この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
この章は、次の内容で構成されています。
このセクションでは、Cisco Nexus 1000v シリーズ スイッチのソフトウェア向けに Cisco VSG の基本設定をインストールし、完了する方法を説明します。
Cisco VSG には、次の要件があります。
次の表に、Cisco VSG の実装で使用される用語を示します。
用語 |
説明 |
---|---|
論理スイッチ |
1 つ以上のサーバにわたる論理スイッチ。 1 つの VSM インスタンスによって制御されます。 |
NIC |
ネットワーク インターフェイス カード。 |
サーバ ホスティング SCVMM |
ネットワークに接続されている Microsoft Hyper-V ホストを集中管理するためのサービス。 サーバは VM および VM ホスト上でアクションを振り分けます。 |
仮想イーサネット モジュール(VEM) |
Cisco Nexus 1000V シリーズ スイッチの一部で、データ トラフィックを切り替えます。 Microsoft Hyper-V ホスト上で実行されます。 1 つの VSM で最大 64 個の VEM をコントロールできます。 1 つのスイッチ ドメインを形成するすべての VEM は、Hyper-V サーバでの定義に従って、同じ仮想データセンター内に配置する必要があります。 |
仮想マシン(VM) |
ゲスト オペレーティング システムおよび関連アプリケーション ソフトウェアを実行できる、仮想化された x86 PC 環境。 同一のホスト システム上で同時に複数の VM を実行できます。 |
vPath |
VEM を搭載した Cisco Nexus 1000V シリーズ スイッチのコンポーネントで、ポリシー評価を行うために適切なトラフィックを Cisco VSG に送信します。 また、ファスト パスとしても動作し、Cisco VSG にトラフィックを送信しなくてもトラフィックの一部を短絡させることができます。 |
Virtual Security Gateway(VSG; 仮想セキュリティ ゲートウェイ) |
仮想ネットワークをセキュリティ保護し、ネットワークをセグメント化することによって Cisco Nexus 1000V シリーズ スイッチを使用する仮想環境にファイアウォール機能を提供します。 |
仮想スーパーバイザ モジュール(VSM) |
Cisco Nexus 1000V シリーズの分散仮想デバイスのコントロール ソフトウェアで、Cisco NX-OS をベースに仮想マシン(VM)上で動作します。 |
SCVMM |
Hyper-V サーバへのリモートからの System Center Virtual Machine Manager Connect。 VM、それらのリソースおよびホストを作成、管理、監視するための主要なインターフェイスです。 VM へのコンソール アクセスも提供します。 |
次のコンポーネントをインストールし、設定する必要があります。
Cisco Nexus 1000V シリーズ スイッチでの VLAN とポート プロファイルの設定については、Cisco Nexus 1000V シリーズ スイッチのドキュメントを参照してください。
Cisco VSG ソフトウェア ファイルは、次の URL から入手できます。
http://software.cisco.com/download/navigator.htmlCD 上の ISO イメージ ファイルを使用することで、VM 上に Cisco VSG ソフトウェアをインストールできます。
次の条件が満たされていることを確認します。
Microsoft SCVMM 2012 SP1 または SCVMM 2012 R2 をインストールしていること。
Cisco VSG ISO イメージをダウンロードし、サーバ(C:\ProgramData\Virtual Machine Manager Library Files\ISO)にアップロードしていること。 [Library] タブでライブラリ サーバを更新していること。
Cisco VSG-Data ポート プロファイル:VSG-Data。
Cisco VSG-ha ポート プロファイル:VSG-ha。
HA ID。
Cisco VSG の IP、サブネット マスクおよびゲートウェイ情報。
管理者パスワード。
2 GB のRAM および 2 GB のハード ディスク領域。
Cisco Prime NSCIP アドレス。
共有秘密パスワード。
Cisco VSG と Cisco Prime NSC 間の IP 接続。
Cisco VSG NSC-PA イメージ名(vsghv-pa.2.1.1e.bin)。
この項では、Cisco VSG で初期設定を実行し、その初期設定を使用してスタンバイ Cisco VSG を設定する方法について説明します。 スタンバイ Cisco VSG の設定については、セカンダリ Cisco VSG での初期設定の実行の項を参照してください。
VM インスタンスを右クリックして接続すると、SCVMM ユーザ インターフェイスから VSG VM コンソールに接続できます。
Cisco Prime NSC をインストールした場合は、VSG を Cisco Prime NSC に登録する必要があります。
(注) |
Cisco VSG は、Nexus Cloud Services プラットフォームのみで VSB としてサポートされます。 |
次を確認しておく必要があります。
Cisco Prime NSC ポリシー エージェント イメージは、VSG(例、vsghv-pa.2.1.1a.bin)で利用できること。
