Cisco VSG for Microsoft Hyper-V リリース 5.2(1)VSG2(1.1b) および Cisco Prime NSC リリース 3.2 インストールおよびアップグレード ガイド
Cisco VSG のインストール
Cisco VSG のインストール

Cisco VSG のインストール

この章は、次の内容で構成されています。

Cisco VSG に関する情報

このセクションでは、Cisco Nexus 1000v シリーズ スイッチのソフトウェア向けに Cisco VSG の基本設定をインストールし、完了する方法を説明します。

ホストおよび VM の要件

Cisco VSG には、次の要件があります。

  • Microsoft SCVMM SP1 または SCVMM R2
  • 仮想マシン(VM)
    • 64 ビット VM が必要です。
    • 1 プロセッサ
    • 2 GB のメモリ
    • NIC x 3
    • LSI 論理並列アダプタを搭載した、最小 2 GB の ハード ディスク(デフォルト)
    • CPU 速度 1 GHz 以上。

Cisco VSG とサポートされる Cisco Nexus 1000V シリーズ デバイスの用語

次の表に、Cisco VSG の実装で使用される用語を示します。

用語

説明

論理スイッチ

1 つ以上のサーバにわたる論理スイッチ。 1 つの VSM インスタンスによって制御されます。

NIC

ネットワーク インターフェイス カード。

サーバ ホスティング SCVMM

ネットワークに接続されている Microsoft Hyper-V ホストを集中管理するためのサービス。 サーバは VM および VM ホスト上でアクションを振り分けます。

仮想イーサネット モジュール(VEM)

Cisco Nexus 1000V シリーズ スイッチの一部で、データ トラフィックを切り替えます。 Microsoft Hyper-V ホスト上で実行されます。 1 つの VSM で最大 64 個の VEM をコントロールできます。 1 つのスイッチ ドメインを形成するすべての VEM は、Hyper-V サーバでの定義に従って、同じ仮想データセンター内に配置する必要があります。

仮想マシン(VM)

ゲスト オペレーティング システムおよび関連アプリケーション ソフトウェアを実行できる、仮想化された x86 PC 環境。 同一のホスト システム上で同時に複数の VM を実行できます。

vPath

VEM を搭載した Cisco Nexus 1000V シリーズ スイッチのコンポーネントで、ポリシー評価を行うために適切なトラフィックを Cisco VSG に送信します。 また、ファスト パスとしても動作し、Cisco VSG にトラフィックを送信しなくてもトラフィックの一部を短絡させることができます。

Virtual Security Gateway(VSG; 仮想セキュリティ ゲートウェイ)

仮想ネットワークをセキュリティ保護し、ネットワークをセグメント化することによって Cisco Nexus 1000V シリーズ スイッチを使用する仮想環境にファイアウォール機能を提供します。

仮想スーパーバイザ モジュール(VSM)

Cisco Nexus 1000V シリーズの分散仮想デバイスのコントロール ソフトウェアで、Cisco NX-OS をベースに仮想マシン(VM)上で動作します。

SCVMM

Hyper-V サーバへのリモートからの System Center Virtual Machine Manager Connect。 VM、それらのリソースおよびホストを作成、管理、監視するための主要なインターフェイスです。 VM へのコンソール アクセスも提供します。

Cisco VSG ソフトウェアのインストールの前提条件

次のコンポーネントをインストールし、設定する必要があります。

  • Cisco Nexus 1000V シリーズ スイッチで Cisco VSG 用に 2 つのポート プロファイルを設定します。1 つはサービス VLAN 用、もう 1 つは HA VLAN 用です (Cisco Nexus 1000V シリーズ スイッチが通信できるよう、Cisco VSG の IP アドレスを Cisco VSG に設定します)。

Cisco Nexus 1000V シリーズ スイッチでの VLAN とポート プロファイルの設定については、Cisco Nexus 1000V シリーズ スイッチのドキュメントを参照してください。

