70
Cisco ACI および Cisco AVS この章は、次の項で構成されています。 Cisco AVS の概要, 1 ページ Cisco AVS のインストール, 5 ページ Cisco AVS の主要なインストール後設定作業, 22 ページ 分散ファイアウォール, 43 ページ Cisco AVS 向けの Cisco ACI でのマイクロセグメンテーション, 59 ページ Layer 4 to Layer 7 サービスの設定, 59 ページ Cisco AVS REST API タスク, 59 ページ Cisco AVS のオブジェクト モード CLI タスク, 64 ページ Cisco AVS の概要 Cisco Application Virtual SwitchAVS)は、シスコ アプリケーション セントリック インフラスト ラクチャ(ACI)の重要な要素です。これは分散仮想スイッチであり、VMware vCenter Server 定義された仮想化された多数のホストやデータセンターにわたって、転送とカプセル化のさまざ まなオプションと拡張機能を提供します。 Cisco AVS は仮想リーフとして Cisco ACI アーキテクチャに統合され、Cisco APIC によって管理さ れます。Cisco AVS は、コントロール プレーン通信用の OpFlex プロトコルを実装しています。 この項では、Cisco AVS の概要について説明します。 Cisco AVS では、トラフィック転送の 2 つのモードをサポートしています。ローカル スイッチン グ モードは以前の Fex Disable モードです。ローカル スイッチングなしモードは以前の Fex Enable モードです。Cisco AVS のインストール中に転送モードを選択します。 Cisco ACI 仮想化ガイド、リリース 1.2(1x) 1

Cisco ACI および Cisco AVS · ローカルスイッチングモードなし ローカルスイッチングなしモードでは、すべてのトラフィックがリーフによって転送され

  • Upload
    others

  • View
    1

  • Download
    0

Embed Size (px)

Citation preview

Cisco ACI および Cisco AVS

この章は、次の項で構成されています。

• Cisco AVSの概要, 1 ページ

• Cisco AVSのインストール, 5 ページ

• Cisco AVSの主要なインストール後設定作業, 22 ページ

• 分散ファイアウォール, 43 ページ

• Cisco AVS向けの Cisco ACIでのマイクロセグメンテーション, 59 ページ

• Layer 4 to Layer 7サービスの設定, 59 ページ

• Cisco AVSの REST APIタスク, 59 ページ

• Cisco AVSのオブジェクトモード CLIタスク, 64 ページ

Cisco AVS の概要Cisco Application Virtual Switch(AVS)は、シスコアプリケーションセントリックインフラストラクチャ(ACI)の重要な要素です。これは分散仮想スイッチであり、VMware vCenter Serverで定義された仮想化された多数のホストやデータセンターにわたって、転送とカプセル化のさまざ

まなオプションと拡張機能を提供します。

Cisco AVSは仮想リーフとして Cisco ACIアーキテクチャに統合され、Cisco APICによって管理されます。Cisco AVSは、コントロールプレーン通信用の OpFlexプロトコルを実装しています。

この項では、Cisco AVSの概要について説明します。

Cisco AVSでは、トラフィック転送の 2つのモードをサポートしています。ローカルスイッチングモードは以前の Fex Disableモードです。ローカルスイッチングなしモードは以前の Fex Enableモードです。Cisco AVSのインストール中に転送モードを選択します。

Cisco ACI 仮想化ガイド、リリース 1.2(1x) 1

ローカルスイッチングモード

ローカルスイッチングモードでは、すべての EPG内トラフィックがリーフを介することなくCisco AVSによってローカルで転送されます。すべての EPG間トラフィックはリーフを通じて転送されます。このモードでは、Cisco AVSは VLANまたは VXLANカプセル化を使用してトラフィックをリーフとバックに転送できます。Cisco AVSのインストール中にカプセル化タイプを選択します。

VLANカプセル化を選択する場合は、VLANの範囲が Cisco AVSによって使用可能である必要があります。これらの VLANには、Cisco AVSとリーフ間のレイヤ 2ネットワーク内でのみ意味があるローカルスコープがあります。VXLANカプセル化を選択する場合は、Cisco AVSとリーフの間で使用できる必要があるのはインフラVLANのみです。このモードでは設定を簡易化できるため、Cisco AVSと物理リーフ間に 1つ以上のスイッチがある場合に推奨されるカプセル化タイプです。

図 1:ローカルスイッチングモードの Cisco AVS

Cisco ACI 仮想化ガイド、リリース 1.2(1x)2

Cisco ACI および Cisco AVSCisco AVS の概要

ローカルスイッチングモードなし

ローカルスイッチングなしモードでは、すべてのトラフィックがリーフによって転送されます。

このモードでは、VXLANが唯一許可されるカプセル化タイプです。

図 2:ローカルスイッチングなしモードの Cisco AVS

Cisco AVS および VMware vCenter についてCisco Application Virtual Switch(AVS)は、多数の仮想ホストにまたがって広がる分散仮想スイッチです。vCenter Serverにより定義されるデータセンターを管理します。

Cisco AVSは、Cisco Nexusスイッチなどの、イーサネット標準準拠のアップストリーム物理アクセスレイヤスイッチと互換性があります。CiscoAVSはVMwareHardwareCompatibility List(HCL)に記載されているすべてのサーバハードウェアと互換性があります。

Cisco AVSは、VMware仮想インフラストラクチャ内に完全に統合される、分散仮想スイッチソリューションです。このインフラストラクチャには、仮想化管理者のためのVMware vCenterも含まれます。このソリューションにより、ネットワーク管理者は一貫したデータセンターネット

ワークポリシーを確立するために仮想スイッチやポートグループを設定することができます。

Cisco ACI 仮想化ガイド、リリース 1.2(1x) 3

Cisco ACI および Cisco AVSCisco AVS および VMware vCenter について

次の図は、Cisco AVSと Cisco Application Policy Infrastructure Controller(APIC)および VMwarevCenterを含むトポロジを示しています。

図 3:Cisco AVSトポロジの例

必要なソフトウェア

次の表は、Cisco Application Policy Infrastructure Controller(APIC)、VMware vCenter、およびVMware ESXiハイパーバイザと合わせて使用する Cisco Application Virtual Switch(AVS)のためにインストールする必要があるソフトウェアのバージョンを示しています。

説明コンポーネント

CiscoAVSは、リリース 4.2(1)SV2(2.3)以降のリリースでサポートされます。ただし、CiscoAVSと合わせて分散ファイアウォールおよびマイクロセグメンテーションを使用する場合は、リ

リース 5.2(1)SV3(1.5)以降が必要です。

Cisco AVSソフトウェア

互換性情報については、Cisco AVSのリリースノートを参照してください。ただし、CiscoAVSと合わせて分散ファイアウォールおよびマイクロセグメンテーションを使用する場合は、CiscoAVS 5.2(1)SV3(1.5)以降と合わせてバージョン 1.1(1j)以降が必要です。

Cisco APIC

Cisco AVSは、VMware vCenterサーバのリリース 5.1、5.5、または 6.0と互換性があります。

VMware vCenter

Cisco ACI 仮想化ガイド、リリース 1.2(1x)4

Cisco ACI および Cisco AVS必要なソフトウェア

説明コンポーネント

Cisco AVSは、リリース 5.1以降のリリースの VMware ESXiハイパーバイザ搭載のCiscoAPIC用の vLeafとしてサポートされます。

Cisco AVS VIBを選択する際は、使用する VMwareESXi Hypervisorのバージョンと互換性があるものを選択する必要があります。ESXi 5.1は xxix.3.1.1.vib、ESXi 5.5は xxix.3.2.1.vib、ESXi 6.0は xxxx.6.0.1.vibを使用します。

(注)

VMware vSphereのベアメタル

Cisco AVSは、VSUMリリース 1.0以降のリリースでサポートされます。

Cisco Virtual Switch UpdateManager(VSUM)

Cisco AVS のドキュメントドキュメントは Cisco.comの Cisco Application Virtual Switchページにあります。

Cisco Application Virtual Switch(AVS)のドキュメントは次のとおりです。

•『Cisco Application Virtual Switch Release Notes』

•『Cisco Application Virtual Switch Documentation Overview』

•『Cisco Application Virtual Switch Installation Guide』

•『Cisco Application Virtual Switch Download Instructions for VMware ESXi Deployments』

•『Cisco Application Virtual Switch Configuration Guide』

•『Cisco Application Virtual Switch Verified Scalability Guide』

•『Cisco Application Virtual Switch Solution Guide』

•『Cisco Application Virtual Switch Troubleshooting Guide』

•『Cisco Virtual Switch Update Manager Getting Started Guide』

•『Cisco Virtual Switch Update Manager Release Notes』

•『Cisco Virtual Switch Update Manager Troubleshooting Guide』

Cisco AVS のインストールCisco Application Virtual Switch(AVS)のインストールは 2つの別個のタスクセットで構成されます。Cisco Application Policy Infrastructure Controller(APIC)を設定し、Cisco Virtual Switch UpdateManager(VSUM)を使用してCiscoAVSをESXiホストにインストールして、ESXiホストをCiscoAVSに追加します。インストールを確認する必要もあります。

Cisco ACI 仮想化ガイド、リリース 1.2(1x) 5

Cisco ACI および Cisco AVSCisco AVS のドキュメント

ここでは、シスコアプリケーションセントリックインフラストラクチャ(ACI)ファブリック内で使用する Cisco AVSをインストールするために必要な各タスクセットの手順を示します。

Cisco AVS のインストールに関する前提条件Cisco AVSをインストールする前に、以下のタスクを実行する必要があります。

• Cisco AVSを設定する前に Cisco APICを設定する必要があります。Cisco APICを初めて設定する方法については、『Cisco APIC Getting Started Guide』を参照してください。

•すべてのスイッチが登録されており、Cisco ACIファブリックが最新であることを確認する必要があります。『Cisco Application Centric Infrastructure Fundamentals』および『Cisco APICGetting Started Guide』を参照してください。

• Cisco VSUMをインストールする必要があります。『Cisco Virtual Switch Update ManagerGetting Started Guide』を参照してください。

• VXLANカプセル化を使用して Cisco AVSを接続する場合、Cisco ACIファブリックと CiscoAVSの間のパス上のすべての中間デバイスで、最大伝送単位(MTU)の値を 1600以上に設定します。これらのデバイスにはFIスイッチおよびUCS-Bが含まれます。ただし、パフォーマンスを最適化するには、MTUを最大許容値 8950に設定する必要があります。

Cisco AVS をインストールするためのワークフローここでは、Cisco AVSをインストールするために実行すべきタスクの概要を示します。

1 CiscoApplication Policy Infrastructure Controller(APIC)GUIのユニファイド設定ウィザードで、Cisco AVSのインターフェイスポリシーおよびスイッチポリシーおよび VMware vCenterドメインプロファイルを作成します。

インターフェイスポリシーでは、vSphereホストのインターフェイスタイプ(ポートチャネル(PC)または仮想 PC(VPC))および Link Aggregation Control Protocol(LACP)またはMACピニングを設定します。サポートされるトポロジについては、『CiscoApplicationVirtual SwitchInstallation Guide』の付録「Recommended Topologies」を参照してください。

スイッチポリシーでは、リーフスイッチで物理ポートを指定し、CiscoAVSトランクの設定を指定することで、Cisco AVS(vLeaf)と ESXiハイパーバイザ間の接続を設定します。これには、VLANまたは VXLANが含まれます。

VMware vCenterドメインでは、類似するネットワークポリシー要件を持つ仮想マシン(VM)コントローラがグループ化されます。たとえば、VMコントローラは、VLANまたは VirtualExtensible Local Area Network(VXLAN)スペースおよびアプリケーションエンドポイントグループ(EPG)を共有できます。CiscoAPICはコントローラと通信して、仮想ワークロードに適用するポートグループなどのネットワーク設定をパブリッシュします。

手順については、このガイドの「拡張GUIを使用したインターフェイスおよびスイッチのプロファイルと vCenterドメインプロファイルの作成」を参照してください。

Cisco ACI 仮想化ガイド、リリース 1.2(1x)6

Cisco ACI および Cisco AVSCisco AVS のインストールに関する前提条件

2 Cisco VSUMを使用して Cisco AVSをインストールし、Cisco AVSに ESXiホストを追加します。

CiscoVSUMの使用は、CiscoAVSをインストールするための推奨される方法です。CiscoVSUMを使用すると、ESXiホストのバージョンと互換性が検証され、1つの手順で ESXiホストにCisco AVSをインストールし、Cisco AVS分散仮想スイッチ(DVS)に ESXiホストを追加できます。

VSUMを使用して Cisco AVSをインストールする手順については、このガイドの「VSUMでの Cisco AVSインストールの実行」を参照してください。

3 Cisco AVSのインストールを確認します。

仮想スイッチのステータスと仮想 NICのステータスを確認して、VMware ESXi HypervisorにCisco AVSがインストールされたことを確認する必要があります。vmknicが作成されていること、OpFlexがオンラインであること、およびポートがフォワーディングステートにあることも確認する必要があります。

手順については、このガイドの「Cisco AVSのインストールの確認」を参照してください。

インターフェイス、スイッチ、および vCenter ドメインプロファイルの作成

CiscoAVSをインストールする前に、インターフェイス、スイッチ、および vCenterドメインプロファイルを作成する必要があります。Cisco APIC 1.1.x以降では、Cisco APICの統合構成ウィザードで次のタスクを実行することを推奨します。これは、このガイドにある「拡張GUIを使用したインターフェイスおよびスイッチのプロファイルと vCenterドメインプロファイルの作成」の手順です。

このタスクを実行する前に、この項のガイドラインを理解し、従う必要があります。

代替手順

FEXのプロファイルまたは詳細なインターフェイス、スイッチ、または vCenterドメインのプロファイルを設定する必要がある場合は、『Cisco Application Virtual Switch Installation Guide』の付録 C「Procedures for Creating Interface, Switch, and vCenter Domain Profiles」にある手順を参照してください。

ファイアウォールの考慮事項

推奨される統合構成ウィザードを使用すると、後で変更できるファイアウォールポリシーがCiscoAPICによって自動で作成されます。代わりに代替手順を使用してインターフェイス、スイッチ、または vCenterドメインのプロファイルを作成すると、ファイアウォールポリシーを手動で作成しなければならなくなります。このガイドの「分散ファイアウォール」の項の手順に従います。

Cisco ACI 仮想化ガイド、リリース 1.2(1x) 7

Cisco ACI および Cisco AVSインターフェイス、スイッチ、および vCenter ドメインプロファイルの作成

インターフェイスとスイッチのプロファイルのガイドラインと前提条件

Cisco AVS用のインターフェイスとスイッチのプロファイルを作成する場合は、次のガイドラインに従って前提条件を満たしてください。

インターフェイスおよびスイッチのプロファイルを作成するガイドライン

CiscoAVSではPC、VPC、MACピン接続、FEXインターフェイスのポリシーをサポートします。個々のインターフェイスポリシーはサポートされません。FEXのポリシーについては、『CiscoApplication Virtual Switch Installation Guide』を参照してください。

•リーフスイッチと Cisco AVS vSphereホスト間にレイヤ 2ネットワークがある場合は、レイヤ 2ネットワークに接続されているインターフェイス上でインターフェイスポリシーを設定します。

•使用するリンク数とリーフ数によって、Cisco AVSに対し PCまたは VPCポリシーを設定する必要があるかどうかが判断できます。

◦リーフとESXiホスト間で単一のリンクを使用している場合は、PCポリシーを設定する必要があります。

◦リーフとESXiホスト間で複数のリンクを使用している場合は、PCポリシーを設定する必要があります。

◦複数のリーフと ESXiホスト間で複数のリンクを使用している場合は、VPCポリシーを設定する必要があります。

• LACPポリシーを選択するには、以下のガイドラインに従います。

◦ Cisco AVS(vSphereホスト)からのアップリンクがリーフスイッチに直接接続されており、LACPチャネルプロトコルを使用するかオンにする場合は、[LACP (Active orPassive)]を選択します。

◦ Cisco AVSからのアップリンクがリーフスイッチに直接接続されている一方で、スタティックポートチャネルなどのLACPチャネルプロトコルを使用しない場合は、[StaticChannel - Mode On]を選択します。

◦ Cisco AVSからのアップリンクを 1つのチャネルにまとめることができず、個別のリンクとして動作する場合は、[MAC Pinning]を選択します。

インターフェイスおよびスイッチプロファイルを作成する前提条件

リーフスイッチインターフェイスが ESXiハイパーバイザに物理的に接続されていることを確認するか、レイヤ 2デバイスを使用している場合に、リーフがレイヤ 2デバイスに物理的に接続されていることを確認する必要があります。

Cisco ACI 仮想化ガイド、リリース 1.2(1x)8

Cisco ACI および Cisco AVSインターフェイス、スイッチ、および vCenter ドメインプロファイルの作成

vCenter ドメインプロファイルのガイドラインと前提条件新しい vCenterドメインプロファイルを作成する必要があります。既存のプロファイルを変換することはできません。既存の VMware vCenterドメインプロファイルの削除については、『CiscoApplication Centric Infrastructure Fundamentals』の「Guidelines for Deleting VMM Domains」を参照してください。

VMware vCenter ドメインプロファイルの作成のガイドライン

単一のドメイン下に、複数のデータセンターとDVSエントリを作成できます。ただし、各データセンターに割り当てることができる Cisco AVSは 1つだけです。

VXLANカプセル化およびMACピン接続リンクアグリゲーションを選択する場合は、VXLANロードバランシングを有効にすることを推奨します。『CiscoApplicationVirtual SwitchConfigurationGuide』の「Enabling VXLAN load-balancing」の項を参照してください。

VMware vCenterのドメインプロファイルでVXLANロードバランシングが有効の場合、CiscoAVSによるマイクロセグメンテーションはドメインで有効にできません。

(注)

VMware vCenter ドメインプロファイルの作成の前提条件

マルチキャスト IPアドレスプールに、VMware vCenterドメインにパブリッシュされる EPG数に対応するのに十分なマルチキャスト IPアドレスがあることを確認します。VMware vCenterドメインにすでに関連付けられているマルチキャストアドレスプールに IPアドレスをいつでも追加できます。

十分な数の VLAN IDがあることを確認します。これを行わないと、エンドポイントグループ(EPG)上のポートがカプセル化を使用できないと報告することがあります。

Cisco AVSでスイッチモードを変更する場合は、最初に既存のDVSを削除し、それから必要なスイッチングモードの VMware vCenterドメインを追加する必要があります。既存の DVSを削除する手順については、『Cisco Application Virtual Switch Configuration Guide』を参照してください。

vCenterがインストールおよび設定されており、インバンド/アウトオブバンド管理ネットワークを介して到達可能である必要があります。

vCenterに対する管理者/ルートのクレデンシャルが必要です。

vCenterの管理者とルートのクレデンシャルを使用しない場合は、必要な最小アクセス許可を持つカスタムユーザアカウントを作成できます。必要なユーザ権限のリストについては、最

小 VMware vCenter権限を持つカスタムユーザアカウントを参照してください。

(注)