(注) |
イメージ名の中に、太字の vsghv-pa というストリングが表示される必要があります。 |
Cisco Prime NSC の IP アドレス。
Cisco Prime NSC のインストール中に定義した共有秘密パスワード。
VSG と Cisco Prime NSC 間の IP 接続が機能していること。
(注) |
VSG をアップグレードする場合は、最新の Cisco VSG ポリシー エージェント イメージもコピーする必要があります。 このイメージは、フラッシュ ドライブから起動する Cisco Prime NSC イメージ バンドルに同梱されており、Cisco Prime NSC への登録を完了します。 |
(注) |
VSG クロックは Cisco Prime NSC クロックと同期させる必要があります。 |
ステップ 1 |
VSG で、次のコマンドを入力します。 VSG-Firewall# configure terminal Enter configuration commands, one per line. End with CNTL/Z. VSG-Firewall(config)# nsc-policy-agent VSG-Firewall(config-nsc-policy-agent)# registration-ip 10.193.72.242 VSG-Firewall(config-nsc-policy-agent)# shared-secret Sgate123 VSG-Firewall(config-nsc-policy-agent)# policy-agent-image vnmc-vsgpa.2.1.1b.bin VSG-Firewall(config-nsc-policy-agent)# copy running-config startup-config [########################################] 100% Copy complete, now saving to disk (please wait)... VSG-Firewall(config-nsc-policy-agent)# exit |
ステップ 2 |
Cisco Prime NSC が正しくインストールされ、到達可能になったことを確認するため、show nsc-pa status コマンドを入力し、NSC ポリシー エージェント設定のステータスを確認します。 次の例は、Cisco Prime NSC が到達可能で、インストールが正しく行われたことを示します。 VSG-Firewall(config)# show nsc-pa status NSC Policy-Agent status is - Installed Successfully. Version 2.1(1b)-vsg これで、VSG が Cisco Prime NSC に登録されました。 |
次の例は、Cisco Prime NSC が到達不能であるか、不適切な IP が設定されていることを示しています。
vsg# show nsc-pa status
NSC Policy-Agent status is - Installation Failure
Cisco Prime NSC not reachable.
vsg#
次の例は、NSC ポリシー エージェントが設定されていないだけでなくインストールされていないことを示しています。
vsg# show nsc-pa status NSC Policy-Agent status is - Not Installed
スタンバイ Cisco VSG を設定するには、セカンダリとして指定した Cisco VSG にログインし、その初期設定を次の手順で使用して、セカンダリ Cisco VSG を設定します。
ステップ 1 |
VM の [Console] タブに移動します。 Cisco Nexus 1000V シリーズ スイッチは [Console] ウィンドウを開き、Cisco VSG のソフトウェアを起動します。 |
||
ステップ 2 | 「[Enter] the password for "admin"」プロンプトで、admin アカウントのパスワードを入力し、[Enter] を押します。 | ||
ステップ 3 | このプロンプトで、admin アカウントのパスワードを再入力し、Enter を押します。 | ||
ステップ 4 | 「[Enter] HA role[standalone/primary/secondary]」プロンプトで、セカンダリ HA ロールを入力し、[Enter] を押します。 | ||
ステップ 5 |
「Enter the ha id(1-1024)」プロンプトで、HA ペア ID として 25 を入力し、[Enter] を押します。
|
||
ステップ 6 |
「VSG login」プロンプトで、使用したい admin アカウントの名前を入力し、[Enter] を押します。 デフォルトのアカウント名は admin です。 |
||
ステップ 7 |
「Password」プロンプトで、admin アカウントのパスワードを入力し、[Enter] を押します。 これで、Cisco VSG ノードにログインできました。 |
Cisco VSG の設定を表示するには、次の作業を行います。
コマンド |
目的 |
---|---|
show interface brief |
ステータスとインターフェイスに関する簡単な情報を示します。 |
次に、Cisco VSG 設定を確認する例を示します。