Cisco VSG ソフトウェアの入手方法

Cisco VSG ソフトウェア ファイルは、次の URL から入手できます。

http:/​/​software.cisco.com/​download/​navigator.html

Cisco VSG ソフトウェアのインストール

CD 上の ISO イメージ ファイルを使用することで、VM 上に Cisco VSG ソフトウェアをインストールできます。

ISO ファイルからの Cisco VSG ソフトウェアのインストール

はじめる前に

次の条件が満たされていることを確認します。

  • Microsoft SCVMM 2012 SP1 または SCVMM 2012 R2 をインストールしていること。

  • Cisco VSG ISO イメージをダウンロードし、サーバ(C:\ProgramData\Virtual Machine Manager Library Files\ISO)にアップロードしていること。 [Library] タブでライブラリ サーバを更新していること。

  • Cisco VSG-Data ポート プロファイル:VSG-Data。

  • Cisco VSG-ha ポート プロファイル:VSG-ha。

  • HA ID。

  • Cisco VSG の IP、サブネット マスクおよびゲートウェイ情報。

  • 管理者パスワード。

  • 2 GB のRAM および 2 GB のハード ディスク領域。

  • Cisco Prime NSCIP アドレス。

  • 共有秘密パスワード

  • Cisco VSGCisco Prime NSC 間の IP 接続。

  • Cisco VSG NSC-PA イメージ名(vsghv-pa.2.1.1e.bin)。


    ステップ 1   SCVMM を起動します。
    ステップ 2   [VM and Services] タブで [Create Virtual Machine] をクリックします。
    ステップ 3   [Create Virtual Machine] ウィザードの [Select Source] 画面で、[Create the new virtual machine with a blank virtual hard disk] オプション ボタンをオンにし、[Next] をクリックします。
    ステップ 4   [Specify Virtual Machine Identity] 画面の [Virtual machine name] フィールドに Cisco VSG の名前を入力し、[Next] をクリックします。
    図 1. Create Virtual Machine ウィザード - Specify Virtual Machine Identity

    ステップ 5   [Configure Hardware] セクションで、次の手順を実行します。
    1. [General] [Memory] を選択し、[Static] オプションを選択して、[Virtual machine memory] フィールドに 2048 MB を入力します。
    2. [Bus Configuration] でプライマリ ディスクを選択し、[Size (GB)] フィールドに 2 を入力します。
    3. 仮想 DVD ドライブを選択し、[Existing ISO image file] オプション ボタンを選択し、SCVMM ライブラリ内の VSG ISO を参照します。
    4. Create Virtual Machine ウィザードの上部の近くにある [Network Adapter] を選択し、2 種類の新しいネットワーク アダプタを作成します。
      • [Network Adapters] セクションで [Network Adapter 1] を選択してから [Connected to a VM network] を選択し、VSG のデータ インターフェイスのネットワーク セグメントに対応する適切なネットワークを参照します。

      • [Classification] ドロップダウン リストから、VSG のデータ インターフェイスに対応するポート プロファイルを選択します。

      (注)     

      サービス インターフェイスのネットワーク アダプタを作成する手順 d を繰り返します。

    ステップ 6   [Select Destination] セクションで、[Place the virtual machine in a host] を選択し、VSG を保存するホスト グループをドロップダウンから選択して、[Next] をクリックします。
    ステップ 7   [Select Host] セクションで、VSG に配置するホストを選択し、[Next] をクリックします。
    図 2. Create Virtual Machine ウィザード - Select Host

    ステップ 8   [Configure Settings] セクションで、仮想マシンの設定が正しいことを確認し、[Next] をクリックします。
    ステップ 9   (オプション)[Add Properties] セクションで、[Operating System] ドロップダウン リストから [Other Linux (64-bit)] を選択し、[Next] をクリックします。
    ステップ 10   [Summary] セクションで、[Create] をクリックします。
    ステップ 11   [VMs and Services] タブで VSG を選択し、[Power On] をクリックします。
    ステップ 12   [Connect or View] -> [Connect via Console] を使用して VSG に接続します。

    初期設定の実行

    この項では、Cisco VSG で初期設定を実行し、その初期設定を使用してスタンバイ Cisco VSG を設定する方法について説明します。 スタンバイ Cisco VSG の設定については、セカンダリ Cisco VSG での初期設定の実行の項を参照してください。

