cisco aci でのマイクロセグメンテーション...cisco aci...

Cisco ACI でのマイクロセグメンテーション

この章の内容は、次のとおりです。

• Cisco ACIでのマイクロセグメンテーション, 1 ページ

Cisco ACI でのマイクロセグメンテーションシスコアプリケーションセントリックインフラストラクチャ（ACI）を使用したマイクロセグメンテーションを使用すると、さまざまな属性に基づいて、エンドポイントをエンドポイントグ

ループ（EPG）と呼ばれる論理セキュリティゾーンに自動的に割り当てることができます。この章には、Cisco ACIでのマイクロセグメンテーションに関する概念的情報が記載されています。

Cisco ACIでのマイクロセグメンテーションでは、Cisco Application Virtual Switch（AVS）に接続された仮想エンドポイント、およびOpFlexを使用したMicrosoft vSwitchがサポートされます。この機能は、VMware DVSでは使用できません。

Cisco ACIでのマイクロセグメンテーションでは、IPベースの EPGを使用する物理エンドポイントもサポートされます。

Cisco ACIでのマイクロセグメンテーションは物理エンドポイントと仮想エンドポイントに対して設定できるため、以下に注意してください。

（注）

•物理エンドポイントと仮想エンドポイントの両方で同じ IPベースの EPGを共有できます。

•仮想エンドポイントにMACベースの EPGと他の属性（IP以外）を使用する場合、物理エンドポイントと仮想エンドポイントで重複するサブネットがあってはなりません。

Cisco AVSとMicrosoft vSwitchで使用されるマイクロセグメンテーションポリシーは、CiscoApplication Policy Infrastructure Controller（APIC）によって一元管理され、ファブリックによって適用されます。ここでは、EPG、テナント、コントラクト、および ACIポリシーに関連するその他の主要な概念に精通していることを想定しています。詳細については、『CiscoApplicationCentricInfrastructure Fundamentals』を参照してください。

Cisco ACI 仮想化ガイド、リリース 1.2(1x) 1

Cisco ACI でのマイクロセグメンテーションの利点テナント内の仮想マシン（VM）をグループ化してフィルタリングおよび転送ポリシーを適用するには、エンドポイントグループ（EPG）を使用します。CiscoACIでのマイクロセグメンテーションにより、EPGをネットワークまたは VMベースの属性に関連付ける機能が追加され、それらの属性を使用したフィルタリングおよびさらにダイナミックなポリシーの適用が可能になります。

Cisco ACIでのマイクロセグメンテーションにより、テナント内の任意のエンドポイントにポリシーを割り当てることもできます。

例：単一 EPG または同じテナント内の複数の EPG における Cisco ACI でのマイクロセグメンテーション

EPGにWebサーバを割り当て、類似したポリシーを適用できるようにすることができます。デフォルトでは、EPG内のすべてのエンドポイントが自由に相互に通信できます。ただし、このWeb EPGに実稼働Webサーバと開発用Webサーバが混在する場合は、このれらの異なるタイプのWebサーバ間の通信を許可したくない場合があります。Cisco ACIでのマイクロセグメンテーションを使用すると、新しい EPGを作成し、「Prod-xxxx」や「Dev-xxx」などの VM名属性に基づいてエンドポイントを自動的に割り当てることができます。

例：エンドポイント検疫のためのマイクロセグメンテーション

Webサーバおよびデータベースサーバに個別の EPGがあり、それぞれにWindows VMと LinuxVMの両方が含まれているとします。Windowsのみに影響するウィルスがネットワークに脅威を与えている場合は、たとえば「Windows-Quarantine」という新しい EPGを作成し、VMベースのオペレーティングシステム属性を適用してすべてのWindowsベースのエンドポイントをフィルタリングで除去することにより、すべての EPGにわたってWindows VMを分離することができます。この検疫EPGには、さらに制限された通信ポリシーを適用できます（許可されるプロトコルの制限や、コントラクトを持たないことによるその他のEPGとの通信の防御など）。マイクロセグメントEPGは、コントラクトを持っていてもコントラクトを持っていなくてもかまいません。

Cisco ACI を使用するマイクロセグメンテーションの仕組みCisco ACIを使用するマイクロセグメンテーションには、Cisco APIC、vCenterまたはMicrosoftSystem Center Virtual Machine Manager（SCVMM）、およびリーフスイッチが含まれます。ここでは、Cisco AVSまたはMicrosoft vSwitchを使用するマイクロセグメンテーションのワークフローを説明します。

