Konfiguration und Bereitstellung eines Servicediagramms mit zwei Knoten mit ASA Multi-Context und NetScaler 1000V

Einführung

Dieses Dokument beschreibt die Konfiguration und Bereitstellung eines Servicediagramms mit zwei Knoten in der Cisco Application Centric Infrastructure (ACI)-Plattform. Die beiden Geräte, die im Service-Diagramm verwendet werden, sind eine physische Cisco Adaptive Security Appliance (ASA), die im transparenten Modus ausgeführt wird, und eine virtuelle Citrix NetScaler 1000V Appliance. 

Voraussetzungen

Anforderungen

Cisco empfiehlt, vor dem Versuch der in diesem Dokument beschriebenen Konfiguration über Kenntnisse dieser Themen zu verfügen:

• Cisco ACI-Fabrics bestehend aus zwei Spine-Switches und zwei Leaf-Switches
  
  
• Cisco Virtual Machine Managed (VMM)-Domänen
  
  
• Cisco ASAs
  
  
• NetScaler 1000V Virtual Appliances

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf den folgenden Hardware- und Softwareversionen:

• Eine ACI-Fabric, die aus zwei Spine-Switches und zwei Leaf-Switches mit Code Version 1.1(4e oder höher und Gerätepaket Version 1.2 oder höher besteht
  
  
• Eine VMM-Domäne, die innerhalb der ACI für VMWare konfiguriert ist
  
  
• Eine physische ASA mit zwei Verbindungen (eine Verbindung zu jedem Leaf-Switch)
  
  
• Eine NetScaler 1000V Virtual Appliance, die im VMWare vCenter bereitgestellt wird
  
  
• Ein Cisco Application Policy Infrastructure Controller (APIC)

Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.

Konfigurieren

In diesem Abschnitt wird beschrieben, wie Sie die verschiedenen Komponenten konfigurieren, die an dieser Bereitstellung beteiligt sind.

Konfigurieren der ASA

In diesem Abschnitt wird beschrieben, wie die Konfiguration auf der ASA abgeschlossen wird.

Unterstützung mehrerer Kontexte auf der ASA aktivieren

Um mehrere Kontexte auf der ASA zu erstellen, müssen Sie diese Funktion aktivieren. Melden Sie sich bei der ASA an, und geben Sie den folgenden Befehl im Konfigurationsmodus ein:

ciscoasa(config)#

 mode multiple

Sie werden dann aufgefordert, das System erneut zu laden. Nachdem das Gerät neu geladen wurde, können Sie mit der Erstellung des Benutzer-Kontexts fortfahren.

Hinweis: Vor dem Benutzerkontext muss ein Admin-Kontext erstellt werden. In diesem Dokument wird nicht beschrieben, wie der Admin-Kontext erstellt wird, sondern der Benutzerkontext. Weitere Informationen zum Erstellen des Admin-Kontexts finden Sie im Abschnitt Configuring Multiple Contexts (Mehrere Kontexte konfigurieren) im Konfigurationshandbuch zur Cisco ASA-Serie, 9.0.

Konfigurieren des Benutzerkontexts auf der ASA

Um den Benutzerkontext auf der ASA zu erstellen, geben Sie den folgenden Befehl aus dem System-Kontext ein:

ciscoasa/admin# changeto context sys
ciscoasa(config)# context 

jristain    <--- This is the name of the desired context

Creating context 'jristain'... Done. (5)
ciscoasa(config-ctx)# allocate-interface Management0/1

ciscoasa(config-ctx)# config-url disk0:/

jristain

.cfg   

<--- "context-name.cfg"

WARNING: Could not fetch the URL disk0:/jristain.cfg
INFO: Creating context with default config

Diese Konfiguration erstellt den Kontext, weist die Verwaltungsschnittstelle für die Verwendung in diesem Kontext zu und gibt einen Speicherort für die Konfigurationsdatei an. Sie müssen nun diesen Kontext eingeben, um den minimalen Bootstrap-Vorgang zu konfigurieren, der für die Verbindung mit dem APIC erforderlich ist.

