Este documento describe la configuración y validación de GPO en fabrics multisitio VXLAN en switches Nexus Cloud Scale que ejecutan NX-OS y NDFC 4.2.
Cisco recomienda que conozca estas áreas:
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
La opción de directiva de grupo (GPO) es un mecanismo de segmentación basado en directivas diseñado para controlar la comunicación entre los extremos basándose en la identidad lógica en lugar de depender únicamente de direcciones IP, VLAN o subredes. El objetivo principal del GPO es simplificar la aplicación de políticas de seguridad y proporcionar microsegmentación escalable entre aplicaciones, servidores o cargas de trabajo.
Una simple analogía es pensar en un hotel donde cada huésped pertenece a una categoría o nivel de acceso específico, ciertas áreas son accesibles solo para huéspedes específicos, y los permisos de acceso dependen de la función del huésped en lugar del número de habitación. GPO funciona de una manera muy similar. En lugar de tratar los extremos exclusivamente como direcciones IP, el GPO los clasifica en grupos de seguridad (SG). A continuación, se aplican políticas entre estos grupos para determinar qué comunicaciones se permiten o deniegan.
Por ejemplo:
A continuación, las políticas pueden definir:
Este enfoque simplifica las operaciones porque los administradores ya no necesitan mantener un gran número de ACL en varios dispositivos y VLAN.
Otra ventaja importante es la escalabilidad. En entornos de gran tamaño, las cargas de trabajo se mueven con frecuencia, se amplían dinámicamente o cambian las direcciones IP. El GPO permite que las políticas de seguridad sean coherentes incluso cuando cambia la ubicación del terminal. Dentro de los fabrics VXLAN EVPN, el GPO amplía este concepto distribuyendo la información del grupo de seguridad por el fabric y aplicando las ACL del grupo de seguridad (SGACL) entre los terminales. Esto es especialmente importante en los Data Centers modernos, ya que el tráfico horizontal entre cargas de trabajo suele representar la mayor superficie de ataque. El GPO mejora el estado de la seguridad al limitar las rutas de comunicación innecesarias dentro del fabric del Data Center.
Para obtener una comprensión técnica más profunda de la arquitectura de GPO, los conceptos de microsegmentación y la aplicación de políticas de VXLAN, consulte el informe técnico de Cisco disponible en: Protección de Data Centers con microsegmentación mediante GPO de VXLAN
GPO en fabric VxLAN
Esta topología representa un fabric de varios sitios VXLAN implementado en dos sitios distribuidos geográficamente: México y Estados Unidos. Cada sitio contiene BGW dedicados, switches de columna, switches de hoja, máquinas virtuales y segmentos de firewall que se ejecutan en switches Cisco Nexus 9300 con NX-OS 10.6(3)F. La red subyacente utiliza Open Shortest Path First (OSPF), mientras que el plano de control de superposición utiliza iBGP dentro de cada sitio y eBGP entre BGW-1 y BGW-2 para la comunicación EVPN entre sitios VXLAN. Dado que este entorno es una implementación de laboratorio, las instalaciones de México y EE. UU. están interconectadas a través de un enlace conectado directamente entre ambos BGW para simplificar el modelo de conectividad multisitio.
El GPO se utiliza para aplicar una microsegmentación basada en políticas entre grupos de seguridad (SG) independientemente del direccionamiento IP o los límites de VLAN. Según la tabla de políticas de conectividad, se permite el tráfico ICMP de VM-1 a VM-2, FW-1 y FW-2, mientras que se deniega el tráfico del puerto TCP 22 (SSH) de VM-1 a FW-1 y FW-2. La comunicación del puerto TCP 22 entre VM-1 y VM-2 sigue estando permitida porque ambos terminales pertenecen al mismo grupo de seguridad (SG-10001). Este comportamiento demuestra cómo el GPO aplica dinámicamente diferentes políticas de tráfico entre las comunicaciones entre GPO y entre GPO a través del entramado de varios sitios de VXLAN.
Nota: Cisco NX-OS Release 10.6(3)F introduce que puede restringir la comunicación entre los terminales dentro del mismo ESG (también conocido como SG) mediante la función de aislamiento intra-ESG. Esta función minimiza el riesgo de acceso no autorizado dentro de ESG y mejora el estado de la seguridad.

