Cisco VSG for Microsoft Hyper-V リリース 5.2(1)VSG2(1.1b) および Cisco Prime NSC リリース 3.2 インストールおよびアップグレード ガイド
Cisco Prime NSC および Cisco VSG のインストール - クイック スタート
Cisco Prime NSC および Cisco VSG のインストール - クイック スタート

目次

Cisco Prime NSC および Cisco VSG のインストール - クイック スタート

この章は、次の内容で構成されています。

Cisco Prime NSC および Cisco VSG のインストールに関する情報

この章では、Cisco Prime Network Services Controller(Cisco Prime NSC)と Cisco Virtual Security Gateway(Cisco VSG)の基本動作設定をインストールし、設定する方法について説明します。 この章の例では、ソフトウェアの ISO ファイルを使用してインストールします。 手順では、Cisco Nexus 1000V シリーズ スイッチが動作可能で、エンドポイントの VM がすでにインストールされていることを想定しています。

Cisco VSG および Cisco Prime NSC インストール計画チェックリスト

Cisco Prime NSC および Cisco VSG を正常に動作させるには、お使いのネットワークおよび装置の配置とアーキテクチャを計画する必要があります。

ハードウェアおよびソフトウェアの基本要件

次の表に、Cisco VSGCisco Prime NSC インストールの基本的なハードウェアおよびソフトウェア要件を示します。

要件 説明

仮想 CPU

  • Cisco VSG:1(1.5 GHz)

  • Cisco Prime NSC:4(それぞれ 1.8 GHz)

メモリ

  • Cisco VSG:2GB RAM

  • Cisco Prime NSC:4GB RAM

ディスク容量

Cisco VSG 3GB

Cisco Prime NSC:インタークラウド機能なし、共有 NFS または SAN で 40 GB。2 個のディスク上に次のように構成します。

  • ディスク 1:20 GB
  • ディスク 2:20 GB

プロセッサ

64 ビット プロセッサ搭載の x86 Intel サーバまたは AMD サーバ。

ネットワーク インターフェース

  • Cisco VSG:3

  • Cisco Prime NSC:1

Microsoft SCVMM

SCVMM 2012 SP1 または SCVMM 2012 R2

ブラウザ

次のブラウザのいずれかになります。

  • Internet Explorer 9.0 以降
  • Mozilla Firefox 23.0 以降
  • Google Chrome 29.0 以降
(注)     

Firefox または IE を使用しているが Flash がない場合、またはお使いの Flash のバージョンが 11.2 よりも古い場合は、Flash をインストールするよう求めるメッセージが Adobe の Web サイトへのリンクと共に表示されます。

(注)     

Google Chrome を Cisco Prime NSC で使用する前に、クロムにデフォルトでインストールされている Adobe Flash Player をディセーブルにします。 詳細については、Cisco Prime NSC で使用するための Chrome の設定を参照してください。

ポート

Web ブラウザおよび次のポートを使用した Cisco Prime NSC アプリケーションへのアクセス(導入においてファイアウォールを使用する場合は、次のポートも許可してください):

  • 443(HTTPS)
  • 80(HTTP/TCP)
  • 843(Adobe Flash)

Flash Player

Adobe Flash Player プラグイン 11.2 以降


(注)  


Cisco VSG ソフトウェアは http:/​/​www.cisco.com/​en/​US/​products/​ps13095/​index.html からダウンロードでき、Cisco Prime NSC ソフトウェアは http:/​/​www.cisco.com/​en/​US/​products/​ps13213/​index.html からダウンロードできます。


ライセンス要件

Cisco VSG のライセンスは、Nexus1000V のマルチ ハイパーバイザ ライセンスと統合されます。 Cisco VSG for Microsoft Hyper-V の Nexus1000V マルチ ハイパーバイザ ライセンスをインストールする必要があります。 Cisco N1kv VSM は、必須モードと拡張モードの 2 種類で利用できます。 VSG の機能は、拡張モードでだけ利用できます。 Nexus1000V マルチ ハイパーバイザ ライセンスをインストールし、VSM のモードを拡張モードに変更する必要があります。 Nexus1000V マルチ ハイパーバイザ ライセンスをインストールすると、Cisco VSG のライセンスは自動的に含まれます。

(注)  


必須モードの VSM を使用して VSG サービスにアクセスしようとすると、VSG には Nexus1000V マルチハイパーバイザ ライセンスが必要であることを示すエラー メッセージが VSM コンソールに生成されます。
リリース 5.2(1)SM1(5.2) の Nexus1000V マルチ ハイパーバイザ ライセンスは、次の 3 種類が利用できます。
  • デフォルト:Nexus 1000v スイッチを、必須モードまたは拡張モードで構成できます。
    • 必須モード:サポートされていません。
    • 拡張モード:ソフトウェア リリース 5.2(1)SM(5.2) にアップグレード後 - Nexus1000V マルチハイパーバイザ ライセンスは 1,024 個のソケットで利用でき、60 日で期限が切れます。

    (注)  


    ソフトウェア リリース 5.2(1)SM(5.2) にアップグレードする前に、評価ライセンス、または永久(MSFT PKG)ライセンスのいずれかでインストールする必要があります。
  • 評価:Nexus 1000V スイッチは、拡張モードにする必要があります。 ソフトウェア リリース 5.2(1)SM(5.2) にアップグレード後、Nexus1000V マルチハイパーバイザ ライセンスは 1,024 個のソケットで利用でき、60 日で期限が切れます。
  • 永久:Nexus 1000V スイッチは、拡張モードにする必要があります。 ソフトウェア リリース 5.2(1)SM(5.2) にアップグレード後、Nexus1000V マルチハイパーバイザ ライセンスは 1,024 個のソケットで利用でき、60 日で期限が切れます。

(注)  


評価または永久 Nexus1000V マルチハイパーバイザのライセンスをリクエストする必要があります。

Cisco Nexus 1000V for Microsoft Hyper-V のライセンスの詳細については、『Cisco Nexus 1000V for Microsoft Hyper-V License Configuration Guide(Cisco Nexus 1000V for Microsoft Hyper-V ライセンス コンフィギュレーション ガイド)』を参照してください。

VSG の VLAN 設定の要件

VSM 内の 2 個の異なる VLAN が設定された 2 個のポート プロファイルが必要です。
  • サービス インターフェイス VLAN
  • HA インターフェイス VLAN

必要な Cisco Prime NSC と Cisco VSG の情報

次の情報は、Cisco Prime NSC および Cisco VSG のインストール中に使用できます。

種類 自分の情報

Cisco VSG 名:インベントリ フォルダ内で一意の、80 文字までの名前

 

ホスト名:Cisco VSG がインベントリ フォルダ内でインストールされる場所

 

ISO:管理を行うために C:\ProgramData\Virtual Machine Manager Library Files\ISO に保存している場合は、SCVMM ライブラリ内で管理されます。 ISO ファイルを指定された場所に保存した後で、SCVMM ライブラリを更新します。

 

Cisco VSG 管理 IP アドレス

 

VSM 管理 IP アドレス

 

Cisco Prime NSC instance IP address

 

Cisco VSG をインストールするためのモード

  • スタンドアロン

  • HA プライマリ

  • HA セカンダリ

Cisco VSG VLAN 番号

  • サービス(1)

  • 管理(2)

  • High availability(HA; ハイ アベイラビリティ)(3)

 

Cisco VSG ポート プロファイル名

  • データ(1)

  • 管理(2)

  • High availability(HA; ハイ アベイラビリティ)(3)

(注)     

番号は、Cisco VSG の VLAN 番号と関連付ける必要のある Cisco VSG ポート プロファイルを表します。

 

HA ペア ID(HA ドメイン ID)

 

