この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
この項では、次のトピックについて取り上げます。
VM を管理するには、Nexus 1000V ポート プロファイルに設定されている少なくとも 1 つのネットワーク インターフェイスを持つ VM を検出します。
Resource Manager は、論理的なエッジ ファイアウォールとコンピュート ファイアウォール、また、それぞれ、それらの ASA 1000V および VSG との関連付けを管理します。 エッジ ファイアウォールが ASA 1000V に関連付けられている場合、(エッジ ファイアウォールにより定義された)デバイス設定プロファイル情報は ASA 1000V にプッシュされます。今度はこれにより ASA 1000V が起動され、Policy Manager からセキュリティ プロファイルおよびポリシーをダウンロードします。
仮想化により、同じ物理マシン上で隣どうしで独立して動作する複数の VM を作成できます。 各 VM には仮想 RAM、仮想 CPU と NIC、およびオペレーティング システムとアプリケーションがあります。 仮想化により、オペレーティング システムは、実際の物理ハードウェア コンポーネントに関係なく、一貫性のあるハードウェア一式を認識します。
VM は、保存、コピー、プロビジョニングを高速化するためにファイルにカプセル化されます。つまり、システム全体、設定済みアプリケーション、オペレーティング システム、BIOS、仮想ハードウェアを数秒で 1 つの物理サーバから別のサーバに移動できます。 カプセル化されたファイルでは、ダウンタイムを生じさせることなくメンテナンスを行い、作業負荷をとぎれることなく統合できます。
Cisco VNMC のインスタンスは VM にインストールされます。
各 vPath コンポーネントは、VSG ポリシー評価結果をキャッシュに入れるためのフロー テーブルを維持します。
VNMC では、エッジ ファイアウォール オブジェクトは ASA 1000V インスタンスに関連付けられています。 関連付けられたら、ASA 1000V デバイス タイプの該当するすべてのプロファイル タイプは ASA 1000V インスタンスにプッシュされます。 エッジ ファイアウォール オブジェクトと同じ組織レベルで作成されたすべてのエッジ プロファイル オブジェクトは、そのデバイスにプッシュされます。
VNMC では、コンピュート ファイアウォールを追加、編集、削除できます。 また、VSG をコンピュート ファイアウォールに割り当てることができ、それによって VSG を稼働させます。 ここでは、これらのアクティビティについてさらに詳しく説明します。
この手順では、VNMC にコンピュート ファイアウォールを追加して、それを VSG に追加して VSG を動作状態にする方法について説明します。
新しいコンピュート ファイアウォールを追加する場合、ファイアウォールがさまざまな組織パスを持っている限り、ファイアウォール データの IP アドレスは VNMC 内の既存のコンピュート·ファイアウォールのデータ IP アドレスと同じにすることができます。 つまり、ファイアウォールが、親と子の組織を含む同じ組織内に存在していない限り、上記のことが言えます。
(注) |
コンピュート ファイアウォールは、ルート レベルではなく、テナント レベル以下に追加することを推奨します。 |
必要に応じて、既存のコンピュート ファイアウォールを編集することができます。
ステップ 1 | [Resource Management] タブで、[Managed Resources] > [root] > [tenant] > [Compute Firewalls] を選択します。ここで [tenant] は必須のテナントです。 |
ステップ 2 | [General] タブで、編集するコンピュート ファイアウォールをクリックし、[Edit] をクリックします。 |
ステップ 3 | [Edit] ダイアログボックスで、必要に応じて次のフィールドを変更し、[OK] をクリックします。 |
フィールド | 説明 |
---|---|
Name |
コンピュート ファイアウォール名(読み取り専用)。 |
Description |
ファイアウォールの簡単な説明。 |
Pool Name |
コンピュート ファイアウォールに割り当てられているプール(存在する場合)。 一度にコンピュート ファイアウォールに割り当てられるプールは 1 つだけです。 プールを変更する場合は、[Assign Pool] をクリックします。 |
States |
|
Config State |
次のいずれかのコンピュート ファイアウォール設定状態:[not-applied]、[applying]、[failed-to-apply]、または [applied]。 |
Association State |
次のいずれかのコンピュート ファイアウォール設定状態:[unassociated]、[associating]、[associated]、[disassociating]、または [failed]。 |
Faults Associated with Firewall |
ファイアウォールに関連付けられている障害を表示します。 この情報は、コンピュート ファイアウォールが VSG に関連付けられている場合のみ使用可能です。 |
View Device Faults |
デバイスに関連付けられている障害を表示します。 この情報は、コンピュート ファイアウォールが VSG に関連付けられている場合のみ使用可能です。 |
Firewall Settings |
|
Device Profile |
ファイアウォールに関連付けられているデバイス プロファイル。 デバイス プロファイルを変更する場合は、[Select] をクリックし、目的のプロファイルを選択します。 |
Management Hostname |
コンピュート ファイアウォールの管理ホスト名。 |
Data IP Address |
