Cisco VSG(レイヤ 2 モード)の VSM 上のポート プロファイルの設定
仮想スーパーバイザ モジュール(VSM)のポート プロファイルで vn-service パラメータを設定できます。
はじめる前に
設定手順を開始する前に、次の点を理解または実行しておく必要があります。
• Cisco VSG ソフトウェアをインストールし、基本インストールを完了します。詳細については、『 Cisco Virtual Security Gateway, Release 4.2(1)VSG1(3.1) and Cisco Virtual Network Management Center, Release 1.3 Installation and Upgrade Guide 』を参照してください。
• スイッチに NEXUS_VSG_SERVICES_PKG ライセンスをインストールする必要があります。保護対象の仮想イーサネット モジュール(VEM)の数に対して十分なライセンスがあることを確認してください。
• データ IP アドレスおよび管理 IP アドレスを設定します。データ IP アドレスを設定するには、『 Cisco Virtual Security Gateway, Release 4.2(1)VSG1(3.1) and Cisco Virtual Network Management Center, Release 1.3 Installation and Upgrade Guide 』を参照してください。
• サービスおよびハイ アベイラビリティ(HA)インターフェイス用の Cisco VSG ポート プロファイルの作成を完了します。「Cisco VSG 設定時の注意事項および制限事項」を参照してください。
• EXEC モードでスイッチ CLI にログインします。
手順の概要
1. configure
2. port-profile port-profile-name
3. org org-name
4. vn-service ip-address ip-address vlan vlan-id [fail {open | close}] [security- profile security-profile-name ]
5. (任意)copy running-config startup-config
6. exit
手順の詳細
|
|
|
ステップ 1 |
configure Example: n1000v# configure n1000v(config)# |
グローバル コンフィギュレーション モードに切り替えます。 |
ステップ 2 |
port-profile port-profile-name Example: n1000v(config-port-prof)# port-profile host-profile n1000v(config-port-prof)# |
名前付きポート プロファイルのポート プロファイル コンフィギュレーション モードを開始します。ポート プロファイルがない場合は、次の特性を使用して作成されます。 port-profile-name :ポート プロファイルの名前は最大 80 文字の英数字で、Cisco VSG 上の各ポート プロファイルに対して一意である必要があります。 |
ステップ 3 |
org org-name Example: n1000v(config-port-prof)# org root/Tenant-A n1000v(config-port-prof)# |
Cisco VSG ポート プロファイルの組織名を指定します。 |
ステップ 4 |
vn-service ip-address
ip-address
vlan
vlan-id [
fail {
open |
close }] [
security-profile
security-profile-name ]
Example: n1000v(config-port-prof)# vn-service ip 100.1.1.100 vlan 1000 profile vnsp-1 n1000v(config-port-prof)# |
Cisco VSG の IP アドレス、VLAN ID、およびプロファイルを設定します。オプションでフェールセーフの設定が可能です。 (注) IP アドレスは、Cisco VSG のデータ インターフェイス(data0)IP アドレスと一致する必要があります。 (注) セキュリティ プロファイルの名前を指定しない場合は、デフォルトの名前が使用されます。セキュリティ プロファイルの名前は、Cisco VSG で作成されたセキュリティ プロファイルと一致する必要があります。 |
ステップ 5 |
copy running-config startup-config Example: n1000v(config-port-prof)# copy running-config startup-config n1000v(config-port-prof)# |
(任意)コンフィギュレーションの変更を保存します。 |
ステップ 6 |
exit Example: n1000v(config-port-prof)# exit n1000v(config)# |
コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。 |
Cisco VSG(レイヤ 3 モード)の VSM 上のポート プロファイルの設定
仮想スーパーバイザ モジュール(VSM)のポート プロファイルで vn-service パラメータを設定できます。
はじめる前に
この手順を開始する前に、次のことを確認または実行してください。
• Cisco VSG ソフトウェアをインストールし、基本インストールを完了します。詳細については、『 Cisco Virtual Security Gateway, Release 4.2(1)VSG1(3.1) and Cisco Virtual Network Management Center, Release 1.3 Installation and Upgrade Guide 』を参照してください。