Cisco VSG 管理者パスワード

 

Cisco Prime NSC管理者パスワード

 

Cisco VSM 管理者パスワード

 

共有秘密パスワード(Cisco Prime NSC、Cisco VSG ポリシー エージェント、Cisco VSM ポリシー エージェント)

 
NSC DNS IP アドレス
NSC NTP IP アドレス

タスクおよび前提条件のチェックリスト

タスク

前提条件
タスク 1:ISO イメージからの Cisco Prime NSC のインストール
次を確認しておく必要があります。
  • Cisco Prime NSC を導入する Hyper-V ホストが SCVMM で利用可能であることを確認していること。

  • ファイル システムの SCVMM ライブラリの場所に Cisco Prime NSC 3.2 ISO イメージをコピーしていること。 このイメージを SCVMM で利用できるようにするには、[Library] > [Library Servers] を選択し、ライブラリの場所を右クリックしてから更新します。

  • NTP サーバ情報。
タスク 2:VSM での Cisco Prime NSC ポリシー エージェントの設定
次を確認しておく必要があります。
  • VSM の Cisco Prime NSC ポリシー エージェント イメージ(例、vsmhv-pa.3.2.1c.bin)

    (注)     

    イメージ名の中に、太字の vsmhv-pa というストリングが表示される必要があります。

  • Cisco Prime NSC の IP アドレス

  • Cisco Prime NSC インストール中に定義した共有秘密パスワード

  • VSM と Cisco Prime NSC 間の IP 接続が機能していること

    (注)     

    VSM をアップグレードする場合は、最新の Cisco VSM ポリシー エージェント イメージもコピーする必要があります。 このイメージは、フラッシュ ドライブから起動する Cisco Prime NSC イメージ バンドルで利用でき、Cisco Prime NSC への登録を実行します。

タスク 3:VSM での Cisco VSG ポート プロファイルの作成
次を確認しておく必要があります。
  • 論理スイッチ名(ネットワーク アップリンク ポート プロファイル名)。

  • Cisco VSG データ インターフェイスの VLAN ID(例、100)。

  • Cisco VSG-ha インターフェイスの VLAN ID(例、200)。

  • 管理 VLAN (管理)。

    (注)     

    これらの VLAN はシステム VLAN である必要はありません。

タスク 4:VSM でのホスト上の仮想ネットワーク アダプタの設定
次を確認しておく必要があります。
  • VSM に設定されている Cisco VSG のポート プロファイル。

タスク 5:ISO イメージからの Cisco VSG のインストール
次を確認しておく必要があります。
  • Microsoft SCVMM SP1 または SCVMM R2 がインストールされていること。

  • Cisco VSG ISO イメージをダウンロードし、サーバ(C:\ProgramData\Virtual Machine Manager Library Files\ISO)にアップロードしていること。 [Library] タブでライブラリ サーバを更新していること。

  • Cisco VSG-Data ポート プロファイル:VSG-Data。

  • Cisco VSG-ha ポート プロファイル:VSG-ha。

  • HA ID。

  • Cisco VSG の IP、サブネット マスクおよびゲートウェイ情報

  • 管理者パスワード

  • 最小で 2 GB の RAM および 2 GB のハード ディスク領域。4 GB の RAM と 4 GB のハード ディスクを推奨。

  • Cisco Prime NSCIP アドレス。

  • 共有秘密パスワード

  • Cisco VSG 間の IP 接続、および Cisco Prime NSC が機能していること。

  • Cisco VSG NSC-PA イメージ名(vsghv-pa.2.1.1e.bin)が利用できること。

タスク 6:VSG での Cisco Prime NSC Policy Agent の設定
次を確認しておく必要があります。
  • Cisco VSG の Cisco Prime NSC ポリシー エージェント イメージ(例、vsghv-pa.2.1.1e.bin)。

    (注)     

    イメージ名の中に、太字の vsghv-pa というストリングが表示される必要があります。

  • Cisco Prime NSC の IP アドレス。

  • Cisco Prime NSC インストール中に定義した共有秘密パスワード。

  • VSG と Cisco Prime NSC 間の IP 接続。

    (注)     

    VSG をアップグレードする場合は、最新の Cisco VSG ポリシー エージェント イメージもコピーする必要があります。 このイメージは、フラッシュ ドライブから起動する Cisco Prime NSC イメージ バンドルで利用でき、Cisco Prime NSC への登録を実行します。

タスク 7:Cisco VSG、Cisco VSM および Cisco Prime NSC での NSC ポリシー エージェント ステータスの確認
タスク 8:Cisco Prime NSC でのテナント、セキュリティ プロファイル、コンピュート ファイアウォールの設定、および Cisco VSG の コンピュート ファイアウォールへの割り当て
次を確認しておく必要があります。
  • Adobe Flash Player(バージョン 11.2 以降)がインストールされている。

  • Cisco Prime NSC の IP アドレス。

  • 管理ユーザのパスワード。

タスク 13:Microsoft Service Provider Foundation のインストール
タスク 9:Cisco Prime NSC での Cisco VSG のコンピュート ファイアウォールへの割り当て
タスク 9:Prime NSC での Permit-All ルールの設定
タスク 10:Cisco VSG での Permit-All ルールの確認
タスク 11:ロギングのイネーブル化
タスク 12:ファイアウォールによる保護のためのトラフィック VM ポート プロファイルのイネーブル化と VSM、VEM、VSG 間の通信の確認
次を確認しておく必要があります。
  • アクセス ポート プロファイルを使用して実行されるサーバ VM(例、Web サーバ)。

  • Cisco VSG のデータ IP アドレス(例、10.10.10.200)および VLAN ID(例、100)

  • セキュリティ プロファイル名(例、sp-web)。

  • 組織(Org)名(例、root/Tenant-A)。

  • ファイアウォールによる保護をイネーブルにするために編集するポート プロファイル。

  • Cisco vPath 設定のあるポート プロファイル内で、アクティブなポートが 1 つ設定されていること。

タスク 14:トラフィック フローの送信と Cisco VSG での統計およびログの確認

ホスト要件

  • Microsoft SCVMM SP1 または SCVMM R2

  • Microsoft Windows Server 2012 または Microsoft Server 2012 R2

  • 6 GB RAM

Cisco Prime NSC および Cisco VSG ソフトウェアの入手

Cisco VSG ソフトウェアは、次の URL からダウンロードできます。

http:/​/​software.cisco.com/​download/​navigator.html

Cisco Prime NSC ソフトウェアは、次の URL からダウンロードできます。

http:/​/​software.cisco.com/​download/​navigator.html

タスク 1:ISO イメージからの Cisco Prime NSC のインストール

はじめる前に

次の条件が満たされていることを確認します。

  • Cisco Prime NSC を導入する Hyper-V ホストが SCVMM で利用可能であることを確認していること。

  • ファイル システムの SCVMM ライブラリの場所に Cisco Prime NSC 3.2 ISO イメージをコピーしていること。 このイメージを SCVMM で利用できるようにするには、[Library] > [Library Servers] を選択し、ライブラリの場所を右クリックしてから更新します。

  • NTP サーバ情報。
手順の概要

    1.    SCVMM を起動します。

    2.    [VMs and Services] ペインで、Cisco Prime NSC VM を導入する Hyper-V ホストを選択します。

    3.    Hyper-V ホストを右クリックし、[Create Virtual Machine] を選択します。

    4.    [Create Virtual Machine] ウィザードの [Select Source] 画面で、[Create the new virtual machine with a blank virtual hard disk] オプション ボタンを選択し、[Next] をクリックします。

