In dit document worden de GPO-configuratie en -validatie beschreven in VXLAN-verbindingen met meerdere locaties op Nexus Cloud Scale-switches met NX-OS en NDFC 4.2.
Cisco raadt u aan kennis te hebben van deze gebieden:
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Group Policy Option (GPO) is een op beleid gebaseerd segmentatiemechanisme dat is ontworpen om de communicatie tussen eindpunten te regelen op basis van logische identiteit in plaats van alleen te vertrouwen op IP-adressen, VLAN's of subnetten. Het belangrijkste doel van GPO is om de handhaving van het beveiligingsbeleid te vereenvoudigen en een schaalbare microsegmentatie tussen toepassingen, servers of werkbelastingen te bieden.
Een eenvoudige analogie is om te denken aan een hotel waar elke gast tot een specifieke categorie of toegangsniveau behoort, bepaalde gebieden zijn alleen toegankelijk voor specifieke gasten en toegangsrechten zijn afhankelijk van de rol van de gast in plaats van het kamernummer. GPO werkt op een vergelijkbare manier. In plaats van eindpunten puur als IP-adressen te behandelen, classificeert GPO ze in beveiligingsgroepen (SG's). Beleid wordt vervolgens toegepast tussen deze groepen om te bepalen welke communicatie is toegestaan of geweigerd.
Voorbeeld:
Beleid kan dan definiëren:
Deze aanpak vereenvoudigt de bewerkingen omdat beheerders niet langer grote aantallen ACL's op meerdere apparaten en VLAN's hoeven te onderhouden.
Een ander groot voordeel is de schaalbaarheid. In grote omgevingen worden werklasten vaak verplaatst, dynamisch geschaald of IP-adressen gewijzigd. Met GPO kan het beveiligingsbeleid consistent blijven, zelfs wanneer de locatie van het eindpunt verandert. Binnen VXLAN EVPN-verbindingen breidt GPO dit concept uit door informatie over de beveiligingsgroep over de structuur te verspreiden en ACL's (Security Group ACL's) tussen eindpunten af te dwingen. Dit wordt vooral belangrijk in moderne datacenters omdat oost-west verkeer tussen werkbelastingen vaak het grootste aanvalsoppervlak vertegenwoordigt. GPO verbetert de beveiligingspositie door onnodige communicatiepaden in de datacenterstructuur te beperken.
Voor een dieper technisch inzicht in GPO-architectuur, micro-segmentatieconcepten en handhaving van het VXLAN-beleid, raadpleegt u de Cisco-whitepaper die beschikbaar is op: Data Centers beveiligen met microsegmentatie met behulp van VXLAN GPO
GPO in VxLAN-verbinding
Deze topologie vertegenwoordigt een VXLAN Multi-Site fabric die wordt geïmplementeerd op twee geografisch gedistribueerde locaties: Mexico en de VS. Elke site bevat speciale BGW's, Spine-switches, Leaf-switches, virtuele machines en firewallsegmenten die worden uitgevoerd op Cisco Nexus 9300-switches met NX-OS 10.6(3)F. Het onderliggend netwerk maakt gebruik van Open Shortest Path First (OSPF), terwijl het overlay control plane iBGP gebruikt binnen elke site en eBGP tussen BGW-1 en BGW-2 voor inter-site VXLAN EVPN-communicatie. Aangezien deze omgeving een laboratoriuminstallatie is, zijn de locaties in Mexico en de VS onderling verbonden via een rechtstreeks verbonden verbinding tussen beide BGW's om het connectiviteitsmodel voor meerdere locaties te vereenvoudigen.
GPO wordt gebruikt om op beleid gebaseerde microsegmentatie tussen beveiligingsgroepen (SG's) af te dwingen, onafhankelijk van IP-adressering of VLAN-grenzen. Op basis van de tabel met het connectiviteitsbeleid is ICMP-verkeer van VM-1 naar VM-2, FW-1 en FW-2 toegestaan, terwijl TCP-poort 22 (SSH)-verkeer van VM-1 naar FW-1 en FW-2 wordt geweigerd. TCP-poort 22-communicatie tussen VM-1 en VM-2 blijft toegestaan omdat beide eindpunten tot dezelfde beveiligingsgroep behoren (SG-10001). Dit gedrag laat zien hoe GPO dynamisch verschillende verkeersregels afdwingt tussen intra-GPO- en inter-GPO-communicatie via de VXLAN Multi-Site fabric.
Opmerking: Cisco NX-OS Release 10.6(3)F introduceert dat u de communicatie tussen de eindpunten binnen hetzelfde ESG (ook bekend als SG) kunt beperken met behulp van de intra-ESG-isolatiefunctie. Deze functie minimaliseert het risico van ongeoorloofde toegang binnen ESG en verbetert de beveiligingspositie.