• スイッチに NEXUS_VSG_SERVICES_PKG ライセンスをインストールする必要があります。保護対象の仮想イーサネット モジュール(VEM)の数に対して十分なライセンスがあることを確認してください。
• データ IP アドレスおよび管理 IP アドレスを設定します。データ IP アドレスを設定するには、 『 Cisco Virtual Security Gateway, Release 4.2(1)VSG1(3.1) and Cisco Virtual Network Management Center, Release 1.3 Installation and Upgrade Guide 』 を参照してください。
• VEM がレイヤ 3 モードの Cisco VSG と通信する場合は、元のパケットに 94 バイトの追加ヘッダーが追加されます。トラフィックが Cisco Nexus 1000V と Cisco VSG の間を通過するネットワーク インターフェイス用のこの拡張ヘッダーに対応するために、MTU を少なくとも 1594 バイトに設定しておく必要があります。これらのインターフェイスには、アップリンク ポート プロファイル、プロキシ ARP ルータ、仮想スイッチまたは他のインターフェイスを含めることができます。
• ジャンボ フレームがネットワーク内でイネーブルの場合は、クライアントおよびサーバ VM の MTU を、アップリンク ポート プロファイル MTU より少なくとも 94 バイト小さく設定する必要があります。たとえば、アップリンク ポート プロファイル MTU が 9000 バイトに設定されている場合は、VM の MTU は 8906 バイト以下でなければなりません。
• サービスおよびハイ アベイラビリティ(HA)インターフェイス用の Cisco VSG ポート プロファイルの作成を完了します。詳細については、「Cisco VSG 設定時の注意事項および制限事項」を参照してください。
• EXEC モードでスイッチ CLI にログインします。
手順の概要
1. configure
2. port-profile port-profile-name
3. org org-name
4. vn-service ip-address ip-address l3-mode [fail {open | close}] [security- profile security-profile-name ]
5. (任意)copy running-config startup-config
6. exit
手順の詳細
|
|
|
ステップ 1 |
configure Example: n1000v# configure n1000v(config)# |
グローバル コンフィギュレーション モードに切り替えます。 |
ステップ 2 |
port-profile port-profile-name Example: n1000v(config-port-prof)# port-profile host-profile n1000v(config-port-prof)# |
名前付きポート プロファイルのポート プロファイル コンフィギュレーション モードを開始します。ポート プロファイルがない場合は、次の特性を使用して作成されます。 port-profile-name :ポート プロファイルの名前は最大 80 文字の英数字で、Cisco VSG 上の各ポート プロファイルに対して一意である必要があります。 |
ステップ 3 |
org org-name Example: n1000v(config-port-prof)# org root/Tenant-A n1000v(config-port-prof)# |
Cisco VSG ポート プロファイルの組織名を指定します。 |
ステップ 4 |
vn-service ip-address ip-address l3-mode [ fail { open | close }] [ security-profile security-profile-name ] Example: n1000v(config-port-prof)# vn-service ip 100.1.1.100 l3-mode profile vnsp-1 n1000v(config-port-prof)# |
Cisco VSG の IP アドレス、レイヤ 3 モード、およびポート プロファイルを設定します。オプションでフェールセーフの設定が可能です。 (注) IP アドレスは、Cisco VSG のデータ インターフェイス(data0)IP アドレスと一致する必要があります。 (注) セキュリティ プロファイルの名前を指定しない場合は、デフォルトの名前が使用されます。セキュリティ プロファイルの名前は、Cisco VSG で作成されたセキュリティ プロファイルと一致する必要があります。 |
ステップ 5 |
copy running-config startup-config Example: n1000v(config-port-prof)# copy running-config startup-config n1000v(config-port-prof)# |
(任意)コンフィギュレーションの変更を保存します。 |
ステップ 6 |
exit Example: n1000v(config-port-prof)# exit n1000v(config)# |
コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。 |
レイヤ 3 モード VSG カプセル化のための vmknic の設定
次の手順を実行することにより、レイヤ 3 モードでカプセル化された Cisco VSG の vmknic を設定できます。
はじめる前に
この手順を開始する前に、次のことを確認または実行してください。