    5.    [Specify Virtual Machine Identity] 画面で、仮想マシンの名前と説明を指定し、[Next] をクリックします。

    6.    [Configure Hardware] 画面で、次の手順を実行します。

    7.    [Select Destination] 画面で、次の手順を実行します。

    8.    [Select Host] 画面で宛先を選択し、[Next] をクリックします。

    9.    [Configure Settings] 画面で [Browse] をクリックし、仮想マシン ファイルのストレージの場所まで移動して [Next] をクリックします。

    10.    [Add properties] 画面で、オペレーティング システムとして [Red Hat Enterprise Linux 5 (64 bit)] を選択し、[Next] をクリックします。

    11.    [Summary] 画面で、次の手順を実行します。

    12.    VM が正常に作成されたら、新しい仮想マシンを右クリックし、[Connect or View] > [Connect Via Console] を選択します。

    13.    コンソールを起動し、Cisco Prime NSC をインストールします。

    14.    Cisco Prime NSC が正常に導入されたら、[Close] をクリックし、Cisco Prime NSC VM の電源をオンにします。


手順の詳細
    ステップ 1   SCVMM を起動します。
    図 1. Create Virtual Machine ウィザード - Select Source

    ステップ 2   [VMs and Services] ペインで、Cisco Prime NSC VM を導入する Hyper-V ホストを選択します。
    ステップ 3   Hyper-V ホストを右クリックし、[Create Virtual Machine] を選択します。
    ステップ 4   [Create Virtual Machine] ウィザードの [Select Source] 画面で、[Create the new virtual machine with a blank virtual hard disk] オプション ボタンを選択し、[Next] をクリックします。
    ステップ 5   [Specify Virtual Machine Identity] 画面で、仮想マシンの名前と説明を指定し、[Next] をクリックします。
    ステップ 6   [Configure Hardware] 画面で、次の手順を実行します。
    1. [General] から次を実行します。
      • [Processor] を選択し、プロセッサ数を設定します。

      • [Memory] を選択し、必要なメモリの値を選択します。 最低 4 GB のメモリが必要です。

    2. [Bus Configuration] > [IDE Devices] から、次を実行します。
      • 指定した仮想マシン名のハード ディスクを選択し、そのハード ディスクの必要なサイズを入力します。 少なくとも 20 GB が必要です。

      • [New] > [Disk] をクリックして新しいハード ディスクを追加し、[File Name] フィールドにハード ディスク名を入力し、ハード ディスク サイズを 20 GB に設定して、[OK] をクリックします。
      • [Virtual DVD Drive] を選択し、[Existing ISO image file] オプション ボタンを選択して、[Select ISO] ダイアログ ボックスのライブラリから Cisco Prime NSC 3.2 ISO イメージ ファイルを参照して選択します。

    3. [Network Adapters] > [Network Adapter 1] を選択し、[Connect to a VM Network] オプション ボタンを選択し、VM ネットワークを参照して選択します。
    4. [Next]をクリックします。
    ステップ 7   [Select Destination] 画面で、次の手順を実行します。
    1. [Place the virtual machine on a host] オプション ボタンを選択します。
    2. [Destination] ドロップダウン リストから [All hosts] を選択します。
    3. [Next]をクリックします。
    ステップ 8   [Select Host] 画面で宛先を選択し、[Next] をクリックします。
    ステップ 9   [Configure Settings] 画面で [Browse] をクリックし、仮想マシン ファイルのストレージの場所まで移動して [Next] をクリックします。
    ステップ 10   [Add properties] 画面で、オペレーティング システムとして [Red Hat Enterprise Linux 5 (64 bit)] を選択し、[Next] をクリックします。
    ステップ 11   [Summary] 画面で、次の手順を実行します。
    1. 設定を確認できます。
    2. [Start the virtual machine after deploying it] チェック ボックスをオンにします。
    3. [Create]をクリックします。
      図 2. Create Virtual Machine ウィザード - Summary

      VM 作成ジョブが起動します。 このジョブのステータスは [Recent Jobs] ウィンドウで確認できます。 ジョブがエラーなしで確実に完了するようにします。

    ステップ 12   VM が正常に作成されたら、新しい仮想マシンを右クリックし、[Connect or View] > [Connect Via Console] を選択します。
    ステップ 13   コンソールを起動し、Cisco Prime NSC をインストールします。
    (注)     

    最後の Cisco Prime NSC インストールの手順の前で、リブートする前に、SCVMM を再度起動して仮想マシンを右クリックし、[Properties] > [Hardware] [Configuration] > [Bus Configuration] > [Virtual DVD Drive] > [no media] を選択すると、Cisco Prime NSC が起動時に ISO イメージを使用しなくなります。

    ステップ 14   Cisco Prime NSC が正常に導入されたら、[Close] をクリックし、Cisco Prime NSC VM の電源をオンにします。

    タスク 2:VSM での Cisco Prime NSC ポリシー エージェントの設定

    Cisco Prime NSC をインストールした場合は、VSM を Cisco Prime NSC に登録する必要があります。

    はじめる前に

    次の条件が満たされていることを確認します。

    • VSM の Cisco Prime NSC ポリシー エージェント イメージ(例、vsmhv-pa.3.2.1c.bin)


      (注)  


      イメージ名の中に、太字の vsmhv-pa というストリングが表示される必要があります。


    • Cisco Prime NSC の IP アドレス

    • Cisco Prime NSC インストール中に定義した共有秘密パスワード

    • VSM と Cisco Prime NSC 間の IP 接続が機能していること


      (注)  


      VSM をアップグレードする場合は、最新の Cisco VSM ポリシー エージェント イメージもコピーする必要があります。 このイメージは、フラッシュ ドライブから起動する Cisco Prime NSC イメージ バンドルで利用でき、Cisco Prime NSC への登録を実行します。



    (注)  


    VSM クロックは Cisco Prime NSC クロックと同期させる必要があります。


    手順の概要

      1.    VSM で、次のコマンドを入力します。

      2.    Cisco Prime NSC が正しくインストールされ、到達可能になったことを確認するため、show nsc-pa status コマンドを入力し、NSC ポリシー エージェント設定のステータスを確認します。 次の例は、Cisco Prime NSC が到達可能で、インストールが正しく行われたことを示しています。


    手順の詳細
      ステップ 1   VSM で、次のコマンドを入力します。
      vsm# configure terminal
      vsm(config)# nsc-policy-agent
      vsm(config-nsc-policy-agent)# registration-ip 10.193.75.95
      vsm(config-nsc-policy-agent)# shared-secret Example_Secret123
      vsm(config-nsc-policy-agent)# policy-agent-image vsmhv-pa.3.2.1c.bin
      vsm(config-nsc-policy-agent)# exit
      vsm(config)# copy running-config startup-config
      vsm(config)# exit
      ステップ 2   Cisco Prime NSC が正しくインストールされ、到達可能になったことを確認するため、show nsc-pa status コマンドを入力し、NSC ポリシー エージェント設定のステータスを確認します。 次の例は、Cisco Prime NSC が到達可能で、インストールが正しく行われたことを示しています。
      vsm# show nsc-pa status
      NSC Policy-Agent status is - Installed Successfully. Version 3.2(1)-vsm
      vsm

      これで、VSM が Cisco Prime NSC に登録されたことが確認できました。


      次の例は、Cisco Prime NSC が到達不能で、不適切な IP が設定されていることを示しています。

      vsm# show nsc-pa status
      nsc Policy-Agent status is - Installation Failure
      Cisco Prime NSC not reachable.
      vsm# 
      

      次の例は、NSC ポリシー エージェントが設定されていないだけでなくインストールされていないことを示しています。

      vsm# show nsc-pa status
      NSC Policy-Agent status is - Not Installed

      タスク 3:VSM での Cisco VSG ポート プロファイルの作成

      Cisco VSG ポート プロファイルを作成するには、VLAN を作成して、Cisco VSG データ ポート プロファイルと Cisco VSG-ha ポート プロファイルでそれらの VLAN を使用します。