    VM インスタンスを右クリックして接続すると、SCVMM ユーザ インターフェイスから VSG VM コンソールに接続できます。


      ステップ 1   VM の [Console] タブに移動します。

      Cisco Nexus 1000V シリーズ スイッチが [Console] ウィンドウを開き、Cisco VSG ソフトウェアを起動します。

      ステップ 2   [Enter] the password for "admin"」プロンプトで、admin アカウントのパスワードを入力し、[Enter] を押します。
      ステップ 3   このプロンプトで、admin アカウントのパスワードを再入力し、[Enter] を押します。
      ステップ 4   Enter HA role[standalone/primary/secondary]」プロンプトで、使用したい HA ロールを入力し、[Enter] キーを押します。
      次のいずれかになります。
      • standalone

      • primary

      • secondary

      ステップ 5   Enter the ha id(1-1024)」プロンプトで、ペアに対する HA ID を入力し、[Enter] を押します。
      (注)     

      前述の手順で secondary を入力した場合は、このシステムの HA ID はプライマリ システムの HA ID と同じである必要があります。

      ステップ 6   基本システム設定を実行したい場合は、「Would you like to enter the basic configuration dialog (yes/no)」プロンプトで、[yes] を入力し、[Enter] を押して、次の手順を実行します。
      1. 「Create another login account (yes/no)[n]」プロンプトで、次のいずれかを実行します。
        • 2 番目のログイン アカウントを作成する場合は、yes を入力し、[Enter] を押します。

        • [Enter] を押します。

      2. 任意: 「Configure read-only SNMP community string (yes/no)[n]」プロンプトで、次のいずれかを実行します。
        • SNMP コミュニティ ストリングを作成する場合は、yes を入力し、[Enter] を押します。

        • [Enter] を押します。

      3. [Enter] the Virtual Security Gateway (VSG) name」プロンプトで、VSG-demo を入力し、[Enter] を押します。
      ステップ 7   Continue with Out-of-band (mgmt0) management configuration? (yes/no)[y]:」プロンプトで、yesを入力し、[Enter] を押します。
      ステップ 8   「Mgmt IPv4 address:」プロンプトで、10.10.10.11 を入力し、[Enter] を押します。
      ステップ 9   Mgmt IPv4 netmask」プロンプトで、255.255.255.0 を入力し、[Enter] を押します。
      ステップ 10   Configure the default gateway? (yes/no)[y]」プロンプトで、yes を入力し、[Enter] を押します。
      ステップ 11   Enable the telnet service? (yes/no)[y]:」プロンプトで、no を入力し、[Enter] を押します。
      ステップ 12   Configure the ntp server? (yes/no)[n]」 プロンプトで、NTP サーバ情報を入力し、[Enter] を押します。

      The following configuration will be applied:

      Interface mgmt0
      ip address 10.10.10.11 255.255.255.0
      no shutdown
      vrf context management
      ip route 0.0.0.0/10.10.11.1
      no telnet server enable 
      ssh key rsa 768 force
      ssh server enable
      feature http-server
      ha-pair id 25
      ステップ 13   Would you like to edit the configuration? (yes/no)[n]」プロンプトで、n を入力し、[Enter] を押します。
      ステップ 14   Use this configuration and save it? (yes/no)[y]:」プロンプトで、y を入力し、[Enter] を押します。
      ステップ 15   「VSG login」プロンプトで、使用したい admin アカウントの名前を入力し、[Enter] を押します。

      デフォルトのアカウント名は admin です。

      ステップ 16   「Password」プロンプトで、admin アカウントのパスワードを入力し、[Enter] を押します。

      これで、Cisco VSG ノードにログインできました。


      VSG での Cisco Prime NSC ポリシー エージェントの設定

      Cisco Prime NSC をインストールした場合は、VSG を Cisco Prime NSC に登録する必要があります。


      (注)  


      Cisco VSG は、Nexus Cloud Services プラットフォームのみで VSB としてサポートされます。


      はじめる前に

      次を確認しておく必要があります。

      • Cisco Prime NSC ポリシー エージェント イメージは、VSG(例、vsghv-pa.2.1.1a.bin)で利用できること。


        (注)  


        イメージ名の中に、太字の vsghv-pa というストリングが表示される必要があります。


      • Cisco Prime NSC の IP アドレス。

      • Cisco Prime NSC のインストール中に定義した共有秘密パスワード。

      • VSG と Cisco Prime NSC 間の IP 接続が機能していること。


        (注)  


