エンドポイント セキュリティ グループ（ESG）は、Cisco Application Centric Infrastructure（ACI）のネットワーク セキュリティ コンポーネントです。エンドポイントグループ（EPG）では Cisco ACI のネットワーク セキュリティを提供してきましたが、EPG は単一のブリッジドメインに関連付けられ、ブリッジドメイン内のセキュリティ ゾーンを定義するために使用する必要があります。これは、EPG が転送とセキュリティ セグメンテーションの両方を同時に定義するためです。ブリッジドメインと EPG の間の直接的な関係により、EPG が複数のブリッジドメインにまたがる可能性は制限されています。EPG のこの制限は、新しい ESG 構造を使用することで解決できます。

EPG を表すアプリケーション エンドポイントグループ（fvAEPg）オブジェクトは、レイヤ 2 ブロードキャストドメインを表すブリッジドメイン オブジェクト (fvBD) と直接関係があります。これは、上の図の最初の 3 列に示されています。

ESG は、物理または仮想ネットワークエンドポイントの収集を含む論理エンティティです。さらに、ESG はブリッジドメインではなく単一の VRF（仮想ルーティングおよび転送）インスタンスに関連付けられます。これにより、ブリッジドメインから独立したセキュリティ ゾーンの定義が可能になります（図 1 の 4 番目の列は、この点を示しています）。EPG がブリッジドメインをセキュリティ ゾーンに分割するのと同様に、ESG は VRF インスタンスをセキュリティ ゾーンに分割します。

EPG ポリシーには、転送ロジックとセキュリティロジックの両方が組み込まれています。たとえば、EPG は、VLAN に基づくセキュリティゾーンだけでなく、リーフノードインターフェイスでの VLAN バインドも提供します。また EPG のコントラクトによってセキュリティを強化し、ブリッジドメイン サブネットを展開する必要があるリーフ ノードと、VRF ルート リーク（共有サービス）の場合にどのサブネットをどの VRF インスタンスにリークするかを決定するために使用されます。逆に、ESG はコントラクトによってセキュリティを強化するためにのみ使用され、転送ロジックは他のコンポーネントによって処理されます。ESG では、ブリッジドメイン サブネットの展開や VRF ルート リークなどのルーティング ロジックが VRF レベルに移動します。リーフノード インターフェイスの VLAN バインドは、引き続き EPG レベルで処理されます。

ESG はどのエンドポイントが ESG に属するかを定義する特定の一致基準を持つセキュリティコンストラクトであり、コントラクトまたはポリシーを使用してセキュリティスタンスを定義します。一致基準は、関連付けられた VRF インスタンスのブリッジドメインにまたがる IPv4 または IPv6 アドレス、またはエンドポイント MAC アドレスに関連付けられたタグなどの属性に基づく ESG セレクタと呼ばれます。これらのセレクタおよびその他のサポートされているセレクタタイプの詳細については、「セレクターについて」 を参照してください。

ESG でのコントラクトの使用は、EPG と同じです。同じ ESG に属するエンドポイントは、コントラクトを必要とせずに通信できます。異なる ESG に属するエンドポイント間の通信を有効にするには、ESG 間のコントラクトを構成する必要があります。Cisco ACI ファブリックの外部にあるデバイスと通信するには、L3Out 外部 EPG（l3extInstP）と ESG の間のコントラクトを構成する必要があります。ESG 間のコントラクトと組み合わせて、レイヤ 4 ～ レイヤ 7 サービスグラフを使用することもできます。ただし、EPG と ESG 間のコントラクトはサポートされていません。

コントラクトは、アクセスコントロールリスト（ACL）に相当する Cisco ACI です。ESG は、コントラクト規則に従う場合に限り、他の ESG と通信できます。管理者は契約を使用して、許可されているプロトコルとポートを含む ESG 間をパス可能なトラフィックの種類を選択します。ESG は、コントラクトのプロバイダー、コンシューマー、またはプロバイダーとコンシューマーの両方になることができ、複数のコントラクトを同時に使用できます。複数の ESG が優先グループに属する他の ESG と自由に通話できるように、ESG は優先グループに属することもできます。

