概要
この記事は、RADIUS、TACACS +、LDAP ユーザーが APIC にアクセスできるようにする手順を説明します。読者が Cisco プリケーション セントリック インフラストラクチャの基礎マニュアル、特にユーザー アクセス権、認証、アカウンティングの章を十分に利害していると仮定しています。
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
TACACS +、RADIUS、および LDAP の有効化
この記事は、RADIUS、TACACS +、LDAP ユーザーが APIC にアクセスできるようにする手順を説明します。読者が Cisco プリケーション セントリック インフラストラクチャの基礎マニュアル、特にユーザー アクセス権、認証、アカウンティングの章を十分に利害していると仮定しています。
Cisco APIC にアクセスするために外部認証サーバを設定する場合、次の注意事項に従ってください。
毎回。
設定中。
定義上。
この設定タスクが適用されます。
ユーザーが設定する必要があります。
自律システム機能のみが可能です。
Cisco Application Centric Infrastructure(ACI)ファブリックがインストールされ、Application Policy Infrastructure Controller(APIC)がオンラインになっており、APIC クラスタが形成されて正常に動作している必要があります。
TACACS+ サーバのホスト名または IP アドレス、ポート、およびキーを使用できる必要があります。
APIC 管理エンドポイント グループを使用できる必要があります。
ステップ 1 |
TACACS + プロバイダーを構成するには、次の例などと XML POST 要求を送信します。 例:
|
ステップ 2 |
次の例などと XML POST 要求を送信して、TACACS + プロバイダー グループの設定します。 例:
|
ステップ 3 |
次の例などと XML POST 要求を送信して、TACACS + ログイン ドメインの設定します。 例:
|
全体の設定は、次の例などの XML で、1 つの POST 要求で送信できます。
<aaaTacacsPlusProvider timeout="5" retries="1" port="49"
name="192.168.200.1" monitoringUser="test" monitorServer="disabled"
dn="uni/userext/tacacsext/tacacsplusprovider-192.168.200.1" authProtocol="pap"/>
<aaaTacacsPlusProviderGroup name="TENANT64_TACACS_provGrp"
dn="uni/userext/tacacsext/tacacsplusprovidergroup-TENANT64_TACACS_provGrp"/>
<aaaLoginDomain name="TENANT64_TACACS_LoginDom"
dn="uni/userext/logindomain-TENANT64_TACACS_LoginDom"/>
ACI ファブリックがインストールされ、Application Policy Infrastructure Controller (APIC) はオンラインで、APIC クラスターが形成されかつ正常である必要があります。
RADIUS サーバ ホスト名または IP アドレス、ポート、認証、プロトコル、キーは利用可能である必要があります。
APIC 管理エンドポイント グループが利用可能である必要があります。
ステップ 1 |
RADIUS プロバイダーを構成するには、次の例などと XML POST 要求を送信します。 例:
|
ステップ 2 |
次の例などと XML POST 要求を送信して RADIUS プロバイダー グループの設定します。 例:
|
ステップ 3 |
RADIUS ログイン ドメインを構成するには、次の例などと XML POST 要求を送信します。 例:
|
全体の設定は、次の例などの XML で、1 つの POST 要求として送信できます。
<aaaRadiusProvider
timeout="5" retries="1" name="TENANT64_RADIUS-host.com" monitoringUser="test" monitorServer="disabled"
dn="uni/userext/radiusext/radiusprovider-TENANT64_RADIUS-host.com" authProtocol="pap" authPort="1812"/>
<aaaRadiusProviderGroup
name="TENANT64_RADIUS_provGrp" dn="uni/userext/radiusext/radiusprovidergroup-TENANT64_RADIUS_provGrp"/>
<aaaLoginDomain
name="TENANT64_RADIUSLoginDom" dn="uni/userext/logindomain-TENANT64_RADIUSLoginDom"/>
Cisco Application Centric Infrastructure(ACI)ファブリックがインストールされ、Application Policy Infrastructure Controller(APIC)がオンラインになっており、APIC クラスタが形成されて正常に動作している必要があります。
The LDAP server host name or IP address, port, bind DN, Base DN, and password must be available.
APIC 管理エンドポイント グループが利用可能である必要があります。
ステップ 1 |
次の例などと XML POST 要求を送信して LDAP プロバイダーの設定します。 例:
|
ステップ 2 |
次の例などと XML POST 要求を送信して LDAP プロバイダー グループの設定します。 例:
|
ステップ 3 |
LDAP ログイン ドメインを構成するには、次の例などと XML POST 要求を送信します。 例:
|
全体の設定は、次の例などの XML で、1 つの POST 要求で送信できます。
<aaaLdapProvider
timeout="30" rootdn="" retries="1" port="389" name="TENANT64_LDAP-host.com"
monitoringUser="test" monitorServer="disabled" filter="cn=$userid" enableSSL="yes"
dn="uni/userext/ldapext/ldapprovider-TENANT64_LDAP-host.com" descr="" basedn=""
attribute="CiscoAVPair" SSLValidationLevel="strict"/>
<aaaLdapProviderGroup
name="TENANT64_LDAP-ProvGrp"dn="uni/userext/ldapext/ldapprovidergroup-TENANT64_LDAP-ProvGrp"/>
<aaaDomainAuth
realm="ldap" providerGroup="TENANT64_LDAP-ProvGrp"
dn="uni/userext/logindomain-TENANT64_LDAPLoginDom/domainauth"/>
FIPS の設定
連邦情報処理標準(FIPS)発行 140-2、暗号化モジュールのセキュリティ要件では、暗号化モジュールの米国政府要件が詳述されています。FIPS 140-2 では、暗号モジュールがハードウェア、ソフトウェア、ファームウェア、または何らかの組み合わせのセットで、暗号機能またはプロセスを実装し、暗号アルゴリズムおよび任意のキー生成機能を含み、明確に定義された暗号境界の内部に位置しなければならないと定義しています。
FIPS は特定の暗号アルゴリズムがセキュアであることを条件とするほか、ある暗号モジュールが FIPS 準拠であると称する場合は、どのアルゴリズムを使用すべきかも指定しています。
次の注意事項と制約事項に従ってください。
FIPS を有効にすると、Cisco APIC 全体に適用されます。
Cisco APIC ソフトウェアのダウン グレードを実行しているときに FIPS を最初に無効にする必要があります。
パスワードは最小限 8 文字の長さで作成してください。
Telnet をディセーブルにします。ユーザのログインは SSH だけで行ってください。
SSH サーバの RSA1 キー ペアすべてを削除してください。
RADIUS/TACACS+ によるリモート認証をディセーブルにしてください。ローカルと LDAP ユーザのみを認証できます。
セキュア シェル(SSH) および SNMP がサポートされます。
SNMP v1 および v2 をディセーブルにしてください。SNMPv3 に対して設定された、スイッチ上の既存ユーザ- アカウントのいずれについても、認証およびプライバシー用 AES3 は SHA でのみ設定されていなければなりません。
リリース 2.3(1x) で始まる、FIPS は、スイッチのレベルで設定できます。
リリース 3.1(1x) から始まる FIPs を有効にすると、NTP が FIPSモードの動作は、HMAC SHA1 による認証と認証なしで FIPSモード NTP をサポートしています。
FIPS を有効にすると、Cisco APIC 全体に適用されます。
すべてのテナントの FIPS を設定します。 例:
|
ファブリック セキュア モードの設定
ファブリック セキュア モードでは、ファブリック機器に物理的にアクセスできるユーザが管理者による手動の認証を受けずにファブリックにスイッチまたは APIC コントローラを追加するのを防止できます。リリース 1.2(1x) 以降、ファームウェアでは、ファブリックのスイッチとコントローラに有効なシスコ デジタル署名付き証明書と関連付けられた有効なシリアル番号があることを確認します。この検証は、このリリースへのアップグレード時、またはファブリックの最初のインストール時に行われます。この機能のデフォルト設定は、非制限モードです。既存のファブリックは、リリース 1.2(1) へのアップグレード後も継続して実行されます。ファブリック全体のアクセス権限を持つ管理者は、ストリクト モードを有効にする必要があります。この 2 つの動作モードの要約を、以下の表に示します:
非制限モード(デフォルト) |
