Konfigurieren von Catalyst Center-Schnittstelle und -Routing

Einleitung

In diesem Dokument werden das Design und die Konfiguration der Netzwerkeinstellungen für die Cisco Catalyst Center-Appliance beschrieben.

Voraussetzungen

Verwendete Komponenten

• Catalyst Center Version 2.3.5.5

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

Hintergrundinformationen

Die physischen Appliances stellen vier geroutete Schnittstellen bereit, jeweils mit einem primären und einem sekundären physischen Netzwerkadapter.  Der physische Standort dieser Netzwerkadapter variiert je nach Appliance-Modell, die logische Konfiguration ist jedoch identisch.  Bei der OVA der virtuellen Appliance wird nur ein virtueller Netzwerkadapter erstellt, bei Bedarf kann jedoch ein zweiter hinzugefügt werden.  Der Grund für die Bereitstellung mehrerer Adapter besteht darin, dass sie in verschiedenen Netzwerkarchitekturen für die erforderliche Flexibilität sorgen, um eine bidirektionale Kommunikation zwischen der Appliance, den von ihr verwalteten und/oder überwachten Netzwerkgeräten, den Systemadministratoren, die Zugriff auf die Lösung benötigen, externen Integrationen und den erforderlichen Cloud-Services zu ermöglichen.  Wir beginnen mit der Überprüfung dieser Schnittstellen und ihrer beabsichtigten Verwendung.

Schnittstellen

Enterprise (10 G erforderlich)

Die Enterprise-Schnittstelle ist ein 10-Gigabit-Port auf der physischen Appliance und ist dem ersten virtuellen Adapter in der virtuellen Appliance zugeordnet. 

Es handelt sich hierbei um die primäre Schnittstelle für die Kommunikation mit Ihren Geräten. In vielen Implementierungen ist es möglicherweise die einzige Schnittstelle, die für die gesamte Netzwerkkommunikation verwendet wird.

Cluster (10 G erforderlich, VA intern)

Die Cluster-Schnittstelle ist ebenfalls ein 10-Gigabit-Port auf der physischen Appliance, auf der virtuellen Appliance ist dies jedoch keinem virtuellen Adapter zugeordnet. 

Sie wird nur für die Kommunikation zwischen Catalyst Center-Appliances in einem HA-Cluster verwendet und muss einer IP-Adresse aus einem Subnetz zugewiesen werden, das sonst im Netzwerk nicht verwendet wird.

Dieser Port muss mit einer während der Installation konfigurierten IP-Adresse verbunden sein.

Management (1G/10G optional)

Die Management-Schnittstelle ist ein 1-Gigabit-Port am primären Netzwerkadapter und ein 10-Gigabit-Port am sekundären Adapter.

Wenn einer virtuellen Appliance ein zweiter virtueller Adapter hinzugefügt wird, wird er der Management-Schnittstelle zugeordnet. 

Einige Umgebungen haben strenge Netzwerkgrenzen, die erfordern, dass die Enterprise-Schnittstelle in einem sicheren Netzwerk platziert wird, um Ihren Bestand zu verwalten. Dies erschwert dann den Catalyst Center-Administratoren und -Benutzern den Zugriff darauf. 

Die Management-Schnittstelle bietet diesen Kunden die Möglichkeit, eine zweite erreichbare IP-Adresse zu konfigurieren.

Internet/Cloud (1G/10G optional, VA nicht zutreffend)

Der Internet-Port ist ein 1- oder 10-Gigabit-Port auf den physischen Appliances, ähnlich dem Management-Port, gilt jedoch nicht für die virtuelle Appliance.  In vielen Umgebungen ist der Zugriff auf das Internet oder andere externe Dienste auf bestimmte Netzwerke wie eine DMZ beschränkt. Für diese Verbindung kann die Internet- oder Cloud-Schnittstelle verwendet werden.

Jede dieser Schnittstellen kann im Maglev-Konfigurationsassistenten mit einer IP-Adresse, einer Subnetzmaske, einem Standard-Gateway, DNS-Servern und einer oder mehreren statischen Routen konfiguriert werden.  Es kann jedoch nur eine Schnittstelle mit einem Standard-Gateway und DNS-Servern konfiguriert werden. Alle verbleibenden Schnittstellen verwenden nur statische Routen, und die Cluster-Schnittstelle hat überhaupt keine Routen.

Konfigurieren

MAGLEV Konfigurationsassistent

Der Konfigurationsassistent von Maglev kann entweder während der Erstinstallation oder durch eine spätere Verbindung mit dem CIMC KVM und die Ausführung des Befehls sudo maglev-config update aufgerufen werden. Es gibt jedoch bestimmte Einstellungen, die nach der Installation nicht geändert werden können, wie im Installationshandbuch unter https://www.cisco.com/c/en/us/td/docs/cloud-systems-management/network-automation-and-management/dna-center/2-3-5/install_guide/2ndgen/b_cisco_dna_center_install_guide_2_3_5_2ndGen/m_troubleshoot_deployment_2_3_5_2ndgen.html?bookSearch=true#task_c3x_ycw_sfb beschrieben.