コンピュート ファイアウォール データ IP アドレス。 各 VEM で動作する vPath コンポーネントは、データ IP アドレスを使用して、VSG の MAC アドレスを特定します(ARP 経由)。 VSG MAC アドレスが解決されると、vPath は MAC カプセル化の MAC を使用して VSG と通信できます。 その後、VM によって新しいフローが始まるたびに、vPath はフローの最初のパケットをポリシー評価のために VSG に送信します。 vPath は、VSG ポリシーの決定をフロー テーブルのキャッシュに入れます。 これは、Nexus 1000v ポート プロファイルの vservice CLI コマンドで設定された IP アドレスと同じです。 |
Data IP Subnet |
ファイアウォール データ IP サブネット マスク。 |
VSG Details この情報は、コンピュート ファイアウォールが VSG に関連付けられている場合のみ使用可能です。 |
|
Task |
クリックすると、[Edit VSG] ダイアログボックスが開きます。 |
VSG Service ID |
VSG の内部識別番号。 |
VSG Mgmt IP |
VSG 管理 IP アドレス。 |
HA Role |
VSG のハイ アベイラビリティ(HA)ロール:HA またはスタンドアロン モード。 |
Association |
VSG の関連付けの状態:[unassociated]、[associating]、[associated]、[disassociating]、または [failed]。 |
Reachable |
VSG に到達できるかどうか。 |
フィールド | 説明 |
---|---|
Show Resolved Policies |
クリックすると、コンピュート ファイアウォールに適用されたセキュリティ ポリシーを表示したり、必要に応じてそれを変更したりすることができます。 このオプションは、選択されたプロファイルが対応する VSM ポート プロファイル内で設定されている場合のみ使用可能です。 |
Properties |
コンピュート ファイアウォールに関連付けられているポート プロファイルのプロパティを表示します。 |
Compute Security Profile |
コンピュート ファイアウォール セキュリティ プロファイルの名前。 |
Port Profile |
関連付けられているポート プロファイルの名前。 |
Org |
組織の識別名(DN)。 |
VSG Data IP |
VSG データ IP アドレス。 |
Config State |
VSG の設定状態。 |
ステップ 1 | [Resource Management] > [Managed Resources] > [root] > [tenant] > [Compute Firewalls] を選択します。 |
ステップ 2 | [General] タブで、削除するコンピュート ファイアウォールをクリックし、[Delete] をクリックします。 |
ステップ 3 | 確認の画面が表示されたら、削除を確認します。 |
ステップ 1 | [Resource Management] > [Managed Resources] > [root] > [tenant] > [Compute Firewalls] を選択します。 |
ステップ 2 | [General] タブで、VSG を割り当てるコンピュート ファイアウォールを選択し、[Assign VSG] をクリックします。 |
ステップ 3 | [Assign VSG] ダイアログボックスで、目的の IP アドレスを [VSG Management IP] ドロップダウンリストから選択し、[OK] をクリックします。 |
ステップ 1 | [Resource Management] > [Managed Resources] > [root] > [tenant] > [Compute Firewalls] を選択します。 |
ステップ 2 | [Compute Firewalls] テーブルで、割り当てを解除する VSG を持つファイアウォール選択します。 |
ステップ 3 | [Unassign VSG/Pool] をクリックします。 |
ステップ 4 | [Confirm] ダイアログボックスで、[Yes] をクリックします。 |
エッジ ファイアウォールの管理では、ASA 1000V を稼働させるため、エッジ ファイアウォールの VNMC への追加、エッジ ファイアウォール データ インターフェイスの設定、ASA 1000V のエッジ ファイアウォールへの割り当てが必要です。 ここでは、これらのアクティビティについてさらに詳しく説明します。
この手順では、VNMC にエッジ ファイアウォールを追加し、それを ASA 1000V インスタンスに割り当てて、ASA 1000V を動作状態にする方法について説明します。
新しいエッジ ファイアウォールを追加する場合、ファイアウォールがさまざまな組織パスを持っている限り、内部データ インターフェイスのプライマリ IP アドレスとして識別されたファイアウォール データの IP アドレスは、VNMC 内の既存のエッジ ファイアウォール用の内部データ インターフェイスの IP アドレスと同じにすることができます。 つまり、エッジ ファイアウォールが、親と子の組織を含む同じ組織内に存在していない限り、上記のことが言えます。
(注) |
エッジ ファイアウォールは、ルート レベルではなく、テナント レベル以下に追加することを推奨します。 |
ステップ 1 | [Resource Management] > [Managed Resources] > [root] > [tenant] > [Edge Firewalls] を選択します。 |
ステップ 2 | [Add Edge Firewall] をクリックします。 |
ステップ 3 | [Add Edge Firewall] ダイアログボックスで、[Add Edge Firewall] ダイアログボックスで説明されている情報を入力し、[OK] をクリックします。 |
