Cisco Virtual Network Management Center 2.1 クイック スタート ガイド
VMware Hypervisor 上の VNMC のインストール
VMware Hypervisor への OVA イメージの導入
VMware Hypervisor への ISO イメージの導入
Microsoft Hyper-V Server 2012(Hyper-V Hypervisor)での VNMC のインストール
タスク 10: へのコンピュート ファイアウォールの割り当て
タスク 12:ASA 1000V インスタンスへのエッジ ファイアウォールの割り当て
次の表に、VNMC のインストールと設定の要件、および VSG、ASA 1000V、および Cisco Virtual Supervisor Module(VSM)との通信の設定の要件の一覧を示します。
• 表 2 : 「ハイパーバイザ要件」
• 表 4:「アクセスを必要とするファイアウォール ポート」
• 表 5:「Cisco Nexus 1000V シリーズ スイッチ要件」
(注) VSG、ASA 1000V、または両方を VNMC と共にインストールする場合、メモリおよびディスク領域の要件は表 1で指定されたものよりも大きくなります。詳細については、『Cisco Virtual Security Gateway, Release 4.2(1)VSG2(1.1) and Cisco Virtual Network Management Center, Release 2.1 Installation and Upgrade Guide』を参照してください。
VNMC は VMware vSphere または Microsoft Hyper-V Server 2012(Hyper-V Hypervisor)のどちらかに導入されることが可能な複数ハイパーバイザ仮想アプライアンスです。お使いのハードウェア プラットフォームが VMware でサポートされていることを確認するには、『 Compatibility Guide 』を参照してください。お使いのハードウェア プラットフォームが Microsoft Hyper-V でサポートされていることを確認するには、『 Windows Server Catalog 』を参照してください。
• Mozilla Firefox 20.0 1 • Chrome 26.0 2 |
|
• Internet Explorer および Mozilla Firefox では、サポートされている Adobe Flash Player プラグイン バージョンは 11.2 です。 • Chrome では、サポートされている Adobe Flash Player プラグイン バージョンは 11.3.300.265 です。 |
|
Hyper-V を伴う Microsoft Windows Server 2012(標準またはデータセンター)3 |
|
1.Adobe Flash Player 11.2 を搭載した Mozilla Firefox 20.0 を推奨します。 2.VNMC 2.1 で Chrome を使用するには、まず Chrome にデフォルトでインストールされている Adobe Flash Player をディセーブルにする必要があります。詳細については、「VNMC で使用するための Chrome の設定」を参照してください。 3.VNMC は VMware vSphere または Microsoft Hyper-V のどちらかに導入されることが可能な複数ハイパーバイザ仮想アプライアンスです。お使いのハードウェア プラットフォームが VMware でサポートされていることを確認するには、『Compatibility Guide』を参照してください。お使いのハードウェア プラットフォームが Microsoft Hyper-V でサポートされていることを確認するには、『Windows Server Catalog』を参照してください。 |
(注) 管理ポート プロファイルは、VSM で使用されるのと同じポート プロファイルです。ポート プロファイルは VSM で設定され、VNMC 管理インターフェイスで使用されます。 | |
VNMC、VSG、ASA 1000V、およびVSM 間の通信で使用される共有秘密パスワード。( 「共有秘密パスワードの条件」 を参照)。 |
|
共有秘密パスワードとは、セキュア通信チャネルを使用するユーザにのみ知らされるパスワードです。不正アクセスを行うために簡単に類推されないパスワードは、 強力な パスワードと呼ばれます。VNMC、VSG、ASA 1000V、および VSM 間で通信を行うために共有秘密パスワードを設定する際は、次の条件に従って有効で強力なパスワードを設定してください。
• パスワードには、 表 7 に説明されているような強力なパスワードの特性を持たせるようにします。
VNMC 2.x で Chrome の 18.0 以前のバージョンを使用している場合には、Chrome にデフォルトでインストールされている Adobe Flash Player をディセーブルにする必要があります。
(注) クライアント マシンをリブートするたびにこの手順を実行する必要があります。Chrome の 18.0 以前のバージョンの場合、それを実行しているシステムをリブートすると、Adobe Flash Player が自動的にイネーブルになります。
Chrome の 18.0 以前のバージョンでデフォルトの Adobe Flash Player をディセーブルにするには、次の手順に従います。
ステップ 1 Chrome の [URL] フィールドに chrome://plugins と入力します。
ステップ 3 Adobe Flash Player のプラグインを検索し、各プラグインをディセーブルにします。
ステップ 4 Adobe Flash Player バージョン 11.0 をダウンロードしてインストールします。
ステップ 5 Chrome をいったん閉じてから再度開き、VNMC 2.x にログインします。
• 「VMware Hypervisor 上の VNMC のインストール」
• 「Microsoft Hyper-V Server 2012(Hyper-V Hypervisor)での VNMC のインストール」
(注) お使いの環境でVNMC と VSG の両方をインストールしている場合、完全なインストール手順については、『Cisco Virtual Security Gateway, Rel. 4.2(1)VSG1(4.1) and Cisco Virtual Network Management Center, Rel. 2.0 Installation and Upgrade Guide』を参照してください。
VNMC は、VMware Hypervisor 上に VNMC の OVA イメージまたは VNMC の ISO イメージを導入してインストールすることができます。この項では、両方の要件について説明します。
• VNMC をインストールして VM コンソールを使用する前に、キーボードを [United States English] に設定します。
• VNMC OVA イメージが vSphere クライアントで使用可能であることを確認します。
• 「インストールの前提条件」 で指定されているシステム要件をすべて満たしていることを確認します。
• 表 6 に示されている情報があることを確認します。
• VNMC、ASA 1000V、VSG、および VSM を実行するすべての ESXi サーバで NTP を設定する必要があります。詳細については、 http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2012069 で「Configuring Network Time Protocol (NTP) on ESX/ESXi 4.1, ESXi 5.0, and ESX 5.1 hosts using the vSphere Client」を参照してください。