• レイヤ 3 モードでカプセル化されたトラフィックで Cisco VSG の転送に使用する VLAN を識別します。レイヤ 3 モードの Cisco VSG を設定できるすべての VEM のアップリンク ポート プロファイルに VLAN が設定されていることを確認してください。
手順の概要
1. configure terminal
2. port-profile profilename
3. vmware port-group name
4. switchport mode access
5. switchport access vlan id
6. capability l3-vn-service
7. no shutdown
8. state enabled
9. ( 任意 )show port-profile name profilename
10. ( 任意 )copy running-config startup-config
手順の詳細
|
|
|
ステップ 1 |
configure terminal Example: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
port-profile profilename Example: switch(config)# port-profile vmknic-pp switch(config-port-prof) |
名前付きポート プロファイルのポート プロファイル コンフィギュレーション モードを開始します。ポート プロファイルがない場合は、次の特性を使用して作成されます。 • profilename :ポート プロファイルの名前は最大 80 文字で、Cisco Nexus 1000V 上の各ポート プロファイルに対して一意である必要があります。 (注) ポート プロファイルを Ethernet タイプとして設定すると、VMware 仮想ポートの設定には使用できなくなります。 |
ステップ 3 |
vmware port-group name Example: switch(config-port-prof)# vmware port-group switch(config-port-prof)# |
ポート プロファイルを VMware ポート グループとして指定します。 ポート プロファイルは、名前を指定しない場合、同じ名前の VMware ポート グループにマッピングされます。vCenter Server に VSM を接続すると、ポート グループが vCenter Server 上の仮想スイッチに配信されます。 |
ステップ 4 |
switchport mode access Example: switch(config-port-prof)# switchport mode access switch(config-port-prof)# |
インターフェイスがスイッチ アクセス ポート(デフォルト)であることを指定します。 |
ステップ 5 |
switchport access vlan id Example: switch(config-port-prof)# switchport access vlan 100 switch(config-port-prof) |
このポート プロファイルに VLAN ID を割り当てます。 |
ステップ 6 |
capability l3-vn-service Example: switch(config-port-prof)# capability l3-vn-service switch(config-port-prof) |
capability l3-vn-service をポート プロファイルに割り当て、レイヤ 3 モードでカプセル化されたトラフィックでこのポート プロファイルを継承するインターフェイスが Cisco VSG の送信元として使用されるようにします。 |
ステップ 7 |
no shutdown Example: switch(config-port-prof)# no shutdown switch(config-port-prof) |
管理上の目的でプロファイル内のすべてのポートをイネーブルにします。 |
ステップ 8 |
state enabled Example: switch(config-port-prof)# state enabled switch(config-port-prof) |
ポート プロファイルの動作ステートを設定します。 |
ステップ 9 |
show port-profile name profilename Example: switch# show port-profile vmknic-pp |
(任意)ポート プロファイルの設定を表示します。 |
ステップ 10 |
copy running-config startup-config Example: switch# copy running-config startup-config |
(任意)実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。 |
vsn type コマンドによる Cisco VSG の設定
Cisco VSG は仮想サービス ノード(VSN)です。Cisco VSG の VSN が機能するように設定するには、vsn type vsg global コマンドを使用して Cisco VSG のグローバル コンフィギュレーション モードを開始します。
はじめる前に
この手順を開始する前に、次のことを確認または実行してください。
• Cisco VSG ソフトウェアをインストールし、基本インストールを完了します。詳細については、『 Cisco Virtual Security Gateway, Release 4.2(1)VSG1(3.1) and Cisco Virtual Network Management Center, Release 1.3 Installation and Upgrade Guide 』を参照してください。
• スイッチに NEXUS_VSG_SERVICES_PKG ライセンスをインストールする必要があります。保護対象の VEM の数に対して十分なライセンスがあることを確認してください。