サポートされているコントラクト関係：

1. ESG ⇔ ESG

2. ESG ⇔ L3Out EPG

3. ESG ⇔ インバンド EPG

4. ESG ⇔ vzAny

ESG と EPG（または uSeg EPG）の間のコントラクトはサポートされていません。ESG のエンドポイントが EPG の他のエンドポイントと通信する必要がある場合、他のエンドポイントを最初に ESG に移行する必要があります。 vzAny または優先グループは、移行中に代替として使用できます。コントラクト継承、ESG 内コントラクト、ESG 内分離など、uSeg EPG でサポートされるその他のコントラクト関連機能も ESG でサポートされます。例外は、ESG でサポートされていない禁止コントラクトです。

エンドポイントが別の VRF によって共有されるサービスを必要とする場合、通信を行うために必要なことが 2 つあります。まず、ルーティングの到達可能性です。2 つ目はセキュリティ許可です。EPG では、これら 2 つは EPG サブネットや契約などの 1 セットの設定で密接に結合されています。ESG では、これら 2 つは 2 つの異なる設定で分離されています。

1. ESG 契約の設定とは独立した、VRF レベルでのルート リークの設定。

2. ESG 間の契約の設定。

これら 2 つの設定が完全に分離されているため、EPG で行う必要があるように、ESG の下にサブネットまたはサブネットのサブセットを設定する必要はありません。

次のセクションでは、ブリッジ ドメイン サブネットおよび外部ルーターから学習した外部プレフィックスのルート リークを設定する方法について説明します。ルート リークの設定が完了したら、2 つの ESG 間、または ESG と L3Out EPG 間の契約を設定して、通信を許可できます。グローバルなど、VRFより大きい範囲の契約を使用する必要があります。

（注）	VRF レベルでのルート リーク設定は、ESG でのみサポートされます。

EPG で使用できるすべてのレイヤ 4 ～ レイヤ 7 サービス グラフ機能は、ESG でサポートされます。

（注）

このメモは、高度なユーザー情報の実装の詳細です。ESG 間のコントラクトにサービスグラフが適用されている場合、Cisco Application Policy Infrastructure Controller (APIC) では、レイヤ 4 ～ レイヤ 7 サービスデバイスが適用される非表示サービス EPG を、 Cisco APIC が EPG 間のサービスグラフに行うのと同じように自動的に作成します。EPG 間のサービス グラフとは異なり、ESG の場合、隠しサービス EPG はグローバル pcTag を取得します。 Cisco APIC リリース 5.0(1) 以降のリリースでは、vzAny-to-vzAny コントラクトでレイヤ 4 ～ レイヤ 7 サービス展開用に作成されるすべての新しいサービス EPG は、グローバル pcTag を取得します。

レイヤ 4 ～ レイヤ 7 サービス展開の詳細については、『Cisco APIC レイヤ 4 ～ レイヤ 7 サービス導入ガイド』を参照してください。

[Capacity Dashboard] タブを使用して、重要なファブリック リソースのしきい値の概要を把握できます。これにより、承認されるスケーラビリティ制限にどの程度まで近づいているかを即座に確認できます。リーフ ノードごとの使用量も表示されるため、どのリーフ ノードがリソース制約に達しているかをすぐに確認できます。

1. [容量ダッシュボード（Capacity Dashboard）] トラブルシューティング ツールを起動するには、メニュー バーで、[操作（Operations）][容量ダッシュボード（Capacity Dashboard）] の順に選択します。

2. [容量ダッシュボード（Capacity Dashboard）] ページで、ファブリック リソースの [ファブリック容量（Fabric Capacity）] を選択します。[エンドポイント セキュリティ グループ（Endpoint Security Groups）] タイルと[グローバル pcTag（Global pcTag）] タイルまでスクロール ダウンして、使用可能なリソースを確認します。

3. [容量ダッシュボード（Capacity Dashboard）] ページで、リーフの使用状況として [リーフ容量（Leaf Capacity）] を選択します。エンドポイント セキュリティ グループのリソース使用量の詳細については、[ESG] タブを確認してください。