Cisco APIC

1 ユーザは、VMMドメイン Cisco APICまたは Cisco AVS内Microsoft vSwitchを設定します。2 Cisco APICは vCenter（Cisco AVSの場合）または SCVMM（Microsoft vSwitchの場合）に接続し、以下を実行します。

a Cisco AVSまたはMicrosoft vSwitchのインスタンスを作成します。

Cisco ACI 仮想化ガイド、リリース 1.2(1x)2

Cisco ACI でのマイクロセグメンテーションCisco ACI でのマイクロセグメンテーションの利点

b Cisco AVSまたはMicrosoft vSwitchハイパーバイザが vCenter/SCVMMの Cisco AVSまたはMicrosoft vSwitch分散仮想スイッチ（DVS）インスタンスに接続するとただちに、VMおよびハイパーバイザインベントリおよび VMの属性に関する情報を取得します。

c vCenter/SCVMMから新しいイベントのリスナーを起動します。

3 ユーザはベースEPGを作成して、vCenter/SCVMMドメインに関連付けます。各vCenter/SCVMMドメインでは、新しいカプセル化がこのベース EPGに割り当てられます。ベース EPGに属性はありません。

vCenter/SCVMM管理者は、属性ベースのEPGではなくこのベースEPGに仮想エンドポイントを割り当てます。ポートグループとして vCenter/SCVMMに表示されるのはこのベース EPGです。

（注）

4 ユーザは属性ベースの EPGを作成して VMMドメインに関連付けます。

属性ベースの EPGはポートグループとして vCenter/SCVMMに表示されません。これには特別な機能があります。属性ベースの EPGには、フィルタ条件と一致する VMベースの属性があります。属性ベースの EPG VM属性と VMの間に一致がある場合、Cisco APICはその VMを属性ベースの EPGに動的に割り当てます。

エンドポイントはベース EPGから属性ベースの EPGに転送されます。属性ベースの EPGが削除されると、エンドポイントは再びベース EPGに割り当てられます。

Cisco AVSまたはMicrosoft vSwitchで属性ベースの EPGを有効にするには、属性ベースの EPGを VMMドメインに割り当てる必要があります。属性ベースの EPGを VMMドメインに関連付けると、条件はその VMMドメインにのみ適用されます。

リーフスイッチと Cisco AVS または Microsoft vSwitch

1 物理リーフスイッチは Cisco APICから属性ポリシーを取得します。

2 VMを Cisco AVSまたはMicrosoft vSwitchに接続すると、Cisco AVSまたはMicrosoft vSwitchは OpFlexプロトコルを使用して、物理リーフスイッチに VM接続メッセージを送信します。

3 物理リーフスイッチは、テナントに設定された属性ポリシーと VMを照合します。

4 VMが設定された VM属性と一致する場合、物理リーフスイッチは、属性ベースの EPGを対応するカプセル化とともに Cisco AVSまたはMicrosoft vSwitchにプッシュします。

この操作では、vCenter/SCVMMでの VMに対する元のポートグループ割り当ては変更されません。

パケット転送

1 VMがデータパケットを送信すると、Cisco AVSまたはMicrosoft vSwitchはパケットに属性ベースの EPGと対応するカプセル化（VLAN/VXLAN）情報をタグ付けします。


Cisco ACI でのマイクロセグメンテーションCisco ACI を使用するマイクロセグメンテーションの仕組み

これは、ポートグループに割り当てられたベースEPGの代わりに属性ベースのEPGからCiscoAVSまたはMicrosoft vSwitchが受信したものと同じ情報です。

2 物理リーフのハードウェアは、属性ベースのカプセル化されたVMパケットを確認して、設定されたポリシーと照合します。

VMは属性ベースの EPGに動的に割り当てられ、パケットは、その特定の属性ベースの EPGに定義されたポリシーに基づいて転送されます。

Cisco ACI でのマイクロセグメンテーションの属性EPGに属性を適用すると、属性なしの場合よりも高い精度の転送ポリシーおよびセキュリティポリシーを EPGに適用できます。属性はテナント内で固有です。

EPGに適用可能な属性には、ネットワークベースの属性と VMベースの属性の 2つのタイプがあります。Cisco APICで属性を適用するのは、EPGを設定する際です。

属性ベースのEPGを設定する場合、APICGUIは初期的にはすべての属性（ネットワークベースおよび VMベース）を指す用語である VMの属性を使用します。ただし、属性を作成するオプションを選択する場合、GUIは属性のタイプを指定します。

（注）

ネットワークベースの属性

ネットワークベースの属性はMACアドレスフィルタと IPアドレスフィルタです。EPGには、1つ以上のMACアドレスまたは IPアドレスを適用できます。

IPアドレスには単にアドレスまたはサブネットを指定し、MACアドレスには単にアドレスを指定します。演算子や属性などに関連する情報は指定しません。

VM ベースの属性

EPGには、複数の VMベースの属性を適用できます。VMベースの属性は、VMMドメイン、オペレーティングシステム、ハイパーバイザ ID、データセンター、VM ID、VM名および VNic Dn（vNICドメイン名）です。