Cisco ACI 仮想化ガイド、リリース 1.2(1x) 9

Cisco ACI および Cisco AVSインターフェイス、スイッチ、および vCenter ドメインプロファイルの作成

拡張 GUI を使用したインターフェイスおよびスイッチのプロファイルと vCenter ドメインプロファイルの作成

注意:シスコでは、コンフィギュレーションモード(拡張または基本)を混在させないことをお

勧めします。いずれかのモードで設定を作成し、他方のモードを使用して設定を変更すると、意

図しない変更が発生する可能性があります。たとえば、拡張モードを使用して 2つのポートにインターフェイスポリシーを適用し、次に基本モードを使用して 1つのポートの設定を変更すると、変更内容が両方のポートに適用される可能性があります。

拡張および基本モードの使用については、『Cisco APIC Getting Started Guide』を参照してください。

はじめる前に

vCenterドメインプロファイルを作成する前に、Cisco APICでインバンド管理ネットワークを使用して外部ネットワークへの接続を確立する必要があります。

手順

ステップ 1 Cisco APICにログインして、[Advanced]モードを選択します。

ステップ 2 メニューバーで、[Fabric] > [Access Policies]の順にクリックします。

ステップ 3 [Policies]ナビゲーションウィンドウで、[Switch Policies]を右クリックして [Configure Interfaces,PC, and VPC]をクリックします。

ステップ 4 作業ウィンドウで緑色の [+]アイコンをクリックして、次の手順を実行します。a) [Select Switches to Configure Interfaces]フィールドで [Quick]オプションボタンが選択されていることを確認します。

b) [Switches]ドロップダウンリストから、適切なリーフ IDを選択します。[Switch Profile Name]フィールドに、スイッチプロファイル名が自動的に表示されます。

c) 緑色の [+]アイコンをもう一度クリックします。

Cisco ACI 仮想化ガイド、リリース 1.2(1x)10

Cisco ACI および Cisco AVSインターフェイス、スイッチ、および vCenter ドメインプロファイルの作成

下図に示すように、インターフェイス、スイッチ、および vCenterのドメインプロファイルを設定できるウィザードが画面に表示されます。

図 4:統合構成ウィザード

ステップ 5 このウィザードで、次の手順を実行します。

a) [Interface Type]フィールドで、適切なオプションボタンを選択します。CiscoAVS展開で有効なオプションはPC、VPCのみです。本書の「インターフェイスとスイッチのプロファイルのガイドラインと前提条件」を参照してください。

b) [Interfaces]フィールドで、vSphereホストのインターフェイスまたはインターフェイスの範囲を入力します。

インターフェイスまたはインターフェイスの範囲を入力すると、ウィザードは [InterfaceSelectorName]フィールドに名前を入力します。

c) [Interface Policy Group]フィールドで、[Create One]オプションボタンを選択します。この手順では、インターフェイスおよびスイッチのポリシーを作成する場合であり、

vCenterのドメインを最初から作成すると想定しています。[Choose One]オプションボタンを選択すると、ウィザードでこれを行えなくなります。

(注)

Cisco ACI 仮想化ガイド、リリース 1.2(1x) 11

Cisco ACI および Cisco AVSインターフェイス、スイッチ、および vCenter ドメインプロファイルの作成

d) [CDP Policy]または [LLDP Policy]ドロップダウンリストから、ポリシーを作成します。Cisco Unified Computing System(UCS)サーバを使用する場合は、Cisco DiscoveryProtocol(CDP)ポリシーを有効にするポリシーと、Link Layer Discovery Protocol(LLDP)を無効にするポリシーを作成します。

(注)

e) [Link Level Policy]ドロップダウンリストで、目的のリンクレベルポリシーを選択するか、作成します。

リンクレベルポリシーは物理インターフェイスの速度を指定します。リンクレベルポリシー

を選択しない場合、速度はデフォルトの 10 Gbpsになります。

f) [Port Channel Policy]ドロップダウンリストで、[Create Port Channel Policy]を選択します。ESXiサーバと同じポリシーを選択する必要があります。たとえば、サーバが LACPをサポートしていない場合は、[Static Channel - Mode On]または [MAC Pinning]を選択できます。

g) [Attached Device Type]フィールドで、[AVS VLAN Hosts]または [AVS VXLAN Hosts]を選択します。

ハイパーバイザがリーフスイッチに直接接続されている場合は、VLANまたはVXLANを使用できます(ファブリックインターコネクトがファブリックに接続されている

Cisco UCSブレードサーバは、直接接続されていると見なされます)。ただし、ハイパーバイザがリーフスイッチに直接接続されていない場合は、VXLANを使用する必要があります。詳細については、「Cisco AVSの概要」を参照してください。

(注)

h) [Domain]領域で、[Create One]オプションボタンが選択されていることを確認します。[Create One]オプションは、インターフェイスまたはスイッチプロファイルに新しい VMMドメインを作成する際に、この手順と同様に使用されます。[ChooseOne]ボタンは、既存のVMMドメインの一部にする新しいホスト用のインターフェイスまたはスイッチのプロファイルを作

成するときに使用します。

i) [Domain Name]フィールドに、ドメイン名を入力します。j) ステップ 5 gで [AVS VLAN Hosts]を選択した場合は、[VLAN Range]フィールドに VLAN範囲を適宜入力します。

インフラストラクチャネットワーク用に予約された VLANは内部使用が目的のため、この VLAN IDを含む範囲を定義しないでください。

(注)

k) ステップ 5 gで [AVS VXLAN Hosts]を選択した場合は、[Fabric Multicast Address]フィールドに225.1.1.1などのアドレスを入力します。

l) ステップ 5 gで [AVSVXLANHosts]を選択した場合は、[Pool ofMulticast Address Ranges]フィールドで、新しいマルチキャストプールを作成するか既存のものを選択します。

ステップ 5 kで設定したマルチキャストアドレスは、ステップ 5 lで設定した範囲とオーバーラップしてはいけません。

(注)

m) ステップ 5 gで [AVS VXLAN Hosts]を選択した場合は、[Local Switching]領域で [True]または[False]を選択します。ローカルスイッチングでは、エンドポイントグループ(EPG)内のトラフィックはリーフに送信されないため、ローカルスイッチングを選択した場合は、一部のトラフィックカウンタ

が表示されないことがあります。すべての EPG内トラフィックを表示するには、[False]を選択する必要があります。ローカルスイッチングモードとローカルスイッチングなしモードの

詳細については、「Cisco AVSの概要」を参照してください。

Cisco ACI 仮想化ガイド、リリース 1.2(1x)12

Cisco ACI および Cisco AVSインターフェイス、スイッチ、および vCenter ドメインプロファイルの作成

n) (任意)[SecurityDomains]ドロップダウンリストから、セキュリティドメインを選択するか、作成します。

o) [vCenter Login Name]フィールドに、vCenterの管理者またはルートのユーザ名を入力します。p) [Password]フィールドに、vCenterの管理者またはルートのパスワードを入力します。q) [Confirm Password]フィールドにパスワードを再入力します。

ステップ 6 [+]アイコンをクリックして [vCenter]を展開し、[Create vCenter/vShield Controller]ダイアログボックスで、次のアクションを実行します。

a) [Name]フィールドに、vCenterドメインを参照する名前を入力します。この名前は vCenterドメイン名と同じである必要はなく、vCenterホスト名を使用できます。

b) [Host Name (or IP Address)]フィールドに、ホスト名または IPアドレスを入力します。ホスト名を使用する場合、CiscoAPICでDNSポリシーをすでに設定してある必要があります。DNSポリシーを設定していない場合は、vCenter Serverの IPアドレスを入力します。

c) [DVS Version]ドロップダウンリストで、DVSバージョン 5.1を選択します。d) [Stats Collection]フィールドで [Enabled]を選択します。e) [Datacenter]フィールドで、データセンター名を入力します。

[Datacenter]に入力する名前は、vCenterでの名前と正確に一致する必要があります。大文字と小文字が区別されます。

(注)

f) [OK]をクリックします。g) [vSwitch Policy]領域で、適切なチェックボックスをオンにします。たとえば、LACPまたはMACピニングおよび関連する CDP、LLDPおよび BPDUポリシーなど、適切なポートチャネルポリシーを選択します。

[vSwitch Policy]領域でポリシーを指定しない場合は、ウィザードで先に設定したものと同じインターフェイスポリシーが vSwitchに適用されます。

(注)

トップオブラックスイッチとCisco AVSの間にユニファイドコンピューティングシステム(UCS)ファブリックインターコネクト(FI)がある場合は、[vSwitchPolicy]領域で、[MAC Pinning]チェックボックスをオンにします。

(注)

h) [Firewall]ドロップダウンリストから、[Learning]、[Enabled]または [Disabled]モードを選択します。

[Learning]モードは、分散ファイアウォールをサポートしないバージョンの Cisco AVSからサポートするバージョンにアップグレードする場合にのみ使用されます。それ以外の場合、分散

ファイアウォールは [Enabled]モードである必要があります。分散ファイアウォールのモードは後から変更できます。手順については、本書の「拡張 GUIを使用した分散ファイアウォールポリシーの作成またはそのモードの変更」を参照してください。

ステップ 7 [Configure Interface, PC, andVPC]ダイアログボックスで、[SAVE]をクリックしてからさらに [SAVE]をクリックし、[SUBMIT]をクリックします。

ステップ 8 次の手順に従って、新しいドメインとプロファイルを確認します。

a) メニューバーで、[VM Networking] > [Inventory]を選択します。b) ナビゲーションウィンドウで、[VMware] > [Domain_name] > [Controllers]を展開し、vCenterを選択します。

作業ウィンドウの [Properties]の下で、仮想マシンマネージャ(VMM)ドメイン名を参照して、コントローラがオンラインであることを確認します。作業ウィンドウに、vCenterのプロパティが

Cisco ACI 仮想化ガイド、リリース 1.2(1x) 13

Cisco ACI および Cisco AVSインターフェイス、スイッチ、および vCenter ドメインプロファイルの作成

動作ステータスとともに表示されます。表示される情報によって、APICコントローラからvCenterServerへの接続が確立され、インベントリが使用できることを確認します。

基本 GUI を使用した vCenter ドメインの作成注意:シスコでは、コンフィギュレーションモード(拡張または基本)を混在させないことをお

勧めします。いずれかのモードで設定を作成し、他方のモードを使用して設定を変更すると、意

図しない変更が発生する可能性があります。たとえば、拡張モードを使用して 2つのポートにインターフェイスポリシーを適用し、次に基本モードを使用して 1つのポートの設定を変更すると、変更内容が両方のポートに適用される可能性があります。

拡張および基本モードの使用については、『Cisco APIC Getting Started Guide』を参照してください。

手順

ステップ 1 Cisco APICにログインして、[Basic]モードを選択します。

ステップ 2 [VM Networking] > [Inventory] > [VMware]の順に移動します。

ステップ 3 [VMware]を右クリックして [Create vCenter Domain]を選択します。

ステップ 4 [Create vCenter Domain]ダイアログボックスで、[Virtual Switch Name]フィールドに名前を入力します。

ステップ 5 [Virtual Switch]フィールドで、[Cisco AVS]を選択します。

ステップ 6 [Switching Mode]フィールドで、VLAN、VXLAN、または VXLAN-NSを選択します。VXLAN-NSは、ローカルスイッチなしの VXLANです。

ステップ 7 次のいずれかの操作を実行します。

結果選択内容

[VLAN Pool]ドロップダウンリストで、VLANプールを選択します。

ステップ 6で VLANを選択した場合

Cisco ACI 仮想化ガイド、リリース 1.2(1x)14

Cisco ACI および Cisco AVSインターフェイス、スイッチ、および vCenter ドメインプロファイルの作成

結果選択内容

1 [AVS Fabric-Wide Multicast Address]フィールドにアドレスを入力します。

2 [Pool ofMulticast Addresses (one per EPG)]からオプションを選択します。

ステップ 6で VXLANまたはVXLAN-NSを選択した場合

ステップ 8 [vCenter]フィールドで、[+]アイコンをクリックします。

ステップ 9 [Create vCenter Controller]ダイアログボックスの [Host Name (or IP Address)]フィールドで、1つ以上の vCenterを特定します。

ステップ 10 [DVS Version]ドロップダウンリストから、[DVS Version 5.1]を選択します。

ステップ 11 [Datacenter]フィールドに、vCenter名を入力します。

ステップ 12 [vCenter Credential Name]フィールドに、vCenterクレデンシャル名を入力します。

ステップ 13 [Username]フィールドに、vCenterにログインするためのユーザ名を入力します。

ステップ 14 [Password]フィールドに、vCenterにログインするためのパスワードを入力します。

ステップ 15 [Confirm Password]フィールドに、パスワードを再入力します。

ステップ 16 [OK]をクリックします。

ステップ 17 [Create vCenter Domain]ダイアログボックスの [vSwitch Policy]領域で、該当するチェックボックスをオンにします。

トップオブラックスイッチとCiscoAVSの間にユニファイドコンピューティングシステム(UCS)ファブリックインターコネクト(FI)がある場合は、[vSwitchPolicy]領域で、[MACPinning]チェックボックスをオンにします。

ステップ 18 [Firewall]ドロップダウンリストから、[Learning]、[Enabled]または [Disabled]モードを選択します。

[Learning]モードは、分散ファイアウォールをサポートしないバージョンのCisco AVSからサポートするバージョンにアップグレードする場合にのみ使用されます。それ以外の場合、分散ファイ

アウォールは [Enabled]モードである必要があります。分散ファイアウォールのモードは後から変更できます。手順については、本書の「拡張 GUIを使用した分散ファイアウォールポリシーの作成またはそのモードの変更」を参照してください。

ステップ 19 [Submit]をクリックします。新しい vCenterドメインが中央の [Properties]ペインに表示されます。新しいドメインに接続されるポートを指定する必要があります。

ステップ 20 [Fabric] > [Inventory]の順に選択し、[Inventory]ナビゲーションウィンドウで [Pod]フォルダをクリックします。

ステップ 21 作業ウィンドウで、[Topology]をクリックします。

ステップ 22 トポロジで、リーフを右クリックして [Configure]を選択します。

ステップ 23 作業ペインの上部で、vCenterドメインが接続されているリーフのポートを選択します。

ステップ 24 作業ペインの下部で、[CONFIGURE INTERFACE]をクリックします。

ステップ 25 [Interface]タブの [Speed]フィールドで速度を選択します。

Cisco ACI 仮想化ガイド、リリース 1.2(1x) 15

Cisco ACI および Cisco AVSインターフェイス、スイッチ、および vCenter ドメインプロファイルの作成

デフォルト値は [inherit]です。

ステップ 26 (オプション)[L2 Protocols]タブでプロトコルを選択します。

ステップ 27 [VLAN]タブで [VLAN Domain]ドロップダウンリストから VLANドメインを選択します。

ステップ 28 [ESX And SCVMM]領域で [+]アイコンをクリックし、[Name]ドロップダウンリストで、前の手順で作成した vCenterドメインをクリックします。

ステップ 29 [APPLY CHANGES]をクリックします。

ステップ 30 [Success]ダイアログボックスで [OK]をクリックします。

NX-OS スタイルの CLI を使用した Cisco AVS インストール前設定NX-OSスタイルの CLIを使用して、Cisco AVSインストール前設定タスクを実行できます。

NX-OS スタイルの CLI を使用した VLAN ドメインの作成

手順

VLANドメインを作成します。

例:

静的割り当てでの VLANドメインの設定:apic1# configureapic1(config)# vlan-domain cli-vdom1apic1(config-vlan)# vlan 101-200

apic1(config-vlan)# show running-config# Command: show running-config vlan-domain cli-vdom1# Time: Thu Oct 1 10:12:21 2015vlan-domain cli-vdom1vlan 101-200exit

例:

静的割り当てでの VLANドメインの設定:apic1# configureapic1(config)# vlan-domain cli-vdom1 dynamicapic1(config-vlan)# vlan 101-200 dynamic

apic1(config-vlan)# show running-config# Command: show running-config vlan-domain cli-vdom1 dynamic# Time: Thu Oct 1 10:12:21 2015vlan-domain cli-vdom1 dynamicvlan 101-200 dynamicexit

Cisco ACI 仮想化ガイド、リリース 1.2(1x)16

Cisco ACI および Cisco AVSインターフェイス、スイッチ、および vCenter ドメインプロファイルの作成

NX-OS スタイルの CLI を使用したポートチャネルの設定

手順

ポートチャネルを作成します。

例:

apic1# configapic1(config)# template port-channel cli-pc1apic1(config-if)# channel-mode activeapic1(config-if)# vlan-domain member cli-vdom1

apic1(config-if)# show running-config# Command: show running-config interface port-channel cli-pc1# Time: Thu Oct 1 10:38:30 2015interface port-channel cli-pc1vlan-domain member cli-vdom1channel-mode activeexit

NX-OS スタイルの CLI を使用した VPC の設定

NX-OSスタイルの CLIを使用したバーチャルポートチャネル(VPC)の設定は、VPCドメインの設定と、その後のスイッチインターフェイスに対するVPCの設定という、2つのタスクで構成されます。

NX-OS スタイルの CLI を使用した VPC ドメインの設定

手順

VPCドメインを設定します。

例:

apic1# configapic1(config)# vpc domain explicit 10 leaf 101 102

apic1(config-vpc)# show running-config# Command: show running-config vpc domain explicit 10 leaf 101 102# Time: Thu Oct 1 10:39:26 2015vpc domain explicit 10 leaf 101 102exit

NX-OS スタイルの CLI を使用したスイッチインターフェイスでの VPC の設定

手順

スイッチインターフェイスでの VPCの設定

例:

apic1# configapic1(config)# leaf 101 – 102

Cisco ACI 仮想化ガイド、リリース 1.2(1x) 17

Cisco ACI および Cisco AVSインターフェイス、スイッチ、および vCenter ドメインプロファイルの作成

apic1(config-leaf)# interface ethernet 1/3apic1(config-leaf-if)# channel-group cli-pc1 vpc

apic1(config-leaf-if)# show running-config# Command: show running-config leaf 101 - 102 interface ethernet 1/3# Time: Thu Oct 1 10:41:15 2015leaf 101interface ethernet 1/3channel-group cli-pc1 vpcexit

exitleaf 102interface ethernet 1/3channel-group cli-pc1 vpcexit

exit

NX-OS CLI を使用したローカルスイッチを含む VMM ドメインまたは含まない VMM ドメインの作成

手順

ローカルスイッチを含む VMMドメインまたは含まない VMMドメインを作成します。

例:apic1(config)# vmware-domain cli-vmm1apic1(config-vmware)# vlan-domain member cli-vdom1apic1(config-vmware)# vcenter 10.193.218.223 datacenter dc1 dvs-version 5.1apic1(config-vmware-vc)# username rootPassword:Retype password:apic1(config-vmware-vc)#apic1(config-vmware)# configure-avsapic1(config-vmware-avs)# switching mode vlan<or>apic1(config-vmware-avs)# switching mode vxlan-nsapic1(config-vmware-avs)# multicast-address 226.0.0.1apic1(config-vmware-avs)# vxlan multicast-pool 226.0.0.11-226.0.0.20

apic1(config-vmware-vc)# show running-config# Command: show running-config vmware-domain cli-vmm1 vcenter 10.193.218.223 datacenter dc1dvs-version 5.1# Time: Thu Oct 1 10:51:45 2015vmware-domain cli-vmm1vcenter 10.193.218.223 datacenter dc1 dvs-version 5.1username rootexit

exit

apic1(config-vmware-avs)# show running-config# Command: show running-config vmware-domain cli-vmm1 configure-avs# Time: Thu Oct 1 10:53:28 2015vmware-domain cli-vmm1configure-avsswitching mode vlanexit

exit

Cisco ACI 仮想化ガイド、リリース 1.2(1x)18

Cisco ACI および Cisco AVSインターフェイス、スイッチ、および vCenter ドメインプロファイルの作成

VSUM での Cisco AVS インストールの実行Cisco APICでの Cisco AVSの設定が終了したら、Cisco VSUMで Cisco AVSのインストールを実行します。これを行うには、Cisco AVSをインストールし、ESXiホストを the Cisco AVSに追加します。