Zusätzlich zu den zuvor genannten Feldern können Sie virtuelle IP-Adressen (oder VIPs) für jede Schnittstelle konfigurieren, für die eine IP konfiguriert ist. 

Die VIP-Konfiguration ist für eine Einzelknoten-Bereitstellung optional, für die Bereitstellung eines Clusters mit drei Knoten jedoch erforderlich. 

Die Konfigurationen steuern die Art und Weise, wie die Appliance Verbindungen initiiert (Outbound-Routing) und wie die Geräte konfiguriert werden, um ihre eigenen Verbindungen mit Catalyst Center zu initiieren (Inbound-Routing).

Outbound-Routing

Das Outbound-Routing, das für alle von der Appliance initiierten Netzwerkkommunikationen gilt, ist unkompliziert. 

Die verbundenen Subnetze, statischen Routen und Standard-Gateway-Einstellungen aller im Assistenten konfigurierten Schnittstellen werden in einer gemeinsam genutzten Routing-Tabelle gespeichert. 

Wenn eine ausgehende Verbindung hergestellt wird, wird die Ziel-IP-Adresse in dieser Routing-Tabelle gesucht, um die Ausgangsschnittstelle und den Next-Hop-Router zu identifizieren. 

Die Quell-IP-Adresse ist die auf der Schnittstelle selbst konfigurierte lokale IP, nicht die VIP-Adresse. 

Hinweis: Dies gilt für den gesamten Datenverkehr (einschließlich DNS- und NTP-Server), unabhängig davon, auf welchen Schnittstellen diese Server im Assistenten konfiguriert sind.

Eingehendes Routing

Eingehendes Routing wird auf verwalteten Geräten konfiguriert, um zu steuern, wie diese Verbindungen mit Catalyst Center initiieren. 

Geräte und Clients müssen über dieselbe Eingangsoberfläche auf Catalyst Center zugreifen, auf die die ausgehende Routing-Tabelle für ihre IP-Adresse verweist. 

Wenn beispielsweise ein Client versucht, eine Verbindung zur Enterprise-Schnittstelle herzustellen, während die Routing-Tabelle für die Client-IP-Adresse auf die Management-Schnittstelle verweist, wird der Datenverkehr verworfen. 

Aus diesem Grund verwendet das System eine ausgehende Routing-Suche für die Management-IP jedes Bestandsgeräts, um die richtige Schnittstelle zu identifizieren, und konfiguriert das Gerät dann so, dass es die VIP dieser Schnittstelle für die Verbindung mit Catalyst Center verwendet. 

Wenn keine VIPs konfiguriert sind (bei einer Installation mit einem Knoten), wird stattdessen die lokale IP-Adresse der Schnittstelle verwendet.  Bei einer reinen FQDN-Zertifikatbereitstellung wird der Cluster-FQDN auf den Geräten konfiguriert.  In diesem Fall muss die DNS-Architektur sicherstellen, dass die richtige Schnittstellen-VIP oder -IP vom Client aufgelöst wird. 

Bei Disaster Recovery-Bereitstellungen wird das Disaster Recovery VIP immer konfiguriert, wenn vorhanden.  Wenn kein VIP für die Notfallwiederherstellung konfiguriert ist, wird das VIP des aktuellen aktiven Clusters konfiguriert.

Basierend auf all diesen Informationen wird im Folgenden erläutert, welche Schnittstellen in Ihrer Umgebung benötigt werden und wie die zugehörigen Routen konfiguriert werden.  

• Bestimmen Sie, welches Ihrer verfügbaren IP-Netzwerke Zugriff auf das Internet und andere externe Dienste hat.  
• Bestimmen Sie, welches IP-Netzwerk Zugriff auf die verwalteten Geräte hat.
• Überprüfen Sie, auf welches IP-Netzwerk Ihre Administratoren zugreifen können. 

Wenn alle drei (3) dieser Rollen von einem einzigen IP-Netzwerk aus ausgeführt werden können, müssen Sie nur den Enterprise-Port mit einem Standard-Gateway verwenden. 

Wenn zwei (2) dieser Rollen in verschiedenen Netzwerken ausgeführt werden müssen, verwenden Sie den Enterprise-Port und entweder einen der Management- oder Internet-Ports. 

Einem Port ist das Standard-Gateway zugewiesen, während der andere statische Routen nutzt. 

Wenn für jede Rolle ein eigenes IP-Netzwerk erforderlich ist, werden alle drei Ports (Enterprise, Management und Internet) verwendet. 

Das Standard-Gateway wird dem Internet-Port zugewiesen.

Statische Routen zu Ihren Administratornetzwerken müssen auf dem Management-Port konfiguriert werden.

Statische Routen zu allen Gerätemanagement-Netzwerken müssen auf dem Enterprise-Port konfiguriert werden.