Configuration et déploiement d'un graphique de services à deux noeuds avec ASA Multi-Context et NetScaler 1000V

Options de téléchargement

  • PDF     (866.5 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (745.3 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (1.5 MB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:17 février 2016
ID du document:1455726115578440

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document décrit comment configurer et déployer un graphique de services à deux noeuds au sein de la plate-forme ACI (Application Centric Infrastructure) de Cisco. Les deux périphériques utilisés dans le graphique des services sont un appareil de sécurité adaptatif (ASA) Cisco physique qui fonctionne en mode transparent et un appareil virtuel Citrix NetScaler 1000V. 

Conditions préalables

Conditions requises

Cisco vous recommande de connaître ces rubriques avant de tenter la configuration décrite dans ce document :

  • Fabric Cisco ACI composé de deux commutateurs dorsaux et de deux commutateurs Leaf

  • Domaines gérés par les machines virtuelles Cisco (VMM)

  • Cisco ASA

  • Appareils virtuels NetScaler 1000V

Components Used

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Structure ACI composée de deux commutateurs dorsaux et de deux commutateurs Leaf qui exécutent le code version 1.1(4e) ou ultérieure, et du package de périphériques version 1.2 ou ultérieure

  • Un domaine VMM configuré dans l'ACI pour VMWare

  • Un ASA physique avec deux connexions (une connexion à chaque commutateur Leaf)

  • Appliance virtuelle NetScaler 1000V déployée dans VMWare vCenter

  • Un contrôleur Cisco APIC (Application Policy Infrastructure Controller)

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Configuration

Cette section décrit comment configurer les différents composants impliqués dans ce déploiement.

Configuration de l'ASA

Cette section décrit comment terminer la configuration sur l'ASA.

Activer la prise en charge multicontexte sur l'ASA

Pour créer plusieurs contextes sur l'ASA, vous devez activer la fonctionnalité. Connectez-vous à l'ASA et entrez cette commande en mode Configuration :

ciscoasa(config)#
 mode multiple
 [an error occurred while processing this directive]

Vous êtes alors invité à recharger. Une fois le périphérique rechargé, vous pouvez continuer à créer le contexte utilisateur.

Note: Un contexte Admin doit être créé avant les contextes Utilisateur. Ce document ne décrit pas comment créer le contexte Admin, mais plutôt le contexte Utilisateur. Pour plus d'informations sur la création du contexte Admin, référez-vous à la section Configuration de contextes multiples du Guide de configuration CLI de la gamme Cisco ASA, 9.0.

Configurer le contexte utilisateur sur l'ASA

Afin de créer le contexte Utilisateur sur l'ASA, entrez cette commande à partir du contexte système :

ciscoasa/admin# changeto context sys
ciscoasa(config)# context 
jristain    <--- This is the name of the desired context
 

Creating context 'jristain'... Done. (5)
ciscoasa(config-ctx)# allocate-interface Management0/1

ciscoasa(config-ctx)# config-url disk0:/
jristain
 
.cfg   
<--- "context-name.cfg"
 

WARNING: Could not fetch the URL disk0:/jristain.cfg
INFO: Creating context with default config
[an error occurred while processing this directive]

Cette configuration crée le contexte, alloue l'interface de gestion à utiliser dans ce contexte et spécifie un emplacement pour le fichier de configuration. Vous devez maintenant entrer ce contexte afin de configurer le bootstrap minimal requis pour que le contrôleur APIC puisse se connecter.

Configurer l'adresse IP de gestion pour le contexte utilisateur

Une fois le contexte Utilisateur créé, vous pouvez le modifier et configurer l'adresse IP de gestion sur l'interface allouée. Sélectionnez ces commandes :

ciscoasa(config-ctx)# changeto context jristain   <---- 
Drops into the user context
 

ciscoasa/jristain(config)# interface Management0/1
ciscoasa/jristain(config-if)# ip address 192.168.20.10 255.255.255.128
ciscoasa/jristain(config-if)# nameif management
INFO: Security level for "management" set to 0 by default.
ciscoasa/jristain(config-if)# security-level 100
ciscoasa/jristain(config-if)# exit
ciscoasa/jristain(config)# route management 0.0.0.0 0.0.0.0 192.168.20.1
ciscoasa/jristain(config)# exit
ciscoasa/jristain# copy running-config startup-config
[an error occurred while processing this directive]

Note: L'entrée name doit être management car c'est l'attente du package de périphérique. Si l'entrée name contient des caractères supplémentaires, vous verrez des erreurs dans le déploiement du périphérique L4-L7 dans l'APIC.

