VEMに接続された両方のファイアウォールインターフェイスを参照してください。
ESX-1
ESX-2
最後に、送信元EPGと宛先EPGのPCタグがわかっている場合は、リーフレベルでもファイアウォールルールを確認できます。
フィルタIDをリーフのPCタグと一致させて、FWルールを確認できます。
注:EPG PCTags/Sclassは直接通信しません。通信は、L4-L7サービスグラフの挿入によって作成されたシャドウEPGを介して中断または結合されます。
サーバへの通信クライアントが動作します。
VTEPアドレスが割り当てられていない
AEPで[Infrastructure Vlan]がチェックされていることを確認します。
サポートされていないバージョン
VEMのバージョンが正しいことを確認し、適切なESXi VMWareシステムをサポートします。
~ # vem version Running esx version -1746974 x86_64 VEM Version: 5.2.1.3.1.10.0-3.2.1 OpFlex SDK Version: 1.2(1i) System Version: VMware ESXi 5.5.0 Releasebuild-1746974 ESX Version Update Level: 0[an error occurred while processing this directive]
VEMとファブリック通信が機能しない
- Check VEM status vem status - Try reloading or restating the VEM at the host: vem reload vem restart - Check if there’s connectivity towards the Fabric. You can try pinging 10.0.0.30 which is (infra:default) with 10.0.0.30 (shared address, for both Leafs) ~ # vmkping -I vmk1 10.0.0.30 PING 10.0.0.30 (10.0.0.30): 56 data bytes --- 10.0.0.30 ping statistics --- 3 packets transmitted, 0 packets received, 100% packet loss If ping fails, check: - Check OpFlex status - The DPA (DataPathAgent) handles all the control traffic between AVS and APIC (talks to the immediate Leaf switch that is connecting to) using OpFlex (opflex client/agent).[an error occurred while processing this directive]
All EPG communication will go thru this opflex connection. ~ # vemcmd show opflex Status: 0 (Discovering) Channel0: 0 (Discovering), Channel1: 0 (Discovering) Dvs name: comp/prov-VMware/ctrlr-[AVS]-vCenterController/sw-dvs-129 Remote IP: 10.0.0.30 Port: 8000 Infra vlan: 3967 FTEP IP: 10.0.0.32 Switching Mode: unknown Encap Type: unknown NS GIPO: 0.0.0.0 you can also check the status of the vmnics at the host level: ~ # esxcfg-vmknic -l Interface Port Group/DVPort IP Family IP Address Netmask Broadcast MAC Address MTU TSO MSS Enabled Type vmk0 Management Network IPv4 10.201.35.219 255.255.255.0 10.201.35.255 e4:aa:5d:ad:06:3e 1500 65535 true STATIC vmk0 Management Network IPv6 fe80::e6aa:5dff:fead:63e 64 e4:aa:5d:ad:06:3e 1500 65535 true STATIC, PREFERRED vmk1 160 IPv4 10.0.32.65 255.255.0.0 10.0.255.255 00:50:56:6b:ca:25 1500 65535 true STATIC vmk1 160 IPv6 fe80::250:56ff:fe6b:ca25 64 00:50:56:6b:ca:25 1500 65535 true STATIC, PREFERRED ~ # - Also on the host, verify if DHCP requests are sent back and forth: ~ # tcpdump-uw -i vmk1 tcpdump-uw: verbose output suppressed, use -v or -vv for full protocol decode listening on vmk1, link-type EN10MB (Ethernet), capture size 96 bytes 12:46:08.818776 IP truncated-ip - 246 bytes missing! 0.0.0.0.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from 00:50:56:6b:ca:25 (oui Unknown), length 300 12:46:13.002342 IP truncated-ip - 246 bytes missing! 0.0.0.0.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from 00:50:56:6b:ca:25 (oui Unknown), length 300 12:46:21.002532 IP truncated-ip - 246 bytes missing! 0.0.0.0.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from 00:50:56:6b:ca:25 (oui Unknown), length 300 12:46:30.002753 IP truncated-ip - 246 bytes missing! 0.0.0.0.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from 00:50:56:6b:ca:25 (oui Unknown), length 300
この時点で、ESXiホストとリーフの間のファブリック通信が正しく動作していないと判断できます。一部の検証コマンドは、リーフ側でチェックして根本原因を特定できます。
