Cisco 4700 シリーズ Application Control Engine Appliance クイック スタート ガイド
仮想コンテキストの作成
仮想コンテキストの作成
発行日;2012/01/30 | 英語版ドキュメント(2009/04/07 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

仮想コンテキストの作成

概要

Device Manager GUI を使用した仮想コンテキストの作成

リソース クラスの作成

仮想コンテキストの作成

クライアント側 VLAN インターフェイスの設定

サーバ側 VLAN インターフェイスの設定

CLI を使用した仮想コンテキストの作成

リソース クラスの設定

仮想コンテキストの作成

ユーザ コンテキストの管理 VLAN インターフェイスの設定

ユーザ コンテキストへのリモート管理アクセスの設定

クライアント側 VLAN インターフェイスの設定

サーバ側 VLAN インターフェイスの設定

仮想コンテキストの作成

この章では、Cisco 4700 シリーズ Application Control Engine (ACE) アプライアンスの仮想コンテキストを作成する方法について説明します。

この章の構成は、次のとおりです。

概要

Device Manager GUI を使用した仮想コンテキストの作成

CLI を使用した仮想コンテキストの作成

概要

この章を読むと、ACE アプライアンスのバーチャライゼーションについての基礎を理解し、操作を効率化するために ACE を複数の仮想デバイスまたは Virtual Context(VC; 仮想コンテキスト)にパーティショニングできるようになります。

バーチャライゼーションにより、単一の ACE が複数の仮想デバイスにパーティショニングされ、それぞれが個別に設定および管理される独立した ACE アプライアンスとして機能する、仮想環境を作成できます。

バーチャライゼーションをセットアップするには、次の設定ステップを実行します。

仮想コンテキストのリソース割り当てを設定する

仮想コンテキストを作成する

仮想コンテキストへのアクセスを設定する

ネットワークを介した Web トラフィックのユーザ コンテキスト VC_web による、仮想環境の例は、このマニュアル全体で使用されます。このユーザ コンテキストは、カスタム リソース クラス RS_web に関連付けられます。

この章では、仮想コンテキストを作成します。これ以降の章では、仮想コンテキスト内で仮想サーバを作成します。仮想サーバは、サーバ ファームおよび実サーバに関連付けられます。このセットアップ例を 表 3-1 に示します。

 

表 3-1 仮想コンテキストの例

仮想コンテキスト
仮想サーバ
サーバ ファーム
実サーバ

VC_web

VS_web

SF_web

RS_web1

RS_web2

RS_web3

RS_web4

ACE にバーチャライゼーションを設定する前に、仮想コンテキスト、Admin およびユーザ コンテキスト、リソース クラスなどいくつかの概念について理解しておいてください。

ACE バーチャライゼーションでは、仮想コンテキストと呼ばれる、仮想環境を作成できます。この環境では、単一の ACE が、それぞれが個別に設定および管理される、複数の仮想デバイスとして機能しているように見えます。仮想コンテキストでは、緊密で効率的にシステム リソース、ACE ユーザ、およびお客様に提供するサービスを管理することができます。

デフォルトでは、ACE は、最高で 5 つのユーザ コンテキストを定義できる Admin コンテキストを最初に提供します(追加ライセンスにより、最高で 20 のコンテキストを定義できます)。

システム管理者には、Admin コンテキストおよびすべてのユーザ コンテキストを設定および管理できる、システム管理者としての完全なアクセス権が与えられます。各コンテキストには、特定のコンテキストだけのアクセスを提供する独自の管理者およびログイン メカニズムを定義できます。コンソールまたは Telnet を使用して ACE にログインすると、Admin コンテキストで認証されます。

バーチャライゼーションでは、複数のコンテキストを作成できますが、物理的には、並列接続数など、リソースが限定された、単一の ACE を使用しています。この制限に対処するには、ACE は、各仮想コンテキストの物理的な ACE リソースへのアクセスを管理できるリソース クラスを提供します。リソース クラスは、特定のコンテキストに対して ACE のリソース全体のどの部分が、最小または最大で割り当てられるかを定義します。1 つのリソース クラスには、1 つ以上のコンテキストを割り当てることができます。

ACE には、Admin コンテキストのデフォルトのリソース クラスが事前に設定されています。このデフォルトのリソース クラスは、作成するすべての仮想コンテキストに適用されます。このデフォルトのリソース クラスでは、すべての仮想コンテキストによる、すべてのリソースへの最大 100% のアクセスが可能になります。リソースが最大限使用されている場合、ACE は、他の仮想コンテキストからそのリソースに対する、それ以降の要求を拒否します。リソースのオーバースクライブを回避して、リソース アベイラビリティを複数の仮想コンテキストで共有できるように保証するには、カスタム リソース クラスを作成して、定義する仮想コンテキストにこれらを関連付けます。