vsg# show interface brief -------------------------------------------------------------------------------- Port VRF Status IP Address Speed MTU -------------------------------------------------------------------------------- mgmt0 -- up 10.193.77.217 1000 1500
Cisco VSG をインストールし、初期設定を完了すると、Cisco Prime NSC を通じて Cisco VSG にファイアウォール ポリシーを設定できます。
目次
この章は、次の内容で構成されています。
このセクションでは、Cisco Nexus 1000v シリーズ スイッチのソフトウェア向けに Cisco VSG の基本設定をインストールし、完了する方法を説明します。
次の表に、Cisco VSG の実装で使用される用語を示します。
用語 |
説明 |
---|---|
論理スイッチ |
1 つ以上のサーバにわたる論理スイッチ。 1 つの VSM インスタンスによって制御されます。 |
NIC |
ネットワーク インターフェイス カード。 |
サーバ ホスティング SCVMM |
ネットワークに接続されている Microsoft Hyper-V ホストを集中管理するためのサービス。 サーバは VM および VM ホスト上でアクションを振り分けます。 |
仮想イーサネット モジュール(VEM) |
Cisco Nexus 1000V シリーズ スイッチの一部で、データ トラフィックを切り替えます。 Microsoft Hyper-V ホスト上で実行されます。 1 つの VSM で最大 64 個の VEM をコントロールできます。 1 つのスイッチ ドメインを形成するすべての VEM は、Hyper-V サーバでの定義に従って、同じ仮想データセンター内に配置する必要があります。 |
仮想マシン(VM) |
ゲスト オペレーティング システムおよび関連アプリケーション ソフトウェアを実行できる、仮想化された x86 PC 環境。 同一のホスト システム上で同時に複数の VM を実行できます。 |
vPath |
VEM を搭載した Cisco Nexus 1000V シリーズ スイッチのコンポーネントで、ポリシー評価を行うために適切なトラフィックを Cisco VSG に送信します。 また、ファスト パスとしても動作し、Cisco VSG にトラフィックを送信しなくてもトラフィックの一部を短絡させることができます。 |
Virtual Security Gateway(VSG; 仮想セキュリティ ゲートウェイ) |
仮想ネットワークをセキュリティ保護し、ネットワークをセグメント化することによって Cisco Nexus 1000V シリーズ スイッチを使用する仮想環境にファイアウォール機能を提供します。 |
仮想スーパーバイザ モジュール(VSM) |
Cisco Nexus 1000V シリーズの分散仮想デバイスのコントロール ソフトウェアで、Cisco NX-OS をベースに仮想マシン(VM)上で動作します。 |
SCVMM |
Hyper-V サーバへのリモートからの System Center Virtual Machine Manager Connect。 VM、それらのリソースおよびホストを作成、管理、監視するための主要なインターフェイスです。 VM へのコンソール アクセスも提供します。 |
次のコンポーネントをインストールし、設定する必要があります。
Cisco Nexus 1000V シリーズ スイッチでの VLAN とポート プロファイルの設定については、Cisco Nexus 1000V シリーズ スイッチのドキュメントを参照してください。
次の条件が満たされていることを確認します。
Microsoft SCVMM 2012 SP1 または SCVMM 2012 R2 をインストールしていること。
Cisco VSG ISO イメージをダウンロードし、サーバ(C:\ProgramData\Virtual Machine Manager Library Files\ISO)にアップロードしていること。 [Library] タブでライブラリ サーバを更新していること。
Cisco VSG-Data ポート プロファイル:VSG-Data。
Cisco VSG-ha ポート プロファイル:VSG-ha。
HA ID。
Cisco VSG の IP、サブネット マスクおよびゲートウェイ情報。
管理者パスワード。
2 GB のRAM および 2 GB のハード ディスク領域。
Cisco Prime NSCIP アドレス。
共有秘密パスワード。
Cisco VSG と Cisco Prime NSC 間の IP 接続。
Cisco VSG NSC-PA イメージ名(vsghv-pa.2.1.1e.bin)。
ステップ 1 | SCVMM を起動します。 |
ステップ 2 | [VM and Services] タブで [Create Virtual Machine] をクリックします。 |
ステップ 3 | [Create Virtual Machine] ウィザードの [Select Source] 画面で、[Create the new virtual machine with a blank virtual hard disk] オプション ボタンをオンにし、[Next] をクリックします。 |
ステップ 4 | [Specify Virtual Machine Identity] 画面の [Virtual machine name] フィールドに Cisco VSG の名前を入力し、[Next] をクリックします。 |
ステップ 5 |