データセンター属性は、Microsoft vSwitchのクラウドに対応します。（注）

Cisco AVSがあれば、カスタム属性により、他の属性で使用されていない条件に基づいて属性を定義できます。たとえば、vCenterで「セキュリティゾーン」というカスタム属性を定義し、「DMZ」や「境界」など値を使用してこの属性を 1つ以上の VMに関連付けることができます。APIC管理者は、その VMカスタム属性に基づいて、属性ベースの EPGを作成できます。

VMベースの属性を作成する場合、属性に名前を付けるほかに、以下を実行する必要があります。

1 [VM Name]や [Hypervisor Identifier]などの属性タイプを指定します。

2 [Equals]や [Starts With]などの演算子を指定します。


Cisco ACI でのマイクロセグメンテーションCisco ACI でのマイクロセグメンテーションの属性

3 特定の vNICまたはオペレーティングシステムの名前などの値を指定します。

カスタム属性

VM属性として APIC GUIに表示されるカスタム属性は、Cisco AVSでのみ使用できます。

カスタム属性を使用する場合、VMware vSphereWebクライアントにもカスタム属性を追加する必要があります。この作業は、Cisco APICで Cisco AVSを使用してマイクロセグメンテーションを設定する前に行うことが推奨されます。これにより、Cisco APICでマイクロセグメンテーションポリシーを設定する際に、ドロップダウンリストからカスタム属性を選択できるようになりま

す。Cisco APICでマイクロセグメンテーションと Cisco AVSを設定した後、vSphere Webクライアントでカスタム属性を追加できます。ただし、テキストボックスに名前を入力することはでき

ますが、Cisco APICのドロップダウンリストにカスタム属性は表示されません。

vSphere Webクライアントでカスタム属性を追加する手順については、VMware vSphere ESXiおよび vCenter Serverのマニュアルを参照してください。

テナント内の属性の一意性

属性はテナント内で一意である必要があります。一意性は属性の値によって異なります。

たとえば、ネットワークベースの属性の場合、IPアドレスが使用されるたびに IPアドレスの属性値が異なるのであれば、テナント内で IPアドレスフィルタ属性を複数回使用できます。したがって、アドレス 192.168.33.77の IPアドレスフィルタ属性は複数回使用できません。ただし、IPアドレスが異なるのであれば（たとえば 192.168.33.78）、IPアドレスフィルタ属性を 2回使用できます。

VMベースの属性の場合、属性タイプ、演算子および値の組み合わせが一意である場合のみ、テナント内で属性を複数回使用できます。たとえば、オペレーティングシステム属性を演算子

「Equals」および値「Microsoft Windows 7 (64-bit)」とともに使用して、64ビットのWindows 7マシンのみを指定できます。次に、オペレーティングシステム属性を演算子「contains」および値「Microsoft Windows 7」とともに使用して、すべてのWindows 7マシン（32または 64ビット）を指定できます。

属性の優先順位

テナント内に複数の属性ベースのEPGがある場合、属性に基づいて特定の順序でフィルタリングルールが適用されます。

属性の優先順位のルールが適用される方法

1つの VM内で属性ベースの EPGに複数の属性が定義されている場合、特定の順序でルールが適用されます。ルールはまずMACアドレスの属性に適用され、次に IPアドレスの属性、次に VMベースの属性に適用されます。ルールは、特定の順序で VMベースの属性にも適用されます。