      はじめる前に

      次の条件が満たされていることを確認します。

      • 論理スイッチ名(ネットワーク アップリンク ポート プロファイル名)。

      • Cisco VSG データ インターフェイスの VLAN ID(例、100)。

      • Cisco VSG-ha インターフェイスの VLAN ID(例、200)。

      • 管理 VLAN (管理)。


        (注)  


        これらの VLAN はシステム VLAN である必要はありません。


      手順の概要

        1.    まず Cisco VSG データ ポート プロファイル設定モードをイネーブル化することで、Cisco VSG-ha データ ポート プロファイルと Cisco VSG ポート プロファイルを作成します。 Cisco VSG データ インターフェイスはシステム VLAN である必要があります。 システム VLAN で VSG のデータ インターフェイスを設定するには、システムのネットワーク セグメント、システム ポート プロファイル、およびシステム アップリンクとして設定されているアップリンクが必要です。 configure コマンドを使用して、グローバル設定モードを開始します。

        2.    ネットワーク アップリンク ポート プロファイルを作成し、論理スイッチで使用します。

        3.    データ VLAN 用のネットワーク セグメントおよびポート プロファイルを作成します。

        4.    HA VLAN 用のネットワーク セグメントおよびポート プロファイルを作成します。


      手順の詳細
        ステップ 1   まず Cisco VSG データ ポート プロファイル設定モードをイネーブル化することで、Cisco VSG-ha データ ポート プロファイルと Cisco VSG ポート プロファイルを作成します。 Cisco VSG データ インターフェイスはシステム VLAN である必要があります。 システム VLAN で VSG のデータ インターフェイスを設定するには、システムのネットワーク セグメント、システム ポート プロファイル、およびシステム アップリンクとして設定されているアップリンクが必要です。 configure コマンドを使用して、グローバル設定モードを開始します。
        重要: すべての重要な VM がシステム VLAN として設定されていることを確認します。
        vsm# configure
        ステップ 2   ネットワーク アップリンク ポート プロファイルを作成し、論理スイッチで使用します。
        vsm(config)# nsm  logical network vsm_LogicalNet
        vsm(config-logical-net)# exit 
        
        vsm(config)# nsm network segment pool vsm_NetworkSite
        vsm(config-net-seg-pool)# member-of logical network vsm_LogicalNet
        vsm(config-net-seg-pool)# exit
        
        vsm(config)# nsm ip pool template VM_IP_Pool
        vsm(config-ip-pool-template)# ip address 10.0.0.2 10.0.0.255
        vsm(config-ip-pool-template)# network 255.255.255.0 10.0.0.1
        vsm(config-ip-pool-template)# exit
        
        vsm(config)#port-profile type ethernet sys-uplink
        vsm(config-port-prof)#channel-group auto
        vsm(config-port-prof)#no shutdown
        vsm(config-port-prof)#system port-profile
        vsm(config-port-prof)#state enabled
        vsm(config-port-prof)#exit
        
        vsm(config)# nsm network uplink vsm_Uplink
        vsm(config-uplink-net)# allow network segment pool vsm_NetworkSite
        vsm(config-uplink-net)# import port-profile sys_Uplink
        vsm(config-uplink-net)# system network uplink
        vsm(config-uplink-net)# publish uplink-network
        vsm(config-uplink-net)# exit
        
        
        ステップ 3   データ VLAN 用のネットワーク セグメントおよびポート プロファイルを作成します。
        vsm(config)# nsm network segment VMAccess_502
        vsm(config-net-seg)# member-of network segment pool vsm_NetworkSite
        vsm(config-net-seg)# system network segment
        vsm(config-net-seg)# switchport access vlan 502
        vsm(config-net-seg)# ip pool import template VM_IP_Pool
        vsm(config-net-seg)# publish network-segment
        vsm(config-net-seg)# exit
        vsm(config)# port-profile type vethernet VSG_Data
        vsm(config-port-prof)# no shutdown
        vsm(config-port-prof)# state enabled
        vsm(config-port-prof)# system port-profile
        vsm(config-port-prof)# publish port-profile
        vsm(config-port-prof)# exit
        ステップ 4   HA VLAN 用のネットワーク セグメントおよびポート プロファイルを作成します。
        vsm(config)# nsm network segment VMAccess_503
        vsm(config-net-seg)# member-of network segment pool vsm_NetworkSite
        vsm(config-net-seg)# switchport access vlan 503
        vsm(config-net-seg)# ip pool import template VM_IP_Pool
        vsm(config-net-seg)# publish network-segment
        vsm(config-net-seg)# exit
        vsm(config)# port-profile type vethernet VSG_HA
        vsm(config-port-prof)# no shutdown
        vsm(config-port-prof)# state enabled
        vsm(config-port-prof)# publish port-profile
        vsm(config-port-prof)# exit

        タスク 4:VSM でのホスト上の仮想ネットワーク アダプタの設定

        これで VSM での Cisco VSG のポート プロファイルの準備が整いました。次に、ホストの仮想ネットワーク アダプタを設定する必要があります。

        このタスクには、次のサブタスクが含まれます。

        はじめる前に

        次の条件が満たされていることを確認します。

        • VSM に設定されている Cisco VSG のポート プロファイル。

        仮想ネットワーク アダプタのポート プロファイルの作成

        仮想ネットワーク アダプタのポート プロファイルを作成するには、VSM にログインする必要があります。

        手順の概要

          1.    VSM で仮想ネットワーク アダプタのポート プロファイルを作成します。


        手順の詳細
        VSM で仮想ネットワーク アダプタのポート プロファイルを作成します。

        例:
        vsm#configure terminal
        vsm(config)#port-profile type vethernet Virtual-Net-PP
        vsm(config-port-prof)#capability l3-vservice
        vsm(config-port-prof)#no shutdown
        vsm(config-port-prof)#state enabled
        vsm(config-port-prof)#publish port-profile
        vsm(config-port-prof)#exit
        vsm#copy running-config startup-config

        仮想ネットワーク アダプタの作成

        はじめる前に

        次を確認しておく必要があります。

        • 仮想ネットワーク アダプタのポート プロファイルが作成されていること。


          ステップ 1   SCVMM を起動します。
          ステップ 2   [VMs and Services] タブの [All Hosts] をクリックします。
          ステップ 3   仮想ネットワーク アダプタを追加するホストを選択します。
          ステップ 4   ホストを右クリックし、ポップアップ メニューから [Properties] を選択します。
          ステップ 5   [Properties] ウィンドウで、[Virtual Switches] をクリックします。
          ステップ 6   [Virtual Switches] タブで、[New Virtual Network Adapter] をクリックします。
          ステップ 7   [Name] フィールドに、仮想ネットワーク アダプタの名前を入力します。
          ステップ 8   [Connectivity] [VM Network] フィールドで、適切な VM ネットワークを選択します。
          ステップ 9   [Port profile] にある [Classification] ドロップダウン リストから、作成した L3 サービス対応のポートフォリオを選択します。
          ステップ 10   [IP address configuration] [Static] オプション ボタンを選択し、次の手順を実行します。
          1. [IPv4 pool] ドロップダウン リストから、仮想ネットワーク アダプタの IP プールを選択します。
          2. [IPv4 address] フィールドで、仮想ネットワーク アダプタの IP アドレスを入力します。
          ステップ 11   [Ok] をクリックします。
          ステップ 12   VM Manager の警告メッセージが表示されたら、[Ok] をクリックします。