VMware Hypervisor に VNMC の OVA を導入するには、次の手順を実行します。
ステップ 1 vCenter Server にログインするには、vSphere クライアントを使用します。
ステップ 2 VNMC VM を導入するホストを選択します。
ステップ 3 [File] メニューから [Deploy OVF Template] を選択します。
ステップ 4 [Source] 画面( 図 1 を参照)で、[VNMC OVA] を選択し、次に [Next] をクリックします。
ステップ 5 [OVF Template Details] 画面で、VNMCテンプレートの詳細を確認し、[Next] をクリックします。
ステップ 6 [End User License Agreement] 画面で、[Accept] をクリックして [Next] をクリックします。
ステップ 7 [Name and Location] 画面で、必要な情報を入力し、[Next] をクリックします。
ステップ 8 [Deployment Configuration] 画面で、[Configuration] ドロップダウン リストから [VNMC Installer] を選択し、[Next] をクリックします。
ステップ 9 [Datastore] 画面( 図 2 を参照)、VM のデータ ストアを選択し、[Next] をクリックします。
ストレージは、ローカルか、NFS や SAN などの共有リモートにできます。
ステップ 10 [Disk Format] 画面で、[Thin provisioned format] か [Thick provisioned format] をクリックして VM 仮想ディスクを保存し、[Next] をクリックします。
デフォルトは [Thick provisioned format] です。ストレージをすぐに割り当てない場合は、[Thin provisioned format] を使用します。
(注) ウィンドウの赤いテキストは無視しても問題ありません。
ステップ 11 [Network Mapping] 画面で、VM に対して [management network port profile] を選択し、[Next] をクリックします。
ステップ 12 [Properties] 画面( 図 3 を参照)で、必要な情報を入力し、選択ボックスの下の赤いテキスト メッセージに記されたエラーをすべて解決して(必要に応じ、フィールド要件を満たすプレースホルダを入力できます)、[Next] をクリックします。
(注) [VNMC Restore] のフィールドは無視しても問題ありません。
ステップ 13 [Ready to Complete] 画面( 図 4 を参照)で、導入設定を確認し、[Finish] をクリックします。
VNMCが導入されるまで、タスクの経過が進行状況インジケータに表示されます。
ステップ 14 VNMC が正常に導入されたら、[Close] をクリックし、VNMC VM の電源をオンにします。
• VNMC をインストールして VM コンソールを使用する前に、キーボードを [United States English] に設定します。
• VNMC ISO イメージが vSphere クライアントで使用可能であることを確認します。
• 「インストールの前提条件」 で指定されているシステム要件をすべて満たしていることを確認します。
• 表 6 に示されている情報があることを確認します。
VMware Hypervisor に ISO イメージを導入するには、次の手順を実行します。
ステップ 1 vCenter Server にログインするには、vSphere クライアントを使用します。
ステップ 2 VNMC VM を導入するホストを選択します。
ステップ 3 VMware ホストを右クリックし、[Create Virtual Machine] を選択します。
ステップ 4 [Create Virtual Machine] ウィザードで、[Configuration] 画面から、[Custom] を選択し、[Next] をクリックします。
ステップ 5 [Name and Location] 画面で、必要な情報を入力し、[Next] をクリックします。
ステップ 6 [Storage] 画面で、必要な情報を選択し、[Next] をクリックします。
ステップ 7 [Virtual Machine Version] 画面で、[Virtual machine Version 8] オプションボタンを選択し、[Next] をクリックします。
ステップ 8 [Guest Operating System] 画面で、[Version] ドロップダウン リストから [Linux] ゲスト オペレーティング システム、そして [Red Hat Linux Version 5 (64 bit)] 選択し、[Next] をクリックします。
ステップ 9 [CPUs] 画面で、[Number of virtual sockets] ドロップダウン リストから [2] を選択し、[Next] をクリックします。
ステップ 10 [Memory] 画面で、[Memory Size] ドロップダウン リストから [3 GB] を選択し、[Next] をクリックします。
ステップ 11 [Network] 画面で、必要な情報を入力し、[Next] をクリックします。
ステップ 12 [SCSI Controller] 画面で、必要な SCSI コントローラを選択し、[Next] をクリックします。
ステップ 13 [Select a Disk] 画面で、[Create a new virtual disk] オプション ボタンを選択し、[Next] をクリックします。
ステップ 14 [Advanced Options] 画面で、必要な情報を選択し、[Next] をクリックします。
ステップ 15 [Ready to Complete] 画面で、導入設定を確認し、[Finish] をクリックします。
ステップ 16 VNMC が正常に導入されたら、VNMC VM の電源をオンにします。
(注) VNMC をインストールするときには、マウスを使用しないでください。フィールド間をナビゲーションするにはにキーボードを使用します。
VNMC が Hyper-V Windows Server 2012(Hyper-V Hypervisor)にインストールされている場合の VNMC の機能の違いについては、『 Cisco Virtual Network Management Center 2.1 GUI Configuration Guide 』を参照してください。
• VNMC VM を導入する Hyper-V ホストが System Center Virtual Machine Manager(SCVMM)で使用できることを確認します。
• ファイル システムの SCVMM ライブラリの場所に、VNMC 2.1 ISO イメージをコピーします。このイメージを SCVMM で使用できるようにするには、[Library] > [Library Servers] を選択し、ライブラリの場所を右クリックしてリフレッシュします。
SCVMM を使用して VNMC 2.1 を Microsoft Hyper-V Hypervisor にインストールするには、次の手順を実行します。
ステップ 1 SCVMM を起動します( 図 5 を参照)。
ステップ 2 VNMC VM を導入する Hyper-V ホストを選択します。
ステップ 3 Hyper-V ホストを右クリックし、[Create Virtual Machine] を選択します。