Estos pasos se aplican cuando el entramado multisitio VXLAN ya está operativo y configurado con NDFC 4.2, y el GPO debe implementarse posteriormente. La sección Automatización con el panel de Nexus en Protección de Data Centers con microsegmentación mediante GPO VXLAN muestra la configuración a partir de la creación de un fabric de sitio único VXLAN.
Precaución: Cuando el GPO funciona en un fabric VXLAN EVPN, la comunicación se produce sólo si existe disponibilidad de destino y la política de seguridad permite el tráfico. La aplicación de políticas se basa en la información de IP, que requiere entradas ARP y SVI para las redes internas. Esto significa que la VLAN que pertenece al VRF de arrendatario debe tener una SVI configurada. En consecuencia, la aplicación no se aplica al tráfico que contiene solo encabezados de capa 2 y, por lo tanto, no se puede utilizar con la extensión de capa 2 de VXLAN. NX-OS Release 10.6(2)F introduce la compatibilidad con microsegmentación basada en MAC.
Nota: Si se establece en strict, todos los fabrics secundarios VXLAN deben ser capaces y habilitados para grupos de seguridad. Si se establece en flexible, los grupos de seguridad son opcionales en los fabrics secundarios VXLAN.
Consejo: Para mantener una visibilidad clara, utilice los mismos intervalos de ID de etiquetas de grupos de seguridad (SGT) en el fabric principal y en todos los fabric secundarios. La gama de tejidos principales debe cubrir las gamas utilizadas por todos los tejidos secundarios.



NDFC solicita automáticamente que se vuelva a cargar un grupo específico de switches Nexus en función de su función. En este ejemplo, LEAF-1, LEAF-2, BGW-1 y BGW-2 deben volver a cargarse. El administrador de la red debe ejecutar esta acción manualmente. La recarga es necesaria y no se puede omitir porque el GPO requiere la división TCAM.
Nota: Si el dispositivo no se recarga, el cambio TCAM puede aparecer en la configuración en ejecución; sin embargo, dado que el switch no se ha reiniciado, la configuración no se aplica a la memoria de hardware. Como resultado, la función no puede funcionar como se esperaba.
Para volver a cargar los switches Nexus:
Vaya a Manage > Fabrics > MEXICO/USA > Inventory > Switches > LEAF-1 / LEAF-2 / BGW-1 / BGW-2 > Actions > Maintenance > Reload.

Defina los grupos de seguridad para cada terminal. Cada terminal de los fabrics VXLAN puede tener un único grupo de seguridad. Este enfoque no es escalable de manera eficiente. Agrupe los terminales de forma global (máquinas virtuales, firewalls, optimizadores TCP, entre otros).
Vaya a Manage > Fabrics > Fabric groups > DAVIDM3 > Segmentation and security > Security Groups > Actions > Create security group.

