STechi

エンジニアブログ 【検証】Aruba CX10000で実現する次世代データセンターセキュリティ!マイクロセグメンテーションを試してみた。

世界初DPUを搭載したAruba Networking CX10000スイッチは、ハードウェアオフロードでステートフルファイアウォール、NAT、IPsecをスイッチ上で機能させることができます。
昨今、データセンターに対する攻撃が大規模化してきており、それに対してマイクロセグメンテーションが注目されてきています。
今回はCX10000を使ったマイクロセグメンテーションの実現方法を検証を通して紹介します。

金井 貴浩

入社9年目のネットワークエンジニア
Juniperプロダクトを中心に、Arubaプロダクトも担当しています。
製品や技術に触れるのが好きで、家に検証環境を構築しています。

Index

1. はじめに

ランサムウェアによる被害のニュースが後を絶ちません。一度企業のネットワークに侵入されると、ウイルスはあっという間にサーバーからサーバーへと感染を広げていきます。このようなサーバー間の通信、いわゆる「East-Westトラフィック」をいかに制御するかが、現代のセキュリティ対策の大きな課題となっています。

従来のファイアウォールによる「境界型防御」だけでは、内部に侵入された後の横展開を防ぐのは困難です。そこで注目されているのが、ゼロトラストの考え方に基づいた「マイクロセグメンテーション」です。これは、サーバー一つ一つを最小単位としてネットワークを細かく分離し、本当に必要な通信以外はすべてブロックする手法です。

しかし、これを実現するには複雑な設定や高価なライセンスやアプライアンスが必要で、導入のハードルが高いと感じている方も多いのではないでしょうか?

今回、そんな悩みを解決してくれるかもしれない、HPE Aruba Networking CX10000 スイッチを検証機として購入し、実機で検証を行いました。「スイッチ」がセキュリティポリシーを適用するとはどういうことなのか?その実力を徹底的にレビューします!

2. HPE Aruba Networking CX10000 とは?

まず、今回検証したCX10000がどのような製品か簡単にご紹介します。

CX10000は、データセンター向けの高性能スイッチですが、ただのスイッチではありません。業界初の「分散サービススイッチ」として、内部にAMD Pensando社が開発したDPU (Data Processing Unit) という専用プロセッサを搭載しています。

このDPUが、これまで外部のファイアウォールや仮想アプライアンスが担っていたステートフルファイアウォールやNATといったセキュリティ機能を、スイッチ自身がハードウェアレベルで高速に処理してくれます。

CX10000を導入するメリットは大きく3つあります。

  • 構成のシンプル化: トラフィックをわざわざ外部のファイアウォールを経由させる必要がなくなり、物理/仮想アプライアンスの削減とネットワーク構成の簡素化が期待できます。
  • パフォーマンス向上: スイッチを通過するパケットを速度を落とさず高速にハードウェアで検査・処理するため、セキュリティを強化しつつ、低遅延な通信を維持できます。
  • 運用の一元化: ファイアウォールポリシーはPensando Policy and Services Manager (PSM) という管理ツールから一元的に作成・適用でき、ネットワークとセキュリティの運用を統合できます。

3. 検証してみよう!環境とシナリオ

検証環境
今回は以下のようなシンプルな環境を構築しました。

CX10000配下にProxmox環境を構築し、複数の仮想マシンをすべて同一のVLAN・サブネット(VLAN 100 / 192.168.100.0/24)に配置しています。

  • 物理構成:
    • スイッチ: HPE Aruba Networking CX10000
    • サーバー: Proxmox 8.3.0
    • ポリシー管理: Pensando PSM (仮想アプライアンス)
  • 仮想マシン:
    • Webサーバー (192.168.100.1)
    • DBサーバー (192.168.100.2)
    • 許可クライアント (192.168.100.3)
    • 不許可クライアント (192.168.100.4)
マイクロセグメンテーション検証構成図.jpg