• データの IP アドレスおよび管理 IP アドレスを設定する必要があります。データ IP アドレスを設定するには、 『 Cisco Virtual Security Gateway, Release 4.2(1)VSG1(3.1) and Cisco Virtual Network Management Center, Release 1.3 Installation and Upgrade Guide 』 を参照してください。
• サービスおよび HA インターフェイス用の Cisco VSG ポート プロファイルの作成を完了します。
• EXEC モードでスイッチ CLI にログインします。
手順の概要
1. configure
2. vsn type vsg global
手順の詳細
|
|
|
ステップ 1 |
configure Example: vsm# configure vsm(config)# |
グローバル コンフィギュレーション モードに切り替えます。 |
ステップ 2 |
vsn type vsg global Example: vsm(config)# vsn type vsg global vsm(config-vsn)# |
VSN コンフィギュレーション モードを開始します。 |
vPath のすべての Cisco VSG VSN の TCP ステートチェックの設定
vPath 機能上の Cisco VSG の TCP ステートチェックはデフォルトでイネーブルです。ただし、この機能によって生成された情報が、特に関心のあるその他の情報を隠さないようにする場合など、この機能をディセーブルしたいことがあります。
はじめる前に
この手順を開始する前に、次のことを確認または実行してください。
• Cisco VSG ソフトウェアをインストールし、基本インストールを完了します。詳細については、『 Cisco Virtual Security Gateway, Release 4.2(1)VSG1(3.1) and Cisco Virtual Network Management Center, Release 1.3 Installation and Upgrade Guide 』を参照してください。
• スイッチに NEXUS_VSG_SERVICES_PKG ライセンスをインストールする必要があります。保護対象の VEM の数に対して十分なライセンスがあることを確認してください。
• データの IP アドレスおよび管理 IP アドレスを設定する必要があります。データ IP アドレスを設定するには、 『 Cisco Virtual Security Gateway, Release 4.2(1)VSG1(3.1) and Cisco Virtual Network Management Center, Release 1.3 Installation and Upgrade Guide 』 を参照してください。
• サービスおよび HA インターフェイス用の Cisco VSG ポート プロファイルの作成を完了します。
• EXEC モードでスイッチ CLI にログインします。
手順の概要
1. configure
2. vsn type vsg global
3. tcp state-checks
4. no tcp state-checks
5. exit
6. exit
手順の詳細
|
|
|
ステップ 1 |
configure Example: vsm# configure vsm(config)# |
グローバル コンフィギュレーション モードに切り替えます。 |
ステップ 2 |
vsn type vsg global Example: vsm(config)# vsn type vsg global vsm(config-vsn)# |
VSN コンフィギュレーション モードを開始します。 |
ステップ 3 |
tcp state-checks Example: vsm(config-vsn)# tcp state-checks vsm(config-vsn)# |
vPath のすべての Cisco VSG VSN で TCP ステート チェックをイネーブルにします。(これはデフォルト ステータスです)。 |
ステップ 4 |
no tcp state-checks Example: vsm(config-vsn)# no tcp state-checks vsm(config-vsn)# |
TCP ステートチェック機能をディセーブルにします。 |
ステップ 5 |
exit Example: vsm(config-vsn)# exit vsm(config)# |
VSN コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。 |
ステップ 6 |
exit Example: vsm(config)# exit vsm# |
グローバル コンフィギュレーション モードを終了し、EXEC モードに戻ります。 |
Cisco VSG の設定の確認
Cisco VSG に関する情報を表示するために、スイッチ CLI 上で次のいずれかの作業を実行します。
コマンドの表示
|
|
show license usage Example: vsm# show license usage |
Cisco Nexus 1000V シリーズ スイッチの Cisco VSG ライセンスの使用状況が記載された表を表示します。 |
show license usage NEXUS_VSG_SERVICES_PKG Example: vsm# show license usage NEXUS_VSG_SERVICES_PKG |
ライセンス パッケージ NEXUS_VSG_SERVICES_PKG の使用状況を表示します。 |
show vsn {statistics | brief | {detail [{{vlan vlan-num [ip ip-addr]} | module module-num}]}} Example: vsm# show vsn statistics detail vlan 1 |