ステップ 4 [Create Virtual Machine] ウィザードで、[Select Source] 画面で、[Create the new virtual machine with a blank virtual hard disk] オプション ボタンを選択し、[Next] をクリックします。
ステップ 5 [Specify Virtual Machine Identity] 画面で、必要な情報を入力し、[Next] をクリックします。
ステップ 6 [Configure Hardware] 画面で、次の手順を実行します。
–[Processor] を選択し、プロセッサ数を 2 に設定します。
–[Memory] を選択し、必要なメモリの値を選択します。最低 3 GB のメモリが必要です。
b. [Bus Configuration] > [IDE Devices] から、次を実行します。
– [Hard Disk] を選択し、ハード ディスクの必要なサイズを入力します。 少なくとも 20 GB が必要です。
–[Virtual DVD Drive] を選択し、[Existing ISO image file] オプション ボタンを選択し、そして VNMC 2.1 の ISO イメージ ファイル( 図 6 を参照)を選ぶために参照します。
c. [Network Adapters] > [Network Adapter 1] を選択し、[Connect to a VM Network] オプション ボタンを選択し、そして VM ネットワークを選択するために参照します。
ステップ 7 [Select Destination] 画面で、次の手順を実行します。
a. [Place the virtual machine on a host] オプション ボタンを選択します。
b. [Destination] ドロップダウン リストから [All hosts] を選択します。
ステップ 8 [Select Host] 画面で、宛先を選択し、[Next] をクリックします。
ステップ 9 [Configure Settings] 画面で、仮想マシンの設定を確認し、[Next] をクリックします。
ステップ 10 [Add properties] 画面で、オペレーティング システムとして [Red Hat Enterprise Linux 5 (64 bit)] を選択し、[Next] をクリックします。
ステップ 11 [Summary] 画面( 図 7 を参照)で、次の手順を実行します。
b. [Start the virtual machine after deploying it] チェックボックスをチェックします。
[Jobs] ウィンドウには、作成中の仮想マシンの状態が表示されます( 図 8 を参照)。ジョブが完了したことを確認します。
ステップ 12 仮想マシンが正常に作成された後、これ(この場合は vnmc21-perm)を右クリックし、[Connect] または [View] > [Connect Via Console] を選択します。
ステップ 13 コンソールを起動し、VNMC をインストールします(詳細については、 VMware Hypervisor 上の VNMC のインストール を参照してください)。
ステップ 14 SCVMM を再度起動し、仮想マシン(この場合は vnmc21-hyperv)を右クリックし、VNMC が起動時に ISO イメージを使用しないように、[Properties] > [Hardware Configuration] > [Bus Configuration] > [Virtual DVD Drive] > [no media] を選択します。
ステップ 15 VNMC が正常に導入されたら、[Close] をクリックし、VNMC VM の電源をオンにします。
例の画面では、Microsoft Hyper-V Hypervisor での VNMC のインストールを表示しています。
表 8 に VNMC 設定タスクのチェックリストを示します。
VNMC で操作を実行する前に、ASA 1000V、VSG、および VSM で Network Time Protocol (NTP) を設定します。そうしなかった場合、ASA 1000V、VSG、および VSM は VNMC に登録できません。
NTP を設定するには、VSG コンソールから次の CLI コマンドを入力してください。
(注) VNMC ポリシー エージェントをインストールしている場合は、ntp server コマンドは VSG コンソールで利用可能ではありません。VSG で NTP を設定するには、VNMC ポリシー エージェントをアンインストールする必要があります。
VNMC に ASA 1000V をインストールする前に、次を実行します。
• ASA 1000V を実行するすべての ESXi サーバに NTP が設定されていることを確認してください。詳細については、『 Configuring Network Time Protocol(NTP)on ESX/ESXi 4.1 and ESXi 5.0 hosts using the vSphere Client 』を参照してください。
• VNMC が Microsoft Hyper-V Hypervisor にインストールされていた場合、すべての Hyper-V ホストおよび SCVMM が共通 NTP サーバと時刻で同期していることを確認していくだい。
インストール後に、ASA 1000V は VMware ESXi ホストからリアル タイム クロック (RTC) 値を受け取ります。
VNMC で NTP を設定するには、次の手順を実行します。
ステップ 1 https:// vnmc-ip とブラウザで入力します。 vnmc-ip は VNMC の IP アドレス を示します。
ステップ 2 証明書の警告が表示された場合は、続けて VNMC のログイン ウィンドウに移動することを選択します。
ステップ 3 VNMC のログイン ウィンドウ( 図 9 を参照)で、ユーザ名「 admin 」と管理者ユーザ パスワードを入力します。これは、VNMC OVA を導入した際に設定したパスワードです( ステップ 12 の 「VNMC のインストール」 を参照)。
ステップ 4 VNMC の GUI から、時間帯を設定します。
a. [Administration] > [VNMC Profile] > [root] > [VNMC Profile] > [default] を選択します。
ステップ 5 VNMC の GUI から、時刻源として外部 NTP サーバを追加するには、次の手順を実行します。
a. [Administration] > [VNMC Profile] > [root] > [VNMC Profile] > [default] を選択します。
b. [Policy] タブで、[Add NTP Server] を選択します。
c. ホスト名または IP アドレスを入力し、[OK] をクリックします。
VNMC OVA を導入した後、次を実行して VMware vCenter との接続を確立する必要があります。
2. 「vCenter への vCenter 拡張プラグインの登録」
3. 「VNMC VM Manager での vCenter の設定」
表 6 に示されている情報があることを確認します。
セット アップの vCenter 接続の設定の最初のステップは、vCenter 拡張ファイルをダウンロードすることです。
vCenter 拡張ファイルをダウンロードするには、次の手順を実行します。
ステップ 1 VNMC で、[Administration] > [VM Managers] > [VM Managers] を選択します。
ステップ 2 [VM Managers] ペイン( 図 10 を参照)で、[Export vCenter Extension] をクリックします。