次の表に、EPGに関連付けることのできる属性を優先順位別に示します。


Cisco ACI でのマイクロセグメンテーション属性の優先順位

例優先順位タイプ属性

5c:01:23:ab:cd:ef1ネットワークMACアドレスフィルタ

192.168.33.77

10.1.0.0/16

2ネットワークIPアドレスフィルタ

a1:23:45:67:89:0b3VMVNic Dn（vNICドメイン名）

VM-5984VMVM ID

HR_VDI_VM15VMVM名

ホスト - 256VMハイパーバイザ ID

AVS-SJC-DC17VMVMMドメイン

SJC-DC18VMデータセンター

SG_DMZ9VMカスタム属性

（Cisco AVSのみ）

Windows 2008。10VMオペレーティングシス

テム

VMベースの属性の場合、一致するルールが見つかったら、後続のルールはスキップされます。ネットワークベースの属性の場合、どの属性にも一致します。

ネットワークベースの属性および VMの属性ともに、一致する属性が見つからなかった場合は、ベース EPGのデフォルトのルールが適用されます。

優先順位は、複数の属性を含む単一の EPGには関係ありません（どの属性にも一致します）。

優先順位のルールの適用方法についての例

同じVMに関連付けられている 4つの属性ベースの EPGがあり、それぞれネットワーク属性またはVM属性が異なるとします（オペレーティングシステム、ハイパーバイザ ID、IPアドレスフィルタ、もう 1つにはMACアドレスフィルタ）。ルールは、MACアドレスフィルタ、IPアドレスフィルタ、ハイパーバイザ ID、オペレーティングシステムの順序で適用されます。ルールはMACアドレスフィルタに適用され、後続のルールはスキップされます。しかし、MACアドレスフィルタ属性を持つ属性ベースの EPGが削除された場合、ルールは IPアドレスフィルタに適用され、後続のルールはスキップされます（他の属性も同様です）。

別のケースでは、同じVMに属性ベースのEPGが関連付けられており、それぞれVM属性が異なります（VMMドメイン、データセンター、カスタム属性および VNic Dn）。ルールは VNic Dn


Cisco ACI でのマイクロセグメンテーション属性の優先順位

に適用され、後続のルールはスキップされます。しかし、VNic Dn属性を持つ属性ベースの EPGが削除された場合、ルールは VMMドメインに適用され、後続のルールはスキップされます（他の属性も同様です）。

オペレータの優先順位

テナント内でマイクロセグメント化されたEPGの属性に基づいてフィルタリングルールを適用するほかに、Cisco APICでは演算子タイプに基づいてVMベースの属性内でフィルタリングルールを適用します。

VMベースの属性でマイクロセグメントを設定する際、Contains、Ends With、Equals、Starts Withの 4つの演算子のうち 1つを選択します。各演算子は、特定の属性の文字列または値の一致を指定します。

たとえば、VM名属性でマイクロセグメントを作成し、「HR_VM」で始まる名前の VM、または名前のどこかに「HR」を含むVMをフィルタリングできます。または、特定のVMに対してマイクロセグメントを設定し、名前「HR_VM_01」をフィルタリングできます。

演算子の優先順位のルールの適用方法

テナント内の特定の VM属性の演算子により、マイクロセグメントに VMベース属性を適用する順序が決まります。また、同じ属性および重複する値を共有するマイクロセグメントグループ内

での、演算子の優先順位も決定されます。次の表に、Cisco AVSとMicrosoft vSwitchのデフォルトの演算子の優先順位を示します。

優先順位演算子タイプ

1Equals

2Contains

3Starts With

4Ends With

優先順位のルールの適用方法についての例

データセンタークラスタで同じテナントの下に VM_01_HR_DEV、VM_01_HR_TESTおよびVM_01_HR_PRODという 3つの人事 VMマシンがあります。VM名属性に基づいて、2つのマイクロセグメント化された EPGを作成しました。

HR-VM-01-PROD マイクロセグメントCONTAIN-HR マイクロセグメント

基準

VM名VM名属性タイプ

EqualsContains演算子タイプ


Cisco ACI でのマイクロセグメンテーションオペレータの優先順位

HR-VM-01-PROD マイクロセグメントCONTAIN-HR マイクロセグメント

基準

VM_01_HR_PRODVM_01_HR値

演算子タイプ Equalsは演算子タイプ Containsよりも優先順位が高いため、値 VM_01_HRの前に値VM_01_HR_PRODが一致します。したがって、VM名は両方のマイクロセグメントに当てはまりますが、完全な条件一致であるため、および演算子 Equalsは演算子 Containsよりも優先順位が高いため、VM_01_HR_PRODという名前のVMはマイクロセグメントHR-VM-01-PRODに配置されます。他の 2つの VMは、マイクロセグメント CONTAIN-HRに配置されます。

Cisco ACI でマイクロセグメンテーションを使用するシナリオここでは、ネットワークでマイクロセグメンテーションが役立つ状況の例を示します。

単一ベース EPG 内の VM における Cisco ACI でのマイクロセグメンテーションの使用Cisco ACIでのマイクロセグメンテーションを使用すると、新しい属性ベースの EPGを作成して単一ベース EPGの VMを含めることができます。デフォルトでは、ベース EPG内の各 VMは相互に通信できます。ただし、EPG内のいくつかの VM間の通信を防止したい場合があります。

例：同じベース EPG 内の VM をマイクロセグメント化された EPG に配置

企業が、人事、経理、および業務の各部門に仮想デスクトップインフラストラクチャ（VDI）を導入します。VDI仮想デスクトップVMは、EPG_VDIと呼ばれる単一ベースEPGの一部であり、ベース EPGの他の部分とアクセス要件は同じです。

