この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
この章は、次の内容で構成されています。
この章では、Cisco Prime Network Services Controller(Cisco Prime NSC)と Cisco Virtual Security Gateway(Cisco VSG)の基本動作設定をインストールし、設定する方法について説明します。 この章の例では、ソフトウェアの ISO ファイルを使用してインストールします。 手順では、Cisco Nexus 1000V シリーズ スイッチが動作可能で、エンドポイントの VM がすでにインストールされていることを想定しています。
Cisco Prime NSC および Cisco VSG を正常に動作させるには、お使いのネットワークおよび装置の配置とアーキテクチャを計画する必要があります。
次の表に、Cisco VSG と Cisco Prime NSC インストールの基本的なハードウェアおよびソフトウェア要件を示します。
要件 | 説明 | ||||
---|---|---|---|---|---|
仮想 CPU |
|||||
メモリ |
|||||
ディスク容量 |
Cisco VSG 3GB Cisco Prime NSC:インタークラウド機能なし、共有 NFS または SAN で 40 GB。2 個のディスク上に次のように構成します。 |
||||
プロセッサ |
64 ビット プロセッサ搭載の x86 Intel サーバまたは AMD サーバ。 |
||||
ネットワーク インターフェース |
|||||
Microsoft SCVMM |
SCVMM 2012 SP1 または SCVMM 2012 R2 |
||||
ブラウザ |
次のブラウザのいずれかになります。
|
||||
ポート |
Web ブラウザおよび次のポートを使用した Cisco Prime NSC アプリケーションへのアクセス(導入においてファイアウォールを使用する場合は、次のポートも許可してください): |
||||
Flash Player |
Adobe Flash Player プラグイン 11.2 以降 |
(注) |
Cisco VSG ソフトウェアは http://www.cisco.com/en/US/products/ps13095/index.html からダウンロードでき、Cisco Prime NSC ソフトウェアは http://www.cisco.com/en/US/products/ps13213/index.html からダウンロードできます。 |
(注) |
必須モードの VSM を使用して VSG サービスにアクセスしようとすると、VSG には Nexus1000V マルチハイパーバイザ ライセンスが必要であることを示すエラー メッセージが VSM コンソールに生成されます。 |
(注) |
ソフトウェア リリース 5.2(1)SM(5.2) にアップグレードする前に、評価ライセンス、または永久(MSFT PKG)ライセンスのいずれかでインストールする必要があります。 |
(注) |
評価または永久 Nexus1000V マルチハイパーバイザのライセンスをリクエストする必要があります。 |
Cisco Nexus 1000V for Microsoft Hyper-V のライセンスの詳細については、『Cisco Nexus 1000V for Microsoft Hyper-V License Configuration Guide(Cisco Nexus 1000V for Microsoft Hyper-V ライセンス コンフィギュレーション ガイド)』を参照してください。
次の情報は、Cisco Prime NSC および Cisco VSG のインストール中に使用できます。
種類 | 自分の情報 | ||
---|---|---|---|
Cisco VSG 名:インベントリ フォルダ内で一意の、80 文字までの名前 |
|||
ホスト名:Cisco VSG がインベントリ フォルダ内でインストールされる場所 |
|||
ISO:管理を行うために C:\ProgramData\Virtual Machine Manager Library Files\ISO に保存している場合は、SCVMM ライブラリ内で管理されます。 ISO ファイルを指定された場所に保存した後で、SCVMM ライブラリを更新します。 |
|||
Cisco VSG 管理 IP アドレス |
|||
VSM 管理 IP アドレス |
|||
Cisco Prime NSC instance IP address |
|||
Cisco VSG をインストールするためのモード |
|||
Cisco VSG VLAN 番号 |
|||
Cisco VSG ポート プロファイル名
|
|||
HA ペア ID(HA ドメイン ID) |
|||
Cisco VSG 管理者パスワード |
|||
Cisco Prime NSC管理者パスワード |
|||
Cisco VSM 管理者パスワード |
|||
共有秘密パスワード(Cisco Prime NSC、Cisco VSG ポリシー エージェント、Cisco VSM ポリシー エージェント) |
|||
NSC DNS IP アドレス | |||
NSC NTP IP アドレス |
タスク |
前提条件 | ||||
---|---|---|---|---|---|
タスク 1:ISO イメージからの Cisco Prime NSC のインストール |
|
||||
タスク 2:VSM での Cisco Prime NSC ポリシー エージェントの設定 |
|
||||
タスク 3:VSM での Cisco VSG ポート プロファイルの作成 |
|
||||
タスク 4:VSM でのホスト上の仮想ネットワーク アダプタの設定 |
|
||||
タスク 5:ISO イメージからの Cisco VSG のインストール |
|
||||
タスク 6:VSG での Cisco Prime NSC Policy Agent の設定 |
|
||||
タスク 7:Cisco VSG、Cisco VSM および Cisco Prime NSC での NSC ポリシー エージェント ステータスの確認 | — | ||||
タスク 8:Cisco Prime NSC でのテナント、セキュリティ プロファイル、コンピュート ファイアウォールの設定、および Cisco VSG の コンピュート ファイアウォールへの割り当て |
|
||||
タスク 13:Microsoft Service Provider Foundation のインストール | — | ||||
タスク 9:Cisco Prime NSC での Cisco VSG のコンピュート ファイアウォールへの割り当て | — | ||||
タスク 9:Prime NSC での Permit-All ルールの設定 | — | ||||
タスク 10:Cisco VSG での Permit-All ルールの確認 | — | ||||
タスク 11:ロギングのイネーブル化 | — | ||||
タスク 12:ファイアウォールによる保護のためのトラフィック VM ポート プロファイルのイネーブル化と VSM、VEM、VSG 間の通信の確認 |
|
||||
タスク 14:トラフィック フローの送信と Cisco VSG での統計およびログの確認 | — |
Cisco VSG ソフトウェアは、次の URL からダウンロードできます。
http://software.cisco.com/download/navigator.html
Cisco Prime NSC ソフトウェアは、次の URL からダウンロードできます。
http://software.cisco.com/download/navigator.html次の条件が満たされていることを確認します。
1. SCVMM を起動します。
2. [VMs and Services] ペインで、Cisco Prime NSC VM を導入する Hyper-V ホストを選択します。
3. Hyper-V ホストを右クリックし、[Create Virtual Machine] を選択します。
4. [Create Virtual Machine] ウィザードの [Select Source] 画面で、[Create the new virtual machine with a blank virtual hard disk] オプション ボタンを選択し、[Next] をクリックします。
5. [Specify Virtual Machine Identity] 画面で、仮想マシンの名前と説明を指定し、[Next] をクリックします。
6. [Configure Hardware] 画面で、次の手順を実行します。
7. [Select Destination] 画面で、次の手順を実行します。
8. [Select Host] 画面で宛先を選択し、[Next] をクリックします。
9. [Configure Settings] 画面で [Browse] をクリックし、仮想マシン ファイルのストレージの場所まで移動して [Next] をクリックします。
10. [Add properties] 画面で、オペレーティング システムとして [Red Hat Enterprise Linux 5 (64 bit)] を選択し、[Next] をクリックします。
11. [Summary] 画面で、次の手順を実行します。
12. VM が正常に作成されたら、新しい仮想マシンを右クリックし、[Connect or View] > [Connect Via Console] を選択します。
13. コンソールを起動し、Cisco Prime NSC をインストールします。
14. Cisco Prime NSC が正常に導入されたら、[Close] をクリックし、Cisco Prime NSC VM の電源をオンにします。
Cisco Prime NSC をインストールした場合は、VSM を Cisco Prime NSC に登録する必要があります。
次の条件が満たされていることを確認します。
VSM の Cisco Prime NSC ポリシー エージェント イメージ(例、vsmhv-pa.3.2.1c.bin)
(注) |
イメージ名の中に、太字の vsmhv-pa というストリングが表示される必要があります。 |
Cisco Prime NSC の IP アドレス
Cisco Prime NSC インストール中に定義した共有秘密パスワード
VSM と Cisco Prime NSC 間の IP 接続が機能していること
(注) |
VSM をアップグレードする場合は、最新の Cisco VSM ポリシー エージェント イメージもコピーする必要があります。 このイメージは、フラッシュ ドライブから起動する Cisco Prime NSC イメージ バンドルで利用でき、Cisco Prime NSC への登録を実行します。 |
(注) |
VSM クロックは Cisco Prime NSC クロックと同期させる必要があります。 |
1. VSM で、次のコマンドを入力します。
2. Cisco Prime NSC が正しくインストールされ、到達可能になったことを確認するため、show nsc-pa status コマンドを入力し、NSC ポリシー エージェント設定のステータスを確認します。 次の例は、Cisco Prime NSC が到達可能で、インストールが正しく行われたことを示しています。
ステップ 1 |
VSM で、次のコマンドを入力します。 vsm# configure terminal vsm(config)# nsc-policy-agent vsm(config-nsc-policy-agent)# registration-ip 10.193.75.95 vsm(config-nsc-policy-agent)# shared-secret Example_Secret123 vsm(config-nsc-policy-agent)# policy-agent-image vsmhv-pa.3.2.1c.bin vsm(config-nsc-policy-agent)# exit vsm(config)# copy running-config startup-config vsm(config)# exit |
ステップ 2 |
Cisco Prime NSC が正しくインストールされ、到達可能になったことを確認するため、show nsc-pa status コマンドを入力し、NSC ポリシー エージェント設定のステータスを確認します。 次の例は、Cisco Prime NSC が到達可能で、インストールが正しく行われたことを示しています。 vsm# show nsc-pa status NSC Policy-Agent status is - Installed Successfully. Version 3.2(1)-vsm vsm これで、VSM が Cisco Prime NSC に登録されたことが確認できました。 |
次の例は、Cisco Prime NSC が到達不能で、不適切な IP が設定されていることを示しています。
vsm# show nsc-pa status
nsc Policy-Agent status is - Installation Failure
Cisco Prime NSC not reachable.