ステップ 3 vSphere Client 内から vCenter 拡張プラグインを登録する必要があるため( 「vCenter への vCenter 拡張プラグインの登録」 を参照)、vSphere Client がアクセス可能なディレクトリに vCenter 拡張ファイルを保存します。
vCenter に vCenter 拡張プラグインを登録するには、次の手順を実行します。
ステップ 1 VMware vSphere Client から、VNMC 内から管理する vCenter Server にログインします。
ステップ 2 vSphere クライアント( 図 11 を参照)で、[Plug-ins] > [Manage Plug-ins] を選択します。
ステップ 3 ウィンドウの背景を右クリックし、[New Plug-in] を選択します。
ヒント 下にスクロールし、[New Plug-in] オプションを表示するウィンドウの下部の付近を右クリックする必要があります。
ステップ 4 すでにダウンロード済みの VNMC vCenter 拡張ファイルを参照し、[Register Plug-in] をクリックします。
セキュリティの警告が表示されている vCenter の [Register Plug-in] ウィンドウ( 図 12 )が表示されます。
ステップ 5 セキュリティ警告メッセージ ボックスで、[Ignore] をクリックします。
ステップ 6 成功のメッセージが表示されたら、[OK] をクリックし、[Close] をクリックします。
図 12 vCenter の [Register Plug-in] ウィンドウ
VNMCVM Manager で vCenter を設定するには、次の手順を実行します。
ステップ 1 VNMC で、[Administration] > [VM Managers] > [VM Managers] を選択します。
ステップ 2 [VM Managers] ペインで、[Add VM Manager] をクリックします。
ステップ 3 [Add VM Manager] ダイアログ ボックスで、vCenter の必須情報を入力し、[OK] をクリックします。
正常に追加された VM マネージャが次の情報とともに表示されます。
• VNMC に ASA 1000V をインストールする前に、ASA 1000V を実行するすべての ESXi サーバで NTP を設定していることを確認してください。詳細については、 「ASA 1000V での NTP の設定」 を参照してください。
• vSphere Client を使用して ASA 1000V VM を導入します。
• ネットワーク パスが ASA 1000V 管理 IP アドレスと VNMC 管理 IP アドレスの間に存在することを確認します。
vSphere Client 内から ASA 1000V を VNMC に登録するには、次の手順を実行します。
ステップ 1 [Home] > [Inventory] > [Hosts and Clusters] を選択します。
ステップ 2 新たに導入された(および電源投入された)ASA 1000V VM に移動します。
ステップ 3 [Console] タブをクリックして ASA 1000V CLI にアクセスします。
ステップ 4 次のコマンドを使用して、ASA 1000V CLI で、VNMC の IP アドレスと共有秘密を設定します。
VNMC での VSG または VSM の登録の詳細については、次を参照してください。
『Cisco Virtual Security Gateway, Release 4.2(1)VSG1(4.1) and Cisco Virtual Network Management Center, Release 2.0 Installation and Upgrade Guide』
表 6 に示されている情報があることを確認します。
ASA 1000V、VSM、または VSG での VNMC ポリシー エージェントの状態を確認するには、次のコマンド CLI を入力します。
VNMC で、VSG、VSM、および ASA 1000V が登録されているかどうかを確認するには、次の手順を実行します。
ステップ 1 VNMC で、[Administration] > [Service Registry] > [Clients] を選択します。
ステップ 2 [Clients] テーブル( 図 13 を参照)で、[Oper State] カラムに ASA 1000V、VSG、および VSM エントリに対して [registered] が含まれているか確認します。
テナントはデータとプロセスが仮想データセンターの VM をホストとするエンティティ(企業、機関、または施設など)です。各テナントにファイアウォール セキュリティを提供するには、まず VNMC にテナントを設定する必要があります。
ステップ 1 [Tenant Management] > [root] を選択します。
ステップ 2 [Tenant Management Root] ペインの右上隅( 図 14 を参照)で、[Create Tenant] をクリックします。
ステップ 3 [Create Tenant] ダイアログ ボックスで、テナントの名前と簡単な説明を入力し、[OK] をクリックします。
新規作成されたテナントはルートの下のナビゲーション ペインに一覧表示されます( 図 15 を参照)。
プロファイルはポリシーの集合です。プロファイルを作成したうえで、そのプロファイルを 1 つまたは複数のオブジェクト(ASA 1000V のデータ インターフェイスまたは VSM ポート プロファイルなど)に適用することによって、これらのオブジェクトに一貫したポリシーを持たせることが確実にできます。
VNMC の計算セキュリティ プロファイルを設定するには、次の手順を実行します。
ステップ 1 [Policy Management] > [Service Profiles] > [root] > [tenant] > [Compute Firewall] > [Compute Security Profiles] を選択します。 tenant は目的のテナントです。
ステップ 2 [General] タブで、[Add Compute Security Profile] をクリックします。
ステップ 3 [Add Compute Security Profile] ダイアログ ボックスで、セキュリティ プロファイルの名前と説明を入力し、[OK] をクリックします。
VNMC でデバイス プロファイルを設定するには、次の手順を実行します。
ステップ 1 [Policy Management] > [Device Configurations] > [root] > [tenant] > [Device Profiles] を選択します。 tenant は目的のテナントを示します 。
ステップ 2 [General] タブで、[Add Device Profile] をクリックします。
ステップ 3 [New Device Profile] ダイアログ ボックスで、デバイス プロファイルの名前と説明を入力し、[OK] をクリックします。
コンピュート ファイアウォールはVNMC内の論理仮想エンティティで、VSGVM に割り当てたデバイス プロファイルを含んでいます。VNMC デバイス プロファイルに存在するすべてのデバイス ポリシーは、割り当てられた VSG に適用されます。ポリシーが VSG に適用された後は、コンピュート ファイアウォールは VNMC 内で設定適用済みの状態となります。
コンピュート ファイアウォールを設定するには、次の手順を実行します。
ステップ 1 [Resource Management] > [Managed Resources] > [root] > [tenant] > [Compute Firewalls] を選択します。
