يصف هذا المستند تكوين كائن نهج المجموعة (GPO) والتحقق منه في القنوات الليفية متعددة المواقع لشبكة VXLAN على المحولات فئة Nexus التي تعمل بنظام التشغيل NX-OS و NDFC 4.2.
cisco يوصي أن يتلقى أنت معرفة من هذا مجال:
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
خيار سياسة المجموعة (GPO) هو آلية تقسيم مستندة إلى السياسة تم تصميمها للتحكم في الاتصال بين نقاط النهاية استنادا إلى الهوية المنطقية بدلا من الاعتماد فقط على عناوين IP أو شبكات VLAN أو الشبكات الفرعية. والغرض الرئيسي من هذا النظام هو تبسيط إنفاذ سياسات الأمان وتوفير تجزئة دقيقة قابلة للتوسع بين التطبيقات أو الخوادم أو أحمال العمل.
التشبيه البسيط هو التفكير في فندق حيث ينتمي كل ضيف إلى فئة معينة أو مستوى وصول محدد، مناطق معينة يمكن الوصول إليها فقط لضيوف معينين، وأذونات الوصول تعتمد على دور الضيف بدلا من رقم الغرفة. يعمل ال GPO بطريقة مشابهة جدا. وبدلا من معالجة نقاط النهاية كعناوين IP فقط، يقوم GPO بتصنيفها إلى مجموعات أمان (SG). ثم يتم تطبيق السياسات بين هذه المجموعات لتحديد الاتصالات المسموح بها أو المرفوضة.
على سبيل المثال:
ومن ثم يمكن للسياسات أن تحدد:
يعمل هذا النهج على تبسيط العمليات لأن المسؤولين لم يعودوا بحاجة إلى الاحتفاظ بأعداد كبيرة من قوائم التحكم في الوصول عبر أجهزة متعددة وشبكات VLAN.
هناك ميزة رئيسية أخرى وهي قابلية التطوير. في البيئات الكبيرة، غالبا ما تقوم أحمال العمل بنقل عناوين IP أو تطويرها ديناميكيا أو تغييرها. يسمح GPO بسياسات الأمان بأن تظل ثابتة حتى عندما يتغير موقع نقطة النهاية. داخل بنى VXLAN EVPN، يقوم GPO بتوسيع هذا المفهوم من خلال توزيع معلومات مجموعة الأمان عبر البنية وفرض قوائم التحكم في الوصول لمجموعة الأمان (SGACLs) بين نقاط النهاية. ويكتسب هذا أهمية خاصة في مراكز البيانات الحديثة لأن حركة المرور بين حمولات العمل في الغرب والشرق تمثل في كثير من الأحيان أكبر سطح هجوم. ويعمل نظام تحديد المواقع العالمي (GPO) على تحسين وضعية الأمان من خلال تحديد مسارات الاتصال غير الضرورية داخل بنية مركز البيانات.
لمزيد من الفهم الفني لبنية GPO ومفاهيم التجزئة الجزئية وإنفاذ سياسة VXLAN، راجع تقرير Cisco الأبيض المتوفر في: تأمين مراكز البيانات باستخدام التجزئة الدقيقة باستخدام VXLAN GPO
GPO في بنية VxLAN
تمثل هذه الطوبولوجيا بنية متعددة المواقع لشبكة VXLAN يتم نشرها عبر موقعين موزعين جغرافيا: المكسيك والولايات المتحدة الأمريكية. يحتوي كل موقع على وحدات BGW مخصصة ومحولات أساسية ومحولات طرفية وأجهزة افتراضية وأجزاء جدار حماية تعمل على محولات Cisco Nexus 9300 مع نظام التشغيل NX-OS 10.6(3)F. تستخدم الشبكة الفرعية مسار فتح أقصر مسار أولا (OSPF)، بينما يستخدم مستوى التحكم التغذوي بروتوكول iBGP داخل كل موقع وبروتوكول eBGP بين BGW-1 و BGW-2 للاتصال بين شبكات VXLAN الداخلية. ونظرا لأن هذه البيئة هي عملية نشر مختبرية، فإن موقعي المكسيك والولايات المتحدة الأمريكية متواصلان من خلال إرتباط متصل مباشرة بين كل من شبكة الحدود البرية لتبسيط نموذج الاتصال متعدد المواقع.