vsm#
次の例は、NSC ポリシー エージェントが設定されていないだけでなくインストールされていないことを示しています。
vsm# show nsc-pa status NSC Policy-Agent status is - Not Installed
Cisco VSG ポート プロファイルを作成するには、VLAN を作成して、Cisco VSG データ ポート プロファイルと Cisco VSG-ha ポート プロファイルでそれらの VLAN を使用します。
次の条件が満たされていることを確認します。
1. まず Cisco VSG データ ポート プロファイル設定モードをイネーブル化することで、Cisco VSG-ha データ ポート プロファイルと Cisco VSG ポート プロファイルを作成します。 Cisco VSG データ インターフェイスはシステム VLAN である必要があります。 システム VLAN で VSG のデータ インターフェイスを設定するには、システムのネットワーク セグメント、システム ポート プロファイル、およびシステム アップリンクとして設定されているアップリンクが必要です。 configure コマンドを使用して、グローバル設定モードを開始します。
2. ネットワーク アップリンク ポート プロファイルを作成し、論理スイッチで使用します。
3. データ VLAN 用のネットワーク セグメントおよびポート プロファイルを作成します。
4. HA VLAN 用のネットワーク セグメントおよびポート プロファイルを作成します。
ステップ 1 |
まず Cisco VSG データ ポート プロファイル設定モードをイネーブル化することで、Cisco VSG-ha データ ポート プロファイルと Cisco VSG ポート プロファイルを作成します。 Cisco VSG データ インターフェイスはシステム VLAN である必要があります。 システム VLAN で VSG のデータ インターフェイスを設定するには、システムのネットワーク セグメント、システム ポート プロファイル、およびシステム アップリンクとして設定されているアップリンクが必要です。 configure コマンドを使用して、グローバル設定モードを開始します。
vsm# configure |
ステップ 2 |
ネットワーク アップリンク ポート プロファイルを作成し、論理スイッチで使用します。 vsm(config)# nsm logical network vsm_LogicalNet vsm(config-logical-net)# exit vsm(config)# nsm network segment pool vsm_NetworkSite vsm(config-net-seg-pool)# member-of logical network vsm_LogicalNet vsm(config-net-seg-pool)# exit vsm(config)# nsm ip pool template VM_IP_Pool vsm(config-ip-pool-template)# ip address 10.0.0.2 10.0.0.255 vsm(config-ip-pool-template)# network 255.255.255.0 10.0.0.1 vsm(config-ip-pool-template)# exit vsm(config)#port-profile type ethernet sys-uplink vsm(config-port-prof)#channel-group auto vsm(config-port-prof)#no shutdown vsm(config-port-prof)#system port-profile vsm(config-port-prof)#state enabled vsm(config-port-prof)#exit vsm(config)# nsm network uplink vsm_Uplink vsm(config-uplink-net)# allow network segment pool vsm_NetworkSite vsm(config-uplink-net)# import port-profile sys_Uplink vsm(config-uplink-net)# system network uplink vsm(config-uplink-net)# publish uplink-network vsm(config-uplink-net)# exit |
ステップ 3 |
データ VLAN 用のネットワーク セグメントおよびポート プロファイルを作成します。 vsm(config)# nsm network segment VMAccess_502 vsm(config-net-seg)# member-of network segment pool vsm_NetworkSite vsm(config-net-seg)# system network segment vsm(config-net-seg)# switchport access vlan 502 vsm(config-net-seg)# ip pool import template VM_IP_Pool vsm(config-net-seg)# publish network-segment vsm(config-net-seg)# exit vsm(config)# port-profile type vethernet VSG_Data vsm(config-port-prof)# no shutdown vsm(config-port-prof)# state enabled vsm(config-port-prof)# system port-profile vsm(config-port-prof)# publish port-profile vsm(config-port-prof)# exit |
ステップ 4 |
HA VLAN 用のネットワーク セグメントおよびポート プロファイルを作成します。 vsm(config)# nsm network segment VMAccess_503 vsm(config-net-seg)# member-of network segment pool vsm_NetworkSite vsm(config-net-seg)# switchport access vlan 503 vsm(config-net-seg)# ip pool import template VM_IP_Pool vsm(config-net-seg)# publish network-segment vsm(config-net-seg)# exit vsm(config)# port-profile type vethernet VSG_HA vsm(config-port-prof)# no shutdown vsm(config-port-prof)# state enabled vsm(config-port-prof)# publish port-profile vsm(config-port-prof)# exit |
これで VSM での Cisco VSG のポート プロファイルの準備が整いました。次に、ホストの仮想ネットワーク アダプタを設定する必要があります。
このタスクには、次のサブタスクが含まれます。
次の条件が満たされていることを確認します。
仮想ネットワーク アダプタのポート プロファイルを作成するには、VSM にログインする必要があります。
1. VSM で仮想ネットワーク アダプタのポート プロファイルを作成します。
例: vsm#configure terminal vsm(config)#port-profile type vethernet Virtual-Net-PP vsm(config-port-prof)#capability l3-vservice vsm(config-port-prof)#no shutdown vsm(config-port-prof)#state enabled vsm(config-port-prof)#publish port-profile vsm(config-port-prof)#exit vsm#copy running-config startup-config |
次を確認しておく必要があります。
ステップ 1 | SCVMM を起動します。 |
ステップ 2 | [VMs and Services] タブの [All Hosts] をクリックします。 |
ステップ 3 | 仮想ネットワーク アダプタを追加するホストを選択します。 |
ステップ 4 | ホストを右クリックし、ポップアップ メニューから [Properties] を選択します。 |
ステップ 5 | [Properties] ウィンドウで、[Virtual Switches] をクリックします。 |
ステップ 6 | [Virtual Switches] タブで、[New Virtual Network Adapter] をクリックします。 |
ステップ 7 | [Name] フィールドに、仮想ネットワーク アダプタの名前を入力します。 |
ステップ 8 | [Connectivity] の [VM Network] フィールドで、適切な VM ネットワークを選択します。 |
ステップ 9 | [Port profile] にある [Classification] ドロップダウン リストから、作成した L3 サービス対応のポートフォリオを選択します。 |
ステップ 10 | [IP address configuration] の [Static] オプション ボタンを選択し、次の手順を実行します。 |
ステップ 11 | [Ok] をクリックします。 |
ステップ 12 | VM Manager の警告メッセージが表示されたら、[Ok] をクリックします。 |
VSG と仮想ネットワーク アダプタ間の物理ルータを追加します。
(注) |
Cisco VSG は、Nexus Cloud Services プラットフォームのみで VSB としてサポートされます。 |
次の条件が満たされていることを確認します。
Microsoft SCVMM SP1 または SCVMM R2 がインストールされていること。
Cisco VSG ISO イメージをダウンロードし、サーバ(C:\ProgramData\Virtual Machine Manager Library Files\ISO)にアップロードしていること。 [Library] タブでライブラリ サーバを更新していること。
Cisco VSG-Data ポート プロファイル:VSG-Data。
Cisco VSG-ha ポート プロファイル:VSG-ha。
HA ID。
Cisco VSG の IP、サブネット マスクおよびゲートウェイ情報
管理者パスワード
最小で 2 GB の RAM および 2 GB のハード ディスク領域。4 GB の RAM と 4 GB のハード ディスクを推奨。
Cisco Prime NSCIP アドレス。
共有秘密パスワード。
Cisco VSG 間の IP 接続、および Cisco Prime NSC が機能していること。
Cisco VSG NSC-PA イメージ名(vsghv-pa.2.1.1e.bin)が利用できること。
ステップ 1 | SCVMM を起動します。 |
ステップ 2 | [VM and Services] タブで [Create Virtual Machine] をクリックします。 |
ステップ 3 | [Create Virtual Machine] ウィザードの [Select Source] 画面で、[Create the new virtual machine with a blank virtual hard disk] オプション ボタンをオンにし、[Next] をクリックします。 |
ステップ 4 |
[Specify Virtual Machine Identity] 画面の [Virtual machine name] フィールドに Cisco VSG の名前を入力し、[Next] をクリックします。
|
ステップ 5 |
[Configure Hardware] セクションで、次の手順を実行します。
|
ステップ 6 | [Select Destination] セクションで、[Place the virtual machine in a host] を選択し、VSG を保存するホスト グループをドロップダウン リストから選択して、[Next] をクリックします。 |
ステップ 7 | [Select Host] セクションで、VSG に配置するホストを選択し、[Next] をクリックします。 |
ステップ 8 | [Configure Settings] セクションで、仮想マシンの設定が正しいことを確認し、[Next] をクリックします。 |
ステップ 9 | (任意)[Add Properties] セクションで、ドロップダウン リストから [Other Linux (64-bit) from the Operating System] を選択し、[Next] をクリックします。 |
ステップ 10 | [Summary] セクションで、[Create] をクリックします。 |
ステップ 11 | VSG が正常にインストールされたら、[VMs and Services] タブの VSG を選択し、[Power On] をクリックします。 |
ステップ 12 | [Connect or View] > [Connect via Console] を使用して VSG を接続します。 |