検証シナリオ

この環境で、以下の2つのシナリオを検証しました。

シナリオ1:【基本編】同一セグメント内のICMP通信を止めてみる

  • 内容:通常のL2スイッチでは不可能な、同じVLAN内の仮想マシン間のすべての通信を通信ポリシーをもとに通信制限を行う。
  • 結果:ポリシー表通りに通信制御することができました。通信が許可された仮想マシン間は通信でき、許可されていない通信は遮断されました。
  • 概要:Proxmoxに対して仮想マシン間の通信を制限するIsolate Ports設定と、CX10000に対してPrivate VLANおよびポリシー設定を行うことで同一L2セグメント間の通信を制御することができました。具体的な設定方法はAppendixを参照ください。

疎通確認結果

server01(192.168.100.1) server02(192.168.100.2)

root@server01:~# ping 192.168.100.2 -c 2

2 packets transmitted, 2 received, 0% packet loss, time 1027ms
rtt min/avg/max/mdev = 0.419/0.494/0.569/0.075 ms


root@server01:~# ping 192.168.100.3 -c 2

2 packets transmitted, 0 received, 100% packet loss, time 1019ms

root@server01:~# ping 192.168.100.4 -c 2

2 packets transmitted, 0 received, 100% packet loss, time 1051ms

root@server02:~# ping 192.168.100.1 -c 2
2 packets transmitted, 0 received, 100% packet loss, time 1037ms

root@server02:~# ping 192.168.100.3 -c 2
2 packets transmitted, 0 received, 100% packet loss, time 1035ms

root@server02:~# ping 192.168.100.4 -c 2
2 packets transmitted, 0 received, 100% packet loss, time 1032ms

server02(192.168.100.2)に対してのみ疎通できました。

いずれの仮想マシンに対して疎通できませんでした。
client01(192.168.100.3) client02(192.168.100.4)

root@client01:~# ping 192.168.100.1 -c 2

2 packets transmitted, 2 received, 0% packet loss, time 1060ms
rtt min/avg/max/mdev = 0.364/0.457/0.550/0.093 ms


root@client01:~# ping 192.168.100.2 -c 2
2 packets transmitted, 0 received, 100% packet loss, time 1045ms

root@client01:~# ping 192.168.100.4 -c 2

2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 0.351/9.113/17.876/8.762 ms

root@client02:~# ping 192.168.100.1 -c 2

2 packets transmitted, 2 received, 0% packet loss, time 1002ms
rtt min/avg/max/mdev = 0.411/3.760/7.110/3.349 ms


root@client02:~# ping 192.168.100.2 -c 2

2 packets transmitted, 0 received, 100% packet loss, time 1003ms

root@client02:~# ping 192.168.100.3 -c 2

2 packets transmitted, 2 received, 0% packet loss, time 1052ms
rtt min/avg/max/mdev = 0.365/0.470/0.575/0.105 ms

server01,client02に対して疎通できました。server02に対しては通信できませんでした。

server01,client01に対して疎通できました。server02に対しては通信できませんでした。

シナリオ2:【実践編】Webサーバーへのアクセスを制御する
  • 内容:「許可クライアント」からのみ「Webサーバー」のWebポート(TCP/80)へのアクセスを許可し、それ以外の通信はすべて拒否します。
  • 結果:ポート番号を指定して許可クライアントからWebサーバの特定ポートへのアクセスができ、不許可クライアントからの通信はできずタイムアウトしたことを確認できました。
  • 概要:GUI管理ツール上から通信フロー可視化図(ネットワークグラフ)上からフローを選択し、ポリシーを追加することができました。具体的な設定方法はAppendixを参照ください。

疎通確認結果

client01 -> server01へhttp通信 client02 -> server01へhttp通信

nelco@client01:~$ curl GET http://192.168.100.1
curl: (6) Could not resolve host: GET
<!DOCTYPE html>
<html>
<head>
<title>Welcome to nginx!</title>
<style>
html { color-scheme: light dark; }
body { width: 35em; margin: 0 auto;
font-family: Tahoma, Verdana, Arial, sans-serif; }
</style>
</head>
<body>
<h1>Welcome to nginx!</h1>
<p>If you see this page, the nginx web server is successfully installed and
working. Further configuration is required.</p>

<p>For online documentation and support please refer to
<a href="http://nginx.org/">nginx.org</a>.<br/>
Commercial support is available at
<a href="http://nginx.com/">nginx.com</a>.</p>