エッジ ファイアウォールを追加したら、ASA 1000V をそれに追加して、VNMC を使用して ASA 1000V を管理できるようにします。 詳細については、ASA 1000V の割り当てを参照してください。
フィールド | 説明 |
---|---|
Name |
エッジ ファイアウォール名。 |
Description |
エッジ ファイアウォールの簡単な説明。 |
HA Mode |
エッジ ファイアウォールのハイ アベイラビリティ(HA)ロール:HA またはスタンドアロン。 |
Device Profile |
|
Edge Device Profile |
|
エッジのファイアウォールを追加する場合、データ通信用の内部インターフェイスと外部インターフェイスを指定する必要があります。
ステップ 1 | [Resource Management] > [Managed Resources] > [root] > [tenant] > [Edge Firewalls] を選択します。 |
ステップ 2 | [Edge Firewalls] ペインで、データ インターフェイスを追加または変更するエッジ ファイアウォールを選択し、[Edit] をクリックします。 |
ステップ 3 | [Edit Edge Firewall] ダイアログボックスで、[Add Data Interface] をクリックします。 |
ステップ 4 | 追加されたインターフェイスごとに、[Add Data Interface] ダイアログボックスのフィールドで説明されているように情報を入力し、[OK] をクリックします。 |
フィールド | 説明 |
---|---|
Name |
インターフェイス名。 |
Description |
インターフェイスの簡単な説明。 |
Role |
インターフェイスが内部通信用であるか、または外部通信用であるか。 |
DHCP |
outside インターフェイスにのみ使用可能です。 インターフェイスで DHCP をイネーブルにするには、[Enable DHCP] チェックボックスをオンにします。 |
Primary IP Address |
このインターフェイスの IP アドレス。 |
Secondary IP Address |
エッジ ファイアウォールがハイ アベイラビリティ(HA)モードの場合に使用可能です。 このインターフェイスのセカンダリ IP アドレスです。 |
Subnet Mask |
IP アドレスに適用するマスク。 |
Edge Security Profile |
outside インターフェイスにのみ使用可能です。 エッジ セキュリティ プロファイルを適用するには、次の手順を実行します。 |
ステップ 1 | [Resource Management] > [Managed Resources] > [root] > [tenant] > [Edge Firewalls] > [edge-firewall] を選択します。 |
ステップ 2 | [Assign ASA 1000V] をクリックします。 |
ステップ 3 | [Assign ASA 1000V] ダイアログボックスで、ドロップダウン リストから必要な ASA 1000V を選択し、[OK] をクリックします。 |
必要に応じて、エッジ ファイアウォールから ASA 1000V の割り当てを解除できます。
ステップ 1 | [Resource Management] > [Managed Resources] > [root] > [tenant] > [Edge Firewalls] > [edge-firewall] を選択します。 |
ステップ 2 | [Unassign ASA 1000V/Pool] をクリックします。 |
ステップ 3 | 確認ダイアログボックスで、[OK] をクリックします。 |
ステップ 1 | [Administration] > [Service Registry] > [Clients] を選択します。 |
ステップ 2 | [Clients] テーブルで、[Oper State] カラムに ASA 1000V、VSG、および VSM エントリに対して [registered] が含まれているか確認します。 |
VNMC では、ポリシーを正常に適用できなくするようなポリシーおよび設定上のエラーを調査できます。 たとえば、ポリシーをエッジ ファイアウォールに適用し、[Config State] フィールドに [Failed-to-Apply] という状態が表示される場合、問題を特定し解決するために、設定エラーを調査できます。
ここでは、これらの機能についてさらに詳しく説明します。
VNMC では、エッジ ファイアウォール、およびそのポリシーと設定に関連する障害およびイベントを表示できます。
ステップ 1 | [Resource Management] > [Managed Resources] > [root] > [tenant] > [Edge Firewalls] > [edge-firewall] を選択します。 |
ステップ 2 | [General] タブの [States] 領域で、設定、関連付け、および障害の情報を確認します。 |
ステップ 3 |
障害が示されている場合、障害の詳細を次のように表示します。
|
ステップ 4 |
詳細を表示するには、任意のテーブルのエントリをダブルクリックします。 新しいブラウザ ウィンドウの [Faults] テーブルでは、[Refresh Now] をクリックして最新情報を表示できます。 |
VNMC を使用すると、コンピュート ファイアウォールの障害およびイベントを調査できます。
ステップ 1 | [Resource Management] > [Managed Resources] > [root] > [tenant] > [Compute Firewalls] > [compute-firewall] を選択します。 |