Cisco Prime NSC をインストールした場合は、Cisco VSG を Cisco Prime NSC に登録する必要があります。
次の条件が満たされていることを確認します。
Cisco VSG の Cisco Prime NSC ポリシー エージェント イメージ(例、vsghv-pa.2.1.1e.bin)。
(注) |
イメージ名の中に、太字の vsghv-pa というストリングが表示される必要があります。 |
Cisco Prime NSC の IP アドレス。
Cisco Prime NSC インストール中に定義した共有秘密パスワード。
VSG と Cisco Prime NSC 間の IP 接続。
(注) |
VSG をアップグレードする場合は、最新の Cisco VSG ポリシー エージェント イメージもコピーする必要があります。 このイメージは、フラッシュ ドライブから起動する Cisco Prime NSC イメージ バンドルで利用でき、Cisco Prime NSC への登録を実行します。 |
(注) |
VSG クロックは Cisco Prime NSC クロックと同期させる必要があります。 |
1. Cisco VSG で NSC ポリシー エージェントを設定します。
2. Cisco Prime NSC が正しくインストールされ、到達可能になったことを確認するため、show nsc-pa status コマンドを入力し、NSC ポリシー エージェント設定のステータスを確認します。 次の例は、Cisco Prime NSC が到達可能で、インストールが正しく行われたことを示しています。
ステップ 1 |
Cisco VSG で NSC ポリシー エージェントを設定します。 VSG-Firewall# configure Enter configuration commands, one per line. End with CNTL/Z. VSG-Firewall(config)# nsc-policy-agent VSG-Firewall(config-nsc-policy-agent)# registration-ip 10.193.72.242 VSG-Firewall(config-nsc-policy-agent)# shared-secret Sgate123 VSG-Firewall(config-nsc-policy-agent)# policy-agent-image vnmc-vsgpa.2.1.1b.bin VSG-Firewall(config-nsc-policy-agent)# copy running-config startup-config [########################################] 100% Copy complete, now saving to disk (please wait)... VSG-Firewall(config-nsc-policy-agent)# exit |
ステップ 2 |
Cisco Prime NSC が正しくインストールされ、到達可能になったことを確認するため、show nsc-pa status コマンドを入力し、NSC ポリシー エージェント設定のステータスを確認します。 次の例は、Cisco Prime NSC が到達可能で、インストールが正しく行われたことを示しています。 VSG-Firewall(config)# show nsc-pa status NSC Policy-Agent status is - Installed Successfully. Version 2.1(1b)-vsgこれで、Cisco VSG が Cisco Prime NSC に登録されたことが確認できました。 |
次の例は、Cisco Prime NSC が到達不能で、不適切な IP が設定されていることを示しています。
vsg# show nsc-pa status
NSC Policy-Agent status is - Installation Failure
Cisco Prime NSC not reachable.
vsg#
次の例は、NSC ポリシー エージェントが設定されていないだけでなくインストールされていないことを示しています。
vsg# show nsc-pa status NSC Policy-Agent status is - Not Installed
ポリシー エージェントが正常にインストールされていることを確認できる、Cisco VSG、Cisco VSM、Cisco Prime NSC の NSC ポリシー エージェントのステータスを確認するには、show nsc-pa status を使用します。
1. Cisco VSG にログインします。
2. 次のコマンドを入力して、NSC-PA 設定のステータスを確認します。
3. Cisco VSM にログインします。
4. 次のコマンドを入力して、NSC-PA 設定のステータスを確認します。
5. Cisco Prime NSC にログインします。
6. [Resource Management] をクリックし、[Resources] をクリックします。
7. [Navigation] ペインで [VSMs] をクリックし、[VSMs] ペインの VSM 情報を確認します。
8. [Navigation] ペインで [VSGs] をクリックし、[VSGs] ペインの VSG 情報を確認します。
ステップ 1 | Cisco VSG にログインします。 |
ステップ 2 |
次のコマンドを入力して、NSC-PA 設定のステータスを確認します。 vsg# show nsc-pa status NSC Policy-Agent status is - Installed Successfully. Version 2.0(1a)-vsg vsg# |
ステップ 3 | Cisco VSM にログインします。 |
ステップ 4 |
次のコマンドを入力して、NSC-PA 設定のステータスを確認します。 VSM# show nsc-pa status NSC Policy-Agent status is - Installed Successfully. Version 2.0(0.22)-vsm VSM# |
ステップ 5 | Cisco Prime NSC にログインします。 |
ステップ 6 | [Resource Management] をクリックし、[Resources] をクリックします。 |
ステップ 7 | [Navigation] ペインで [VSMs] をクリックし、[VSMs] ペインの VSM 情報を確認します。 |
ステップ 8 | [Navigation] ペインで [VSGs] をクリックし、[VSGs] ペインの VSG 情報を確認します。 |
基本的な設定を使用して、Cisco Prime NSC および Cisco VSG を正常にインストールした後は、基本的なセキュリティ プロファイルとポリシーを設定する必要があります。
このタスクには、次のサブタスクが含まれます。
Cisco Prime NSC でのテナントの設定 に進みます。
テナントは、データとプロセスが仮想データセンターの VM でホストされているエンティティ(企業、政府機関、公共機関など)です。 各テナントにファイアウォールのセキュリティを提供するには、まずそれらのテナントを Cisco Prime NSC 内で設定する必要があります。
1. Cisco Prime NSC ツールバーで、[Tenant Management] タブをクリックします。
2. [Navigation] ペインのディレクトリ ツリーで、[root] を右クリックし、ドロップダウン リストから [Create Tenant] を選択します。
3. [Create Tenant] ダイアログ ボックスで、次の手順を実行します。
4. [OK] をクリックします。
ステップ 1 |
Cisco Prime NSC ツールバーで、[Tenant Management] タブをクリックします。 |
ステップ 2 | [Navigation] ペインのディレクトリ ツリーで、[root] を右クリックし、ドロップダウン リストから [Create Tenant] を選択します。 |
ステップ 3 | [Create Tenant] ダイアログ ボックスで、次の手順を実行します。 |
ステップ 4 |
[OK] をクリックします。 作成したテナントが、ルートの下の左側のペインに表示されます。 |
Cisco Prime NSC では、セキュリティ プロファイルを設定できます。
ステップ 1 | Cisco Prime NSC ツールバーで、[Policy Management] >[Service Profiles] をクリックします。 |
ステップ 2 | [Root] ナビゲーション ウィンドウのディレクトリ パスから、[Tenant] > [Compute Firewall] > [Compute Security Profile] を選択します。 |
ステップ 3 |
[Compute Security Profile] を右クリックし、[Add Compute Security Profile] を選択します。 [Add Compute Security Profile] ダイアログ ボックスが開きます。 |
ステップ 4 | [Add Compute Security Profile] ダイアログ ボックスで、次の内容を実行します。 |
ステップ 5 | [OK] をクリックします。 |
コンピュート ファイアウォールの設定および Cisco Prime NSC への Cisco VSG の割り当て の参照
コンピュート ファイアウォールは、論理仮想エンティティで、Cisco VSG VM にバインド(割り当て)できるデバイス プロファイルを含んでいます。 このバインドにより、デバイス プロファイルのデバイス ポリシーが Cisco Prime NSC から Cisco VSG にプッシュされます。 プッシュ後、コンピュート ファイアウォールは Cisco Prime NSC 上で適用済みの設定状態になります。
ステップ 1 | Cisco Prime NSC から、[Resource Management] > [Managed Resources] を選択します。 |
ステップ 2 | 左側のペインのディレクトリ ツリーでテナントを選択します。 |
ステップ 3 | [Action] ドロップダウン リストをクリックし、[Add Compute Firewall] を選択します。 [Add Compute Firewall] ダイアログボックスが開きます。 |
ステップ 4 | [Add Compute Firewall] ダイアログボックスで、次を実行します。 |
ステップ 5 |
[Next] をクリックします。 入力した内容が [Compute Firewall] ペインに別途表示されます。 |
ステップ 6 | [Select Service Devices] ペインで、[Assign VSG] オプション ボタンを選択し、[VSG Devices] ドロップダウンから VSG を選択します。 次に、[Next] をクリックします。 |
ステップ 7 | [Interface] タブの [Configure Data Interface] ペインで、データ インターフェイス(data0)IP アドレスとサブネット マスクを入力し、[Next] をクリックします。 |
ステップ 8 | [Summary] タブで設定を確認し、[Finish] をクリックします。 |
ステップ 9 | [Root] > [Tenant] > [Network Services] をクリックし、ファイアウォールのステータスを確認します。 |
Cisco Prime NSC で Permit-All ルールを設定できます。
ステップ 1 | Cisco Prime NSCにログインします。 |
ステップ 2 | [Policy Management] > [Service Profiles] を選択します。 |
ステップ 3 | [Root] > [Tenant] > [Compute Firewall] > [Compute Security Profile] を選択し、セキュリティ プロファイルを選びます。 |
ステップ 4 | 右側のペインで、[Add ACL Policy Set] をクリックします。 |
ステップ 5 | [Add ACL Policy] ダイアログ ボックスで、次を実行します。 |
ステップ 6 | [Add ACL Policy] ダイアログ ボックスにポリシー名を入力し、ポリシーの説明を入力してから、[Add Rule] をクリックします。 |
ステップ 7 |
[Add Rule] ダイアログ ボックスで、次を実行します。
|
ステップ 8 |
[Add Policy] ダイアログ ボックスで、[OK] をクリックします。 [permit] フィールドに、新しく作成されたポリシーが表示されます。 |
ステップ 9 | [Add Policy Set] ダイアログ ボックスで、[OK] をクリックします。 |
ステップ 10 | [Service Profile] ウィンドウで、[Save] をクリックします。 |
Cisco VSG CLI および show コマンドを使用して、Cisco VSG にルールが存在していることを確認できます。