<p><em>Thank you for using nginx.</em></p>
</body>
</html>

 nelco@client02:~$ curl GET http://192.168.100.1
curl: (6) Could not resolve host: GET
curl: (28) Failed to connect to 192.168.100.1 port 80 after 136007 ms: Couldn't connect to server

curlコマンドによりWebサーバにアクセスできたことを確認できました。

 Webサーバにアクセスできずタイムアウトしました。

マイクロセグメンテーション検証フロー図.jpg

4. まとめ

考察

今回の検証を通じて、CX10000の大きな可能性を感じました。

  • 操作が非常に簡単: IPアドレスやポート番号をベースにしたポリシー作成は非常に直感的で、セキュリティの専門家でなくても基本的な設定は迷うことなく行えそうです。
  • ハードウェア処理の効果: CX10000によるマイクロセグメンテーションを実施してもパケットをDPUで処理するため、遅延が大きく増加するようなことはありませんでした。パフォーマンスを犠牲にしない点は、インフラ担当者にとって非常に嬉しいポイントです。
  • East-Westトラフィックの可視化: PSMのダッシュボードでは、どのサーバー間でどのような通信が発生しているかがリアルタイムで可視化されます。これまでブラックボックスになりがちだった内部通信を把握できるだけでも、セキュリティ運用上、大きな価値があります。


最後に

今回の検証で、HPE Aruba Networking CX10000が、セキュリティを強化できるポテンシャルを秘めた製品であることがよく分かりました。

スイッチがネットワークの接続性を提供するだけでなく、サーバー直近の「門番」としてきめ細やかなセキュリティを提供する。これにより、構成はシンプルになり、パフォーマンスは向上し、運用管理は楽になります。

特に、以下のような環境で大きな価値を発揮すると感じました。

  • ランサムウェア対策を本気で強化したいデータセンター
  • VMwareやProxmoxなどの仮想環境のセキュリティをシンプルに保ちたい企業
  • HCI(ハイパーコンバージドインフラ)を導入しており、外部ファイアウォールとの連携に課題を感じている環境

CX10000は、ネットワークとセキュリティの垣根を取り払い、ゼロトラスト時代にふさわしい新しいデータセンターの形を提案してくれます。

最後までお読みいただき、ありがとうございました。

5. Appendix. A

シナリオ1:【基本編】同一セグメント内のICMP通信を止めてみる

マイクロセグメンテーション実施前
 マイクロセグメンテーションを実施していないため、どの仮想マシンからも疎通ができています。

server01から疎通確認 server02から疎通確認

nelco@server01:~$ ping 192.168.100.2 -c 2
PING 192.168.100.2 (192.168.100.2) 56(84) bytes of data.
64 bytes from 192.168.100.2: icmp_seq=1 ttl=64 time=0.277 ms
64 bytes from 192.168.100.2: icmp_seq=2 ttl=64 time=0.333 ms

--- 192.168.100.2 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1034ms
rtt min/avg/max/mdev = 0.277/0.305/0.333/0.028 ms


nelco@server01:~$ ping 192.168.100.3 -c 2
PING 192.168.100.3 (192.168.100.3) 56(84) bytes of data.
64 bytes from 192.168.100.3: icmp_seq=1 ttl=64 time=0.195 ms
64 bytes from 192.168.100.3: icmp_seq=2 ttl=64 time=0.183 ms

--- 192.168.100.3 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1058ms
rtt min/avg/max/mdev = 0.183/0.189/0.195/0.006 ms


nelco@server01:~$ ping 192.168.100.4 -c 2
PING 192.168.100.4 (192.168.100.4) 56(84) bytes of data.
64 bytes from 192.168.100.4: icmp_seq=1 ttl=64 time=0.541 ms
64 bytes from 192.168.100.4: icmp_seq=2 ttl=64 time=0.255 ms

--- 192.168.100.4 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1010ms
rtt min/avg/max/mdev = 0.255/0.398/0.541/0.143 ms

nelco@server02:~$ ping 192.168.100.1 -c 2
PING 192.168.100.1 (192.168.100.1) 56(84) bytes of data.
64 bytes from 192.168.100.1: icmp_seq=1 ttl=64 time=0.230 ms
64 bytes from 192.168.100.1: icmp_seq=2 ttl=64 time=0.200 ms

--- 192.168.100.1 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1033ms
rtt min/avg/max/mdev = 0.200/0.215/0.230/0.015 ms
nelco@server02:~$ ping 192.168.100.3 -c 2
PING 192.168.100.3 (192.168.100.3) 56(84) bytes of data.
64 bytes from 192.168.100.3: icmp_seq=1 ttl=64 time=0.299 ms
64 bytes from 192.168.100.3: icmp_seq=2 ttl=64 time=0.215 ms

--- 192.168.100.3 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1048ms
rtt min/avg/max/mdev = 0.215/0.257/0.299/0.042 ms
nelco@server02:~$ ping 192.168.100.4 -c 2
PING 192.168.100.4 (192.168.100.4) 56(84) bytes of data.
64 bytes from 192.168.100.4: icmp_seq=1 ttl=64 time=0.391 ms
64 bytes from 192.168.100.4: icmp_seq=2 ttl=64 time=0.216 ms

--- 192.168.100.4 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1062ms
rtt min/avg/max/mdev = 0.216/0.303/0.391/0.087 ms

client01から疎通確認 client02から疎通確認

nelco@client01:~$ ping 192.168.100.1 -c 2
PING 192.168.100.1 (192.168.100.1) 56(84) bytes of data.
64 bytes from 192.168.100.1: icmp_seq=1 ttl=64 time=0.211 ms
64 bytes from 192.168.100.1: icmp_seq=2 ttl=64 time=0.202 ms

--- 192.168.100.1 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1007ms
rtt min/avg/max/mdev = 0.202/0.206/0.211/0.004 ms
nelco@client01:~$ ping 192.168.100.2 -c 2
PING 192.168.100.2 (192.168.100.2) 56(84) bytes of data.
64 bytes from 192.168.100.2: icmp_seq=1 ttl=64 time=0.244 ms
64 bytes from 192.168.100.2: icmp_seq=2 ttl=64 time=0.185 ms

--- 192.168.100.2 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1036ms
rtt min/avg/max/mdev = 0.185/0.214/0.244/0.029 ms
nelco@client01:~$ ping 192.168.100.4 -c 2
PING 192.168.100.4 (192.168.100.4) 56(84) bytes of data.
64 bytes from 192.168.100.4: icmp_seq=1 ttl=64 time=0.453 ms
64 bytes from 192.168.100.4: icmp_seq=2 ttl=64 time=0.202 ms

--- 192.168.100.4 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1040ms
rtt min/avg/max/mdev = 0.202/0.327/0.453/0.125 ms

nelco@client02:~$ ping 192.168.100.1 -c 2
PING 192.168.100.1 (192.168.100.1) 56(84) bytes of data.
64 bytes from 192.168.100.1: icmp_seq=1 ttl=64 time=0.204 ms
64 bytes from 192.168.100.1: icmp_seq=2 ttl=64 time=0.201 ms

--- 192.168.100.1 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1064ms
rtt min/avg/max/mdev = 0.201/0.202/0.204/0.001 ms
nelco@client02:~$ ping 192.168.100.2 -c 2
PING 192.168.100.2 (192.168.100.2) 56(84) bytes of data.
64 bytes from 192.168.100.2: icmp_seq=1 ttl=64 time=0.152 ms
64 bytes from 192.168.100.2: icmp_seq=2 ttl=64 time=0.231 ms

--- 192.168.100.2 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1007ms
rtt min/avg/max/mdev = 0.152/0.191/0.231/0.039 ms
nelco@client02:~$ ping 192.168.100.3 -c 2
PING 192.168.100.3 (192.168.100.3) 56(84) bytes of data.
64 bytes from 192.168.100.3: icmp_seq=1 ttl=64 time=0.181 ms
64 bytes from 192.168.100.3: icmp_seq=2 ttl=64 time=0.209 ms

--- 192.168.100.3 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1061ms
rtt min/avg/max/mdev = 0.181/0.195/0.209/0.014 ms

CX10000,Proxmoxに対してマイクロセグメンテーションをするための設定を行います。マイクロセグメンテーションCX10000に対してはPrivate VLAN、ポリシーの設定、ProxmoxにはIsolate Portsの設定を行います。

CX10000設定

CX10000 (Private VLAN設定)

vrf MicroSeg

vlan 100
 private-vlan primary
vlan 1001
 private-vlan isolated primary-vlan 100

interface 1/1/1
 no shutdown
 persona access
 mtu 9198
 no routing
 vlan trunk native 1
 vlan trunk allowed 1,100,1001

interface vlan 100
 vrf attach MicroSeg
 ip mtu 9198
 ip address 192.168.100.253/24
 ip local-proxy-arp

ポリシー設定:PSM(Pensando Policy and Services Manager)上でポリシー設定表に基づいて設定を行います。(ICMP通信のみ)

設定ポリシー(一覧表示)
Pasted image 20250929162325.png

 

設定ポリシー設定(プロトコル選択) 設定ポリシー設定(アドレス選択)
Pasted image 20250929162349.png Pasted image 20250929162409.png
icmpを選択します。 SourceIPおよびDestinationIPをポリシー表に基づいて設定を行います。

 

Proxmox設定

Linux Bridge作成
Pasted image 20250929115212.png
CX10000と接続するNIC(ここではeno4)に紐づくLinuxBridgeを作成します。ここではpvlanという名前に設定します。

ゾーン作成(データセンター -> SDN -> ゾーン) VNets作成(データセンター -> SDN -> ゾーン)
Pasted image 20250929115845.png Pasted image 20250929115919.png
先ほど設定したLinuxBridge(pvlan)に紐づくゾーンを作成します。

先ほど作成したゾーンに紐づくVNetsを作成します。Isolated PortsおよびVLAN awareにチェックを入れます。Isolated Portsにチェックを入れることで仮想マシン間を直接通信することができなくなります。

完了後に適用を選択し、反映させます。

仮想マシンへNICを割り当て
Pasted image 20250929130138.png
server01,server02,client01,client02にNICを追加します。先ほど作成したVNetsをブリッジとして選択できるようになります。

動作確認(ポリシー適用後)

server01(192.168.100.1) server02(192.168.100.2)

root@server01:~# ping 192.168.100.2 -c 2
PING 192.168.100.2 (192.168.100.2) 56(84) bytes of data.
64 bytes from 192.168.100.2: icmp_seq=1 ttl=63 time=0.569 ms
64 bytes from 192.168.100.2: icmp_seq=2 ttl=63 time=0.419 ms

--- 192.168.100.2 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1027ms
rtt min/avg/max/mdev = 0.419/0.494/0.569/0.075 ms


root@server01:~# ping 192.168.100.3 -c 2
PING 192.168.100.3 (192.168.100.3) 56(84) bytes of data.

--- 192.168.100.3 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1019ms

root@server01:~# ping 192.168.100.4 -c 2
PING 192.168.100.4 (192.168.100.4) 56(84) bytes of data.

--- 192.168.100.4 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1051ms

root@server02:~# ping 192.168.100.1 -c 2
PING 192.168.100.1 (192.168.100.1) 56(84) bytes of data.

--- 192.168.100.1 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1037ms

root@server02:~# ping 192.168.100.3 -c 2
PING 192.168.100.3 (192.168.100.3) 56(84) bytes of data.

--- 192.168.100.3 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1035ms

root@server02:~# ping 192.168.100.4 -c 2
PING 192.168.100.4 (192.168.100.4) 56(84) bytes of data.

--- 192.168.100.4 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1032ms

server02(192.168.100.2)に対してのみ疎通できます。

いずれの仮想マシンに対して疎通できません。

client01(192.168.100.3) client02(192.168.100.4)

root@client01:~# ping 192.168.100.1 -c 2
PING 192.168.100.1 (192.168.100.1) 56(84) bytes of data.
64 bytes from 192.168.100.1: icmp_seq=1 ttl=63 time=0.550 ms
64 bytes from 192.168.100.1: icmp_seq=2 ttl=63 time=0.364 ms

--- 192.168.100.1 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1060ms
rtt min/avg/max/mdev = 0.364/0.457/0.550/0.093 ms


root@client01:~# ping 192.168.100.2 -c 2
PING 192.168.100.2 (192.168.100.2) 56(84) bytes of data.

--- 192.168.100.2 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1045ms

root@client01:~# ping 192.168.100.4 -c 2
PING 192.168.100.4 (192.168.100.4) 56(84) bytes of data.
64 bytes from 192.168.100.4: icmp_seq=1 ttl=63 time=17.9 ms
64 bytes from 192.168.100.4: icmp_seq=2 ttl=63 time=0.351 ms

--- 192.168.100.4 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 0.351/9.113/17.876/8.762 ms

root@client02:~# ping 192.168.100.1 -c 2
PING 192.168.100.1 (192.168.100.1) 56(84) bytes of data.
64 bytes from 192.168.100.1: icmp_seq=1 ttl=63 time=7.11 ms
64 bytes from 192.168.100.1: icmp_seq=2 ttl=63 time=0.411 ms

--- 192.168.100.1 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1002ms
rtt min/avg/max/mdev = 0.411/3.760/7.110/3.349 ms


root@client02:~# ping 192.168.100.2 -c 2
PING 192.168.100.2 (192.168.100.2) 56(84) bytes of data.

--- 192.168.100.2 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1003ms

root@client02:~# ping 192.168.100.3 -c 2
PING 192.168.100.3 (192.168.100.3) 56(84) bytes of data.
64 bytes from 192.168.100.3: icmp_seq=1 ttl=63 time=0.575 ms
64 bytes from 192.168.100.3: icmp_seq=2 ttl=63 time=0.365 ms

--- 192.168.100.3 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1052ms
rtt min/avg/max/mdev = 0.365/0.470/0.575/0.105 ms

server01,client02に対して疎通できます。

server01,client01に対して疎通できます。
マイクロセグメンテーション検証フロー図.jpg

6. Appendix. B

シナリオ2:【実践編】Webサーバーへのアクセスを制御する

PSMと呼ばれるGUI管理ツールを使って、より実践的なポリシーを作成しました。PSMでは「許可クライアント」や「Webサーバー」といったオブジェクトをIPアドレスで定義し、可視化された通信フロー図上(ネットワークグラフ)で対象フローを選択し、該当通信の許可/拒否するかを設定できます。

client01 -> server01へhttp通信 client02 -> server01へhttp通信
nelco@client01:~$ curl GET http://192.168.100.1
curl: (6) Could not resolve host: GET
curl: (28) Failed to connect to 192.168.100.1 port 80 after 134355 ms: Couldn't connect to server		 nelco@server02:~$ curl GET http://192.168.100.1
curl: (6) Could not resolve host: GET
curl: (28) Failed to connect to 192.168.100.1 port 80 after 134119 ms: Couldn't connect to server
ポリシー設定画面(フロー可視化)
Pasted image 20250929163327.png

該当フローを選択 ポリシー設定(プロトコル選択) ポリシー設定(IP選択)
Pasted image 20250929163410.png Pasted image 20250929163445.png Pasted image 20250929163505.png
ネットワークグラフ上から該当のフローを右クリックし「Add Flows to Policy」をクリックします。 選択対象フローのプロトコル情報が選択済みの状態でウィンドウが表示されます。

同様に選択対象のIPが指定済みの状態で表示されます。
Saveを行い設定を反映させます。

動作確認

client01 -> server01へhttp通信 client02 -> server01へhttp通信

nelco@client01:~$ curl GET http://192.168.100.1
curl: (6) Could not resolve host: GET
<!DOCTYPE html>
<html>
<head>
<title>Welcome to nginx!</title>
<style>
html { color-scheme: light dark; }
body { width: 35em; margin: 0 auto;
font-family: Tahoma, Verdana, Arial, sans-serif; }
</style>
</head>
<body>
<h1>Welcome to nginx!</h1>
<p>If you see this page, the nginx web server is successfully installed and
working. Further configuration is required.</p>

<p>For online documentation and support please refer to
<a href="http://nginx.org/">nginx.org</a>.<br/>
Commercial support is available at
<a href="http://nginx.com/">nginx.com</a>.</p>