Cisco AVS をインストールするための前提条件Cisco VSUMを使用して Cisco AVSをインストールする際には、次の要件があります。

• Cisco APICの Cisco AVS設定を手動で完了する必要があります。Cisco AVSインストール前のCiscoAPIC設定の詳細については、本書の「インターフェイス、スイッチ、およびvCenterドメインプロファイルの作成」か『Cisco Application Virtual Switch Installation Guide』を参照してください。

•必要なブリッジドメイン、アプリケーションプロファイル、エンドポイントグループ、およびコントラクトを含むテナント設定がすでに作成されている必要があります。詳細につい

ては、『Cisco APIC Getting Started Guide』を参照してください。

•ホストは、1つ以上の未指定の物理 NICを実装している必要があります。

• vCenter Serverに対して管理者権限を持っている必要があります。

VSUM を使用した Cisco AVS のインストール次の手順(VSUMの [Add Host-AVS]と示された機能を使用)では、ホストをメンテナンスモードにし、Cisco AVSをインストールし、Cisco AVSに 1台以上の ESXiホストを追加します。

はじめる前に

Cisco AVSに関する次の情報を取得する必要があります。

• vCenter IPアドレス

• vCenterユーザ ID

• vCenterパスワード

手順

ステップ 1 VMware vSphere Webクライアントにログインします。

ステップ 2 [Home] > [Cisco Virtual Switch Update Manager] > [AVS] > [Configure]の順に選択します。

ステップ 3 データセンターと Cisco AVSを選択してから、[Manage]をクリックします。

Cisco ACI 仮想化ガイド、リリース 1.2(1x) 19

Cisco ACI および Cisco AVSVSUM での Cisco AVS インストールの実行

ステップ 4 スイッチペインで、[Cisco AVS] > [Add Host-AVS]の順に選択します。

ステップ 5 [Target Version]ドロップダウンリストから、ホストにインストールするターゲット VIBバージョンを選択します。

ステップ 6 [Show Host]をクリックします。

ステップ 7 [Host Selection]領域で、追加するホストを選択します。ホストは、次のカテゴリに分類されます。

• Cluster:クラスタに含まれるホスト。

• Standalone:クラスタに属していないホスト。スタンドアロンモードのホストを追加することができます。

ホストは [Cluster]および [Standalone]のカテゴリ内で、さらに編成されます。

• Supported:Cisco AVSによってサポートされているホスト。このようなホストを追加することができます。

• Unsupported:Cisco AVSによってサポートされていないホスト。

• Unreachable:無応答状態または接続解除状態にあるホスト。

• Already in DVS:すでに DVSに関連付けられているホスト。すでに DVSに関連付けられているホストは追加できません。

• No free PNIC:空き PNICのないホスト。空き PNICのないホストは追加できません。

ステップ 8 セットアップに応じて、[Cluster]または [Standalone]を展開します。

ステップ 9 使用可能な 1つ以上のホストを選択し、[Suggest]をクリックします。[PNIC Selection]領域に、各ホストで使用可能なアップリンクが表示されます。

ステップ 10 [PNIC Selection]領域で、Cisco AVSに追加する PNICまたは PNICSを選択します。

ステップ 11 [Finish]をクリックすると、ホストが Cisco AVSに追加されます。

ステップ 12 次の手順に従ってホストの追加のステータスを確認します。

a) 作業ウィンドウの右にある [Recent Tasks]ペインで、[More Tasks]をクリックします。最新のタスクをタスクのリストの先頭に表示して [Task Console]が作業ウィンドウに表示されます。

b) [Task Name]カラムでタスクを見つけ、[Status]カラムのステータスを参照します。[Status]カラムには、タスクが完了したのか進行中であるのかが表示されます。[Refresh]アイコンをクリックすると、新しいタスクを表示でき、タスクがどれぐらい完了しているかを確認

できます。

実行したばかりのプライマリタスクの上に複数のタスクが表示されることがありま

す。これらはプライマリタスクに関連付けられている可能性があります。

(注)

ホストの追加はプライマリタスク [Add hosts to Cisco DVS]のステータスが「Completed」になったことで完了を確認できます。

ブラウザを閉じた後でタスクの履歴を表示するには、Webクライアントにログインし、ナビゲーションウィンドウで [Tasks]をクリックして、作業ウィンドウにタスクのリストを表示します。

Cisco ACI 仮想化ガイド、リリース 1.2(1x)20

Cisco ACI および Cisco AVSVSUM での Cisco AVS インストールの実行

次の作業

Cisco AVSのインストールを確認します。手順については、本書の「Cisco AVSのインストールの確認」を参照してください。

Cisco AVS のインストールの確認ここでは、Cisco Application Virtual Switch(AVS)が VMware ESXi Hypervisorにインストールされていることを確認する方法について説明します。

仮想スイッチのステータスの確認

手順

ステップ 1 VMware vSphere Clientにログインします。

ステップ 2 [Networking]を選択します。

ステップ 3 データセンターのフォルダを開き、仮想スイッチをクリックします。

ステップ 4 [Hosts]タブをクリックします。[DVS Status]および [Status]フィールドに、仮想スイッチのステータスが表示されます。VDSのステータスは、OpFlex通信が確立されていることを示す「Up」になっている必要があります。

vNIC ステータスの確認

手順

ステップ 1 VMware vSphere Clientで、[Home]タブをクリックします。

ステップ 2 [Hosts and Clusters]を選択します。

ステップ 3 ホストをクリックします。

ステップ 4 [Configuration]タブをクリックします。

ステップ 5 [Hardware]パネルで、[Networking]を選択します。

ステップ 6 [View]フィールドで、[vSphere Distributed Switch]ボタンをクリックします。

ステップ 7 [Manage Virtual Adapters]をクリックします。vmk1が仮想アダプタとして表示され、IPアドレスがリスト表示されます。

ステップ 8 vmknicステータスを表示するには、新しく作成されたvmkインターフェイスをクリックします。vmkが DHCP経由で IPアドレスを受信するには、約 20秒かかります。

(注)

Cisco ACI 仮想化ガイド、リリース 1.2(1x) 21

Cisco ACI および Cisco AVSVSUM での Cisco AVS インストールの実行

Cisco AVS のアンインストールテストのために Cisco AVSを削除しなければならない場合があります。または、Cisco ACIファブリックからすべての設定を削除する必要がある場合は、ファブリックを初期状態にリセットしま

す。Cisco AVSを削除するには、次の基本的な手順に従います。

手順

ステップ 1 VMware vSphere Clientで、次の手順を実行します。a) EPGポートグループからすべての VMを削除します。b) CiscoAVSホストからすべての仮想トンネルエンドポイント(VTEP)VMwareカーネル(VMK)を削除します。

c) Cisco AVSからすべてのホストを削除します。

手順については、VMwareのドキュメントを参照してください。

ステップ 2 Cisco APICで次の手順を実行します。a) ポートグループを削除するには、EPGへのすべての仮想マシン管理(VMM)ドメインの関連付けを削除します。

Cisco ACIファブリックからすべての設定を削除する場合、この手順はオプションです。

b) Cisco AVS VMMドメインを削除します。

次の作業

Cisco AVSをアンインストールするが、Cisco ACIファブリックからすべての設定を削除しない場合は、インストールされた各ホストから VIBソフトウェアを削除できます。次の vSphere CLIコマンドを使用して、ホストから VIBソフトウェアを削除します。

esxcli software vib remove -ninstalled_vem_version

Cisco AVS の主要なインストール後設定作業CiscoApplicationVirtual Switch(AVS)をインストールした後、CiscoApplication Policy InfrastructureController(APIC)で設定作業を行う必要があります。

Cisco AVS の設定の条件Cisco Application Virtual Switch(AVS)を設定する前に、次の作業を行う必要があります。

1 このガイドの前の項の説明に従って、Cisco AVSをインストールします。

2 『ACI Fundamentals Guide』および『APIC Getting Started Guide』に記載されている概念を理解します。

Cisco ACI 仮想化ガイド、リリース 1.2(1x)22

Cisco ACI および Cisco AVSCisco AVS のアンインストール

Cisco AVS の主要なインストール後設定作業のワークフローここでは、Cisco AVSを設定するために、正しい順序で実行すべきタスクの概要を示します。

1 アプリケーションプロファイルを展開します。

a テナントを作成します。

テナントは、管理者がドメインベースのアクセス制御を実行するための、アプリケーショ

ンポリシーの論理コンテナです。テナントは、サービスプロバイダーの環境ではお客様

を、企業の環境では組織またはドメインを、または単にポリシーの便利なグループ化を表

すことができます。

ファブリックには複数のテナントを含めることができます。テナントは相互に分離するこ

とも、リソースを共有することもできます。テナントが含む主要な要素は、フィルタ、コ

ントラクト、外部ネットワーク、ブリッジドメイン、コンテキスト、およびエンドポイン

トグループ(EPG)を含むアプリケーションプロファイルです。テナントのエンティティはそのポリシーを継承します。

レイヤ 4~ 7のサービスを展開する前に、テナントを設定する必要があります。

テナントを作成する手順については、このガイドの拡張 GUIを使用したテナント、VRF、およびブリッジドメインの作成を参照してください。

b アプリケーションプロファイルを作成します。

アプリケーションプロファイルは、アプリケーション要件に一致しています。アプリケー

ションプロファイルは、EPGをグループ化する便利な論理コンテナです。

最新のアプリケーションには、複数のコンポーネントが含まれます。たとえば、e-コマースアプリケーションには、Webサーバ、データベースサーバ、ストレージエリアネットワーク内にあるデータ、および金融取引を可能にする外部リソースへのアクセスが必要となる

場合があります。アプリケーションプロファイルには、アプリケーションの機能の提供に

論理的に関連する必要な数の(またはそれ以下の)EPGが含まれます。

アプリケーションプロファイルを作成する手順については、このガイドのGUIを使用したアプリケーションプロファイルの作成を参照してください。

c エンドポイントグループ(EPG)の作成

エンドポイントは、ネットワークに直接的または間接的に接続されるデバイスです。エン

ドポイントには、アドレス(ID)、ロケーション、属性(バージョンやパッチレベルなど)があり、物理または仮想にできます。エンドポイントの例には、インターネット上のサー

バ、仮想マシン、ネットワーク接続ストレージ、またはクライアントが含まれます。

EPGは、セキュリティ、仮想マシンのモビリティ、QoS、レイヤ 4~レイヤ 7サービスなどの共通のポリシー要件を持つエンドポイントのコレクションを含む、名前付き論理エン

ティティです。EPGにより、エンドポイントを個別に設定および管理するのではなく、グループとして管理できます。EPGのエンドポイントは同じ設定を持ち、EPG設定の変更は、割り当てられているすべてのエンドポイントに自動的に伝搬されます。vCenterServerでは、EPSはポートグループとして表されます。

Cisco ACI 仮想化ガイド、リリース 1.2(1x) 23

Cisco ACI および Cisco AVSCisco AVS の主要なインストール後設定作業のワークフロー

EPGを作成する手順については、このガイドのGUIを使用した EPGの作成を参照してください。

d vCenterで仮想マシン(VM)にポートグループを割り当てます。

vCenter Serverでは、EPSはポートグループとして表されます。以下を実行するために、vCenter Serverでは仮想イーサネット(vEth)インターフェイスが EPGに割り当てられます。

•ポリシーによるポート設定の定義

•多数のポートに対する単一ポリシーの適用

サービス管理者は、アップリンクとして設定された EPGを物理ポートに割り当てることができます(vmnicsまたは PNIC)。アップリンクとして設定されていない EPGは、VM仮想ポートに割り当てられることがあります。

手順については、このガイドのvCenterでのVMへのポートグループの割り当てを参照してください。

e フィルタを作成します。

フィルタは、さまざまなアプリケーションまたはサービス配信要件を満たすために、EPGや契約をうまく組み合わせるのに役立つ管理対象オブジェクトです。契約によって許可ま

たは拒否されるデータプロトコル(EPG間の通信のルール)を指定します(これにはフィルタが含まれます)。

手順についてはこのガイドのGUIを使用したフィルタの作成を参照してください。

f 契約を作成します。

契約は、EPG間の通信を可能にするポリシーです。管理者は、コントラクトを使用して許可されるプロトコルやポートを含む EPG間を通過できるトラフィックのタイプを選択します。コントラクトがなければ、EPG間通信はデフォルトでディセーブルになります。EPG内の通信には契約は不要です。EPG内の通信は常に暗黙的に許可されます。

コントラクトは、プロバイダー、コンシューマ、またはその両方とラベル付された EPG間の通信を制御します。EPGは同じコントラクトを提供および消費できます。EPGは複数のコントラクトを同時に提供および消費することもできます。

手順についてはこのガイドのGUIを使用した契約の作成を参照してください。

2 アプリケーションプロファイルを確認します。

アプリケーションプロファイルが作成されていることを確認するには、次の作業を行う必要が

あります。

a Cisco APICでアプリケーションプロファイルを確認します。

b vCenterに EPGが表示されることを確認します。

c VMが通信できることを確認します。

Cisco ACI 仮想化ガイド、リリース 1.2(1x)24

Cisco ACI および Cisco AVSCisco AVS の主要なインストール後設定作業のワークフロー

手順については、このガイドのGUIでのアプリケーションプロファイルと EPGの確認を参照してください。

3 IPv4または IPv6アドレスの設定

Cisco AVSに接続された VMの IPアドレスを設定するには、VMに IPv4アドレスまたは IPv6アドレス(または IPv4アドレスと IPv6アドレスの両方)を割り当ててから、ゲートウェイアドレスを割り当てます。

手順については、このガイドのCisco AVSに接続されたVMの IPアドレス設定を参照してください。

4 (推奨オプション)分散ファイアウォールを有効にします。

Cisco AVSリリース 5.2(1)SV3(1.5)をインストールまたはこれにアップグレードした後、その機能を使用するには、分散ファイアウォールを有効にする必要があります。デフォルトでは、

分散ファイアウォールは学習モードになっています。このガイドの拡張 GUIを使用した分散ファイアウォールポリシーの作成またはそのモードの変更の手順に従って、分散ファイアウォー

ルを有効にします。

拡張 GUI を使用した Cisco AVS のアプリケーションプロファイルの導入

注意:シスコでは、コンフィギュレーションモード(拡張または基本)を混在させないことをお

勧めします。いずれかのモードで設定を作成し、他方のモードを使用して設定を変更すると、意

図しない変更が発生する可能性があります。たとえば、拡張モードを使用して 2つのポートにインターフェイスポリシーを適用し、次に基本モードを使用して 1つのポートの設定を変更すると、変更内容が両方のポートに適用される可能性があります。

拡張 GUI を使用したテナント、VRF、およびブリッジドメインの作成•このタスク例のビデオを視聴するには、Videos Webpageを参照してください。

•外部ルーテッドを設定するときにパブリックサブネットがある場合は、ブリッジドメインを外部設定と関連付ける必要があります。

手順

ステップ 1 メニューバーで、[TENANT] > [Add Tenant]の順にクリックします。

ステップ 2 [Create Tenant]ダイアログボックスで、次のタスクを実行します。a) [Name]フィールドに、名前を入力します。b) [Security Domains +]アイコンをクリックして [Create Security Domain]ダイアログボックスを開きます。

Cisco ACI 仮想化ガイド、リリース 1.2(1x) 25

Cisco ACI および Cisco AVS拡張 GUI を使用した Cisco AVS のアプリケーションプロファイルの導入

c) [Name]フィールドに、セキュリティドメインの名前を入力します。[Submit]をクリックします。

d) [Create Tenant]ダイアログボックスで、作成したセキュリティドメインのチェックボックスをオンにし、[Submit]をクリックします。

ステップ 3 [Navigation]ペインで、[Tenant-name] > [Networking]の順に展開し、[Work]ペインで、[VRF]アイコンをキャンバスにドラッグして [Create VRF]ダイアログボックスを開き、次のタスクを実行します。

a) [Name]フィールドに、名前を入力します。b) [Submit]をクリックして VRFの設定を完了します。

ステップ 4 [Networking]ペインで、[BD]アイコンを [VRF]アイコンにつなげながらキャンバスにドラッグします。[Create Bridge Domain]ダイアログボックスが表示されたら、次のタスクを実行します。a) [Name]フィールドに、名前を入力します。b) [L3 Configurations]タブをクリックします。c) [Subnets]を展開して [Create Subnet]ダイアログボックスを開き、[Gateway IP]フィールドにサブネットマスクを入力し、[OK]をクリックします。

d) [Submit]をクリックしてブリッジドメインの設定を完了します。

ステップ 5 [Networks]ペインで、[L3]アイコンを [VRF]アイコンにつなげながらキャンバスにドラッグします。[Create Routed Outside]ダイアログボックスが表示されたら、次のタスクを実行します。a) [Name]フィールドに、名前を入力します。b) [Nodes And Interfaces Protocol Profiles]を展開して [Create Node Profile]ダイアログボックスを開きます。

c) [Name]フィールドに、名前を入力します。d) [Nodes]を展開して [Select Node]ダイアログボックスを開きます。e) [Node ID]フィールドで、ドロップダウンリストからノードを選択します。f) [Router ID]フィールドに、ルータ IDを入力します。g) [Static Routes]を展開して [Create Static Route]ダイアログボックスを開きます。h) [Prefix]フィールドに、IPv4アドレスまたは IPv6アドレスを入力します。i) [Next Hop Addresses]を展開し、[Next Hop IP]フィールドに IPv4アドレスまたは IPv6アドレスを入力します。

j) [Preference]フィールドに数値を入力し、[UPDATE]をクリックしてから [OK]をクリックします。

k) [Select Node]ダイアログボックスで、[OK]をクリックします。l) [Create Node Profile]ダイアログボックスで、[OK]をクリックします。m) 必要に応じてチェックボックス [BGP]、[OSPF]、または [EIGRP]をオンにし、[NEXT]をクリックします。[OK]をクリックしてレイヤ 3の設定を完了します。

L3設定を確認するには、[Navigation]ペインで、[Networking] > [VRFs]の順に展開します。

Cisco ACI 仮想化ガイド、リリース 1.2(1x)26

Cisco ACI および Cisco AVS拡張 GUI を使用した Cisco AVS のアプリケーションプロファイルの導入

GUI を使用したアプリケーションプロファイルの作成

手順

ステップ 1 メニューバーで、[TENANTS]を選択します。[Navigation]ペインで、テナントを展開し、[ApplicationProfiles]を右クリックし、[Create Application Profile]をクリックします。