ステップ 2 [General] タブで、[Add Compute Firewall] をクリックします。
ステップ 3 [Add Compute Firewall] ダイアログ ボックス( 図 16 を参照)で、 表 9 で説明されている情報を入力し、[OK] をクリックします。
VNMCウィンドウがリフレッシュされ、新しく作成されたコンピュート ファイアウォールが表示されます。
[Add Compute Firewall] ダイアログ ボックスを表示する画面の例
図 16 [Add Compute Firewall] ダイアログボックス
VNMC でコンピュート ファイアウォールを設定した後、指定したデバイス プロファイル内のデバイス ポリシーが VSG に適用されるように、VSG に割り当てることができます。
コンピュート ファイアウォールを VSG に割り当てるには、次の手順を実行します。
ステップ 1 [Resource Management] > [Managed Resources] > [root] > [tenant] > [Compute Firewalls] > [compute-firewall] を選択します。
ステップ 2 選択したコンピュート ファイアウォールを右クリックし、[Assign VSG] を選択します。
ステップ 3 [Assign VSG] ダイアログ ボックスで、[VSG Management IP] ドロップダウン リストから、VSG の IP アドレスを選択し、[OK] をクリックします。
設定が VSG に適用されると、[Config State] 状態が [not applied] から [applying] に変わり、次に [applied] に変わります。
エッジ ファイアウォールを設定するには、次の手順を実行します。
ステップ 1 [Resource Management] > [Managed Resources] > [root] > [tenant] > [Edge Firewalls] を選択します。
ステップ 2 [General] タブで、[Add Edge Firewall] をクリックします。
ステップ 3 [Add Edge Firewall] ダイアログ ボックス( 図 17 を参照)で、 表 10 で説明されている情報を入力します。
ステップ 4 エッジ ファイアウォールに内部および外部データ インターフェイスを 1 つずつ追加するには、次の手順を実行します。
a. [Add Data Interface] をクリックします。[Add Data Interface] ダイアログ ボックスが表示されます( 図 18 を参照)。
b. 1 つの内部データ インターフェイスを追加するには、 表 11 で説明されている情報を入力します。
c. 1 つの外部データ インターフェイスを追加するには、 表 11 で説明されている情報を入力します。
[Edge Firewall Configuration] 画面表示の例
図 17 [Add Edge Firewall] ダイアログボックス
図 18 [Add Data Interface] ダイアログボックス
エッジ ファイアウォールを ASA 1000V インスタンスと関連付けるには、次の手順を実行します。
ステップ 1 [Resource Management] > [Managed Resources] > [root] > [tenant] > [Edge Firewalls] > [edge-firewall] を選択します。
VNMC の GUI によって、新しく追加したエッジ ファイアウォール( 図 19 を参照)および次の情報が表示されます。
ステップ 2 [General] タブで、目的ののエッジ ファイアウォールを右クリックし、[Assign ASA 1000V] を選択します。
ステップ 3 [Assign ASA 1000V] ダイアログ ボックスで、[ASA 1000V Management IP] ドロップダウン リストから目的の ASA1000V インスタンスを選択します。
これで、VNMC の GUI に、エッジ ファイアウォール( 図 19 を参照)および次の追加情報が表示されます。
•[Edge Security Profiles] タブ(VSM に設定されている関連のセキュリティ プロファイルを表示する)
ステップ 5 より多くの ASA 1000V インスタンス、タスク詳細、障害、またはイベントにアクセスするには、[ASA 1000V Details] 領域で [Task] をクリックします。
図 19 ASA 1000V 情報が示された新しく追加されたエッジ ファイアウォール
VNMC では、ASA 1000V インスタンスなどの仮想エッジ ファイアウォールにサポートを提供します。仮想エッジ ファイアウォールを追加すると、次のことが可能になります。
• エッジ ファイアウォール用のエッジ デバイス プロファイルおよびエッジ セキュリティ プロファイルを作成およびを設定します。
• エッジ ファイアウォールおよび外部のエッジ ファイアウォール インターフェイスに目的のプロファイルを適用します。
エッジ セキュリティ プロファイルを作成するには、次の手順を実行します。
ステップ 1 [Policy Management] > [Service Profiles] > [root] > [tenant] > [Edge Firewall] > [Edge Security Profiles] を選択します。
ステップ 2 [General] タブで、[Add Edge Security Profile] をクリックします。
ステップ 3 表示される [Add Edge Security Profile] ダイアログ ボックスで、次の手順を実行します。
a. [General] タブで、エッジ セキュリティ プロファイルの名前と説明を入力します。
b. [Ingress] タブで、入力ポリシーの [Ingress Policy Set] ドロップダウン リストからポリシー セットを選択します。
c. [Egress] タブで、入力ポリシーの [Egress Policy Set] ドロップダウン リストからポリシー セットを選択します。
(注) ACL ポリシー セットを追加するには、[Add ACL Policy Set] をクリックし、「タスク 14:アクセス ルールの設定」の手順に従います。
ステップ 4 [NAT] タブで、[Policy Set] ドロップダウン リストから NAT ポリシー セットを選択します。ポリシー セットをリストに追加するには、次の手順を実行します。
a. [Add NAT Policy Set] をクリックします。
b. 表示される [Add NAT Policy Set] ダイアログ ボックスで、 表 12 で説明されている情報を入力します。
(注) VPN および [Advanced] タブの詳細については、『Cisco Virtual Network Management Center 2.1 GUI Configuration Guide』を参照してください。
2. 表示される [Add NAT Policy] ダイアログ ボックスで、 表 13 で説明されている情報を入力します。 |
1. [Add Rule Condition] をクリックします。 2. 表示される [Add Rule Condition] ダイアログ ボックスで、 表 15 で説明されている情報を入力します。 |
|
1. [Add Rule Condition] をクリックします。 2. 表示される [Add Rule Condition] ダイアログ ボックスで、 表 15 で説明されている情報を入力します。 |
|
このポリシー ルールに対して検査するプロトコルを次のように選択します。 • すべてのプロトコルを検査する場合は、[Any] チェックボックスをオンにします。 • 特定のプロトコルを検査するには、[Any] チェック ボックスをオフにして、このルールに必要な演算子および値を指定します。 |