EPG-VDIがインターネットリソースと内部リソースにアクセスできるようにサービスコントラクトが作成されます。ただし、それと同時に、各グループ（人事、経理、および業務）は同じベー

スEPG（EPG_VDI）に属していますが、企業は各VMグループが他のグループにアクセスできないようにする必要があります。

この要件を満たすには、ベース EPG_VDI内の VMの名前を確認するフィルタを Cisco APICで作成します。値「HR_VM」を使用してフィルタを作成すると、CiscoAPICはすべての人事VM用の属性ベースの EPG（マイクロセグメント）を作成します。一致するVMを 1つの EPGにグループ化したいのですが、Cisco APICはテナント内のすべての EPG内で一致する値を検索します。したがって、VMを作成する際には、テナント内で一意な名前を選択することを推奨します。

同様に、キーワードとして経理仮想デスクトップ用の「FIN_VMs」および業務仮想デスクトップ用の「OPS_VMs」を使用してフィルタを作成できます。これらの属性ベースの EPGマイクロセグメントは、Cisco APICポリシーモデル内の新しい EPGとして表されます。その後、各 VMグ


Cisco ACI でのマイクロセグメンテーションCisco ACI でマイクロセグメンテーションを使用するシナリオ

ループは同じベースEPGに属しているのですが、コントラクトとフィルタを適用してVMグループ間のアクセスを制御できます。

図 1：単一ベース EPG の VM における Cisco ACI でのマイクロセグメンテーション

上の図では、人事、経理、および業務の各グループのすべての仮想デスクトップ VMは、ベースEPG（EPG_VDI）から新しい属性ベースの EPG（EPG_OPS_MS、EP_FIN_MS、およびEPG_HR_MS）に移動しています。各属性ベースの EPGは、VMの名前の主要な部分に一致する値を使用した属性タイプVM名を持っています。EPG_OPS_MSは値OPS_VMを持っているため、名前に OPS_VMが含まれるテナント内のすべての VMが EPG_OPS_MSに含まれるようになります。その他の属性ベースの EPGも対応する値を持っており、一致する名前を持つテナント内のVMが属性ベースの EPGに移動されます。

別のベース EPG 内の VM における Cisco ACI でのマイクロセグメンテーションの使用Cisco ACIでマイクロセグメンテーションを設定して、異なるベース EPGに属する VMを新しい属性ベースのEPGに配置できます。これを実行することで、異なるベースEPGに属するものの、特定の特性を共有する VMにポリシーを適用できます。

例：異なるベース EPG に属する VM を新しい属性ベースの EPG に配置

企業で、3層Webアプリケーションを導入するとします。アプリケーションは、異なるオペレーティングシステムおよび同じオペレーティングシステムの異なるバージョンを実行するVM上に構築されます。たとえば、VMは Linux、Windows 2008およびWindows 2008 R2を実行する可能性があります。アプリケーションは分散型であり、企業はVMを 3つの異なる EPG（EPG_Web、EPG_App、EPG_DB）に分割しました。

Windows 2008オペレーティングシステムの脆弱性のため、企業のセキュリティチームは VMが危険にさらされた場合に備えて、Windows 2008を実行するVMを隔離することを決定しました。セキュリティチームはさらに、すべてのWindows 2008 VMをWindows 2012にアップグレードす



ることにしました。また、すべてのEPGですべての本番VMをマイクロセグメント化し、これらの VMへの外部接続を制限したいと考えています。

この要件を満たすために、Cisco APICで属性ベースの EPGを設定できます。属性はオペレーティングシステムで、属性の値はWindows 2008です。

これで、Windows 2008を実行するVMを隔離し、Windows 2012にアップグレードできます。アップグレードが完了すると、VMは、Windows 2008を実行するVMに作成した属性ベースの EPGの一部ではなくなります。この変更は、Cisco APICに動的に反映され、それらの仮想マシンは元のEPGに戻ります。

図 2：異なるベース EPG の Cisco ACI でのマイクロセグメンテーション

上の図では、新しい属性ベースの EPG EPG_Windowsは、属性タイプ「オペレーティングシステム」と値「Windows」を持ちます。VM App_VM_2、DB_VM_1、DB_VM_2およびWeb_VM_2はオペレーティングシステムとしてWindowsを実行するため、新しい属性ベースのEPGEPG_Windowsに移動されました。ただし、VM App_VM_1、DB_VM_3およびWeb_VM_1は Linuxを実行するため、それらのベースの EPGに残ります。

ネットワークベースの属性を使用したマイクロセグメンテーションの使用

Cisco APICを使用して Cisco ACIでのマイクロセグメンテーションを設定し、ネットワークベースの属性、MACアドレス、または 1つ以上の IPアドレスを使用した新しい属性ベースの EPGを作成できます。ネットワークベースの属性を使用して Cisco ACIでのマイクロセグメンテーションを設定し、単一ベース EPG内の VMまたはさまざまな EPG内の VMを分離できます。