[エンドポイントトラッカー（Endpoint Tracker）] タブを使用して、ファブリックに適用されたエンドポイントの IP アドレスまたは MAC アドレスを入力すると、このエンドポイントのロケーション、エンドポイントが属するエンドポイントグループ、使用されている VLAN カプセル化、このエンドポイントで移行（フラップ）が発生しているかどうかをすばやく確認できます。

1. メニュー バーで、[操作（Operations）] > [EP トラッカー（EP Tracker）] の順にクリックして、エンドポイント トラッカーのトラブルシューティング ツールを起動します。

2. [End Point Search] フィールドに、エンドポイントの IP アドレスまたは MAC アドレスを入力し、[Search] をクリックします。

3. 表示された後にエンドポイントをクリックします。

エンドポイントトラッカー ツールでは、イベント中の IP アドレス、MAC アドレス、所有するエンドポイントグループ、アクション（適用または解除）、物理ノード、インターフェイス、および VLAN カプセル化とともに、各状態遷移の日時が表示されます。

エンドポイント トラッカー ツールは、fvCEp と呼ばれるオブジェクトを使用して、ESG および EPG について、ファブリックで学習されたエンドポイントを見つけます。ESG に属するエンドポイントは 2 つの fvCEp オブジェクトで表されます。1 つは VLAN バインドを提供する EPG 用で、もう 1 つはセキュリティを提供する ESG 用です。したがって、エンドポイントトラッカーツールは、ESG エンドポイントに使用すると、2 つのエントリが表示されます（EPG 用と ESG 用）。

エンドポイント セキュリティ グループ（ESG）を使用するときに、次のガイドラインと制限を使用します：

• ESG と EPG 間の契約はサポートされていません。

• ESG 機能は Cisco ACI マルチサイト と統合されていません。マルチポッド、マルチティア、リモート リーフなどの他のトポロジがサポートされています。

• ESG コントラクトは、セレクターとして IP を使用するルーティング トラフィックにのみ適用できます。詳細については、IP ベース セレクターによるレイヤー 2 トラフィック制限を参照してください。

• ESG 内コントラクトが構成されている場合、拒否ルールと許可ルールが自動的に作成されます。拒否ルールは、ポリシーで明示的に有効になっていませんが、ESG 内の分離を適用します。

• VMware vCenter からのタグなど、VMM 統合を通じて派生したポリシー タグを使用する場合は、完全な VMM 統合が必要です。読み取り専用の VMM 統合では不十分です。

• タブー契約は ESG ではサポートされていません。

• ESG は、SPAN の送信元または接続先として指定できません。

• ESG 展開では、EX 以降の世代のリーフ ノードのみがサポートされます。

• 同じ VLAN のエンドポイントを異なる ESG に分類する場合、分離ポートを備えたプライベート VLAN を中間の非Cisco ACI スイッチ（存在する場合）で構成して、トラフィックが Cisco ACIに到達する前にこれらのスイッチがトラフィックを切り替えないようにする必要があります。EPG が VMM VMware DVS 統合に使用される場合は、VMware ポート グループでプライベート VLAN を自動的に有効にする [マイクロセグメンテーションを許可（Allow Micro-Segmentation）] オプションを有効にします。

  （注）

  このメモでは、すべてを許可するルールを使用した EPG 内契約と、プロキシ ARP を使用した EPG 内の分離の違いについて説明します。両方の機能の主な目的は同じで、プロキシ ARP を使用して、ACI リーフ スイッチ上ですべてのトラフィックをルートするようにすることです。EPG 間契約が使用される場合、プロキシ ARP は EPG に対して暗黙的に有効になることに注意してください。違いは、ESG に属していないが、EPG で学習されたエンドポイントが 2 つ以上ある場合です。すべてを許可するルールを使用した EPG 内契約では、このようなエンドポイントは、すべてを許可するルールにより同じ EPG 内で引き続き自由に通信できます。ただし、プロキシ ARP を使用した EPG 内分離では、そのようなエンドポイントは同じ EPG にある場合でも通信できなくなります。 マイクロセグメンテーションを許可するが 有効である場合、EPG への VMM ドメインの関連付けの 解決の即時性は 無視され、EPG の VLAN がハイパーバイザーに接続されているすべての ACI スイッチ インターフェイスに展開されている場合は、 オンデマンド と 即時 の混合として動作します。 VMM 統合仮想スイッチを備えたホストのうち、少なくとも 1 つに EPG VLAN に接続された 1 つの VM がある場合。

