Cisco VSG for VMware vSphere リリース 4.2(1)VSG2(1.1) および Cisco Prime NSC リリース 3.0.2 インストレーション ガイドおよびアップグレード ガイド
Cisco VSG および Cisco Prime NSC のインストール - クイック スタート
Cisco VSG および Cisco Prime NSC のインストール - クイック スタート

目次

Cisco VSG および Cisco Prime NSC のインストール - クイック スタート

この章は、次の内容で構成されています。

Cisco Prime NSCおよび Cisco VSG のインストールに関する情報

この章では、Cisco Prime NSC およびCisco VSG の基本的な設定をインストールし、セットアップする方法について説明します。 この章の例では、ソフトウェアの OVA ファイルをインストールするために OVF テンプレート方式を使用します。 手順においては、Cisco Nexus 1000V シリーズ スイッチが正常に動作しており、エンドポイントの VM がすでにインストールされていることを想定しています。

Cisco VSG および Cisco Prime NSC インストール計画チェックリスト

Cisco Prime NSC および Cisco VSG を正常に動作させるには、お使いのネットワークおよび装置の配置とアーキテクチャを計画する必要があります。

ハードウェアおよびソフトウェアの基本要件

次の表に、Cisco VSGCisco Prime NSC インストールの基本的なハードウェアおよびソフトウェア要件を示します。

Cisco VSG ソフトウェアは http:/​/​www.cisco.com/​en/​US/​products/​ps13095/​index.html からダウンロードでき、Cisco Prime NSC ソフトウェアは http:/​/​www.cisco.com/​en/​US/​products/​ps13213/​index.html からダウンロードできます。

要件 説明

4 つの仮想 CPU

各仮想 CPU に 1.5 GHz

メモリ

Cisco VSG に 4 GB RAM および Cisco Prime NSC に 4 GB RAM または両方に 8 GB

ディスク容量

InterCloud の機能に応じて、次のいずれかになります。

  • InterCloud の機能がある場合、共有ネットワーク ファイル ストレージ(NFS)またはストレージ エリア ネットワーク(SAN)に対する 220 GB が 2 つのディスクに次のように構成されます。
    • ディスク 1:20 GB
    • ディスク 2:200 GB
  • InterCloud の機能がない場合、共有 NFS または SAN に対する 40 GB が 2 つのディスクに次のように構成されます。
    • ディスク 1:20 GB
    • ディスク 2:20 GB

プロセッサ

VMware 互換表にリストされる 64 ビット プロセッサを搭載した x86 Intel または AMD サーバ。

(注)     

VMware の互換性ガイドは、http:/​/​www.vmware.com/​resources/​compatibility/​search.php を参照してください。

VMware vSphere

ESXi 5.0 または 5.1

VMware vCenter

リリース 5.1(5.0 vCenter はホスト バージョン 5.0 までをサポート)

Intel 仮想化技術(VT)

BIOS でイネーブル化

ブラウザ

次のブラウザのいずれかになります。

  • Internet Explorer 9.0 以降
  • Mozilla Firefox 23.0 以降
  • Google Chrome 29.0 以降
(注)     

Firefox または IE を使用しているが Flash がない場合、またはお使いの Flash のバージョンが 11.2 よりも古い場合は、Flash をインストールするよう求めるメッセージが Adobe の Web サイトへのリンクと共に表示されます。

(注)     

Google Chrome を Cisco Prime NSC で使用する前に、クロムにデフォルトでインストールされている Adobe Flash Player をディセーブルにします。 詳細については、Cisco Prime NSC で使用するための Chrome の設定を参照してください。

ポート

Web ブラウザおよび次のポートを使用した Cisco Prime NSC アプリケーションへのアクセス(導入においてファイアウォールを使用する場合は、次のポートも許可してください):

  • 443(HTTPS)
  • 80(HTTP/TCP)
  • 843(Adobe Flash)

Flash Player

Adobe Flash Player プラグイン 11.2 以降

VLAN 設定要件

Cisco Nexus 1000V シリーズ スイッチの追加的なインストール プロセスに備えるには、次の VLAN 要件を満たす必要があります。

  • Cisco Nexus 1000V シリーズ スイッチのアップリンク ポートにサービス VLAN と HA VLAN の 2 種類の VLAN が設定されていること(VLAN はシステム VLAN でなくてもかまいません)。
  • Cisco Nexus 1000V シリーズ スイッチに、サービス VLAN 向けのポート プロファイルと HA VLAN 向けのポート プロファイルの 2 種類のポート プロファイルが設定されていること(Cisco Nexus 1000V シリーズ スイッチが通信できるよう、Cisco VSG IP アドレスを Cisco VSG に設定します)。

必須の Cisco Prime NSC および Cisco VSG 情報

次の情報は、Cisco VSG および Cisco Prime NSC のインストール時に使用できます。

種類 自分の情報

Cisco VSG name:インベントリ フォルダ内で一意の、80 文字までの名前

 

Hostname:Cisco VSG がインベントリ フォルダにインストールされる場所

 

データストア名:VM ファイルが保存される場所

 

Cisco VSG management IP address

 

VSM 管理 IP アドレス

 

Cisco Prime NSC instance IP address

 

Cisco VSG のインストール用モード

  • スタンドアロン
  • HA プライマリ
  • HA セカンダリ
  • 手動インストール

Cisco VSG VLAN number

  • サービス(1)
  • 管理(2)
  • High availability(HA; ハイ アベイラビリティ)(3)
 

Cisco VSG port profile name

  • データ(1)
  • 管理(2)
  • High availability(HA; ハイ アベイラビリティ)(3)
(注)     

番号は、VSG の VLAN 番号と関連付ける必要のある VSG ポート プロファイルを表します。

 

HA ペア ID(HA ドメイン ID)

 

NSC DNS IP アドレス

NSC NTP IP アドレス

Cisco VSG admin パスワード

 

Cisco Prime NSC admin パスワード

 

Cisco VSM 管理者パスワード

 

共有秘密パスワード(Cisco Prime NSCCisco VSG ポリシー エージェント、Cisco VSM ポリシー エージェント)

 

タスクおよび前提条件のチェックリスト

タスク

前提条件
タスク 1:OVA テンプレートからの Cisco Prime NSC のインストール
次を確認しておく必要があります。
  • Cisco Prime NSC OVA イメージが vCenter で使用可能である。
  • Cisco Prime NSC の IP、サブネット マスクおよびゲートウェイ情報を確認する。
  • 使用したい admin アカウントのパスワード、共有シークレット、ホスト名を確認する。
  • DNS サーバおよびドメイン名情報を確認する。
  • NTP サーバ情報を確認する。
  • 仮想マシン(VM)の管理ポート プロファイル名(Management)を確認する。
    (注)     