vsg# show running-config rule rule POL-DEMO/R-DEMO@root/Tenant/VDC cond-match-criteria: match-allaction permit rule POL1/R1@root/Tenant/VDC cond-match-criteria: match-allaction permit rule default/default-rule@root cond-match-criteria: match-allaction drop vsg#
ロギングをイネーブルにするには、次の手順を実行します。
ロギングを使用すると、モニタしている仮想マシンを通過するトラフィックを確認できます。 このロギングは、適切な設定を行っていることを確認したり、トラブルシューティングを行ったりするのに役立ちます。 モニタ セッションで、ポリシーエンジン ロギングに対してログ レベル 6 をイネーブルにできます。
ステップ 1 |
Cisco Prime NSC にログインします。 |
ステップ 2 | [Policy Management] > [Device Configurations] を選択します。 |
ステップ 3 | [Navigation] ペインで、[root] > [Policies] > [Syslog] > [Default] を選択し、[Edit] をクリックします。 |
ステップ 4 |
[Edit Syslog] ダイアログ ボックスで、次を実行します。
|
ステップ 5 | [Edit Syslog] ダイアログ ボックスで、次を実行します。 |
ステップ 6 | [OK] をクリックします。 |
グローバル ポリシーエンジン ロギングのイネーブル化を参照してください。
ロギングを使用すると、モニタしている VM を通過するトラフィックを確認できます。 このロギングは、適切な設定を行っていることを確認したり、トラブルシューティングを行ったりするのに役立ちます。
ステップ 1 |
Cisco Prime NSC にログインします。 |
ステップ 2 | [Cisco Prime NSC] ウィンドウで、[Policy Management] > [Device Configurations]> [root] > [Device Profiles] > [default] を選択します。 [default - Device Profile] ウィンドウが開きます。 |
ステップ 3 | [default] ペインで、次の手順を実行します。 |
ステップ 4 | [Save] をクリックします。 |
次の条件が満たされていることを確認します。
トラフィックの保護用にトラフィック VM ポート プロファイルをイネーブルにできます。
1. VSG ノードを作成します。
2. ファイアウォールを保護するため、ネットワーク セグメントとトラフィック VM ポート プロファイルを作成します。
ステップ 1 |
VSG ノードを作成します。 vsm#configure terminal vsm (config)# vservice node VSG type vsg vsm (config-vservice-node)# ip address 10.10.10.200 vsm (config-vservice-node)# adjacency l3 vsm (config-vservice-node)# exit vsm (config)# copy running-config startup-config |
ステップ 2 |
ファイアウォールを保護するため、ネットワーク セグメントとトラフィック VM ポート プロファイルを作成します。 vsm(config)# nsm network segment VMAccess_400 vsm(config-net-seg)# member-of network segment pool vsm_NetworkSite vsm(config-net-seg)# switchport access vlan 400 vsm(config-net-seg)# ip pool import template VM_IP_Pool vsm(config-net-seg)# publish network-segment vsm(config-net-seg)# exit vsm(config)# port-profile type vethernet pp-webserver vsm(config-port-prof)# org root/Tenant-A vsm(config-port-prof)# vservice node VSG profile sp-web vsm(config-port-prof)# no shutdown vsm(config-port-prof)# state enabled vsm(config-port-prof)# publish port-profile vsm(config-port-prof)# exit vsm(config)# show port-profile name pp-webserver |
Cisco VSG への到達可否に関する VSM または VEM の検証を参照してください。
ファイアウォール保護のあるトラフィック VM ポート プロファイルがトラフィック VM に割り当てられていることを確認します。
この例では、VEM と VSG 間の通信を確認する方法を示します。
VSM# show vservice brief -------------------------------------------------------------------------------- Node Information -------------------------------------------------------------------------------- ID Name Type IP-Address Mode State Module 1 VSG-1 vsg 192.161.0.85 l3 Alive 3,4, -------------------------------------------------------------------------------- Path Information -------------------------------------------------------------------------------- -------------------------------------------------------------------------------- Port Information -------------------------------------------------------------------------------- PortProfile:PP-VSERVICE Org:root/Tenant1 Node:VSG-1(192.161.0.85) Profile(Id):SP1(6) Veth Mod VM-Name vNIC IP-Address 4 4 traffic-vm-win-22 192.163.0.53, 8 3 traffic-vm-win-12 192.163.0.76 10 3 traffic-vm-ubuntu-61 192.163.0.80, 11 3 traffic-vm-ubuntu-52 192.163.0.52,
ディスプレイに IP-ADDR リストおよび Alive 状態が示されている場合は、VEM が Cisco VSG と通信できる状態であることを意味します。
この例では、ファイアウォール保護を行うために VM 仮想イーサネット ポートを検証する方法を示します。
VSM(config)# show vservice port brief port-profile VSGDemo-WEB-FW -------------------------------------------------------------------------------- Port Information -------------------------------------------------------------------------------- PortProfile:VSGDemo-WEB-FW Org:root/Demo Node:VSG(153.1.1.13) Profile(Id):Demo-Default-Security-Profile(6) Veth Mod VM-Name vNIC IP-Address 1 3 web-server1 152.1.1.11,
(注) |
VNSP ID 値が 1 よりも大きい数値であることを確認してください。 |
SCVMM バージョン | SPF バージョン |
---|---|
System Center 2012 Service Pack 1 |
7.1.3117.0 |
System Center 2012 R2 |
7.2.379.0 |
このタスクには、次のサブタスクが含まれます。
Service Provider Foundation のインストールの詳細については、http://technet.microsoft.com/en-us/library/dn266007.aspx にある『How to Install Service Provider Foundation for System Center 2012 R2(System Center 2012 R2 用 Service Provider Foundation のインストール方法)』を参照してください。
次の条件が満たされていることを確認します。
Install System Center 2012 R2 Orchestrator をダウンロードしていること。
Service Provider Foundation (SPF) のシステム要件を確認していること。 システム要件については、http://technet.microsoft.com/en-us/library/jj642899.aspx にある『System Requirements for Service Provider Foundation for System Center 2012 SP1(System Center 2012 SP1 用 Service Provider Foundation のシステム要件)』を参照してください。
Service Provider Foundation(SPF)を正常にインストールした後に、スタンプ ID(stampId)を作成して、それを Microsoft SCVMM サーバに関連付ける必要があります。 SPF の設定の詳細については、http://technet.microsoft.com/en-us/library/jj613915.aspxを参照してください。
SPF のインストールが成功し機能するかどうかを確認するには、次の VMM REST インターフェイス Web リンクを起動します。
https://<spf_host>:8090/SC2012R2/VMM/Microsoft.Management.Odata.Svc
ここでの、<spf_host> は Microsoft SCVMM VM の IP アドレスです。
次のリンクを使用して、仮想マシン REST URL を起動します。
https://<spf_host>:8090/SC2012R2/VMM/Microsoft.Management.Odata.Svc/VirtualMachines
ここでの、<spf_host> は SCVMM VM の IP アドレスです。
Microsoft SCVMM VM から情報を取得するには、VM マネージャを作成し、Prime NSC をイネーブルにする必要があります。
ステップ 1 | Cisco Prime NSC を起動します。 |
ステップ 2 | [Resource Management] > [VM Manager] > [Add VM Manager] を選択します。 |
ステップ 3 | [Add VM Manager] ダイアログ ボックスで、次を入力します。 |
この項では、次のトピックについて取り上げます。
Cisco VSG が正常に動作していることを確認するため、Cisco VSG にトラフィック フローを送信できます。
ステップ 1 |
ファイアウォールによる保護を行うため、ポート プロファイル(pp-webserver)を使用する VM(Server-VM)を設定しておく必要があります。
|
ステップ 2 | 任意のクライアント仮想マシン(クライアント VM)にログインします。 |
ステップ 3 |
サーバ VM にトラフィック(例、HTTP)を送信します。 [root@]# wget http://172.31.2.92/ --2010-11-28 13:38:40-- http://172.31.2.92/ Connecting to 172.31.2.92:80... connected. HTTP request sent, awaiting response... 200 OK Length: 258 [text/html] Saving to: `index.html' 100%[=======================================================================>] 258 --.-K/s in 0s 2010-11-28 13:38:40 (16.4 MB/s) - `index.html' saved [258/258] [root]# |
ステップ 4 | ポリシー エンジン統計を確認し、Cisco VSG にログインします。 |