          次の作業

          VSG と仮想ネットワーク アダプタ間の物理ルータを追加します。

          タスク 5:ISO イメージからの Cisco VSG のインストール


          (注)  


          Cisco VSG は、Nexus Cloud Services プラットフォームのみで VSB としてサポートされます。


          はじめる前に

          次の条件が満たされていることを確認します。

          • Microsoft SCVMM SP1 または SCVMM R2 がインストールされていること。

          • Cisco VSG ISO イメージをダウンロードし、サーバ(C:\ProgramData\Virtual Machine Manager Library Files\ISO)にアップロードしていること。 [Library] タブでライブラリ サーバを更新していること。

          • Cisco VSG-Data ポート プロファイル:VSG-Data。

          • Cisco VSG-ha ポート プロファイル:VSG-ha。

          • HA ID。

          • Cisco VSG の IP、サブネット マスクおよびゲートウェイ情報

          • 管理者パスワード

          • 最小で 2 GB の RAM および 2 GB のハード ディスク領域。4 GB の RAM と 4 GB のハード ディスクを推奨。

          • Cisco Prime NSCIP アドレス。

          • 共有秘密パスワード

          • Cisco VSG 間の IP 接続、および Cisco Prime NSC が機能していること。

          • Cisco VSG NSC-PA イメージ名(vsghv-pa.2.1.1e.bin)が利用できること。


            ステップ 1   SCVMM を起動します。
            ステップ 2   [VM and Services] タブで [Create Virtual Machine] をクリックします。
            ステップ 3   [Create Virtual Machine] ウィザードの [Select Source] 画面で、[Create the new virtual machine with a blank virtual hard disk] オプション ボタンをオンにし、[Next] をクリックします。
            ステップ 4   [Specify Virtual Machine Identity] 画面の [Virtual machine name] フィールドに Cisco VSG の名前を入力し、[Next] をクリックします。
            図 3. Create Virtual Machine ウィザード - Specify Virtual Machine Identity

            ステップ 5   [Configure Hardware] セクションで、次の手順を実行します。
            1. [General] [Memory] を選択し、[Static] オプションを選択して、[Virtual machine memory] フィールドに 2048 MB を入力します。
            2. [Bus Configuration] でプライマリ ディスクを選択し、[Size (GB)] フィールドに 2 を入力します。
            3. 仮想 DVD ドライブを選択し、[Existing ISO image file] オプション ボタンを選択し、SCVMM ライブラリ内の VSG ISO を参照します。
            4. [New]>[Network Adapter] をクリックし、合計で 3 個のネットワーク アダプタを作成します。
              • [Network Adapters] セクションで [Network Adapter 1] を選択し、[Connected to a VM network] を選択して、VSG のデータ インターフェイスのネットワーク セグメントに対応する適切なネットワークを参照します。
                (注)     

                Network Adapter 1 はサービス/データ ネットワークで、データ ネットワークへの接続に使用します。

                (注)     

                Network Adapter 2 は管理ネットワークで、VSG の管理ネットワークに接続します。

                (注)     

                Network Adapter 3 は HA ネットワークで、HA ネットワークに接続します。

                図 4. Create Virtual Machine ウィザード - Configure Hardware

              • [Classification] ドロップダウン リストから、VSG のデータ インターフェイスに対応するポート プロファイルを選択します。

              (注)     

              管理および HA のネットワーク アダプタを作成する手順 d を繰り返します。

            ステップ 6   [Select Destination] セクションで、[Place the virtual machine in a host] を選択し、VSG を保存するホスト グループをドロップダウン リストから選択して、[Next] をクリックします。
            ステップ 7   [Select Host] セクションで、VSG に配置するホストを選択し、[Next] をクリックします。
            ステップ 8   [Configure Settings] セクションで、仮想マシンの設定が正しいことを確認し、[Next] をクリックします。
            ステップ 9   (任意)[Add Properties] セクションで、ドロップダウン リストから [Other Linux (64-bit) from the Operating System] を選択し、[Next] をクリックします。
            ステップ 10   [Summary] セクションで、[Create] をクリックします。
            ステップ 11   VSG が正常にインストールされたら、[VMs and Services] タブの VSG を選択し、[Power On] をクリックします。
            ステップ 12   [Connect or View] > [Connect via Console] を使用して VSG を接続します。

            タスク 6:VSG での Cisco Prime NSC Policy Agent の設定

            Cisco Prime NSC をインストールした場合は、Cisco VSG を Cisco Prime NSC に登録する必要があります。

            はじめる前に

            次の条件が満たされていることを確認します。

            • Cisco VSG の Cisco Prime NSC ポリシー エージェント イメージ(例、vsghv-pa.2.1.1e.bin)。


              (注)  


              イメージ名の中に、太字の vsghv-pa というストリングが表示される必要があります。


            • Cisco Prime NSC の IP アドレス。

            • Cisco Prime NSC インストール中に定義した共有秘密パスワード。

            • VSG と Cisco Prime NSC 間の IP 接続。


              (注)  


              VSG をアップグレードする場合は、最新の Cisco VSG ポリシー エージェント イメージもコピーする必要があります。 このイメージは、フラッシュ ドライブから起動する Cisco Prime NSC イメージ バンドルで利用でき、Cisco Prime NSC への登録を実行します。



            (注)  


            VSG クロックは Cisco Prime NSC クロックと同期させる必要があります。


            手順の概要

              1.    Cisco VSG で NSC ポリシー エージェントを設定します。

              2.    Cisco Prime NSC が正しくインストールされ、到達可能になったことを確認するため、show nsc-pa status コマンドを入力し、NSC ポリシー エージェント設定のステータスを確認します。 次の例は、Cisco Prime NSC が到達可能で、インストールが正しく行われたことを示しています。


            手順の詳細
              ステップ 1   Cisco VSG で NSC ポリシー エージェントを設定します。
              VSG-Firewall# configure
              Enter configuration commands, one per line.  End with CNTL/Z.
              VSG-Firewall(config)# nsc-policy-agent
              VSG-Firewall(config-nsc-policy-agent)# registration-ip 10.193.72.242
              VSG-Firewall(config-nsc-policy-agent)# shared-secret Sgate123
              VSG-Firewall(config-nsc-policy-agent)# policy-agent-image vnmc-vsgpa.2.1.1b.bin
              VSG-Firewall(config-nsc-policy-agent)# copy running-config startup-config
              [########################################] 100%
              Copy complete, now saving to disk (please wait)...
              VSG-Firewall(config-nsc-policy-agent)# exit
              ステップ 2   Cisco Prime NSC が正しくインストールされ、到達可能になったことを確認するため、show nsc-pa status コマンドを入力し、NSC ポリシー エージェント設定のステータスを確認します。 次の例は、Cisco Prime NSC が到達可能で、インストールが正しく行われたことを示しています。
              VSG-Firewall(config)# show nsc-pa status
              NSC Policy-Agent status is - Installed Successfully. Version 2.1(1b)-vsg
              これで、Cisco VSG が Cisco Prime NSC に登録されたことが確認できました。

              次の例は、Cisco Prime NSC が到達不能で、不適切な IP が設定されていることを示しています。

              vsg# show nsc-pa status
              NSC Policy-Agent status is - Installation Failure
              Cisco Prime NSC not reachable.
              vsg# 
              

              次の例は、NSC ポリシー エージェントが設定されていないだけでなくインストールされていないことを示しています。

              vsg# show nsc-pa status
              NSC Policy-Agent status is - Not Installed

              タスク 7:Cisco VSG、Cisco VSM および Cisco Prime NSC での NSC ポリシー エージェント ステータスの確認

              ポリシー エージェントが正常にインストールされていることを確認できる、Cisco VSG、Cisco VSM、Cisco Prime NSC の NSC ポリシー エージェントのステータスを確認するには、show nsc-pa status を使用します。