ステップ 2 | [General] タブの [States] 領域で、設定、関連付け、および障害の情報を確認します。 |
ステップ 3 |
障害が示されている場合、障害の詳細を次のように表示します。
|
ステップ 4 | 詳細を表示するには、任意のテーブルのエントリをダブルクリックします。 |
VNMC を使用すると、Cisco Adaptive Security Device Manager(ASDM)をデスクトップ上で Web Start アプリケーションとして起動できます。
ASDM が VNMC 管理モードまたは ASDM 管理モードのいずれかに設定されている場合、ASA 1000V が ASDM を使用するように設定できます。 ASA 1000V が VNMC 管理モードを使用するように設定されると、ASDM を使用して ASA 1000V のステータスを監視できますが、設定を管理するのには使用できません。
はじめる前に
ASA1000V(config)# route interface ip subnet next-hop-ip
(注) |
このステップは、ASA 1000V を導入する際に、ネクスト ホップ ゲートウェイの IP アドレスが指定されていない場合にのみ実行します。 |
ASA1000V(config)# http ip subnet interface
(注) |
このステップは、ASA 1000V を導入する際に、ASDM クライアントの IP アドレスが指定されていない場合にのみ実行します。 |
ASDM の設定に関する詳細については、『Cisco ASA 1000V Cloud Firewall Getting Started Guide』を参照してください。
ステップ 1 | [Resource Management] > [Managed Resources] > [root] > [tenant] > [Edge Firewalls] > [edge-firewall] を選択します。ここで [edge-firewall] は、ASDM を起動する対象となるエッジ ファイアウォールです。 | ||
ステップ 2 |
[General] タブで、[ASA 1000V Details] 領域で [Launch ASDM] をクリックします。 ASDM の画面例を参照してください。 [ASDM Launch] 画面で、新しいブラウザ ウィンドウが開きます。 |
||
ステップ 3 |
[ASDM Launch] 画面で、[Run ASDM] をクリックします。
ASDM の画面例 に示すように、ASDM がデスクトップ上の新しいウィンドウに開きます。 |
ステップ 1 | [Resource Management] > [Managed Resources] > [root] > [tenant] > [Pools] を選択します。 | ||||||||||||||||||||
ステップ 2 | [General] タブで、[Add Pool] をクリックします。 | ||||||||||||||||||||
ステップ 3 |
[Add Pool] ダイアログボックスで、次のテーブルで説明されている情報を入力し、[OK] をクリックします。
|
||||||||||||||||||||
ステップ 4 | (任意)次のタスクを実行して、プール メンバをプールに割り当てます。 | ||||||||||||||||||||
ステップ 5 | [OK] をクリックします。 |
プールを作成したら、コンピューとまたはエッジ ファイアウォールに割り当てることができます。
ステップ 1 | [Resource Management] > [Managed Resources] > [root] > [Compute Firewalls] または [Edge Firewalls] を選択します。 |
ステップ 2 | ファイアウォールのリストで、必要なファイアウォールを選択し、[Assign Pool] をクリックします。 |
ステップ 3 | [Assign Pool] ダイアログボックスで、[Name] ドロップダウン リストからプールを選択するか、[Add Pool] をクリックして新しいプールを追加します。 |
ステップ 4 | [OK] をクリックします。 |
ステップ 1 | [Resource Management] > [Managed Resources] > [root] > [tenant] > [Pools] を選択します。 | ||||||||||||||||||||
ステップ 2 | [General] タブで、編集するプールを選択し、[Edit] をクリックします。 | ||||||||||||||||||||
ステップ 3 |
[Edit Pool] ダイアログボックスで、必要に応じて次のテーブルの情報を使用して情報を編集し、[OK] をクリックします。
|
必要に応じて、コンピュート ファイアウォールやエッジ ファイアウォールからプールの割り当てを解除できます。
ステップ 1 | [Resource Management] > [Managed Resources] > [root] > [Compute Firewalls] または [Edge Firewalls] を選択します。 |
ステップ 2 | ファイアウォールのリストで、必要なファイアウォールを選択し、[Unassign object/Pool] をクリックします。ここで object は、エッジ ファイアウォールまたはコンピュート ファイアウォールのいずれかを選択したかに応じて、ASA 1000V または VSG のいずれかになります。 |
ステップ 3 | 確認の画面が表示されたら、削除を確認します。 |
ステップ 1 | [Resource Management] > [Managed Resources] > [root] > [tenant] > [Pools] を選択します。 |
ステップ 2 | [General] タブで、削除するプールをクリックし、[Delete] をクリックします。 |
ステップ 3 | 確認の画面が表示されたら、削除を確認します。 |