Opcional, Crear VRF.
De forma predeterminada, un VRF de arrendatario recién creado tiene el modo de aplicación de políticas establecido en Sin aplicar. En este estado, incluso si se configuran los criterios de clasificación y las SGACL entre los grupos de seguridad, no se aplica ninguna política. Para activar la aplicación de SGACL, el VRF se debe configurar explícitamente en el modo Enforced.
Cuando el VRF funciona en el modo Enforced, se define un comportamiento de la política por defecto:
Los terminales que pertenecen al mismo grupo de seguridad pueden comunicarse entre sí sin necesidad de reglas SGACL. Las SGACL definen las políticas de seguridad solo entre grupos de seguridad diferentes.
Cisco NX-OS versión 10.6(3)F introduce la capacidad de restringir la comunicación entre terminales dentro del mismo GPO, también conocida como función de aislamiento dentro del GPO. Antes de esta versión, las reglas aplicadas a los terminales dentro del mismo grupo de seguridad se ignoran y el tráfico se permite de forma predeterminada.
NDFC asigna automáticamente un ID de etiqueta aleatorio del intervalo predefinido en la configuración de fabric. Aunque se puede seleccionar manualmente un ID de etiqueta, debe estar comprendido en el intervalo definido para los tejidos principal y secundario.
En esta situación:
Si la opción Adjuntar no está habilitada, el grupo de seguridad no se aplica al arrendatario CISCO-TAC.
NDFC 4.2 admite de forma nativa tres tipos de selectores:
1) Selectores IP: los selectores IP asocian extremos o subredes IP a un grupo de seguridad en función de la información IP.
2) Selectores de red: los selectores de red asocian un grupo de seguridad a un segmento de red VXLAN específico. La clasificación se aplica en función del identificador de red (L2VNI). Todos los terminales que pertenecen a esa red heredan el grupo de seguridad asignado, lo que simplifica la implementación de políticas cuando varios terminales comparten el mismo segmento.
3) Selectores de puertos de red: los selectores de puertos de red clasifican el tráfico en función de la interfaz física del switch a través de la cual el tráfico entra en el fabric. Un grupo de seguridad se puede asignar al tráfico recibido en un puerto o interfaz específicos. Este enfoque se utiliza normalmente para dispositivos conectados a través de redes externas, dispositivos de servicio o enlaces de infraestructura en los que la clasificación IP de terminales no es viable.
| Dispositivo | Nombre del grupo de seguridad | VRF | ID de etiqueta de grupo de seguridad | Selectores |
| VM-1 | SG_VM | CISCO-TAC | 10001 | Selectores IP |
| VM-2 | SG_VM | CISCO-TAC | 10001 | Selectores IP |
| FW-1 | SG_FW | CISCO-TAC | 10002 | Selectores IP |
| FW-2 | SG_FW | CISCO-TAC | 10002 | Selectores IP |
Configuración de grupos de seguridad para VM

Configuración del grupo de seguridad para FW

La opción Crear definición de protocolo se utiliza para definir los parámetros del protocolo de red y las características de tráfico que coinciden con un objeto de directiva de grupo (GPO). Permite a los administradores especificar criterios como el tipo de protocolo, los números de puerto y otros atributos de paquete para que la política correspondiente se pueda aplicar a los flujos de tráfico deseados.
En esta situación, el objetivo es permitir solamente el tráfico ICMP mientras se bloquea explícitamente el tráfico TCP en el puerto 22 (SSH). Esta política garantiza que las pruebas de disponibilidad de la red permanezcan permitidas, mientras que el acceso SSH no autorizado o no deseado se restringe manualmente.
Vaya a Administrar > Fabrics > Fabric groups > DAVIDM3 > Segmentation and security > Protocol definition > Actions > Create protocol definition.
Introduzca el nombre y la descripción.

Navegue hasta Acciones > Crear entrada de protocolo.
Fragmentos: Permite que la regla coincida con los paquetes IP fragmentados. Esto es útil porque los paquetes grandes se pueden dividir en fragmentos cuando se excede la MTU de la red. Si activa esta opción, la política también se aplicará a esos fragmentos.
Con estado: Un proceso con estado significa que realiza un seguimiento de todos los cambios o interacciones que ocurrieron en el pasado, y un proceso actual se realiza con un contexto de esos procesos anteriores. En este caso, TCP realiza un seguimiento de áreas tales como el número de paquetes que se van a transferir, el orden de los paquetes y si el receptor ha recibido un paquete o no. Con la opción Stateful seleccionada, esta información se almacena como un estado en TCP.
Esta opción sólo está disponible cuando se selecciona TCP en el campo IP Protocol/Options (Opciones/Protocolo IP).
Permite definir los indicadores TCP que utiliza el protocolo de seguridad.
Los indicadores TCP forman parte del encabezado TCP y se utilizan para controlar el establecimiento, el mantenimiento y la terminación de las conexiones.
Opciones disponibles:


El contrato define las reglas de comunicación entre los grupos de terminales especificando qué tráfico se permite o se deniega en función de las definiciones de políticas asociadas. Actúa como el mecanismo de aplicación que aplica las reglas, filtros y acciones de protocolo configuradas, garantizando que el tráfico entre los grupos de origen y de destino cumple con las políticas de segmentación y seguridad deseadas.
Vaya a Manage > Fabrics > Fabric groups > DAVIDM3 > Segmentation and security > Security Contracts > Actions > Create security contract.
Bidireccionales:
El contrato bidireccional se aplica de la siguiente manera con un resumen de coincidencia de definición de protocolo como Puerto TCP IP 22.
Dirección hacia adelante: El contrato hace coincidir los paquetes mediante el protocolo IP, el protocolo TCP y un puerto de destino de 22
Dirección inversa: El contrato hace coincidir los paquetes mediante el protocolo IP, el protocolo TCP y un puerto de origen de 22.
Esto se aplica independientemente del origen o el destino.


Vaya a Manage > Fabrics > Fabric groups > DAVIDM3 > Segmentation and security > Security associations > Actions > Create security association.
En Configurar asociaciones de seguridad, el modelo de políticas se define vinculando grupos de seguridad, definiciones de protocolo y contratos de seguridad. Los grupos de seguridad clasifican los terminales, las definiciones de protocolo especifican los tipos de tráfico (como protocolos o puertos) y los contratos de seguridad definen la política aplicada entre los grupos de seguridad de origen y de destino utilizando esas reglas de protocolo. Las asociaciones de seguridad representan la relación que une a estos elementos para que el fabric pueda aplicar las políticas de seguridad definidas.