Device Manager GUI を使用した仮想コンテキストの作成

この項では、ACE Device Manager ユーザ インターフェイスを使用してサーバ ロード バランシングの仮想コンテキストを作成および設定する方法について説明します。また、次の内容についても説明します。

リソース クラスの作成

仮想コンテキストの作成

クライアント側 VLAN インターフェイスの設定

サーバ側 VLAN インターフェイスの設定

リソース クラスの作成

次のステップに従って、リソース クラスを作成します。


ステップ 1 [Config] > [Virtual Contexts] > [System] > [Resource Classes] を選択します。[Resource Classes] ペインが表示されます。

図 3-1 [Resource Classes] ペイン

 

ステップ 2 [Add] をクリックします。[New Resource Class] ウィンドウが表示されます(図 3-2)。

図 3-2 [New Resource Class] ウィンドウ

 

ステップ 3 次の Resource Class アトリビュートを入力します。残りのアトリビュートは空白、またはデフォルト値のままにしておきます。

[Name]:RC_web

[Default] [Min]:10

[Default] [Max]:Unlimited

ステップ 4 [Deploy Now] をクリックします。新しく追加されたリソース クラスを含む [Resource Classes] ペインが表示されます(図 3-3)。

図 3-3 新しいリソース クラスが追加された [Resource Classes] ペイン

 


 

仮想コンテキストの作成

サーバ ロード バランシングのためにユーザ コンテキストを作成できます。ここでは、設定例に対して、図 3-4(以前の設定はグレーで表示されています)に示すように、ユーザ コンテキスト VC_web を作成し、VLAN 1000 への管理 VLAN インターフェイスを設定します。

図 3-4 ユーザ コンテキストの作成

 

次のステップに従って、仮想コンテキストを作成します。


ステップ 1 [Config] > [Virtual Contexts] を選択します。[All Virtual Contexts] ペインが表示されます(図 3-5)。

図 3-5 [All Virtual Contexts] ペイン

 

ステップ 2 [Add] をクリックします。[New Virtual Context] ウィンドウが表示されます(図 3-6)。

図 3-6 [New Virtual Context] ウィンドウ

 

ステップ 3 次の仮想コンテキスト アトリビュートを入力します。残りのアトリビュートは空白、またはデフォルト値のままにしておきます。

[Name]:VC_web

[Resource Class]:RC_web

[Allocate-Interface VLANs]:1000、400、500(これらの VLAN により、コンテキストは、関連付けられたトラフィックを受信できます)

[Description]:マーケティング Web サイトの仮想コンテキスト

[Policy Name]:Management

[Management VLAN]:1000(この VLAN は、コンテキストのリモート管理を許可します)

[Management IP]:172.25.91.111(この IP アドレスは、コンテキストのリモート管理を許可します)

[Management Netmask]:255.255.255.0

[Protocols to Allow]:SNMP(またはこの仮想コンテキストを許可する任意のプロトコル)

[Default Gateway IP]:172.25.91.1

ステップ 4 [Deploy Now] をクリックして、このコンテキストを適用します。次に、[Virtual Contexts] を選択します。ウィンドウが更新され、[All Virtual Contexts] ペインに新しい仮想コンテキストがリストされます(図 3-7)。

図 3-7 VC_web 追加後の [All Virtual Contexts] ペイン

 


 

クライアント側 VLAN インターフェイスの設定

この段階で、クライアント トラフィックの送信先アドレスである、クライアント側 VLAN インターフェイスを設定できます。ここでは、設定例に対して、VLAN 400 を設定します(図 3-8)。

図 3-8 クライアント側 VLAN インターフェイスの設定

 

次のステップに従って、クライアント側 VLAN インターフェイスを設定します。


ステップ 1 仮想コンテキスト ドロップダウン リストから [VC_web] を選択します。

ステップ 2 [Config] > [Virtual Contexts] > [Network] > [VLAN Interfaces] を選択します。[VLAN Interfaces] ペインが表示されます(図 3-9)。

図 3-9 [VLAN Interfaces] ペイン

 

ステップ 3 [Add] をクリックして、新しい VLAN インターフェイスを追加します。[VLAN Interfaces] ウィンドウが表示されます(図 3-10)。

図 3-10 [VLAN Interfaces] ウィンドウ:VLAN 400

 