Deze stappen zijn van toepassing wanneer de VXLAN Multi-Site Fabric al operationeel is en is geconfigureerd met NDFC 4.2 en GPO daarna moet worden geïmplementeerd. De sectie Automation Using Nexus Dashboard in Securing Data Centers with Microsegmentation Using VXLAN GPO toont de configuratie vanaf de creatie van een VXLAN Single-Site fabric.
Let op: wanneer GPO in een VXLAN EVPN-fabric werkt, vindt communicatie alleen plaats als de bereikbaarheid van de bestemming bestaat en het beveiligingsbeleid het verkeer toestaat. Beleidshandhaving is gebaseerd op IP-informatie, waarvoor ARP-vermeldingen en SVI's voor interne netwerken vereist zijn. Dit betekent dat voor het VLAN van de tenant VRF een SVI moet zijn geconfigureerd. Handhaving is daarom niet van toepassing op verkeer dat alleen Layer 2-headers bevat en daarom niet kan worden gebruikt met VXLAN Layer 2-extensie. NX-OS Release 10.6(2)F introduceert ondersteuning voor MAC-gebaseerde microsegmentatie.
Opmerking: als deze optie is ingesteld op strict, moeten alle onderliggende VXLAN-verbindingen geschikt en ingeschakeld zijn voor beveiligingsgroepen. Als deze optie op los is ingesteld, zijn beveiligingsgroepen optioneel in onderliggende VXLAN-verbindingen.
Tip: gebruik dezelfde SGT-ID-bereiken (Security Group Tag) in de bovenliggende structuur en in alle onderliggende structuren om de zichtbaarheid te behouden. Het bovenliggende stoffenassortiment moet het bereik bestrijken dat door alle onderliggende weefsels wordt gebruikt.



NDFC vraagt je automatisch om een specifieke groep Nexus-switches opnieuw te laden op basis van hun rol. In dit voorbeeld moeten LEAF-1, LEAF-2, BGW-1 en BGW-2 opnieuw worden geladen. Deze actie moet handmatig worden uitgevoerd door de netwerkbeheerder. Het opnieuw laden is vereist en kan niet worden overgeslagen omdat GPO TCAM-snijwerk vereist.
Opmerking: als het toestel niet opnieuw is geladen, kan de TCAM-wijziging worden weergegeven in de actieve configuratie. Aangezien de switch echter niet opnieuw is opgestart, wordt de instelling niet toegepast op het hardwaregeheugen. Hierdoor kan de functie niet functioneren zoals verwacht.
De Nexus-switches opnieuw laden:
Navigeer naar Beheer > Stoffen > MEXICO/USA > Voorraad > Switches > LEAF-1 / LEAF-2 / BGW-1 / BGW-2 > Acties > Onderhoud > Opnieuw laden.

Definieer de beveiligingsgroepen voor elk eindpunt. Elk eindpunt in de VXLAN-verbindingen kan één beveiligingsgroep hebben. Deze aanpak is niet efficiënt schaalbaar. Wereldwijd groepseindpunten (onder andere virtuele machines, firewalls en TCP-optimizers).
Navigeer naar Beheer > Verbindingen > Verbindingsgroepen > DAVIDM3 > Segmentatie en beveiliging > Beveiligingsgroepen > Acties > Beveiligingsgroep maken.