設定、MAC アドレス、関連する Cisco VSG および仮想イーサネット モジュール(VEM)のステート、Cisco VSG がバインドされた仮想イーサネット インターフェイス(vEths)、および Cisco VSG に関連するすべての VEM モジュールの仮想サービス ノード(VSN)の統計情報に関する情報を表示します。 |
これらのコマンド出力のフィールドの詳細については、『 Cisco Nexus 1000V Command Reference, Release 4.2(1)SV1(5.1) 』を参照してください。
レイヤ 2 モードの vPath ping コマンド
Cisco VSG VSN のさまざまな接続や到達可能属性を確認するには、vPath ping コマンドを使用できます。
レイヤ 2 モードの vPath ping コマンドの構文は次のとおりです。
ping vsn {all | {ip ip-addr [vlan vlan-num]}} src-module {all | vpath-all | module-num} [timeout secs] [count {count | unlimited}]
例
次に、VSN 接続を確認する方法を示します(到達可能な場合)。
VSM-1# ping vsn all src-module all
ping vsn 106.1.1.1 vlan 54 from module 3 5, seq=0 timeout=1-sec
module(usec) : 3(156) 5(160)
ping vsn 110.1.1.1 vlan 54 from module 3 5, seq=0 timeout=1-sec
module(failed) : 3(VSN ARP not resolved) 5(VSN ARP not resolved)
ping vsn 106.1.1.1 vlan 54 from module 3 5, seq=1 timeout=1-sec
module(usec) : 3(230) 5(151)
ping vsn 110.1.1.1 vlan 54 from module 3 5, seq=1 timeout=1-sec
module(failed) : 3(VSN ARP not resolved) 5(VSN ARP not resolved)
ping vsn 106.1.1.1 vlan 54 from module 3 5, seq=2 timeout=1-sec
module(usec) : 3(239) 5(131)
ping vsn 110.1.1.1 vlan 54 from module 3 5, seq=2 timeout=1-sec
module(failed) : 3(VSN ARP not resolved) 5(VSN ARP not resolved)
ping vsn 106.1.1.1 vlan 54 from module 3 5, seq=3 timeout=1-sec
module(usec) : 3(248) 5(153)
ping vsn 110.1.1.1 vlan 54 from module 3 5, seq=3 timeout=1-sec
module(failed) : 3(VSN ARP not resolved) 5(VSN ARP not resolved)
ping vsn 106.1.1.1 vlan 54 from module 3 5, seq=4 timeout=1-sec
module(usec) : 3(259) 5(126)
ping vsn 110.1.1.1 vlan 54 from module 3 5, seq=4 timeout=1-sec
module(failed) : 3(VSN ARP not resolved) 5(VSN ARP not resolved)
次に、VSN ping オプションが表示される例を示します。
all All VSNs associated to VMs
次に、VSN ping オプションがすべての送信元モジュールに表示される例を示します。
VSM-1# ping vsn all src-module ?
vpath-all All modules having VMs associated to VSNs
次に、指定した IP アドレスからのすべての送信元モジュールに ping をセットアップする例を示します。
VSM-1# ping vsn ip 10.1.1.60 src-module all
ping vsn 10.1.1.60 vlan 501 from module 4 5 7, seq=0 timeout=1-sec
module(usec) : 4(301) 5(236)
module(failed) : 7(VSN ARP not resolved)
ping vsn 10.1.1.60 vlan 501 from module 4 5 7, seq=1 timeout=1-sec
module(usec) : 4(241) 5(138) 7(270)
ping vsn 10.1.1.60 vlan 501 from module 4 5 7, seq=2 timeout=1-sec
module(usec) : 4(230) 5(155) 7(256)
ping vsn 10.1.1.60 vlan 501 from module 4 5 7, seq=3 timeout=1-sec
module(usec) : 4(250) 5(154) 7(284)
ping vsn 10.1.1.60 vlan 501 from module 4 5 7, seq=4 timeout=1-sec
module(usec) : 4(231) 5(170) 7(193)
次に、指定した IP アドレスのすべての Vpath 送信元モジュールに ping をセットアップする例を示します。
VSM-1# ping vsn ip 10.1.1.60 src-module vpath-all