ステップ 2 [Create Application Profile]ダイアログボックスで、[Name]フィールドに、アプリケーションプロファイル名(OnlineStore)を追加します。

GUI を使用した EPG の作成EPGが使用するポートは、VMマネージャ(VMM)ドメインまたは EPGに関連付けられた物理ドメインのいずれか 1つに属している必要があります。

手順

ステップ 1 [EPGs]を展開します。[Create Application EPG]ダイアログボックスで、次の操作を実行します。a) [Name]フィールドに、EPGの名前(db)を追加します。b) [BridgeDomain]フィールドで、ドロップダウンリストからブリッジドメイン(bd1)を選択します。

c) [Associate toVMDomainProfiles]チェックボックスをオンにします。[Next]をクリックします。d) [Step 2 for Specify the VM Domains]領域で、[Associate VM Domain Profiles]を展開し、ドロップダウンリストから目的のVMMドメインを選択します。[Update]をクリックし、[OK]をクリックします。

ステップ 2 [Create Application Profile]ダイアログボックスで、EPGをさらに 2つ作成します。3つの EPGは、同じブリッジドメインおよびデータセンター内の db、app、および webである必要があります。

拡張 GUI を使用したカプセル化ブロックを含む VLAN プールの作成VMMドメインまたは EPG(アプリケーション EPGまたはマイクロセグメントのどちらか)と関連付ける VLANプールを作成できます。

手順

ステップ 1 Cisco APICにログインして、[Advanced]モードを選択します。

Cisco ACI 仮想化ガイド、リリース 1.2(1x) 27

Cisco ACI および Cisco AVS拡張 GUI を使用した Cisco AVS のアプリケーションプロファイルの導入

ステップ 2 [Fabric] > [Access Policies]の順に移動します。

ステップ 3 [Policies]ナビゲーションウィンドウで、[Pools]フォルダを展開します。

ステップ 4 [VLAN]フォルダを右クリックし、[Create VLAN Pool]を選択します。

ステップ 5 [Create VLAN Pool]ダイアログボックスの [Name]フィールドで、VLANプールに名前を付けます。

ステップ 6 [AllocationMode]エリアで、[Dynamic Allocation]モードまたは [Static Allocation]モードを選択します。

VMMドメインにVLANプールを関連付けるには、ダイナミック割り当てを選択する必要があります。VLANプールにスタティック割り当てを定義した場合は、VMMドメインを作成してみてください。スタティック割り当てを持つ VLANプールは使用できません。

(注)

ステップ 7 [Encap Blocks]領域で、[+]アイコンをクリックします。

ステップ 8 [Create Ranges]ダイアログボックスの [Range]エリアで、[From]フィールドと [To]フィールドに適切な VLANの番号を入力します。

ステップ 9 [Allocation Mode]エリアで [Dynamic Allocation]、[Inherit allocMode from parent]、または [StaticAllocation]を選択します。VLANプールには異なる割り当てモードのカプセル化ブロックを含めることができます。たとえば、ダイナミック割り当てを持つVLANプールに、ダイナミック割り当てまたはスタティック割り当てを持つカプセル化ブロックを含めることができます。

スタティックVLANポートカプセル化を持つ EPGを設定する場合は、スタティック割り当てを持つカプセル化ブロックを設定する必要があります。スタティック割り当てを

持つカプセル化ブロック内ではいずれか 1つの VLANを使用できます。

(注)

ステップ 10 [OK]をクリックします。VLANの範囲と割り当てモードが [Create VLAN Pool]ダイアログボックスの [Encap Blocks]エリアに表示されます。

ステップ 11 [Create VLAN Pool]ダイアログボックスで、[SUBMIT]をクリックします。

vCenter での VM へのポートグループの割り当て

手順

ステップ 1 vCenterにログインします。

ステップ 2 ナビゲーションウィンドウで仮想マシン(VM)に移動します。

ステップ 3 ナビゲーションウィンドウで VMを右クリックします。

ステップ 4 [Edit Settings]ダイアログボックスで、VMに対して次の操作を実行します。a) [Network Adapter 1]ドロップダウンメニューから、テナント、アプリケーションプロファイル、エンドポイントグループ(EPG)の適切な組み合わせの値を選択します。たとえば、T2|ap4|EPG1の後に Cisco APICで設定された値が続くオプションが表示されます。

Cisco ACI 仮想化ガイド、リリース 1.2(1x)28

Cisco ACI および Cisco AVS拡張 GUI を使用した Cisco AVS のアプリケーションプロファイルの導入

b) 設定するその他のネットワークアダプタについて、ステップ 4 aを繰り返します。1つのネットワークアダプタの設定は必須で、その他の設定はオプションです。

c) [OK]をクリックします。

GUI を使用したフィルタの作成次の手順を使用してフィルタを作成します。このタスクでは、HTTPフィルタを作成する方法を示します。

はじめる前に

テナント、ネットワーク、およびブリッジドメインが作成されていることを確認します。

手順

ステップ 1 メニューバーで、[TENANTS]を選択します。[Navigation]ペインで、[tenant] > [Security Policies]を展開し、[Filters]を右クリックして、[Create Filter]をクリックします。

[Navigation]ペインで、フィルタを追加するテナントを展開します。

(注)

ステップ 2 [Create Filter]ダイアログボックスで、次の操作を実行します。a) [Name]フィールドに、フィルタ名(http)を入力します。b) [Entries]を展開し、[Name]フィールドに、名前(Dport-80)を入力します。c) [EtherType]ドロップダウンリストから、EtherType(IP)を選択します。d) [IP Protocol]ドロップダウンリストから、プロトコル(tcp)を選択します。e) [Destination Port/Range]ドロップダウンリストから、[From]フィールドと [To]フィールドで、

[http]を選択します。(http)f) [Update]をクリックし、[Submit]をクリックします。新しく追加されたフィルタが、[Navigation]ペインと [Work]ペインに表示されます。

ステップ 3 [Name]フィールドの [Entries]を展開します。同じプロセスを実行して、別のエントリを宛先ポートとして HTTPSで追加し、[Update]をクリックします。この新しいフィルタルールが追加されます。

GUI を使用した契約の作成次の手順を使用して契約を作成します。

Cisco ACI 仮想化ガイド、リリース 1.2(1x) 29

Cisco ACI および Cisco AVS拡張 GUI を使用した Cisco AVS のアプリケーションプロファイルの導入

手順

ステップ 1 メニューバーで、[TENANTS]と実行するテナント名を選択します。[Navigation]ペインで、[tenant]> [Security Policies]を展開します。

ステップ 2 [Contracts] > [Create Contract]を右クリックします。

ステップ 3 [Create Contract]ダイアログボックスで、次のタスクを実行します。a) [Name]フィールドに、契約名(web)を入力します。b) [Subjects]の横の [+]記号をクリックし、新しいサブジェクトを追加します。c) [Create Contract Subject]ダイアログボックスで、[Name]フィールドにサブジェクト名を入力します。(web)

d) この手順では、契約のサブジェクトで前に作成されたフィルタを関連付けま

す。

(注)

[Filter Chain]領域で、[Filters]の横の [+]記号をクリックします。e) ダイアログボックスで、ドロップダウンメニューから、フィルタ名(http)を選択し、[Update]をクリックします。

ステップ 4 [Create Contract Subject]ダイアログボックスで、[OK]をクリックします。

基本 GUI を使用した Cisco AVS のアプリケーションプロファイルの導入

注意:シスコでは、コンフィギュレーションモード(拡張または基本)を混在させないことをお

勧めします。いずれかのモードで設定を作成し、他方のモードを使用して設定を変更すると、意

図しない変更が発生する可能性があります。たとえば、拡張モードを使用して 2つのポートにインターフェイスポリシーを適用し、次に基本モードを使用して 1つのポートの設定を変更すると、変更内容が両方のポートに適用される可能性があります。

基本 GUI を使用したテナント、VRF、およびブリッジドメインの作成

手順

ステップ 1 APICGUIの [BasicMode]にログインし、メニューバーで、[TENANT]> [AddTenant]の順にクリックします。

ステップ 2 [Create Tenant]ダイアログボックスで、次のタスクを実行します。a) [Name]フィールドに、名前を入力します。b) [Security Domains +]アイコンをクリックして [Create Security Domain]ダイアログボックスを開きます。

Cisco ACI 仮想化ガイド、リリース 1.2(1x)30

Cisco ACI および Cisco AVS基本 GUI を使用した Cisco AVS のアプリケーションプロファイルの導入

c) [Name]フィールドに、セキュリティドメインの名前を入力します。[Submit]をクリックします。

d) [Create Tenant]ダイアログボックスで、作成したセキュリティドメインのチェックボックスをオンにし、[Submit]をクリックします。

ステップ 3 [Navigation]ペインで、[Tenant-name] > [Networking]の順に展開し、[VRF]アイコンを Canvasにドラッグして [Create VRF]ダイアログボックスを開き、次のタスクを実行します。a) [Name]フィールドに、名前を入力します。b) [Submit]をクリックして VRFの設定を完了します。

ステップ 4 [Networking]ペインで、[BD]アイコンを [VRF]アイコンにつなげながらキャンバスにドラッグします。[Create Bridge Domain]ダイアログボックスが表示されたら、次のタスクを実行します。a) [Name]フィールドに、名前を入力します。b) [Subnets]を展開して [Create Subnet]ダイアログボックスを開き、[Gateway IP]フィールドにサブネットマスクを入力し、[OK]をクリックします。

c) [Submit]をクリックしてブリッジドメインの設定を完了します。

ステップ 5 [Networking]ペインで、[VRF]アイコンに接続しながら、Canvasに [L3]アイコンをドラッグします。[Create Routed Outside]ダイアログボックスが表示されたら、次のタスクを実行します。a) [Node ID]フィールドに、ノード IDを入力します。b) [Router ID]フィールドに、ルータ IDを入力します。c) [Static Routes]を展開し、[IP Address]および [Next Hop IP]フィールドに IPv4または IPv6アドレスを入力し、[Update]をクリックします。

ゲートウェイ IPv6アドレスは、グローバルユニキャスト IPv6アドレスである必要があります。

(注)

d) 必要に応じて [Protocols]ボックスをクリックし、設定する [BGP]、[OSPF]、[EIGRP]を選択します。

e) [OK]をクリックしてから [Submit]をクリックし、レイヤ 3の設定を完了します。

L3の設定を確認するには、[Navigation]ペインで、[VRFs] > [VRF name] > [Deployed VRFs]の順に展開します。

基本 GUI を使用したアプリケーションポリシーの展開

はじめる前に

テナント、ネットワーク、およびブリッジドメインが作成されていることを確認します。

手順

ステップ 1 APIC GUIの [Basic Mode]にログインします。

(注)

Cisco ACI 仮想化ガイド、リリース 1.2(1x) 31

Cisco ACI および Cisco AVS基本 GUI を使用した Cisco AVS のアプリケーションプロファイルの導入

メニューバーで、[Tenants] > [Tenant-name]の順にクリックします。ステップ 2 [Navigation]ペインで、[Application Profiles]を右クリックし、[Create Application Profile]をクリッ

クします。

ステップ 3 [Create Application Profile]ダイアログボックスに、プロファイルの名前を入力します。[Submit]をクリックします。

ステップ 4 [Navigation]ペインで、新しいアプリケーションプロファイルをクリックして選択します。

ステップ 5 [Work]ペインの [Drag and drop to configure toolbar]から最初の [EPG]をドラッグし、下の空白の画面にドロップします。

ステップ 6 表示される [Create Application EPG]ダイアログボックスで、次の操作を実行します。a) アプリケーション EPGの名前を入力します。b) [Bridge Domain]フィールドで、ドロップダウンリストから、目的のブリッジドメインを選択します。[OK]をクリックします。

異なるブリッジドメインで必要な場合はこの手順を繰り返して追加の EPGを作成します。

ステップ 7 [Drag and drop to configure toolbar]から、[Contract]をドラッグアンドドロップします。ユーザの必要に応じてドラッグするとプロバイダー EPGとしてコンシューマ EPGを自動接続します。関係が矢印で表示されます。

[Config ContractWith L4-L7 Service Graph]ダイアログボックスが表示され、選択した詳細、および関連するプロバイダーとコンシューマの契約が自動的に読み込まれます。

a) [Contract Name]フィールドに、契約名を入力します。[OK]をクリックします。b) [No Filter]フィールドのチェックボックスをオフにして、カスタマイズフィルタを作成します。

チェックボックスをオフにしない場合は、デフォルトのフィルタが自動作成されま

す。

(注)

c) (任意) カスタマイズフィルタを作成するには、必要に応じて [Filter Entries]フィールドに適切な情報を入力します。[OK]をクリックします。

ステップ 8 [Application Profile]作業ウィンドウで、[Submit]をクリックします。これで、アプリケーションプロファイルを導入する手順が完了しました。

NX-OS CLI を使用した Cisco AVS のアプリケーションプロファイルの導入

NX-OS スタイル CLI を使用したテナント、VRF、およびブリッジドメインの作成ここでは、テナント、VRFおよびブリッジドメインを作成する方法を説明します。

Cisco ACI 仮想化ガイド、リリース 1.2(1x)32

Cisco ACI および Cisco AVSNX-OS CLI を使用した Cisco AVS のアプリケーションプロファイルの導入

テナントの設定を作成する前に、vlan-domainコマンドを使用してVLANドメインを作成し、ポートを割り当てる必要があります。

(注)

手順

ステップ 1 次のように、VLANドメイン(一連のポートで許可される一連のVLANを含む)を作成し、VLANの入力を割り当てます。

例:

次の例(exampleCorp)では、VLAN 50~ 500が割り当てられることに注意してください。apic1# configureapic1(config)# vlan-domain dom_exampleCorpapic1(config-vlan)# vlan 50-500apic1(config-vlan)# exit

ステップ 2 VLANが割り当てられたら、これらの VLANを使用できるリーフ(スイッチ)およびインターフェイスを指定します。次に、「vlan-domainmember」と入力し、その後に作成したドメインの名前を入力します。

例:

次の例では、これらの VLAN(50~ 500)は、インターフェイスイーサネット 1/2~ 4(1/2、1/3、1/4を含む 3つのポート)上の leaf 101で有効になっています。これは、このインターフェイスを使用すると、VLANを使用できるあらゆるアプリケーションにこのポートの VLAN 50~ 500を使用できることを意味します。

apic1(config-vlan)# leaf 101apic1(config-vlan)# interface ethernet 1/2-4apic1(config-leaf-if)# vlan-domain member dom_exampleCorpapic1(config-leaf-if)# exitapic1(config-leaf)# exit

ステップ 3 次の例に示すように、グローバルコンフィギュレーションモードでテナントを作成します。

例:

apic1(config)# tenant exampleCorp

ステップ 4 次の例に示すように、テナントコンフィギュレーションモードでプライベートネットワーク

(VRFとも呼ばれます)を作成します。

例:

apic1(config)# tenant exampleCorpapic1(config-tenant)# vrf context exampleCorp_v1apic1(config-tenant-vrf)# exit

ステップ 5 次の例に示すように、テナントの下にブリッジドメイン(BD)を作成します。

例:

apic1(config-tenant)# bridge-domain exampleCorp_b1

Cisco ACI 仮想化ガイド、リリース 1.2(1x) 33

Cisco ACI および Cisco AVSNX-OS CLI を使用した Cisco AVS のアプリケーションプロファイルの導入

apic1(config-tenant-bd)# vrf member exampleCorp_v1apic1(config-tenant-bd)# exit

この場合、VRFは「exampleCorp_v1」です。

(注)

ステップ 6 次の例に示すように、BDの IPアドレス(IPおよび ipv6)を割り当てます。

例:apic1(config-tenant)# interface bridge-domain exampleCorp_b1apic1(config-tenant-interface)# ip address 172.1.1.1/24apic1(config-tenant-interface)# ipv6 address 2001:1:1::1/64apic1(config-tenant-interface)# exit

次の作業

次の項では、アプリケーションプロファイルを追加し、アプリケーションエンドポイントグルー

プ(EPG)を作成し、EPGをブリッジドメインに関連付ける方法について説明します。

関連トピック

NX-OSスタイル CLIを使用した VLANドメインの設定

NX-OS スタイル CLI を使用したアプリケーションプロファイルおよび EPG の作成

はじめる前に

アプリケーションプロファイル、アプリケーションエンドポイントグループ(EPG)を作成する前に、VLANドメイン、テナント、VRF、および BDを作成する必要があります(前の項で説明しています)。

手順

ステップ 1 次の例に示すように、アプリケーションプロファイルを作成します(exampleCorp_web1)。

例:

apic1(config)# tenant exampleCorpapic1(config-tenant)# application exampleCorp_web1

ステップ 2 次の例に示すように、アプリケーションの下に EPGを作成します(exampleCorp_webepg1)。

例:

apic1(config-tenant-app)# epg exampleCorp_webepg1

ステップ 3 次に示すように、ブリッジドメインに EPGを関連付けます。

例:apic1(config-tenant-app-epg)# bridge-domain member exampleCorp_b1apic1(config-tenant-app-epg)# exit

Cisco ACI 仮想化ガイド、リリース 1.2(1x)34

Cisco ACI および Cisco AVSNX-OS CLI を使用した Cisco AVS のアプリケーションプロファイルの導入

apic1(config-tenant-app)# exitapic1(config-tenant)# exit

各 EPGはBDに属します。EPGは、同じテナント(または)共通のテナントからのBDに属することができます。チェーンを見ると、最下端は EPG、その上は BDです。BDは VRFに属し、VRFはテナントに属します。

(注)

次の作業

これらの例では、テナントのアプリケーションEPGを設定する方法について説明しました。次の項では、EPGにポート上の VLANをマッピングする方法を説明します。

NX-OS スタイル CLI を使用したカプセル化ブロックを含む VLAN プールの作成

手順

ステップ 1 ダイナミックまたはスタティックの VLANプールを作成します。

例:apic1# configapic1(config)# vlan-domain AVS-DOM2 dynamic

またはapic1# configapic1(config)# vlan-domain AVS-DOM2

スタティックVLANプールがデフォルトです。ダイナミックVLANプールを作成するには、コマンドに dynamicキーワードを追加する必要があります。

ステップ 2 ダイナミックまたはスタティック割り当てブロックを定義します。

例:apic1(config-vlan)# vlan 1071-1075 dynamic

またはapic1(config-vlan)# vlan 1071-1075

スタティック割り当てがデフォルトです。ダイナミック割り当てブロックを作成するには、コマ

ンドに dynamicキーワードを追加する必要があります。

ステップ 3 ダイナミックまたはスタティックカプセル化ブロックを割り当てます。

例:apic1(config-vlan)# vlan 1076-1080,1091 dynamicscale-apic1(config-vlan)#apic1(config-vlan)# exit

またはapic1(config-vlan)# vlan 1076-1080,1091scale-apic1(config-vlan)#apic1(config-vlan)# exit