Valide si la función de grupo de seguridad está habilitada en el switch. El GPO de VXLAN depende de esta característica porque activa la infraestructura de Security Group Tag (SGT) necesaria para la clasificación de terminales, la aplicación de contratos y la programación de hardware de SGACL.
BGW-1# show feature | i i security-group
security-group 1 enabled
Valide el modo de ruteo del sistema configurado y operativo en el switch. El GPO de VXLAN requiere el modo de enrutamiento Security-Groups Support porque la aplicación de SGACL consume recursos de reenvío de hardware dedicados en la canalización ASIC.
BGW-1# show system routing mode Configured System Routing Mode: Security-Groups Support Applied System Routing Mode: Security-Groups Support
BGW-1# show nve peers detail ## Details of nve Peers: ---------------------------------------- Peer-Ip: 10.10.10.2 ---------> Corresponds to LEAF-1 Loopback1, used as the local VXLAN NVE source interface. NVE Interface : nve1 Peer State : Up --------> Confirms that the VXLAN tunnel and EVPN adjacency are operational. Peer Uptime : 6d21h --------> Indicates long-term adjacency stability. Router-Mac : 44b6.beb3.b703 --------> Remote VTEP router MAC used for VXLAN forwarding. Peer First VNI : 50012 Time since Create : 6d21h Configured VNIs : 30136,30155,50012 --------> VNIs expected across this VXLAN adjacency. Provision State : peer-add-complete --------> Confirms successful hardware and software programming. Learnt CP VNIs : 30136,30155,50012 --------> Confirms successful EVPN control-plane synchronization. vni assignment mode : SYMMETRIC --------> Symmetric IRB forwarding mode is operational. Peer Location : FABRIC --------> Indicates a local fabric peer. Group policy capable: yes --------> Confirms that the remote VTEP supports Group Policy extensions and can exchange Security Group Tags (SGTs) and contract information. ---------------------------------------- Peer-Ip: 10.20.20.2 ---------> Corresponds to BGW-2 Loopback1, used as the remote BGW NVE source interface. NVE Interface : nve1 Peer State : Up Peer Uptime : 01:36:54 Router-Mac : 4488.1618.f093 Peer First VNI : 30136 Time since Create : 01:36:54 Configured VNIs : 30136,30155,50012 Provision State : peer-add-complete Learnt CP VNIs : 30136,30155,50012 vni assignment mode : SYMMETRIC Peer Location : DCI Group policy capable: yes ---------------------------------------- Peer-Ip: 10.150.150.2 ---------> Corresponds to BGW-2 Loopback100, used as the Multi-Site Loopback interface for DCI communication. NVE Interface : nve1 Peer State : Up Peer Uptime : 01:32:58 Router-Mac : 0200.0a96.9602 Peer First VNI : 30136 Time since Create : 01:32:58 Configured VNIs : 30136,30155,50012 Provision State : peer-add-complete Learnt CP VNIs : 30136,30155,50012 vni assignment mode : SYMMETRIC Peer Location : DCI Group policy capable: yes ----------------------------------------
Valide que los terminales están correctamente clasificados en grupos de seguridad (SGT). La aplicación de GPO de VXLAN depende de asignaciones exactas de punto final a SGT.
BGW-1# show security-group id all
Security Group ID 10001 , Name SG_VMs ---------> Security Group assigned to the Virtual Machines endpoint group.
Selector Type : Connected IPv4 Endpoints ---------> Endpoints are classified dynamically based on locally connected IPv4 addresses.
VRF-Name IPv4-Address/mask-len
cisco-tac 10.64.252.226/32 ---------> Endpoint mapped to Security Group 10001.
cisco-tac 10.64.252.228/32 ---------> Endpoint mapped to Security Group 10001.
Security Group ID 10002 , Name SG_FWs ---------> Security Group assigned to the Firewall endpoint group.
Selector Type : Connected IPv4 Endpoints ---------> Endpoint classification occurs using locally learned connected endpoints.
VRF-Name IPv4-Address/mask-len
cisco-tac 10.64.252.10/32 ---------> Firewall endpoint mapped to Security Group 10002.
cisco-tac 10.64.252.11/32 ---------> Firewall endpoint mapped to Security Group 10002.
Valide que los contratos GPO de VXLAN estén correctamente instalados y en funcionamiento. Los contratos definen las reglas de comunicación aplicadas entre los grupos de seguridad y representan el mecanismo de política principal utilizado por el GPO de VXLAN para la microsegmentación.
BGW-1# show contracts detail
VRF: cisco-tac ---------> Confirms that contract enforcement occurs inside the cisco-tac tenant VRF.
Contract source group 10001 dest group 10001 ---------> Policy enforcement between endpoints belonging to Security Group 10001.