    管理ポート プロファイルは、仮想スーパーバイザ モジュール(VSM)に使用されているポート プロファイルと同じです。 ポート プロファイルは、VSM 内で設定され、Cisco Prime NSC 管理インターフェイスに使用されます。

  • すべてのシステム要件が「システム要件」で指定された要件を満たしていることを確認します。
  • 共有秘密パスワードが使用可能である(このパスワードは Cisco Prime NSC、VSM、Cisco VSG の間の通信を可能にします)。
タスク 2:Cisco Prime NSC で、vCenter と接続できるよう VM Manager を設定
次を確認しておく必要があります。
  • システム要件 に記載のサポートされている Adobe Flash Player
  • Cisco Prime NSC の IP アドレス
  • admin ユーザのパスワード
タスク 3:VSM での Cisco Prime NSC ポリシー エージェントの設定
次を確認しておく必要があります。
  • Cisco Prime NSC ポリシー エージェント イメージが VSMで使用可能(たとえば、vnmc-vsmpa.2.1.1b.bin)
    (注)     

    イメージ名の中に、太字の vsmpa というストリングが表示される必要があります。

  • Cisco Prime NSC の IP アドレス
  • Cisco Prime NSC のインストール中に定義した共有秘密パスワード
  • VSM と Cisco Prime NSC の間の IP 接続が機能している
    (注)     

    VSM をアップグレードする場合は、最新の Cisco VSM ポリシー エージェント イメージもコピーする必要があります。 このイメージは、フラッシュ ドライブから起動する Cisco Prime NSC イメージ バンドルに同梱されており、Cisco Prime NSC への登録を完了します。

タスク 4:VSM での Cisco VSG ポート プロファイルの作成
次を確認しておく必要があります。
  • アップリンク ポート プロファイル名。
  • Cisco VSG データ インターフェイスの VLAN ID(例、100)。
  • Cisco VSG-ha インターフェイスの VLAN ID(例、200)。
  • 管理 VLAN(Management)。
    (注)     

    これらの VLAN はシステム VLAN である必要はありません。

タスク 5:OVA テンプレートからの Cisco VSG のインストール
次を確認しておく必要があります。
  • Cisco VSG OVA イメージが vCenter で使用可能である。
  • Cisco VSG-Data および Cisco VSG-ha ポート プロファイルが VSM で作成されている。
  • 管理ポート プロファイル(Management)。
    (注)     

    管理ポート プロファイルは、VSM に使用されているポート プロファイルと同じです。 ポート プロファイルは、VSM 内で設定され、Cisco Prime NSC 管理インターフェイスに使用されます。

  • Cisco VSG-Data ポート プロファイル:VSG-Data。
  • Cisco VSG-ha ポート プロファイル:VSG-ha。
  • HA ID。
  • Cisco VSG の IP、サブネット マスクおよびゲートウェイ情報。
  • admin アカウントのパスワード。
  • 2 GB の RAM と 3 GB のハード ディスク領域が使用可能である。
  • Cisco Prime NSC の IP アドレス。
  • 共有秘密パスワード
  • Cisco VSGCisco Prime NSC の間の IP 接続が良好である。
  • Cisco VSG の VNM-PA イメージ名(vnmc-vsgpa.2.1.1b.bin)が存在している。
タスク 6:Cisco VSG および Cisco Prime NSC での VNM ポリシー エージェント ステータスの確認
タスク 7:Cisco Prime NSC でのテナントおよびセキュリティ プロファイルの設定
次を確認しておく必要があります。
  • システム要件 に記載のサポートされている Adobe Flash Player
  • Cisco Prime NSC の IP アドレス。
  • admin ユーザのパスワード
タスク 8:Cisco VNMC での Cisco VSG のコンピュート ファイアウォールへの割り当て
タスク 10:Cisco Prime NSC での Permit-All ルールの設定
タスク 11:Cisco VSG での Permit-All ルールの確認
タスク 12:ロギングのイネーブル化
タスク 13:ファイアウォールによる保護のためのトラフィック VM ポート プロファイルのイネーブル化と VSM、VEM、VSG 間の通信の確認
次を確認しておく必要があります。
  • アクセス ポート プロファイルを使用して実行されるサーバ仮想マシン(例、Web サーバ)。
  • Cisco VSG データの IP アドレス(10.10.10.200)および VLAN ID(100)。
  • セキュリティ プロファイル名(例、sp-web)。
  • 組織(Org)名(例、root/Tenant-A)。
  • ファイアウォールによる保護をイネーブルにするために編集するポート プロファイル。
  • vPath 設定のあるポート プロファイル内で、アクティブなポートが 1 つ設定されていること。
タスク 14:Cisco VSG でのトラフィック フローの送信と統計情報とログの確認

ホスト要件

  • Cisco VSG には 4 GB 以上の物理メモリ、Cisco Prime NSC には 4 GB の物理メモリの VMware ソフトウェア リリース 5.0、5.1 を実行している ESXi プラットフォーム。
  • 1 プロセッサ
  • 各仮想 CPU の速度が 1.5 GHz である 4 個の仮想 CPU

Cisco Prime NSC および Cisco VSG ソフトウェアの入手方法

Cisco VSG ソフトウェアは、次の URL からダウンロードできます。

http:/​/​www.cisco.com/​en/​US/​products/​ps13095/​index.html

Cisco Prime NSC ソフトウェアは、次の URL からダウンロードできます。

http:/​/​www.cisco.com/​en/​US/​products/​ps13213/​index.html

タスク 1:OVA テンプレートからの Cisco Prime NSC のインストール

はじめる前に

次を確認しておく必要があります。

  • Cisco Prime NSC OVA イメージが vCenter で使用可能である。
  • Cisco Prime NSC の IP、サブネット マスクおよびゲートウェイ情報を確認する。
  • 使用したい admin アカウントのパスワード、共有シークレット、ホスト名を確認する。
  • DNS サーバおよびドメイン名情報を確認する。
  • NTP サーバ情報を確認する。
  • 仮想マシン(VM)の管理ポート プロファイル名(Management)を確認する。

    (注)  


    管理ポート プロファイルは、仮想スーパーバイザ モジュール(VSM)に使用されているポート プロファイルと同じです。 ポート プロファイルは、VSM 内で設定され、Cisco Prime NSC 管理インターフェイスに使用されます。


  • すべてのシステム要件が「システム要件」で指定された要件を満たしていることを確認します。
  • 共有秘密パスワードが使用可能である(このパスワードは Cisco Prime NSC、VSM、Cisco VSG の間の通信を可能にします)。