ステップ 4 次の VLAN アトリビュートを入力します。残りのアトリビュートは空白、またはデフォルト値のままにしておきます。

[VLAN]:400

[Description]:Client-side VLAN interface

[IP Address]:10.10.40.10

[Netmask]:255.255.255.0

[Admin Status]:Up

ステップ 5 [Deploy Now] をクリックして、このエントリを保存します。[VLAN Interfaces] を選択して、[VLAN Interfaces] ペインに戻ります(図 3-11)。

図 3-11 2 つの VLAN が設定された [VLAN Interface] ペイン

 


 

サーバ側 VLAN インターフェイスの設定

この時点で、トラフィックの送信先アドレスである、サーバ側 VLAN インターフェイスを設定できます。ここでは、設定例に対して、VLAN 500、および VALN の NAT プールを設定します(図 3-12)。


NAT(ネットワーク アドレス変換)の目的は、IP アドレスの簡素化と節約です。NAT によって、未登録 IP アドレスを使用するプライベート IP ネットワークをインターネットに接続できます。ACE がネットワーク全体で 1 つのアドレスだけを外部に公開するように、ACE の NAT プールを設定します。このプールは、そのアドレスの背後にある内部ネットワーク全体を隠蔽するため、セキュリティとアドレス節約の両方が実現します。


図 3-12 サーバ側 VLAN インターフェイスの設定

 

次のステップに従って、VLAN インターフェイスを設定します。


ステップ 1 仮想コンテキスト ドロップダウン リストで [VC_web] が選択されていることを確認します。

ステップ 2 [Config] > [Virtual Contexts] > [Network] > [VLAN Interfaces] を選択します。[VLAN Interfaces] ペインが表示されます(図 3-11)。

ステップ 3 [Add] をクリックして、新しい VLAN インターフェイスを追加します。[VLAN Interfaces] ウィンドウが表示されます(図 3-10)。

ステップ 4 次の VLAN アトリビュートを入力します。残りのアトリビュートは空白、またはデフォルト値のままにしておきます。

[VLAN]:500

[Description]:Server-side VLAN interface

[IP Address]:10.10.50.1

[Netmask]:255.255.255.0

[Admin Status]:Up

ステップ 5 [Deploy Now] をクリックして、このエントリを保存します。[VLAN Interfaces] を選択して、[VLAN Interfaces] ペインに戻ります。

ステップ 6 VLAN 500 の行を選択し、[NAT Pool] タブを選択します。[NAT Pool] ペインが表示されます(図 3-13)。

図 3-13 [NAT Pool] ペイン

 

ステップ 7 [Add] をクリックして、新しい NAT プールを追加します。[NAT Pool] ペインが表示されます(図 3-14)。

図 3-14 NAT プールの設定

 

ステップ 8 次の NAT プール アトリビュートを入力します。残りのアトリビュートは空白、またはデフォルト値のままにしておきます。

[NAT Id]:1

[Start IP Address]:10.10.50.101

[End IP Address]:10.10.50.104

[Netmask]:255.255.255.0

ステップ 9 ウィンドウ下部の [Deploy Now] をクリックし、エントリを保存して、[NAT Pool] ペインに戻ります(図 3-15)。

図 3-15 NAT プールが設定された [NAT Pool] ペイン

 


 

CLI を使用した仮想コンテキストの作成

コマンドライン インターフェイスを使用して、仮想コンテキストを作成できます。ここでは、次の内容について説明します。

リソース クラスの設定

仮想コンテキストの作成

ユーザ コンテキストの管理 VLAN インターフェイスの設定

ユーザ コンテキストへのリモート管理アクセスの設定

クライアント側 VLAN インターフェイスの設定

サーバ側 VLAN インターフェイスの設定

リソース クラスの設定

次のステップに従って、リソース クラスを設定します。


ステップ 1 コンソールを使用して、システム管理者として ACE にログインします。たとえば、次のコマンドをコマンド プロンプトで入力します。

Telnet 172.25.91.110
 

プロンプトで、 admin と入力します。次に、第 2 章「 セットアップ スクリプトを使用して管理接続をイネーブルにするには 」の ステップ 2 で入力した新しいパスワードを入力します。

host1 login: admin
Password: xxxxx
 

ステップ 2 設定モードに入ります。

host1/Admin# config
host1/Admin(config)#
 

ステップ 3 リソース クラスを設定して、コンテキストのリソースを、ACE で使用できる全体的なリソースの 10% に制限して、設定モードを終了します。

host1/Admin(config)# resource-class RS_web
host1/Admin(config-resource)# limit-resource all minimum 10 maximum unlimited
host1/Admin(config-resource)# exit
host1/Admin(config)#
 