Konfigurieren der Management-IP-Adresse für den Benutzerkontext

Nachdem der Benutzerkontext erstellt wurde, können Sie den Kontext ändern und die Management-IP-Adresse auf der zugewiesenen Schnittstelle konfigurieren. Geben Sie folgende Befehle ein:

ciscoasa(config-ctx)# changeto context jristain   <---- 

Drops into the user context

ciscoasa/jristain(config)# interface Management0/1
ciscoasa/jristain(config-if)# ip address 192.168.20.10 255.255.255.128
ciscoasa/jristain(config-if)# nameif management
INFO: Security level for "management" set to 0 by default.
ciscoasa/jristain(config-if)# security-level 100
ciscoasa/jristain(config-if)# exit
ciscoasa/jristain(config)# route management 0.0.0.0 0.0.0.0 192.168.20.1
ciscoasa/jristain(config)# exit
ciscoasa/jristain# copy running-config startup-config

Hinweis: Der Namenseintrag muss Verwaltung sein, da dies die Erwartung des Gerätepakets ist. Wenn der nameif-Eintrag zusätzliche Zeichen enthält, werden Fehler bei der Bereitstellung des L4-L7-Geräts im APIC angezeigt.

Konfigurieren des erforderlichen Bootstrap für den APIC

Um den APIC mit der ASA zu verbinden, ist eine minimale Konfiguration erforderlich. Dazu gehören der HTTP-Server und ein Benutzerkonto für den APIC. Verwenden Sie diese Konfiguration im Benutzerkontext:

ciscoasa/jristain(config)#username 

<username>

 password 

<password>

ciscoasa/jristain(config)#http server enable
ciscoasa/jristain(config)#http 0.0.0.0 0.0.0.0 management

Hinweis: Geben Sie den gewünschten Benutzernamen und das gewünschte Kennwort in die Bereiche <Benutzername> und <Kennwort> ein.

Konfigurieren des APIC

In diesem Abschnitt wird beschrieben, wie die Konfiguration des APIC abgeschlossen wird.

Konfigurieren der erforderlichen Bridge-Domänen

Es gibt drei Bridge-Domänen (BDs), die für die Bereitstellung eines Service-Diagramms mit zwei Knoten erforderlich sind.

Verwenden Sie diese Informationen, um den BD für die externe ASA-Schnittstelle (Consumer) zu konfigurieren:

• L2 Unknown Unicast - Flood
  
  
• ARP Flooding - Aktiviert
  
  
• Das Subnetz kann so konfiguriert werden, dass es als Standard-Gateway für die externe NetScaler-Schnittstelle mit aktiviertem Unicast-Routing fungiert.

Verwenden Sie diese Informationen, um den BD zu konfigurieren, der für die Verbindung der beiden Geräte verwendet wird:

• L2 Unknown Unicast - Flood
  
  
• ARP Flooding - Aktiviert
  
  
• Unicast-Routing - Deaktiviert

Konfigurieren der erforderlichen Endpunktgruppen

Für das Service-Diagramm müssen zwei Endpunktgruppen (EPGs) konfiguriert werden: ein Verbraucher und ein Anbieter. Die Consumer-EPG sollte das BD verwenden, das mit der externen ASA-Schnittstelle verbunden ist. Die Provider-EPG sollte ein BD verwenden, das mit den Endservern verbunden ist.

Hinzufügen des Admin-Kontexts als L4-L7-Gerät

Sie müssen dem APIC den ASA-Admin- und -Benutzerkontext hinzufügen. Navigieren Sie dazu zu Tenant > L4-L7 Services > L4-L7 Devices, klicken Sie mit der rechten Maustaste, und wählen Sie Create a L4-L7 Device (L4-L7-Gerät erstellen) aus, und führen Sie die folgenden Schritte aus:

1. Klicken Sie im Bereich Allgemein auf das Kontrollkästchen Managed (Verwaltet), wenn es nicht bereits aktiviert ist.
   
   
2. Geben Sie den Gerätenamen ein.
   
   
3. Wählen Sie den Servicetyp aus dem Dropdown-Menü aus.
   
   
4. Wählen Sie den Gerätetyp (PHYSISCH oder VIRTUELL) aus.
   
   
5. Wählen Sie die physische Domäne im Dropdown-Menü aus.
   
   
6. Wählen Sie den Modus aus.
   
   
7. Wählen Sie CISCO-ASA-1.2 aus dem Dropdown-Menü "Device Package" aus.
   
   
8. Wählen Sie das ASA Model aus dem Dropdown-Menü aus.
   
   
9. Wählen Sie den Funktionstyp aus (GoThrough ist transparenter Modus und GoTo ist Routed-Modus).
   
   
10. Wählen Sie eine Option APIC to Device Management Connectivity im Connectivity Area.
    
    
11. Geben Sie Ihren Benutzernamen und Ihr Kennwort im Bereich Anmeldeinformationen ein.
    
    
12. Geben Sie die IP-Adresse des Admin-Kontexts in das Feld Management IP Address (IP-Adresse) (zusammen mit dem Port) im Bereich Device 1 (Gerät 1) ein.
    
