概要

2017年3月時点で、Service Graph でサポートする ASA は以下です。

詳細は ACI Ecosystem Compatibility Matrix をご参照ください。

• ASAv
• ASA5585-X (SSP 10 - SSP 60) ※要 ASA software version 8.4(x) and later
• ASA5500-X (5512 - 5555) ※要 ASA software version 8.4(x) and later
• FirePower 9300 Security Appliance ※要 ASA software version 9.6(1) and later
• FirePower 41xx Security Appliance ※要 ASA software version 9.6(1) and later

今回は、以下のような構成を作成します。テナントのネットワークの設定, VMware 連携の設定は完了しているものとします。

事前設定の手順は、以下を参照してください。このページは、以下の設定を行った後に実施した場合の GUI 画面を使用しています。

• Interface の設定 (Access Policy)
• Interface の設定 (Domain, AEP)
• テナントの作成
• EPG の設定 (VMware 連携)

Service Graph 設定の流れは以下のようになります。

• ASA の準備
• Device Package のアップロード
• L4-L7 Device の作成
• Service Graph Template の作成
• Service Graph Template の適用

ASAの準備

APIC と ASA がやりとりするために、管理ネットワーク越しで通信できるようにASA を準備します。

今回は、ASAv での例を紹介します。

ASA で APIC からの HTTPS アクセスを有効にします。

Device Package のアップロード

ASA のダウンロードページから Device Package をダウンロードし、APIC にアップロードします。

L4-L7 SERVICES > PACKAGES > Import Device Package

アップロードすると、L4-L7 Service Device Types の所に追加されます。

L4-L7 Device の作成

APIC で、実際に設定が投入される ASA を登録します。

TENANTS > テナントを選択 > L4-L7 Services > L4-L7 Devices を右クリックして Create L4-L7 Devices

ASA の情報を入力します。今回は、VMM Domain を使用しています

• Device Package, Model, Domain 等を選択
• ASA の Username, password を入力
• ASA の管理 IP アドレス、ポート、仮想マシンの場合は仮想マシンを選択
• どのインターフェースが consumer 側か、provider 側か設定

デバイス登録時、ASA に追加したい設定パラメータを入力します。今回は特に設定せず先に進みます。

デバイスの Status が Stable になることを確認します。

Service Graph Template の作成

サービスアプライアンスをどう繋げるかの定義となる、Service Graph Template を作成します。

TENANTS > テナントを選択 > L4-L7 Services > L4-L7 Service Graph Templates を右クリックして

Create L4-L7 Service Graph Template を選択

Service Graph の名前を入力し、プルダウンから、Type、Device Function、Profile を選択します。

今回は、Routed Mode の Firewall が1つの Service Graph です。

FW-Graph という Service Graph Template が作成されました。

Service Graph Template の適用

作成した Service Graph Template を、Contract に適用します。

TENANTS > テナントを選択 > L4-L7 Services > L4-L7 Service Graph Templates を右クリックして

Apply L4-L7 Service Graph Template を選択

どの EPG 間の Contract に Service Graph を適用するのか選択します。

今回は、新規に全ての通信を許可する Contract を作成し、そこに Service Graph を適用します。

次に、どの L4-L7 Device を使用するかプルダウンから選択し、設定するパラメータを入力します。

今回は、external Interface を 192.168.20.200/255.255.255.0, security level 0 に設定します

同様に、internal Interface を 192.168.10.200/255.255.255.0, security level 100 に設定します

設定項目を確認して FINISH をクリックします。

Service Graph の適用が成功すると、 Deployed Graph Instances と Deployed Devices が追加されます。

TENANTS > テナントを選択 > L4-L7 Services > L4-L7 Devices > Deployed Graph Instances および Deployed Devices

確認

VMM ドメインを使用した場合、Service Graph を Deploy するとサービスアプライアンスを接続するためのポートグループが作成されます。

L4-L7 Devices で登録した情報に基づき、仮想マシンのネットワークアダプタの設定変更も自動で行われます。

入力したパラメータに基づき、ASA が設定されていることを確認します。

Contract が作成され、Subject に Service Graph が関連付けられてる事を確認します。

TENANTS > テナントを選択 > Security Policies > Contracts > Contract を選択

TENANTS > テナントを選択 > Security Policies > Contracts > Contract を選択 > Subject を選択

ここから、Service Graph の関連付けを外す・再適用可能です。

補足: Device Selection Policy

Service Graph Template を Apply した際に、Device Selection Policy が作成されています。

Service Graph を deploy する時に、どのDevice Cluster を選択するかのポリシーです。

TENANTS > テナントを選択 > L4-L7 Services > L4-L7 Devices　> Device Selection Policies

補足: Service Graph 適用後のパラメータの設定・変更

Service Graph を Deploy した後に ASA のパラメータを変更したい場合は、

Provider 側の EPG 配下の L4-L7 Service Parameters から編集可能です。

TENANTS > テナントを選択 > Application Profiles > アプリケーションプロファイルを選択
> Application EPGs > EPG を選択 > L4-L7 Service Parameters