Cisco VSG のポリシーエンジン統計およびログの確認を参照してください。
Cisco VSG にログインし、ポリシーエンジン統計およびログを検証します。
この例では、ポリシーエンジン統計およびログを確認する方法を示します。
vsg# show policy-engine stats Policy Match Stats: default@root : 0 default/default-rule@root : 0 (Drop) NOT_APPLICABLE : 0 (Drop) PS_web@root/Tenant-A : 1 pol_web/permit-all@root/Tenant-A : 1 (Log, Permit) NOT_APPLICABLE : 0 (Drop) vsg# terminal monitor vsg# 2010 Nov 28 05:41:27 firewall %POLICY_ENGINE-6-POLICY_LOOKUP_EVENT: policy=PS_web@root/Tenant-A rule=pol_web/permit-all@root/Tenant-A action=Permit direction=egress src.net.ip-address=172.31.2.91 src.net.port=48278 dst.net.ip-address=172.31.2.92 dst.net.port=80 net.protocol=6 net.ethertype=800
目次
この章は、次の内容で構成されています。
この章では、Cisco Prime Network Services Controller(Cisco Prime NSC)と Cisco Virtual Security Gateway(Cisco VSG)の基本動作設定をインストールし、設定する方法について説明します。 この章の例では、ソフトウェアの ISO ファイルを使用してインストールします。 手順では、Cisco Nexus 1000V シリーズ スイッチが動作可能で、エンドポイントの VM がすでにインストールされていることを想定しています。
次の表に、Cisco VSG と Cisco Prime NSC インストールの基本的なハードウェアおよびソフトウェア要件を示します。
要件 | 説明 | ||||
---|---|---|---|---|---|
仮想 CPU |
|||||
メモリ |
|||||
ディスク容量 |
Cisco VSG 3GB Cisco Prime NSC:インタークラウド機能なし、共有 NFS または SAN で 40 GB。2 個のディスク上に次のように構成します。 |
||||
プロセッサ |
64 ビット プロセッサ搭載の x86 Intel サーバまたは AMD サーバ。 |
||||
ネットワーク インターフェース |
|||||
Microsoft SCVMM |
SCVMM 2012 SP1 または SCVMM 2012 R2 |
||||
ブラウザ |
次のブラウザのいずれかになります。
|
||||
ポート |
Web ブラウザおよび次のポートを使用した Cisco Prime NSC アプリケーションへのアクセス(導入においてファイアウォールを使用する場合は、次のポートも許可してください): |
||||
Flash Player |
Adobe Flash Player プラグイン 11.2 以降 |
(注) |
Cisco VSG ソフトウェアは http://www.cisco.com/en/US/products/ps13095/index.html からダウンロードでき、Cisco Prime NSC ソフトウェアは http://www.cisco.com/en/US/products/ps13213/index.html からダウンロードできます。 |
(注) |
必須モードの VSM を使用して VSG サービスにアクセスしようとすると、VSG には Nexus1000V マルチハイパーバイザ ライセンスが必要であることを示すエラー メッセージが VSM コンソールに生成されます。 |
(注) |
ソフトウェア リリース 5.2(1)SM(5.2) にアップグレードする前に、評価ライセンス、または永久(MSFT PKG)ライセンスのいずれかでインストールする必要があります。 |
(注) |
評価または永久 Nexus1000V マルチハイパーバイザのライセンスをリクエストする必要があります。 |
Cisco Nexus 1000V for Microsoft Hyper-V のライセンスの詳細については、『Cisco Nexus 1000V for Microsoft Hyper-V License Configuration Guide(Cisco Nexus 1000V for Microsoft Hyper-V ライセンス コンフィギュレーション ガイド)』を参照してください。
次の情報は、Cisco Prime NSC および Cisco VSG のインストール中に使用できます。
種類 | 自分の情報 | ||
---|---|---|---|
Cisco VSG 名:インベントリ フォルダ内で一意の、80 文字までの名前 |
|||
ホスト名:Cisco VSG がインベントリ フォルダ内でインストールされる場所 |
|||
ISO:管理を行うために C:\ProgramData\Virtual Machine Manager Library Files\ISO に保存している場合は、SCVMM ライブラリ内で管理されます。 ISO ファイルを指定された場所に保存した後で、SCVMM ライブラリを更新します。 |
|||
Cisco VSG 管理 IP アドレス |
|||
VSM 管理 IP アドレス |
|||
Cisco Prime NSC instance IP address |
|||
Cisco VSG をインストールするためのモード |
|||
Cisco VSG VLAN 番号 |
|||
Cisco VSG ポート プロファイル名
|
|||
HA ペア ID(HA ドメイン ID) |
|||
Cisco VSG 管理者パスワード |
|||
Cisco Prime NSC管理者パスワード |
|||
Cisco VSM 管理者パスワード |
|||
共有秘密パスワード(Cisco Prime NSC、Cisco VSG ポリシー エージェント、Cisco VSM ポリシー エージェント) |
|||
NSC DNS IP アドレス | |||
NSC NTP IP アドレス |
タスク |
前提条件 | ||||
---|---|---|---|---|---|
タスク 1:ISO イメージからの Cisco Prime NSC のインストール | |||||
タスク 2:VSM での Cisco Prime NSC ポリシー エージェントの設定 |
次を確認しておく必要があります。
|
||||
タスク 3:VSM での Cisco VSG ポート プロファイルの作成 | |||||
タスク 4:VSM でのホスト上の仮想ネットワーク アダプタの設定 | |||||
タスク 5:ISO イメージからの Cisco VSG のインストール |
次を確認しておく必要があります。
|
||||
タスク 6:VSG での Cisco Prime NSC Policy Agent の設定 |
次を確認しておく必要があります。
|
||||
タスク 7:Cisco VSG、Cisco VSM および Cisco Prime NSC での NSC ポリシー エージェント ステータスの確認 | — | ||||
タスク 8:Cisco Prime NSC でのテナント、セキュリティ プロファイル、コンピュート ファイアウォールの設定、および Cisco VSG の コンピュート ファイアウォールへの割り当て | |||||
タスク 13:Microsoft Service Provider Foundation のインストール | — | ||||
タスク 9:Cisco Prime NSC での Cisco VSG のコンピュート ファイアウォールへの割り当て | — | ||||
タスク 9:Prime NSC での Permit-All ルールの設定 | — | ||||
タスク 10:Cisco VSG での Permit-All ルールの確認 | — | ||||
タスク 11:ロギングのイネーブル化 | — | ||||
タスク 12:ファイアウォールによる保護のためのトラフィック VM ポート プロファイルのイネーブル化と VSM、VEM、VSG 間の通信の確認 | |||||
タスク 14:トラフィック フローの送信と Cisco VSG での統計およびログの確認 | — |
Cisco VSG ソフトウェアは、次の URL からダウンロードできます。
http://software.cisco.com/download/navigator.html
Cisco Prime NSC ソフトウェアは、次の URL からダウンロードできます。
http://software.cisco.com/download/navigator.html1. SCVMM を起動します。
2. [VMs and Services] ペインで、Cisco Prime NSC VM を導入する Hyper-V ホストを選択します。
3. Hyper-V ホストを右クリックし、[Create Virtual Machine] を選択します。
4. [Create Virtual Machine] ウィザードの [Select Source] 画面で、[Create the new virtual machine with a blank virtual hard disk] オプション ボタンを選択し、[Next] をクリックします。
5. [Specify Virtual Machine Identity] 画面で、仮想マシンの名前と説明を指定し、[Next] をクリックします。
6. [Configure Hardware] 画面で、次の手順を実行します。
7. [Select Destination] 画面で、次の手順を実行します。
8. [Select Host] 画面で宛先を選択し、[Next] をクリックします。
9. [Configure Settings] 画面で [Browse] をクリックし、仮想マシン ファイルのストレージの場所まで移動して [Next] をクリックします。
10. [Add properties] 画面で、オペレーティング システムとして [Red Hat Enterprise Linux 5 (64 bit)] を選択し、[Next] をクリックします。
11. [Summary] 画面で、次の手順を実行します。
12. VM が正常に作成されたら、新しい仮想マシンを右クリックし、[Connect or View] > [Connect Via Console] を選択します。
13. コンソールを起動し、Cisco Prime NSC をインストールします。
14. Cisco Prime NSC が正常に導入されたら、[Close] をクリックし、Cisco Prime NSC VM の電源をオンにします。
ステップ 1 | SCVMM を起動します。 | ||
ステップ 2 | [VMs and Services] ペインで、Cisco Prime NSC VM を導入する Hyper-V ホストを選択します。 | ||
ステップ 3 | Hyper-V ホストを右クリックし、[Create Virtual Machine] を選択します。 | ||
ステップ 4 | [Create Virtual Machine] ウィザードの [Select Source] 画面で、[Create the new virtual machine with a blank virtual hard disk] オプション ボタンを選択し、[Next] をクリックします。 | ||
ステップ 5 | [Specify Virtual Machine Identity] 画面で、仮想マシンの名前と説明を指定し、[Next] をクリックします。 | ||
ステップ 6 |
[Configure Hardware] 画面で、次の手順を実行します。
|
||
ステップ 7 | [Select Destination] 画面で、次の手順を実行します。 | ||
ステップ 8 | [Select Host] 画面で宛先を選択し、[Next] をクリックします。 | ||
ステップ 9 | [Configure Settings] 画面で [Browse] をクリックし、仮想マシン ファイルのストレージの場所まで移動して [Next] をクリックします。 | ||
ステップ 10 | [Add properties] 画面で、オペレーティング システムとして [Red Hat Enterprise Linux 5 (64 bit)] を選択し、[Next] をクリックします。 | ||
ステップ 11 |
[Summary] 画面で、次の手順を実行します。
|
||
ステップ 12 | VM が正常に作成されたら、新しい仮想マシンを右クリックし、[Connect or View] > [Connect Via Console] を選択します。 | ||
ステップ 13 |
コンソールを起動し、Cisco Prime NSC をインストールします。
|
||
ステップ 14 | Cisco Prime NSC が正常に導入されたら、[Close] をクリックし、Cisco Prime NSC VM の電源をオンにします。 |