割り当てはデフォルトでスタティックです。ダイナミックカプセル化を割り当てるには、コマン

ドに dynamicキーワードを追加する必要があります。

Cisco ACI 仮想化ガイド、リリース 1.2(1x) 35

Cisco ACI および Cisco AVSNX-OS CLI を使用した Cisco AVS のアプリケーションプロファイルの導入

スタティック VLANプールにダイナミックカプセル化ブロックを含めることはできませんが、ダイナミック VLANプールにはスタティックおよびダイナミックのカプセル化ブロックを含めることができます。

(注)

ステップ 4 VMMドメインに VLANプールを関連付けます。

例:apic1(config)# vmware-domain AVS-DOM2apic1(config-vmware)# vlan-domain member AVS-DOM2apic1(config-vmware)# exitapic1(config)# exitapic1#apic1# show vlan-domain

ステップ 5 VLANプールが定義されたことを確認します。apic1# show vlan-domain name AVS-DOM2Legend:vlanscope: L (Portlocal). Default is global

vlan-domain : AVS-DOM2 Type : All

vlan : 1071-1075(dynamic) 1091(static) 1076-1080(static)

Node Interface Vlan Type Usage Operational StateOperational Vlan------------ ---------------- ---- ----------- -------------------- ----------------------------------------

scale-apic1#

NX-OS スタイル CLI を使用したアプリケーションポリシーの展開EPGが使用するポートは、VMマネージャ(VMM)ドメインまたは EPGに関連付けられた物理ドメインのいずれか 1つに属している必要があります。

手順

ステップ 1 NX-OS CLIを使用してコンフィギュレーションモードにするには、次を入力します。

例:

apic1#configureapic1(config)#

ステップ 2 テナントのアプリケーションネットワークプロファイルを作成します。

次の例のアプリケーションネットワークプロファイルは OnlineStoreです。

例:

apic1(config)# tenant exampleCorpapic1(config-tenant)# application OnlineStoreapic1(config-tenant-app)#

ステップ 3 テナントのこのアプリケーションネットワークプロファイルに関するアプリケーション web、db、および app EPGを作成します。

Cisco ACI 仮想化ガイド、リリース 1.2(1x)36

Cisco ACI および Cisco AVSNX-OS CLI を使用した Cisco AVS のアプリケーションプロファイルの導入

例:

apic1(config-tenant-app)# epg webapic1(config-tenant-app-epg)# exitapic1(config-tenant-app)# epg dbapic1(config-tenant-app-epg)# exitapic1(config-tenant-app)# epg appapic1(config-tenant-app-epg)# exit

ステップ 4 テナントモードに戻り、これらの EPG間のさまざまなトラフィックタイプのアクセスリスト(フィルタ)を作成します。

例:

apic1(config-tenant-app)# exit

ステップ 5 httpおよび httpsトラフィック用のアクセスリスト(フィルタ)を作成します。

例:

apic1(config-tenant)# access-list httpapic1(config-tenant-acl)# match tcp dest 80apic1(config-tenant-acl)# match tcp dest 443apic1(config-tenant-acl)# exit

ステップ 6 Remote Method Invocation(RMI)トラフィック用のアクセスリスト(フィルタ)を作成します。

例:

apic1(config-tenant)# access-list rmiapic1(config-tenant-acl)# match tcp dest 1099apic1(config-tenant-acl)# exit

ステップ 7 SQL/databaseトラフィック用のアクセスリスト(フィルタ)を作成します。

例:

apic1(config-tenant)# access-list sqlapic1(config-tenant-acl)# match tcp dest 1521apic1(config-tenant)# exit

ステップ 8 契約を作成し、EPG間のRMIトラフィック用のアクセスグループ(フィルタ)を割り当てます。

例:

apic1(config)# tenant exampleCorpapic1(config-tenant)# contract rmiapic1(config-tenant-contract)# subject rmiapic1(config-tenant-contract-subj)# access-group rmi bothapic1(config-tenant-contract-subj)# exitapic1(config-tenant-contract)# exit

ステップ 9 契約を作成し、EPG間のWebトラフィック用のアクセスグループ(フィルタ)を割り当てます。

例:

apic1(config-tenant)# contract webapic1(config-tenant-contract)# subject web

Cisco ACI 仮想化ガイド、リリース 1.2(1x) 37

Cisco ACI および Cisco AVSNX-OS CLI を使用した Cisco AVS のアプリケーションプロファイルの導入

apic1(config-tenant-contract-subj)# access-group http bothapic1(config-tenant-contract-subj)# exit

ステップ 10 契約を作成し、EPG間のSQLトラフィック用のアクセスグループ(フィルタ)を割り当てます。

例:

apic1(config-tenant)# contract sqlapic1(config-tenant-contract)# subject sqlapic1(config-tenant-contract-subj)# access-group sql bothapic1(config-tenant-contract-subj)# exitapic1(config-tenant-contract)# exit

ステップ 11 Web EPGにブリッジドメインと契約をアタッチします。

例:

apic1(config-tenant)# application OnlineStoreapic1(config-tenant-app)# epg webapic1(config-tenant-app-epg)# bridge-domain member exampleCorp_b1apic1(config-tenant-app-epg)# contract consumer rmiapic1(config-tenant-app-epg)# contract provider webapic1(config-tenant-app-epg)# exit

ステップ 12 db EPGにブリッジドメインと契約をアタッチします。

例:

apic1(config-tenant-app)# epg dbapic1(config-tenant-app-epg)# bridge-domain member exampleCorp_b1apic1(config-tenant-app-epg)# contract provider sqlapic1(config-tenant-app-epg)# exit

ステップ 13 アプリケーション EPGにブリッジドメインと契約をアタッチします。

例:

apic1(config-tenant-app)# epg appapic1(config-tenant-app-epg)# bridge-domain member exampleCorp_b1

ステップ 14 アプリケーション EPGにプロバイダー契約を関連付けます。

例:

apic1(config-tenant-app-epg)# contract provider rm1apic1(config-tenant-app-epg)# contract consumer sqlapic1(config-tenant-app-epg)# exitapic1(config-tenant-app)# exitapic1(config-tenant)# exit

ステップ 15 EPG app、db、および webにポートと VLANを関連付けます。

例:

apic1(config)# leaf 103apic1(config-leaf)# interface ethernet 1/2-4apic1(config-leaf-if)# vlan-domain member exampleCorpapic1(config-leaf)# exitapic1(config)# leaf 103apic1(config-leaf)# interface ethernet 1/2apic1(config-leaf-if)# switchportaccess trunk vlan

Cisco ACI 仮想化ガイド、リリース 1.2(1x)38

Cisco ACI および Cisco AVSNX-OS CLI を使用した Cisco AVS のアプリケーションプロファイルの導入

apic1(config-leaf-if)# switchport trunk allowed vlan 100 tenant exampleCorp applicationOnlineStore epg appapic1(config-leaf-if)# exitapic1(config-leaf)# interface ethernet 1/3apic1(config-leaf-if)# switchport trunk allowed vlan 101 tenant exampleCorp applicationOnlineStore epg dbapic1(config-leaf-if)# exitapic1(config-leaf)# interface ethernet 1/4apic1(config-leaf-if)# switchport trunk allowed vlan 102 tenant exampleCorp applicationOnlineStore epg webapic1(config-leaf-if)# exit

アプリケーションプロファイルの確認

GUI でのアプリケーションプロファイルと EPG の確認アプリケーションプロファイルや EPGを作成したら、Cisco APICに表示されることを確認する必要があります。

注意:シスコでは、コンフィギュレーションモード(拡張または基本)を混在させないことをお

勧めします。いずれかのモードで設定を作成し、他方のモードを使用して設定を変更すると、意

図しない変更が発生する可能性があります。たとえば、拡張モードを使用して 2つのポートにインターフェイスポリシーを適用し、次に基本モードを使用して 1つのポートの設定を変更すると、変更内容が両方のポートに適用される可能性があります。

手順

ステップ 1 Cisco APICにログインし、[Advanced]モードまたは [Basic]モードを選択します。

ステップ 2 メニューバーで、[TENANTS]を選択し、アプリケーションプロファイルや EPGを作成したテナントを選択します。

ステップ 3 ナビゲーションウィンドウで、テナントフォルダを展開し、次に [Application Profiles]フォルダを展開します。

ステップ 4 作成したアプリケーションプロファイルが表示されることを確認します。

ステップ 5 アプリケーションプロファイルのフォルダを開き、[Application EPGs]フォルダをクリックします。

ステップ 6 作業ウィンドウで、作成した EPGが表示されていることを確認し、各 EPGをクリックしてそのプロパティを表示します。

vCenter での EPG の確認作成した EPGが vCenterに伝播されたことを確認する必要があります。

Cisco ACI 仮想化ガイド、リリース 1.2(1x) 39

Cisco ACI および Cisco AVSアプリケーションプロファイルの確認

手順

ステップ 1 vCenterにログインします。

ステップ 2 Cisco AVSに移動します。

ステップ 3 作成した EPGが Cisco AVSのポートグループ間で表示されることを確認します。

VM 間通信の確認VMが相互に通信できることを確認する必要があります。

手順

ステップ 1 vCenterにログインします。

ステップ 2 テストする仮想マシン VMの 1つに移動します。

ステップ 3 VMの [Console]タブをクリックします。

ステップ 4 VMにログインします。

ステップ 5 コマンドプロンプトにアクセスし、コマンド ping Second IP addressを入力します。ステップ 6 結果を表示して、2つの VMが通信できることを確認します。

ステップ 7 ステップ 2からステップ 6を必要なだけ繰り返します。

Cisco AVS に接続された VM の IP アドレス設定Cisco AVSに接続されたVMの IPアドレスを設定するには、IPv4アドレスまたは IPv6アドレス、または IPv4アドレスと IPv6アドレスの両方を VMに割り当ててから、ゲートウェイアドレスを割り当てます。

Cisco AVS VM ネットワークアダプタへの IP アドレスの割り当てCisco AVS仮想マシンネットワークアダプタには IPv4アドレスか IPv6アドレスのどちらかを割り当てることができます。最初に VMware vSphereクライアントでポートグループに VMネットワークアダプタを関連付け、VMコンソールでアダプタにすでに IPアドレスが割り当てられているか確認し、使用している LinuxまたはWindows環境に適切な手順を使用して、新しい IPv4または IPv6アドレスを割り当てます。

この手順は、VMを作成済みであると仮定しています。(注)

Cisco ACI 仮想化ガイド、リリース 1.2(1x)40

Cisco ACI および Cisco AVSCisco AVS に接続された VM の IP アドレス設定

はじめる前に

IPv4または IPv6アドレスを Cisco AVS VMネットワークアダプタに割り当てる必要があります。

手順

ステップ 1 VMware vSphere Clientにログインします。

ステップ 2 [Home] > [Inventory] > [Hosts and Clusters]の順に選択します。

ステップ 3 ナビゲーションウィンドウで、VMを持つサーバをクリックして、VMをクリックします。

ステップ 4 中央ペインで [Edit virtual machine settings]をクリックします。

ステップ 5 [VirtualMachine Properties]ダイアログボックスで、[Hardware]タブが選択されていることを確認します。

ステップ 6 ナビゲーションウィンドウで、ネットワークアダプタをクリックします。

ステップ 7 [Network Label]エリアで、ポートグループを選択し、[OK]をクリックします。ポートグループがネットワークアダプタに関連付けられます。

ステップ 8 VMにログインします。VMにログインするには、VMを右クリックして [Open Console]を選択するか、SSH/Telnetがすでに有効になっている場合は VM管理ポートで SSH/Telnetセッションを確立します。

ステップ 9 環境に適切なコマンド(Linuxの場合は ifconfig、Windowsの場合は ipconfigなど)を使用して、ネットワークアダプタに割り当てられている IPアドレスを一覧表示します。

ステップ 10 使用しているバージョンの LinuxやWindowsに関連する設定手順を使用して、EPGまたはブリッジドメインの目的のサブネット内の一貫した IPv4または IPv6アドレス(スタティックまたはダイナミック)を割り当てます。

ステップ 11 VMからログアウトします。

次の作業

必要に応じて、Cisco APICを使用してゲートウェイアドレスを設定できます。

GUI を使用して Cisco AVS に接続されている VM へのゲートウェイアドレスの割り当て

ブリッジドメインまたはそのブリッジドメインの EPGでゲートウェイアドレスを設定できますが、その両方ではできません。

注意:シスコでは、コンフィギュレーションモード(拡張または基本)を混在させないことをお

勧めします。いずれかのモードで設定を作成し、他方のモードを使用して設定を変更すると、意

図しない変更が発生する可能性があります。たとえば、拡張モードを使用して 2つのポートにインターフェイスポリシーを適用し、次に基本モードを使用して 1つのポートの設定を変更すると、変更内容が両方のポートに適用される可能性があります。

Cisco ACI 仮想化ガイド、リリース 1.2(1x) 41

Cisco ACI および Cisco AVSCisco AVS に接続された VM の IP アドレス設定

手順

ステップ 1 [Advanced]モードまたは [Basic]モードを選択して、Cisco APICにログインします。

ステップ 2 次のいずれかの手順を実行します。

•ブリッジドメインサブネットでゲートウェイを設定する場合は、ステップ 3からステップ7を実行して、ステップ 8から 12をスキップします。

• EPGサブネットでゲートウェイを設定する場合は、ステップ 3からステップ 7をスキップして、ステップ 8から 12を実行します。

ステップ 3 [Tenants] > [tenant_name] > [Networking] > [Bridge Domains] > [bridge_domain_name] > [Subnets]の順に選択します。

ステップ 4 作業ウィンドウの右側で、[+]アイコンをクリックします。

ステップ 5 [Create Subnet]ダイアログボックスの [Gateway IP]フィールドに、ゲートウェイ IPv4または IPv6アドレスを入力します。

ステップ 6 ダイアログボックスのデフォルト値を受け入れます。

[Scope]領域で、[Private to VRF]がデフォルトで選択されています。[Subnet Control]領域で、[NDRA Prefix]がデフォルトで選択されています。

ステップ 7 [Submit]をクリックします。

ステップ 8 [Tenant] > [tenant_name] > [Application Profiles] > [application_profile_name] > [Application EPGs] >[epg_name] > [Subnets]の順に選択します。

ステップ 9 作業ウィンドウの右側で [ACTIONS]下向き矢印をクリックし、[CreateEPGSubnet]を選択します。

ステップ 10 [Create EPG Subnet]ダイアログボックスの [Default Gateway IP]フィールドに、ゲートウェイ IPv4または IPv6アドレスを入力します。

ステップ 11 ダイアログボックスのデフォルト値を受け入れます。

[Scope]領域で、[Private to VRF]がデフォルトで選択されています。[Subnet Control]領域で、[NDRA Prefix]がデフォルトで選択されています。

ステップ 12 [Submit]をクリックします。

Cisco AVS と VMotion の使用に関するガイドラインCisco AVSと VMotionの使用については、この項のガイドラインに従ってください。

VMotion の設定

•単独のEPGを有する個別のVMkernelNIC上で vMotionを設定することを推奨します。OpFlexチャネルに対し作成された VMkernel NIC上では vMotionを設定しないでください。

Cisco ACI 仮想化ガイド、リリース 1.2(1x)42

Cisco ACI および Cisco AVSCisco AVS と VMotion の使用に関するガイドライン

• OpFlexチャネルに対し作成された VMkernel NICのパラメータを削除または変更しないことを推奨します。

OpFlexチャネルに対し作成されたVMkernel NICを誤って削除した場合は、アタッチポートグループ vtepで再作成し、ダイナミック IPアドレスを設定します。OpFlexVMkernelNICにはスタティック IPアドレスを設定しないでください。

(注)

VXLAN カプセル化の使用時の Cisco AVS と VMotion

CiscoAVSとVMotionを使用し、Virtual Extensible LAN(VXLAN)カプセル化を使用するときは、最大伝送ユニット(MTU)の設定時に、以下を考慮します。

•デフォルト値の 1500 MTUを使用すると、Cisco AVSへの VMotionの移行中にタイムアウトが発生します。このため、MTUには 1600以上が推奨されます。ただし、パフォーマンスを最適化するために、MTUは最大許容値の 8950に設定する必要があります。

• CiscoAVSは内部パケットをフラグメント化またはセグメント化することで、物理NIC(PNIC)MTUを施行します。Fabric Interconnect(ファブリックインターコネクト)など、パス内のどのスイッチでも、MTU値は Cisco AVS PNIC MTU以上である必要があります。

• VXLANパケットの再構成はサポートされないため、仮想トンネルエンドポイント(VTEP)とファブリック間のパスMTUは、Cisco AVS PNIC MTUよりも大きい必要があります。

• VXLAN使用時のオーバーヘッド合計は 50バイト以上です。

•外部イーサネット:14バイト

• IPヘッダー:20バイト

• UDPヘッダー:8バイト

• VXLANヘッダー:8バイト

分散ファイアウォール分散ファイアウォールは、シスコアプリケーションセントリックインフラストラクチャ(ACI)ファブリック内の他のセキュリティ機能、たとえば、Cisco適応型セキュリティ仮想アプライアンス(ASAv)や、Cisco Application Virtual Switch(AVS)を使用したマイクロセグメンテーションによって作成されたセキュアゾーンなどを補完する(置換するわけではない)ハードウェアアシ

スト型のファイアウォールです。分散ファイアウォールは Cisco AVS Release 5.2(1)SV3(1.5)の新機能です。

分散ファイアウォールはCiscoAVSの一部分であり、ESXi(ハイパーバイザ)カーネルにあって、デフォルトで学習モードです。分散ファイアウォールが機能するために他のソフトウェアは必要

Cisco ACI 仮想化ガイド、リリース 1.2(1x) 43

Cisco ACI および Cisco AVS分散ファイアウォール

ありません。ただし、分散ファイアウォールを使用するようにCiscoApplicationPolicy InfrastructureController(APIC)にポリシーを設定する必要があります。

分散ファイアウォールはすべての仮想イーサネット(vEth)ポートでサポートされていますが、すべてのシステムポート(仮想拡張 LAN(VXLAN)トンネルエンドポイント(VTEP)およびすべての VMカーネルポート)とすべてのアップリンクポートで無効化されています。