Strict モード |
---|---|
1 つ以上のスイッチに無効な証明書がある場合でも既存のファブリックは正常に動作することができます。 |
有効なシスコ シリアル番号および SSL 証明書を持つスイッチのみが許可されます。 |
シリアル番号に基づく認証は適用されません。 |
シリアル番号認証が適用されます。 |
自動検出されたコントローラとスイッチはシリアル番号の認証を適用せずにファブリックに参加することができます。 |
コントローラとスイッチがファブリックに参加するには管理者が手動で承認する必要があります。 |
REST API を使用してセキュア ファブリック モードを管理するには、次の手順を実行します。
ステップ 1 |
ストリクト モードを有効にするには、次の例にように XML で POST 要求を送信します。 例:
|
ステップ 2 |
許容モードを有効にするには、次の例にように XML で、POST 要求を送信します。 例:
|
ステップ 3 |
、コントローラを認証するには、次の例のように XML で POST 要求を送信します。 例:
|
ステップ 4 |
コントローラを拒否するには、次の例のように XML で POST 要求を送信します。 例:
|
RBAC の有効化
Cisco Application Centric Infrastructure (ACI) RBAC のルールによって、ファブリック全体へのアクセスを有効にするか、一部へのアクセスに制限します。たとえば、ベア メタル サーバ アクセス用のリーフ スイッチを設定するには、ログインしている管理者が infra
ドメインに対する権限を持っている必要があります。デフォルトでは、テナント管理者は infra
ドメインに対する権限を持っていません。この場合、リーフ スイッチに接続されているベア メタル サーバの使用を計画しているテナント管理者は、そのために必要なすべての手順を実行することはできません。テナント管理者は、infra
ドメインに対する権限を持っているファブリック管理者と連携する必要があります。ファブリック管理者は、テナント管理者が ACI リーフ スイッチに接続されたベア メタル サーバを使用するアプリケーション ポリシーを導入するために使用するスイッチ設定ポリシーをセットアップします。
Application Policy Infrastructure Controller(APIC)では次の AAA の役割および権限を提供します。
ロール |
権限 |
説明 |
---|---|---|
aaa |
aaa |
ポリシーの認証、許可、アカウンティング、インポート/エクスポートの設定に使用されます。 |
admin |
admin |
すべてのファブリックの機能へのフル アクセスを提供します。管理者権限は、その他のすべての権限を組み合わせたものとみなされます。 |
Role: access-admin |
|
---|---|
権限 |
説明 |
access-connectivity-l1 |
インフラでレイヤ 1 の設定に使用します。例:セレクタとポート レイヤ 1 のポリシー設定。 |
access-connectivity-l2 |
インフラでレイヤ 2 の設定に使用します。例:セレクタおよび接続可能なエンティティ設定をカプセル化します。 |
access-connectivity-l3 |
インフラでレイヤ 3 の設定に使用され、テナントの L3Out でスタティック ルートの設定に使用されます。 |
access-connectivity-mgmt |
管理インフラ ポリシーに使用されます。 |
access-connectivity-util |
テナント ERSPAN ポリシーに使用されます。 |
access-equipment |
アクセス ポート設定に使用されます。 |
access-protocol-l1 |
インフラでレイヤ 1 プロトコル設定に使用されます。 |
access-protocol-l2 |
インフラでレイヤ 2 プロトコル設定に使用されます。 |
access-protocol-l3 |
インフラでレイヤ 3 プロトコル設定に使用されます。 |
access-protocol-mgmt |
NTP、SNMP、DNS、およびイメージ管理のためファブリック全体のポリシーに使用されます。 |
access-protocol-ops |
クラスタ ポリシーおよびファームウェア ポリシーなどの動作に関連するアクセス ポリシーに使用されます。 |
access-qos |
CoPP および QoS に関連するポリシーの変更に使用されます。 |
Role:fabric-admin |
|
---|---|
権限 |
説明 |
fabric-connectivity-l1 |
ファブリックでレイヤ 1 の設定に使用されます。例:セレクタおよびポート レイヤ 1 のポリシーと vPC 保護。 |
fabric-connectivity-l2 |
ポリシー展開の影響を想定して警告を発生させるファームウェアおよび展開ポリシーで使用されます。 |
fabric-connectivity-l3 |
ファブリックでレイヤ 3 の設定に使用されます。例:ファブリック IPv4、IPv6、および MAC 保護グループ。 |
fabric-connectivity-mgmt |
リーフ スイッチおよびスパイン スイッチのアトミック カウンタおよび診断ポリシーに使用されます。 |
fabric-connectivity-util |
リーフ スイッチおよびスパイン スイッチのアトミック カウンタ、診断、およびイメージ管理ポリシーに使用されます。 |
fabric-equipment |
リーフ スイッチおよびスパイン スイッチのアトミック カウンタ、診断、およびイメージ管理ポリシーに使用されます。 |
fabric-protocol-l1 |
ファブリックでレイヤ 1 プロトコル設定に使用されます。 |
fabric-protocol-l2 |
ファブリックでレイヤ 2 プロトコル設定に使用されます。 |
fabric-protocol-l3 |
ファブリックでレイヤ 3 プロトコル設定に使用されます。 |
fabric-protocol-mgmt |
NTP、SNMP、DNS、およびイメージ管理のためファブリック全体のポリシーに使用されます。 |
fabric-protocol-ops |
ERSPAN および健全性のスコア ポリシーに使用されます。 |
fabric-protocol-util |
ファームウェア管理トレースルートおよびエンドポイント トラッキング ポリシーに使用されます。 |
tenant-connectivity-util |
リーフ スイッチおよびスパイン スイッチのアトミック カウンタ、診断、およびイメージ管理ポリシーに使用されます。 |
tenant-connectivity-l2 |
ブリッジ ドメインおよびサブネットを含む、レイヤ 2 接続の変更に使用されます。 |
tenant-connectivity-l3 |
VRF を含むレイヤ 3 接続の変更に使用されます。 |
tenant-protocol-ops |
テナント トレースルート ポリシーに使用されます。 |
ロール |
権限 |
説明 |
---|---|---|
nw-svc-admin |
nw-svc-device |
レイヤ 4 ~ レイヤ 7 のサービスの管理に使用されます。 |
nw-svc-devshare |
共有のレイヤ 4 ~ レイヤ 7 のサービス デバイスの管理に使用されます。 |
|
nw-svc-policy |
レイヤ 4 ~ レイヤ 7 のネットワーク サービス オーケストレーションの管理に使用されます。 |
|
nw-svc-params |
nw-svc-params |
レイヤ 4 ~ レイヤ 7 のサービス ポリシーの管理に使用されます。 |
Role: ops |
|
---|---|
権限 |
説明 |
ops |
アトミック カウンタ、SPAN、TSW、技術サポート、トレースルート、分析、コア ポリシーなど、ポリシーのモニタリングとトラブルシューティングを含む動作ポリシーに使用されます。 |
Role: read-all |
|
---|---|
権限 |
説明 |
access-connectivity-l1 |
インフラでレイヤ 1 の設定に使用します。例:セレクタとポート レイヤ 1 のポリシー設定。 |
access-connectivity-l2 |
インフラでレイヤ 2 の設定に使用します。例:セレクタおよび接続可能なエンティティ設定をカプセル化します。 |
access-connectivity-l3 |
インフラでレイヤ 3 の設定に使用され、テナントの L3Out でスタティック ルートの設定に使用されます。 |
access-connectivity-mgmt |
管理インフラ ポリシーに使用されます。 |
access-connectivity-util |
テナント ERSPAN ポリシーに使用されます。 |
access-equipment |
アクセス ポート設定に使用されます。 |
access-protocol-l1 |
インフラでレイヤ 1 プロトコル設定に使用されます。 |
access-protocol-l2 |
インフラでレイヤ 2 プロトコル設定に使用されます。 |
access-protocol-l3 |
インフラでレイヤ 3 プロトコル設定に使用されます。 |
access-protocol-mgmt |
NTP、SNMP、DNS、およびイメージ管理のためファブリック全体のポリシーに使用されます。 |
access-protocol-ops |
クラスタ ポリシーおよびファームウェア ポリシーなどの動作に関連するアクセス ポリシーに使用されます。 |
access-qos |
CoPP および QoS に関連するポリシーの変更に使用されます。 |
fabric-connectivity-l1 |
ファブリックでレイヤ 1 の設定に使用されます。例:セレクタおよびポート レイヤ 1 のポリシーと vPC 保護。 |
fabric-connectivity-l2 |
ポリシー展開の影響を想定して警告を発生させるファームウェアおよび展開ポリシーで使用されます。 |
fabric-connectivity-l3 |
ファブリックでレイヤ 3 の設定に使用されます。例:ファブリック IPv4、IPv6、および MAC 保護グループ。 |
fabric-protocol-l1 |
ファブリックでレイヤ 1 プロトコル設定に使用されます。 |
fabric-protocol-l2 |
ファブリックでレイヤ 2 プロトコル設定に使用されます。 |
fabric-protocol-l3 |
ファブリックでレイヤ 3 プロトコル設定に使用されます。 |