يتم إستخدام كائن نهج المجموعة (GPO) لفرض التقسيم الجزئي القائم على السياسات بين مجموعات الأمان (SG) بشكل مستقل عن عنونة IP أو حدود الشبكة المحلية الظاهرية (VLAN). استنادا إلى جدول سياسة الاتصال، يتم السماح بحركة مرور ICMP من VM-1 إلى VM-2 و FW-1 و FW-2، بينما يتم رفض حركة مرور منفذ TCP 22 (SSH) من VM-1 إلى FW-1 و FW-2. يبقى اتصال منفذ TCP 22 بين VM-1 و VM-2 مسموح به لأن كلا نقطتي النهاية تنتمي إلى مجموعة الأمان نفسها (SG-10001). يوضح هذا السلوك كيف يقوم GPO بإنفاذ سياسات حركة مرور مختلفة بشكل ديناميكي بين الاتصالات داخل GPO والاتصالات بين GPO عبر البنية متعددة المواقع لشبكة VXLAN.
ملاحظة: يقدم الإصدار 10.6(3)F من Cisco NX-OS أنه يمكنك تقييد الاتصال بين نقاط النهاية ضمن نفس مجموعة ESG (المعروفة أيضا باسم SG) باستخدام ميزة العزل بين مجموعات ESG. تعمل هذه الميزة على تقليل مخاطر الوصول غير المصرح به داخل ESG وتحسين حالة الأمان.

يتم تطبيق هذه الخطوات عندما تكون بنية VXLAN متعددة المواقع قيد التشغيل ويتم تكوينها باستخدام NDFC 4.2، ويلزم تنفيذ عملية تحديد المواقع (GPO) بعد ذلك. يعرض أتمتة القسم باستخدام لوحة معلومات Nexus في تأمين مراكز البيانات باستخدام VXLAN GPO التكوين بدءا من إنشاء بنية VXLAN أحادية الموقع.
تحذير: عندما يعمل GPO في بنية VXLAN EVPN، يحدث الاتصال فقط في حالة وجود قابلية الوصول للوجهة ويسمح نهج الأمان لحركة مرور البيانات. يعتمد إنفاذ السياسة على معلومات IP، التي تتطلب إدخالات ARP و SVIs للشبكات الداخلية. هذا يعني أن ال VLAN أن ينتسب إلى المستأجر VRF ينبغي يتلقى SVI يشكل. ونتيجة لذلك، لا ينطبق الإنفاذ على حركة المرور التي تحتوي على رؤوس الطبقة 2 فقط وبالتالي لا يمكن إستخدامها مع امتداد الطبقة 2 للشبكة المحلية الظاهرية (VXLAN). يقدم الإصدار 10.6(2)F من NX-OS دعم التجزئة الدقيقة المستند إلى MAC.
ملاحظة: إذا تم تعيينها على صارم، فيجب أن تكون جميع بنى VXLAN الفرعية مجموعات أمان قادرة وممكنة. في حالة ضبطه على غير محكم، تكون مجموعات الأمان إختيارية في القنوات الليفية التابعة لشبكة VXLAN.
تلميح: للحفاظ على وضوح الرؤية، أستخدم نفس نطاقات معرف مجموعة الأمان (SGT) في البنية الأصلية وفي جميع البنى التابعة. يجب أن يغطي نطاق البنية الأصل النطاقات المستخدمة من قبل جميع البنى التابعة.



يطالبك NDFC تلقائيا بإعادة تحميل مجموعة معينة من محولات Nexus استنادا إلى دورها. في هذا المثال، يجب إعادة تحميل LEAF-1، LEAF-2، BGW-1، و BGW-2. يجب تنفيذ هذا الإجراء يدويا بواسطة مسؤول الشبكة. إعادة التحميل مطلوبة ولا يمكن تخطيها لأن GPO يحتاج إلى نقش TCAM.