Configurer le démarrage requis pour le contrôleur APIC

Pour connecter le contrôleur APIC à l'ASA, une configuration minimale est requise. Cela inclut le serveur HTTP et un compte utilisateur pour le contrôleur APIC. Utilisez cette configuration dans le contexte Utilisateur :

ciscoasa/jristain(config)#username 
<username>
 
 password 
<password>
 

ciscoasa/jristain(config)#http server enable
ciscoasa/jristain(config)#http 0.0.0.0 0.0.0.0 management
[an error occurred while processing this directive]

Note: Entrez votre nom d'utilisateur et votre mot de passe dans les zones <nom d'utilisateur> et <mot de passe>.

Configurer le contrôleur APIC

Cette section décrit comment effectuer la configuration sur le contrôleur APIC.

Configurer les domaines de pont requis

Trois domaines de pont (BD) sont nécessaires pour déployer un graphique de services à deux noeuds.

Utilisez ces informations afin de configurer le BD pour l'interface ASA externe (consommateur) :

  • L2 Unknown Unicast - Inondation

  • Inondation ARP - activée

  • Le sous-réseau peut être configuré afin d'agir comme passerelle par défaut pour l'interface externe NetScaler avec Routage monodiffusion activé

Utilisez ces informations afin de configurer le BD qui est utilisé afin de connecter les deux périphériques :

  • L2 Unknown Unicast - Inondation

  • Inondation ARP - activée

  • Routage monodiffusion - Désactivé

Configurer les groupes de terminaux requis

Le graphique de service nécessite la configuration de deux groupes de terminaux (EPG) : un consommateur et un fournisseur. Le groupe de terminaux grand public doit utiliser la BD qui se connecte à l'interface ASA externe. L'EPG du fournisseur doit utiliser un BD qui se connecte aux serveurs d'extrémité.

Ajouter le contexte Admin en tant que périphérique L4-L7

Vous devez ajouter les contextes utilisateur et administrateur ASA au contrôleur APIC. Pour effectuer cette opération, accédez à Locataire > Services L4-L7 > Périphériques L4-L7, cliquez avec le bouton droit de la souris et sélectionnez Créer un périphérique L4-L7, puis procédez comme suit :

  1. Cochez la case Gestion dans la zone Général, si elle n'est pas déjà activée.

  2. Entrez le nom du périphérique.

  3. Sélectionnez le type de service dans le menu déroulant.

  4. Sélectionnez le type de périphérique (PHYSIQUE ou VIRTUEL).

  5. Sélectionnez le domaine physique dans le menu déroulant.

  6. Sélectionnez le mode.

  7. Sélectionnez CISCO-ASA-1.2 dans le menu déroulant Package de périphériques.

  8. Sélectionnez le modèle ASA dans le menu déroulant.

  9. Choisissez le type de fonction (GoThrough est transparent et GoTo est routé).

  10. Choisissez une option APIC to Device Management Connectivity dans la zone Connectivity.

  11. Entrez votre nom d'utilisateur et votre mot de passe dans la zone Informations d'identification.

  12. Entrez l'adresse IP du contexte Admin dans le champ Management IP Address (avec le port) de la zone Device 1.

  13. Créez une interface physique, donnez-lui un nom, choisissez le groupe de stratégies d'interface que l'ASA utilise, puis sélectionnez Fournisseur et consommateur.

  14. Entrez les mêmes informations que celles utilisées pour la zone Périphérique 1 dans la zone Cluster. Créez deux interfaces de cluster (un consommateur et un fournisseur) qui pointent vers le même canal de port.

    Note: Vous pouvez terminer l'utilisation de l'Assistant à ce stade. Vous n'avez pas besoin de configurer les informations de basculement.

  15. Vérifiez que le périphérique est stable et qu'il n'y a pas de défaillance :

Configurer les paramètres Port-Channel

Une fois le périphérique enregistré dans la structure, l'APIC peut transmettre la configuration via les paramètres du périphérique. Après l'enregistrement, vous devez d'abord configurer le port-channel qui connecte l'ASA aux commutateurs Leaf dans un Virtual Port Channel (vPC).