• 契約を ESG に追加する場合、ラベル設定はサポートされていません。

5.2(3) リリース以降、次の機能または構成がサポートされています。

• ESG 間の VRF 間サービス グラフ

• ESG シャットダウン

• ホストベースのルーティング/ホストルート アドバタイズメント

• ESG は、次の機能のソースまたは接続先としてサポートされていません。

  • オンデマンド原子カウンター

  • オンデマンド遅延測定

• ブリッジ ドメインまたは EPG レベルで設定された次の機能は、ブリッジ ドメインまたは EPG 内のエンドポイントが ESG に分類される場合、指定された制限付きでサポートされます。

  • エンドポイント到達可能性（ブリッジ ドメイン/EPG 上の静的ルート）

    • この機能によって指定された MAC または IP アドレスは、EPG セレクタを使用してのみ ESG に分類できます。

    • 静的 IP アドレス（静的ルート）とそのネクストホップ IP アドレスは、同じ ESG に属している必要があります。

  • エニーキャスト サービス

    • この機能によって指定された MAC または IP アドレスは、EPG セレクタを使用してのみ ESG に分類できます。

  • Microsoft NLB

    • この機能によって指定された MAC または IP アドレスは、EPG セレクタを使用してのみ ESG に分類できます。

    • この機能で指定された IP アドレスを VRF レベルのルート リークを使用して別の VRF インスタンスにリークする場合、内部ブリッジ ドメイン サブネットのルート リークを使用して、IP アドレスの /32 または /128 ルートを明示的にリークする必要があります。詳細については、GUI を使用した内部ブリッジ ドメイン サブネットのルート リークの設定 を参照してください。

  • First Hop Security (FHS)

    • FHS は、EPG セレクタを使用した場合に ESG とマッチする uSeg EPG では、サポートされません。uSeg EPG から ESG に移動する必要があるエンドポイントに FHS が必要な場合は、IP サブネットやタグセレクタなどの他のセレクタを使用してそれらのエンドポイントを ESG に分類し、uSeg EPG からはマッチング基準を削除してください。次に、ベース EPG で FHS を構成します。

    • EPG セレクタを使用して EPG が ESG とマッチすると、FHS バインドテーブルと、対応するエンドポイントはフラッシュされます。トラフィックは、ARP、 DHCPなどを使用してバインドテーブルが更新されるまでは、機能しません。

EPG と ESG の間のコントラクトは、Cisco APIC リリース 5.0(1) ではサポートされていません。したがって、既存の EPG 展開を最小限の影響で ESG に移行するために、vzAny を使用して、移行中に EPG と ESG エンドポイント間の通信を許可できます。

VRF 内の ESG への移行の場合

次の手順では、プロバイダー EPG の EPG4 から始めて、同じ VRF 内の ESG に EPG を移行する方法について説明します。

1. 例に示すように、最初に ESG サービスを作成します。

2. ESG サービスをプロバイダー、vzAny をコンシューマーとして使用して、新しいコントラクトを構成します。これにより、EPG1、EPG2、および EPG3 の既存のコンシューマー EPG エンドポイントと、新しく作成された ESG サービス間の通信が可能になります。

3. 次に、適切なエンドポイント セレクタを構成することにより、プロバイダー EPG EPG4 のエンドポイントを ESG サービスに移行します。

4. これで、プロバイダー EPG EPG4 の ESG への移行が完了します。

5. VRF vzAny と同じコントラクトを消費する ESG IT および Sales を作成して、個々のコンシューマー EPG、つまり EPG1、EPG2 および EPG3 の移行を準備します。

   注：代わりに、ESG IT と販売のそれぞれの細かいコントラクトを構成できます。このような場合、ESG サービスからの新しいコントラクトも提供する必要があります。

6. 次に、ESG IT および Sales のセレクタを構成することにより、コンシューマー エンドポイントを ESG に移行します。

7. すべてのコンシューマー EPG の移行が完了すると、管理者は VRF vzAny コンシューマー構成を削除できます。

VRF を介した ESG への移行のため

EPG との共有サービスの場合、管理者は、コントラクトを介した VRF 間でのルート リークのために、プロバイダー EPG の下にサブネットを作成する必要があります。上の例の図に示したように、

• provBD の一部であるプロバイダ EPG EPG4 には、 VRF 間で共有 範囲が有効に設定されたサブネット 192.168.1.1/24 があります。

• コンシューマ EPG である EPG1、EPG2、および EPG3 は 、VRF 間で共有 範囲が有効になっているサブネット 172.16.1.1/24 を持つ ConsBD の一部です。

次の手順では、プロバイダー EPG の EPG4 から始まる共有サービスの場合に EPG を ESG に移行する方法について説明します。

1. まだ存在しない場合は、ProvBD（プロバイダー EPG の BD）にサブネット 192.168.1.1/24 を作成します。

   注: VRF範囲間で共有する 必要はありません。

2. プロバイダー ESG サービス を作成します。

3. ESG サービスをプロバイダー、コンシューマー VRF を vzAny コンシューマーとして使用して、新しいコントラクトを構成します。これにより、EPG1、EPG2、および EPG3 の既存のコンシューマー EPG エンドポイントと、新しく作成された ESG サービス間の通信が可能になります。

4. EPG4 のサブネット 192.168.1.1/24 を削除します。

5. このサブネットが削除されると、VRF 間のトラフィックフローが停止します。

6. プロバイダーとコンシューマー VRF 間の VRF レベルでの ESG ルート リーク ポリシーの作成に進みます。コンシューマー VRF で、サブネット 172.16.1.0/24 をプロバイダー VRF にリークします。プロバイダー VRF で、サブネット 192.168.1.0/24 をコンシューマー VRF にリークします。

7. 次に、適切なエンドポイント セレクタを構成することにより、プロバイダー EPG EPG4 のエンドポイントを ESG サービスに移行します。

8. VRF 間のトラフィックフローが復元されます。これで、プロバイダー EPG EPG4 の ESG への移行が完了します。

9. VRF vzAny と同じコントラクトを消費する ESG IT および Sales を作成して、個々のコンシューマー EPG、つまり EPG1、EPG2 および EPG3 の移行を準備します。

   注：代わりに、ESG IT と販売のそれぞれの細かいコントラクトを構成できます。このような場合、ESG サービスからの新しいコントラクトも提供する必要があります。これらのコントラクト（詳細または vzAny によって消費される）は、グローバルなどの VRF よりも大きい範囲を持つ必要があります。

10. 次に、ESG IT および Sales のセレクタを構成することにより、コンシューマー エンドポイントを ESG に移行します。

11. オプションで、この BD が他の共有サービスに参加していない場合、管理者はコンシューマ BD サブネット 172.16.1.1/24 の VRF 間共有 範囲を削除できます。また、共有サービスに使用される EPG コントラクトの関連付けをクリーンアップします。

12. すべてのコンシューマー EPG の移行が完了すると、管理者は VRF vzAny コンシューマー構成を削除できます。

EPG 共有サービスと ESG 共有サービスのガイドライン

• プロバイダー EPG の下のサブネット プレフィックスが、VRF レベルの ESG ルート リーク ポリシーを介してリークされたルートとまったく同じ場合、管理者は ESG を構成する前に、EPG サブネット (または共有サービス コントラクト) が削除されていることを確認する必要があります。 VRF レベルのルート リーク ポリシー。これにより、同じプレフィックスの設定の重複を防ぐことができます。

• プロバイダー EPG の下のサブネット プレフィックスが VRF レベルの ESG ルート リーク ポリシーを介してリークされたルートのサブセットである場合、管理者はプロバイダー EPG サブネットを削除する前に ESG ルート リーク ポリシーを作成できます。ただし、プロバイダー EPG サブネット内のトラフィックは、プロバイダー EPG サブネットが削除されるまで ESG セキュリティに従いません。

  （注）	この構成は、プロバイダー BD が ESG ルート リーク ポリシーを介してリークされたルートと同じサブネットまたはそれよりも大きなサブネットを持っている場合にのみ有効です。

• プロバイダー EPG の下のサブネット プレフィックスが VRF レベルの ESG ルート リーク ポリシーを介してリークされたルートのスーパーセットの場合、管理者はプロバイダー EPG サブネットを削除する前に ESG ルート リーク ポリシーを作成できます。ESG ルート リーク ポリシーを介してリークされたルート内のトラフィックは、プロバイダー EPG サブネットを削除せずに ESG セキュリティに従います。

手順：

<polUni> 
  <fvTenant name="t0"> 
    <fvAp name="ap0"> 
      <!-- ESG with the name ESG1 and Preferred Group as Exclude --> 
      <fvESg name="ESG1" prefGrMemb="exclude"> 
          <!-- The ESG is associated to VRFA --> 
          <fvRsScope tnFvCtxName="VRFA" /> 

          <!-- provided and consumed contracts --> 
          <fvRsProv tnVzBrCPName="provided_contract1" /> 
          <fvRsCons tnVzBrCPName="consumed_contract2" /> 

          <!-- Tag Selectors for the ESG -->
          <fvTagSelector matchKey="stage" valueOperator="equals" matchValue="production"/>
          <fvTagSelector matchKey="owner" valueOperator="contains" matchValue="teamA"/>
          <fvTagSelector matchKey=“__vmm::vmname" valueOperator="regex" matchValue="web_[0-9]+"/>

          <!-- EPG Selectors for the ESG -->
          <fvEPgSelector matchEpgDn="uni/tn-TK/ap-AP1/epg-EPG1-1"/>
          <fvEPgSelector matchEpgDn="uni/tn-TK/ap-AP1/epg-EPG1-2"/>

          <!-- IP Subnet Selectors for the ESG -->
          <fvEPSelector matchExpression="ip=='192.168.0.1/32'" />
          <fvEPSelector matchExpression="ip=='192.168.1.0/28'" />
          <fvEPSelector matchExpression="ip=='2001:23:45::0:0/64'" />
      </fvESg> 
    </fvAp> 
  </fvTenant> 
</polUni>

 

はじめる前に

漏洩する BD サブネット、または漏洩したサブネットを含む BD サブネットを設定しておく必要があります。

手順：

<polUni>
  <fvTenant name="t0">
    <fvCtx name="VRFA">
      <leakRoutes>
        <!--
            leak the BD subnet 192.168.1.0/24 with the Allow L3Out Advertisement
            False (i.e. scope private)
        -->
        <leakInternalSubnet ip="192.168.1.0/24" scope="private">
          <!--
              leak the BD subnet to Tenant t1 VRF VRFB with the
              Allow L3Out Advertisement configured in the parent
              scope (i.e. scope inherit)
          -->
          <leakTo ctxName="VRFB" tenantName="t1" scope="inherit" />
        </leakInternalSubnet>
      </leakRoutes>
    </fvCtx>
  </fvTenant>
</polUni>

 

はじめる前に

ソース VRF「VRFA」で L3Out を設定しておく必要があり、外部プレフィックスが学習されます。

手順：

<polUni>
  <fvTenant name="t0">
    <fvCtx name="VRFA">
      <leakRoutes>
        <!--
            leak the external prefixes in the range of
            10.20.0.0/17 and 10.20.0.0/30
        -->
        <leakExternalPrefix ip="10.20.0.0/16" ge="17" le="30">
          <!-- leak the external prefixes to Tenant t1 VRF VRFB -->
          <leakTo ctxName="VRFB" tenantName="t1" />
        </leakExternalPrefix>
      </leakRoutes>
    </fvCtx>
  </fvTenant>
</polUni>