ملاحظة: إذا لم يتم إعادة تحميل الجهاز، فيمكن أن يظهر تغيير TCAM في التكوين الجاري تشغيله؛ ومع ذلك، فنظرا لأنه لم تتم إعادة تمهيد المحول، لا يتم تطبيق الإعداد على ذاكرة الأجهزة. ونتيجة لذلك، لا يمكن أن تعمل الميزة كما هو متوقع.
لإعادة تحميل محولات Nexus:
انتقل إلى الإدارة > البنى > المكسيك/الولايات المتحدة > المخزون > المحولات > الوحدة الطرفية 1 / BGW-2 / BGW-2 > الإجراءات > الصيانة > إعادة التحميل.

قم بتعريف مجموعات الأمان لكل نقطة نهاية. يمكن أن يكون لكل نقطة نهاية في بنى VXLAN مجموعة أمان واحدة. بيد أن هذا النهج لا يتسع نطاقه بكفاءة. تجميع نقاط النهاية بشكل عام (من بين أجهزة افتراضية وجدران حماية ومحسنات TCP).
انتقل إلى إدارة > بنى > مجموعات بنيوية > DEVDM3 > التجزئة والأمان > مجموعات التأمين > العمليات > إنشاء مجموعة تأمين.

إختياري، قم بإنشاء VRF.
بشكل افتراضي، يكون ل VRF للمستأجر الذي تم إنشاؤه حديثا وضع فرض السياسة معين على غير مفروض. في هذه الحالة، حتى في حالة تكوين معايير التصنيف وقوائم التحكم في الوصول إلى البنية الأساسية (SGACL) بين مجموعات الأمان، لا يحدث أي تنفيذ لسياسة. لتنشيط فرض SGACL، يجب تكوين VRF بشكل صريح في الوضع "فرض".
عندما يعمل VRF في الوضع "فرض"، يتم تعريف سلوك نهج افتراضي:
يمكن لنقاط النهاية التي تنتمي إلى نفس مجموعة الأمان الاتصال ببعضها البعض دون الحاجة إلى قواعد SGACL. تحدد قوائم التحكم في الوصول الخاصة بالمنفذ (SGACL) سياسات الأمان فقط بين مجموعات الأمان المختلفة.
يقدم الإصدار 10.6(3)F من Cisco NX-OS القدرة على تقييد الاتصال بين نقاط النهاية داخل نفس كائن نهج المجموعة (GPO)، والمعروف أيضا بميزة العزل داخل نظام تحديد المواقع العالمي (GPO). قبل هذا الإصدار، يتم تجاهل القواعد المطبقة على نقاط النهاية ضمن مجموعة الأمان نفسها، ويتم السماح بحركة المرور بشكل افتراضي.
يقوم NDFC تلقائيا بتعيين معرف علامة تمييز عشوائي من النطاق المحدد مسبقا في تكوين البنية. على الرغم من أنه يمكن تحديد معرف علامة تمييز يدويا، إلا أنه يجب أن يقع ضمن النطاق المحدد لكل من البنى التابعة والأصل.
في هذا السيناريو:
إذا لم يتم تمكين خيار الإرفاق، فلن يتم تطبيق مجموعة الأمان على مستأجر Cisco-TAC.
يدعم NDFC 4. 2 بشكل طبيعي ثلاثة أنواع من المحددين:
1) محدد IP: يقوم محددو IP بإقران نقاط النهاية أو الشبكات الفرعية IP مع مجموعة أمان استنادا إلى معلومات IP.
2) محدد الشبكة: يقوم محددون للشبكة بإقران مجموعة أمان بمقطع شبكة VXLAN محدد. يتم تطبيق التصنيف استنادا إلى معرف الشبكة (L2VNI). وترث جميع نقاط النهاية التي تنتمي إلى تلك الشبكة مجموعة الأمان المعينة، والتي تعمل على تبسيط نشر النهج عندما تشترك نقاط نهاية متعددة في نفس المقطع.
