03 Security and Policy For ACI

Security and Policy for Cisco ACI
Customer Experience, Cisco Systems G.K.

2021/9/2
• セキュリティポリシーモデルの概要
• コントラクトとは？
• Demo
Agenda コントラクトの作成・適用
• コントラクトの簡素化
• Demo
プリファードグループとvzAny
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 2
コントラクトの作成
・Step1 Filterの作成
Webフィルタの作成
Tenantsタブ -> SVSProd
[Navigation]ペイン
Contracts -> Filtersを右クリック -> Create Filter
Name: Web_Filt
Entries 「＋」を押下
Name: http
EtherType: IP
IP Protocol: tcp
Destination Port / Range:
From: http
To: http
Update
Name: https
EtherType: IP
IP Protocol: tcp
Destination Port / Range:
From: https
To: https
Update
Submit
コントラクトの作成 – Cont.
・Step1 Filterの作成 – Cont.
ICMPフィルタの作成
Contracts -> Filtersを右クリック -> Create Filter
Name: ICMP_Filt
Name: ping
EtherType: IP
IP Protocol: icmp
Update
Submit
コントラクトの作成 – Cont.
・Step2 Contractの作成
Internal_Server_Accessコントラクトの作成
Contracts -> Standardを右クリック -> Create Contract
Name: Internal_Server_Access
Subjects「＋」を押下
Name: Default_Sjt
※先程お話した「Apply Both Directions」と「Reverse Filter Ports」の設定がこちらで確認できる
（デフォルトは有効となっている）
Filters「＋」を押下
Name: 「Web_Filt」を選択
Update -> OK
Name: Test_Sjt
Name: 「ICMP_Filt」を選択
Update -> OK
Submit
コントラクトの適用
・作成したContractをEPGに紐付ける
Provide側のEPGの紐付け
Application Profiles -> SVS_AP -> Application EPGs -> 10_EPG –> Contractsを右クリック ->
Add Provide Contract (サービスを提供する側）
Contract: 「Internal_Server_Access」を選択
Submit
Consume側のEPGの紐付け
Add Consumed Contract (サービスを提供される側）
Submit
・紐付け確認
[Navigation] ペイン
Application Profiles -> SVS_AP -> Topologyタブ
40_EPGに所属しているクライアントから
10_EPGに所属しているサーバに対して
Port 80, 443, Icmpの疎通が可能となる
ブラックリスト方式のコントラクト
・Step0 コントラクトの紐付けを削除
VLAN100_EPGとコントラクトの紐付けを削除
Application Profiles -> SVS_AP -> Application EPGs -> 10_EPG –> Contracts
Internal_Server_Accessを右クリック -> Delete -> Yes
VLAN200_EPGとコントラクトの紐付けを削除
Application Profiles -> SVS_AP -> Application EPGs -> 40_EPG –> Contracts
Internal_Server_Accessを右クリック -> Delete -> Yes
Contractが無いことを確認
ブラックリスト方式のコントラクト – Cont.
・Step1 All Permit Filterの作成
Contracts -> Filterを右クリック -> Create Filter
Name: Permit_Filt
Name: All
EtherType: IP
IP Protocol: Unspecified
Update
Submit
・Step2 All Permit Contractの作成

Name: Permit_ALL
Name: Permit_Sjt
Name: 「Permit_Filt」を選択
Update -> OK
Submit
・Step3 Denyの設定
Contracts -> Standard -> Permit_ALL -> Permit_Sjt
Filters: 「＋」押下
Filter: 「Web_Flt」を選択
Action: Deny
Submit
Filters: 「＋」押下
Filter: 「ICMP_Flt」を選択
Action: Deny
Submit
・Step4 作成したContractをEPGに紐付ける
Provided側のEPGの紐付け
Add Provide Contract (サービスを提供する側）
Contract: 「Permit_ALL」を選択
Submit
Consumed側のEPGの紐付け
Add Consumed Contract (サービスを提供される側）
Contract: 「Permit_ALL」を選択
Submit
・Step5 紐付け確認
40_EPGに所属しているクライアントから
10_EPGに所属しているサーバに対して
Port 80, 443, Icmpの疎通が不可となる
・Step1 All Permit Filterの作成
Contracts -> Filterを右クリック -> Create Filter
Name: Permit_Filt
Name: All
EtherType: IP
IP Protocol: Unspecified
Update
Submit
・Step2 All Permit Contractの作成

Name: Permit_ALL
Name: Permit_Sjt
Name: 「Permit_Flt」を選択
Update -> OK
Submit
Preferred Groupの設定
・Step1 VRF単位のPreferred Groupの有効化
Tenantタブ -> SVSProd

Networking -> VRFs -> SVSProd_VRF
[Work}ペイン
Policyタブ
Preferred Group: 「Enabled」を選択
Submit -> Submit Changes
Preferred Groupの設定 – Cont.
・Step2 EPGごとのPreferred Groupの有効化
10_EPGの設定
Application Profiles -> SVS_AP -> Application EPGs -> 10_EPG
[Work]ペイン
Policyタブ -> Generalタブ
Preferred Group Member: Include
20_EPGの設定
[Work]ペイン
Preferred Group Member: 「Include」を選択
30_EPGの設定
[Work]ペイン
© 2021Preferred Group
Cisco and/or its affiliates. Member:
All rights Include
reserved. Cisco Confidential 35

Preferred Groupを有効にした全ての
EPG間はAll Permitとなっている
vzAnyの設定
設定項目は「vzAny」という名前ではなく、「EPG Collection for VRF」という設定項目
Networking -> VRFs -> SVSProd_VRF -> EPG Collection for VRF
Provided Contracts, Consumed Contractsの２つの設定があるが、今回はサービスを提供する側としてvzAnyを設定する
Provided Contractsの「＋」を押下
Name: 「Internal_Server_Access」を選択
Update
Consume側の設定は40_EPGに対して実施
Add Consumed Contract
Submit
Topologyを確認
Application Profiles -> SVS_AP
[Work]ペイン
Topologyタブ
Topology上はVRFに含まれるすべてのもの（AnyEPG）がContract（Internal_Server_Access）として40_EPGに対して
©提供されている状態が設定された
2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 40
vzAny設定後に40_EPGに所属しているクライアントから
10, 20, 30_EPGに所属している全てのサーバへのPort
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 80, 443, ICMPの通信が許可となっている 41

03 Security and Policy For ACI

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

03 Security and Policy For ACI

Uploaded by

Copyright:

Available Formats

Security and Policy for Cisco ACI

Customer Experience, Cisco Systems G.K.

・Step2 All Permit Contractの作成

・Step2 All Permit Contractの作成

Tenantタブ -> SVSProd

Submit -> Submit Changes

Submit -> Submit Changes

You might also like