分散ファイアウォールの主な機能

説明機能

TCP接続およびFTP接続の状態を追跡し、既知のアクティブ接続と一致しないパケットをブ

ロックします。インターネットまたは内部ネッ

トワークからのトラフィックは、APIC GUIで設定するポリシーに基づいてフィルタリングさ

れます。

ダイナミックパケットフィルタリング(別名

ステートフルインスペクション)を提供

vMotionによって仮想マシン(VM)が他のサーバに再配置されていても接続を追跡します。

分散型

プロバイダーVMが SYN-ACKパケットを開始した場合、プロバイダー Cisco AVS上の分散ファイアウォールでは、対応するフロー(接

続)が作成されていないためこれらのパケット

をドロップします。

SYN ACK攻撃を阻止

ESTABLISHED状態の接続は、ポート単位の制限が 75 %のしきい値に達しない限り 2時間維持されます。このしきい値に達すると、新しい

接続によって古い接続(5分間以上非アクティブ)が置き換えられる可能性が生じます。

ESTABLISHED TCP以外の状態の接続は、アイドルまたは非アクティブの時間で 5分間保持されます。

TCPフローエージングをサポート

TCP接続上のVM間のフローを有効にして、パケットごとに TCP/IP接続を確立する必要性を排除します。

レベルフローに実装される

ローカルスイッチングモードとローカルスイッ

チングなしモードのいずれかで動作し、VLANと VXLANのいずれかを使用します。

特定のトポロジや設定に依存しない

Cisco ACI 仮想化ガイド、リリース 1.2(1x)44

Cisco ACI および Cisco AVS分散ファイアウォール

説明機能

ACIファブリックでは、Cisco Nexus 9000リーフスイッチにポリシーが保存され、パフォーマ

ンスへの影響が回避されます。

ハードウェアアシスト型

送信元と宛先の IPアドレス、送信元と宛先のポート、およびプロトコルを使用してポリシー

を実装します。

5タプル値上の実装に基づく

アップグレードが円滑になります。先行リリー

スの Cisco AVSからリリース 5.2(1)SV3(1.5)または分散ファイアウォールをサポートするそれ

以降のリリースにアップグレードする場合、分

散ファイアウォールは学習モードである必要が

あります。

デフォルトで学習モード

分散ファイアウォールの利点

ここでは、Cisco ACIファブリックで分散ファイアウォールがハードウェアと連携してセキュリティを提供する方法の例を示します。

再帰 ACL のセキュリティ強化

管理者は、コンシューマ EPGとプロバイダー EPG間の Cisco APICで、サブジェクトとフィルタを使用して契約を作成し、Webトラフィックを許可します。管理者は Cisco APICで、任意の送信元ポートから宛先ポート 80へのトラフィックを許可するポリシーを作成します。

Cisco APICでポリシーが設定されるとすぐに、プロバイダーからコンシューマへの再帰アクセスコントロールリスト(ACL)エントリが、ACIハードウェアで自動的にプログラムされます。この再帰 ACLは、接続が確立されている間のリバーストラフィックを可能にするために作成されます。リバーストラフィックをフローさせるには、この再帰 ACLエントリが必須です。

自動再帰 ACLの作成により、接続が確立された状態になっている場合、リーフスイッチはプロバイダーの任意のクライアントポートへの接続を許可します。しかし、一部のデータセンターで

は、これが望ましくない場合があります。プロバイダーEPGのエンドポイントが、送信元ポート80を使って、コンシューマ EPGのエンドポイントに SYN攻撃またはポートスキャンを開始する可能性があるためです。

ただし、分散ファイアウォールは物理ハードウェアを使用して、このような攻撃は許可しません。

物理リーフハードウェアは、ハイパーバイザから受信したパケットをポリシー Ternary ContentAddressable Memory(TCAM)エントリに照らして評価します。

Cisco ACI 仮想化ガイド、リリース 1.2(1x) 45

Cisco ACI および Cisco AVS分散ファイアウォールの利点

VM が vMotion によって移動される場合のデータの保護

分散ファイアウォールはハイパーバイザカーネルにあります。送受信されるすべてのパケット

は、ハイパーバイザカーネルおよび物理リーフの Cisco AVS分散ファイアウォールのフローベースエントリに従います。フローは仮想マシン(VM)の仮想イーサネット(vEth)インターフェイスに直接接続されるため、VMがvMotionによって別のハイパーバイザホストに移動されても、フローとテーブルエントリはそれとともに新しいハイパーバイザに移動します。

この移動は、物理リーフにも報告されます。物理リーフは正当なフローの続行を許可し、発生し

た場合に攻撃を阻止します。したがって、VMが新しいホストに移動しても、VMは保護を失わずに通信し続けます。

シームレスな FTP トラフィック処理

FTPプロトコルの動作およびインターワーキングは、他の TCPベースのプロトコルとは異なります。このため、分散ファイアウォールでは特別な処理が必要です。FTPサーバ(プロバイダー)は制御ポート(TCPポート 21)とデータポート(TCPポート 20)でリッスンします。FTPクライアント(コンシューマ)とサーバ(プロバイダー)間で通信が開始されると、FTPクライアントとサーバ間で初期的に接続制御が設定されます。データ接続はオンデマンドで設定され(交換

するデータがある場合のみ)、データ転送後にただちに破壊されます。

分散ファイアウォールは、アクティブ FTPモードの処理のみをサポートします。パッシブ FTPモードのデータ接続は追跡されません。

分散ファイアウォールは、制御接続ハンドシェイク中に受信したFTPクライアント IPおよびポート情報と一致する場合にのみ、FTPデータ接続を許可します。対応する接続制御がない場合、分散ファイアウォールは FTPデータ接続をブロックし、これにより FTP攻撃が阻止されます。

分散ファイアウォールの設定

3つのモードのいずれかに設定することで、分散ファイアウォールを設定します。

•有効:分散ファイアウォールを適用します。

•無効:分散ファイアウォールを適用しません。このモードは、分散ファイアウォールを使用しないときにのみ使用します。分散ファイアウォールを無効にすると、Cisco AVSのすべてのフロー情報が削除されます。

•学習:Cisco AVSではすべての TCP通信を監視し、フローテーブルにフローを作成しますが、ファイアウォールは適用しません。学習は、Cisco AVSリリース 5.2(1)SV3(1.5)およびリリース 5.2(1)SV3(1.10)のデフォルトのファイアウォールモードです。学習モードは、トラフィックを失わずにファイアウォールを有効にする方法を提供します。

分散ファイアウォールを使用するには、Cisco APICでポリシーを作成する必要があります。

Cisco ACI 仮想化ガイド、リリース 1.2(1x)46

Cisco ACI および Cisco AVS分散ファイアウォールの設定

分散ファイアウォールを使用する際は、VMに vmxnet3アダプタを使用することが推奨されます。さらに、スケール設定で vmxnet3アダプタを使用して、DVSLargeHeapサイズを最大(5.1ホストで 64および 5.5ホストで 128)に拡張することが推奨されます。変更を有効にするには、ホストをリブートする必要があります。スケール設定にvmxnet3アダプタを使用する方法の詳細については、関連する VMwareナレッジベースの記事「Error message is displayed whena large number of dvPorts are in use in VMware ESXi 5.1.x (2034073)」を参照してください。

(注)

分散ファイアウォールを設定するためのワークフロー

ここでは、分散ファイアウォールモードを変更してポリシーを作成するために必要な作業の概要

を提供します。

1 インターフェイスポリシーグループを作成して、Cisco APICでファイアウォールポリシーを有効にします。または、インターフェイスポリシーグループがすでに存在する場合は、ファ

イアウォールポリシーが含まれていることを確認します。

本書の拡張GUIを使用したインターフェイスおよびスイッチのプロファイルと vCenterドメインプロファイルの作成の項に記載されている手順に従った場合は、構成ウィザードを使用し

て、ファイアウォールポリシーが適用されたインターフェイスポリシーグループが作成され

ています。

2 分散ファイアウォールのステートフルポリシーを設定します。

本書の拡張 GUIを使用した分散ファイアウォールのステートフルポリシーの設定の項に記載されている手順に従ってください。

3 必要に応じて分散ファイアウォールモードを変更します。

デフォルトでは、分散ファイアウォールは学習モードになっています。分散ファイアウォール

がまだ有効になっていない場合は、本書の拡張GUIを使用した分散ファイアウォールポリシーの作成またはそのモードの変更の項に記載されている手順に従ってください。

4 分散ファイアウォールのフローロギングを設定します。

CiscoAVSは、分散ファイアウォールによって拒否されたフローをシステムログ(syslog)サーバに報告します。フローのパラメータを設定して、拒否されたフローをsyslogサーバで確認できます。本書の分散ファイアウォールフローロギングの項に記載されている手順を参照して

ください。

5 表示する分散ファイアウォールのフロー数統計情報を選択します。

Cisco AVSは分散ファイアウォールのフロー情報を収集しますが、表示する前に必要な統計情報を選択する必要があります。本書の分散ファイアウォールフローの数の項に記載されている

手順を参照してください。

拡張 GUI を使用した分散ファイアウォールのステートフルポリシーの設定Cisco APICでステートフルポリシーを設定する必要があります。

Cisco ACI 仮想化ガイド、リリース 1.2(1x) 47

Cisco ACI および Cisco AVS分散ファイアウォールの設定

REST APIまたは NX-OSスタイルの CLIを使用して手順を実行することもできます。手順については、このガイドの「REST APIを使用した分散ファイアウォールのステートフルポリシーの設定」または「NX-OSスタイルのCLIを使用した分散ファイアウォールのステートフルポリシーの設定, (49ページ)」を参照してください。

手順

ステップ 1 Cisco APICにログインして、[Advanced]モードを選択します。

ステップ 2 [Tenants]を選択します。

ステップ 3 ナビゲーションウィンドウで、ポリシーを設定するテナントのフォルダを展開してから、[SecurityPolicies]フォルダを展開します。

ステップ 4 [Contracts]フォルダを右クリックして [Create Contract]を選択します。

ステップ 5 [Create Contract]ダイアログボックスで、[Name]フィールドに、契約の名前を入力します。

ステップ 6 [Subjects]領域で、[+]アイコンをクリックします。

ステップ 7 [Create Contract Subject]ダイアログボックスで、[Name]フィールドに、サブジェクトの名前を入力します。

ステップ 8 [Filters]領域で、[FILTERS]の横の [+]アイコンをクリックします。

ステップ 9 下向き矢印をクリックして [Name]ドロップダウンフィルタリストを表示し、[Name]リスト上部の [+]アイコンをクリックします。

ステップ 10 [Create Filter]ダイアログボックスで、次の操作を実行します。a) [Name]フィールドにフィルタの名前を入力します。b) [Entries]領域で [+]アイコンをクリックして、追加フィールドを下に表示します。c) [Name]フィールドに、必要に応じてフィルタを詳しく説明する名前を入力します。d) [Ether Type]ドロップダウンメニューから [IP]を選択します。e) [IP Protocol]フィールドで [tcp]を選択します。f) [Stateful]チェックボックスをオンにします。g) (オプション)[Source Port / Range]フィールドで、[To]および [From]ドロップダウンメニューから、デフォルトである [Unspecified]を選択します。

h) (オプション)[Destination Port / Rangee]フィールドで、[To]および [From]ドロップダウンメニューから [http]を選択します。

i) [UPDATE]をクリックし、[SUBMIT]をクリックします。

ステップ 11 [Create Contract Subject]ダイアログボックスの [Filters]領域で、[UPDATE]をクリックしてから[OK]をクリックします。

ステップ 12 [Create Contract]ダイアログボックスで、[SUBMIT]をクリックします。

Cisco ACI 仮想化ガイド、リリース 1.2(1x)48

Cisco ACI および Cisco AVS分散ファイアウォールの設定

NX-OS スタイルの CLI を使用した分散ファイアウォールのステートフルポリシーの設定

手順

Cisco APICでステートフルポリシーを設定します。

例:apic1(config)# tenant Tenant1apic1(config-tenant)# access-list TCP-511 apic1apic1 (config-tenant-acl)# match icmpapic1 (config-tenant-acl)# match raw TCP-511 dFromPort 443 dToPort 443 etherT ip prot 6stateful yesapic1 (config-tenant-acl)# match raw tcp etherT ip prot 6 sFromPort 443 sToPort 443 statefulyesapic1 (config-tenant-acl)# match raw tcp-22out dFromPort 22 dToPort 22 etherT ip prot 6stateful yes apic1(config-tenant-acl)# match raw tcp-all etherT ip prot 6 stateful yesapic1(config-tenant-acl)# match raw tcp22-from etherT ip prot 6 sFromPort 22 sToPort 22stateful yes apic1(config-tenant-acl)# exit apic1(config-tenant)# contract TCP511apic1(config-tenant-contract)# subject TCP-ICMPapic1(config-tenant-contract-subj)# access-group TCP-511 bothapic1(config-tenant-contract-subj)# access-group arp bothapic1(config-tenant-contract-subj)#

拡張 GUI を使用した分散ファイアウォールポリシーの作成またはそのモードの変更「拡張 GUIを使用したインターフェイスおよびスイッチのプロファイルと vCenterドメインプロファイルの作成」の統合設定ウィザードを使用する場合は、Cisco APICが、選択したモード([Learning]、[Enabled]、または [Disabled])のファイアウォールポリシーを適用します。統合設定ウィザードを使用しない場合、CiscoAPICはデフォルトのポリシー([Learning]モード)を適用します。Release5.2(1)SV3(1.5)より前のバージョン(分散ファイアウォールをサポートしないバージョン)の Cisco AVSからアップグレードする場合も、デフォルトのポリシー([Learning]モード)が適用されます。このポリシーは、編集するか、または新しく作成することができます。

分散ファイアウォールポリシーを作成するか、Cisco APIC GUIでモードを変更できます。一方、RESTAPIを使用した手順を実行することもできます。手順については、このマニュアルの「RESTAPIを使用した分散ファイアウォールモードの変更」を参照してください。

手順

ステップ 1 Cisco APICにログインして、[Advanced]モードを選択します。

ステップ 2 [Fabric] > [Access Policies]の順に移動します。

ステップ 3 次のいずれかの操作セットを実行します。

Cisco ACI 仮想化ガイド、リリース 1.2(1x) 49

Cisco ACI および Cisco AVS分散ファイアウォールの設定

結果実行する操作

1 [Policies]ナビゲーションウィンドウで、[Interface Policies]フォルダおよび [Policies]フォルダを開きます。

2 [Firewall]フォルダを右クリックして [Create Firewall Policy]を選択します。

3 [Create Firewall Policy]ダイアログボックスで、[Name]フィールドに、ポリシーの名前を入力します。

4 [Mode]エリアでモードを選択し、[SUBMIT]をクリックします。

[Create Firewall Policy]ダイアログボックスには、[Syslog]エリアが含まれます。ここでは、syslogサーバに送信される送信元の分散ファイアウォールフロー情報を設定できます。送信元

と宛先の設定については、このガイドの「分散ファイアウォー

ルフローロギング」を参照してください。

(注)

新しい分散ファイア

ウォールポリシー

の作成

1 [Policies]ナビゲーションウィンドウで、[Interface Policies]フォルダおよび [Policies]フォルダ、および [Firewall]フォルダを開きます。

2 変更するポリシーをクリックします。

3 [Properties]作業ウィンドウの [Mode]エリアでモードを選択し、[SUBMIT]をクリックします。

モードは、[Disabled]から [Enabled]に直接変更しないでください。直接変更すると、トラフィックが損失することになりま

す。代わりに、[Disabled]モードから [Learning]モードに変更し、5分待ってから [Enabled]モードへ変更します。[Learning]モードへ変更することで、Cisco AVSにより既存フローのフローテーブルエントリが追加されます。

(注)

[Properties]作業ウィンドウには、[Syslog]エリアが含まれます。ここでは、syslogサーバに送信される送信元の分散ファイアウォールフロー情報を設定できます。送信元と宛先の設定

については、このガイドの「分散ファイアウォールフローロ

ギング」を参照してください。

(注)

既存の分散ファイア

ウォールポリシー

モードの変更

次の作業

次の手順を実行して、分散ファイアウォールが目的の状態であることを確認します。

1 [Policies]ナビゲーションウィンドウで、[Firewall]フォルダのポリシーを選択します。

2 [Properties]ダイアログボックスで、モードが正しいことを確認します。

Cisco ACI 仮想化ガイド、リリース 1.2(1x)50

Cisco ACI および Cisco AVS分散ファイアウォールの設定

インストールまたはアップグレード後の分散ファイアウォールの有効化

Cisco AVS Release 5.2(1)SV3(1.5)以上をインストール、またはこれらのバージョンにアップグレードする際、分散ファイアウォールはデフォルトで学習モードになります。CiscoAPICを最初にアップグレードすると、そのときに分散ファイアウォールを有効にできます。ただし、分散ファイア

ウォールをサポートしていない以前のバージョンの Cisco AVSからのアップグレードで、CiscoAVSのみをアップグレードしている場合は、最初にすべての Cisco AVSホストをアップグレードしてから、分散ファイアウォールを有効にする必要があります。

Release 5.2(1)SV3(1.5)以上のリリースでは、以前のバージョンの Cisco AVSからのアップグレードを円滑にするために分散ファイアウォールはデフォルトで学習モードになります。学習モード

では Cisco AVS上のトラフィックのフローが許可され、確立済み状態の接続が作成されます。

詳細については、このマニュアルの「分散ファイアウォール」を参照してください。

分散ファイアウォールをサポートする Cisco AVS Release 5.2(1)SV3(1.5)以上のリリースをインストールしたか、これらのリリースにアップグレードした後で分散ファイアウォールを有効にする

には、次の手順を使用します。

手順

ステップ 1 Cisco APICにログインして、[Advanced]モードを選択します。

ステップ 2 [FABRIC] > [ACCESS POLICIES]に移動します。

ステップ 3 左方のナビゲーションウィンドウで、[Interface Policies]フォルダ、[Policies]フォルダ、および[Firewall]フォルダを開きます。

ステップ 4 変更するポリシーをクリックします。

ステップ 5 作業ウィンドウの [Properties]ダイアログボックスの [Mode]領域で、[Enabled]オプションボタンを選択します。

NX-OS スタイルの CLl を使用した分散ファイアウォールの設定

手順

分散ファイアウォールを有効にしたり、モードを変更します。

例:apic1# configureapic1(config)# vmware-domain Direct-AVS2-VXLANapic1(config-vmware)# configure-avsapic1(config-vmware-avs)# firewall mode < any of below 3>disabled Disabled modeenabled Enabled modelearning Learning mode

Cisco ACI 仮想化ガイド、リリース 1.2(1x) 51

Cisco ACI および Cisco AVS分散ファイアウォールの設定

分散ファイアウォールフローロギング

Cisco APICと分散ファイアウォールのフロー情報を表示して、ネットワークセキュリティの監査をサポートできます。

CiscoAVSは、分散ファイアウォールによって拒否されたフローをシステムログ(syslog)サーバに報告します。フローのパラメータを設定して、拒否されたフローを syslogサーバで確認できます。

分散ファイアウォールのフロー情報のパラメータの設定

CiscoAVSは、分散ファイアウォールによって拒否されたフローをシステムログ(syslog)サーバに報告します。CLIまたは REST APIでフローのパラメータを設定して、ネットワークセキュリティの監査をサポートできます。

分散ファイアウォールのロギングは、宛先(最大 3つの syslogサーバ)と送信元の設定という 2つのタスクで設定します。次のパラメータを設定できます。

•宛先パラメータ

◦有効/無効

分散ファイアウォールのロギングは、デフォルトでは無効化されています。(注)

◦ポーリング間隔

フローのエクスポート間隔は、60秒から 24時間に設定できます。

◦ログの重大度

重大度レベルは、0~ 7に設定できます。

• syslogパラメータ

◦ IPアドレス

◦ Port

◦ログの重大度

重大度レベルは、0~ 7に設定できます。

◦ログのファシリティ

Cisco AVSはポーリング間隔ごとに、最大 50,000の拒否されたフローを syslogサーバに報告します。Syslogメッセージは、宛先ログの重大度が syslogサーバ上の同じログの重大度以下であるときにのみ送信されます。宛先および syslogサーバの重大度レベルは、次のとおりです。