IP ベースの属性の使用

IPベースのフィルタを使用して、単一 IPアドレス、サブネット、または多様な非連続 IPアドレスを分離できます。単一マイクロセグメントでの複数の IPアドレスの分離は、名前でVMを指定



するより便利な場合があります。ファイアウォールの使用と同様に、セキュリティゾーンを作成

するための迅速かつ簡単な方法として、IPアドレスに基づいて VMを分離できます。

MAC ベースの属性の使用

MACベースのフィルタを使用して、単一MACアドレスまたは複数のMACアドレスを分離できます。ネットワークに不正なトラフィックを送信するサーバがある場合に、これを行うことがで

きます。MACベースのフィルタを使用してマイクロセグメントを作成することにより、そのサーバを分離できます。

Cisco ACI でのマイクロセグメンテーションの設定ここでは、Cisco APIC GUIおよび NX-OSスタイルの CLIを使用して Cisco AVSまたはMicrosoftvSwitchによるマイクロセグメンテーションを設定する手順を説明します。この手順は、ネットワークの特定のニーズに合わせて調整できます。

VMware vCenterのドメインプロファイルでVXLANロードバランシングが有効の場合、CiscoAVSによるマイクロセグメンテーションはドメインでサポートされません。

（注）

Cisco ACI でのマイクロセグメンテーションを設定するためのワークフローここでは、CiscoACIでのマイクロセグメンテーションを設定するために実行する必要があるタスクの概要を示します。

1 新しい属性ベースの EPGに入れるエンドポイントに関する情報を、CLIを使用して収集します。

2 Cisco APICで、新しい属性ベースの EPGの名前とブリッジドメインを指定して VMドメインプロファイルに関連付け、EPGの解決の緊急度を選択します。

3 EPGのネットワークベースまたは VMベースの属性を選択します。

4 属性ベースの EPGが正しく作成されたことを確認します。

Cisco ACIでのマイクロセグメンテーションの設定, （11ページ）という項に記載されている手順に従ってください。

Cisco ACI でのマイクロセグメンテーションを設定するための前提条件Cisco AVSまたはMicrosoft vSwitchに対して Cisco ACIを使用してマイクロセグメンテーションを設定する前に、以下の前提条件を満たす必要があります。

•属性ベースの EPGを作成するときに使用するフィルタで使用できる名前を持つ VMがすでに存在している必要があります。


Cisco ACI でのマイクロセグメンテーションCisco ACI でのマイクロセグメンテーションの設定

使用できる名前を持つ VMが存在しない場合、手順を進めて属性ベースの EPGを作成し、その後、フィルタで使用できる VM名を変更できます。Cisco APICは、自動的にそれらのVMを新しい属性ベースの EPGに含めます。

•すでにベース EPGが存在している必要があります。

•独自の属性、名前、および値が選択済みである必要があります。

前にシナリオで使用されている属性、名前、および値は、例として提供されているもので

す。

•コントラクトに EPGを関連付ける場合は、1つ以上の属性を使用してマイクロセグメントを作成する前にコントラクトを作成する必要があります。

• Cisco AVSがあるときに VMカスタム属性を使用する場合は、その属性を VMware vSphereWebクライアントに追加する必要があります。Cisco APIC GUIでマイクロセグメントを設定するときにドロップダウンリストでカスタム属性を選択できるようにするために、CiscoAPICでマイクロセグメンテーションを設定する前にこれを行うことを推奨します。

vSphere Webクライアントでカスタム属性を追加する手順については、VMware vSphere ESXiおよび vCenter Serverのマニュアルを参照してください。

GUI を使用して、Cisco ACI とともにマイクロセグメンテーションを設定するCisco ACIでの Cisco APICのマイクロセグメンテーションの設定は、異なる複数のベース EPGまたは同一の EPGに属する VMを新しい属性ベースの EPGに配置するために使用できます。

注意：シスコでは、コンフィギュレーションモード（拡張または基本）を混在させないことをお

勧めします。いずれかのモードで設定を作成し、他方のモードを使用して設定を変更すると、意

図しない変更が発生する可能性があります。たとえば、拡張モードを使用して 2つのポートにインターフェイスポリシーを適用し、次に基本モードを使用して 1つのポートの設定を変更すると、変更内容が両方のポートに適用される可能性があります。