nw-svc-device |
レイヤ 4 ~ レイヤ 7 のサービスの管理に使用されます。 |
nw-svc-devshare |
共有のレイヤ 4 ~ レイヤ 7 のサービス デバイスの管理に使用されます。 |
nw-svc-params |
レイヤ 4 ~ レイヤ 7 のサービス ポリシーの管理に使用されます。 |
nw-svc-policy |
レイヤ 4 ~ レイヤ 7 のネットワーク サービス オーケストレーションの管理に使用されます。 |
ops |
アトミック カウンタ、SPAN、TSW、技術サポート、トレースルート、分析、コア ポリシーなど、ポリシーのモニタリングとトラブルシューティングを含む動作ポリシーに使用されます。 |
tenant-connectivity-util |
リーフ スイッチおよびスパイン スイッチのアトミック カウンタ、診断、およびイメージ管理ポリシーに使用されます。 |
tenant-connectivity-l2 |
ブリッジ ドメインおよびサブネットを含む、レイヤ 2 接続の変更に使用されます。 |
tenant-connectivity-l3 |
VRF を含むレイヤ 3 接続の変更に使用されます。 |
tenant-connectivity-mgmt |
テナント インバンドおよびアウトオブバンド管理接続の設定、 アトミック カウンタや健全性スコアなどデバッグやモニタリング ポリシーに使用されます。 |
tenant-epg |
エンドポイント グループ、VRF、ブリッジ ドメインの削除/作成など、テナント設定の管理に使用されます。 |
tenant-ext-connectivity-l1 |
書き込みアクセス ファームウェア ポリシーに使用されます。 |
tenant-ext-connectivity-l2 |
テナント L2Out 設定の管理に使用されます。 |
tenant-ext-connectivity-l3 |
テナント L3Out 設定の管理に使用されます。 |
tenant-ext-connectivity-mgmt |
ファームウェア ポリシーの書き込みアクセスとして使用されます。 |
tenant-ext-connectivity-util |
トレースルート、ping、oam、eptrk などのデバッグ/モニタリング/オブザーバ ポリシーに使用されます。 |
tenant-ext-protocol-l1 |
テナント外部レイヤ 1 プロトコルの管理に使用されます。通常、ファームウェア ポリシーの書き込みアクセスにのみ使用されます。 |
tenant-ext-protocol-l2 |
テナント外部レイヤ 2 プロトコルの管理に使用されます。通常、ファームウェア ポリシーの書き込みアクセスにのみ使用します。 |
tenant-ext-protocol-l3 |
BGP、OSPF、PIM、IGMP などのテナント外部レイヤ 3 プロトコルの管理に使用されます。 |
tenant-ext-protocol-mgmt |
ファームウェア ポリシーの書き込みアクセスとして使用されます。 |
tenant-ext-protocol-util |
トレースルート、ping、oam、eptrk などのデバッグ/モニタリング/オブザーバ ポリシーに使用されます。 |
tenant-network-profile |
ネットワーク プロファイルの削除および作成、エンドポイント グループの削除および作成など、テナント設定の管理に使用されます。 |
tenant-protocol-l1 |
テナントでレイヤ 1 プロトコルの設定の管理に使用されます。 |
tenant-protocol-l2 |
テナントでレイヤ 2 プロトコルの設定の管理に使用されます。 |
tenant-protocol-l3 |
テナントでレイヤ 3 プロトコルの設定の管理に使用されます。 |
tenant-protocol-mgmt |
ファームウェア ポリシーの書き込みアクセスとしてのみ使用されます。 |
tenant-protocol-ops |
テナント トレースルート ポリシーに使用されます。 |
tenant-QoS |
テナントの QoS に関連する設定に使用されます。 |
tenant-security |
テナントのコントラクトに関連する設定に使用されます。 |
vmm-connectivity |
仮想マシン接続に必要な APIC の VMM インベントリ内のすべてのオブジェクトを読み取るのに使用されます。 |
vmm-ep |
APIC の VMM インベントリ内の仮想マシンとハイパーバイザ エンドポイントを読み取るために使用されます。 |
vmm-policy |
仮想マシン ネットワー キングのポリシー管理に使用されます。 |
vmm-protocol-ops |
VMM ポリシーでは使用されません。 |
vmm-security |
VMware vCenter のユーザー名やパスワードなど VMM 認証ポリシーの管理に使用されます。 |
Role: tenant-admin |
|
---|---|
権限 |
説明 |
aaa |
ポリシーの認証、許可、アカウンティング、インポート/エクスポートの設定に使用されます。 |
access-connectivity-l1 |
インフラでレイヤ 1 の設定に使用します。例:セレクタとポート レイヤ 1 のポリシー設定。 |
access-connectivity-l2 |
インフラでレイヤ 2 の設定に使用します。例:セレクタおよび接続可能なエンティティ設定をカプセル化します。 |
access-connectivity-l3 |
インフラでレイヤ 3 の設定に使用され、テナントの L3Out でスタティック ルートの設定に使用されます。 |
access-connectivity-mgmt |
管理インフラ ポリシーに使用されます。 |
access-connectivity-util |
テナント ERSPAN ポリシーに使用されます。 |
access-equipment |
アクセス ポート設定に使用されます。 |
access-protocol-l1 |
インフラでレイヤ 1 プロトコル設定に使用されます。 |
access-protocol-l2 |
インフラでレイヤ 2 プロトコル設定に使用されます。 |
access-protocol-l3 |
インフラでレイヤ 3 プロトコル設定に使用されます。 |
access-protocol-mgmt |
NTP、SNMP、DNS、およびイメージ管理のためファブリック全体のポリシーに使用されます。 |
access-protocol-ops |
クラスタ ポリシーおよびファームウェア ポリシーなどの動作に関連するアクセス ポリシーに使用されます。 |
access-qos |
CoPP および QoS に関連するポリシーの変更に使用されます。 |
fabric-connectivity-l1 |
ファブリックでレイヤ 1 の設定に使用されます。例:セレクタおよびポート レイヤ 1 のポリシーと vPC 保護。 |
fabric-connectivity-l2 |
ポリシー展開の影響を想定して警告を発生させるファームウェアおよび展開ポリシーで使用されます。 |
fabric-connectivity-l3 |
ファブリックでレイヤ 3 の設定に使用されます。例:ファブリック IPv4、IPv6、および MAC 保護グループ。 |
fabric-connectivity-mgmt |
リーフ スイッチおよびスパイン スイッチのアトミック カウンタおよび診断ポリシーに使用されます。 |
fabric-connectivity-util |
リーフ スイッチおよびスパイン スイッチのアトミック カウンタ、診断、およびイメージ管理ポリシーに使用されます。 |
fabric-equipment |
リーフ スイッチおよびスパイン スイッチのアトミック カウンタ、診断、およびイメージ管理ポリシーに使用されます。 |
fabric-protocol-l1 |
ファブリックでレイヤ 1 プロトコル設定に使用されます。 |
fabric-protocol-l2 |
ファブリックでレイヤ 2 プロトコル設定に使用されます。 |
fabric-protocol-l3 |
ファブリックでレイヤ 3 プロトコル設定に使用されます。 |
fabric-protocol-mgmt |
NTP、SNMP、DNS、およびイメージ管理のためファブリック全体のポリシーに使用されます。 |
fabric-protocol-ops |
ERSPAN および健全性のスコア ポリシーに使用されます。 |
fabric-protocol-util |
ファームウェア管理トレースルートおよびエンドポイント トラッキング ポリシーに使用されます。 |
nw-svc-device |
レイヤ 4 ~ レイヤ 7 のサービスの管理に使用されます。 |
nw-svc-devshare |
共有のレイヤ 4 ~ レイヤ 7 のサービス デバイスの管理に使用されます。 |
nw-svc-params |
レイヤ 4 ~ レイヤ 7 のサービス ポリシーの管理に使用されます。 |
nw-svc-policy |
レイヤ 4 ~ レイヤ 7 のネットワーク サービス オーケストレーションの管理に使用されます。 |
ops |
アトミック カウンタ、SPAN、TSW、技術サポート、トレースルート、分析、コア ポリシーなど、ポリシーのモニタリングとトラブルシューティングを含む動作ポリシーに使用されます。 |
tenant-connectivity-util |
リーフ スイッチおよびスパイン スイッチのアトミック カウンタ、診断、およびイメージ管理ポリシーに使用されます。 |
tenant-connectivity-l2 |
ブリッジ ドメインおよびサブネットを含む、レイヤ 2 接続の変更に使用されます。 |
tenant-connectivity-l3 |
VRF を含むレイヤ 3 接続の変更に使用されます。 |
tenant-connectivity-mgmt |
テナント インバンドおよびアウトオブバンド管理接続の設定、 アトミック カウンタや健全性スコアなどデバッグやモニタリング ポリシーに使用されます。 |
tenant-epg |
エンドポイント グループ、VRF、ブリッジ ドメインの削除/作成など、テナント設定の管理に使用されます。 |
tenant-ext-connectivity-l1 |
書き込みアクセス ファームウェア ポリシーに使用されます。 |
tenant-ext-connectivity-l2 |
テナント L2Out 設定の管理に使用されます。 |
tenant-ext-connectivity-l3 |
テナント L3Out 設定の管理に使用されます。 |
tenant-ext-connectivity-mgmt |