次の条件が満たされていることを確認します。
VSM の Cisco Prime NSC ポリシー エージェント イメージ(例、vsmhv-pa.3.2.1c.bin)
(注) |
イメージ名の中に、太字の vsmhv-pa というストリングが表示される必要があります。 |
Cisco Prime NSC の IP アドレス
Cisco Prime NSC インストール中に定義した共有秘密パスワード
VSM と Cisco Prime NSC 間の IP 接続が機能していること
(注) |
VSM をアップグレードする場合は、最新の Cisco VSM ポリシー エージェント イメージもコピーする必要があります。 このイメージは、フラッシュ ドライブから起動する Cisco Prime NSC イメージ バンドルで利用でき、Cisco Prime NSC への登録を実行します。 |
(注) |
VSM クロックは Cisco Prime NSC クロックと同期させる必要があります。 |
1. VSM で、次のコマンドを入力します。
2. Cisco Prime NSC が正しくインストールされ、到達可能になったことを確認するため、show nsc-pa status コマンドを入力し、NSC ポリシー エージェント設定のステータスを確認します。 次の例は、Cisco Prime NSC が到達可能で、インストールが正しく行われたことを示しています。
ステップ 1 |
VSM で、次のコマンドを入力します。 vsm# configure terminal vsm(config)# nsc-policy-agent vsm(config-nsc-policy-agent)# registration-ip 10.193.75.95 vsm(config-nsc-policy-agent)# shared-secret Example_Secret123 vsm(config-nsc-policy-agent)# policy-agent-image vsmhv-pa.3.2.1c.bin vsm(config-nsc-policy-agent)# exit vsm(config)# copy running-config startup-config vsm(config)# exit |
ステップ 2 |
Cisco Prime NSC が正しくインストールされ、到達可能になったことを確認するため、show nsc-pa status コマンドを入力し、NSC ポリシー エージェント設定のステータスを確認します。 次の例は、Cisco Prime NSC が到達可能で、インストールが正しく行われたことを示しています。 vsm# show nsc-pa status NSC Policy-Agent status is - Installed Successfully. Version 3.2(1)-vsm vsm これで、VSM が Cisco Prime NSC に登録されたことが確認できました。 |
Cisco VSG ポート プロファイルを作成するには、VLAN を作成して、Cisco VSG データ ポート プロファイルと Cisco VSG-ha ポート プロファイルでそれらの VLAN を使用します。
1. まず Cisco VSG データ ポート プロファイル設定モードをイネーブル化することで、Cisco VSG-ha データ ポート プロファイルと Cisco VSG ポート プロファイルを作成します。 Cisco VSG データ インターフェイスはシステム VLAN である必要があります。 システム VLAN で VSG のデータ インターフェイスを設定するには、システムのネットワーク セグメント、システム ポート プロファイル、およびシステム アップリンクとして設定されているアップリンクが必要です。 configure コマンドを使用して、グローバル設定モードを開始します。
2. ネットワーク アップリンク ポート プロファイルを作成し、論理スイッチで使用します。
3. データ VLAN 用のネットワーク セグメントおよびポート プロファイルを作成します。
4. HA VLAN 用のネットワーク セグメントおよびポート プロファイルを作成します。
ステップ 1 |
まず Cisco VSG データ ポート プロファイル設定モードをイネーブル化することで、Cisco VSG-ha データ ポート プロファイルと Cisco VSG ポート プロファイルを作成します。 Cisco VSG データ インターフェイスはシステム VLAN である必要があります。 システム VLAN で VSG のデータ インターフェイスを設定するには、システムのネットワーク セグメント、システム ポート プロファイル、およびシステム アップリンクとして設定されているアップリンクが必要です。 configure コマンドを使用して、グローバル設定モードを開始します。
重要: すべての重要な VM がシステム VLAN として設定されていることを確認します。
vsm# configure |
ステップ 2 |
ネットワーク アップリンク ポート プロファイルを作成し、論理スイッチで使用します。 vsm(config)# nsm logical network vsm_LogicalNet vsm(config-logical-net)# exit vsm(config)# nsm network segment pool vsm_NetworkSite vsm(config-net-seg-pool)# member-of logical network vsm_LogicalNet vsm(config-net-seg-pool)# exit vsm(config)# nsm ip pool template VM_IP_Pool vsm(config-ip-pool-template)# ip address 10.0.0.2 10.0.0.255 vsm(config-ip-pool-template)# network 255.255.255.0 10.0.0.1 vsm(config-ip-pool-template)# exit vsm(config)#port-profile type ethernet sys-uplink vsm(config-port-prof)#channel-group auto vsm(config-port-prof)#no shutdown vsm(config-port-prof)#system port-profile vsm(config-port-prof)#state enabled vsm(config-port-prof)#exit vsm(config)# nsm network uplink vsm_Uplink vsm(config-uplink-net)# allow network segment pool vsm_NetworkSite vsm(config-uplink-net)# import port-profile sys_Uplink vsm(config-uplink-net)# system network uplink vsm(config-uplink-net)# publish uplink-network vsm(config-uplink-net)# exit |
ステップ 3 |
データ VLAN 用のネットワーク セグメントおよびポート プロファイルを作成します。 vsm(config)# nsm network segment VMAccess_502 vsm(config-net-seg)# member-of network segment pool vsm_NetworkSite vsm(config-net-seg)# system network segment vsm(config-net-seg)# switchport access vlan 502 vsm(config-net-seg)# ip pool import template VM_IP_Pool vsm(config-net-seg)# publish network-segment vsm(config-net-seg)# exit vsm(config)# port-profile type vethernet VSG_Data vsm(config-port-prof)# no shutdown vsm(config-port-prof)# state enabled vsm(config-port-prof)# system port-profile vsm(config-port-prof)# publish port-profile vsm(config-port-prof)# exit |
ステップ 4 |
HA VLAN 用のネットワーク セグメントおよびポート プロファイルを作成します。 vsm(config)# nsm network segment VMAccess_503 vsm(config-net-seg)# member-of network segment pool vsm_NetworkSite vsm(config-net-seg)# switchport access vlan 503 vsm(config-net-seg)# ip pool import template VM_IP_Pool vsm(config-net-seg)# publish network-segment vsm(config-net-seg)# exit vsm(config)# port-profile type vethernet VSG_HA vsm(config-port-prof)# no shutdown vsm(config-port-prof)# state enabled vsm(config-port-prof)# publish port-profile vsm(config-port-prof)# exit |
1. VSM で仮想ネットワーク アダプタのポート プロファイルを作成します。
VSM で仮想ネットワーク アダプタのポート プロファイルを作成します。
例: vsm#configure terminal vsm(config)#port-profile type vethernet Virtual-Net-PP vsm(config-port-prof)#capability l3-vservice vsm(config-port-prof)#no shutdown vsm(config-port-prof)#state enabled vsm(config-port-prof)#publish port-profile vsm(config-port-prof)#exit vsm#copy running-config startup-config |
ステップ 1 | SCVMM を起動します。 |
ステップ 2 | [VMs and Services] タブの [All Hosts] をクリックします。 |
ステップ 3 | 仮想ネットワーク アダプタを追加するホストを選択します。 |
ステップ 4 | ホストを右クリックし、ポップアップ メニューから [Properties] を選択します。 |
ステップ 5 | [Properties] ウィンドウで、[Virtual Switches] をクリックします。 |
ステップ 6 | [Virtual Switches] タブで、[New Virtual Network Adapter] をクリックします。 |
ステップ 7 | [Name] フィールドに、仮想ネットワーク アダプタの名前を入力します。 |
ステップ 8 | [Connectivity] の [VM Network] フィールドで、適切な VM ネットワークを選択します。 |
ステップ 9 | [Port profile] にある [Classification] ドロップダウン リストから、作成した L3 サービス対応のポートフォリオを選択します。 |
ステップ 10 | [IP address configuration] の [Static] オプション ボタンを選択し、次の手順を実行します。 |
ステップ 11 | [Ok] をクリックします。 |
ステップ 12 | VM Manager の警告メッセージが表示されたら、[Ok] をクリックします。 |
VSG と仮想ネットワーク アダプタ間の物理ルータを追加します。
次の条件が満たされていることを確認します。
Microsoft SCVMM SP1 または SCVMM R2 がインストールされていること。
Cisco VSG ISO イメージをダウンロードし、サーバ(C:\ProgramData\Virtual Machine Manager Library Files\ISO)にアップロードしていること。 [Library] タブでライブラリ サーバを更新していること。
Cisco VSG-Data ポート プロファイル:VSG-Data。
Cisco VSG-ha ポート プロファイル:VSG-ha。
HA ID。
Cisco VSG の IP、サブネット マスクおよびゲートウェイ情報
管理者パスワード
最小で 2 GB の RAM および 2 GB のハード ディスク領域。4 GB の RAM と 4 GB のハード ディスクを推奨。
Cisco Prime NSCIP アドレス。
共有秘密パスワード。
Cisco VSG 間の IP 接続、および Cisco Prime NSC が機能していること。
Cisco VSG NSC-PA イメージ名(vsghv-pa.2.1.1e.bin)が利用できること。