Policy: Contract-For-VMs_ICMPv4 Direction: bidir ---------> Bidirectional contract for ICMPv4 traffic.
Stats: 0 ---------> No traffic has matched this contract yet.
Class: ICMPv4 ---------> Traffic classification associated with ICMP traffic.
match ipv4 icmp ---------> Matches ICMPv4 traffic including ping requests and replies.
Action: permit ---------> ICMP traffic is explicitly allowed.
OperSt: enabled ---------> Confirms that the contract is operational.
Contract source group 10001 dest group 10001
Policy: Contract-For-VMs_SSH Direction: bidir
Stats: 0
Class: SSH
match ipv4 tcp stateful dport 22 ---------> Matches SSH traffic using stateful TCP inspection.
Action: deny ---------> SSH traffic is explicitly denied.
OperSt: enabled
Contract source group 10002 dest group 10002
Policy: Contract-For-FWs_ICMPv4 Direction: bidir
Stats: 0
Class: ICMPv4
match ipv4 icmp
Action: permit
OperSt: enabled
Contract source group 10002 dest group 10002
Policy: Contract-For-FWs_SSH Direction: bidir
Stats: 0
Class: SSH
match ipv4 tcp stateful dport 22
Action: deny
OperSt: enabled
Valide el estado de aplicación de GPO de VXLAN para todos los VRF configurados en el switch. Este comando confirma si las políticas SGACL y los contratos del grupo de seguridad se aplican activamente dentro del VRF del arrendatario.
El resultado confirma que el VRF de Cisco-Tac participa activamente en la aplicación de GPO de VXLAN con el modo establecido en forzado. La etiqueta de aplicación 13648 identifica el contexto de política SGACL interno programado en el hardware para este VRF. El registro de denegación de acciones predeterminado indica que se deniega y registra todo el tráfico no permitido explícitamente a través de un contrato de grupo de seguridad, lo que implementa una política de microsegmentación de denegación predeterminada. Por el contrario, los VRF predeterminados de gestión, resolución y equilibrio de carga de salida y gestión funcionan en modo no aplicado, lo que significa que las políticas de GPO de VXLAN no se aplican dentro de esos VRF y el tráfico está permitido de forma predeterminada.
El campo Stats realiza un seguimiento del tráfico que coincide con la política de seguridad VRF. El valor 0 bajo el VRF cisco-tac indica que ningún tráfico sin coincidencia activó el comportamiento de negación predeterminado en el momento en que se ejecutó el comando, mientras que el valor del contador 4364 bajo el VRF predeterminado indica actividad de tráfico dentro de un VRF que funciona sin la aplicación del GPO de VXLAN.
BGW-1# show vrf all security VRF Mode TAG Action Scope Stats ---------------------------------------------------------------------------------------- cisco-tac enforced 13648 deny,log 4 0 default unenforced - permit 1 4364 egress-loadbalance-resolution- unenforced - permit 2 0 management unenforced - permit 3 0
Nota: En el primer intento de revisar las estadísticas de tráfico en NDFC 4.2, la sección de monitoreo puede aparecer inicialmente vacía. En esta situación, pulse el botón Resync para activar la sincronización de las estadísticas de contrato desde el fabric VXLAN. Mientras se ejecuta el proceso de sincronización, la GUI muestra el mensaje Resync status: En curso. Una vez completada la sincronización, presione el botón Ok para actualizar la vista de monitoreo. Una vez finalizada la resincronización, las estadísticas de tráfico asociadas a cada contrato de grupo de seguridad se vuelven visibles en la sección de supervisión. Para validar el comportamiento de coincidencia de tráfico en vivo, genere tráfico entre los terminales y luego presione el botón Resync nuevamente para actualizar las estadísticas de contrato mostradas en NDFC.

FW-1# ping 10.64.252.11
PING 10.64.252.11 (10.64.252.11): 56 data bytes
64 bytes from 10.64.252.11: icmp_seq=0 ttl=254 time=1.131 ms
64 bytes from 10.64.252.11: icmp_seq=1 ttl=254 time=0.694 ms
64 bytes from 10.64.252.11: icmp_seq=2 ttl=254 time=0.675 ms
64 bytes from 10.64.252.11: icmp_seq=3 ttl=254 time=0.657 ms
64 bytes from 10.64.252.11: icmp_seq=4 ttl=254 time=0.648 ms
--- 10.64.252.11 ping statistics ---
5 packets transmitted, 5 packets received, 0.00% packet loss
round-trip min/avg/max = 0.648/0.761/1.131 ms
FW-1# ssh admin@10.64.252.11
ssh: connect to host 10.64.252.11 port 22: Connection timed out
Guía de configuración de VXLAN NX-OS para Cisco Nexus serie 9000, versión 10.6(x)
Protección de Data Centers con microsegmentación mediante GPO VXLAN
| Revisión | Fecha de publicación | Comentarios |
|---|---|---|
1.0 |
24-Jun-2026
|
Versión inicial |