3) محدد منافذ الشبكة: تصنف أدوات تحديد منافذ الشبكة حركة المرور استنادا إلى واجهة المحول المادي التي تدخل من خلالها حركة المرور إلى البنية. يمكن تخصيص مجموعة أمان لحركة المرور التي يتم استقبالها على منفذ أو واجهة معينة. يستخدم هذا النهج عادة للأجهزة المتصلة عبر الشبكات الخارجية أو أجهزة الخدمة أو إرتباطات البنية الأساسية حيث لا يمكن تصنيف نقطة النهاية IP.
| في المثال التالي | اسم مجموعة الأمان | VRF | معرف علامة مجموعة الأمان | محددون |
| في إم-1 | SG_VMs | Cisco-TAC | 10001 | محددات IP |
| في إم-2 | SG_VMs | Cisco-TAC | 10001 | محددات IP |
| إف دبليو-1 | SG_FWs | Cisco-TAC | 10002 | محددات IP |
| إف دبليو-2 | SG_FWs | Cisco-TAC | 10002 | محددات IP |
تكوين مجموعة الأمان ل VMs

تكوين مجموعة الأمان ل FWs

يتم إستخدام خيار إنشاء تعريف بروتوكول لتحديد معلمات بروتوكول الشبكة وخصائص حركة مرور البيانات التي تتطابق مع كائن نهج المجموعة (GPO). وهو يسمح للمسؤولين بتحديد معايير مثل نوع البروتوكول وأرقام المنافذ وسمات الحزم الأخرى بحيث يمكن تطبيق السياسة المقابلة على تدفقات حركة المرور المطلوبة.
في هذا السيناريو، الهدف هو السماح بحركة مرور ICMP فقط أثناء الحظر الصريح لحركة مرور TCP على المنفذ 22 (SSH). يضمن هذا النهج أن إختبار إمكانية الوصول إلى الشبكة ما يزال مسموحا به، بينما يتم تقييد الوصول غير المصرح به أو غير المرغوب إلى بروتوكول طبقة الأمان (SSH) يدويا.
انتقل إلى إدارة > بنى > مجموعات بنيوية > DEVDM3 > التجزئة والأمان > تعريفات البروتوكول > العمليات > إنشاء تعريف البروتوكول.
أدخل الاسم والوصف.

انتقل إلى إجراءات > إنشاء إدخال بروتوكول.
الأجزاء: السماح للقاعدة بمطابقة حزم IP المجزأة. وهذا مفيد لأنه يمكن تقسيم الحزم الكبيرة إلى أجزاء عند تجاوز وحدة الحد الأقصى للنقل (MTU) للشبكة. ويضمن تمكين هذا الإجراء تطبيق السياسة أيضا على هذه الأجزاء.
الحالة: فوجود عملية تحدد الحالة يعني أنها تتبع جميع التغييرات أو التفاعلات التي حدثت في الماضي، ويتم تنفيذ عملية حالية في سياق تلك العمليات السابقة. في هذه الحالة، يواصل بروتوكول TCP تعقب المناطق مثل الحزم الرقمية التي سيتم نقلها، ترتيب الحزم وما إذا كان المتلقي قد تلقى حزمة أم لا. مع تحديد خيار حالة، يتم تخزين هذه المعلومات كحالة في TCP.
يتوفر هذا الخيار فقط عندما يتم تحديد TCP في حقل بروتوكول/خيارات IP.
هو يسمح لك بتعريف علامات TCP المستخدمة من قبل بروتوكول الأمان.
تعد علامات TCP جزءا من رأس TCP وتستخدم للتحكم في إنشاء الاتصالات وصيانتها وإنهائها.
الخيارات المتوفرة:


يحدد العقد قواعد الاتصال بين مجموعات نقاط النهاية عن طريق تحديد حركة المرور المسموح بها أو المرفوضة استنادا إلى تعريفات النهج المقترنة. وهو يعمل كآلية إنفاذ تطبق قواعد البروتوكول وعوامل التصفية والإجراءات التي تم تكوينها، مما يضمن تطابق حركة المرور بين مجموعات المصدر والوجهة مع سياسات الأمان والتجزئة المقصودة.