    ステップ 1   vCenter Server にログインするには、VMware vSphere Client を使用します。
    ステップ 2   Cisco Prime NSC VM を導入するホストを選択します。
    ステップ 3   [File] メニューから [Deploy OVF Template] を選択します。
    ステップ 4   [Source] ウィンドウで、Cisco Prime NSC OVA を選択し、[Next] をクリックします。
    ステップ 5   [OVF Template Details] ウィンドウで、Cisco Prime NSC テンプレートの詳細を確認し、[Next] をクリックします。
    ステップ 6   [End User License Agreement] ウィンドウで、エンド ユーザ ライセンス契約を確認した後、[Accept] をクリックし、[Next] をクリックします。
    ステップ 7   [Name and Location] ウィンドウで、必要な情報を入力し、[Next] をクリックします。

    名前は最大 80 文字で構成でき、インベントリ フォルダ内で固有である必要があります。

    ステップ 8   [Deployment Configuration] ウィンドウで、[Configuration] ドロップダウン リストから [Installer] を選択し、[Next] をクリックします。
    ステップ 9   [Datastore] ウィンドウで、VM のデータ ストアを選択して、[Next] をクリックします。
    (注)     

    ストレージは、ローカルか、ネットワーク ファイル ストレージ(NFS)やストレージ エリア ネットワーク(SAN)などの共有リモートにできます。 ESXi ホストでただ 1 つの保存場所しか使用可能でない場合、このウィンドウは表示されず、使用可能な保存場所が割り当てられます。

    ステップ 10   [Disk Format] ウィンドウで、[Thin provisioned format] または [Thick provisioned format] をクリックして VM vdisks を保存し、[Next] をクリックします。

    デフォルトは [Thick provisioned format] です。 ストレージをすぐに割り当てない場合は、[Thin provisioned format] を使用します。

    ステップ 11   [Network Mapping] ウィンドウで、VM に対して管理ネットワーク ポート グループを選択し、[Next] をクリックします。
    ステップ 12   [Properties] ウィンドウで、必要な情報を入力し、選択ボックスの下の赤いテキスト メッセージで説明されているエラーに対処し、[Next] をクリックします。 必要に応じて、エントリがフィールドの要件を満たしている場合は、プレースホルダ情報を入力できます。
    (注)     

    Cisco Prime NSCRestore フィールドは無視しても問題ありません。

    (注)     

    共有秘密パスワードを選択するときは、共有秘密パスワードの条件 のガイドラインに従ってください。

    ステップ 13   [Ready to Complete] ウィンドウで、導入設定情報を確認し、[Finish] をクリックします。
    注意       

    不一致があると、VM の起動時に問題が発生する可能性があります。 IP アドレス、サブネット マスク、ゲートウェイ、および DNS と NTP IP アドレス情報を慎重に確認します。

    Cisco Prime NSCが導入されるまで、タスクの経過が進行状況インジケータに表示されます。

    ステップ 14   Cisco Prime NSCが正常に導入されたら、[Close] をクリックします。
    ステップ 15   Cisco VSG VM の電源を入れます。

    タスク 2:Cisco Prime NSC で、vCenter と接続できるよう VM Manager を設定

    vCenter に接続できるよう VM-manager を設定するには、次のタスクを順番どおりに実行してください。

    Cisco Prime NSC からの vCenter 拡張ファイルのダウンロード

    はじめる前に

    次の情報について確認してください。

    • システム要件 に記載のサポートされている Adobe Flash Player
    • Cisco Prime NSC の IP アドレス
    • admin ユーザのパスワード

      ステップ 1   ブラウザで、server-ip-addressCisco Prime NSC IP アドレスである https://server-ip-address を入力します。
      ステップ 2   [Website Security Certificate] ウィンドウで、[Continue to this website] を選択します。
      ステップ 3   Cisco Prime NSC ログイン ウィンドウで、ユーザ名 admin と管理ユーザ パスワードを入力します。 これが、Cisco Prime NSC をインストールする際に設定するパスワードです。
      ステップ 4   Cisco Prime NSC ウィンドウで、[Resource Management] > [VM Managers] > [VM Managers] を選択します。
      ステップ 5   [VM Managers] ペインで、[Export vCenter Extension] をクリックします。
      ステップ 6   vSphere Client 内から vCenter 拡張プラグインを登録する必要があるため(vCenter への vCenter 拡張プラグインの登録を参照)、vSphere Client がアクセス可能なディレクトリに vCenter 拡張ファイルを保存します。

      次の作業

      vCenter への vCenter 拡張プラグインの登録 に進みます。

      vCenter への vCenter 拡張プラグインの登録

      このタスクは、クライアントのデスクトップにある vSphere クライアントのディレクトリで行います。

      はじめる前に

      Cisco Prime NSC からの vCenter 拡張ファイルのダウンロードを参照してください。


        ステップ 1   VMware vSphere Client で、vCenter Server にログインします。
        ステップ 2   [vSphere Client] ウィンドウで、[Plug-ins] > [Manage Plug-ins] を選択します。
        ステップ 3   ウィンドウの背景を右クリックし、[New Plug-in] を選択します。
        ステップ 4   すでにダウンロード済みの Cisco Prime NSC vCenter 拡張ファイルを参照し、[Register Plug-in] をクリックします。 [vCenter Register Plug-in] ウィンドウが表示され、セキュリティの警告が表示されます。
        ステップ 5   セキュリティ警告メッセージ ボックスで、[Ignore] をクリックします。 経過表示インジケータがタスクの状態を示します。
        ステップ 6   成功のメッセージが表示されたら、[OK] をクリックし、[Close] をクリックします。

        次の作業

        Cisco Prime NSC での VM Manager の vCenter の設定 に進みます。

        Cisco Prime NSC での VM Manager の vCenter の設定


          ステップ 1   Cisco Prime NSC で、[Resource Management] > [VM Managers] > [VM Managers] を選択します。
          ステップ 2   [VM Managers] ペインで、[Add VM Manager] タブをクリックします。
          ステップ 3   [Add VM Manager] ダイアログボックスで、次を実行します。
          1. [Name] フィールドに、vCenter の名前を入力します(スペースは使用できません)。
          2. [Description] フィールドに、vCenter の簡単な説明を入力します。
          3. [Hostname/IP Address] フィールドに、vCenter の IP アドレスを入力します。
          ステップ 4   [OK] をクリックします。
          (注)     
          正常に追加された VM マネージャが次の情報とともに表示されます。
          • 有効な管理状態。
          • 動作中の動作状態。
          • VMware vCenter のバージョン。

          タスク 3:VSM での Cisco Prime NSC ポリシー エージェントの設定

          Cisco Prime NSC をインストール後、Cisco Prime NSC ポリシーに VSM を登録します。

          はじめる前に

          次を確認しておく必要があります。

          • Cisco Prime NSC ポリシー エージェント イメージが VSMで使用可能(たとえば、vnmc-vsmpa.2.1.1b.bin)

            (注)  


            イメージ名の中に、太字の vsmpa というストリングが表示される必要があります。


          • Cisco Prime NSC の IP アドレス
          • Cisco Prime NSC のインストール中に定義した共有秘密パスワード
          • VSM と Cisco Prime NSC の間の IP 接続が機能している