ステップ 1 | SCVMM を起動します。 |
ステップ 2 | [VM and Services] タブで [Create Virtual Machine] をクリックします。 |
ステップ 3 | [Create Virtual Machine] ウィザードの [Select Source] 画面で、[Create the new virtual machine with a blank virtual hard disk] オプション ボタンをオンにし、[Next] をクリックします。 |
ステップ 4 | [Specify Virtual Machine Identity] 画面の [Virtual machine name] フィールドに Cisco VSG の名前を入力し、[Next] をクリックします。 |
ステップ 5 |
[Configure Hardware] セクションで、次の手順を実行します。
|
ステップ 6 | [Select Destination] セクションで、[Place the virtual machine in a host] を選択し、VSG を保存するホスト グループをドロップダウン リストから選択して、[Next] をクリックします。 |
ステップ 7 | [Select Host] セクションで、VSG に配置するホストを選択し、[Next] をクリックします。 |
ステップ 8 | [Configure Settings] セクションで、仮想マシンの設定が正しいことを確認し、[Next] をクリックします。 |
ステップ 9 | (任意)[Add Properties] セクションで、ドロップダウン リストから [Other Linux (64-bit) from the Operating System] を選択し、[Next] をクリックします。 |
ステップ 10 | [Summary] セクションで、[Create] をクリックします。 |
ステップ 11 | VSG が正常にインストールされたら、[VMs and Services] タブの VSG を選択し、[Power On] をクリックします。 |
ステップ 12 | [Connect or View] > [Connect via Console] を使用して VSG を接続します。 |
次の条件が満たされていることを確認します。
Cisco VSG の Cisco Prime NSC ポリシー エージェント イメージ(例、vsghv-pa.2.1.1e.bin)。
(注) |
イメージ名の中に、太字の vsghv-pa というストリングが表示される必要があります。 |
Cisco Prime NSC の IP アドレス。
Cisco Prime NSC インストール中に定義した共有秘密パスワード。
VSG と Cisco Prime NSC 間の IP 接続。
(注) |
VSG をアップグレードする場合は、最新の Cisco VSG ポリシー エージェント イメージもコピーする必要があります。 このイメージは、フラッシュ ドライブから起動する Cisco Prime NSC イメージ バンドルで利用でき、Cisco Prime NSC への登録を実行します。 |
(注) |
VSG クロックは Cisco Prime NSC クロックと同期させる必要があります。 |
1. Cisco VSG で NSC ポリシー エージェントを設定します。
2. Cisco Prime NSC が正しくインストールされ、到達可能になったことを確認するため、show nsc-pa status コマンドを入力し、NSC ポリシー エージェント設定のステータスを確認します。 次の例は、Cisco Prime NSC が到達可能で、インストールが正しく行われたことを示しています。
ステップ 1 |
Cisco VSG で NSC ポリシー エージェントを設定します。 VSG-Firewall# configure Enter configuration commands, one per line. End with CNTL/Z. VSG-Firewall(config)# nsc-policy-agent VSG-Firewall(config-nsc-policy-agent)# registration-ip 10.193.72.242 VSG-Firewall(config-nsc-policy-agent)# shared-secret Sgate123 VSG-Firewall(config-nsc-policy-agent)# policy-agent-image vnmc-vsgpa.2.1.1b.bin VSG-Firewall(config-nsc-policy-agent)# copy running-config startup-config [########################################] 100% Copy complete, now saving to disk (please wait)... VSG-Firewall(config-nsc-policy-agent)# exit |
ステップ 2 |
Cisco Prime NSC が正しくインストールされ、到達可能になったことを確認するため、show nsc-pa status コマンドを入力し、NSC ポリシー エージェント設定のステータスを確認します。 次の例は、Cisco Prime NSC が到達可能で、インストールが正しく行われたことを示しています。 VSG-Firewall(config)# show nsc-pa status NSC Policy-Agent status is - Installed Successfully. Version 2.1(1b)-vsgこれで、Cisco VSG が Cisco Prime NSC に登録されたことが確認できました。 |
ポリシー エージェントが正常にインストールされていることを確認できる、Cisco VSG、Cisco VSM、Cisco Prime NSC の NSC ポリシー エージェントのステータスを確認するには、show nsc-pa status を使用します。
1. Cisco VSG にログインします。
2. 次のコマンドを入力して、NSC-PA 設定のステータスを確認します。
3. Cisco VSM にログインします。
4. 次のコマンドを入力して、NSC-PA 設定のステータスを確認します。
5. Cisco Prime NSC にログインします。
6. [Resource Management] をクリックし、[Resources] をクリックします。
7. [Navigation] ペインで [VSMs] をクリックし、[VSMs] ペインの VSM 情報を確認します。
8. [Navigation] ペインで [VSGs] をクリックし、[VSGs] ペインの VSG 情報を確認します。
ステップ 1 | Cisco VSG にログインします。 |
ステップ 2 |
次のコマンドを入力して、NSC-PA 設定のステータスを確認します。 vsg# show nsc-pa status NSC Policy-Agent status is - Installed Successfully. Version 2.0(1a)-vsg vsg# |
ステップ 3 | Cisco VSM にログインします。 |
ステップ 4 |
次のコマンドを入力して、NSC-PA 設定のステータスを確認します。 VSM# show nsc-pa status NSC Policy-Agent status is - Installed Successfully. Version 2.0(0.22)-vsm VSM# |
ステップ 5 | Cisco Prime NSC にログインします。 |
ステップ 6 | [Resource Management] をクリックし、[Resources] をクリックします。 |
ステップ 7 | [Navigation] ペインで [VSMs] をクリックし、[VSMs] ペインの VSM 情報を確認します。 |
ステップ 8 | [Navigation] ペインで [VSGs] をクリックし、[VSGs] ペインの VSG 情報を確認します。 |
基本的な設定を使用して、Cisco Prime NSC および Cisco VSG を正常にインストールした後は、基本的なセキュリティ プロファイルとポリシーを設定する必要があります。
このタスクには、次のサブタスクが含まれます。
Cisco Prime NSC でのテナントの設定 に進みます。
テナントは、データとプロセスが仮想データセンターの VM でホストされているエンティティ(企業、政府機関、公共機関など)です。 各テナントにファイアウォールのセキュリティを提供するには、まずそれらのテナントを Cisco Prime NSC 内で設定する必要があります。
1. Cisco Prime NSC ツールバーで、[Tenant Management] タブをクリックします。
2. [Navigation] ペインのディレクトリ ツリーで、[root] を右クリックし、ドロップダウン リストから [Create Tenant] を選択します。
3. [Create Tenant] ダイアログ ボックスで、次の手順を実行します。
4. [OK] をクリックします。
ステップ 1 |
Cisco Prime NSC ツールバーで、[Tenant Management] タブをクリックします。 |
ステップ 2 | [Navigation] ペインのディレクトリ ツリーで、[root] を右クリックし、ドロップダウン リストから [Create Tenant] を選択します。 |
ステップ 3 | [Create Tenant] ダイアログ ボックスで、次の手順を実行します。 |
ステップ 4 |
[OK] をクリックします。 作成したテナントが、ルートの下の左側のペインに表示されます。 |
ステップ 1 | Cisco Prime NSC ツールバーで、[Policy Management] >[Service Profiles] をクリックします。 |
ステップ 2 | [Root] ナビゲーション ウィンドウのディレクトリ パスから、[Tenant] > [Compute Firewall] > [Compute Security Profile] を選択します。 |
ステップ 3 |
[Compute Security Profile] を右クリックし、[Add Compute Security Profile] を選択します。 [Add Compute Security Profile] ダイアログ ボックスが開きます。 |
ステップ 4 | [Add Compute Security Profile] ダイアログ ボックスで、次の内容を実行します。 |
ステップ 5 | [OK] をクリックします。 |
コンピュート ファイアウォールの設定および Cisco Prime NSC への Cisco VSG の割り当て の参照
コンピュート ファイアウォールは、論理仮想エンティティで、Cisco VSG VM にバインド(割り当て)できるデバイス プロファイルを含んでいます。 このバインドにより、デバイス プロファイルのデバイス ポリシーが Cisco Prime NSC から Cisco VSG にプッシュされます。 プッシュ後、コンピュート ファイアウォールは Cisco Prime NSC 上で適用済みの設定状態になります。
ステップ 1 | Cisco Prime NSC から、[Resource Management] > [Managed Resources] を選択します。 |
ステップ 2 | 左側のペインのディレクトリ ツリーでテナントを選択します。 |
ステップ 3 | [Action] ドロップダウン リストをクリックし、[Add Compute Firewall] を選択します。 [Add Compute Firewall] ダイアログボックスが開きます。 |
ステップ 4 | [Add Compute Firewall] ダイアログボックスで、次を実行します。 |
ステップ 5 |
[Next] をクリックします。 入力した内容が [Compute Firewall] ペインに別途表示されます。 |
ステップ 6 | [Select Service Devices] ペインで、[Assign VSG] オプション ボタンを選択し、[VSG Devices] ドロップダウンから VSG を選択します。 次に、[Next] をクリックします。 |
ステップ 7 | [Interface] タブの [Configure Data Interface] ペインで、データ インターフェイス(data0)IP アドレスとサブネット マスクを入力し、[Next] をクリックします。 |
ステップ 8 | [Summary] タブで設定を確認し、[Finish] をクリックします。 |
ステップ 9 | [Root] > [Tenant] > [Network Services] をクリックし、ファイアウォールのステータスを確認します。 |
ステップ 1 | Cisco Prime NSCにログインします。 |
ステップ 2 | [Policy Management] > [Service Profiles] を選択します。 |
ステップ 3 | [Root] > [Tenant] > [Compute Firewall] > [Compute Security Profile] を選択し、セキュリティ プロファイルを選びます。 |