 

仮想コンテキストの作成

次のステップに従って、仮想コンテキストを作成します。


ステップ 1 新しいコンテキストを作成します。

host1/Admin(config)# context VC_web
host1/Admin(config-context)#
 

ステップ 2 コンテキストが自身に分類されたトラフィックを受信できるように、既存の 3 つの VLAN にコンテキストを関連付けます。

host1/Admin(config-context)# allocate-interface vlan 1000
host1/Admin(config-context)# allocate-interface vlan 400
host1/Admin(config-context)# allocate-interface vlan 500
 

ステップ 3 前の項「 リソース クラスの設定 」で作成したリソース クラスをコンテキストに関連付けます。

host1/Admin(config-context)# member RC_web
 

ステップ 4 ステップ 1 で作成した VC_web コンテキストに変更して、設定モードを終了します。

host1/Admin(config-context)# do changeto VC_web
host1/VC_web(config)# exit
host1/VC_web#
 

ステップ 5 仮想コンテキスト設定を表示します。

host1/VC_web# show running-config context
 

ステップ 6 リソース クラス設定を表示します。

host1/VC_web# show running-config resource-class
 


 

ユーザ コンテキストの管理 VLAN インターフェイスの設定

図 3-4 に示すように、IP アドレスを VLAN インターフェイスに割り当て、管理接続をユーザ コンテキストに提供できます。次のステップに従って、管理 VLAN インターフェイスを設定します。


ステップ 1 VC_web の VLAN 1000 のインターフェイス設定モードに入ります。

host1/VC_web# config
host1/VC_web(config)# interface vlan 1000
host1/VC_web(config -if)#
 

ステップ 2 IP アドレス 172.25.91.111、およびサブネット マスク 255.255.255.0 を、管理接続の VLAN インターフェイスに割り当てます。

host1/VC_web(config-if)# ip address 172.25.91.111 255.255.255.0
 

ステップ 3 VLAN インターフェイスをイネーブルにします。

host1/VC_web(config-if)# no shutdown
 

ステップ 4 VLAN 1000 がアクティブであることを示します。

host1/VC_web(config-if)# do show interface vlan 1000
 

ステップ 5 ネットワーク接続を確認します。

host1/VC_web(config-if)# do ping 172.25.91.111
 

ステップ 6 ARP テーブルを表示します。


Address Resolution Protocol(ARP; アドレス解決プロトコル)では、ACE は、Media Access Control(MAC; メディア アクセス制御)情報への IP マッピングを管理および学習し、パケットを転送および送信できます。


host1/VC_web(config-if)# do show arp
 

ステップ 7 設定モードを終了します。

host1/VC_web(config-if)# exit
host1/VC_web(config)# exit
host1/VC_web#
 


 

ユーザ コンテキストへのリモート管理アクセスの設定

イーサネット ポートを介してユーザ コンテキスト へリモート アクセスするには、ACE で受信可能なネットワーク管理トラフィックを特定するトラフィック ポリシーを作成する必要があります。次のステップに従って、リモート管理アクセスを設定します。


ステップ 1 すべてのトラフィックと一致する REMOTE_ACCESS という名前の管理タイプ クラス マップを作成します。

host1/VC_web# config
host1/VC_web(config)# class-map type management match-any REMOTE_ACCESS
host1/VC_web(config-cmap-mgmt)#
 

ステップ 2 (任意)クラス マップの説明を入力します。

host1/VC_web(config-cmap-mgmt)# description Remote access traffic match
 

ステップ 3 すべての送信元アドレスに対して、SSH、Telnet、および ICMP の各プロトコルに基づくトラフィックを許可するために、照合プロトコルを設定します。

host1/VC_web(config-cmap-mgmt)# match protocol ssh any
host1/VC_web(config-cmap-mgmt)# match protocol telnet any
host1/VC_web(config-cmap-mgmt)# match protocol icmp any
host1/VC_web(config-cmap-mgmt)# exit
host1/VC_web(config)#
 

ステップ 4 ACEインターフェイス宛てのトラフィックに対して、REMOTE_MGMT_ALLOW_POLICY ポリシー マップを作成します。

host1/VC_web(config)# policy-map type management first-match REMOTE_MGMT_ALLOW_POLICY
host1/VC_web(config-pmap-mgmt)#
 

ステップ 5 REMOTE_ACCESS クラス マップをこのポリシーに適用します。

host1/VC_web(config-pmap-mgmt)# class REMOTE_ACCESS
host1/VC_web(config-pmap-mgmt-c)#
 