Cisco ACIでのマイクロセグメンテーションを設定する手順は、拡張モードとベーシックモードで同じです。

（注）

手順

ステップ 1 Cisco APICにログインし、[Advanced]モードまたは [Basic]モードを選択します。

ステップ 2 [TENANTS]を選択し、マイクロセグメントを作成するテナントを選択します。

ステップ 3 テナントのナビゲーションウィンドウで、テナントフォルダ、[Application Profiles]フォルダ、[Profile]フォルダ、および [Application EPGs]フォルダを展開します。

ステップ 4 次のいずれかを実行します。

•同じベースEPGから新しい属性ベースのEPGにVMを配置するには、VMを含むベースEPGをダブルクリックします。



•異なる複数のベース EPGから新しい属性ベースの EPGに VMを配置するには、VMを含むベース EPGの 1つをダブルクリックします。

ベース EPGフォルダがテナントのナビゲーションウィンドウで開き、ベース EPGのプロパティが作業ウィンドウに表示されます。

ステップ 5 作業ウィンドウで、画面の右上にある [OPERATIONAL]タブをクリックします。

ステップ 6 [OPERATIONAL]タブの下の [Client End-Points]タブをクリックします。作業ウィンドウに、ベース EPGに属するすべての VMが表示されます。

ステップ 7 新しい属性ベースの EPGに配置する VMの VLANまたは VXLANカプセル化 IDを書き留めます。

ステップ 8 新しい属性ベースの EPGに対して別の複数のベース EPGから VMを配置する場合は、各ベースEPGに対してステップ 4～ 7を繰り返します。

ステップ 9 テナントのナビゲーションウィンドウで、[uSeg EPGs]フォルダを右クリックし、[Create UsegEPG]を選択します。

ステップ 10 VMグループの 1つの属性ベースの EPGの作成を開始するには、以下の一連の手順を実行します。

a) [Create uSeg EPG]ダイアログボックスで、[Name]フィールドに名前を入力します。新しい属性ベースの EPGはマイクロセグメントであることを示す名前を選択することを推奨します。

b) [Bridge Domain]エリアで、ドロップダウンリストからブリッジドメインを選択します。c) [uSeg Attributes]エリアで、ダイアログボックスの右側にある [+]ドロップダウンリストから

[IP Address Filter]、[MAC Address Filter]、または [VM Attributes Filter]を選択します。

ステップ 11 フィルタを設定するには、次のいずれかの一連の手順を実行します。

結果項目

1 [Create IPAttribute]ダイアログボックスで、[Name]フィールドに名前を入力します。

名前については、フィルタ機能を反映したものを選択するよう推奨します。

2 [IP Address]フィールドに、適切なサブネットマスクの IPアドレスまたはサブネットを入力します。

3 [OK]をクリックします。4 （オプション）ステップ 10 c～ 11 cを繰り返して、2番目の IPアドレスフィルタを作成します。

この手順で、マイクロセグメントに不連続の IPアドレスを含めることができます。

5 [Create uSeg EPG]ダイアログボックスで、[SUBMIT]をクリックします。

IPベースの属性



結果項目

1 [Create MAC Attribute]ダイアログボックスで、[Name]フィールドに名前を入力します。


2 [MAC Address]フィールドに、MACアドレスを入力します。3 [OK]をクリックします。4 [Create uSeg EPG]ダイアログボックスで、[SUBMIT]をクリックします。

MACベースの属性

1 [Create VM Attribute]ダイアログボックスで、[Name]フィールドに名前を入力します。


2 [Type]エリアで、ドロップダウンリストからいずれかの VMタイプを選択します。

CiscoAVSがある場合は、任意のVMタイプを選択できます。Microsoft vSwitchがある場合は、[Custom Attribute]以外の任意のタイプを選択できます。

3 [Operator]エリアで、ドロップダウンリストから適切な演算子を選択します。4 適切な値を入力または選択します。

演算子として [Equals]を選択した場合は、VMタイプとして [VMMDomain]または [Datacenter]を選択した場合にのみ、[Value]フィールドに値を入力します。それ以外の場合は、ドロップダウンリスト

から VMタイプに合った値を選択します。

（注）

5 [OK]をクリックします。6 [Create uSeg EPG]ダイアログボックスで、[SUBMIT]をクリックします。

VMベースの属性

ステップ 12 マイクロセグメンテーション EPGをVMMドメインに関連付けるには、次の手順を実行します。a) ナビゲーションウィンドウで、作成した uSeg EPGのフォルダを開きます。b) [Domains (VMs and Bare-Metals)]フォルダをクリックします。c) 作業ウィンドウの右側で、[ACTIONS]をクリックし、ドロップダウンリストから [Add VMM