<p><em>Thank you for using nginx.</em></p>
</body>
</html>

 nelco@client02:~$ curl GET http://192.168.100.1
curl: (6) Could not resolve host: GET
curl: (28) Failed to connect to 192.168.100.1 port 80 after 136007 ms: Couldn't connect to server

このポリシーを適用した結果、狙い通り「許可クライアント」からWebページにアクセスでき、「不許可クライアント」からはアクセスがタイムアウトする結果となりました。

ポリシー適用後に該当フローも通信ができるようになっているとネットワークグラフ上から確認ができます。(許可:緑色の矢印 不許可:橙色の矢印)

Pasted image 20250929164654.png

採用情報 画像
採用情報

エンジニアブログ

Arista:MLAG ISSUで実現する高可用性

Arista NetworksのMulti-Chassis Link Aggregation(MLAG)環境におけるIn-Service Software Upgrade(ISSU)は、ネットワークのダウンタイムを最小限に抑えつつEOSソフトウェアをアップグレードする強力な機能です。このブログではMLAG ISSUの概要、具体的なアップグレード手順、検証結果について解説します。

続きを読む

2025/9/30

  • #AristaNetworks
  • #ネットワーク

HPE Aruba Networking CXスイッチの高可用性 - VSX設定手順

前回の記事では、VMware ESXi環境にArubaCXスイッチを4台デプロイし、OSPFルーティングの設定を行う手順を紹介しました。今回は、ArubaCXスイッチの高可用性機能である「VSX (Virtual Switching Extension)」のご紹介になります。VSXは、MLAG(Multi-Chassis Link Aggregation)による冗長化を可能にし、障害時発生時にも通信を継続できる構成です。本記事では、VSXの概要と、実際の設定手順について解説します。

続きを読む

2025/9/30

  • #Aruba
  • #HPE
  • #ネットワーク
  • #ネットワーク・セキュリティ
  • #ハイブリッドクラウド
  • #マルチクラウド

【検証】Aruba CX10000で実現する次世代データセンターセキュリティ!マイクロセグメンテーションを試してみた。

世界初DPUを搭載したAruba Networking CX10000スイッチは、ハードウェアオフロードでステートフルファイアウォール、NAT、IPsecをスイッチ上で機能させることができます。 昨今、データセンターに対する攻撃が大規模化してきており、それに対してマイクロセグメンテーションが注目されてきています。 今回はCX10000を使ったマイクロセグメンテーションの実現方法を検証を通して紹介します。

続きを読む

2025/9/30

サービスやインフラの性能監視、出来ていますか?NETSCOUT SA製品で実現するきめ細やかな性能監視

お客様に提供するサービスや社内に提供している自社インフラサービスの性能監視は出来ていますか? NETSCOUT社のSA(サービスアシュアランス)製品では、様々なダッシュボードやモニター機能により性能劣化をいち早く検知し、重大な障害になる前に防ぐことが可能です。 本ブログでは、NETSCOUT SA製品の動作の仕組みや実際の監視の方法などについてご説明していきます。

続きを読む

2025/9/30

様々なDDoS攻撃模擬で製品の有用性をチェック!NETSCOUT DDoS対策機器 検証ラボご紹介

双日テックイノベーションではDDoS対策における世界トップシェアであるNETSCOUT社製品をお客様にご提案・導入・サポートしています。 本ブログではこちらの製品を中心としたDDoS対策機器の当社検証ラボについて、DDoS攻撃の種類や模擬の方法についても詳しく説明しながらご紹介していきます。

続きを読む

2025/9/30

HPE Aruba Networking CXスイッチ仮想版をESXiへデプロイする手順

ArubaCXスイッチは、アプライアンス版と仮想版が提供されており、仮想版を使えば、アプライアンス版が入手できない環境でも手軽にテストすることができます。本記事では、ArubaCXスイッチのESXi仮想版を用いたテスト環境の構築手順として、OVAファイルのダウンロード、ESXiへのデプロイ、vSwitchとポートグループの設定、OSPFの設定、疎通確認までの手順を解説します。