[Configure Hardware] セクションで、次の手順を実行します。
|
ステップ 6 | [Select Destination] セクションで、[Place the virtual machine in a host] を選択し、VSG を保存するホスト グループをドロップダウンから選択して、[Next] をクリックします。 |
ステップ 7 | [Select Host] セクションで、VSG に配置するホストを選択し、[Next] をクリックします。 |
ステップ 8 | [Configure Settings] セクションで、仮想マシンの設定が正しいことを確認し、[Next] をクリックします。 |
ステップ 9 | (オプション)[Add Properties] セクションで、[Operating System] ドロップダウン リストから [Other Linux (64-bit)] を選択し、[Next] をクリックします。 |
ステップ 10 | [Summary] セクションで、[Create] をクリックします。 |
ステップ 11 | [VMs and Services] タブで VSG を選択し、[Power On] をクリックします。 |
ステップ 12 | [Connect or View] -> [Connect via Console] を使用して VSG に接続します。 |
この項では、Cisco VSG で初期設定を実行し、その初期設定を使用してスタンバイ Cisco VSG を設定する方法について説明します。 スタンバイ Cisco VSG の設定については、セカンダリ Cisco VSG での初期設定の実行の項を参照してください。
VM インスタンスを右クリックして接続すると、SCVMM ユーザ インターフェイスから VSG VM コンソールに接続できます。
ステップ 1 |
VM の [Console] タブに移動します。 Cisco Nexus 1000V シリーズ スイッチが [Console] ウィンドウを開き、Cisco VSG ソフトウェアを起動します。 |
||
ステップ 2 | 「 [Enter] the password for "admin"」プロンプトで、admin アカウントのパスワードを入力し、[Enter] を押します。 | ||
ステップ 3 | このプロンプトで、admin アカウントのパスワードを再入力し、[Enter] を押します。 | ||
ステップ 4 | 「Enter HA role[standalone/primary/secondary]」プロンプトで、使用したい HA ロールを入力し、[Enter] キーを押します。 | ||
ステップ 5 |
「Enter the ha id(1-1024)」プロンプトで、ペアに対する HA ID を入力し、[Enter] を押します。
|
||
ステップ 6 |
基本システム設定を実行したい場合は、「Would you like to enter the basic configuration dialog (yes/no)」プロンプトで、[yes] を入力し、[Enter] を押して、次の手順を実行します。
|
||
ステップ 7 | 「Continue with Out-of-band (mgmt0) management configuration? (yes/no)[y]:」プロンプトで、yesを入力し、[Enter] を押します。 | ||
ステップ 8 | 「Mgmt IPv4 address:」プロンプトで、10.10.10.11 を入力し、[Enter] を押します。 | ||
ステップ 9 | 「Mgmt IPv4 netmask」プロンプトで、255.255.255.0 を入力し、[Enter] を押します。 | ||
ステップ 10 | 「Configure the default gateway? (yes/no)[y]」プロンプトで、yes を入力し、[Enter] を押します。 | ||
ステップ 11 | 「Enable the telnet service? (yes/no)[y]:」プロンプトで、no を入力し、[Enter] を押します。 | ||
ステップ 12 |
「Configure the ntp server? (yes/no)[n]」 プロンプトで、NTP サーバ情報を入力し、[Enter] を押します。 The following configuration will be applied: Interface mgmt0 ip address 10.10.10.11 255.255.255.0 no shutdown vrf context management ip route 0.0.0.0/10.10.11.1 no telnet server enable ssh key rsa 768 force ssh server enable feature http-server ha-pair id 25 |
||
ステップ 13 | 「Would you like to edit the configuration? (yes/no)[n]」プロンプトで、n を入力し、[Enter] を押します。 | ||
ステップ 14 | 「Use this configuration and save it? (yes/no)[y]:」プロンプトで、y を入力し、[Enter] を押します。 | ||
ステップ 15 |
「VSG login」プロンプトで、使用したい admin アカウントの名前を入力し、[Enter] を押します。 デフォルトのアカウント名は admin です。 |
||
ステップ 16 |