Optioneel, VRF maken.
Standaard is voor een nieuw gemaakte tenant-VRF de modus voor beleidsafdwinging ingesteld op Niet afgedwongen. In deze status vindt geen beleidshandhaving plaats, zelfs als classificatiecriteria en SGACL's tussen beveiligingsgroepen zijn geconfigureerd. Om SGACL-handhaving te activeren, moet de VRF expliciet worden geconfigureerd in de afgedwongen modus.
Wanneer de VRF in de gedwongen modus werkt, wordt een standaardbeleidsgedrag gedefinieerd:
Eindpunten die tot dezelfde beveiligingsgroep behoren, kunnen met elkaar communiceren zonder dat hiervoor SGACL-regels nodig zijn. SGACL's definiëren beveiligingsbeleid alleen tussen verschillende beveiligingsgroepen.
Cisco NX-OS Release 10.6(3)F introduceert de mogelijkheid om communicatie tussen eindpunten binnen dezelfde GPO te beperken, ook bekend als intra-GPO-isolatiefunctie. Voorafgaand aan deze release worden regels die van toepassing zijn op eindpunten binnen dezelfde beveiligingsgroep genegeerd en is verkeer standaard toegestaan.
NDFC wijst automatisch een willekeurige tag-ID toe uit het vooraf gedefinieerde bereik in de configuratie van de fabric. Hoewel een tag-id handmatig kan worden geselecteerd, moet deze binnen het bereik vallen dat is gedefinieerd voor zowel het onderliggende als het bovenliggende weefsel.
In dit scenario:
Als de optie Bijvoegen niet is ingeschakeld, wordt de beveiligingsgroep niet toegepast op de CISCO-TAC-tenant.
NDFC 4.2 ondersteunt standaard drie typen selectors:
1) IP-selectors: IP-selectors koppelen eindpunten of IP-subnetten aan een beveiligingsgroep op basis van IP-informatie.
2) Netwerkselectors: netwerkselectors koppelen een beveiligingsgroep aan een specifiek VXLAN-netwerksegment. De classificatie wordt toegepast op basis van de netwerkidentificator (L2VNI). Alle eindpunten die tot dat netwerk behoren, erven de toegewezen beveiligingsgroep, waardoor beleidsimplementatie wordt vereenvoudigd wanneer meerdere eindpunten hetzelfde segment delen.
3) Netwerkpoortselectors: netwerkpoortselectors classificeren het verkeer op basis van de fysische switch-interface via welke het verkeer de verbinding binnenkomt. Een beveiligingsgroep kan worden toegewezen aan verkeer dat op een specifieke poort of interface wordt ontvangen. Deze aanpak wordt meestal gebruikt voor apparaten die zijn verbonden via externe netwerken, serviceapparaten of infrastructuurkoppelingen waarbij de IP-classificatie van het eindpunt niet haalbaar is.
| Apparaat | Naam beveiligingsgroep | VRF | ID beveiligingsgroeptag | Selectors |
| VM-1 | SG_VM's | CISCO-TAC | 10001 | IP-selectors |
| VM-2 | SG_VM's | CISCO-TAC | 10001 | IP-selectors |
| FW-1 | SG_FWs | CISCO-TAC | 10002 | IP-selectors |
| FW-2 | SG_FWs | CISCO-TAC | 10002 | IP-selectors |
Configuratie beveiligingsgroep voor VM's

Configuratie beveiligingsgroep voor FW's

De optie Protocoldefinitie maken wordt gebruikt om de netwerkprotocolparameters en verkeerskenmerken te definiëren die overeenkomen met een groepsbeleidsobject (GPO). Hiermee kunnen beheerders criteria opgeven zoals protocoltype, poortnummers en andere pakketkenmerken, zodat het bijbehorende beleid kan worden toegepast op de gewenste verkeersstromen.
In dit scenario is het doel om alleen ICMP-verkeer toe te staan en expliciet TCP-verkeer op poort 22 (SSH) te blokkeren. Dit beleid zorgt ervoor dat het testen van de bereikbaarheid van het netwerk toegestaan blijft, terwijl onbevoegde of ongewenste SSH-toegang handmatig wordt beperkt.
Navigeer naar Beheer > Verbindingen > Verbindingsgroepen > DAVIDM3 > Segmentatie en beveiliging > Protocoldefinities > Acties > Protocoldefinitie maken.
Voer de naam en beschrijving in.