|
ドロップダウン リストから、目的の IP プールまたはポート プールを選択します。オブジェクト グループを追加するには、次の手順を実行します。 1. [Add Object Group] をクリックします。 2. 表示される [Add Object Group] ダイアログボックスで、 表 16 で説明されている情報を入力します。 |
|
1. [Add Object Group Expression] をクリックします。 2. 表示される [Add Object Group Expression] ダイアログ ボックスで、 表 15 で説明されている情報を入力します。 |
[Add NAT Policy Rule] ダイアログボックスを表示する画面の例
図 20 [Add NAT Policy Rule] ダイアログボックス
VNMC のアクセス ルールでは、次の項目に基づいてトラフィックを許可または拒否します。
ステップ 1 [Policy Management] > [Service Policies] > [root] > [tenant] > [Policies] > [ACL] > [ACL Policy Sets] を選択します。
ステップ 2 [General] タブで、[Add ACL Policy Set] をクリックします。
ステップ 3 [Add ACL Policy Set] ダイアログ ボックス( 図 21 を参照)に、ポリシー セットの名前および説明を入力します。
ステップ 4 目的の ACL ポリシーを選択し、それを [Available] リストから [Assigned] リストに移動します。
ステップ 5 ACL ポリシーを追加するには、次の手順を実行します。
b. [Add ACL Policy] ダイアログボックスに、ポリシーの名前および説明を入力し、[Add Rule] をクリックします。
c. [Add ACL Policy Rule] ダイアログボックス( 図 22 を参照)で、 表 17 で説明されている情報を入力し、[OK] をクリックします。
(注) [Add ACL Policy Rule] ダイアログボックスで使用可能なオプションの詳細については、オンライン ヘルプを参照してください。
ステップ 6 開いている各ダイアログで [OK] をクリックします。
VNMC ウィンドウがリフレッシュされて、[ACL Policy Sets] テーブルに新しいポリシー セットが含まれます。
このポリシー ルールを適用する条件基準は、次のように設定します。 |
|
Service 4 |
|
このポリシー ルールに対して検査するプロトコルを次のように選択します。 • すべてのプロトコルを検査する場合は、[Any] チェックボックスをオンにします。 • 特定のプロトコルを検査するには、[Any] チェック ボックスをオフにして、このルールに必要な演算子および値を指定します。 |
|
このポリシー ルールに対して検査する、カプセル化されているプロトコル。 • カプセル化されているすべてのプロトコルを検査するには、[Any] チェックボックスをオンにします。 • 特定のカプセル化されているプロトコルを検査するには、[Any] チェック ボックスをオフにして、このルールに必要な演算子および値を指定します。 |
|
この値は、デフォルトで [Always] に設定されています。 |
|
現在のポリシーを適用するために一致する必要がある送信元ポート属性。新しい送信元ポートを追加するには、次の手順を実行します。 |
図 21 [Add ACL Policy Set] ダイアログ ボックス
図 22 [Add ACL Policy Rule] ダイアログボックス
環境に対して適切な場合、VSG の Syslog ポリシーまたは ASA 1000V 要素を次の方法で設定して有効化できます。
• 「モニタ セッションにロギングするポリシー エンジンの有効化」
• 「グローバル ポリシーエンジン ロギングのイネーブル化」
VSG の Syslog ポリシーまたは ASA 1000V 要素の設定および有効化によって、指定した重大度レベルの Syslog メッセージを確実に受信できるようになります。たとえば、Syslog ポリシーによって、ファイアウォール ルールが呼び出され、許可または拒否の処理が実行されたことを通知する Syslog メッセージを受信することができます。
ロギングによって、トラフィックをモニタし、問題をトラブルシューティングし、そしてデバイスが正常に設定され動作していることを確認することができます。
モニタ セッションにロギングするポリシー エンジンのログ レベル 6 を有効にするには、次の手順を実行します。
ステップ 1 [Policy Management] > [Device Configurations] > [root] > [Policies] > [Syslog] を選択します。
ステップ 2 Syslog テーブルで、[default] を選択し、[Edit] をクリックします。
ステップ 3 表示される [Syslog Policy] ダイアログボックスで、[Servers] タブをクリックします。
ステップ 4 Syslog Policy テーブル( 図 23 を参照)で、プライマリ サーバのタイプを選択し、[Edit] をクリックします。
ステップ 5 [Syslog Client] ダイアログボックス( 図 24 を参照)で、次の情報を指定し、[OK] をクリックします。
•[Hostname/IP Address]:Syslog サーバの IP アドレスまたはホスト名を入力します。
•[Severity]:[Information(6)] を選択します。
•[Admin State]:[Enabled] を選択します。
[Syslog Policy] ダイアログ ボックスが更新された情報でリフレッシュされます。
ステップ 6 変更を保存し、VNMC のウィンドウに戻るには、[OK] をクリックします。
図 23 [Syslog Policy] ダイアログ ボックス
図 24 [Syslog Client] ダイアログ ボックス
グローバル ポリシーエンジン ロギングを有効にするには次の手順を実行します。
ステップ 1 [Policy Management] > [Device Configurations] > [root] > [Device Profiles] > [default] を選択します。
ステップ 2 [Device Profiles] ペインで、[Policies] タブをクリックします。
ステップ 3 デバイス プロファイルのページの右下の [Policy Engine Logging] 領域( 図 25 を参照)で、[Enabled] をクリックし、次に [Save] をクリックします。
VNMC インターフェイスでは、ポリシーの正常な適用が妨げられたポリシーおよび設定エラーの調査、または正常に適用されたポリシーおよび設定に関連する障害およびイベントの確認を可能にするブラウザ ウィンドウへのリンクが提供されます。この同じ機能がコンピュート ファイアウォールまたはエッジ ファイアウォールの調査も可能にしています。
エッジ ファイアウォールを ASA 1000V インスタンスと関連付けます。
エッジ ファイアウォールの障害および設定エラーを調査するには、次の手順を実行します。
ステップ 1 [Resource Management] > [Managed Resources] > [root] > [tenant] > [Edge Firewalls] > [edge-firewall] を選択します。
ステップ 2 [General] タブの [States] 領域で、[View Configuration Faults] をクリックします。