            (注)  


            VSM をアップグレードする場合は、最新の Cisco VSM ポリシー エージェント イメージもコピーする必要があります。 このイメージは、フラッシュ ドライブから起動する Cisco Prime NSC イメージ バンドルに同梱されており、Cisco Prime NSC への登録を完了します。



            ステップ 1   VSM で、次のコマンドを入力します。
            vsm# configure terminal
            vsm(config)# vnm-policy-agent
            vsm(config-vnm-policy-agent)# registration-ip 10.193.75.95
            vsm(config-vnm-policy-agent)# shared-secret Example_Secret123
            vsm(config-vnm-policy-agent)# policy-agent-image vnmc-vsmpa.2.1.1b.bin
            vsm(config-vnm-policy-agent)# exit
            vsm(config)# copy running-config startup-config
            vsm(config)# exit
            ステップ 2   Cisco Prime NSC が正しくインストールされ、到達可能になったことを確認するため、show vnm-pa status コマンドを入力して VNM ポリシー エージェントの設定のステータスを確認します。 次の例は、Cisco Prime NSC が到達可能で、インストールが正しく行われたことを示します。
            vsm# show vnm-pa status
            VNM Policy-Agent status is - Installed Successfully. Version 2.1(1b)-vsm
            vsm

            これで、VSM が Cisco Prime NSC に登録されました。


            次の例は、Cisco Prime NSC が到達不能であるか、不適切な IP が設定されていることを示しています。

            vsm# show vnm-pa status
            VNM Policy-Agent status is - Installation Failure
            VNMC not reachable.
            vsm# 
            

            次の例は、VNM ポリシー エージェントが設定されていないだけでなくインストールされていないことを示しています。

            vsm# show vnm-pa status
            VNM Policy-Agent status is - Not Installed

            タスク 4:VSM での Cisco VSG ポート プロファイルの作成

            Cisco VSG ポート プロファイルを作成するには、VLAN を作成して、Cisco VSG データ ポート プロファイルと Cisco VSG-ha ポート プロファイルでそれらの VLAN を使用します。

            はじめる前に

            次を確認しておく必要があります。

            • アップリンク ポート プロファイル名。
            • Cisco VSG データ インターフェイスの VLAN ID(例、100)。
            • Cisco VSG-ha インターフェイスの VLAN ID(例、200)。
            • 管理 VLAN(Management)。

              (注)  


              これらの VLAN はシステム VLAN である必要はありません。



              ステップ 1   VSM で、次のコマンドを使用し、グローバル コンフィギュレーション モードを開始して VLAN を作成します。
              vsm# configure
              ステップ 2   次のコンフィギュレーション コマンドを入力します。
              vsm(config)# vlan 100
              vsm(config-vlan)# no shutdown
              vsm(config-vlan)# exit
              vsm(config)# vlan 200
              vsm(config-vlan)# no shutdown
              vsm(config-vlan)# exit
              vsm(config)# exit
              vsm# configure
              vsm(config)# copy running-config startup-config
              vsm(config)# exit
              ステップ 3   Ctrl を押してから Z を押して、終了します。
              ステップ 4   まず Cisco VSG データ ポート プロファイル コンフィギュレーション モードをイネーブル化することで、Cisco VSG-ha データ ポート プロファイルと Cisco VSG ポート プロファイルを作成します。 configure コマンドを使用して、グローバル コンフィギュレーション モードを開始します。
              vsm# configure
              ステップ 5   次のコンフィギュレーション コマンドを入力します。
              vsm(config)# port-profile VSG-Data
              vsm(config-port-prof)# vmware port-group
              vsm(config-port-prof)# switchport mode access
              vsm(config-port-prof)# switchport access vlan 100
              vsm(config-port-prof)# no shutdown
              vsm(config-port-prof)# state enabled
              vsm(config-port-prof)# exit
              vsm(config)#
              vsm(config)# copy running-config startup-config
              vsm(config)# exit
              ステップ 6   Ctrl を押してから Z を押して、セッションを終了します。
              ステップ 7   Cisco VSG-ha ポート プロファイル コンフィギュレーション モードをイネーブルにします。
              vsm# configure
              ステップ 8   次のコンフィギュレーション コマンドを入力します。
              vsm(config)# port-profile VSG-HA
              vsm(config-port-prof)# vmware port-group
              vsm(config-port-prof)# switchport mode access
              vsm(config-port-prof)# switchport access vlan 200
              vsm(config-port-prof)# no shutdown
              vsm(config-port-prof)# state enabled
              vsm(config-port-prof)# exit
              vsm(config)# copy running-config startup-config
              vsm(config)# exit
              ステップ 9   Cisco VSG データおよび Cisco VSG-ha インターフェイス用に作成された VLAN を、使用可能な VLAN の一部としてアップリンク ポート プロファイルに追加します。 configure コマンドを使用して、グローバル コンフィギュレーション モードを開始します。
              vsm# configure
              ステップ 10   次のコンフィギュレーション コマンドを入力します。
              vsm(config)# port-profile type ethernet uplink
              vsm(config-port-prof)# switchport trunk allowed vlan add 100, 200
              vsm(config-port-prof)# exit
              vsm(config)#
              ステップ 11   Ctrl を押してから Z を押して、セッションを終了します。

              タスク 5:OVA テンプレートからの Cisco VSG のインストール

              はじめる前に

              次を確認しておく必要があります。

              • Cisco VSG OVA イメージが vCenter で使用可能である。
              • Cisco VSG-Data および Cisco VSG-ha ポート プロファイルが VSM で作成されている。
              • 管理ポート プロファイル(Management)。

                (注)  


                管理ポート プロファイルは、VSM に使用されているポート プロファイルと同じです。 ポート プロファイルは、VSM 内で設定され、Cisco Prime NSC 管理インターフェイスに使用されます。


              • Cisco VSG-Data ポート プロファイル:VSG-Data。
              • Cisco VSG-ha ポート プロファイル:VSG-ha。
              • HA ID。
              • Cisco VSG の IP、サブネット マスクおよびゲートウェイ情報。
              • admin アカウントのパスワード。
              • 2 GB の RAM と 3 GB のハード ディスク領域が使用可能である。
              • Cisco Prime NSC の IP アドレス。
              • 共有秘密パスワード
              • Cisco VSGCisco Prime NSC の間の IP 接続が良好である。
              • Cisco VSG の VNM-PA イメージ名(vnmc-vsgpa.2.1.1b.bin)が存在している。