ファームウェア ポリシーの書き込みアクセスとして使用されます。 |
tenant-ext-connectivity-util |
トレースルート、ping、oam、eptrk などのデバッグ/モニタリング/オブザーバ ポリシーに使用されます。 |
tenant-ext-protocol-l1 |
テナント外部レイヤ 1 プロトコルの管理に使用されます。通常、ファームウェア ポリシーの書き込みアクセスにのみ使用されます。 |
tenant-ext-protocol-l2 |
テナント外部レイヤ 2 プロトコルの管理に使用されます。通常、ファームウェア ポリシーの書き込みアクセスにのみ使用します。 |
tenant-ext-protocol-l3 |
BGP、OSPF、PIM、IGMP などのテナント外部レイヤ 3 プロトコルの管理に使用されます。 |
tenant-ext-protocol-mgmt |
ファームウェア ポリシーの書き込みアクセスとして使用されます。 |
tenant-ext-protocol-util |
トレースルート、ping、oam、eptrk などのデバッグ/モニタリング/オブザーバ ポリシーに使用されます。 |
tenant-network-profile |
ネットワーク プロファイルの削除および作成、エンドポイント グループの削除および作成など、テナント設定の管理に使用されます。 |
tenant-protocol-l1 |
テナントでレイヤ 1 プロトコルの設定の管理に使用されます。 |
tenant-protocol-l2 |
テナントでレイヤ 2 プロトコルの設定の管理に使用されます。 |
tenant-protocol-l3 |
テナントでレイヤ 3 プロトコルの設定の管理に使用されます。 |
tenant-protocol-mgmt |
ファームウェア ポリシーの書き込みアクセスとしてのみ使用されます。 |
tenant-protocol-ops |
テナント トレースルート ポリシーに使用されます。 |
tenant-QoS |
テナントの QoS に関連する設定に使用されます。 |
tenant-security |
テナントのコントラクトに関連する設定に使用されます。 |
vmm-connectivity |
仮想マシン接続に必要な APIC の VMM インベントリ内のすべてのオブジェクトを読み取るのに使用されます。 |
vmm-ep |
APIC の VMM インベントリ内の仮想マシンとハイパーバイザ エンドポイントを読み取るために使用されます。 |
vmm-policy |
仮想マシン ネットワー キングのポリシー管理に使用されます。 |
vmm-protocol-ops |
VMM ポリシーでは使用されません。 |
vmm-security |
VMware vCenter のユーザー名やパスワードなど VMM 認証ポリシーの管理に使用されます。 |
Role: tenant-ext-admin |
|
---|---|
権限 |
説明 |
tenant-connectivity-util |
リーフ スイッチおよびスパイン スイッチのアトミック カウンタ、診断、およびイメージ管理ポリシーに使用されます。 |
tenant-connectivity-l2 |
ブリッジ ドメインおよびサブネットを含む、レイヤ 2 接続の変更に使用されます。 |
tenant-connectivity-l3 |
VRF を含むレイヤ 3 接続の変更に使用されます。 |
tenant-connectivity-mgmt |
テナント インバンドおよびアウトオブバンド管理接続の設定、 アトミック カウンタや健全性スコアなどデバッグやモニタリング ポリシーに使用されます。 |
tenant-epg |
エンドポイント グループ、VRF、ブリッジ ドメインの削除/作成など、テナント設定の管理に使用されます。 |
tenant-ext-connectivity-l1 |
書き込みアクセス ファームウェア ポリシーに使用されます。 |
tenant-ext-connectivity-l2 |
テナント L2Out 設定の管理に使用されます。 |
tenant-ext-connectivity-l3 |
テナント L3Out 設定の管理に使用されます。 |
tenant-ext-connectivity-mgmt |
ファームウェア ポリシーの書き込みアクセスとして使用されます。 |
tenant-ext-connectivity-util |
トレースルート、ping、oam、eptrk などのデバッグ/モニタリング/オブザーバ ポリシーに使用されます。 |
tenant-ext-protocol-l1 |
テナント外部レイヤ 1 プロトコルの管理に使用されます。通常、ファームウェア ポリシーの書き込みアクセスにのみ使用されます。 |
tenant-ext-protocol-l2 |
テナント外部レイヤ 2 プロトコルの管理に使用されます。通常、ファームウェア ポリシーの書き込みアクセスにのみ使用します。 |
tenant-ext-protocol-l3 |
BGP、OSPF、PIM、IGMP などのテナント外部レイヤ 3 プロトコルの管理に使用されます。 |
tenant-ext-protocol-mgmt |
ファームウェア ポリシーの書き込みアクセスとして使用されます。 |
tenant-ext-protocol-util |
トレースルート、ping、oam、eptrk などのデバッグ/モニタリング/オブザーバ ポリシーに使用されます。 |
tenant-network-profile |
ネットワーク プロファイルの削除および作成、エンドポイント グループの削除および作成など、テナント設定の管理に使用されます。 |
tenant-protocol-l1 |
テナントでレイヤ 1 プロトコルの設定の管理に使用されます。 |
tenant-protocol-l2 |
テナントでレイヤ 2 プロトコルの設定の管理に使用されます。 |
tenant-protocol-l3 |
テナントでレイヤ 3 プロトコルの設定の管理に使用されます。 |
tenant-protocol-mgmt |
ファームウェア ポリシーの書き込みアクセスとしてのみ使用されます。 |
tenant-protocol-ops |
テナント トレースルート ポリシーに使用されます。 |
tenant-QoS |
テナントの QoS に関連する設定に使用されます。 |
tenant-security |
テナントのコントラクトに関連する設定に使用されます。 |
vmm-connectivity |
仮想マシン接続に必要な APIC の VMM インベントリ内のすべてのオブジェクトを読み取るのに使用されます。 |
vmm-ep |
APIC の VMM インベントリ内の仮想マシンとハイパーバイザ エンドポイントを読み取るために使用されます。 |
vmm-policy |
仮想マシン ネットワー キングのポリシー管理に使用されます。 |
vmm-protocol-ops |
VMM ポリシーでは使用されません。 |
vmm-security |
VMware vCenter のユーザー名やパスワードなど VMM 認証ポリシーの管理に使用されます。 |
Role: vmm-admin |
|
---|---|
権限 |
説明 |
vmm-connectivity |
仮想マシン接続に必要な APIC の VMM インベントリ内のすべてのオブジェクトを読み取るのに使用されます。 |
vmm-ep |
APIC の VMM インベントリ内の仮想マシンとハイパーバイザ エンドポイントを読み取るために使用されます。 |
vmm-policy |
仮想マシン ネットワー キングのポリシー管理に使用されます。 |
vmm-protocol-ops |
VMM ポリシーでは使用されません。 |
vmm-security |
VMware vCenter のユーザー名やパスワードなど VMM 認証ポリシーの管理に使用されます。 |
カスタム ロールを作成し、ロールに権限を割り当てることができます。インターフェイスは、すべての管理対象オブジェクト クラスに 1 つ以上の権限を内部的に割り当てます。XML モデルで、権限はアクセス属性に割り当てられています。権限のビット数は、コンパイル時に割り当てられ、クラスのインスタンスまたはオブジェクトごとではなく、クラスごとに適用されます。
45 権限ビットだけでなく、「aaa」権限ビットはすべての AAA サブシステムの設定と読み取り操作に適用されます。次の表は、サポートされている権限の組み合わせの一覧を提供します。表の行は Cisco Application Centric Infrastructure(ACI)モジュールを表し、列は特定のモジュールの機能を表します。セルの「○」の値は、モジュールがアクセス可能な機能と、機能にアクセスするための権限ビットが存在することを示します。空のセルは、権限ビットでアクセスできないモジュールの特定の機能を示します。権限ビットについての詳細は、各ビットの機能について参照してください。
Connectivity | QoS | セキュリティ | アプリケーション | Fault | Stats | Provider |
サービス プロファイル |
サービス チェーン |
|
---|---|---|---|---|---|---|---|---|---|
VMM |
対応 |
対応 |
対応 |
対応 |
対応 |
||||
ファブリック |
対応 |
対応 |
対応 |
対応 |
対応 |
対応 |
対応 |
||
External |
対応 |
対応 |
対応 |
対応 |
対応 |
対応 |
|||
テナント |
対応 |
対応 |
対応 |
EPG、NP |
対応 |
対応 |
対応 |
||
Infra |
対応 |
対応 |
対応 |
対応 |
対応 |
対応 |
対応 |
||
操作 |
対応 |
対応 |
|||||||
ストレージ |
対応 |
対応 |
対応 |
対応 |
対応 |
対応 |
|||
ネットワーク サービス |
対応 |
対応 |
対応 |
対応 |
対応 |
対応 |
対応 |
次のサンプル JSON ファイル内の RBAC 規則は、VMM ドメイン リソースへのテナント アクセスとトランス テナント アクセスの両方を可能にします。コンシューマに必要なリソースは、uni/tn-prov1/brc-webCtrct
と vmmp-Vmware/dom-Datacenter
です。
次の 2 つの RBAC 規則では、コンシューマのテナントがコンシューマ postman のクエリを下記の JSON ファイルにポストすることができます。
<aaaRbacEp>