• 0:緊急

Cisco ACI 仮想化ガイド、リリース 1.2(1x)52

Cisco ACI および Cisco AVS分散ファイアウォールフローロギング

• 1:アラート

• 2:クリティカル

• 3:エラー

• 4:警告

• 5:通知

• 6:情報

• 7:デバッグ

拒否されたフローの syslogメッセージの形式は、次のとおりです。2015-07-31T06:42:05.422 172.23.232.73 avs-dfwlog - NoMem AVS UUID:fe9260d8-f6c2-a94c-b3f3-00438c2fc577, Source IP: 60.1.1.12, Destination IP: 70.1.1.22,Source Port: 12, Destination Port: 7780, Source Interface: ten-66.eth0, Protocol: "TCP"(6),Deny Count: 1

フィールドは次のとおりです。

•タイムスタンプ

•ホスト IPアドレス

拒否理由

• Cisco AVS汎用一意識別子(UUID)

•フロー拒否に関する情報:

•送信元 IPアドレス

•宛先 IPアドレス

•送信元ポート

•宛先ポート

•送信元インターフェイス

•プロトコル( TCPのみがサポートされています。)

•拒否数:syslogのポーリング間隔の間にフローが拒否された回数。

拡張 GUI における分散ファイアウォールフロー情報パラメータの設定

パラメータを設定するには、まず syslogサーバのパラメータを設定し、次に syslog送信元のパラメータを設定します。

はじめる前に

分散ファイアウォールを有効にしておく必要があります。分散ファイアウォールの設定について

は、このガイドの「Cisco ACIと Cisco AVS」の「分散ファイアウォール」を参照してください。

Cisco ACI 仮想化ガイド、リリース 1.2(1x) 53

Cisco ACI および Cisco AVS分散ファイアウォールフローロギング

手順

ステップ 1 Cisco APICにログインして、[Advanced]モードを選択します。

ステップ 2 [Admin] > [External Data Collectors]に移動します。

ステップ 3 [External Data Collectors]ナビゲーションウィンドウで [MonitoringDestinations]フォルダを展開し、[Syslog]フォルダを選択します。

ステップ 4 [Syslog]作業ウィンドウで [ACTIONS]をクリックし、[Create Syslog Monitoring Destination Group]を選択します。

ステップ 5 [Create Syslog Monitoring Destination Group STEP 1 > Profile]ダイアログボックスで、次の手順を実行します。

a) [Define Group Name and Profile]領域で、[Name]フィールドに名前を入力します。b) [Admin State]領域で、ドロップダウンメニューから [enabled]が選択されていることを確認します。

c) 残りのダイアログボックスではデフォルトを受け入れて、[Next]をクリックします。

ステップ 6 [Create Syslog Monitoring Destination Group STEP 2 > Remote Destinations]ダイアログボックスで、[+]アイコンをクリックします。

ステップ 7 [Create Syslog Remote Destination]ダイアログボックスで、次の手順を実行します。a) [Host]フィールドに、ホストの IPアドレスを入力します。b) [Name]フィールドにホスト名を入力します。c) [Admin State]領域で、[enabled]が選択されていることを確認します。d) [Severity]ドロップダウンリストから、重大度を選択します。選択した重大度レベルは、送信元のものと一致する必要があります。重大度については、この

ガイドの「分散ファイアウォールのフロー情報のパラメータの設定」を参照してください。

e) 他のポートを使用している場合を除き、[Port]ドロップダウンリストから標準ポートを受け入れます。

f) [Forwarding Facility]ドロップダウンリストから、ファシリティを選択します。g) [Management EPG]ドロップダウンリストを無視して、[OK]をクリックします。

ステップ 8 (オプション)[Create Syslog Monitoring Destination Group STEP 2 > Remote Destinations]ダイアログボックスで、最大 2つの追加のリモート宛先を作成します。

ステップ 9 [Create Syslog Monitoring Destination Group STEP 2 > Remote Destinations]ダイアログボックスで、[FINISH]をクリックします。新しく作成された宛先が、[External Data Collectors]ナビゲーションウィンドウの [Syslog]フォルダに表示されます。

ステップ 10 [Fabric] > [Access Policies]の順に選択します。

ステップ 11 [Policies]ナビゲーションウィンドウで、[Interface Policies]フォルダおよび [Policies]フォルダを開きます。

ステップ 12 次のいずれかの手順を実行します。

Cisco ACI 仮想化ガイド、リリース 1.2(1x)54

Cisco ACI および Cisco AVS分散ファイアウォールフローロギング

結果実行する操作

1 [Firewall]フォルダを右クリックして [Create Firewall Policy]を選択します。

2 [Create Firewall Policy]ダイアログボックスの [Specify the Firewall PolicyProperties]領域で、[Name]フィールドにポリシーの名前を入力します。

3 [Mode]領域で、モードを選択します。

[Learning]モードは、分散ファイアウォールをサポートしないバージョンの Cisco AVSからサポートするバージョンにアップグレードする場合にのみ使用されます。それ以外の場合、分散ファイアウォールは [Enabled]モードである必要があります。

4 [Syslog]領域で、[Administrative State]ドロップダウンリストから [enabled]が選択されていることを確認します。

5 [Polling Interval (seconds)]領域で、60秒から 24時間の間隔を選択します。

6 [Log Level]ドロップダウンリストから、重大度レベルを選択します。

ロギング重大度レベルは、宛先 syslogサーバに定義された重大度レベルと同じか、それ以上である必要があります。

7 [DestinationGroup]ドロップダウンリストから、作成したばかりの宛先グループを選択します。

8 [Submit]をクリックします。

新しい分散ファイ

アウォールポリ

シーでの送信元の

設定

Cisco ACI 仮想化ガイド、リリース 1.2(1x) 55

Cisco ACI および Cisco AVS分散ファイアウォールフローロギング

結果実行する操作

1 [Firewall]フォルダを展開し、変更する分散ファイアウォールポリシーを選択します。

2 ポリシー作業ペインで、必要に応じて [Mode]を変更します。

[Learning]モードは、分散ファイアウォールをサポートしないバージョンの Cisco AVSからサポートするバージョンにアップグレードする場合にのみ使用されます。それ以外の場合、分散ファイアウォールは [Enabled]モードである必要があります。

3 [Syslog]領域で、[Administrative State]ドロップダウンリストから [enabled]が選択されていることを確認します。

4 [Polling Interval (seconds)]領域で、60秒から 24時間の間隔を選択します。

5 [Log Level]ドロップダウンリストから、重大度レベルを選択します。

ロギング重大度レベルは、宛先 syslogサーバに定義された重大度レベルと同じか、それ以上である必要があります。

6 [DestinationGroup]ドロップダウンリストから、作成したばかりの宛先グループを選択します。

7 [Submit]をクリックします。

既存の分散ファイ

アウォールポリ

シーでの送信元の

設定

NX-OS スタイルの CLI での分散ファイアウォールフロー情報のパラメータの設定

はじめる前に

分散ファイアウォールを有効にしておく必要があります。分散ファイアウォールの設定について

は、『Cisco ACI Virtualization Guide』の「Cisco ACIと Cisco AVS」の「分散ファイアウォール」を参照してください。

手順

ステップ 1 syslogサーバ(複数可)のパラメータを設定します。

例:apic1# configureapic1(config)# logging server-group group nameapic1(config-logging)# server IP address severity severity level facility facility name

Cisco ACI 仮想化ガイド、リリース 1.2(1x)56

Cisco ACI および Cisco AVS分散ファイアウォールフローロギング

追加の syslogサーバのために最後のコマンドを繰り返すことができ、最大 3つの syslogサーバを設定できます。

ステップ 2 syslog送信元のパラメータを設定します。

例:apic1# configureapic1(config)# vmware-domain Direct-AVSapic1(config)# configure-avsapic1(config-avs)# firewall mode enabledapic1(config-avs)# firewall-logging server-group group name

firewall-loggingコマンドを入力する前に、firewall mode enabledコマンドを入力する必要があります。

(注)

分散ファイアウォールフローの数

Cisco APICで分散ファイアウォールフローの数を表示できます。

Cisco AVSでは分散ファイアウォールフロー情報が収集されますが、それらを表示するには、必要な統計情報を選択する必要があります。10秒から 1年までのサンプリング間隔を選択できますが、デフォルトは 5分です。

統計情報を選択し、1つは [VMNetworking]、もう 1つは [Tenants]で始まる、Cisco APICの 2つの異なる場所から確認できます。ただし、統計情報を選択および表示する手順は同じです。

Cisco APICで統計情報を選択すると、さまざまなタイプの統計情報のリストが表示されますが、分散ファイアウォールに関連するのは 9つだけです。

•期限切れの(接続)接続

•作成した接続(接続)

•中断された接続(接続)

•拒否されたグローバル入力接続(接続)

•ポート制限当たりの拒否された接続(接続)

•無効な SYN ACKパケット(パケット)

•無効な SYNパケット(パケット)

•無効な接続パケット(パケット)

•無効な ftp SYNパケット(パケット)

Cisco ACI 仮想化ガイド、リリース 1.2(1x) 57

Cisco ACI および Cisco AVS分散ファイアウォールフローの数

分散ファイアウォールについて表示する統計情報の選択

はじめる前に

分散ファイアウォールを有効にしておく必要があります。分散ファイアウォールの設定について

は、『Cisco ACI Virtualization Guide』の「Cisco ACIと Cisco AVS」の「分散ファイアウォール」を参照してください。

手順

ステップ 1 [VM Networking] > [Inventory] > [VMware] > [VMM_name] > [Controllers] > [data center_name] >[DVS-VMM name] > [Portgroups] > [EPG_name] > [Learned PointMAC address (Node)]の順に選択します。

ステップ 2 [Stats]タブをクリックします。

ステップ 3 チェックマークが付いたタブをクリックします。

ステップ 4 [Select Stats]ダイアログボックスで、表示する統計情報を [Available]ペインでクリックし、右向き矢印をクリックして、それらを [Selected]ペインに移動します。

ステップ 5 (オプション)デフォルトの 5分以外のサンプリング間隔を選択します。

ステップ 6 [Submit]をクリックします。

分散ファイアウォールの統計情報の表示

分散ファイアウォールの統計情報を選択したら、それらを確認できます。

はじめる前に

分散ファイアウォールについて表示する統計情報を選択しておく必要があります。「分散ファイ

アウォールについて表示する統計情報の選択」を参照してください。

手順

ステップ 1 [VM Networking] > [Inventory] > [VMware] > [VMM_name] > [Controllers] > [data center_name] >[DVS-VMM name] > [Portgroups] > [EPG_name] > [Learned PointMAC address (Node)]の順に選択します。

ステップ 2 [Stats]タブをクリックします。中央のウィンドウに、先ほど選択した統計情報を表示します。作業ウィンドウの左上で、テーブ

ルビューアイコンやチャートビューアイコンをクリックして、ビューを変更できます。

Cisco ACI 仮想化ガイド、リリース 1.2(1x)58

Cisco ACI および Cisco AVS分散ファイアウォールフローの数

Cisco AVS 向けの Cisco ACI でのマイクロセグメンテーション

CiscoACIでのマイクロセグメンテーションにより、さまざまな属性に基づいて、EPGと呼ばれる論理セキュリティゾーンにエンドポイントを自動的に割り当てることができます。Cisco ACIでのマイクロセグメンテーションは、Cisco AVSリリース 5.2(1)SV3(1.5)以降のリリースで使用できます。

CiscoACIでのマイクロセグメンテーションの詳細な概念(その仕組み、属性、優先順位)および設定手順については、このガイドの「CiscoACIでのマイクロセグメンテーション」の章を参照してください。

Layer 4 to Layer 7 サービスの設定Cisco AVS上に Layer 4 to Layer 7サービスを設定する情報については、『Cisco APIC Layer 4 toLayer 7 Services Deployment Guide』を参照してください。

『Cisco APIC Layer 4 to Layer 7 Services Deployment Guide』の手順に従う場合、VMware分散仮想スイッチ(DVS)上にサービスを設定する代わりに Cisco AVS上にサービスを設定してください。

Layer 4 to Layer 7サービスを設定する前に Cisco AVSをインストールする必要があります。(注)

Cisco AVS Release 5.2(1)SV3(1.10)以降は Layer 4 to Layer 7サービスのグラフが Cisco AVSでサポートされます。Cisco AVSの Layer 4 to Layer 7サービスグラフは、仮想 VMのみのために VLANモードのみで設定できます。

Cisco AVS の REST API タスクこの項には、この章の Cisco APIC GUIで文書化されたタスクの REST APIバージョンが含まれます。

REST API を使用したテナント、VRF、およびブリッジドメインの作成

手順

ステップ 1 テナントを作成します。

例:POST <IP>/api/mo/uni.xml<fvTenant name="ExampleCorp"/>

Cisco ACI 仮想化ガイド、リリース 1.2(1x) 59

Cisco ACI および Cisco AVSCisco AVS 向けの Cisco ACI でのマイクロセグメンテーション

POSTが成功すると、出力に作成したオブジェクトが表示されます。

ステップ 2 VRFおよびブリッジドメインを作成します。ゲートウェイアドレスは、IPv4または IPv6アドレスにすることができます。IPv6ゲートウェイアドレスの詳細については、関連する KB記事「KB: Creating a Tenant, VRF,and Bridge Domain with IPv6 Neighbor Discovery」を参照してください。

(注)

例:URL for POST: https://<apic-ip>/api/mo/uni/tn-ExampleCorp.xml

<fvTenant name="ExampleCorp"><fvCtx name="pvn1"/><fvBD name="bd1">

<fvRsCtx tnFvCtxName="pvn1"/><fvSubnet ip="10.10.100.1/24"/>

</fvBD></fvTenant>

外部ルーテッドを設定するときにパブリックサブネットがある場合は、ブリッジドメ

インを外部設定と関連付ける必要があります。

(注)

REST API を使用したアプリケーションポリシーの展開EPGが使用するポートは、VMマネージャ(VMM)ドメインまたは EPGに関連付けられた物理ドメインのいずれか 1つに属している必要があります。

手順

ステップ 1 XML APIを使用してアプリケーションを展開するには、次の HTTP POSTメッセージを送信します。

例:POSThttps://192.0.20.123/api/mo/uni/tn-ExampleCorp.xml

ステップ 2 次の XML構造を POSTメッセージの本文に含めます。

例:

<fvTenant name="ExampleCorp">

<fvAp name="OnlineStore"><fvAEPg name="web">

<fvRsBd tnFvBDName="bd1"/><fvRsCons tnVzBrCPName="rmi"/><fvRsProv tnVzBrCPName="web"/><fvRsDomAtt tDn="uni/vmmp-VMware/dom-datacenter"/>

</fvAEPg>

<fvAEPg name="db"><fvRsBd tnFvBDName="bd1"/><fvRsProv tnVzBrCPName="sql"/><fvRsDomAtt tDn="uni/vmmp-VMware/dom-datacenter"/>

</fvAEPg>

Cisco ACI 仮想化ガイド、リリース 1.2(1x)60

Cisco ACI および Cisco AVSREST API を使用したアプリケーションポリシーの展開

<fvAEPg name="app"><fvRsBd tnFvBDName="bd1"/><fvRsProv tnVzBrCPName="rmi"/><fvRsCons tnVzBrCPName="sql"/><fvRsDomAtt tDn="uni/vmmp-VMware/dom-datacenter"/>

</fvAEPg></fvAp>

<vzFilter name="http" ><vzEntry dFromPort="80" name="DPort-80" prot="tcp" etherT="ip"/><vzEntry dFromPort="443" name="DPort-443" prot="tcp" etherT="ip"/></vzFilter><vzFilter name="rmi" ><vzEntry dFromPort="1099" name="DPort-1099" prot="tcp" etherT="ip"/></vzFilter><vzFilter name="sql"><vzEntry dFromPort="1521" name="DPort-1521" prot="tcp" etherT="ip"/></vzFilter>

<vzBrCP name="web"><vzSubj name="web">

<vzRsSubjFiltAtt tnVzFilterName="http"/></vzSubj>

</vzBrCP>

<vzBrCP name="rmi"><vzSubj name="rmi">

<vzRsSubjFiltAtt tnVzFilterName="rmi"/></vzSubj>

</vzBrCP>

<vzBrCP name="sql"><vzSubj name="sql">

<vzRsSubjFiltAtt tnVzFilterName="sql"/></vzSubj>

</vzBrCP></fvTenant>

XML構造の最初の行は、ExampleCorpという名前のテナントを変更するかまたは必要に応じて作成します。

<fvTenant name="ExampleCorp">

次の行は、OnlineStoreという名前のアプリケーションネットワークプロファイルを作成します。

<fvAp name="OnlineStore">

アプリケーションネットワークプロファイル内の要素は、3つのエンドポイントグループを作成します(3台のサーバそれぞれに1つずつ)。次の行は、webという名前のエンドポイントグループを作成し、bd1という名前の既存のブリッジドメインに関連付けます。このエンドポイントグループは、rmiという名前のバイナリ契約で許可されたトラフィックのコンシューマまたは宛先であり、webという名前のバイナリ契約で許可されたトラフィックのプロバイダーまたは送信元です。エンドポイントグループは、datacenterという名前の VMMドメインに関連付けられます。

<fvAEPg name="web"><fvRsBd tnFvBDName="bd1"/><fvRsCons tnVzBrCPName="rmi"/><fvRsProv tnVzBrCPName="web"/><fvRsDomAtt tDn="uni/vmmp-VMware/dom-datacenter"/>

</fvAEPg>

Cisco ACI 仮想化ガイド、リリース 1.2(1x) 61

Cisco ACI および Cisco AVSREST API を使用したアプリケーションポリシーの展開

残りの 2つのエンドポイントグループは、アプリケーションサーバとデータベースサーバに対し、同様の方法で作成されます。

次の行は、TCPトラフィックのタイプ HTTP(ポート 80)および HTTPS(ポート 443)を指定する httpという名前のトラフィックフィルタを定義します。

<vzFilter name="http" ><vzEntry dFromPort="80" name="DPort-80" prot="tcp" etherT="ip"/><vzEntry dFromPort="443" name="DPort-443" prot="tcp" etherT="ip"/></vzFilter>

残りの2つのフィルタは、アプリケーションのデータおよびデータベース(sql)のデータに対し、同様の方法で作成されます。

次の行は、httpという名前のフィルタを組み込む webという名前のバイナリ契約を作成します。

<vzBrCP name="web"><vzSubj name="web">

<vzRsSubjFiltAtt tnVzFilterName="http"/></vzSubj>

</vzBrCP>

残りの 2つの契約は、rmiおよび sqlのデータプロトコルに対し、同様の方法で作成されます。

最後の行は、構造を閉じます。

</fvTenant>

REST API を使用した分散ファイアウォールのステートフルポリシーの設定

Cisco APICでステートフルポリシーを設定します。

手順

ステップ 1 Cisco APICにログインします。

ステップ 2 https://APIC-ip-address/api/node/mo/.xmlにポリシーをポストします。

例:<polUni><infraInfra>

<nwsFwPol name="fwpol1" mode="enabled"/> (enabled, disabled, learning)

<infraFuncP><infraAccBndlGrp name="fw-bundle">

<infraRsFwPol tnNwsFwPolName="fwpol1"/><infraRsAttEntP tDn="uni/infra/attentp-testfw2"/>