        VSG をアップグレードする場合は、最新の Cisco VSG ポリシー エージェント イメージもコピーする必要があります。 このイメージは、フラッシュ ドライブから起動する Cisco Prime NSC イメージ バンドルに同梱されており、Cisco Prime NSC への登録を完了します。



      (注)  


      VSG クロックは Cisco Prime NSC クロックと同期させる必要があります。



        ステップ 1   VSG で、次のコマンドを入力します。
        VSG-Firewall# configure terminal
        Enter configuration commands, one per line.  End with CNTL/Z.
        VSG-Firewall(config)# nsc-policy-agent
        VSG-Firewall(config-nsc-policy-agent)# registration-ip 10.193.72.242
        VSG-Firewall(config-nsc-policy-agent)# shared-secret Sgate123
        VSG-Firewall(config-nsc-policy-agent)# policy-agent-image vnmc-vsgpa.2.1.1b.bin
        VSG-Firewall(config-nsc-policy-agent)# copy running-config startup-config
        [########################################] 100%
        Copy complete, now saving to disk (please wait)...
        VSG-Firewall(config-nsc-policy-agent)# exit
        ステップ 2   Cisco Prime NSC が正しくインストールされ、到達可能になったことを確認するため、show nsc-pa status コマンドを入力し、NSC ポリシー エージェント設定のステータスを確認します。 次の例は、Cisco Prime NSC が到達可能で、インストールが正しく行われたことを示します。
        VSG-Firewall(config)# show nsc-pa status
        NSC Policy-Agent status is - Installed Successfully. Version 2.1(1b)-vsg

        これで、VSG が Cisco Prime NSC に登録されました。


        次の例は、Cisco Prime NSC が到達不能であるか、不適切な IP が設定されていることを示しています。

        vsg# show nsc-pa status
        NSC Policy-Agent status is - Installation Failure
        Cisco Prime NSC not reachable.
        vsg# 
        

        次の例は、NSC ポリシー エージェントが設定されていないだけでなくインストールされていないことを示しています。

        vsg# show nsc-pa status
        NSC Policy-Agent status is - Not Installed

        セカンダリ Cisco VSG での初期設定の実行

        スタンバイ Cisco VSG を設定するには、セカンダリとして指定した Cisco VSG にログインし、その初期設定を次の手順で使用して、セカンダリ Cisco VSG を設定します。


          ステップ 1   VM の [Console] タブに移動します。

          Cisco Nexus 1000V シリーズ スイッチは [Console] ウィンドウを開き、Cisco VSG のソフトウェアを起動します。

          ステップ 2   [Enter] the password for "admin"」プロンプトで、admin アカウントのパスワードを入力し、[Enter] を押します。
          ステップ 3   このプロンプトで、admin アカウントのパスワードを再入力し、Enter を押します。
          ステップ 4   [Enter] HA role[standalone/primary/secondary]」プロンプトで、セカンダリ HA ロールを入力し、[Enter] を押します。
          ステップ 5   Enter the ha id(1-1024)」プロンプトで、HA ペア ID として 25 を入力し、[Enter] を押します。
          (注)     

          HA ID は、HA ペアとしての 2 つの Cisco VSG を固有のものとして識別するものです。 HA ペア内の Cisco VSG を設定する場合は、入力する ID 番号がペア内の他の Cisco VSG と同じであることを確認します。

          ステップ 6   「VSG login」プロンプトで、使用したい admin アカウントの名前を入力し、[Enter] を押します。

          デフォルトのアカウント名は admin です。

          ステップ 7   「Password」プロンプトで、admin アカウントのパスワードを入力し、[Enter] を押します。

          これで、Cisco VSG ノードにログインできました。


          Cisco VSG 設定の確認

          Cisco VSG の設定を表示するには、次の作業を行います。

          コマンド

          目的

          show interface brief

          ステータスとインターフェイスに関する簡単な情報を示します。

          次に、Cisco VSG 設定を確認する例を示します。

          vsg# show interface brief
          --------------------------------------------------------------------------------
          Port     VRF          Status IP Address                            Speed    MTU
          --------------------------------------------------------------------------------
          mgmt0    --           up     10.193.77.217                         1000     1500
          
          

          次の作業

          Cisco VSG をインストールし、初期設定を完了すると、Cisco Prime NSC を通じて Cisco VSG にファイアウォール ポリシーを設定できます。