<aaaRbacRule objectDn="uni/vmmp-VMware/dom-Datacenter" domain="cons1"/>
<aaaRbacRule objectDn="uni/tn-prov1/brc-webCtrct" domain="cons1"/>
</aaaRbacEp>
次の JSON ファイルにこれら 2 つの RBAC 規則が含まれています。
{"id":"ac62a200-9210-f53b-7114-a8f4cffb9a36","name":"SharedContracts","timestamp":1398806919868,"requests":
[{"collectionId":"ac62a200-9210-f53b-7114-a8f4cffb9a36","id":"2dfc75cc-431e-e136-622c-a577ce7622d8",
"name":"login as prov1",
"description":"",
"url":"http://http://solar.local:8000/api/aaaLogin.json",
"method":"POST",
"headers":"",
"data":
"{\"aaaUser\":{\"attributes\":{\"name\": \"prov1\", \"pwd\": \"secret!\"}}}",
"dataMode":"raw","timestamp":0,"version":2,"time":1398807562828},
{"collectionId":"ac62a200-9210-f53b-7114-a8f4cffb9a36","id":"56e46db0-77ea-743f-a64e-c5f7b1f59807",
"name":"Root login",
"description":"",
"url":"http://http://solar.local:8000/api/aaaLogin.json",
"method":"POST",
"headers":"",
"data":
"{\"aaaUser\":{\"attributes\":{\"name\": \"admin\", \"pwd\": \"secret!\"}}}",
"dataMode":"raw","timestamp":0,"responses":[],"version":2},
{"collectionId":"ac62a200-9210-f53b-7114-a8f4cffb9a36","id":"804893f1-0915-6d35-169d-3af0eb3e64ec",
"name":"consumer tenant only",
"description":"",
"url":"http://http://solar.local:8000/api/policymgr/mo/uni/tn-cons1.xml",
"method":"POST",
"headers":"",
"data":
"<fvTenant name=\"cons1\">
<aaaDomainRef name=\"cons1\"/>\n
</fvTenant>\n",
"dataMode":"raw","timestamp":0,"version":2,"time":1398968007487},
{"collectionId":"ac62a200-9210-f53b-7114-a8f4cffb9a36","id":"85802d50-8089-bf8b-4481-f149bec258c8",
"name":"login as cons1",
"description":"",
"url":"http://solar.local:8000/api/aaaLogin.json",
"method":"POST",
"headers":"",
"data":
"{\"aaaUser\":{\"attributes\":{\"name\": \"cons1\", \"pwd\": \"secret!\"}}}",
"dataMode":"raw","timestamp":0,"version":2,"time":1398807575531},
{"collectionId":"ac62a200-9210-f53b-7114-a8f4cffb9a36","id":"a2739d92-5f9d-f16c-8894-0f64b6f967a3",
"name":"consumer",
"description":"",
"url":"http://solar.local:8000/api/policymgr/mo/uni/tn-cons1.xml",
"method":"POST","headers":"","data":
"<fvTenant name=\"cons1\" status=\"modified\">\n
<fvCtx name=\"cons1\"/>\n
<!-- bridge domain -->\n
<fvBD name=\"cons1\">\n
<fvRsCtx tnFvCtxName=\"cons1\" />\n
<fvSubnet ip=\"10.0.2.128/24\" scope='shared'/>\n
</fvBD>\n
\n <!-- DNS Shared Service Contract Interface-->\n
<vzCPIf name=\"consIf\">\n
<vzRsIf tDn=\"uni/tn-prov1/brc-webCtrct\" >\n
</vzRsIf>\n
</vzCPIf>\n \n
<fvAp name=\"cons1\">\n
<fvAEPg name=\"APP\">\n
<fvRsBd tnFvBDName=\"cons1\" />\n
<fvRsNodeAtt tDn=\"topology/pod-1/node-101\" encap=\"vlan-4000\" instrImedcy=\"immediate\" mode=\"regular\"/>\n
<fvRsDomAtt tDn=\"uni/vmmp-VMware/dom-Datacenter\"/>\n
<fvRsConsIf tnVzCPIfName=\"consIf\"/>\n
</fvAEPg>\n
</fvAp>\n
</fvTenant>\n",
"dataMode":"raw","timestamp":0,"version":2,"time":1398818639692},
{"collectionId":"ac62a200-9210-f53b-7114-a8f4cffb9a36","id":"c0bd866d-600a-4f45-46ec-6986398cbf78",
"name":"provider tenant only",
"description":"",
"url":"http://solar.local:8000/api/policymgr/mo/uni/tn-prov1.xml",
"method":"POST",
"headers":"",
"data":
"<fvTenant name=\"prov1\"><aaaDomainRef name=\"prov1\"/> \n
</fvTenant>\n",
"dataMode":"raw","timestamp":0,"version":2,"time":1398818137518},
{"collectionId":"ac62a200-9210-f53b-7114-a8f4cffb9a36","id":"d433a213-e95d-646d-895e-3a9e2e2b7ba3",
"name":"create RbacRule",
"description":"",
"url":"http://solar.local:8000/api/policymgr/mo/uni.xml",
"method":"POST",
"headers":"",
"data":
"<aaaRbacEp>\n
<aaaRbacRule objectDn=\"uni/vmmp-VMware/dom-Datacenter\" domain=\"cons1\"/>\n
<aaaRbacRule objectDn=\"uni/tn-prov1/brc-webCtrct\" domain=\"cons1\"/>\n
</aaaRbacEp>\n",
"dataMode":"raw","timestamp":0,"version":2,"time":1414195420515},
{"collectionId":"ac62a200-9210-f53b-7114-a8f4cffb9a36","id":"d5c5d580-a11a-7c61-34ac-cbdac249157f",
"name":"provider",
"description":"",
"url":"http://solar.local:8000/api/policymgr/mo/uni/tn-prov1.xml",
"method":"POST",
"headers":"",
"data":
"<fvTenant name=\"prov1\" status=\"modified\">\n
<fvCtx name=\"prov1\"/>\n
\n <!-- bridge domain -->\n
<fvBD name=\"prov1\">\n
<fvRsCtx tnFvCtxName=\"prov1\" />\n
</fvBD>\n \n
<vzFilter name='t0f0' >\n
<vzEntry etherT='ip' dToPort='10' prot='6' name='t0f0e9' dFromPort='10'>
</vzEntry>\n
</vzFilter>\n \n
<vzFilter name='t0f1'>\n
<vzEntry etherT='ip' dToPort='209' prot='6' name='t0f1e8' dFromPort='109'>
</vzEntry>\n
</vzFilter>\n \n
<vzBrCP name=\"webCtrct\" scope=\"global\">\n
<vzSubj name=\"app\">\n
<vzRsSubjFiltAtt tnVzFilterName=\"t0f0\"/>\n
<vzRsSubjFiltAtt tnVzFilterName=\"t0f1\"/>\n
</vzSubj>\n
</vzBrCP>\n \n
<fvAp name=\"prov1AP\">\n
<fvAEPg name=\"Web\">\n
<fvRsBd tnFvBDName=\"prov1\" />\n
<fvRsNodeAtt tDn=\"topology/pod-1/node-17\" encap=\"vlan-4000\" instrImedcy=\"immediate\" mode=\"regular\"/>\n