    
13. Erstellen Sie eine physische Schnittstelle, geben Sie einen Namen ein, wählen Sie die Schnittstellenrichtliniengruppe aus, die von der ASA verwendet wird, und wählen Sie dann Provider und Consumer aus.
    
    
14. Geben Sie die gleichen Informationen ein, die Sie für den Bereich Gerät 1 im Cluster-Bereich verwendet haben. Erstellen Sie zwei Cluster-Schnittstellen (ein Consumer und ein Anbieter), die auf denselben Port-Channel zeigen.
    
    

    Hinweis: Sie können die Verwendung des Assistenten jetzt beenden. Sie müssen keine der Failover-Informationen konfigurieren.

15. Stellen Sie sicher, dass das Gerät stabil ist und keine Fehler vorliegen:
    
    

Konfigurieren der Port-Channel-Parameter

Nach der Registrierung des Geräts in der Fabric kann der APIC die Konfiguration über die Geräteparameter übertragen. Nach der Registrierung müssen Sie zuerst den Port-Channel konfigurieren, der die ASA mit den Leaf-Switches in einem Virtual Port Channel (vPC) verbindet.

Um den Port-Channel zu konfigurieren, navigieren Sie zu dem von Ihnen erstellten Gerät, und klicken Sie in der oberen Ecke des Arbeitsbereichs auf die Registerkarte Parameter. Klicken Sie auf das Bleistiftsymbol, um die Parameter zu ändern:

Das Fenster Clusterparameter bearbeiten wird angezeigt. Klicken Sie auf PortChannel, um den Gültigkeitsbereich der Option einzuschränken. Erweitern Sie den Ordner Port Channel Member, und schließen Sie die Konfigurationsoptionen ab. Im Folgenden werden die einzelnen Optionen erläutert:

• Channel Group ID (Kanalgruppen-ID): Geben Sie im Feld Value (Wert) die PC-ID ein, die Sie den ASA-Schnittstellen zuweisen möchten (1 bis 48 werden unterstützt).
  
  
• Schnittstelle: Geben Sie im Feld Wert die Schnittstelle auf der ASA ein, die Sie der Kanalgruppe zuweisen möchten.

Wiederholen Sie diesen Vorgang für jede Schnittstelle, die Sie zuweisen möchten:

Nach Abschluss des Vorgangs sollte eine Port-Channel-Erstellung auf der ASA im Systemkontext angezeigt werden. Um dies zu überprüfen, rufen Sie den Systemkontext auf, und geben Sie den Befehl show port-channel summary ein:

ciscoasa# 

show port-channel summary

Flags:  D - down        P - bundled in port-channel
        I - stand-alone s - suspended
        H - Hot-standby (LACP only)
        U - in use      N - not in use, no aggregation/nameif
        M - not in use, no aggregation due to minimum links not met
        w - waiting to be aggregated
Number of channel-groups in use: 2
Group  Port-channel  Protocol  Span-cluster  Ports
------+-------------+---------+------------+-----------------------

27     Po27(N)           LACP          No     Gi0/4(P)   Gi0/5(P)

Hinzufügen des Benutzerkontexts als L4-L7-Gerät

Sie müssen den Benutzerkontext als L4-L7-Gerät in der Fabric registrieren. Navigieren Sie zu Tenant > L4-L7 Services > L4-L7 Devices, klicken Sie mit der rechten Maustaste, und wählen Sie Create a L4-L7 Device (L4-L7-Gerät erstellen) aus, und führen Sie dann die folgenden Schritte aus:

1. Klicken Sie im Bereich Allgemein auf das Kontrollkästchen Managed (Verwaltet), wenn es nicht bereits aktiviert ist.
   
   
2. Geben Sie den Gerätenamen ein.
   
   
3. Wählen Sie den Servicetyp aus dem Dropdown-Menü aus.
   
   
4. Wählen Sie den Gerätetyp aus.
   
   
5. Wählen Sie die physische Domäne im Dropdown-Menü aus.
   
   
6. Wählen Sie den Modus aus.
   
   
7. Wählen Sie CISCO-ASA-1.2 aus dem Dropdown-Menü Device Package (Gerätepaket) aus.
   
   
8. Wählen Sie das ASA Model aus dem Dropdown-Menü aus.
   
   
9. Wählen Sie eine Option APIC to Device Management Connectivity im Connectivity Area.
   
   
10. Wählen Sie den Funktionstyp aus (GoThrough ist transparenter Modus und GoTo ist Routed-Modus).
    
    
11. Geben Sie Ihren Benutzernamen und Ihr Kennwort im Bereich Anmeldeinformationen ein.
    
    
12. Geben Sie die IP-Adresse des Benutzerkontexts in das Feld Management IP Address (IP-Adresse) (zusammen mit dem Port) im Bereich Device 1 (Gerät 1) ein.
    
    
13. Erstellen Sie eine physische Schnittstelle, geben Sie einen Namen ein, wählen Sie die Schnittstellenrichtliniengruppe aus, die von der ASA verwendet wird, und wählen Sie dann Provider und Consumer aus.
    
    
14. Geben Sie die Management-IP-Adresse des Admin-Kontexts (zusammen mit dem Port) im Cluster-Bereich ein. Erstellen Sie zwei Cluster-Schnittstellen (ein Consumer und ein Anbieter), die auf denselben Port-Channel zeigen.
    
    

    Hinweis: Sie können die Verwendung des Assistenten jetzt beenden. Sie müssen keine der Failover-Informationen konfigurieren.

15. Stellen Sie sicher, dass das Gerät stabil ist und keine Fehler vorliegen:
    
    

Hinzufügen des NetScaler 1000V als L4-L7-Gerät

Der zweite Knoten in diesem Konfigurationsbeispiel ist ein NetScaler 1000V. NetScaler stellt den angeschlossenen Servern Load Balancing-Funktionen zur Verfügung. Sie müssen dieses Gerät auch beim APIC registrieren. Navigieren Sie zu Tenant > L4-L7 Services > L4-L7 Devices, klicken Sie mit der rechten Maustaste, und wählen Sie Create a L4-L7 Device (L4-L7-Gerät erstellen) aus, und führen Sie dann die folgenden Schritte aus:

1. Klicken Sie im Bereich Allgemein auf das Kontrollkästchen Managed (Verwaltet), wenn es nicht bereits aktiviert ist.
   
   
2. Geben Sie den Gerätenamen ein.
   
   
3. Wählen Sie den Servicetyp aus dem Dropdown-Menü aus (NetScaler ist ein ADC, oder Application Delivery Controller).
   
   
4. Wählen Sie den Gerätetyp aus.
   
   
5. Wählen Sie die VMM Domain (falls Virtual) aus dem Dropdown-Menü aus.
   
   
6. Wählen Sie den Modus aus.
   
   
7. Wählen Sie Cisco-NetScaler1KV-1.0 aus dem Dropdown-Menü Device Package (Gerätepaket) aus.
   
   
8. Wählen Sie das Modell aus dem Dropdown-Menü aus (Virtual Appliance ist das NetScaler-VPX).
   
   
9. Wählen Sie eine Option APIC to Device Management Connectivity im Connectivity Area.
   
   
10. Geben Sie Ihren Benutzernamen und Ihr Kennwort im Bereich Anmeldeinformationen ein.
    
    
11. Geben Sie die IP-Adresse des Admin-Kontexts in das Feld Management IP Address (IP-Adresse) (zusammen mit dem Port) im Bereich Device 1 (Gerät 1) ein. Wählen Sie das virtuelle System (falls virtuell) aus.
    
    
12. Erstellen Sie eine externe Schnittstelle im Bereich Device Interfaces (Geräteschnittstellen), und wählen Sie einen nicht verwendeten Netzwerkadapter aus.

    Hinweis: Netzwerkadapter 1 wird für Verwaltungszwecke verwendet. Verwenden Sie ihn daher nicht.

13. Erstellen Sie eine interne Schnittstelle im Bereich Device Interfaces (Geräteschnittstellen), und wählen Sie einen nicht verwendeten Netzwerkadapter aus.
    