              手順の概要

                1.    Cisco VSG にログインします。

                2.    次のコマンドを入力して、NSC-PA 設定のステータスを確認します。

                3.    Cisco VSM にログインします。

                4.    次のコマンドを入力して、NSC-PA 設定のステータスを確認します。

                5.    Cisco Prime NSC にログインします。

                6.    [Resource Management] をクリックし、[Resources] をクリックします。

                7.    [Navigation] ペインで [VSMs] をクリックし、[VSMs] ペインの VSM 情報を確認します。

                8.    [Navigation] ペインで [VSGs] をクリックし、[VSGs] ペインの VSG 情報を確認します。


              手順の詳細
                ステップ 1   Cisco VSG にログインします。
                ステップ 2   次のコマンドを入力して、NSC-PA 設定のステータスを確認します。
                vsg# show nsc-pa status
                NSC Policy-Agent status is - Installed Successfully. Version 2.0(1a)-vsg
                vsg#
                ステップ 3   Cisco VSM にログインします。
                ステップ 4   次のコマンドを入力して、NSC-PA 設定のステータスを確認します。
                VSM# show nsc-pa status
                NSC Policy-Agent status is - Installed Successfully. Version 2.0(0.22)-vsm
                VSM#
                ステップ 5   Cisco Prime NSC にログインします。
                ステップ 6   [Resource Management] をクリックし、[Resources] をクリックします。
                ステップ 7   [Navigation] ペインで [VSMs] をクリックし、[VSMs] ペインの VSM 情報を確認します。
                ステップ 8   [Navigation] ペインで [VSGs] をクリックし、[VSGs] ペインの VSG 情報を確認します。

                タスク 8:Cisco Prime NSC でのテナント、セキュリティ プロファイル、コンピュート ファイアウォールの設定、および Cisco VSG の コンピュート ファイアウォールへの割り当て

                基本的な設定を使用して、Cisco Prime NSC および Cisco VSG を正常にインストールした後は、基本的なセキュリティ プロファイルとポリシーを設定する必要があります。

                このタスクには、次のサブタスクが含まれます。

                次の作業

                Cisco Prime NSC でのテナントの設定 に進みます。

                Cisco Prime NSC でのテナントの設定

                テナントは、データとプロセスが仮想データセンターの VM でホストされているエンティティ(企業、政府機関、公共機関など)です。 各テナントにファイアウォールのセキュリティを提供するには、まずそれらのテナントを Cisco Prime NSC 内で設定する必要があります。

                手順の概要

                  1.    Cisco Prime NSC ツールバーで、[Tenant Management] タブをクリックします。

                  2.    [Navigation] ペインのディレクトリ ツリーで、[root] を右クリックし、ドロップダウン リストから [Create Tenant] を選択します。

                  3.    [Create Tenant] ダイアログ ボックスで、次の手順を実行します。

                  4.    [OK] をクリックします。


                手順の詳細
                  ステップ 1   Cisco Prime NSC ツールバーで、[Tenant Management] タブをクリックします。
                  ステップ 2   [Navigation] ペインのディレクトリ ツリーで、[root] を右クリックし、ドロップダウン リストから [Create Tenant] を選択します。
                  ステップ 3   [Create Tenant] ダイアログ ボックスで、次の手順を実行します。
                  1. [Name] フィールドに、Tenant-A などのテナント名を入力します。
                  2. [Description] フィールドに、そのテナントの説明を入力します。
                  ステップ 4   [OK] をクリックします。

                  作成したテナントが、ルートの下の左側のペインに表示されます。


                  次の作業

                  Cisco Prime NSC セキュリティ プロファイルの設定 の参照

                  Cisco Prime NSC セキュリティ プロファイルの設定

                  Cisco Prime NSC では、セキュリティ プロファイルを設定できます。


                    ステップ 1   Cisco Prime NSC ツールバーで、[Policy Management] >[Service Profiles] をクリックします。
                    ステップ 2   [Root] ナビゲーション ウィンドウのディレクトリ パスから、[Tenant] > [Compute Firewall] > [Compute Security Profile] を選択します。
                    ステップ 3   [Compute Security Profile] を右クリックし、[Add Compute Security Profile] を選択します。

                    [Add Compute Security Profile] ダイアログ ボックスが開きます。

                    ステップ 4   [Add Compute Security Profile] ダイアログ ボックスで、次の内容を実行します。
                    1. [Name] フィールドに、sp-web などのセキュリティ プロファイル名を入力します。
                    2. [Description] フィールドに、このセキュリティ プロファイルの簡単な説明を入力します。
                    ステップ 5   [OK] をクリックします。

                    次の作業

                    コンピュート ファイアウォールの設定および Cisco Prime NSC への Cisco VSG の割り当て の参照

                    コンピュート ファイアウォールの設定および Cisco Prime NSC への Cisco VSG の割り当て

                    コンピュート ファイアウォールは、論理仮想エンティティで、Cisco VSG VM にバインド(割り当て)できるデバイス プロファイルを含んでいます。 このバインドにより、デバイス プロファイルのデバイス ポリシーが Cisco Prime NSC から Cisco VSG にプッシュされます。 プッシュ後、コンピュート ファイアウォールは Cisco Prime NSC 上で適用済みの設定状態になります。


                      ステップ 1   Cisco Prime NSC から、[Resource Management] > [Managed Resources] を選択します。
                      ステップ 2   左側のペインのディレクトリ ツリーでテナントを選択します。
                      ステップ 3   [Action] ドロップダウン リストをクリックし、[Add Compute Firewall] を選択します。 [Add Compute Firewall] ダイアログボックスが開きます。
                      ステップ 4   [Add Compute Firewall] ダイアログボックスで、次を実行します。
                      1. [Name] フィールドに、コンピュート ファイアウォールの名前を入力します。
                      2. [Description] フィールドに、コンピュート ファイアウォールの簡単な説明を入力します。
                      3. [Host Name] フィールドに、Cisco VSG の名前を入力します。
                      ステップ 5   [Next] をクリックします。

                      入力した内容が [Compute Firewall] ペインに別途表示されます。

                      ステップ 6   [Select Service Devices] ペインで、[Assign VSG] オプション ボタンを選択し、[VSG Devices] ドロップダウンから VSG を選択します。 次に、[Next] をクリックします。
                      ステップ 7   [Interface] タブの [Configure Data Interface] ペインで、データ インターフェイス(data0)IP アドレスとサブネット マスクを入力し、[Next] をクリックします。
                      ステップ 8   [Summary] タブで設定を確認し、[Finish] をクリックします。
                      ステップ 9   [Root] > [Tenant] > [Network Services] をクリックし、ファイアウォールのステータスを確認します。

                      タスク 9:Prime NSC での Permit-All ルールの設定

                      Cisco Prime NSC で Permit-All ルールを設定できます。


                        ステップ 1   Cisco Prime NSCにログインします。
                        ステップ 2   [Policy Management] > [Service Profiles] を選択します。
                        ステップ 3   [Root] > [Tenant] > [Compute Firewall] > [Compute Security Profile] を選択し、セキュリティ プロファイルを選びます。
                        ステップ 4   右側のペインで、[Add ACL Policy Set] をクリックします。
                        ステップ 5   [Add ACL Policy] ダイアログ ボックスで、次を実行します。
                        1. [Name] フィールドに、ACL ポリシー セット名を入力します。
                        2. [Description] フィールドに、ACL ポリシー セットの簡単な説明を入力します。
                        3. [Add ACL Policy] をクリックします。
                        ステップ 6   [Add ACL Policy] ダイアログ ボックスにポリシー名を入力し、ポリシーの説明を入力してから、[Add Rule] をクリックします。
                        ステップ 7   [Add Rule] ダイアログ ボックスで、次を実行します。
                        1. [Name] フィールドに、ルール名を入力します。
                        2. [Action]] オプション ボタンで一致条件(たとえば、すべてのトラフィックを許可する場合は [Permit-All])を選択します。
                        3. [Condition Match Criteria] フィールドで、必要な条件を選択します。
                        4. [Source - Destination - Service] タブで [Add] をクリックして、送信元/送信先の条件またはサービスを追加します。
                        5. 特定のプロトコルを選択する場合は、[Protocol] タブの [Any] をオフにします。 すべてのプロトコルに一致させる場合は、[Any] をオフにしないでください。
                        6. [Ether - Type] タブで、[Add] をクリックし、ルールに Ether タイプを指定します。
                        7. [Time Range] タブでデフォルトのオプションを保持し、ルールをイネーブルのままにします。
                        8. [Advanced] タブで、[Add] をクリックし、送信元ポートのチェックを追加します。
                        9. [OK] をクリックします。
                        ステップ 8   [Add Policy] ダイアログ ボックスで、[OK] をクリックします。

                        [permit] フィールドに、新しく作成されたポリシーが表示されます。

                        ステップ 9   [Add Policy Set] ダイアログ ボックスで、[OK] をクリックします。
                        ステップ 10   [Service Profile] ウィンドウで、[Save] をクリックします。

                        タスク 10:Cisco VSG での Permit-All ルールの確認

                        Cisco VSG CLI および show コマンドを使用して、Cisco VSG にルールが存在していることを確認できます。

                        vsg# show running-config rule
                        rule POL-DEMO/R-DEMO@root/Tenant/VDC 
                        cond-match-criteria: match-allaction permit
                        rule POL1/R1@root/Tenant/VDC 
                        cond-match-criteria: match-allaction permit
                        rule default/default-rule@root 
                        cond-match-criteria: match-allaction drop
                        vsg#
                        

                        タスク 11:ロギングのイネーブル化

                        ポリシーエンジン ロギングのロギング レベル 6 のイネーブル化

                        ロギングを使用すると、モニタしている仮想マシンを通過するトラフィックを確認できます。 このロギングは、適切な設定を行っていることを確認したり、トラブルシューティングを行ったりするのに役立ちます。 モニタ セッションで、ポリシーエンジン ロギングに対してログ レベル 6 をイネーブルにできます。


                          ステップ 1   Cisco Prime NSC にログインします。
                          ステップ 2   [Policy Management] > [Device Configurations] を選択します。
                          ステップ 3   [Navigation] ペインで、[root] > [Policies] > [Syslog] > [Default] を選択し、[Edit] をクリックします。
                          ステップ 4   [Edit Syslog] ダイアログ ボックスで、次を実行します。
                          1. [Servers] タブをクリックします。
                          2. [Server Type] 列で、表示されているリストから [primary] サーバ タイプを選択します。
                          3. ペインのツールバーで、[Edit] をクリックします。
                          図 5. [Edit Syslog] ダイアログ ボックス



                          ステップ 5   [Edit Syslog] ダイアログ ボックスで、次を実行します。
                          1. [Hostname/IP address] フィールドに、syslog サーバの IP アドレス を入力します。
                          2. [Severity] ドロップダウン リストから [Information(6)] を選択します。
                          3. [Admin State] ドロップダウン リストか ら[Enabled] オプション ボタンをオンにします。
                          4. [OK] をクリックします。
                          ステップ 6   [OK] をクリックします。

                          次の作業

                          グローバル ポリシーエンジン ロギングのイネーブル化を参照してください。

                          グローバル ポリシーエンジン ロギングのイネーブル化

                          ロギングを使用すると、モニタしている VM を通過するトラフィックを確認できます。 このロギングは、適切な設定を行っていることを確認したり、トラブルシューティングを行ったりするのに役立ちます。


                            ステップ 1   Cisco Prime NSC にログインします。
                            ステップ 2   [Cisco Prime NSC] ウィンドウで、[Policy Management] > [Device Configurations]> [root] > [Device Profiles] > [default] を選択します。 [default - Device Profile] ウィンドウが開きます。
                            ステップ 3   [default] ペインで、次の手順を実行します。
                            1. [Work] ペインで、[Policies] をクリックします。
                            2. [Policy Engine Logging] フィールドで、[Enabled] オプション ボタンをオンにします。
                            ステップ 4   [Save] をクリックします。

                            タスク 12:ファイアウォールによる保護のためのトラフィック VM ポート プロファイルのイネーブル化と VSM、VEM、VSG 間の通信の確認

                            はじめる前に

                            次の条件が満たされていることを確認します。

                            • アクセス ポート プロファイルを使用して実行されるサーバ VM(例、Web サーバ)

                            • Cisco VSG のデータ IP アドレス(例、10.10.10.200)および VLAN ID(例、100)

                            • 仮想ネットワーク アダプタの設定

                            • セキュリティ プロファイル名(例、sp-web)

                            • 組織(Org)名(例、root/Tenant-A)

                            • ファイアウォールによる保護をイネーブルにするために編集するポート プロファイル

                            ファイアウォールによる保護のためのトラフィック VM ポート プロファイルのイネーブル化

                            トラフィックの保護用にトラフィック VM ポート プロファイルをイネーブルにできます。

                            手順の概要

                              1.    VSG ノードを作成します。

                              2.    ファイアウォールを保護するため、ネットワーク セグメントとトラフィック VM ポート プロファイルを作成します。


                            手順の詳細
                              ステップ 1   VSG ノードを作成します。
                              vsm#configure terminal
                              vsm (config)# vservice node VSG type vsg
                              vsm (config-vservice-node)# ip address 10.10.10.200
                              vsm (config-vservice-node)# adjacency l3
                              vsm (config-vservice-node)# exit
                              vsm (config)# copy running-config startup-config
                              ステップ 2   ファイアウォールを保護するため、ネットワーク セグメントとトラフィック VM ポート プロファイルを作成します。
                              vsm(config)# nsm network segment VMAccess_400
                              vsm(config-net-seg)# member-of network segment pool vsm_NetworkSite
                              vsm(config-net-seg)# switchport access vlan 400
                              vsm(config-net-seg)# ip pool import template VM_IP_Pool
                              vsm(config-net-seg)# publish network-segment 
                              vsm(config-net-seg)# exit
                              
                              vsm(config)# port-profile type vethernet pp-webserver
                              vsm(config-port-prof)# org root/Tenant-A
                              vsm(config-port-prof)# vservice node VSG profile sp-web
                              vsm(config-port-prof)# no shutdown
                              vsm(config-port-prof)# state enabled
                              vsm(config-port-prof)# publish port-profile
                              vsm(config-port-prof)# exit
                              vsm(config)# show port-profile name pp-webserver

                              次の作業

                              Cisco VSG への到達可否に関する VSM または VEM の検証を参照してください。

                              Cisco VSG への到達可否に関する VSM または VEM の検証

                              ファイアウォール保護のあるトラフィック VM ポート プロファイルがトラフィック VM に割り当てられていることを確認します。

                              図 6. [Virtual Machine Properties] ウィンドウ



                              この例では、VEM と VSG 間の通信を確認する方法を示します。

                              VSM# show vservice brief
                              --------------------------------------------------------------------------------
                                                                 Node Information
                              --------------------------------------------------------------------------------
                               ID Name                     Type   IP-Address      Mode   State   Module
                                1 VSG-1                    vsg    192.161.0.85    l3     Alive   3,4,
                              