ステップ 6 ACE に対して、設定したクラス マップ管理プロトコルの受信を許可します。

host1/VC_web(config-pmap-mgmt-c)# permit
host1/VC_web(config-pmap-mgmt-c)# exit
host1/VC_web(config-pmap-mgmt)# exit
host1/VC_web(config)#
 

ステップ 7 ポリシー マップを適用する VLAN のインターフェイス設定モードに入ります。

host1/VC_web(config)# interface vlan 1000
host1/VC_web(config-if)#
 

ステップ 8 REMOTE_MGMT_ALLOW_POLICY ポリシー マップをそのインターフェイスに適用します。

host1/VC_web(config-if)# service-policy input REMOTE_MGMT_ALLOW_POLICY
 

ステップ 9 そのインターフェイスに適用された REMOTE_MGMT_ALLOW_POLICY ポリシーを表示します。

host1/VC_web(config-if)# do show service-policy REMOTE_MGMT_ALLOW_POLICY
 

ステップ 10 変更内容を、実行設定からスタートアップ設定にコピーします。

host1/VC_web(config-if)# do copy running-config startup-config
 
Generating configuration....
running config of context VC_web saved
 
host1/VC_web(config-if)# exit
host1/VC_web(config)# exit
 

ステップ 11 実行設定を表示します。

host1/VC_web(config)# do show running-config
 


 

クライアント側 VLAN インターフェイスの設定

この時点で、図 3-8 に示すように、クライアント トラフィックの送信先アドレスである、クライアント側 VLAN インターフェイスを設定できます。次のステップに従って、クライアント側 VLAN インターフェイスを設定します。


ステップ 1 VLAN 400 のインターフェイス設定モードに入ります。

host1/VC_web(config)# interface vlan 400
host1/VC_web(config -if)#
 

ステップ 2 IP アドレス 10.10.40.1、およびサブネット マスク 255.255.255.0 を、クライアント接続の VLAN インターフェイスに割り当てます。

host1/VC_web(config-if)# ip address 10.10.40.1 255.255.255.0
 

ステップ 3 (任意)インターフェイスの説明を入力します。

host1/VC_web(config-if)# description Client connectivity on VLAN 400
 

ステップ 4 VLAN インターフェイスをイネーブルにします。

host1/VC_web(config-if)# no shutdown
 

ステップ 5 VLAN 400 がアクティブであることを示します。

host1/VC_web(config-if)# do show interface vlan 400
 

ステップ 6 ARP テーブルを表示します。

host1/VC_web(config-if)# do show arp
 

ステップ 7 設定モードを終了します。

host1/VC_web(config-if)# exit
host1/VC_web(config)# exit
host1/VC_web#
 


 

サーバ側 VLAN インターフェイスの設定

次に、図 3-12 に示すように、サーバ トラフィックの送信先アドレスである、サーバ側 VLAN インターフェイスを設定できます。次のステップに従って、サーバ側 VLAN インターフェイスを設定します。


ステップ 1 VLAN 500 のインターフェイス設定モードに入ります。

host1/VC_web# config
host1/VC_web(config)# interface vlan 500
host1/VC_web(config -if)#
 

ステップ 2 IP アドレス 10.10.50.1、およびサブネット マスク 255.255.255.0 を、サーバ側接続の VLAN インターフェイスに割り当てます。

host1/VC_web(config-if)# ip address 10.10.50.1 255.255.255.0
 

ステップ 3 (任意)インターフェイスの説明を入力します。

host1/VC_web(config-if)# description Server connectivity on VLAN 500
 

ステップ 4 VLAN インターフェイスをイネーブルにします。

host1/VC_web(config-if)# no shutdown
 

ステップ 5 NAT プールを設定します。

host1/VC_web(config-if)# nat-pool 1 10.10.50.101 10.10.50.104 netmask 255.255.255.0
 

ステップ 6 VLAN 500 がアクティブであることを示します。

host1/VC_web(config-if)# do show interface vlan 500
 

ステップ 7 ARP テーブルを表示します。

host1/VC_web(config-if)# do show arp
 

ステップ 8 設定モードを終了します。

host1/VC_web(config-if)# exit
host1/VC_web(config)# exit
host1/VC_web#
 


 

この章では、ACE を Admin コンテキストおよびユーザ コンテキスト VC_web にパーティショニングしました。現在、各仮想コンテキストは、その目的に適したリソース クラスに関連付けられています。また、管理 VLAN インターフェイス、およびユーザ コンテキストへのクライアント/サーバ VLAN インターフェイスも設定しました。

次の章では、アクセス コントロール リストを設定して、ネットワークのセキュリティを確保します。