</infraAccBndlGrp></infraFuncP>

<infraAttEntityP name="testfw2"><infraRsDomP tDn="uni/vmmp-VMware/dom-mininet"/>

</infraAttEntityP>

Cisco ACI 仮想化ガイド、リリース 1.2(1x)62

Cisco ACI および Cisco AVSREST API を使用した分散ファイアウォールのステートフルポリシーの設定

</infraInfra>

</polUni>

REST API を使用した分散ファイアウォールモードの変更正しいモードにすることで、分散ファイアウォールを設定します。

手順

ステップ 1 Cisco APICにログインします。

ステップ 2 https://APIC-ip-address/api/node/mo/.xmlにポリシーをポストします。

例:

<polUni><infraInfra><nwsFwPol name="fwpol1" mode="<enabled|disabled|learning>"/><infraFuncP>

<infraAccBndlGrp name="fw-bundle"><infraRsFwPol tnNwsFwPolName="fwpol1"/><infraRsAttEntP tDn="uni/infra/attentp-testfw2"/>

</infraAccBndlGrp></infraFuncP><infraAttEntityP name="testfw2">

<infraRsDomP tDn="uni/vmmp-VMware/dom-<VMM-Domain-Name>"/></infraAttEntityP>

</infraInfra></polUni>

次の作業

分散ファイアウォールが次の例に示すように目的の状態にあることを確認します。~ # vemcmd show dfwShow DFW GLobals

DFW Feature Enable: ENABLEDDFW Total Flows : 0DFW Current Time : 81115

~ #

REST API による分散ファイアウォールフロー情報のパラメータの設定

手順

ステップ 1 送信元の分散ファイアウォールロギングパラメータを設定します。

例:<infraInfra>

<nwsFwPol name="__ui_vmm_pol_PARAM-AVS" mode="enabled">

Cisco ACI 仮想化ガイド、リリース 1.2(1x) 63

Cisco ACI および Cisco AVSREST API を使用した分散ファイアウォールモードの変更

<nwsSyslogSrc adminState="enabled" name="PARAM-AVS" inclAction="deny" logLevel="4"pollingInterval="120">

<nwsRsNwsSyslogSrcToDestGroup tDn="uni/fabric/slgroup-syslog-servers"/></nwsSyslogSrc>

</nwsFwPol></infraInfra>

ステップ 2 分散ファイアウォールフローを受信する syslogサーバを指定します。

例:<syslogGroup name="syslog-servers" >

<syslogRemoteDest host="1.1.1.1" /><syslogRemoteDest host="2.2.2.2" /><syslogRemoteDest host="3.3.3.3" />

</syslogGroup>

syslogグループの名前は、前の例と同じように、両方のRESTAPIコマンドで同じにする必要があります。

Cisco AVS のオブジェクトモード CLI タスクここには、この章で文書化されているCiscoAPICGUIによる一部のタスクのオブジェクトモードCLIバージョンが含まれています。

オブジェクトモデル CLI を使用した、テナント、VRF およびブリッジドメインの作成

外部ルーテッドを設定するときにパブリックサブネットがある場合は、ブリッジドメインを外部

設定と関連付ける必要があります。

手順

ステップ 1 CLIで、ディレクトリを /aciに変更します。

例:admin@apic1:~> cd /aci

ステップ 2 テナント、VRF、およびブリッジドメインを作成します。ゲートウェイアドレスは、IPv4または IPv6アドレスにすることができます。IPv6ゲートウェイアドレスの詳細については、関連する KB記事「KB: Creating a Tenant, VRF,and Bridge Domain with IPv6 Neighbor Discovery」を参照してください。

(注)

例:

admin@apic1:aci> cd tenants/admin@apic1:tenants> mocreate ExampleCorpadmin@apic1:tenants> moconfig commitCommitted mo 'tenants/ExampleCorp'

Cisco ACI 仮想化ガイド、リリース 1.2(1x)64

Cisco ACI および Cisco AVSCisco AVS のオブジェクトモード CLI タスク

All mos committed successfully.admin@apic1:tenants>admin@apic1:tenants> cd ExampleCorp/networking/private-networks/admin@apic1:private-networks> mocreate pvn1admin@apic1:private-networks> moconfig commitCommitting mo 'tenants/ExampleCorp/networking/private-networks/pvn1'

All mos committed successfully.admin@apic1:private-networks>admin@apic1:private-networks> cd ../bridge-domains/admin@apic1:bridge-domains> mocreate bd1admin@apic1:bridge-domains> moconfig commitCommitting mo 'tenants/ExampleCorp/networking/bridge-domains/bd1'

All mos committed successfully.admin@apic1:bridge-domains>admin@apic1:bridge-domains> cd bd1/subnets/admin@apic1:subnets> mocreate 10.10.100.1/24admin@apic1:subnets> moconfig commitCommitting mo 'tenants/ExampleCorp/networking/bridge-domains/bd1/subnets/10.10.100.1:24'

All mos committed successfully.

オブジェクトモデル CLI を使用したアプリケーションポリシーの展開EPGが使用するポートは、VMマネージャ(VMM)ドメインまたは EPGに関連付けられた物理ドメインのいずれか 1つに属している必要があります。

手順

ステップ 1 CLIで、ディレクトリを /aciに変更します。

例:admin@apic1:~> cd /aci

ステップ 2 テナントのアプリケーションネットワークプロファイルを作成します。

次の例のアプリケーションネットワークプロファイルは OnlineStoreです。

例:admin@apic1:aci> cd /aci/tenants/ExampleCorp/application-profiles/admin@apic1:application-profiles> mocreate OnlineStoreadmin@apic1:application-profiles> moconfig commitCommitting mo 'tenants/ExampleCorp/application-profiles/OnlineStore'

All mos committed successfully.admin@apic1:application-profiles>

ステップ 3 テナントのこのアプリケーションネットワークプロファイルに関するアプリケーション web、db、および app EPGを作成します。

例:admin@apic1:application-profiles> cd OnlineStore/application-epgsadmin@apic1:application-epgs> mocreate webadmin@apic1:application-epgs> mocreate dbadmin@apic1:application-epgs> mocreate appadmin@apic1:application-epgs> moconfig commit

Cisco ACI 仮想化ガイド、リリース 1.2(1x) 65

Cisco ACI および Cisco AVSオブジェクトモデル CLI を使用したアプリケーションポリシーの展開

Committing mo 'tenants/ExampleCorp/application-profiles/OnlineStore/application-epg/app'Committing mo 'tenants/ExampleCorp/application-profiles/OnlineStore/application-epg/db'Committing mo 'tenants/ExampleCorp/application-profiles/OnlineStore/application-epg/web'

All mos committed successfully.admin@apic1:application-epgs>

ステップ 4 これらの EPG間の異なるトラフィックタイプ用のフィルタを作成します。

例:admin@apic1:OnlineStore> cd /aci/tenants/ExampleCorp/security-policies/filters/

ステップ 5 httpおよび httpsトラフィック用のフィルタを作成します。

例:admin@apic1:filters> mocreate httpadmin@apic1:filters> moconfig commitCommitting mo 'tenants/ExampleCorp/security-policies/filters/http'

All mos committed successfully.admin@apic1:filters>

admin@apic1:filters> cd http/entries/admin@apic1:entries> mocreate DPort-80 ethertype ipadmin@apic1:entries> cd DPort-80admin@apic1:DPort-80> moset ip-protocol tcpadmin@apic1:DPort-80> moset destination-port-dfromport 80admin@apic1:DPort-80> moconfig commitCommitting mo 'tenants/ExampleCorp/security-policies/filters/http/entries/DPort-80'

All mos committed successfully.admin@apic1:DPort-80> cd ../admin@apic1:entries> mocreate DPort-443 ethertype ipadmin@apic1:entries> cd DPort-443admin@apic1:DPort-443> moset ip-protocol tcpadmin@apic1:DPort-443> moset destination-port-dfromport 443admin@apic1:DPort-443> moconfig commitCommitting mo 'tenants/ExampleCorp/security-policies/filters/http/entries/DPort-443'

All mos committed successfully.admin@apic1:DPort-443>

ステップ 6 Remote Method Invocation(RMI)トラフィック用のフィルタを作成します。

例:admin@apic1:~> cd /aci/tenants/ExampleCorp/security-policies/filters/admin@apic1:filters> mocreate rmiadmin@apic1:filters> moconfig commitCommitting mo 'tenants/ExampleCorp/security-policies/filters/rmi'

All mos committed successfully.admin@apic1:filters> cd rmi/entries/admin@apic1:entries> mocreate DPort-1099 ethertype ipadmin@apic1:entries> cd DPort-1099admin@apic1:DPort-1099> moset ip-protocol tcpadmin@apic1:DPort-1099> moset destination-port-dfromport 1099admin@apic1:DPort-1099> moconfig commitCommitting mo 'tenants/ExampleCorp/security-policies/filters/rmi/entries/DPort-1099'

All mos committed successfully.admin@apic1:DPort-1099>

ステップ 7 SQL/databaseトラフィック用のフィルタを作成します。

Cisco ACI 仮想化ガイド、リリース 1.2(1x)66

Cisco ACI および Cisco AVSオブジェクトモデル CLI を使用したアプリケーションポリシーの展開

例:admin@apic1:DPort-1099> cd /aci/tenants/ExampleCorp/security-policies/filters/admin@apic1:filters> mocreate sqladmin@apic1:filters> moconfig commitCommitting mo 'tenants/ExampleCorp/security-policies/filters/sql'

All mos committed successfully.admin@apic1:filters> cd sql/entries/admin@apic1:entries> mocreate DPort-1521 ethertype ipadmin@apic1:entries> cd DPort-1521admin@apic1:DPort-1521> moset ip-protocol tcpadmin@apic1:DPort-1521> moset destination-port-dfromport 1521admin@apic1:DPort-1521> moconfig commitCommitting mo 'tenants/ExampleCorp/security-policies/filters/sql/entries/DPort-1521'

All mos committed successfully.admin@apic1:DPort-1521>

ステップ 8 契約を作成し、EPG間の RMIトラフィック用のフィルタを割り当てます。

例:admin@apic1:DPort-1521>admin@apic1:DPort-1521> cd /aci/tenants/ExampleCorp/security-policies/contracts/admin@apic1:contracts> mocreate rmiadmin@apic1:contracts> moconfig commitCommitting mo 'tenants/ExampleCorp/security-policies/contracts/rmi'

All mos committed successfully.admin@apic1:contracts> cd rmi/subjects/admin@apic1:subjects> mocreate rmiadmin@apic1:subjects> moconfig commitCommitting mo 'tenants/ExampleCorp/security-policies/contracts/rmi/subjects/rmi'

All mos committed successfully.admin@apic1:subjects> cd rmi/filters/admin@apic1:filters> mocreate rmiadmin@apic1:filters> moconfig commitCommitting mo 'tenants/ExampleCorp/security-policies/contracts/rmi/subjects/rmi/filters/rmi'

All mos committed successfully.admin@apic1:filters>

ステップ 9 契約を作成し、EPG間のWebトラフィック用のフィルタを割り当てます。

例:admin@apic1:filters> cd /aci/tenants/ExampleCorp/security-policies/contracts/admin@apic1:contracts> mocreate webadmin@apic1:contracts> moconfig commitCommitting mo 'tenants/ExampleCorp/security-policies/contracts/web'

All mos committed successfully.admin@apic1:contracts> cd web/subjects/admin@apic1:subjects> mocreate webadmin@apic1:subjects> moconfig commitCommitting mo 'tenants/ExampleCorp/security-policies/contracts/web/subjects/web'

All mos committed successfully.admin@apic1:subjects> cd web/filters/admin@apic1:filters> mocreate httpadmin@apic1:filters> moconfig commitCommitting mo 'tenants/ExampleCorp/security-policies/contracts/web/subjects/web/filters/http'

All mos committed successfully.

Cisco ACI 仮想化ガイド、リリース 1.2(1x) 67

Cisco ACI および Cisco AVSオブジェクトモデル CLI を使用したアプリケーションポリシーの展開

admin@apic1:filters>

ステップ 10 契約を作成し、EPG間の SQLトラフィック用のフィルタを割り当てます。

例:admin@apic1:filters> cd /aci/tenants/ExampleCorp/security-policies/contracts/admin@apic1:contracts> mocreate sqladmin@apic1:contracts> moconfig commitCommitting mo 'tenants/ExampleCorp/security-policies/contracts/sql'

All mos committed successfully.admin@apic1:contracts> cd sql/subjects/admin@apic1:subjects> mocreate sqladmin@apic1:subjects> moconfig commitCommitting mo 'tenants/ExampleCorp/security-policies/contracts/sql/subjects/sql'

All mos committed successfully.admin@apic1:subjects> cd sql/filters/admin@apic1:filters> mocreate sqladmin@apic1:filters> moconfig commitCommitting mo 'tenants/ExampleCorp/security-policies/contracts/sql/subjects/sql/filters/sql'

All mos committed successfully.admin@apic1:filters>

ステップ 11 web EPGにブリッジドメイン、契約、および VMMドメインを接続します。

例:

admin@apic1:filters> cd/aci/tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-web/admin@apic1:application-epg-web> moset bridge-domain bd1admin@apic1:application-epg-web> moconfig commitCommitting mo 'tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-web'

All mos committed successfully.admin@apic1:application-epg-web> cd contracts/consumed-contracts/admin@apic1:consumed-contracts> mocreate rmiadmin@apic1:consumed-contracts> moconfig commitCommitting mo'tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-web/contracts/consumed-contracts/rmi'

All mos committed successfully.admin@apic1:consumed-contracts> cd ../provided-contracts/admin@apic1:provided-contracts> mocreate webadmin@apic1:provided-contracts> moconfig commitCommitting mo'tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-web/contracts/provided-contracts/web'

All mos committed successfully.admin@apic1:provided-contracts> cd ../../domains-vms-and-bare-metals/admin@apic1:domains-vms-and-bare-metals> mocreatevm-networking/policies/VMware/vmm-domains/productionDCadmin@apic1:domains-vms-and-bare-metals> moconfig commitCommitting mo 'tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-web/domains-vms-and-bare-metals/[vm-networking/policies/vmware/vmm-domains/productionDC]'

All mos committed successfully.admin@apic1:domains-vms-and-bare-metals>

ステップ 12 db EPGにブリッジドメイン、契約、および VMMドメインを接続します。

Cisco ACI 仮想化ガイド、リリース 1.2(1x)68

Cisco ACI および Cisco AVSオブジェクトモデル CLI を使用したアプリケーションポリシーの展開

例:admin@apic1:domains-vms-and-bare-metals> cd /aci/tenants/ExampleCorp/application-profiles/application-profile-OnlineStore/application-epg-db/admin@apic1:domains-vms-and-bare-metals> moset bridge-domain bd1admin@apic1:domains-vms-and-bare-metals> moconfig commitCommitted mo'tenants/ExampleCorp/application-profiles/application-profile-OnlineStore/application-epg-sql'

All mos committed successfully.admin@apic1:domains-vms-and-bare-metals>admin@apic1:domains-vms-and-bare-metals> cd /aci/tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-db/admin@apic1:application-epg-db> moset bridge-domain bd1admin@apic1:application-epg-db> moconfig commitCommitting mo 'tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-db'

All mos committed successfully.admin@apic1:application-epg-db> cd contracts/provided-contracts/admin@apic1:provided-contracts> mocreate sqladmin@apic1:provided-contracts> moconfig commitCommitting mo'tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-db/contracts/provided-contracts/sql'

All mos committed successfully.admin@apic1:provided-contracts> cd ../../domains-vms-and-bare-metals/admin@apic1:domains-vms-and-bare-metals> mocreatevm-networking/policies/VMware/vmm-domains/productionDCadmin@apic1:domains-vms-and-bare-metals> moconfig commitCommitting mo 'tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-db/domains-vms-and-bare-metals/[vm-networking/policies/vmware/vmm-domains/productionDC]'

All mos committed successfully.admin@apic1:domains-vms-and-bare-metals>

ステップ 13 app EPGにブリッジドメイン、契約、および VMMドメインを接続します。

例:admin@apic1:domains-vms-and-bare-metals> cd /aci/tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-app/admin@apic1:application-epg-app> moset bridge-domain bd1admin@apic1:application-epg-app> moconfig commitCommitting mo 'tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-app'

All mos committed successfully.

ステップ 14 アプリケーション EPGにプロバイダー契約を関連付けます。

例:admin@apic1:application-epg-app> cd contracts/provided-contracts/admin@apic1:provided-contracts> mocreate rmiadmin@apic1:provided-contracts> moconfig commitCommitting mo'tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-app/contracts/provided-contracts/rmi'

All mos committed successfully.admin@apic1:provided-contracts> cd ../consumed-contracts/admin@apic1:consumed-contracts> mocreate sqladmin@apic1:consumed-contracts> moconfig commitCommitting mo'tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-app/contracts/consumed-contracts/sql'

All mos committed successfully.admin@apic1:consumed-contracts> cd ../../domains-vms-and-bare-metals/admin@apic1:domains-vms-and-bare-metals> mocreatevm-networking/policies/VMware/vmm-domains/productionDC

Cisco ACI 仮想化ガイド、リリース 1.2(1x) 69

Cisco ACI および Cisco AVSオブジェクトモデル CLI を使用したアプリケーションポリシーの展開

admin@apic1:domains-vms-and-bare-metals> moconfig commitCommitting mo'tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-app/domains-vms-and-bare-metals/[vm-networking/policies/vmware/vmm-domains/productionDC]'

All mos committed successfully.admin@apic1:domains-vms-and-bare-metals>

ステップ 15 EPG app、db、および webにポートと VLANを関連付けます。

例:admin@apic1:domains-vms-and-bare-metals> cd /aci/tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-app/static-bindings-paths/admin@apic1:static-bindings-paths> mocreate topology/pod-1/paths-17/pathep-[eth1/2] encap vlan-100 deployment-immediacy immediateadmin@apic1:static-bindings-paths> moconfig commitCommitting mo'tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-app/static-bindings-paths/[topology/pod-1/paths-17/pathep-[eth1/2]]'

All mos committed successfully.admin@apic1:static-bindings-paths>admin@apic1:static-bindings-paths> cd/aci/tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-db/static-bindings-paths/admin@apic1:static-bindings-paths> mocreate topology/pod-1/paths-17/pathep-[eth1/3] encap vlan-101 deployment-immediacy immediateadmin@apic1:static-bindings-paths> moconfig commitCommitting mo'tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-db/static-bindings-paths/[topology/pod-1/paths-17/pathep-[eth1/3]]'

All mos committed successfully.admin@apic1:static-bindings-paths>admin@apic1:static-bindings-paths> cd/aci/tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-web/static-bindings-paths/admin@apic1:static-bindings-paths> mocreate topology/pod-1/paths-17/pathep-[eth1/4] encap vlan-102 deployment-immediacy immediateadmin@apic1:static-bindings-paths> moconfig commitCommitting mo'tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-web/static-bindings-paths/[topology/pod-1/paths-17/pathep-[eth1/4]]'

All mos committed successfully.admin@apic1:static-bindings-paths>

Cisco ACI 仮想化ガイド、リリース 1.2(1x)70

Cisco ACI および Cisco AVSオブジェクトモデル CLI を使用したアプリケーションポリシーの展開