Navigeer naar Acties > Protocolvermelding maken.
Fragmenten: hiermee kan de regel overeenkomen met gefragmenteerde IP-pakketten. Dit is handig omdat grote pakketten kunnen worden opgesplitst in fragmenten bij overschrijding van de MTU van het netwerk. Door dit mogelijk te maken, wordt het beleid ook op die fragmenten toegepast.
Stateful: Een proces dat stateful is, betekent dat het alle veranderingen of interacties bijhoudt die in het verleden zijn gebeurd, en een huidig proces wordt uitgevoerd met een context van die eerdere processen. In dit geval houdt TCP gebieden bij zoals het aantal pakketten dat moet worden overgedragen, de volgorde van de pakketten en of de ontvanger een pakket heeft ontvangen of niet. Als de optie Stateful is geselecteerd, wordt deze informatie opgeslagen als een status in TCP.
Deze optie is alleen beschikbaar als TCP is geselecteerd in het veld IP-protocol/opties.
Hiermee kunt u de TCP-vlaggen definiëren die door het beveiligingsprotocol worden gebruikt.
TCP-vlaggen maken deel uit van de TCP-header en worden gebruikt om het tot stand brengen, onderhouden en beëindigen van verbindingen te regelen.
Beschikbare opties:


Het Contract definieert de communicatieregels tussen eindpuntgroepen door aan te geven welk verkeer is toegestaan of geweigerd op basis van de bijbehorende beleidsdefinities. Het fungeert als het handhavingsmechanisme dat de geconfigureerde protocolregels, filters en acties toepast en ervoor zorgt dat het verkeer tussen bron- en doelgroepen voldoet aan het beoogde beveiligings- en segmentatiebeleid.
Navigeer naar Beheer > Stoffen > Verbindingsgroepen > DAVIDM3 > Segmentatie en beveiliging > Beveiligingscontracten > Acties > Beveiligingscontract maken.
Bidirectioneel:
Het bidirectionele contract is als volgt van toepassing met een overeenkomende samenvatting van de protocoldefinitie als IP TCP-poort 22.
Doorsturen: Het contract komt overeen met pakketten met IP-protocol, TCP-protocol en een bestemmingspoort van 22
Omgekeerde richting: Het contract komt overeen met pakketten met behulp van IP-protocol, TCP-protocol en een bronpoort van 22.
Dit geldt ongeacht de herkomst of bestemming.


Navigeer naar Beheer > Verbindingen > Verbindingsgroepen > DAVIDM3 > Segmentatie en beveiliging > Beveiligingsassociaties > Acties > Beveiligingsassociatie maken.
In Beveiligingsassociaties configureren wordt het beleidsmodel gedefinieerd door beveiligingsgroepen, protocoldefinities en beveiligingscontracten te koppelen. Beveiligingsgroepen classificeren eindpunten, protocoldefinities specificeren de verkeerstypen (zoals protocollen of poorten) en beveiligingscontracten definiëren het beleid dat wordt toegepast tussen bron- en bestemmingsbeveiligingsgroepen met behulp van die protocolregels. Beveiligingsassociaties vertegenwoordigen de relatie die deze elementen met elkaar verbindt, zodat de structuur het gedefinieerde beveiligingsbeleid kan afdwingen.