<fvRsProv tnVzBrCPName=\"webCtrct\"/>\n
<fvRsDomAtt tDn=\"uni/vmmp-VMware/dom-Datacenter\"/>\n
<fvSubnet ip=\"10.0.1.128/24\" scope='shared'/>\n
</fvAEPg>\n
</fvAp>\n
</fvTenant>\n",
"dataMode":"raw","timestamp":0,"version":2,"time":1398818660457},
{"collectionId":"ac62a200-9210-f53b-7114-a8f4cffb9a36","id":"e8866493-2188-8893-8e0c-4ca0903b18b8",
"name":"add user prov1",
"description":"",
"url":"http://solar.local:8000/api/policymgr/mo/uni/userext.xml",
"method":"POST",
"headers":"",
"data":
"<aaaUserEp>\n
<aaaUser name=\"prov1\" pwd=\"secret!\">
<aaaUserDomain name=\"prov1\">
<aaaUserRole name=\"tenant-admin\" privType=\"writePriv\"/>
<aaaUserRole name=\"vmm-admin\" privType=\"writePriv\"/>
</aaaUserDomain>
</aaaUser>\n
<aaaUser name=\"cons1\" pwd=\"secret!\">
<aaaUserDomain name=\"cons1\">
<aaaUserRole name=\"tenant-admin\" privType=\"writePriv\"/>
<aaaUserRole name=\"vmm-admin\" privType=\"writePriv\"/>
</aaaUserDomain>
</aaaUser>\n
<aaaDomain name=\"prov1\"/>\n
<aaaDomain name=\"cons1\"/>\n
</aaaUserEp>\n",
"dataMode":"raw","timestamp":0,"version":2,"time":1398820966635}]}
ポート セキュリティのイネーブル化
ポート セキュリティ機能は、ポートごとに取得される MAC アドレスの数を制限することによって、不明な MAC アドレスでフラッディングしないように ACI ファブリックを保護します。ポート セキュリティ機能のサポートは、物理ポート、ポート チャネル、および仮想ポート チャネルで使用できます。
次のようなガイドラインと制約事項があります。
ポート セキュリティは、ポートごとに使用できます。
ポート セキュリティは、物理ポート、ポート チャネル、および仮想ポート チャネル(vPC)でサポートされています。
スタティック MAC アドレスとダイナミック MAC アドレスがサポートされています。
セキュアなポートからセキュアでないポートへと、セキュアでないポートからセキュアなポートへの MAC アドレスの移動がサポートされています。
MAC アドレスの制限は、MAC アドレスにのみ適用され、MAC と IP によるアドレスには実行されません。
ポート セキュリティは、ファブリック エクステンダ(FEX)ではサポートされていません。
非 vPC ポートまたはポート チャネルでは、新しいエンドポイントに対して学習イベントが発生し、新しい学習が許可されているか確認する検証が行われます。対応するインターフェイスに設定されていない、または無効なポート セキュリティ ポリシーが存在する場合、エンドポイント ラーニング動作はサポートされているものから変更されません。ポリシーが有効になっており制限に到達している場合、現在のサポートされているアクションは次の通りです。
エンドポイントを学習し、ドロップ アクションのハードウェアにインストールします。
サイレントに学習を破棄します。
制限に到達していない場合、エンドポイントが学習され、この新しいエンドポイントが発生したため制限に達しているかどうか確認する検証が行われます。制限に到達しており、学習の無効化アクションが設定されている場合、インターフェイス上のハードウェアでラーニングが無効になります(物理インターフェイスまたはポート チャネルまたは vPC)。制限に到達しており、学習の無効化アクションが設定されていない場合、エンドポイントはドロップ アクションでハードウェアにインストールされます。このようなエンドポイントは、他のエンドポイントのように通常期限切れです。
初めて制限に達したとき、ポート セキュリティ ポリシー オブジェクトの動作状態がそれを反映して更新されます。スタティック ルールは、ユーザーに警告ができるように、障害の発生と定義されます。制限に到達すると、Syslog も発生します。
vPCの場合、MAC 制限に到達するとピア リーフ スイッチにも通知されるため、ラーニングがピアで無効になる可能性があります。vPC ピアはいつでも再起動でき、vPC レッグが動作不能になるか再起動できるため、この状態はピアと調和して vPC ピアはこの状態に同期されません。同期しない場合は、1 個のレッグでラーニングが有効になり、他のレッグで無効になる状況が発生する可能性があります。
デフォルトでは、制限に到達してラーニングが無効になると、60 秒のデフォルト タイムアウト値の後、自動的に再度有効になります。
APIC では、ユーザがスイッチ ポートのポート セキュリティを設定できます。ポート上で MAC が制限の最大設定値を超過すると、超過した MAC アドレスからすべてのトラフィックが転送されます。次の属性がサポートされます。
ポート セキュリティのタイムアウト :現在サポートされているタイムアウト値値は、60 ~ 3600 秒の範囲でサポートされています。
違反行為:違反行為は保護モードで使用できます。保護モードでは、MAC の取得が無効になるため、MAC アドレスは CAM テーブルに追加されません。Mac ラーニングが設定されているタイムアウト値の後に再度有効になります。
最大エンドポイント :現在のサポートされている最大のエンドポイント設定値は、0 ~ 12000 の範囲でサポートされています。最大エンドポイント値が 0 の場合、そのポートではポート セキュリティ ポリシーが無効になります。
保護モードはセキュリティ違反を発生している以上に増やさないようにします。MAC の制限がポートで設定されている最大値を超えると、超過した MAC アドレスからすべてのトラフィックはドロップされ、さらにラーニングが無効になります。
ポート セキュリティを設定します。 例:
|
COOP 認証の有効化
マッピング情報(ロケーションおよび ID)をスパイン プロキシに伝達するために、Council of Oracles Protocol(COOP)を使用します。リーフ スイッチは、Zero Message Queue(ZMQ)を使用して、エンドポイント アドレス情報をスパイン スイッチ「Oracle」に転送します。スパイン ノードで実行している COOP によって、すべてのスパイン ノードが一貫性のあるエンドポイント アドレスとロケーション情報のコピーを維持することができ、さらに、ロケーション マッピング データベースに対するエンドポイント ID の分散ハッシュ テーブル(DHT)レポジトリを維持することができます。
COOP データ パス通信は、セキュアな接続を介した転送を優先します。COOP は悪意のあるトラフィック インジェクションから COOP メッセージを保護するために MD5 オプションの活用が強化されます。APIC コントローラおよびスイッチは、COOP プロトコル認証をサポートします。
COOP プロトコルは 2 つの ZMQ 認証モードをサポートするために強化されています:ストリクトおよび互換性。
ストリクト モード:COOP では MD5 認証済みの ZMQ 接続のみを許可します。
互換性モード;COOP ではメッセージの転送に MD5 認証接続と非認証 ZMQ 接続の両方を許可します。
Cisco Application Centric Infrastructure(ACI)ファブリック上で COOP ゼロ メッセージ キュー(ZMQ)認証サポートを行うため、Application Policy Infrastructure Controller(APIC)では MD5 パスワードおよび COOP セキュア モードをサポートします。
COOP ZMQ 認証タイプの設定:新しい管理対象オブジェクトの coop: AuthP
は、データ管理エンジン(DME)データベース(DME)/COOP に追加されます。属性タイプのデフォルト値は「互換性」ですが、ユーザーには「厳密」タイプ設定を行うオプションがあります。
COOP ZMQ 認証 MD5 パスワード:APIC では管理対象オブジェクト(fabric:SecurityToken
)提供し、MD5 パスワードに使用する属性が含まれます。「トークン」と呼ばれるこの管理対象オブジェクト内の属性は、1 時間ごとに変更される文字列です。COOP は、ZMQ 認証用のパスワードを更新するため DME から通知を取得します。属性トークン値は表示されません。
次の注意事項と制約事項に従ってください。
ACI ファブリック アップグレード中に、保護が有効なイメージへすべてのスイッチをアップグレードするまで、COOP 厳格モードが許可されません。この保護は、早期に厳格なモードを有効にすることでトリガされる可能性がある、予期しない COOP 接続の拒否を防ぎます。
APIC コントローラのアップグレードまたはダウングレード時に、ACI ファブリックは混合セキュアで保護され、非セキュア APIC イメージを持つ状態です。セキュア イメージの認証モードは厳格で、一部のスイッチはアップグレードまたはダウングレード時に、サービス対象外のままになっている可能性があります。認証モードのタイプが互換モードの場合、アップグレードによりスイッチのサービス対象外の状態は発生しません。
COOP 認証ポリシーを設定します。 例では、ストリクト モードが選択されます。 例:
|
コントロール プレーン ポリシングの有効化
コントロール プレーン ポリシング(CoPP)はコントロール プレーンを保護し、それをデータ プレーンから分離することによって、ネットワークの安定性、到達可能性、およびパケット配信を保証します。