「Password」プロンプトで、admin アカウントのパスワードを入力し、[Enter] を押します。 これで、Cisco VSG ノードにログインできました。 |
Cisco Prime NSC をインストールした場合は、VSG を Cisco Prime NSC に登録する必要があります。
(注) |
Cisco VSG は、Nexus Cloud Services プラットフォームのみで VSB としてサポートされます。 |
次を確認しておく必要があります。
Cisco Prime NSC ポリシー エージェント イメージは、VSG(例、vsghv-pa.2.1.1a.bin)で利用できること。
(注) |
イメージ名の中に、太字の vsghv-pa というストリングが表示される必要があります。 |
Cisco Prime NSC の IP アドレス。
Cisco Prime NSC のインストール中に定義した共有秘密パスワード。
VSG と Cisco Prime NSC 間の IP 接続が機能していること。
(注) |
VSG をアップグレードする場合は、最新の Cisco VSG ポリシー エージェント イメージもコピーする必要があります。 このイメージは、フラッシュ ドライブから起動する Cisco Prime NSC イメージ バンドルに同梱されており、Cisco Prime NSC への登録を完了します。 |
(注) |
VSG クロックは Cisco Prime NSC クロックと同期させる必要があります。 |
ステップ 1 |
VSG で、次のコマンドを入力します。 VSG-Firewall# configure terminal Enter configuration commands, one per line. End with CNTL/Z. VSG-Firewall(config)# nsc-policy-agent VSG-Firewall(config-nsc-policy-agent)# registration-ip 10.193.72.242 VSG-Firewall(config-nsc-policy-agent)# shared-secret Sgate123 VSG-Firewall(config-nsc-policy-agent)# policy-agent-image vnmc-vsgpa.2.1.1b.bin VSG-Firewall(config-nsc-policy-agent)# copy running-config startup-config [########################################] 100% Copy complete, now saving to disk (please wait)... VSG-Firewall(config-nsc-policy-agent)# exit |
ステップ 2 |
Cisco Prime NSC が正しくインストールされ、到達可能になったことを確認するため、show nsc-pa status コマンドを入力し、NSC ポリシー エージェント設定のステータスを確認します。 次の例は、Cisco Prime NSC が到達可能で、インストールが正しく行われたことを示します。 VSG-Firewall(config)# show nsc-pa status NSC Policy-Agent status is - Installed Successfully. Version 2.1(1b)-vsg これで、VSG が Cisco Prime NSC に登録されました。 |
ステップ 1 |
VM の [Console] タブに移動します。 Cisco Nexus 1000V シリーズ スイッチは [Console] ウィンドウを開き、Cisco VSG のソフトウェアを起動します。 |
||
ステップ 2 | 「[Enter] the password for "admin"」プロンプトで、admin アカウントのパスワードを入力し、[Enter] を押します。 | ||
ステップ 3 | このプロンプトで、admin アカウントのパスワードを再入力し、Enter を押します。 | ||
ステップ 4 | 「[Enter] HA role[standalone/primary/secondary]」プロンプトで、セカンダリ HA ロールを入力し、[Enter] を押します。 | ||
ステップ 5 |
「Enter the ha id(1-1024)」プロンプトで、HA ペア ID として 25 を入力し、[Enter] を押します。
|
||
ステップ 6 |
「VSG login」プロンプトで、使用したい admin アカウントの名前を入力し、[Enter] を押します。 デフォルトのアカウント名は admin です。 |
||
ステップ 7 |
「Password」プロンプトで、admin アカウントのパスワードを入力し、[Enter] を押します。 これで、Cisco VSG ノードにログインできました。 |
Cisco VSG の設定を表示するには、次の作業を行います。
次に、Cisco VSG 設定を確認する例を示します。
vsg# show interface brief -------------------------------------------------------------------------------- Port VRF Status IP Address Speed MTU -------------------------------------------------------------------------------- mgmt0 -- up 10.193.77.217 1000 1500