leaf2# show cdp ne Capability Codes: R - Router, T - Trans-Bridge, B - Source-Route-Bridge S - Switch, H - Host, I - IGMP, r - Repeater, V - VoIP-Phone, D - Remotely-Managed-Device, s - Supports-STP-Dispute Device-ID Local Intrfce Hldtme Capability Platform Port ID AVS:localhost.localdomainmain Eth1/5 169 S I s VMware ESXi vmnic4 AVS:localhost.localdomainmain Eth1/6 169 S I s VMware ESXi vmnic5 N3K-2(FOC1938R02L) Eth1/13 166 R S I s N3K-C3172PQ-1 Eth1/13 leaf2# show port-c sum Flags: D - Down P - Up in port-channel (members) I - Individual H - Hot-standby (LACP only) s - Suspended r - Module-removed S - Switched R - Routed U - Up (port-channel) M - Not in use. Min-links not met F - Configuration failed ------------------------------------------------------------------------------- Group Port- Type Protocol Member Ports Channel ------------------------------------------------------------------------------- 5 Po5(SU) Eth LACP Eth1/5(P) Eth1/6(P)[an error occurred while processing this directive]
Po5を介して接続されたESXiで使用される2つのポートがあります
leaf2# show vlan extended VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 13 infra:default active Eth1/1, Eth1/20 19 -- active Eth1/13 22 mgmt:inb active Eth1/1 26 -- active Eth1/5, Eth1/6, Po5 27 -- active Eth1/1 28 :: active Eth1/5, Eth1/6, Po5 36 common:pod6_BD active Eth1/5, Eth1/6, Po5 VLAN Type Vlan-mode Encap ---- ----- ---------- ------------------------------- 13 enet CE vxlan-16777209, vlan-3967 19 enet CE vxlan-14680064, vlan-150 22 enet CE vxlan-16383902 26 enet CE vxlan-15531929, vlan-200 27 enet CE vlan-11 28 enet CE vlan-14 36 enet CE vxlan-15662984[an error occurred while processing this directive] 上記の出力から、インフラストラクチャVLANが許可されていないか、ESXiホスト(1/5-6)に接続するアップリンクポートを通過しないことが確認できます。 これは、インターフェイスポリシーまたはスイッチポリシーがAPICで設定されている設定が誤っていることを示します。
leaf2# show vlan extended VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 13 infra:default active Eth1/1, Eth1/5, Eth1/6, Eth1/20, Po5 19 -- active Eth1/13 22 mgmt:inb active Eth1/1 26 -- active Eth1/5, Eth1/6, Po5 27 -- active Eth1/1 28 :: active Eth1/5, Eth1/6, Po5 36 common:pod6_BD active Eth1/5, Eth1/6, Po5 VLAN Type Vlan-mode Encap ---- ----- ---------- ------------------------------- 13 enet CE vxlan-16777209, vlan-3967 19 enet CE vxlan-14680064, vlan-150 22 enet CE vxlan-16383902 26 enet CE vxlan-15531929, vlan-200 27 enet CE vlan-11 28 enet CE vlan-14 36 enet CE vxlan-15662984 and Opflex connection is restablised after restarting the VEM module: ~ # vem restart stopDpa VEM SwISCSI PID is Warn: DPA running host/vim/vimuser/cisco/vem/vemdpa.213997 Warn: DPA running host/vim/vimuser/cisco/vem/vemdpa.213997 watchdog-vemdpa: Terminating watchdog process with PID 213974 ~ # vemcmd show opflex Status: 0 (Discovering) Channel0: 14 (Connection attempt), Channel1: 0 (Discovering) Dvs name: comp/prov-VMware/ctrlr-[AVS]-vCenterController/sw-dvs-129 Remote IP: 10.0.0.30 Port: 8000 Infra vlan: 3967 FTEP IP: 10.0.0.32 Switching Mode: unknown Encap Type: unknown NS GIPO: 0.0.0.0 ~ # vemcmd show opflex Status: 12 (Active) Channel0: 12 (Active), Channel1: 0 (Discovering) Dvs name: comp/prov-VMware/ctrlr-[AVS]-vCenterController/sw-dvs-129 Remote IP: 10.0.0.30 Port: 8000 Infra vlan: 3967 FTEP IP: 10.0.0.32 Switching Mode: LS Encap Type: unknown NS GIPO: 0.0.0.0[an error occurred while processing this directive]
アプリケーション仮想スイッチのインストール
シスコ『Cisco Application Virtual Switch Installation Guide, Release 5.2(1)SV3(1.2)』VMwareを使用したASAvの導入
シスコ『Cisco Adaptive Security Virtual Appliance(ASAv)クイックスタートガイド』、9.4
Cisco ACIおよびCisco AVS
シスコ『Cisco ACI Virtualization Guide, Release 1.2(1i)』
シスコアプリケーションセントリックインフラストラクチャを使用したサービスグラフ設計ホワイトペーパー