Controleer of de beveiligingsgroepfunctie is ingeschakeld op de switch. VXLAN GPO is afhankelijk van deze functie omdat hiermee de SGACL-infrastructuur (Security Group Tag) wordt geactiveerd die vereist is voor de classificatie van eindpunten, de handhaving van contracten en de programmering van SGACL-hardware.
BGW-1# show feature | i i security-group
security-group 1 enabled
De geconfigureerde en operationele routeringsmodus van het systeem op de switch valideren. Voor VXLAN GPO is de routeringsmodus voor ondersteuning van beveiligingsgroepen vereist, omdat de SGACL-handhaving speciale doorstuurmiddelen voor hardware binnen de ASIC-pijplijn verbruikt.
BGW-1# show system routing mode Configured System Routing Mode: Security-Groups Support Applied System Routing Mode: Security-Groups Support
BGW-1# show nve peers detail ## Details of nve Peers: ---------------------------------------- Peer-Ip: 10.10.10.2 ---------> Corresponds to LEAF-1 Loopback1, used as the local VXLAN NVE source interface. NVE Interface : nve1 Peer State : Up --------> Confirms that the VXLAN tunnel and EVPN adjacency are operational. Peer Uptime : 6d21h --------> Indicates long-term adjacency stability. Router-Mac : 44b6.beb3.b703 --------> Remote VTEP router MAC used for VXLAN forwarding. Peer First VNI : 50012 Time since Create : 6d21h Configured VNIs : 30136,30155,50012 --------> VNIs expected across this VXLAN adjacency. Provision State : peer-add-complete --------> Confirms successful hardware and software programming. Learnt CP VNIs : 30136,30155,50012 --------> Confirms successful EVPN control-plane synchronization. vni assignment mode : SYMMETRIC --------> Symmetric IRB forwarding mode is operational. Peer Location : FABRIC --------> Indicates a local fabric peer. Group policy capable: yes --------> Confirms that the remote VTEP supports Group Policy extensions and can exchange Security Group Tags (SGTs) and contract information. ---------------------------------------- Peer-Ip: 10.20.20.2 ---------> Corresponds to BGW-2 Loopback1, used as the remote BGW NVE source interface. NVE Interface : nve1 Peer State : Up Peer Uptime : 01:36:54 Router-Mac : 4488.1618.f093 Peer First VNI : 30136 Time since Create : 01:36:54 Configured VNIs : 30136,30155,50012 Provision State : peer-add-complete Learnt CP VNIs : 30136,30155,50012 vni assignment mode : SYMMETRIC Peer Location : DCI Group policy capable: yes ---------------------------------------- Peer-Ip: 10.150.150.2 ---------> Corresponds to BGW-2 Loopback100, used as the Multi-Site Loopback interface for DCI communication. NVE Interface : nve1 Peer State : Up Peer Uptime : 01:32:58 Router-Mac : 0200.0a96.9602 Peer First VNI : 30136 Time since Create : 01:32:58 Configured VNIs : 30136,30155,50012 Provision State : peer-add-complete Learnt CP VNIs : 30136,30155,50012 vni assignment mode : SYMMETRIC Peer Location : DCI Group policy capable: yes ----------------------------------------
Valideren dat eindpunten correct zijn geclassificeerd in beveiligingsgroepen (SGT's). VXLAN GPO-handhaving is afhankelijk van nauwkeurige endpoint-to-SGT-mappings.
BGW-1# show security-group id all
Security Group ID 10001 , Name SG_VMs ---------> Security Group assigned to the Virtual Machines endpoint group.
Selector Type : Connected IPv4 Endpoints ---------> Endpoints are classified dynamically based on locally connected IPv4 addresses.
VRF-Name IPv4-Address/mask-len
cisco-tac 10.64.252.226/32 ---------> Endpoint mapped to Security Group 10001.
cisco-tac 10.64.252.228/32 ---------> Endpoint mapped to Security Group 10001.
Security Group ID 10002 , Name SG_FWs ---------> Security Group assigned to the Firewall endpoint group.
Selector Type : Connected IPv4 Endpoints ---------> Endpoint classification occurs using locally learned connected endpoints.
VRF-Name IPv4-Address/mask-len
cisco-tac 10.64.252.10/32 ---------> Firewall endpoint mapped to Security Group 10002.
cisco-tac 10.64.252.11/32 ---------> Firewall endpoint mapped to Security Group 10002.
Valideren dat VXLAN GPO-contracten correct zijn geïnstalleerd en operationeel zijn. Contracten definiëren de communicatieregels die worden afgedwongen tussen beveiligingsgroepen en vertegenwoordigen het belangrijkste beleidsmechanisme dat door VXLAN GPO wordt gebruikt voor micro-segmentatie.
BGW-1# show contracts detail
VRF: cisco-tac ---------> Confirms that contract enforcement occurs inside the cisco-tac tenant VRF.