                ステップ 1   Cisco VSG VM を導入するホストを選択します。
                ステップ 2   [File] > [Deploy OVF Template] を選択します。
                ステップ 3   [Deploy OVF Template—Source] ウィンドウで、Cisco VSG OVAファイルへのパスを参照し、[Next] をクリックします。
                ステップ 4   [Deploy OVF Template—OVF Template Details] ウィンドウで、ファイルや VM ディスク サイズを含む製品情報を確認し、[Next] をクリックします。
                ステップ 5   [Deploy OVF Template—End User License Agreement] ウィンドウでエンド ユーザ ライセンス契約を確認した後、[Accept] をクリックし、[Next] をクリックします。
                ステップ 6   [Deploy OVF Template - Name and Location] ウィンドウで、次を実行します。
                1. [Name] フィールドに、インベントリ フォルダ内で固有で、80 文字以下の Cisco VSG の名前を入力します。
                2. [Inventory Location] ペインで、Cisco VSG をホストするために使用する場所を選択します。
                3. [Next] をクリックします。
                ステップ 7   [Deploy OVF Template—Deployment Configuration] ウィンドウで、[Configuration] ドロップダウン リストから [Deploy medium VSG] を選択して、[Next] をクリックします。
                ステップ 8   [Deploy OVF Template - Datastore] ウィンドウで、VM のデータストアを選択し、[Next] をクリックします。

                ストレージは、ローカルか、ネットワーク ファイル ストレージ(NFS)やストレージ エリア ネットワーク(SAN)などの共有リモートにできます。

                (注)     

                ESXi ホストでただ 1 つの保存場所しか使用可能でない場合、このウィンドウは表示されず、使用可能な保存場所が割り当てられます。

                ステップ 9   [Deploy OVF Template - Disk Format] ウィンドウで、次を実行します。
                1. [Thin provisioned format] か [Thick provisioned format] をクリックして、VM vdisk(仮想ディスク)を保存します。 デフォルトは [Thick provisioned format] です。 ストレージをすぐに割り当てない場合は、[Thin provisioned format] を使用します。 ウィンドウの赤いテキストは無視します。
                2. [Next] をクリックします。
                ステップ 10   [Deploy OVF Template - Network Mapping] ウィンドウで、次を実行します。
                1. [Data] インターフェイス ポート プロファイルで VSG-Data を選択します。
                2. [Management] インターフェイス ポート プロファイルで Management を選択します。
                3. [HA] インターフェイス ポート プロファイルで VSG-HA を選択します。
                4. [Next] をクリックします。
                (注)     

                この例では、前のタスクで作成された Cisco VSG-DataCisco VSG-ha ポート プロファイルについて、VSM と Cisco Prime NSC で使用されている [Management] ポート プロファイルが管理接続用に使用されています。

                ステップ 11   [Deploy OVF Template - Properties] ウィンドウで、次を実行します。
                1. [OvfDeployment] フィールドで [ovf] を選択し、設定を続行します。 手動で設定する場合は、[ignore] を選択します。
                2. [HARole] ドロップダウン リストから、HA ロールを選択します。
                3. [HAid] フィールドに、Cisco VSG ペアのハイアベイラビリティ ID 番号(1 ~ 4095)を入力します。
                4. [Password] フィールドに、大文字、小文字、および数字を最低 1 つずつ含むパスワードを入力します。
                5. [ManagementIpV4] フィールドに、Cisco VSG の IP アドレスを入力します。
                6. [ManagementIpV4 Subnet] フィールドに、サブネット マスクを入力します。
                7. [Gateway] フィールドに、ゲートウェイ名を入力します。
                8. [VnmcIpV4] フィールドに、Cisco Prime NSC の IP アドレスを入力します。
                9. [SharedSecret] フィールドに、Cisco Prime NSC のインストール中に定義した共有秘密パスワードを入力します。
                10. [Next] をクリックします。
                  (注)     

                  共有秘密パスワードを選択するときは、共有秘密パスワードの条件 のガイドラインに従ってください。

                (注)     

                次のステップで [Next] をクリックする前に、赤いテキスト メッセージが表示されていないことを確認してください。 赤で表示されたフィールドに有効な情報を入力したくない場合は、それらのフィールドにヌル値を入力します。 これらのフィールドを空欄にするか無効なヌル値を入力すると、アプリケーションが起動されません。 Cisco Prime NSCRestore フィールドは無視します。

                ステップ 12   [Ready to Complete] ウィンドウで、導入設定情報を確認します。
                (注)     

                IP、マスク、ゲートウェイの情報をよく確認します。不一致があると、VM を起動するときに問題が発生する場合があります。

                ステップ 13   [Finish] をクリックします。 [Deploying Nexus 1000VSG] ダイアログボックスが開きます。

                Cisco Prime NSC が導入されるまで、[Deploying Nexus 1000VSG] ダイアログボックスの経過表示バーに導入タスクの完了率が示されます。

                ステップ 14   進行状況インジケータに導入が正常に完了したことが示されるまで待ってから、[Close] をクリックします。
                ステップ 15   仮想マシンで、次のいずれかを実行します。
                1. 右クリックし、[Edit Settings] を選択します。
                2. メニュー バーの [Getting Started] タブをクリックし、[Edit Virtual Machine Settings] リンクをクリックします。
                ステップ 16   [Virtual Machine Properties] ウィンドウで、次を実行します。
                1. [CPUs] ドロップダウン リストから、適切な vCPU 番号を選択します。

                  ESXi ホストの以前のバージョンでは、vCPU の数を直接選択できます。

                2. [Number of Virtual Sockets] ドロップダウン リストから、適切なソケットとコアを選択します。

                  ESXi ホストの最新バージョンでは、vCPU の数を直接選択できます。

                2 つの CPU を選択すると、パフォーマンスが向上します。

                ステップ 17   Cisco VSG VM を起動します。

                タスク 6:Cisco VSG および Cisco Prime NSC での VNM ポリシー エージェント ステータスの確認

                show vnm-pa status コマンドを使用して VNM ポリシー エージェント ステータスを確認できます(このステータスにより、ポリシー エージェントが正常にインストールされているかどうかがわかります)。


                  ステップ 1   Cisco VSG にログインします。
                  ステップ 2   次のコマンドを入力して、VNM-PA 設定のステータスを確認します。
                  vsg# show vnm-pa status
                  VNM Policy-Agent status is - Installed Successfully. Version 2.0(1a)-vsg
                  vsg#
                  ステップ 3   Cisco Prime NSC にログインします。
                  ステップ 4   [Administration] > [Service Registry] > [Clients] を選択します。
                  ステップ 5   [Clients] ウィンドウのテーブルに Cisco VSG および VSM エントリの [Oper State] カラムで登録された値が含まれていることを確認します。

                  タスク 7:Cisco Prime NSC でのテナントおよびセキュリティ プロファイルの設定

                  はじめる前に

                  次を確認しておく必要があります。

                  • システム要件 に記載のサポートされている Adobe Flash Player
                  • Cisco Prime NSC の IP アドレス。
                  • admin ユーザのパスワード