ステップ 3 新しいブラウザ ウィンドウに表示される [Fault Table] ウィンドウで、次の必要なタブをクリックします。
•[Faults]:エラーの重大度、影響を受けるオブジェクト、理由、最後の移行、受信状態、タイプ、および説明が含まれます。
•[Events]:ID、影響を受けるオブジェクト、ユーザ、タイム スタンプ、原因、および説明を含んでいます。
•[Warnings]:影響を受けるオブジェクト、スコープ、および説明を含んでいます。
ステップ 4 エントリに関する追加情報を表示するには、エントリを選択し、次に [Properties]( 図 26 を参照)をクリックします。
ヒント また、プロパティ(エラーまたはイベント詳細)を表示するには、エントリをダブルクリックすることもできます。
ステップ 5 メイン ウィンドウの更新情報を表示するには、[Refresh Nowh] をクリックします。
コンピュート ファイアウォールを VSG インスタンスと関連付けます。
コンピュート ファイアウォールの障害を調査するには、次の手順を実行します。
ステップ 1 [Resource Management] > [Managed Resources] > [root] > [tenant] > [Compute Firewalls] > [compute-firewall] を選択します。
ステップ 2 [General] タブの [States] 領域で、[View Configuration Faults] をクリックします。
[Fault Table] が新しいブラウザ ウィンドウで表示され、エラーの重大度、影響を受けるオブジェクト、理由、最後の移行、受信状態、タイプ、および説明が含まれます。
ステップ 3 エントリに関する追加情報を表示するには、エントリをダブル クリックするか選択し、次に [Properties] をクリックします。
(注) 新しい VNMC のバージョンにアップグレードする場合、次のアップグレード手順を使用します。VNMC では、VNMC 1.3 から VNMC 2.1 および VNMC 2.0 から VNMC 2.1 へのアップグレードをサポートします。VNMC 1.3 からバックアップして VNMC 2.1 に復元することはサポートしていません。また、VNMC 1.3 からエクスポートして VNMC 2.1 にインポートすることもサポートしていません。
VNMC 1.3 または VNMC 2.0 から VNMC 2.1 へアップグレードするには、次の手順を完了してください。
1. Secure Copy(SCP)プロトコルを使用して VNMC の既存のバージョンの完全な状態のバック アップを行います。「CLI を使用した VNMC のデータのバックアップ」を参照してください。
2. CLI の update bootflash コマンドを使用して VNMC 2.1 へアップグレードします。 「CLI を使用した VNMC 2.1 へのアップグレード」 を参照してください。
(注) VNMC 2.1 にアップグレードしても、ブラウザには VNMC の前のバージョンが表示される場合があります。アップグレード後のバージョンを表示するには、ブラウザでブラウザ キャッシュとブラウジング履歴をクリアします。この注は、サポートされているすべてのブラウザ、Internet Explorer、Mozilla Firefox、および Chrome に適用されます。
リカバリの目的で状態を保存するには、SCP を介して既存の VNMC のデータをバック アップします。
VNMC のデータのバック アップには、次の方法のうちの 1 つを使用できます。
• GUI を使用するには、 「GUI を使用したVNMC のバックアップ」 を参照してください。
• バックアップ ファイル:10.2.3.4 上の /tmp/my-backup.etgz
• XML エクスポート ファイル:10.2.3.4 上の /tmp/my-XML.tgz
(注) これらの設定を、お使いの環境に適用する設定に置き換えるようにしてください。
一時的にリモート ファイル サーバで Cisco Security Agent (CSA) を無効にします。
(注) TFTP を使用してデータをバックアップしないでください。
CLI を使用して VNMC のバック アップをするには、次の手順を実行します。
ステップ 1 CLI を使用して、管理者として VNMC にログインするには、次の手順を実行します。
ステップ 3 完全な状態のバックアップ ファイルを作成します。
• user は、ユーザ ID です。
• /file は、バックアップ ファイルの完全パスとファイル名です。
ステップ 4 プロンプトが表示されたら、必要なパスワードを入力します。
ステップ 5 /system/backup *
プロンプトで「 commit-buffer 」を入力します。
ステップ 6 SCP サーバにログインしてから、 /file が存在し、そのサイズがゼロ(0)でないことを確認します。
VNMC 1.3 または 2.0 のデータをバック アップしてから、VNMC 2.1 にアップグレードすることができます。
(注) 失敗するので、データのアップデートに TFTP は使用しないでください。
CLI を使用して VNMC 2.1 をアップグレードするには、次の手順を実行します。
ステップ 1 CLI を使用して、管理者として VNMC にログインするには、次の手順を実行します。
ステップ 3 (任意)Cisco VNMC ソフトウェアの現在のバージョンを確認してください。
ステップ 4 リモート ファイル サーバから 2.1 イメージをダウンロードします。
VNMC 2.1 のイメージ ファイル名は vnmc.2.1.0.XXXX.bin です。
ステップ 7 (任意)必要に応じて VNMC サーバが動作していることを確認します。
このコマンドの CLI 出力については、「 Upgrade CLI Output 」を参照してください。
ステップ 8 (任意)Cisco VNMC ソフトウェア バージョンが更新されているかどうかを確認します。
このコマンドの CLI 出力については、「 Upgrade CLI Output 」を参照してください。
ステップ 9 アップグレード後、VNMC が完全にアクセス可能か確認するには、GUI を使ってログインします。
アップグレードの完了時に VNMC からは通知は受信しません。VNMC のアップグレード バージョンを確認するには、ブラウザのキャッシュをクリアし、ブラウザのインスタンスをすべて閉じて VNMC を再起動します。
ステップ 7 の出力(アップグレード後)はこれに似た表示になります。
ステップ 8 の出力(アップグレード後)はこれに似た表示になります。
VNMC の以前のバージョンに復元するには、 「VNMCの以前のバージョンの復元」 を参照してください。
(注) 災害時復旧機能として、バックアップおよび復元を使用することを推奨します。VNMC サーバから別のサーバに設定データを移行するには、「VNMC のエクスポートおよびインポート」を参照してください。
VNMC によって、同じ VNMC のバージョンでバックアップおよび復元が可能になります。つまり、次のバックアップおよび復元の操作がサポートされます。
• VNMC 1.x のバックアップ、および VNMC 1.x への復元。
• VNMC 2.x のバックアップ、および VNMC 2.x への復元。
あるバージョンをバックアップし別のバージョンに復元することは(VNMC 1.x のバック アップおよび VNMC 2.x へのリカバリなど)はサポートされていません。
(注) バックアップおよび復元操作に TFTP を使用しないでください。
次のトピックでは、VNMC 2.x でのデータのバックアップおよび復元の方法について説明します。
リカバリの目的で状態を保存するには、次の方法のうちの 1 つを使用してバックアップを実行します。