انتقل إلى إدارة > بنى > مجموعات بنيوية > DEVDM3 > التجزئة والأمان > عقود الأمان > إجراءات > إنشاء عقد أمان.
ثنائي الإتجاه:
ينطبق العقد ثنائي الإتجاه كما يلي مع ملخص تطابق تعريف البروتوكول على هيئة IP TCP ميناء 22.
الإتجاه للأمام: يطابق العقد الحزم باستخدام بروتوكول IP، وبروتوكول TCP، ومنفذ وجهة ل 22
عكس الإتجاه: يطابق العقد الحزم باستخدام بروتوكول IP وبروتوكول TCP ومنفذ مصدر من 22.
ينطبق هذا بغض النظر عن المصدر أو الوجهة.


انتقل إلى إدارة > بنى > مجموعات بنيوية > DEVDM3 > التقسيم والأمان > اقترانات التأمين > إجراءات > إنشاء اقتران أمان.
في تكوين اقترانات الأمان، يتم تحديد نموذج السياسة من خلال ربط مجموعات الأمان وتعريفات البروتوكول وعقود الأمان. تصنف مجموعات الأمان نقاط النهاية، وتحدد تعريفات البروتوكول أنواع حركة مرور البيانات (مثل البروتوكولات أو المنافذ)، وتقوم عقود الأمان بتعريف السياسة المطبقة بين مجموعات أمان المصدر والوجهة باستخدام قواعد البروتوكول هذه. تمثل اقترانات الأمان العلاقة التي تربط هذه العناصر معا بحيث يمكن للنسيج تنفيذ سياسات الأمان المحددة.






تحقق ما إذا تم تمكين ميزة مجموعة الأمان على المحول. يعتمد VXLAN GPO على هذه الميزة لأنها تقوم بتنشيط البنية الأساسية لعلامة مجموعة الأمان (SGT) المطلوبة لتصنيف نقطة النهاية وتنفيذ العقد وبرمجة أجهزة SGACL.
BGW-1# show feature | i i security-group
security-group 1 enabled
تحقق من صحة وضع توجيه النظام الذي تم تكوينه وتشغيله على المحول. يتطلب VXLAN GPO وضع توجيه دعم مجموعات الأمان لأن تنفيذ SGACL يستهلك موارد مخصصة لإعادة توجيه الأجهزة داخل أنبوب ASIC.
BGW-1# show system routing mode Configured System Routing Mode: Security-Groups Support Applied System Routing Mode: Security-Groups Support
BGW-1# show nve peers detail ## Details of nve Peers: ---------------------------------------- Peer-Ip: 10.10.10.2 ---------> Corresponds to LEAF-1 Loopback1, used as the local VXLAN NVE source interface. NVE Interface : nve1 Peer State : Up --------> Confirms that the VXLAN tunnel and EVPN adjacency are operational. Peer Uptime : 6d21h --------> Indicates long-term adjacency stability. Router-Mac : 44b6.beb3.b703 --------> Remote VTEP router MAC used for VXLAN forwarding. Peer First VNI : 50012 Time since Create : 6d21h Configured VNIs : 30136,30155,50012 --------> VNIs expected across this VXLAN adjacency. Provision State : peer-add-complete --------> Confirms successful hardware and software programming. Learnt CP VNIs : 30136,30155,50012 --------> Confirms successful EVPN control-plane synchronization. vni assignment mode : SYMMETRIC --------> Symmetric IRB forwarding mode is operational. Peer Location : FABRIC --------> Indicates a local fabric peer. Group policy capable: yes --------> Confirms that the remote VTEP supports Group Policy extensions and can exchange Security Group Tags (SGTs) and contract information. ---------------------------------------- Peer-Ip: 10.20.20.2 ---------> Corresponds to BGW-2 Loopback1, used as the remote BGW NVE source interface. NVE Interface : nve1 Peer State : Up Peer Uptime : 01:36:54 Router-Mac : 4488.1618.f093 Peer First VNI : 30136 Time since Create : 01:36:54 Configured VNIs : 30136,30155,50012 Provision State : peer-add-complete Learnt CP VNIs : 30136,30155,50012 vni assignment mode : SYMMETRIC Peer Location : DCI Group policy capable: yes ---------------------------------------- Peer-Ip: 10.150.150.2 ---------> Corresponds to BGW-2 Loopback100, used as the Multi-Site Loopback interface for DCI communication. NVE Interface : nve1 Peer State : Up Peer Uptime : 01:32:58 Router-Mac : 0200.0a96.9602 Peer First VNI : 30136 Time since Create : 01:32:58 Configured VNIs : 30136,30155,50012 Provision State : peer-add-complete Learnt CP VNIs : 30136,30155,50012 vni assignment mode : SYMMETRIC Peer Location : DCI Group policy capable: yes ----------------------------------------
تحقق من تصنيف نقاط النهاية بشكل صحيح في مجموعات الأمان (SGTs). يعتمد تطبيق VXLAN GPO على تعيينات دقيقة لنقطة النهاية إلى الرقيب.