ping vsn 10.1.1.60 vlan 501 from module 4 5, seq=0 timeout=1-sec
module(usec) : 4(223) 5(247)
ping vsn 10.1.1.60 vlan 501 from module 4 5, seq=1 timeout=1-sec
module(usec) : 4(206) 5(167)
ping vsn 10.1.1.60 vlan 501 from module 4 5, seq=2 timeout=1-sec
module(usec) : 4(241) 5(169)
次に、指定した IP アドレスのすべての送信元モジュールに、タイムアウトおよびカウントとともに ping をセットアップする例を示します。
VSM-1# ping vsn ip 10.1.1.60 src-module all timeout 2 count 3
ping vsn 10.1.1.60 vlan 501 from module 4 5 7, seq=0 timeout=2-sec
module(usec) : 4(444) 5(238) 7(394)
ping vsn 10.1.1.60 vlan 501 from module 4 5 7, seq=1 timeout=2-sec
module(usec) : 4(259) 5(154) 7(225)
ping vsn 10.1.1.60 vlan 501 from module 4 5 7, seq=2 timeout=2-sec
module(usec) : 4(227) 5(184) 7(216)
レイヤ 3 モードの vPath ping コマンド
例
vsm# ping vsn ip 10.1.1.40 src-module vpath-all
ping vsn 10.1.1.40 vlan 0 from module 9 11 12, seq=0 timeout=1-sec
module(usec) : 9(698) 11(701) 12(826)
ping vsn 10.1.1.40 vlan 0 from module 9 11 12, seq=1 timeout=1-sec
module(usec) : 9(461) 11(573) 12(714)
ping vsn 10.1.1.40 vlan 0 from module 9 11 12, seq=2 timeout=1-sec
module(usec) : 9(447) 11(569) 12(598)
ping vsn 10.1.1.40 vlan 0 from module 9 11 12, seq=3 timeout=1-sec
module(usec) : 9(334) 11(702) 12(559)
ping vsn 10.1.1.40 vlan 0 from module 9 11 12, seq=4 timeout=1-sec
module(usec) : 9(387) 11(558) 12(597)
vsm# ping vsn all src-module all
ping vsn 10.1.1.44 vlan 501 from module 9 10 11 12, seq=0 timeout=1-sec
module(failed) : 10(VSN ARP not resolved) 11(VSN ARP not resolved)
ping vsn 10.1.1.40 vlan 0 from module 9 10 11 12, seq=0 timeout=1-sec
module(usec) : 9(974) 11(987) 12(1007)
module(failed) : 10(VSN ARP not resolved)
ping vsn 10.1.1.44 vlan 501 from module 9 10 11 12, seq=1 timeout=1-sec
module(usec) : 9(277) 10(436) 11(270) 12(399
)
ping vsn 10.1.1.40 vlan 0 from module 9 10 11 12, seq=1 timeout=1-sec
module(usec) : 9(376) 10(606) 11(468) 12(622)
ping vsn 10.1.1.44 vlan 501 from module 9 10 11 12, seq=2 timeout=1-sec
module(usec) : 9(272) 10(389) 11(318) 12(357)
ping vsn 10.1.1.40 vlan 0 from module 9 10 11 12, seq=2 timeout=1-sec
module(usec) : 9(428) 10(632) 11(586) 12(594)
ping vsn 10.1.1.44 vlan 501 from module 9 10 11 12, seq=3 timeout=1-sec
module(usec) : 9(284) 10(426) 11(331) 12(387)
ping vsn 10.1.1.40 vlan 0 from module 9 10 11 12, seq=3 timeout=1-sec
module(usec) : 9(414) 10(663) 11(644) 12(698)
ping vsn 10.1.1.44 vlan 501 from module 9 10 11 12, seq=4 timeout=1-sec
module(usec) : 9(278) 10(479) 11(334) 12(469)
ping vsn 10.1.1.40 vlan 0 from module 9 10 11 12, seq=4 timeout=1-sec
module(usec) : 9(397) 10(613) 11(560) 12(593)
次の作業
保護スイッチ上の Cisco VSG ポート プロファイルの設定を完了したら、vCenter 上の Cisco VSG ファイアウォール保護用 VM へのポート プロファイルの割り当てに進みます。