ステップ 4 | 右側のペインで、[Add ACL Policy Set] をクリックします。 |
ステップ 5 | [Add ACL Policy] ダイアログ ボックスで、次を実行します。 |
ステップ 6 | [Add ACL Policy] ダイアログ ボックスにポリシー名を入力し、ポリシーの説明を入力してから、[Add Rule] をクリックします。 |
ステップ 7 |
[Add Rule] ダイアログ ボックスで、次を実行します。
|
ステップ 8 |
[Add Policy] ダイアログ ボックスで、[OK] をクリックします。 [permit] フィールドに、新しく作成されたポリシーが表示されます。 |
ステップ 9 | [Add Policy Set] ダイアログ ボックスで、[OK] をクリックします。 |
ステップ 10 | [Service Profile] ウィンドウで、[Save] をクリックします。 |
Cisco VSG CLI および show コマンドを使用して、Cisco VSG にルールが存在していることを確認できます。
vsg# show running-config rule rule POL-DEMO/R-DEMO@root/Tenant/VDC cond-match-criteria: match-allaction permit rule POL1/R1@root/Tenant/VDC cond-match-criteria: match-allaction permit rule default/default-rule@root cond-match-criteria: match-allaction drop vsg#
ロギングを使用すると、モニタしている仮想マシンを通過するトラフィックを確認できます。 このロギングは、適切な設定を行っていることを確認したり、トラブルシューティングを行ったりするのに役立ちます。 モニタ セッションで、ポリシーエンジン ロギングに対してログ レベル 6 をイネーブルにできます。
ステップ 1 |
Cisco Prime NSC にログインします。 |
ステップ 2 | [Policy Management] > [Device Configurations] を選択します。 |
ステップ 3 | [Navigation] ペインで、[root] > [Policies] > [Syslog] > [Default] を選択し、[Edit] をクリックします。 |
ステップ 4 | [Edit Syslog] ダイアログ ボックスで、次を実行します。 |
ステップ 5 | [Edit Syslog] ダイアログ ボックスで、次を実行します。 |
ステップ 6 | [OK] をクリックします。 |
グローバル ポリシーエンジン ロギングのイネーブル化を参照してください。
1. VSG ノードを作成します。
2. ファイアウォールを保護するため、ネットワーク セグメントとトラフィック VM ポート プロファイルを作成します。
ステップ 1 |
VSG ノードを作成します。 vsm#configure terminal vsm (config)# vservice node VSG type vsg vsm (config-vservice-node)# ip address 10.10.10.200 vsm (config-vservice-node)# adjacency l3 vsm (config-vservice-node)# exit vsm (config)# copy running-config startup-config |
ステップ 2 |
ファイアウォールを保護するため、ネットワーク セグメントとトラフィック VM ポート プロファイルを作成します。 vsm(config)# nsm network segment VMAccess_400 vsm(config-net-seg)# member-of network segment pool vsm_NetworkSite vsm(config-net-seg)# switchport access vlan 400 vsm(config-net-seg)# ip pool import template VM_IP_Pool vsm(config-net-seg)# publish network-segment vsm(config-net-seg)# exit vsm(config)# port-profile type vethernet pp-webserver vsm(config-port-prof)# org root/Tenant-A vsm(config-port-prof)# vservice node VSG profile sp-web vsm(config-port-prof)# no shutdown vsm(config-port-prof)# state enabled vsm(config-port-prof)# publish port-profile vsm(config-port-prof)# exit vsm(config)# show port-profile name pp-webserver |
Cisco VSG への到達可否に関する VSM または VEM の検証を参照してください。
ファイアウォール保護のあるトラフィック VM ポート プロファイルがトラフィック VM に割り当てられていることを確認します。
この例では、VEM と VSG 間の通信を確認する方法を示します。
VSM# show vservice brief -------------------------------------------------------------------------------- Node Information -------------------------------------------------------------------------------- ID Name Type IP-Address Mode State Module 1 VSG-1 vsg 192.161.0.85 l3 Alive 3,4, -------------------------------------------------------------------------------- Path Information -------------------------------------------------------------------------------- -------------------------------------------------------------------------------- Port Information -------------------------------------------------------------------------------- PortProfile:PP-VSERVICE Org:root/Tenant1 Node:VSG-1(192.161.0.85) Profile(Id):SP1(6) Veth Mod VM-Name vNIC IP-Address 4 4 traffic-vm-win-22 192.163.0.53, 8 3 traffic-vm-win-12 192.163.0.76 10 3 traffic-vm-ubuntu-61 192.163.0.80, 11 3 traffic-vm-ubuntu-52 192.163.0.52,
ディスプレイに IP-ADDR リストおよび Alive 状態が示されている場合は、VEM が Cisco VSG と通信できる状態であることを意味します。
この例では、ファイアウォール保護を行うために VM 仮想イーサネット ポートを検証する方法を示します。
VSM(config)# show vservice port brief port-profile VSGDemo-WEB-FW -------------------------------------------------------------------------------- Port Information -------------------------------------------------------------------------------- PortProfile:VSGDemo-WEB-FW Org:root/Demo Node:VSG(153.1.1.13) Profile(Id):Demo-Default-Security-Profile(6) Veth Mod VM-Name vNIC IP-Address 1 3 web-server1 152.1.1.11,
(注) |
VNSP ID 値が 1 よりも大きい数値であることを確認してください。 |
このタスクには、次のサブタスクが含まれます。
Service Provider Foundation のインストールの詳細については、http://technet.microsoft.com/en-us/library/dn266007.aspx にある『How to Install Service Provider Foundation for System Center 2012 R2(System Center 2012 R2 用 Service Provider Foundation のインストール方法)』を参照してください。
次の条件が満たされていることを確認します。
Install System Center 2012 R2 Orchestrator をダウンロードしていること。
Service Provider Foundation (SPF) のシステム要件を確認していること。 システム要件については、http://technet.microsoft.com/en-us/library/jj642899.aspx にある『System Requirements for Service Provider Foundation for System Center 2012 SP1(System Center 2012 SP1 用 Service Provider Foundation のシステム要件)』を参照してください。
Service Provider Foundation(SPF)を正常にインストールした後に、スタンプ ID(stampId)を作成して、それを Microsoft SCVMM サーバに関連付ける必要があります。 SPF の設定の詳細については、http://technet.microsoft.com/en-us/library/jj613915.aspxを参照してください。
ステップ 1 | ファイアウォールによる保護を行うため、ポート プロファイル(pp-webserver)を使用する VM(Server-VM)を設定しておく必要があります。 |
ステップ 2 | 任意のクライアント仮想マシン(クライアント VM)にログインします。 |
ステップ 3 |
サーバ VM にトラフィック(例、HTTP)を送信します。 [root@]# wget http://172.31.2.92/ --2010-11-28 13:38:40-- http://172.31.2.92/ Connecting to 172.31.2.92:80... connected. HTTP request sent, awaiting response... 200 OK Length: 258 [text/html] Saving to: `index.html' 100%[=======================================================================>] 258 --.-K/s in 0s 2010-11-28 13:38:40 (16.4 MB/s) - `index.html' saved [258/258] [root]# |
ステップ 4 | ポリシー エンジン統計を確認し、Cisco VSG にログインします。 |
Cisco VSG のポリシーエンジン統計およびログの確認を参照してください。
Cisco VSG にログインし、ポリシーエンジン統計およびログを検証します。
この例では、ポリシーエンジン統計およびログを確認する方法を示します。
vsg# show policy-engine stats Policy Match Stats: default@root : 0 default/default-rule@root : 0 (Drop) NOT_APPLICABLE : 0 (Drop) PS_web@root/Tenant-A : 1 pol_web/permit-all@root/Tenant-A : 1 (Log, Permit) NOT_APPLICABLE : 0 (Drop) vsg# terminal monitor vsg# 2010 Nov 28 05:41:27 firewall %POLICY_ENGINE-6-POLICY_LOOKUP_EVENT: policy=PS_web@root/Tenant-A rule=pol_web/permit-all@root/Tenant-A action=Permit direction=egress src.net.ip-address=172.31.2.91 src.net.port=48278 dst.net.ip-address=172.31.2.92 dst.net.port=80 net.protocol=6 net.ethertype=800