Afin de configurer le canal de port, accédez au périphérique que vous avez créé et cliquez sur l'onglet Paramètres dans le coin supérieur du volet de travail. Cliquez sur l'icône crayon afin de modifier les paramètres :

La fenêtre Modifier les paramètres du cluster apparaît. Cliquez sur PortChannel afin de limiter la portée de l'option. Développez le dossier Port Channel Member et complétez les options de configuration. Voici une explication de chaque option :

  • ID de groupe de canaux - Dans le champ Valeur, saisissez l'ID de PC que vous souhaitez attribuer aux interfaces de l'ASA (1 à 48 sont pris en charge).

  • Interface - Dans le champ Valeur, saisissez l'interface sur l'ASA que vous souhaitez affecter au groupe de canaux.

Répétez ce processus pour chaque interface que vous souhaitez affecter :

Une fois terminé, vous devriez voir une création de canal de port sur l'ASA dans le contexte du système. Afin de vérifier ceci, accédez au contexte système et entrez la commande show port-channel summary :

ciscoasa# 
show port-channel summary
 

Flags:  D - down        P - bundled in port-channel
        I - stand-alone s - suspended
        H - Hot-standby (LACP only)
        U - in use      N - not in use, no aggregation/nameif
        M - not in use, no aggregation due to minimum links not met
        w - waiting to be aggregated
Number of channel-groups in use: 2
Group  Port-channel  Protocol  Span-cluster  Ports
------+-------------+---------+------------+-----------------------
27     Po27(N)           LACP          No     Gi0/4(P)   Gi0/5(P)
 [an error occurred while processing this directive]

Ajouter le contexte utilisateur en tant que périphérique L4-L7

Vous devez enregistrer le contexte utilisateur en tant que périphérique L4-L7 dans le fabric. Accédez à Locataire > Services L4-L7 > Périphériques L4-L7, cliquez avec le bouton droit de la souris et sélectionnez Créer un périphérique L4-L7, puis complétez ces étapes :

  1. Cochez la case Gestion dans la zone Général, si elle n'est pas déjà activée.

  2. Entrez le nom du périphérique.

  3. Sélectionnez le type de service dans le menu déroulant.

  4. Sélectionnez le type de périphérique.

  5. Sélectionnez le domaine physique dans le menu déroulant.

  6. Sélectionnez le mode.

  7. Sélectionnez CISCO-ASA-1.2 dans le menu déroulant Device Package.

  8. Sélectionnez le modèle ASA dans le menu déroulant.

  9. Choisissez une option APIC to Device Management Connectivity dans la zone Connectivity.

  10. Choisissez le type de fonction (GoThrough est transparent et GoTo est routé).

  11. Entrez votre nom d'utilisateur et votre mot de passe dans la zone Informations d'identification.

  12. Entrez l'adresse IP du contexte Utilisateur dans le champ Management IP Address (Adresse IP de gestion) (avec le port) de la zone Device 1.

  13. Créez une interface physique, donnez-lui un nom, choisissez le groupe de stratégies d'interface que l'ASA utilise, puis sélectionnez Fournisseur et consommateur.

  14. Entrez l'adresse IP de gestion du contexte Admin (avec le port) dans la zone Cluster. Créez deux interfaces de cluster (un consommateur et un fournisseur) qui pointent vers le même canal de port.

    Note: Vous pouvez terminer l'utilisation de l'Assistant à ce stade. Vous n'avez pas besoin de configurer les informations de basculement.

  15. Vérifiez que le périphérique est stable et qu'il n'y a pas de défaillance :

Ajouter le NetScaler 1000V en tant que périphérique L4-L7

Le deuxième noeud de cet exemple de configuration est un NetScaler 1000V. NetScaler fournit des fonctionnalités d'équilibrage de charge aux serveurs connectés. Vous devez également enregistrer ce périphérique auprès du contrôleur APIC. Accédez à Locataire > Services L4-L7 > Périphériques L4-L7, cliquez avec le bouton droit de la souris et sélectionnez Créer un périphérique L4-L7, puis complétez ces étapes :

  1. Cochez la case Gestion dans la zone Général, si elle n'est pas déjà activée.

  2. Entrez le nom du périphérique.

  3. Sélectionnez le type de service dans le menu déroulant (NetScaler est un ADC, ou contrôleur de livraison d'applications).

