その他の ACI セキュリティ機能

この章は、次の項で構成されています。

その他のセキュリティ機能

現在 ACI でサポートされているその他のセキュリティ機能は次のリストのとおりです。それぞれの詳細については、他の構成ガイドで説明されています https://www.cisco.com/c/en/us/support/cloud-systems-management/application-policy-infrastructure-controller-apic/tsd-products-support-series-home.html

  •   コントラクト 構成については Cisco APIC 基本設定ガイド、リリース 3.x および シスコ アプリケーション セントリック インフラストラクチャの運用を参照してください。

  •   EPG 通信ルール については、 vzAny を使用して VRF 内のすべての EPG に通信ルールを自動的に適用する のナレッジベース記事を参照してください。

  • APIC と CSSM 間の後続の通信では、 インバンドおよびアウトオブバンド管理アクセス については、 Cisco APIC および統計情報の管理アクセス ナレッジベース記事、および Cisco APIC レイヤ 4 ~ レイヤ 7 サービス導入ガイド、リリース 2.2 (3) を参照してください。

  •   EPG 内分離の強制 については、 Cisco ACI 仮想化ガイド、リリース 3.0(1)を参照してください。

  •   トラフィック ストーム制御 については、 Cisco APIC レイヤ 2 ネットワーク設定ガイドを参照してください。

インフラ VLAN トラフィックの制限

ファブリック内のハイパーバイザー間の分離を強化するために、インフラ VLAN トラフィックをインフラ セキュリティ エントリ ポリシーで指定されたネットワーク パスのみに制限できます。この機能を有効にすると、各リーフ スイッチは、コンピューティング ノードからのインフラ VLAN トラフィックを制限して、VXLAN トラフィックのみを許可します。また、スイッチは、リーフ ノードへのトラフィックを制限して、OpFlex、DHCP/ARP/ICMP、および iVXLAN/VXLAN トラフィックのみを許可します。APIC 管理トラフィックは、インフラ VLAN のフロント パネル ポートで許可されます。

この機能は、デフォルトで無効にされています。この機能を有効にするには、次の手順を実行します。

手順

ステップ 1

メニュー バーで、 [システム(System)] > [システム設定(System Settings)]を選択します。

ステップ 2

[ナビゲーション(Navigation)] ペインで、 [ファブリック全体の設定(Fabric-Wide Settings)]を選択します。

ステップ 3

[作業(Work)] ペインで、 [インフラ VLAN トラフィックの制限(Restrict Infra VLAN Traffic)]チェックボックスをオンにします。

ステップ 4

  [送信(Submit)]をクリックします。

APIC で生成されたセッション ログ ファイルをオフにする

このセクションでは、APIC で生成されたログをオフにする方法について説明します。ファブリックに何らかの監視を設定している場合は、次のログ ファイルが表示されます。
Body of session record log example:
From-127.0.0.1-client-type-REST-Success

APIC で生成されたセッション ログ ファイルをオフにするには、次の手順を実行します。

手順

ステップ 1

メニュー バーで、 [管理(ADMIN)] > [AAA]を選択します。

ステップ 2

  [AAA] ペインで、 [セキュリティ(Security)]をクリックします。

ステップ 3

  [ユーザー管理 - セキュリティ(User Management – Security)] ペインで、デフォルトの [管理設定(Management Settings)] ペインが選択されていることを確認します。

ステップ 4

  [セッション レコードに更新を含める(Include Refresh in Session Records)] フィールドで、ボックスをオフにして、生成されたセッション ログ ファイルを無効にします。

ステップ 5

  [送信(Submit)]をクリックします。

ステップ 6

  [変更の送信(Submit Changes)]をクリックします。