この機能により、コントロール プロセッサに到達可能な各プロトコルに対して、パラメータの仕様でポリサーを使用したレート制限が可能になります。ポリシングは、ルータまたはレイヤ 3 スイッチの IP アドレスのいずれかを宛先とするすべてのトラフィックに適用されます。ネットワーク デバイスへの一般的な攻撃ベクトルは、過剰なトラフィックがデバイス インターフェイスに転送されるサービス妨害(DoS)攻撃です。
Cisco ACI リーフ/スパイン NX-OSは、DoS 攻撃がパフォーマンスに影響しないようにするために CoPP を提供します。このような攻撃は誤って、または悪意を持って実行される場合があり、通常は、ACI リーフ/スパイン CPU のスーパーバイザ モジュールまたは CPU 自体に宛てられた大量のトラフィックが含まれます。
ACI リーフ/スパイン スイッチのスーパーバイザ モジュールは、管理対象のトラフィックを次の 2 つの機能コンポーネント(プレーン)に分類します。
データ プレーン:すべてのデータ トラフィックを処理します。NX-OS デバイスの基本的な機能は、インターフェイス間でパケットを転送することです。スイッチ自身に向けられたものでないパケットは、中継パケットと呼ばれます。データ プレーンで処理されるのはこれらのパケットです。
コントロール プレーン:ルーティング プロトコルのすべての制御トラフィックを処理します。ボーダー ゲートウェイ プロトコル(BGP)や Open Shortest Path First(OSPF)プロトコルなどのルーティング プロトコルは、デバイス間で制御パケットを送信します。これらのパケットはルータのアドレスを宛先とし、コントロール プレーン パケットと呼ばれます。
ACI リーフ/スパイン スーパーバイザ モジュールはコントロール プレーンを所有しており、ネットワークの動作に重要です。スーパーバイザ モジュールの動作が途絶したり、スーパーバイザ モジュールが攻撃されたりすると、重大なネットワークの停止につながります。たとえばスーパーバイザに過剰なトラフィックが加わると、スーパーバイザ モジュールが過負荷になり、Cisco ACI ファブリック全体のパフォーマンスが低下する可能性があります。またたとえば、ACI リーフ/スパイン スーパーバイザ モジュールに対する DoS 攻撃は、コントロール プレーンに対して非常に高速に IP トラフィック ストリームを生成することがあります。これにより、コントロール プレーンは、これらのパケットを処理するために大量の時間を費やしてしまい、本来のトラフィックを処理できなくなります。
次に、DoS 攻撃の例を示します。
インターネット制御メッセージ プロトコル(ICMP)エコー要求
IP フラグメント
TCP SYN フラッディング
これらの攻撃によりデバイスのパフォーマンスが影響を受け、次のようなマイナスの結果をもたらします。
サービス品質の低下(音声、ビデオ、または重要なアプリケーション トラフィックの低下など)
ルート プロセッサまたはスイッチ プロセッサの高い CPU 使用率
ルーティング プロトコルのアップデートまたはキープアライブの消失によるルート フラップ
メモリやバッファなどのプロセッサ リソースの枯渇
着信パケットの無差別のドロップ
(注) |
ACI リーフ/スパインは、デフォルト設定で CoPP によって保護されているデフォルトです。この機能では、顧客のニーズに基づいてノードのグループにパラメータを調整できます。 |
コントロール プレーンを保護するために、ACI リーフ/スパインで実行している Cisco NX-OS でコントロール プレーンに向かうさまざまなパケットを異なるクラスに分離します。クラスの識別が終わると、Cisco NX-OS デバイスはパケットをポリシングします。これにより、スーパーバイザ モジュールに過剰な負担がかからないようになります。
コントロール プレーンのパケット タイプ:
コントロール プレーンには、次のような異なるタイプのパケットが到達します。
受信パケット:ルータの宛先アドレスを持つパケット。宛先アドレスには、レイヤ 2 アドレス(ルータ MAC アドレスなど)やレイヤ 3 アドレス(ルータ インターフェイスの IP アドレスなど)があります。これらのパケットには、ルータ アップデートとキープアライブ メッセージも含まれます。ルータが使用するマルチキャスト アドレス宛てに送信されるマルチキャスト パケットも、このカテゴリに入ります。
例外パケット:スーパーバイザ モジュールによる特殊な処理を必要とするパケット。たとえば、宛先アドレスが Forwarding Information Base(FIB; 転送情報ベース)に存在せず、結果としてミスとなった場合は、スーパーバイザ モジュールが送信側に到達不能パケットを返します。他には、IP オプションがセットされたパケットもあります。
リダイレクト パケット:スーパーバイザ モジュールにリダイレクトされるパケット。ダイナミック ホスト コンフィギュレーション プロトコル(DHCP)スヌーピングやダイナミック アドレス解決プロトコル(ARP)インスペクションなどの機能は、パケットをスーパーバイザ モジュールにリダイレクトします。
収集パケット:宛先 IP アドレスのレイヤ 2 MAC アドレスが FIB に存在していない場合は、スーパーバイザ モジュールがパケットを受信し、ARP 要求をそのホストに送信します。
これらのさまざまなパケットはすべて、コントロール プレーンへの悪意ある攻撃に利用され、Cisco ACI ファブリックに過剰な負荷をかける可能性があります。CoPP は、これらのパケットを異なるクラスに分類し、これらのパケットを ACI リーフ/スパイン スーパーバイザが受信する速度を個別に制御するメカニズムを提供します。
CoPP の分類:
効果的に保護するために、ACI リーフ/スパイン NX-OS はスーパーバイザ モジュールに到達するパケットを分類して、パケット タイプに基づいた異なるレート制御ポリシーを適用できるようにします。たとえば、Hello メッセージなどのプロトコル パケットには厳格さを緩め、IP オプションがセットされているためにスーパーバイザ モジュールに送信されるパケットには厳格さを強めることが考えられます。
レート制御メカニズム:
パケットの分類が終わると、ACI リーフ/スパイン NX-OS にはスーパーバイザ モジュールに到達するパケットのレートを制御するメカニズムがあります。
ポリシングには、次のパラメータを設定できます。
認定情報速度(CIR):リンク レートをビット レートまたはパーセンテージで指定した、目的の帯域幅。
認定バースト(BC):指定した時間枠内に CIR を超過する可能性があるが、スケジューリングには影響を与えないトラフィック バーストのサイズ。
デフォルトのポリシング ポリシー:
Cisco ACI リーフ/スパイン ブートアップがある場合は、プラットフォーム設定事前定義された CoPP パラメータのさまざまなプロトコルが Cisco によって実行テストに基づいています。
CoPP に関する注意事項と制約事項は次のとおりです。
最初に strict デフォルト CoPP ポリシーを使用し、後で、データセンターおよびアプリケーションの要件に基づいて CoPP ポリシーを変更することを推奨します。
CoPP のカスタマイズは継続的なプロセスです。CoPP を設定するときには、特定の環境で使用されるプロトコルや機能に加えて、サーバ環境に必要なスーパーバイザ機能を考慮する必要があります。これらのプロトコルや機能が変更されたら、CoPP を変更する必要があります。
CoPP を継続的にモニタすることを推奨します。ドロップが発生した場合は、CoPP がトラフィックを誤ってドロップしたのか、または誤動作や攻撃に応答してドロップしたのかを判定してください。いずれの場合も、状況を分析し、CoPP ポリシーを変更する必要を評価します。
CoPP ポリシーによって、ルーティング プロトコルなどのクリティカルなトラフィック、またはデバイスへのインタラクティブなアクセスがフィルタリングされないように注意してください。このトラフィックをフィルタリングすると、Cisco ACI リーフ/スパインへのリモート アクセスが禁止され、コンソール接続が必要となる場合があります。
APIC UI を使用して、CoPP パラメータを調整することができます。
プロトコルごとの各インターフェイスはリーフ スイッチでのみサポートされています。
プロトコルごとの各インターフェイスで FEX ポートはサポートされていません。
プロトコルごとの各インターフェイスでサポートされているプロトコルは、ARP、ICMP、CDP、LLDP、LACP、BGP、STP、BFD、および OSPF です。
プロトコルごとの各インターフェイスの最大の TCAM エントリは 256 です。しきい値を超過すると、障害が発生します。
ステップ 1 |
CoPP リーフ プロファイルを設定します。 例:
|
ステップ 2 |
CoPP スパイン プロファイルを設定します。 例:
|
プロトコルごとにインターフェイスあたりの CoPP を設定します。 例:
|
ファースト ホップ セキュリティの設定
ファーストホップ セキュリティ(FHS)機能では、レイヤ 2 リンク上でより優れた IPv4 と IPv6 のリンク セキュリティおよび管理が可能になります。サービス プロバイダ環境で、これらの機能は重複アドレス検出(DAD)とアドレス解像度(AR)などのアドレス割り当てや派生操作が、より緊密に制御可能です。
次のサポートされている FHS 機能はプロトコルをセキュアにして、ファブリック リーフ スイッチにセキュアなエンドポイント データベースを構築するのに役立ち、MIM 攻撃や IP の盗難などのセキュリティ盗難を軽減するために使用されます。
ARP Inspection
ND 検査
DHCP 検査
RA ガード
IPv4 および Ipv6 ソース ガード
トラスト制御
FHS 機能は、次のセキュリティ対策を提供します。
ロールの適用:信頼できない主催者が、そのロールの有効範囲を超えるメッセージを送信することを防ぎます。
バインディングの適用:アドレスの盗難を防止します。
DoS 攻撃の軽減対策:悪意あるエンドポイントを防ぎ、データベースが操作サービスを提供することを停止するポイントにエンドポイント データベースを成長させます。
プロキシ サービス:アドレス解決の効率を高めるため一部のプロキシ サービスを提供します。
FHS 機能は、テナント ブリッジ ドメイン(BD)ごとに有効になっています。ブリッジ ドメインとして、単一または複数のリーフ スイッチで展開可能で、FHS 脅威の制御と軽減のメカニズムは単一のスイッチと複数のスイッチのシナリオにも対応できます。