BGW-1# show security-group id all
Security Group ID 10001 , Name SG_VMs ---------> Security Group assigned to the Virtual Machines endpoint group.
Selector Type : Connected IPv4 Endpoints ---------> Endpoints are classified dynamically based on locally connected IPv4 addresses.
VRF-Name IPv4-Address/mask-len
cisco-tac 10.64.252.226/32 ---------> Endpoint mapped to Security Group 10001.
cisco-tac 10.64.252.228/32 ---------> Endpoint mapped to Security Group 10001.
Security Group ID 10002 , Name SG_FWs ---------> Security Group assigned to the Firewall endpoint group.
Selector Type : Connected IPv4 Endpoints ---------> Endpoint classification occurs using locally learned connected endpoints.
VRF-Name IPv4-Address/mask-len
cisco-tac 10.64.252.10/32 ---------> Firewall endpoint mapped to Security Group 10002.
cisco-tac 10.64.252.11/32 ---------> Firewall endpoint mapped to Security Group 10002.
تحقق من تثبيت عقود GPO لشبكة VXLAN وتشغيلها بشكل صحيح. تحدد العقود قواعد الاتصال التي يتم تنفيذها بين مجموعات الأمان وتمثل آلية السياسة الأساسية التي يستخدمها VXLAN GPO للتجزئة الجزئية.
BGW-1# show contracts detail
VRF: cisco-tac ---------> Confirms that contract enforcement occurs inside the cisco-tac tenant VRF.
Contract source group 10001 dest group 10001 ---------> Policy enforcement between endpoints belonging to Security Group 10001.
Policy: Contract-For-VMs_ICMPv4 Direction: bidir ---------> Bidirectional contract for ICMPv4 traffic.
Stats: 0 ---------> No traffic has matched this contract yet.
Class: ICMPv4 ---------> Traffic classification associated with ICMP traffic.
match ipv4 icmp ---------> Matches ICMPv4 traffic including ping requests and replies.
Action: permit ---------> ICMP traffic is explicitly allowed.
OperSt: enabled ---------> Confirms that the contract is operational.
Contract source group 10001 dest group 10001
Policy: Contract-For-VMs_SSH Direction: bidir
Stats: 0
Class: SSH
match ipv4 tcp stateful dport 22 ---------> Matches SSH traffic using stateful TCP inspection.
Action: deny ---------> SSH traffic is explicitly denied.
OperSt: enabled
Contract source group 10002 dest group 10002
Policy: Contract-For-FWs_ICMPv4 Direction: bidir
Stats: 0
Class: ICMPv4
match ipv4 icmp
Action: permit
OperSt: enabled
Contract source group 10002 dest group 10002
Policy: Contract-For-FWs_SSH Direction: bidir
Stats: 0
Class: SSH
match ipv4 tcp stateful dport 22
Action: deny
OperSt: enabled
تحقق من حالة تنفيذ GPO لشبكة VXLAN لجميع VRFs التي تم تكوينها على المحول. يؤكد هذا الأمر ما إذا كان يتم فرض سياسات SGACL وعقود مجموعة الأمان بشكل نشط داخل VRF الخاص بالمستأجر.