                    ステップ 1   ブラウザで、server-ip-addressCisco Prime NSC IP アドレスである、https://server-ip-address を入力します。
                    ステップ 2   [Website Security Certificate] ウィンドウで、[Continue to this website] を選択します。
                    ステップ 3   Cisco Prime NSCログイン ウィンドウで、ユーザ名 [admin] と管理ユーザ パスワードを入力します。
                    ステップ 4   Cisco Prime NSCメイン ウィンドウで、[Administration] > [Service Registry] > [Clients] を選択して、Cisco Prime NSCへの Cisco VSG と VSM の登録を確認します。

                    [Clients] ペインに Cisco VSG および VSM の情報がリストされます。


                    次の作業

                    Cisco Prime NSC へのテナントの設定 に進みます。

                    Cisco Prime NSC へのテナントの設定

                    テナントは、データとプロセスが仮想データセンターの VM でホストされているエンティティ(企業、政府機関、公共機関など)です。 各テナントにファイアウォールのセキュリティを提供するには、まずそれらのテナントを Cisco Prime NSC 内で設定する必要があります。


                      ステップ 1   Cisco Prime NSC で、[Tenant Management] > [root] を選択します。
                      ステップ 2   [Tenant Management Root] ペインの右上隅にある [Create Tenant] をクリックします。 テナントの名前には、ハイフン、アンダースコア、ドット、コロンを含めた 1 ~ 32 文字の英数字を含むことができます。 作成後は、この名前を変更できません。 新規作成されたテナントはルートの下のナビゲーション ペインに表示されます。

                      次の作業

                      Cisco Prime NSC でのセキュリティ プロファイルの設定 に進みます。

                      Cisco Prime NSC でのセキュリティ プロファイルの設定

                      Cisco Prime NSC でセキュリティ プロファイルを設定できます。


                        ステップ 1   [tenant] が必要なテナントである[Policy Management] > [Service Profiles] > [root] > [tenant] > [Compute Firewall] > [Compute Security Profiles] を選択します。
                        ステップ 2   [General] タブで、[Add Compute Security Profile] をクリックします。
                        ステップ 3   [Add Compute Security Profile] ダイアログ ボックスで、セキュリティ プロファイルの名前と説明を入力し、[OK] をクリックします。

                        次の作業

                        次に、タスク 9:Cisco Prime NSC でのコンピュート ファイアウォールの追加 に示すようにコンピュート ファイアウォールを追加する必要があります。 コンピュート ファイアウォールを追加すると、イメージから VSG サービス デバイスをインスタンス化または VSG または VSG プールを割り当てます。 イメージから VSG サービス デバイスをインスタンス化するには、タスク 8:Cisco Prime NSCでのサービス イメージのインポート で説明するように最初に VSG サービスをインポートする必要があります。

                        タスク 8:Cisco Prime NSCでのサービス イメージのインポート

                        この手順は、タスク 9:Cisco Prime NSC でのコンピュート ファイアウォールの追加 のイメージから VSG サービス デバイスをインスタンス化するために必要です。 この手順は、タスク 9:Cisco Prime NSC でのコンピュート ファイアウォールの追加 で VSG または VSG のプール オプションを割り当てるために必要ではありません。


                          ステップ 1   Cisco Prime NSC にログインします。
                          ステップ 2   [Resource Management] > [Resources] > [Service Devices] > [Images] を選択します。
                          ステップ 3   [Import Service Image] をクリックします。
                          ステップ 4   [Import Service Image] ダイアログボックスで、次を実行します。
                          1. インポートするイメージの名前と説明を入力します。
                          2. [Type] フィールドで、[VSG] を選択します。
                          3. [Version] フィールドに、イメージに割り当てるバージョンを入力します。
                          4. [Protocol] フィールドで、プロトコルを選択します。
                          5. [Hostname / IP Address] フィールドで、イメージをダウンロードしたリモート ホストのホスト名または IP アドレスを入力します。
                          6. [User Name] フィールドに、リモート ホストのアカウントのユーザ名を入力します。
                          7. [Password] フィールドに、リモート ホストのアカウント パスワードを入力します。
                          8. [Remote File] フィールドに、/mnt/nexus-1000v.VSG2.1.1.ova などのスラッシュ以降、サービス イメージの絶対パスとファイル名を入力します。

                          タスク 9:Cisco Prime NSC でのコンピュート ファイアウォールの追加

                          コンピュート ファイアウォールを追加して Cisco VSG に割り当て、Cisco VSGを稼働させることができます。 このウィザードでは、Cisco VSG の割り当て、プロファイルの割り当て、インターフェイスの設定を含む設定プロセスを体験できます。

                          新しいコンピュート ファイアウォールを追加する場合、ファイアウォールがさまざまな組織パスを持っている限り、ファイアウォール データの IP アドレスは Cisco Prime NSC内の既存のコンピュート·ファイアウォールのデータ IP アドレスと同じにすることができます。 つまり、ファイアウォールが、親と子の組織を含む同じ組織内に存在していない限り、上記のことが言えます。

                          はじめる前に

                          Cisco VSG のサービスを開始するには、次のいずれか 1 つが設定されている必要があります。


                            ステップ 1   Cisco Prime NSC にログインします。
                            ステップ 2   [Resource Management] > [Managed Resources] > [root] > [tenant] > [Compute Firewalls] を選択します。
                            ステップ 3   [General] タブで、[Add Compute Firewall] をクリックします。 [Add Compute Firewall Wizard] が表示されます。
                            ステップ 4   [Properties] ウィンドウで、[Properties] ウィンドウ の情報を入力し、[Next] をクリックします。
                            ステップ 5   [Service Device] ウィンドウでは、必須 VSG サービス デバイス([Service Device] ウィンドウ を参照)を選択して、[Next] をクリックします。
                            ステップ 6   イメージから VSG サービス デバイスをインスタンス化する場合(オプションのみインスタンス化)、[Placement] 画面で次のいずれかまたは両方を実行し、[Next] をクリックします。
                            • VSG インスタンスに使用するホストまたはリソース プールを選択します。
                            • ハイ アベイラビリティをイネーブルにした場合は、[Same as Primary] チェックボックスをチェックするか、セカンダリ VSG インスタンスに使用するホストまたはリソース プールを選択します。
                            ステップ 7   [Interfaces] ウィンドウで、次のようにインターフェイスを設定し、[Next] をクリックします。
                            • VSG を割り当てた場合、データ IP アドレスとサブネット マスクを入力します。
                            • VSG プールを割り当てた場合、データ IP アドレスとサブネット マスクを入力します。
                            • ハイ アベイラビリティのない VSG サービス デバイスをインスタンス化した場合、管理およびデータ インターフェイスを追加します。
                            • ハイ アベイラビリティの VSG サービス デバイスをインスタンス化した場合、管理、データおよび HA インターフェイスを追加します。
                            インターフェイスを設定する際のフィールド レベルのヘルプについては、オンライン ヘルプを参照してください。
                            ステップ 8   [Summary] ウィンドウで情報が正しいことを確認し、[Finish] をクリックします。

                            [Properties] ウィンドウ

                            フィールド 説明

                            Name

                            コンピュート ファイアウォールの名前。

                            この名前には、1~32 の ID の文字を含めることができます。 ハイフン、アンダースコア、ドット、コロンを含む英数文字を使用できます。 作成後は、この名前を変更できません。

                            Description

                            コンピュート ファイアウォールの説明。

                            Host Name

                            ファイアウォールの管理ホスト名。

                            Device Configuration Profile

                            次のいずれかを実行します。
                            • プロファイル名をクリックし、現在割り当てられているデバイス設定プロファイルを表示または任意で変更します。
                            • [Select] をクリックし、異なるデバイス設定プロファイルを選択します。

                            [Service Device] ウィンドウ

                            フィールド 説明

                            Assign VSG

                            コンピュート ファイアウォールに VSG を割り当てます。

                            [VSG Device] ドロップダウン リストで、必要なサービス デバイスを選択します。

                            Assign VSG Pool

                            コンピュート ファイアウォールに VSG プールを割り当てます。

                            [VSG Pool] フィールドに、必要なプールをドロップダウン リストから選択するか、または [Add Pool] をクリックして新しいプールを追加します。

                            Instantiate

                            使用可能なイメージから VSG サービス デバイスをインスタンス化します。
                            1. 使用可能なイメージのリストで、新しい VSG サービス デバイスのインスタンス化に使用するイメージを選択します。
                            2. [High Availability] フィールドで、[Enable HA] チェックボックスをチェックし、ハイ アベイラビリティを有効にします。
                            3. [VM Access password] フィールドに、admin ユーザ アカウントのパスワードを入力します。

                            タスク 10:Cisco Prime NSC での Permit-All ルールの設定

                            Cisco Prime NSC で Permit-All ルールを設定できます。


                              ステップ 1   Cisco Prime NSCにログインします。
                              ステップ 2   Cisco Prime NSC ウィンドウで、[Policy Management] > [Service Profiles] を選択します。
                              ステップ 3   [Service Profile] ウィンドウで、[root] > [tenant] > [Compute Security-Profiles] > [SP1] を選択します。
                              ステップ 4   右側のペインで、[Add ACL Policy Set] をクリックします。
                              ステップ 5   [Add ACL Policy Set] ダイアログ ボックスで、ポリシー セットの名前と説明を入力し、[Add ACL Policy] をクリックします。
                              ステップ 6   [Add ACL Policy] ダイアログボックスに、ポリシーの名前と説明を入力し、[Name] カラムの上部の [Add Rule] をクリックします。
                              ステップ 7   [Add ACL Policy Rule] ダイアログボックスで次を実行します:
                              1. [Name] フィールドに、ルール名を入力します。
                              2. [Description] フィールドに、ルールの説明を入力します。
                              3. [Action To Take] 領域で、[permit] を選択します。
                              4. [Condition Match Criteria] フィールドで、一致条件を選択します。
                              5. [Source Conditions] フィールドに、ルールの送信元の条件を入力します。
                              6. [Destination Conditions] フィールドに、ルールの宛先の条件を入力します。
                              7. [Service] フィールドに、サービス式を入力します。
                              8. [Protocol] タブで、ルールにプロトコルを選択します。
                              9. [Ether Type] タブで、ルールに ether type を指定します。
                              10. [OK] をクリックします。
                              ステップ 8   [Add ACL Server] ダイアログボックスで、[OK] をクリックします。

                              [permit] フィールドに、新しく作成されたポリシーが表示されます。

                              ステップ 9   [Add Policy Set] ダイアログ ボックスで、[OK] をクリックします。
                              ステップ 10   [Security Profile] ウィンドウで、[Save] をクリックします。

                              タスク 11:Cisco VSG での Permit-All ルールの確認

                              Cisco VSG CLI および show コマンドを使用して、Cisco VSG にルールが存在していることを確認できます。

                              vsg# show running-config | begin security
                              security-profile SP_web@root/Tenant-A
                                policy PS_web@root/Tenant-A
                                custom-attribute vnsporg "root/tenant-a"
                              security-profile default@root
                                policy default@root
                                custom-attribute vnsporg "root"
                              rule Pol_web/permit-all@root/Tenant-A cond-match-criteria: match-all
                                action permit
                                action log
                              rule default/default-rule@root cond-match-criteria: match-all
                                action drop
                              Policy PS_web@root/Tenant-A
                                rule Pol_web/permit-all@root/Tenant-A order 101
                              Policy default@root
                                rule default/default-rule@root order 2
                              

                              タスク 12:ロギングのイネーブル化

                              モニタ セッションにロギングするポリシー エンジンの有効化

                              syslog ポリシーを設定すると、ログを記録する syslog メッセージのレベルと、メッセージをログ記録する場所を指定できます。


                                ステップ 1   Cisco Prime NSCにログインします。
                                ステップ 2   Cisco Prime NSC ウィンドウで、[Policy Management] > [Device Configurations] > [root] > [Policies] > [Syslog] を選択します。
                                ステップ 3   Syslog テーブルで、[default] を選択し、[Edit] をクリックします。
                                ステップ 4   [Edit Syslog] ダイアログボックスで、[Servers] タブをクリックします。
                                ステップ 5   [Syslog Policy] テーブルで、プライマリ サーバのタイプを選択し、[Edit] をクリックします。
                                ステップ 6   [Edit Syslog Client] ダイアログボックスに次の情報を入力し、開いているダイアログボックスで [OK] をクリックしてください:
                                • [Hostname/IP Address]:Syslog サーバの IP アドレスまたはホスト名を入力します。
                                • [Severity]:[Information(6)] を選択します。
                                • [Admin State]:[Enabled] を選択します。

                                次の作業

                                グローバル ポリシーエンジン ロギングのイネーブル化 に進みます。

                                グローバル ポリシーエンジン ロギングのイネーブル化

                                ロギングを使用すると、モニタしている VM を通過するトラフィックを確認できます。 このロギングは、適切な設定を行っていることを確認したり、トラブルシューティングを行ったりするのに役立ちます。


                                  ステップ 1   Cisco Prime NSCにログインします。
                                  ステップ 2   Cisco Prime NSC ウィンドウで、[Policy Management] > [Device Configurations] > [root] > [Device Profiles] > [default] を選択します。 [default - Device Profile] ウィンドウが開きます。
                                  ステップ 3   [Device Profiles] ペインで、[Policies] タブをクリックします。
                                  ステップ 4   [Policies] タブの右下の [Policy Engine Logging] 領域で、[Enabled] をクリックし、[Save] をクリックします。

                                  タスク 13:ファイアウォールによる保護のためのトラフィック VM ポート プロファイルのイネーブル化と VSM、VEM、VSG 間の通信の確認

                                  はじめる前に

                                  次を確認しておく必要があります。

                                  • アクセス ポート プロファイルを使用して実行されるサーバ仮想マシン(例、Web サーバ)。
                                  • Cisco VSG データの IP アドレス(10.10.10.200)および VLAN ID(100)。
                                  • セキュリティ プロファイル名(例、sp-web)。
                                  • 組織(Org)名(例、root/Tenant-A)。
                                  • ファイアウォールによる保護をイネーブルにするために編集するポート プロファイル。
                                  • vPath 設定のあるポート プロファイル内で、アクティブなポートが 1 つ設定されていること。

                                  ファイアウォールによる保護のためのトラフィック VM ポート プロファイルのイネーブル化

                                  トラフィックの保護用にトラフィック VM ポート プロファイルをイネーブルにできます。

                                  ファイアウォールによる保護を行う前に、トラフィック VM ポート プロファイルを確認します。
                                  vsm(config)# port-profile type vethernet pp-webserver
                                     vmware port-group  
                                     switchport mode access
                                     switchport access vlan 756
                                     no shutdown
                                     state enabled

                                  ファイアウォールによる保護をイネーブルにします。

                                  VSM(config)# port-profile pp-webserver
                                  VSM(config-port-prof)# vservice node vsg1 profile SP_web
                                  VSM(config-port-prof)# org root/Tenant-A

                                  ファイアウォールによる保護を行った後に、トラフィック VM ポート プロファイルを確認します。

                                  VSM(config)# port-profile type vethernet pp-webserver
                                    vmware port-group
                                    switchport mode access
                                    switchport access vlan 756
                                    org root/Tenant-A
                                    vservice node vsg1 profile SP_web
                                    no shutdown
                                    state enabled

                                  次の作業

                                  Cisco VSG への到達可否に関する VSM または VEM の検証に進みます。

                                  Cisco VSG への到達可否に関する VSM または VEM の検証

                                  この例では、VEM と VSG 間の通信を確認する方法を示します。

                                  vsm# show vservice brief
                                  --------------------------------------------------------------------------------
                                                                     License Information
                                  --------------------------------------------------------------------------------
                                  Type      In-Use-Lic-Count  UnLicensed-Mod
                                  vsg                      4
                                  asa                      0
                                  
                                  --------------------------------------------------------------------------------
                                                                     Node Information
                                  --------------------------------------------------------------------------------
                                   ID Name                     Type   IP-Address      Mode   State   Module
                                    1 vsg1                     vsg    40.40.40.40     l3     Alive   4,5,
                                  
                                  --------------------------------------------------------------------------------
                                                                     Path Information
                                  --------------------------------------------------------------------------------
                                  --------------------------------------------------------------------------------
                                                                     Port Information
                                  --------------------------------------------------------------------------------
                                  
                                  PortProfile:pp-webserver
                                  Org:root/Tenant-A
                                  Node:vsg1(40.40.40.40)         Profile(Id):SP_web(29) Veth Mod VM-Name    vNIC IP-Address
                                                                    23                     4       vm1        2  14.14.14.21

                                  ディスプレイに MAC-ADDR リストおよび Up 状態が示されている場合は、VEM が Cisco VSG と通信できる状態であることを意味します。


                                  (注)  


                                  この状態を示すには、vPath 設定を持つポート プロファイル内の 1 つのアクティブ ポートが動作している必要があります。


                                  ファイアウォール保護のための VM 仮想イーサネット ポートの確認

                                  この例では、ファイアウォール保護を行うために VM 仮想イーサネット ポートを検証する方法を示します。

                                  VSM(config)# show vservice port brief vethernet 23
                                  --------------------------------------------------------------------------------
                                                                     Port Information
                                  --------------------------------------------------------------------------------
                                  PortProfile:pp-webserver
                                  Org:root/Tenant-A
                                  Node:vsg1(40.40.40.40)                        Profile(Id):SP_web(29)
                                  Veth Mod VM-Name                              vNIC IP-Address
                                   23  4     vm1                                 2   14.14.14.21

                                  (注)  


                                  VNSP ID 値が 1 よりも大きい数値であることを確認してください。


                                  タスク 14:Cisco VSG でのトラフィック フローの送信と統計情報とログの確認

                                  この項では、次のトピックについて取り上げます。

                                  トラフィック フローの送信

                                  Cisco VSG が正常に動作していることを確認するため、Cisco VSG にトラフィック フローを送信できます。


                                    ステップ 1   VM(Server-VM)がファイアウォール保護用に設定されたポート プロファイル(pp-webserver)を使用していることを確認します。
                                    図 1. [Virtual Machine Properties] ウィンドウ



                                    ステップ 2   [Virtual Machine Properties] ウィンドウで、次を実行します。
                                    1. 任意のクライアント仮想マシン(クライアント VM)にログインします。
                                    2. サーバ VM にトラフィック(例、HTTP)を送信します。
                                    [root@]# wget http://172.31.2.92/
                                    --2010-11-28 13:38:40--  http://172.31.2.92/
                                    Connecting to 172.31.2.92:80... connected.
                                    HTTP request sent, awaiting response... 200 OK
                                    Length: 258 [text/html]
                                    Saving to: `index.html'
                                    
                                    100%[=======================================================================>] 258         --.-K/s   in 0s      
                                    
                                    2010-11-28 13:38:40 (16.4 MB/s) - `index.html' saved [258/258]
                                    
                                    [root]#
                                    
                                    
                                    ステップ 3   ポリシー エンジン統計を確認し、Cisco VSG にログオンします。

                                    次の作業

                                    Cisco VSG のポリシーエンジン統計およびログの確認 に進みます。

                                    Cisco VSG のポリシーエンジン統計およびログの確認

                                    Cisco VSG にログインし、ポリシーエンジン統計およびログを検証します。

                                    この例では、ポリシーエンジン統計およびログを確認する方法を示します。

                                    vsg# show policy-engine stats
                                    Policy Match Stats: 
                                    default@root                 :         0
                                      default/default-rule@root  :         0 (Drop)
                                      NOT_APPLICABLE             :         0 (Drop)
                                    
                                    PS_web@root/Tenant-A :         1
                                      pol_web/permit-all@root/Tenant-A :         1 (Log, Permit)
                                      NOT_APPLICABLE                :         0 (Drop)
                                    
                                    vsg# terminal monitor
                                    vsg# 2010 Nov 28 05:41:27 firewall %POLICY_ENGINE-6-POLICY_LOOKUP_EVENT: policy=PS_web@root/Tenant-A rule=pol_web/permit-all@root/Tenant-A action=Permit direction=egress src.net.ip-address=172.31.2.91 src.net.port=48278 dst.net.ip-address=172.31.2.92 dst.net.port=80 net.protocol=6 net.ethertype=800