    
14. Geben Sie die gleichen Informationen ein, die Sie für den Bereich Gerät 1 im Cluster-Bereich verwendet haben. Erstellen Sie zwei Cluster-Schnittstellen (einen Consumer und einen Anbieter).
    
    
    
    
15. Stellen Sie sicher, dass das Gerät stabil ist und keine Fehler vorliegen:
    
    

Erstellen der Servicediagrammvorlage

Nachdem die Geräte registriert sind, können Sie eine Servicediagrammvorlage erstellen. Navigieren Sie zu Tenant > L4-L7 Services > L4-L7 Service Graph Templates > Create L4-L7 Service Graph Template, und führen Sie die folgenden Schritte aus:

1. Geben Sie im Feld Diagrammname einen Namen ein.
   
   
2. Ziehen Sie die Geräte aus dem Bereich Device Clusters (Geräte-Cluster) in der Reihenfolge, in der sie bereitgestellt werden sollen. Geben Sie für jeden Namen einen Namen ein.
   
   
3. Wählen Sie die Funktion Profile für jedes Gerät aus. Für NetScaler wird in diesem Beispiel ein Zwei-Arm-Modus (oder Inline-Modus) verwendet.
   
   

Bereitstellen der Servicediagrammvorlage

Nachdem die Vorlage erstellt wurde, können Sie sie auf den Geräten bereitstellen. Navigieren Sie zu Tenant > L4-L7 Services > L4-L7 Service Graph Templates > Service Graph Template > Apply Service Graph Template.

Gehen Sie auf der Registerkarte Vertrag wie folgt vor:

1. Wählen Sie im Dropdown-Menü Consumer EPG/External Network (Consumer-EPG/Externes Netzwerk) die Consumer-EPG aus.
   
   
2. Wählen Sie im Dropdown-Menü Provider EPG/External Network die Provider EPG aus.
   
   
3. Erstellen Sie im Bereich Vertragsinformationen einen neuen Vertrag, oder wählen Sie einen bereits vorhandenen Vertrag aus.
   
   

Gehen Sie auf der Registerkarte Diagramm wie folgt vor:

1. Wählen Sie im Dropdown-Menü BD den BD für die externe ASA-Schnittstelle aus.
   
   
2. Wählen Sie im Dropdown-Menü BD den BD für die interne ASA-Schnittstelle aus.
   
   
3. Wählen Sie im Dropdown-Menü BD den BD für die externe NetScaler-Schnittstelle aus.
   
   
4. Wählen Sie im Dropdown-Menü BD den BD für die interne NetScaler-Schnittstelle aus.
   
   

Geben Sie auf der Registerkarte ASA-Parameter die gewünschten Parameter ein. Keine der Parameter auf dieser Registerkarte ist erforderlich.

Geben Sie auf der Registerkarte NetScaler Parameters die NetScaler-Konfiguration über den Assistenten ein:

Überprüfen

Für diese Konfiguration ist derzeit kein Überprüfungsverfahren verfügbar.

Fehlerbehebung

Dieser Abschnitt enthält Informationen, die Sie zur Fehlerbehebung in Ihrer Konfiguration verwenden können.

Bekannte Fehler

Im Folgenden sind zwei bekannte Fehler aufgeführt, die sich auf die in diesem Dokument beschriebenen Konfigurationen beziehen:

• Skriptwarnung: Entweder ist das Kabel falsch oder nicht am Schnittstellenanschluss angeschlossen:
  
  
  
  Um dieses Problem zu beheben, stellen Sie sicher, dass die Port-Channel-Parameter konfiguriert sind und der Port-Channel auf der ASA aktiv ist. Weitere Informationen zum Überprüfen finden Sie im Abschnitt Konfigurieren der Port-Channel-Parameter dieses Dokuments.
  
  Wenn die Schnittstelle aktiv ist, Sie diese Fehler jedoch immer noch sehen, ist dies wahrscheinlich auf die Cisco Bug-ID CSCuw56882 zurückzuführen. Dieser Fehler wurde in der Gerätepaket-Unterstützung 1.2.3 für die ACI-Softwareversion 1.2(x) behoben. Die Gerätepakete können hier heruntergeladen werden.
  
  
• Major Script Error: Verbindungsfehler: Client-Fehler 401: Nicht autorisiert:
  
  
  
  Um dieses Problem zu beheben, stellen Sie sicher, dass die richtigen Anmeldeinformationen auf den Geräten bereitgestellt und im APIC korrekt konfiguriert werden.