يؤكد الإخراج أن Cisco-tac VRF يشارك بنشاط في فرض VXLAN GPO مع تعيين الوضع على فرض. تحدد علامة الإنفاذ 13648 سياق سياسة SGACL الداخلي المبرمج في الأجهزة ل VRF هذا. يشير سجل رفض الإجراء الافتراضي إلى رفض أي حركة مرور غير مسموح بها بشكل صريح من خلال عقد مجموعة الأمان وتسجيلها، لتنفيذ سياسة رفض التجزئة الجزئية الافتراضية. في المقابل، فإن الإعداد الافتراضي، وأداة تحميل البيانات دقة الوضوح، وأداة إدارة VRFs تعمل في الوضع غير المفروض، مما يعني أن سياسات VXLAN GPO لا يتم تطبيقها ضمن تلك VRFs وأن حركة مرور البيانات مسموح بها بشكل افتراضي.
تتعقب حالات الحقل حركة مرور البيانات المطابقة لنهج أمان VRF. تشير القيمة 0 أسفل Cisco-TAC VRF إلى أنه لا توجد حركة مرور غير متطايرة قامت بتشغيل سلوك الرفض الافتراضي في الوقت الذي تم فيه تنفيذ الأمر، بينما تشير قيمة العداد 4364 أسفل VRF الافتراضي إلى نشاط حركة مرور ضمن VRF تعمل دون تنفيذ VXLAN GPO.
BGW-1# show vrf all security VRF Mode TAG Action Scope Stats ---------------------------------------------------------------------------------------- cisco-tac enforced 13648 deny,log 4 0 default unenforced - permit 1 4364 egress-loadbalance-resolution- unenforced - permit 2 0 management unenforced - permit 3 0
ملاحظة: في أول محاولة لاستعراض إحصائيات حركة مرور البيانات في NDFC 4.2، يمكن أن يظهر قسم المراقبة في البداية فارغا. في هذه الحالة، اضغط على زر Resync لتشغيل مزامنة إحصائيات العقد من بنية VXLAN. أثناء تشغيل عملية المزامنة، تعرض واجهة المستخدم الرسومية حالة إعادة مزامنة الرسالة: قيد التقدم. بعد اكتمال المزامنة، اضغط على الزر موافق لتحديث طريقة العرض المراقبة. بعد انتهاء عملية إعادة التزامن، تصبح إحصائيات حركة مرور البيانات المرتبطة بكل عقد من عقود مجموعة الأمان مرئية في قسم المراقبة. للتحقق من سلوك مطابقة حركة المرور المباشرة، قم بإنشاء حركة مرور البيانات بين نقاط النهاية ثم اضغط مرة أخرى على زر إعادة المزامنة لتحديث إحصائيات العقد المعروضة في NDFC.

FW-1# ping 10.64.252.11
PING 10.64.252.11 (10.64.252.11): 56 data bytes
64 bytes from 10.64.252.11: icmp_seq=0 ttl=254 time=1.131 ms
64 bytes from 10.64.252.11: icmp_seq=1 ttl=254 time=0.694 ms
64 bytes from 10.64.252.11: icmp_seq=2 ttl=254 time=0.675 ms
64 bytes from 10.64.252.11: icmp_seq=3 ttl=254 time=0.657 ms
64 bytes from 10.64.252.11: icmp_seq=4 ttl=254 time=0.648 ms
--- 10.64.252.11 ping statistics ---
5 packets transmitted, 5 packets received, 0.00% packet loss
round-trip min/avg/max = 0.648/0.761/1.131 ms
FW-1# ssh admin@10.64.252.11
ssh: connect to host 10.64.252.11 port 22: Connection timed out
دليل تكوين Cisco Nexus 9000 Series NX-OS VXLAN، الإصدار 10.6(x)
تأمين مراكز البيانات باستخدام VXLAN GPO
نشر التجزئة الصغيرة في بنى EVPN Cisco NX-OS VXLAN باستخدام خيار سياسة مجموعة VXLAN (GPO)
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
24-Jun-2026
|
الإصدار الأولي |