続きを読む

2025/9/8

  • #Aruba
  • #HPE
  • #ネットワーク
  • #ネットワーク・セキュリティ
  • #ハイブリッドクラウド
  • #マルチクラウド

エンジニアの目で振り返る Interop Tokyo 2025 の注目ポイント

2025年6月12日から14日に Interop Tokyo 2025 が開催されました。AI、自動化、データセンターのキーワードが飛び交い、ShowNetで最先端技術を体感。さくらインターネット田中社長の講演も印象的でした。当社は併設イベント Data Center Summit にて「HPE Aruba Networking CX10000によるネットワークセキュリティ:マイクロセグメンテーションの新時代」の講演を実施。本ブログではイベントの注目ポイントを振り返るとともに、HPEのソリューションおよび当社が貢献できることをお伝えします。

続きを読む

2025/6/30

  • #Aruba
  • #HPE
  • #ネットワーク
  • #ネットワーク・セキュリティ
  • #ハイブリッドクラウド
  • #マルチクラウド

サーバー市場の王者 HPEが提供する次世代ネットワークソリューションとは

皆さん、「HP(ヒューレット・パッカード)」と聞いて思い浮かべるのは、プリンタやPC、オンプレミスのサーバーメーカーかと思います。 しかし、それはもはや過去のイメージかもしれません。クラウド時代の到来により、HPEはクラウドやネットワークの分野に力を入れています。 本記事では、HPEがクラウドやネットワークに取り組む背景や、世界初 AMD Pensando DPUを搭載した分散サービススイッチ 「HPE Aruba Networking CX10000」について紹介します。また、今年6月に予定されている"Interop Tokyo 2025"への登壇情報もぜひご注目ください。

続きを読む

2025/5/27

  • #Aruba
  • #HPE
  • #ネットワーク
  • #ネットワーク・セキュリティ
  • #ハイブリッドクラウド
  • #マルチクラウド
一覧に戻る

Stech I Labに関するお問い合わせは、
こちらのフォームからご連絡ください。

お問い合わせ

EVオートチャージ

昨今のEV車両普及の課題に対して、施設内の電力需要を把握した上で、車両の残充電量を常時把握し翌日始業時刻などの適切なタイミングまでに全車両を均一に充電(または満充電)します。そして施設の契約電力を上限値以下に抑制するEV車両向けのクラウド型充電制御サービスを実現します。

続きを読む

HPE製品・サービス ポータルサイト ターゲットブランクアイコン

ITインフラ統合ソリューション
企業を取り巻く環境が日々変化する中で、プライベートクラウドコンピューティング、仮想化システムの導入をはじめとするITインフラの統合が注目されています。 当社では、企業の課題や統合プロセスのプライオリティを見定め、必要な領域から統合をはじめることができるよう、HPE製品を中核とするITインフラ統合ソリューションをご提案します。 HPE製品でお悩みの方はまずはこちらのページをご覧ください。

続きを読む

ZOOM ターゲットブランクアイコン

Zoomとは、最も満足度の高いWeb会議システムです。テレビ会議と同様に映像(ビデオ)と音声により、遠方とのコミュニケーションを可能にするシステムですが、高価な専用システムを導入する必要がなく、インターネット接続環境、PCやモバイル端末、カメラ・マイクがあれば、世界中どこからでもワンクリックで利用できます。

続きを読む

Alkira ターゲットブランクアイコン

NaaS(Network as a service)であるAlkiraは、ハイブリッドクラウドおよびマルチクラウド環境のネットワークを一元的に運用管理できるソリューションです。 そもそもNaaSとはどのようなサービスなのか、そしていま気鋭のNaaSとして期待を集めている米アルキラ社のサービスについてご紹介しています

続きを読む

Microsoft Azure ターゲットブランクアイコン

Azure(アジュール)はMicrosoft(マイクロソフト)が提供する、高セキュリティ、ハイブリッド、日本仕様のパブリッククラウドサービスです。自社のデータセンター以上の高いセキュリティと、信頼性を提供します。

続きを読む

Natic ターゲットブランクアイコン

テクノロジーにより人の可能性を引き出し、新たな事業・価値を創造し続ける社会へアップデート。Naticはあらゆるビジネスのモダナイゼーションに挑んでいます。

続きを読む