• CLI を使用するには、 「CLI を使用した VNMC のデータのバックアップ」 を参照してください。
• GUI を使用するには、『 Cisco Virtual Network Management Center 2.1 GUI Configuration Guide 』を参照してください。
アップグレードが失敗した場合は、前のバージョンを復元するために CLI を使用します。
(注) 多数のエンドポイントおよびポリシーのある VNMC を復元している場合(VSG または ASA など)は、大量のデータを復元した後の CPU 使用率は高くなるため、少なくとも 5 分間は VNMC が回復できるようにします。
一時的にリモート ファイル サーバで CSA を無効にします。
(注) 例の設定を、お使いの環境に適用する設定に置き換えるようにしてください。
VNMC の以前のバージョンに復元するには、次の手順を実行します。
ステップ 3 (任意)Cisco VNMC ソフトウェアの現在のバージョンを確認してください。
ステップ 4 リモート ファイル サーバから 1.x イメージをダウンロードします。
ここで、VNMC 1.x イメージ ファイル名は vnmc.1.x.0.XXXX.bin です。
ステップ 8 (任意)必要に応じて VNMC サーバが動作していることを確認します。
このコマンドの CLI 出力については、「 Restore CLI Output 」を参照してください。
ステップ 9 (任意)必要に応じて Cisco VNMC ソフトウェア バージョンが復元されていることを確認します。
このコマンドの CLI 出力については、「 Restore CLI Output 」を参照してください。
ステップ 10 復元作業後、VNMC が完全にアクセス可能か確認するには、GUI を使ってログインします。
ブラウザにアップグレード バージョンの代わりにVNMCの以前のバージョンが表示された場合は、ブラウザ キャッシュおよび参照の履歴を消去します。
ステップ 8 の出力(VNMC のサービス ステータス)はこれに似た表示になります。
ステップ 9 の出力(アップグレード後)はこれに似た表示になります。
(注) ある VNMC サーバから別のサーバに設定データを移行するには、次の手順を使用します。VNMC のデータのバックアップおよび復元(ディザスタ リカバリ機能として)をするには、「VNMC のバックアップと復元」を参照してください。
VNMCによって、同じVNMCバージョンのデータをエクスポートおよびインポートできます。つまり、次のエクスポートとインポートの操作がサポートされます。
• VNMC 1.x からのエクスポート、および VNMC 1.x へのインポート。
• VNMC 2.x からのエクスポート、および VNMC 2.x. へのインポート。
あるバージョンからエクスポートし、別のバージョンにインポート(VNMC 1.x からエクスポートして、VNMC 2.x にインポートなど)することはサポートされません。
(注) 失敗するため、エクスポートおよびインポート操作に TFTP データを使用しないでください。
(注) VNMC でのエクスポートおよびインポートの詳細については、『Cisco Virtual Network Management Center 2.1 GUI Configuration Guide』を参照してください。
一時的にリモート SCP サーバで CSA を無効にします。
(注) 例の設定を、お使いの環境に適用する設定に置き換えるようにしてください。
(注) 失敗するので、データのアップデートに TFTP は使用しないでください。
VNMC 2.x にパッチを適用するには、次の手順を実行します。
ステップ 1 パッチ適用する VNMC システムにログインします。
ステップ 5 サービスがすべて動作していることを確認します。
このコマンドの CLI 出力については、「 After Patch Output 」を参照してください。
ステップ 6 パッチが適用されたことを確認するには、更新の履歴を確認します。
ステップ 5の出力(VNMC のサービス ステータス)は、次の例と似た表示になります。
次のトピックでは、VNMC および関連製品の使用可能なドキュメントに関する情報を記載しています。
• 「Cisco Virtual Network Management Centerのマニュアル」
• 「Cisco Virtual Security Gatewayのマニュアル」
• 「Cisco Nexus 1000V シリーズ スイッチのマニュアル」
Cisco Virtual Network Management Center の次のマニュアルは、次の URL で入手可能です。
http://www.cisco.com/en/US/products/ps11213/tsd_products_support_series_home.html
• 『Cisco Virtual Network Management Center 2.1 Documentation Overview』
• 『Cisco Virtual Network Management Center 2.1CLI Configuration Guide』
• 『Cisco Virtual Network Management Center 2.1 GUI Configuration Guide』
• 『Cisco Virtual Network Management Center 2.1 Quick Start Guide』
• 『Cisco Virtual Network Management Center 2.1 Release Notes』
• 『Cisco Virtual Network Management Center 2.1 XML API Reference Guide』
• 『Open Source Used in Cisco Virtual Network Management Center 2.1』
Nexus 1000V シリーズ スイッチ用 Cisco Virtual Security Gateway (VSG) のマニュアルは、次の URL で入手可能です。
http://www.cisco.com/en/US/products/ps11208/tsd_products_support_model_home.html
Cisco Nexus 1000V シリーズ スイッチのマニュアルは、次の URL で入手可能です。
http://www.cisco.com/en/US/products/ps9902/tsd_products_support_series_home.html
Cisco Adaptive Security Appliance(ASA)のマニュアルは、次の URL で入手できます。
http://www.cisco.com/en/US/products/ps12233/tsd_products_support_series_home.html
マニュアルの入手方法、テクニカル サポート、その他の有用な情報について、次の URL で、毎月更新される『 What's New in Cisco Product Documentation 』を参照してください。シスコの新規および改訂版の技術マニュアルの一覧も示されています。
http://www.cisco.com/en/US/docs/general/whatsnew/whatsnew.html
『 What's New in Cisco Product Documentation 』は RSS フィードとして購読できます。また、リーダー アプリケーションを使用してコンテンツがデスクトップに直接配信されるように設定することもできます。RSS フィードは無料のサービスです。シスコは現在、RSS バージョン 2.0 をサポートしています。