Contract source group 10001 dest group 10001 ---------> Policy enforcement between endpoints belonging to Security Group 10001.
Policy: Contract-For-VMs_ICMPv4 Direction: bidir ---------> Bidirectional contract for ICMPv4 traffic.
Stats: 0 ---------> No traffic has matched this contract yet.
Class: ICMPv4 ---------> Traffic classification associated with ICMP traffic.
match ipv4 icmp ---------> Matches ICMPv4 traffic including ping requests and replies.
Action: permit ---------> ICMP traffic is explicitly allowed.
OperSt: enabled ---------> Confirms that the contract is operational.
Contract source group 10001 dest group 10001
Policy: Contract-For-VMs_SSH Direction: bidir
Stats: 0
Class: SSH
match ipv4 tcp stateful dport 22 ---------> Matches SSH traffic using stateful TCP inspection.
Action: deny ---------> SSH traffic is explicitly denied.
OperSt: enabled
Contract source group 10002 dest group 10002
Policy: Contract-For-FWs_ICMPv4 Direction: bidir
Stats: 0
Class: ICMPv4
match ipv4 icmp
Action: permit
OperSt: enabled
Contract source group 10002 dest group 10002
Policy: Contract-For-FWs_SSH Direction: bidir
Stats: 0
Class: SSH
match ipv4 tcp stateful dport 22
Action: deny
OperSt: enabled
De VXLAN GPO-handhavingsstatus valideren voor alle VRF's die op de switch zijn geconfigureerd. Deze opdracht bevestigt of het SGACL-beleid en de contracten van de beveiligingsgroep actief worden gehandhaafd binnen de tenant VRF.
De uitvoer bevestigt dat de Cisco-tac VRF actief deelneemt aan VXLAN GPO-handhaving met de modus ingesteld op afgedwongen. De handhavingstag 13648 identificeert de interne SGACL-beleidscontext die is geprogrammeerd in hardware voor deze VRF. Het standaard actie-weigeringslogboek geeft aan dat verkeer dat niet expliciet is toegestaan via een contract van de beveiligingsgroep, wordt geweigerd en geregistreerd, waarbij een standaard micro-segmentatiebeleid wordt geïmplementeerd. De standaard, regress-loadbalance-resolution-management en beheer-VRF's werken daarentegen in niet-afgedwongen modus, wat betekent dat VXLAN GPO-beleid niet wordt toegepast binnen die VRF's en dat verkeer standaard is toegestaan.
Het veld Status volgt verkeer dat overeenkomt met het VRF-beveiligingsbeleid. De waarde 0 onder de cisco-tac VRF geeft aan dat geen ongeëvenaard verkeer het standaard weigergedrag heeft geactiveerd op het moment dat de opdracht werd uitgevoerd, terwijl de tegenwaarde 4364 onder de standaard VRF verkeersactiviteit aangeeft binnen een VRF die werkt zonder VXLAN GPO-handhaving.
BGW-1# show vrf all security VRF Mode TAG Action Scope Stats ---------------------------------------------------------------------------------------- cisco-tac enforced 13648 deny,log 4 0 default unenforced - permit 1 4364 egress-loadbalance-resolution- unenforced - permit 2 0 management unenforced - permit 3 0
Opmerking: Bij de eerste poging om verkeersstatistieken in NDFC 4.2 te bekijken, kan het bewakingsgedeelte aanvankelijk leeg worden weergegeven. Druk in deze situatie op de knop Resync om de synchronisatie van contractstatistieken vanuit de VXLAN-structuur te activeren. Terwijl het synchronisatieproces wordt uitgevoerd, geeft de GUI het bericht Resync status: In progress weer. Nadat de synchronisatie is voltooid, drukt u op de knop OK om de bewakingsweergave te vernieuwen. Nadat de hersynchronisatie is voltooid, worden de verkeersstatistieken die aan elk contract van de beveiligingsgroep zijn gekoppeld, zichtbaar in het bewakingsgedeelte. Om het matchingsgedrag van het live verkeer te valideren, genereert u verkeer tussen de eindpunten en drukt u vervolgens nogmaals op de knop Resync om de contractstatistieken die in NDFC worden weergegeven bij te werken.

FW-1# ping 10.64.252.11
PING 10.64.252.11 (10.64.252.11): 56 data bytes
64 bytes from 10.64.252.11: icmp_seq=0 ttl=254 time=1.131 ms
64 bytes from 10.64.252.11: icmp_seq=1 ttl=254 time=0.694 ms
64 bytes from 10.64.252.11: icmp_seq=2 ttl=254 time=0.675 ms
64 bytes from 10.64.252.11: icmp_seq=3 ttl=254 time=0.657 ms
64 bytes from 10.64.252.11: icmp_seq=4 ttl=254 time=0.648 ms
--- 10.64.252.11 ping statistics ---
5 packets transmitted, 5 packets received, 0.00% packet loss
round-trip min/avg/max = 0.648/0.761/1.131 ms
FW-1# ssh admin@10.64.252.11
ssh: connect to host 10.64.252.11 port 22: Connection timed out
Cisco Nexus 9000 Series NX-OS VXLAN Configuratiegids, versie 10.6(x)
Datacenters beveiligen met microsegmentatie met behulp van VXLAN GPO
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
1.0 |
24-Jun-2026
|
Eerste vrijgave |