                              --------------------------------------------------------------------------------
                                                                 Path Information
                              --------------------------------------------------------------------------------
                              --------------------------------------------------------------------------------
                                                                 Port Information
                              --------------------------------------------------------------------------------
                              PortProfile:PP-VSERVICE
                              Org:root/Tenant1
                              Node:VSG-1(192.161.0.85)                      Profile(Id):SP1(6)
                              Veth Mod VM-Name                              vNIC IP-Address
                                 4   4 traffic-vm-win-22                         192.163.0.53,
                                 8   3 traffic-vm-win-12                         192.163.0.76 
                                10   3 traffic-vm-ubuntu-61                      192.163.0.80,
                                11   3 traffic-vm-ubuntu-52                      192.163.0.52,
                              

                              ディスプレイに IP-ADDR リストおよび Alive 状態が示されている場合は、VEM が Cisco VSG と通信できる状態であることを意味します。

                              ファイアウォール保護のための VM 仮想イーサネット ポートの確認

                              この例では、ファイアウォール保護を行うために VM 仮想イーサネット ポートを検証する方法を示します。

                              VSM(config)# show vservice port brief port-profile VSGDemo-WEB-FW
                              --------------------------------------------------------------------------------
                                                                 Port Information
                              --------------------------------------------------------------------------------
                              PortProfile:VSGDemo-WEB-FW
                              Org:root/Demo
                              Node:VSG(153.1.1.13)                          Profile(Id):Demo-Default-Security-Profile(6)
                              Veth Mod VM-Name                              vNIC IP-Address
                                 1   3 web-server1                               152.1.1.11,
                              

                              (注)  


                              VNSP ID 値が 1 よりも大きい数値であることを確認してください。


                              タスク 13:Microsoft Service Provider Foundation のインストール

                              Cisco Prime NSC をインストールした後、Prime NSC と Microsoft SCVMM 間の通信をイネーブルにする必要があります。 これは、仮想マシン属性ベースのポリシーが VSG で動作するために必要です。 Microsoft Service Provider Foundation(SPF)は、Microsoft SCVMM および Cisco Prime NSC 間の通信を可能にするプラグインです。 次の表に、Cisco Prime NSC 3.2 と互換性のある SPF バージョンを示します。
                              表 1 Cisco Prime NSC 3.2 と互換性のある SPF バージョン
                              SCVMM バージョン SPF バージョン

                              System Center 2012 Service Pack 1

                              7.1.3117.0

                              System Center 2012 R2

                              7.2.379.0

                              このタスクには、次のサブタスクが含まれます。

                              次の作業

                              Service Provider Foundation のインストール の参照

                              Service Provider Foundation のインストール

                              Service Provider Foundation のインストールの詳細については、http:/​/​technet.microsoft.com/​en-us/​library/​dn266007.aspx にある『How to Install Service Provider Foundation for System Center 2012 R2(System Center 2012 R2 用 Service Provider Foundation のインストール方法)』を参照してください。

                              はじめる前に

                              次の条件が満たされていることを確認します。

                              • Install System Center 2012 R2 Orchestrator をダウンロードしていること。

                              • Service Provider Foundation (SPF) のシステム要件を確認していること。 システム要件については、http:/​/​technet.microsoft.com/​en-us/​library/​jj642899.aspx にある『System Requirements for Service Provider Foundation for System Center 2012 SP1(System Center 2012 SP1 用 Service Provider Foundation のシステム要件)』を参照してください。

                              • NTP サーバ情報。

                              Service Provider Foundation の設定

                              Service Provider Foundation(SPF)を正常にインストールした後に、スタンプ ID(stampId)を作成して、それを Microsoft SCVMM サーバに関連付ける必要があります。 SPF の設定の詳細については、http:/​/​technet.microsoft.com/​en-us/​library/​jj613915.aspxを参照してください。

                              次の作業

                              Service Provider Foundation インストールの確認 の参照

                              Service Provider Foundation インストールの確認

                              SPF のインストールが成功し機能するかどうかを確認するには、次の VMM REST インターフェイス Web リンクを起動します。

                              https://<spf_host>:8090/SC2012R2/VMM/Microsoft.Management.Odata.Svc

                              ここでの、<spf_host> は Microsoft SCVMM VM の IP アドレスです。

                              次のリンクを使用して、仮想マシン REST URL を起動します。

                              https://<spf_host>:8090/SC2012R2/VMM/Microsoft.Management.Odata.Svc/VirtualMachines

                              ここでの、<spf_host> は SCVMM VM の IP アドレスです。

                              Cisco Prime NSC での VM マネージャの作成

                              Microsoft SCVMM VM から情報を取得するには、VM マネージャを作成し、Prime NSC をイネーブルにする必要があります。


                                ステップ 1   Cisco Prime NSC を起動します。
                                ステップ 2   [Resource Management] > [VM Manager] > [Add VM Manager] を選択します。
                                ステップ 3   [Add VM Manager] ダイアログ ボックスで、次を入力します。
                                1. VM マネージャの名前。
                                2. VM マネージャの説明。
                                3. SCVMM のホスト名または IP アドレス。
                                4. ドメイン名またはユーザ名。
                                5. パスワード SCVMM ホスト。
                                6. デフォルトのポート番号を保持します。
                                7. [OK] をクリックします。

                                タスク 14:トラフィック フローの送信と Cisco VSG での統計およびログの確認

                                この項では、次のトピックについて取り上げます。

                                トラフィック フローの送信

                                Cisco VSG が正常に動作していることを確認するため、Cisco VSG にトラフィック フローを送信できます。


                                  ステップ 1   ファイアウォールによる保護を行うため、ポート プロファイル(pp-webserver)を使用する VM(Server-VM)を設定しておく必要があります。
                                  図 7. [Virtual Machine Properties] ウィンドウ

                                  ステップ 2   任意のクライアント仮想マシン(クライアント VM)にログインします。
                                  ステップ 3   サーバ VM にトラフィック(例、HTTP)を送信します。
                                  [root@]# wget http://172.31.2.92/
                                  --2010-11-28 13:38:40--  http://172.31.2.92/
                                  Connecting to 172.31.2.92:80... connected.
                                  HTTP request sent, awaiting response... 200 OK
                                  Length: 258 [text/html]
                                  Saving to: `index.html'
                                  
                                  100%[=======================================================================>] 258         --.-K/s   in 0s      
                                  
                                  2010-11-28 13:38:40 (16.4 MB/s) - `index.html' saved [258/258]
                                  
                                  [root]#
                                  
                                  
                                  ステップ 4   ポリシー エンジン統計を確認し、Cisco VSG にログインします。

                                  次の作業

                                  Cisco VSG のポリシーエンジン統計およびログの確認を参照してください。

                                  Cisco VSG のポリシーエンジン統計およびログの確認

                                  Cisco VSG にログインし、ポリシーエンジン統計およびログを検証します。

                                  この例では、ポリシーエンジン統計およびログを確認する方法を示します。

                                  vsg# show policy-engine stats
                                  Policy Match Stats: 
                                  default@root                 :         0
                                    default/default-rule@root  :         0 (Drop)
                                    NOT_APPLICABLE             :         0 (Drop)
                                  
                                  PS_web@root/Tenant-A :         1
                                    pol_web/permit-all@root/Tenant-A :         1 (Log, Permit)
                                    NOT_APPLICABLE                :         0 (Drop)
                                  
                                  vsg# terminal monitor
                                  vsg# 2010 Nov 28 05:41:27 firewall %POLICY_ENGINE-6-POLICY_LOOKUP_EVENT: policy=PS_web@root/Tenant-A rule=pol_web/permit-all@root/Tenant-A action=Permit direction=egress src.net.ip-address=172.31.2.91 src.net.port=48278 dst.net.ip-address=172.31.2.92 dst.net.port=80 net.protocol=6 net.ethertype=800