ほとんどの FHS 機能はツーステップ傾向で設定されています。最初に機能の動作を説明するポリシーを定義し、次にこのポリシーを「ドメイン」に適用します(テナント ブリッジ ドメインまたはテナント エンドポイント グループになる)。異なる動作を定義する別のポリシーは、さまざまな交差ドメインに適用できます。特定のポリシーを使用する決定は、ポリシーを適用するもっとも明確なドメインで行われます。
ポリシーのオプションは、[Tenant_name]>[Networking]>[Protocol Policies]>[First Hop Security] タブの下にある Cisco APIC GUI から定義できます。
次の注意事項と制約事項に従ってください。
リリース 3.1 (1) より、仮想エンドポイント(AV のみ)で FHS はサポートされています。
EPG が VXLAN カプセル化で展開されるとき、FHS 機能はサポートされていません。
[ダウン] 状態の FHS バインディング表データベースでセキュリティ保護されたエンドポイント エントリは、タイムアウトから 18 時間 後に消去されます。エントリが学習する前面パネル ポートがリンク ダウンする場合、エントリは [ダウン] 状態に移動します。この 18 時間 ウィンドウの中で、エンドポイントが別のロケーションに移動し別のポートで確認される場合、エンドポイントが他のポートから到達可能な限り移行され、エントリはグレースフルに [ダウン] 状態から [REACHABLE/STALE] に移行します。
IP 発信元ガードが有効な時、IP 送信元アドレスとして Ipv6 リンク ローカル アドレスを使用して供給される Ipv6 トラフィックは、IP 送信元ガード施行を受けません(例:送信元 MAC の施行 <=> IP 調査機能によりセキュリティ保護された送信元 IP バインディング)。バインディング チェック障害に関係なく、デフォルトでこのトラフィックが許可されます。
L3Out インターフェイスでは、FHS はサポートされていません。
TOR に基づいて N9K-M12PQ では FHS はサポートされていません。
ACI マルチサイトの FHS はサイトのローカル機能であるため、APIC クラスタからサイトでのみ有効にできます。また、ACI マルチサイトの FHS は、BD や EPG がサイト ローカルであり、サイト上でストレッチしない場合にのみ動作します。ストレッチ BD または EPG の FHS セキュリティを有効にすることはできません。
レイヤ 2 専用ブリッジ ドメインでは、FHS はサポートされていません。
テナントおよびブリッジ ドメインは設定しておく必要があります。
FHS と信頼制御ポリシーを設定します。 例:
|
802.1X の設定
802.1X では、クライアント サーバ ベースのアクセス コントロールと認証プロトコルを定義し、許可されていないクライアントが公にアクセス可能なポートを経由して LAN に接続するのを規制します。認証サーバは、Cisco NX-OS デバイスのポートに接続されるクライアントを個々に認証します。
802.1X アクセス コントロールでは、クライアントが認証されるまで、そのクライアントが接続しているポート経由では Extensible Authentication Protocol over LAN(EAPOL)トラフィックしか許可されません。認証に成功すると、通常のトラフィックはポートを通過できるようになります。
RADIUS 分散クライアント/ サーバ システムを使用すると、不正アクセスからネットワークを保護できます。Cisco ACI 実装では、RADIUS クライアントは ToR で稼働し、すべてのユーザー認証情報およびネットワーク サービス アクセス情報が格納された中央の RADIUS サーバに認証要求およびアカウンティング要求を送信します。
802.1 X 機能は、次のモードでポート上のトラフィックを制限できます。
単一ホスト モード:802.1X ポートで 1 台のエンドポイント デバイスのみからのトラフィックが許可されます。エンドポイント デバイスが認証されると、APIC はポートを許可状態にします。エンドポイント デバイスがログオフすると、OS はポートを無許可状態に戻します。802.1X のセキュリティ違反とは、認証に成功して許可された単一の MAC アドレスとは異なる MAC アドレスをソースとするフレームが検出された場合をいいます。このような場合、このセキュリティ アソシエーション(SA)違反(他の MAC アドレスからの EAPOL フレーム)が検出されたインターフェイスはディセーブルにされます。シングルホスト モードは、ホストツースイッチ型トポロジで 1 台のホストが APIC のレイヤ 2 ポート(イーサネット アクセス ポート)またはレイヤ 3 ポート(ルーテッド ポート)に接続されている場合にだけ適用できます。
複数のホスト モード : ポートごとに複数のホストを使用できますが、最初の 1 つだけが認証されます。最初のホストの許可に成功すると、ポートは許可ステートに移行します。ポートが許可ステートになると、後続のホストがネットワーク アクセスの許可を受ける必要はありません。再認証に失敗したり、または EAPOL ログオフ メッセージを受信して、ポートが無許可ステートになった場合には、接続しているすべてのクライアントはネットワーク アクセスを拒否されます。マルチ ホスト モードでは、SA 違反の発生時にインターフェイスをシャットダウンする機能がディセーブルになります。このモードは、スイッチツースイッチ型トポロジおよびホストツースイッチ型トポロジの両方に適用できます
マルチ認証モード : 複数のホストとすべてのホストを個別に認証を使用できます。
(注) |
各ホストには、同じ EPG/VLAN 情報を必須です。 |
マルチ ドメイン モード : 別のデータおよび音声ドメイン。IP 電話で使用します。
ACI 802.1 x は次の認証モードをサポートしています。
EAP:オーセンティケータは EAP-Request/Identity フレームをサプリカントに送信して識別情報を要求します(通常、オーセンティケータは 1 つまたは複数の識別情報の要求のあとに、最初の Identity/Request フレームを送信します)。サプリカントはフレームを受信すると、EAP-Response/Identity フレームで応答します。
MAB:フォールバック認証モードとして MAC 認証バイパス(MAB)がサポートされています。MAB により、エンドポイントの MAC アドレスを使用してポートベースのアクセス コントロールが有効になります。MAB が有効なポートは接続するデバイスの MAC アドレスに基づいて、動的に有効または無効にできます。MAB の前に、エンドポイントの ID が不明であり、すべてのトラフィックがブロックされます。スイッチでは、単一のパケットを検査して送信元 MAC アドレスを学習および認証します。MAB が成功するとエンドポイントの ID が判明し、エンドポイントからのすべてのトラフィックが許可されます。スイッチは送信元 MAC アドレス フィルタリングを実行し、MAB の認証されたエンドポイントのみがトラフィックの送信を許可されます。
802.1X ポートベースの認証には、次の設定に関する注意事項と制約事項があります。
Cisco ACI が 802.1X 認証をサポートするのは、物理ポート上だけです。
Cisco ACI は、ポート チャネルまたはサブインターフェイスでは 802.1X 認証をサポートしません。
Cisco ACI は、ポート チャネルのメンバ ポートでは 802.1X 認証をサポートしますが、ポート チャネル自体ではサポートしません。
802.1X 設定を含むメンバ ポートと含まないメンバ ポートはポート チャネルで共存できます。ただし、チャネリングと 802.1X が連携して動作するためには、すべてのメンバ ポートで 802.1X 設定を同一にする必要があります
802.1X 認証を有効にした場合、サプリカントが認証されてから、イーサネット インターフェイス上のレイヤ 2 またはレイヤ 3 のすべての機能が有効になります。
802.1 x はリーフ シャーシでのみサポート EX または FX タイプことです。
802.1 x はサポートされているファブリック アクセス ポートだけです。802.1X はポート チャネルまたは仮想ポート チャネルではサポートされていません。
IPv6 は、dot1x クライアント 3.2(1) リリースではサポートされていません。
特に特定のインターフェイス設定(ホスト モードおよび認証タイプ)がそのリリースでサポートされていない場合に以前のリリースにダウングレードすると、dot1x 認証タイプはデフォルトでなしになります。ホスト モードは希望に応じて単一のホストか複数のホストのどちらかに手動で再設定する必要があります。これで、ユーザーがそのリリースでのみサポートされているモード/認証タイプを設定し、サポートされていないシナリオで実行していないことを確認します。
マルチ認証では、1 音声クライアントと複数のデータ クライアント(すべて同じデータ vlan/epg に属する)をサポートします。
障害 epg/vlan で 802.1x 認証ポリシーのノードでは、必須の設定を示します。
マルチ ドメインの方法より 1 の音声およびデータが 1 つのクライアントは、セキュリティが無効な状態で、ポートを配置します。
802.1 の次のプラットフォームはサポートされていません x:
N9K-C9396PX
N9K-M12PQ
N9K-C93128TX
N9K-M12PQ
APIC で有効になっている場合にのみ、802.1 x および RADIUS プロセスが開始されます。内部的にこれは、radius エンティティの作成時に 802.1x Inst MO が作成され radius プロセスが作成されたときに、dot1x プロセスが開始されることを意味します。そのインターフェイスに接続しているユーザーを認証するため、Dot1x ベースの認証が各インターフェイスで有効になっている必要があります。そうでない場合、動作が変更されません。
RADIUS サーバの設定は、dot1x 設定とは別に行われます。RADIUS の設定は、RADIUS サーバのリストとそれらに到達する方法を定義します。Dot1x 設定には、認証に使用する RADIUS グループ(またはデフォルト グループ)への参照が含まれています。
802.1 x および RADIUS の設定の両方ともが正常に認証が行われる必要があります。設定の順序は重要ではありませんが、RADIUS 設定がない場合は、802.1 x 認証は正常に行われません。
802.1x ノード認証ポリシーを設定します。 例:
|
802.1 x ポート認証ポリシーを作成します。 例:
|