Domain Association]を選択します。d) [Add VMM Domain Association]ダイアログボックスで、[VMM Domain Profile]ドロップダウンリストから VMMドメインプロファイルを選択します。

e) [Deploy Immediacy]エリアで、デフォルトの [On Demand]を受け入れます。f) [Resolution Immediacy]エリアで、デフォルトの [Immediate]を受け入れます。g) [Port Encap]エリアで、スタティック VLANを指定します。または、このフィールドを空白のままにして、Cisco APICで VLANプールから動的に VLANを割り当てます。

スタティックVLANを指定する場合は、以前に設定したVLANプール内のスタティックカプセル化ブロックから 1つ選択する必要があります。スタティック VLANはVLANのみで使用でき、VXLANでは使用できません。

（注）



h) [Submit]をクリックします。

ステップ 13 作成するその他の属性ベースのEPGすべてに対してステップ9からステップ12を繰り返します。

次の作業

属性ベースの EPGが正しく作成されたことを確認します。

VMベースの属性を設定する場合は、次の手順を実行します。

1 Cisco APICのナビゲーションウィンドウで、[uSeg EPGs]フォルダをクリックして EPGの一覧を表示し、新しい属性ベースの EPGをダブルクリックします。

2 作業ウィンドウの [OPERATIONAL]タブをクリックし、[Client End-Points]タブをクリックします。

3 作業ウィンドウで、ベース EPGから移行する VMが新しい属性ベースの EPGのエンドポイントとして表示されていることを確認します。また、ステップ8で書き留めたのとは異なるVLANプールを持つことを確認します。

4 ナビゲーションウィンドウで、新しい属性ベースの EPGに移動した VMのベース EPGをクリックします。

5 作業ウィンドウで、[OPERATIONAL]タブをクリックし、[Client End-Points]をクリックします。新しい属性ベースの EPGに移動した VMについて、ベース EPGのエンドポイントとして表示されなくなったことを確認します。

ネットワークベースの属性を設定する場合は、VMを確認します。

IPまたはMACベースの属性を設定する場合は、トラフィックが、新しいマイクロセグメントに配置した VMで動作していることを確認します。

NX-OS スタイルの CLI を使用した Cisco ACI でのマイクロセグメンテーションの設定ここでは、ベース EPG内で VMベースの属性を使用してマイクロセグメンテーションと CiscoAVSを設定する方法を説明します。

手順

ステップ 1 CLIで、コンフィギュレーションモードに入ります。

例：apic1# configureapic1(config)#

ステップ 2 マイクロセグメントを作成します。

例：



この例では、属性 VM名に基づいてフィルタを使用します。apic1(config)# tenant cli-ten1apic1(config-tenant)# application cli-a1apic1(config-tenant-app)# epg cli-uepg1 type micro-segmentedapic1(config-tenant-app-uepg)# bridge-domain member cli-bd1apic1(config-tenant-app-uepg)# attribute cli-uepg-att match vm-name contains <cos1>#Schemes to express the namecontains containsendsWith ends-withequals equalsstartsWith starts-with

apic1(config-tenant-app-uepg)# vmware-domain member cli-vmm1

例：

この例では、IPアドレスに基づいてフィルタを使用します。apic1(config)# tenant cli-ten1apic1(config-tenant)# application cli-a1apic1(config-tenant-app)# epg cli-uepg1 type micro-segmentedapic1(config-tenant-app-uepg)# bridge-domain member cli-bd1apic1(config-tenant-app-uepg)# attribute cli-upg-att match ip <X.X.X.X>#Schemes to express the ipA.B.C.D IP AddressA.B.C.D/LEN IP Address and mask


例：

この例では、MACアドレスに基づいてフィルタを使用します。apic1(config)# tenant cli-ten1apic1(config-tenant)# application cli-a1apic1(config-tenant-app)# epg cli-uepg1 type micro-segmentedapic1(config-tenant-app-uepg)# bridge-domain member cli-bd1apic1(config-tenant-app-uepg)# attribute cli-upg-att match mac <FF-FF-FF-FF-FF-FF>#Schemes to express the macE.E.E MAC address (Option 1)EE-EE-EE-EE-EE-EE MAC address (Option 2)EE:EE:EE:EE:EE:EE MAC address (Option 3)EEEE.EEEE.EEEE MAC address (Option 4)


ステップ 3 マイクロセグメントの作成を確認します。

例：apic1(config-tenant-app-uepg)# show running-config# Command: show running-config tenant cli-ten1 application cli-app1 epg cli-uepg1 typemicro-segmented# Time: Thu Oct 8 11:54:32 2015tenant cli-ten1application cli-app1epg cli-esx1bu type micro-segmentedbridge-domain cli-bd1attribute cli-uepg-att match vm-name equals cos1vmware-domain member cli-vmm1exit

exitexit



cisco aci でのマイクロセグメンテーション...cisco aci...

Documents