  4. Sélectionnez le type de périphérique.

  5. Sélectionnez le domaine VMM (si virtuel) dans le menu déroulant.

  6. Sélectionnez le mode.

  7. Sélectionnez Cisco-NetScaler1KV-1.0 dans le menu déroulant Package de périphériques.

  8. Sélectionnez le modèle dans le menu déroulant (Virtual Appliance is the NetScaler-VPX).

  9. Choisissez une option APIC to Device Management Connectivity dans la zone Connectivity.

  10. Entrez votre nom d'utilisateur et votre mot de passe dans la zone Informations d'identification.

  11. Entrez l'adresse IP du contexte Admin dans le champ Management IP Address (avec le port) de la zone Device 1. Sélectionnez la machine virtuelle (si virtuelle).

  12. Créez une interface externe dans la zone Interfaces du périphérique et choisissez une carte réseau inutilisée.

    Note: L'adaptateur réseau 1 est utilisé à des fins de gestion. Ne l'utilisez donc pas.

  13. Créez une interface interne dans la zone Interfaces du périphérique et choisissez une carte réseau inutilisée.

  14. Entrez les mêmes informations que celles utilisées pour la zone Périphérique 1 dans la zone Cluster. Créez deux interfaces de cluster (un consommateur et un fournisseur).



  15. Vérifiez que le périphérique est stable et qu'il n'y a pas de défaillance :

Créer un modèle de graphique de service

Maintenant que les périphériques sont enregistrés, vous pouvez créer un modèle de graphique de service. Accédez à Service partagé > Services L4-L7 > Modèles de graphiques de services L4-L7 > Créer un modèle de graphique de services L4-L7, puis complétez ces étapes :

  1. Entrez un nom dans le champ Nom du graphique.

  2. Faites glisser et déposez les périphériques de la zone Clusters de périphériques dans l'ordre dans lequel ils doivent être déployés. Entrez un nom pour chaque.

  3. Choisissez le profil de fonction pour chaque périphérique. Pour NetScaler, cet exemple utilise le mode bibras (ou en ligne).

Déployer le modèle de graphique de services

Une fois le modèle créé, vous pouvez le déployer sur les périphériques. Accédez à Service partagé > Services de couches 4 à 7 > Modèles de graphiques de services de couches 4 à 7 > Modèle de graphique de services > Appliquer le modèle de graphique de services.

Dans l'onglet Contrat, procédez comme suit :

  1. Sélectionnez l'EPG consommateur dans le menu déroulant Consumer EPG / External Network.

  2. Sélectionnez l'EPG du fournisseur dans le menu déroulant Provider EPG / External Network.

  3. Créez un nouveau contrat ou choisissez-en un qui existe déjà dans la zone Informations sur le contrat.

Dans l'onglet Graphique, procédez comme suit :

  1. Sélectionnez le BD pour l'interface externe ASA dans le menu déroulant BD.

  2. Sélectionnez le BD pour l'interface interne ASA dans le menu déroulant BD.

  3. Sélectionnez le BD pour l'interface externe NetScaler dans le menu déroulant BD.

  4. Sélectionnez le BD pour l'interface interne de NetScaler dans le menu déroulant BD.

Dans l'onglet Paramètres ASA, saisissez les paramètres souhaités. Aucun des paramètres de cet onglet n'est requis.

Dans l'onglet Paramètres NetScaler, saisissez la configuration NetScaler via l'assistant :

Vérification

Aucune procédure de vérification n'est disponible pour cette configuration.

Dépannage

Cette section fournit des renseignements qui vous permettront de régler les problèmes de configuration.

Erreurs connues

Voici deux défauts connus liés aux configurations décrites dans ce document :

  • Avertissement de script : Le câble est incorrect ou n'est pas branché sur le connecteur d'interface :



    Afin de résoudre ce problème, assurez-vous que les paramètres port-channel sont configurés et que le port-channel est actif sur l'ASA. Référez-vous à la section Configurer les paramètres de canal de port de ce document pour plus d'informations sur la façon de vérifier ceci.

    Si l'interface est activée, mais que vous voyez toujours ces erreurs, elle est probablement due à l'ID de bogue Cisco CSCuw56882. Ce bogue est corrigé dans la prise en charge du package de périphériques 1.2(x) pour la version du logiciel ACI 1.2(x). Les paquets de périphériques peuvent être téléchargés ici.

  • Erreur de script majeure : Erreur de connexion : 401 Erreur client : Non autorisé :



    Afin de résoudre ce problème, assurez-vous que les informations d'identification appropriées sont provisionnées sur les périphériques et configurées correctement dans le contrôleur APIC.
TAC Authored

Contribution d’experts de Cisco

  • Joseph Ristaino
    Ingénieur TAC Cisco

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits