Configurazione e distribuzione di un grafico dei servizi a due nodi con ASA Multi-Context e NetScaler 1000V

Opzioni per il download

  • PDF     (865.2 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (743.7 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.5 MB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:17 febbraio 2016
ID documento:200360

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Introduzione

In questo documento viene descritto come configurare e distribuire un grafico dei servizi a due nodi nella piattaforma Cisco Application Centric Infrastructure (ACI). I due dispositivi utilizzati nel grafico dei servizi sono un'appliance Cisco Adaptive Security Appliance (ASA) fisica in modalità trasparente e un'appliance virtuale Citrix NetScaler 1000V. 

Prerequisiti

Requisiti

Cisco raccomanda la conoscenza dei seguenti argomenti prima di provare la configurazione descritta in questo documento:

  • Fabric Cisco ACI costituiti da due switch con spine e due switch foglia

  • Domini Cisco Virtual Machine Managed (VMM)

  • Cisco ASA

  • Appliance virtuale NetScaler 1000V

Componenti usati

Le informazioni di questo documento si basano sulle seguenti versioni hardware e software:

  • Fabric ACI costituito da due switch a dorso e due switch foglia che eseguono il codice versione 1.1(4e) o successive e il pacchetto del dispositivo versione 1.2 o successive

  • Dominio VMM configurato nell'ACI per VMWare

  • Un'ASA fisica con due connessioni (una per ciascuno switch foglia)

  • Appliance virtuale NetScaler 1000V implementata in VMWare vCenter

  • Controller APIC (Cisco Application Policy Infrastructure)

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Configurazione

In questa sezione viene descritto come configurare i vari componenti coinvolti nella distribuzione.

Configurazione dell'ASA

In questa sezione viene descritto come completare la configurazione sull'appliance ASA.

Abilitazione del supporto multi-contesto sull'appliance ASA

Per creare più contesti sull'appliance ASA, occorre abilitare la funzione. Accedere all'ASA e immettere questo comando in modalità di configurazione:

ciscoasa(config)#
 mode multiple
 [an error occurred while processing this directive]

Viene quindi richiesto di ricaricare. Una volta ricaricato il dispositivo, è possibile continuare a creare il contesto utente.

Nota: È necessario creare un contesto Admin prima dei contesti utente. In questo documento non viene descritto come creare il contesto Admin, bensì il contesto User. Per ulteriori informazioni su come creare il contesto Admin, fare riferimento alla sezione Configurazione di più contesti della Cisco ASA Series CLI Configuration Guide, 9.0.

Configurazione del contesto utente sull'appliance ASA

Per creare il contesto utente sull'appliance ASA, immettere questi comandi dal contesto System:

ciscoasa/admin# changeto context sys
ciscoasa(config)# context 
jristain    <--- This is the name of the desired context
 

Creating context 'jristain'... Done. (5)
ciscoasa(config-ctx)# allocate-interface Management0/1

ciscoasa(config-ctx)# config-url disk0:/
jristain
 
.cfg   
<--- "context-name.cfg"
 

WARNING: Could not fetch the URL disk0:/jristain.cfg
INFO: Creating context with default config
[an error occurred while processing this directive]

Questa configurazione crea il contesto, alloca l'interfaccia di gestione da utilizzare in questo contesto e specifica una posizione per il file di configurazione. A questo punto, è necessario immettere questo contesto per configurare il bootstrap minimo necessario per la connessione dell'APIC.

Configurare l'indirizzo IP di gestione per il contesto utente

Una volta creato il contesto utente, è possibile modificarlo e configurare l'indirizzo IP di gestione sull'interfaccia allocata. Immettere i seguenti comandi:

ciscoasa(config-ctx)# changeto context jristain   <---- 
Drops into the user context
 

ciscoasa/jristain(config)# interface Management0/1
ciscoasa/jristain(config-if)# ip address 192.168.20.10 255.255.255.128
ciscoasa/jristain(config-if)# nameif management
INFO: Security level for "management" set to 0 by default.
ciscoasa/jristain(config-if)# security-level 100
ciscoasa/jristain(config-if)# exit
ciscoasa/jristain(config)# route management 0.0.0.0 0.0.0.0 192.168.20.1
ciscoasa/jristain(config)# exit
ciscoasa/jristain# copy running-config startup-config
[an error occurred while processing this directive]

Nota: La voce nameif deve essere management perché questa è la previsione del pacchetto del dispositivo. Se la voce nameif contiene caratteri aggiuntivi, verranno visualizzati errori nella distribuzione del dispositivo L4-L7 nell'APIC.

Configurazione del bootstrap richiesto per l'interfaccia APIC

Per collegare l'APIC all'appliance ASA, è necessaria una configurazione minima. Sono inclusi il server HTTP e un account utente per APIC. Utilizzare questa configurazione nel contesto utente:

ciscoasa/jristain(config)#username 
<username>
 
 password 
<password>
 

ciscoasa/jristain(config)#http server enable
ciscoasa/jristain(config)#http 0.0.0.0 0.0.0.0 management
[an error occurred while processing this directive]

Nota: Immettere il nome utente e la password desiderati nelle aree <username> e <password>.

Configurazione dell'APIC

Questa sezione descrive come completare la configurazione sull'APIC.

Configurare i domini bridge richiesti

Per distribuire un grafico del servizio a due nodi, sono necessari tre domini di bridge (BD).

Per configurare la porta BD per l'interfaccia ASA esterna (utente), usare queste informazioni:

  • Unicast L2 sconosciuto - Inondazione

  • Inondazione ARP - Abilitato

  • La subnet può essere configurata in modo da fungere da gateway predefinito per l'interfaccia esterna NetScaler con routing unicast abilitato

Utilizzare queste informazioni per configurare il BD utilizzato per collegare i due dispositivi:

  • Unicast L2 sconosciuto - Inondazione

  • Inondazione ARP - Abilitato

  • Routing unicast - Disabilitato

Configurare i gruppi di endpoint richiesti

Il grafico del servizio richiede la configurazione di due gruppi di endpoint (EPG, Endpoint Group): un consumatore e un fornitore. L'EPG consumer deve utilizzare il BD che si connette all'interfaccia ASA esterna. Il provider EPG deve utilizzare un BD che si connetta ai server finali.

Aggiungere il contesto di amministrazione come dispositivo L4-L7

È necessario aggiungere i contesti ASA Admin e User all'APIC. Per completare questa operazione, selezionare Tenant > Servizi L4-L7 > Dispositivi L4-L7, fare clic con il pulsante destro del mouse e selezionare Crea dispositivo L4-L7, quindi completare i seguenti passaggi:

  1. Fare clic sulla casella di controllo Gestito nell'area Generale, se non è già attivata.

  2. Immettere il nome del dispositivo.

  3. Selezionare il Tipo di servizio dal menu a discesa.

  4. Scegliere il tipo di dispositivo (FISICO o VIRTUALE).

  5. Selezionare il Dominio fisico dal menu a discesa.

  6. Scegliere la Modalità.

  7. Selezionare CISCO-ASA-1.2 dal menu a discesa Device Package.

  8. Selezionare il modello ASA dal menu a discesa.

  9. Scegliere il tipo di funzione (GoThrough è in modalità trasparente e GoTo è in modalità instradata).

  10. Scegliere un'opzione APIC per Connettività gestione dispositivi nell'area Connettività.

  11. Immettere il nome utente e la password nell'area Credenziali.

  12. Immettere l'indirizzo IP del contesto Admin nel campo Management IP Address (insieme alla porta) nell'area Device 1.

  13. Creare un'interfaccia fisica, assegnarle un nome, scegliere il gruppo di criteri di interfaccia usato dall'ASA, quindi selezionare Provider e consumer.

  14. Immettere le stesse informazioni utilizzate per l'area Periferica 1 nell'area Cluster. Creare due interfacce cluster (un consumer e un provider) che puntano allo stesso canale porta.

    Nota: È possibile completare l'utilizzo della procedura guidata. Non è necessario configurare le informazioni di failover.

  15. Verificare che il dispositivo sia stabile e che non vi siano errori:

Configurazione dei parametri Port-Channel

Dopo aver registrato il dispositivo nell'infrastruttura, l'APIC può eseguire il push della configurazione tramite i parametri del dispositivo. Dopo la registrazione, è necessario configurare il canale della porta che connette l'ASA agli switch foglia in un Virtual Port Channel (vPC).

Per configurare il canale della porta, passare al dispositivo creato e fare clic sulla scheda Parametri nell'angolo superiore del riquadro di lavoro. Per modificare i parametri, fare clic sull'icona matita:

Viene visualizzata la finestra Modifica parametri cluster. Fare clic su PortChannel per limitare l'ambito dell'opzione. Espandere la cartella Port Channel Member e completare le opzioni di configurazione. Di seguito è riportata la spiegazione di ciascuna opzione:

  • ID gruppo canali: nel campo Value (Valore), immettere l'ID PC che si desidera assegnare alle interfacce sull'appliance ASA (sono supportati i numeri da 1 a 48).

  • Interfaccia: nel campo Value (Valore), immettere l'interfaccia sull'appliance ASA che si desidera assegnare al gruppo di canali.

Ripetere questa procedura per ciascuna interfaccia da assegnare:

Al termine, sul dispositivo ASA viene creata una porta-canale nel contesto del sistema. Per verificare questa condizione, accedere al contesto del sistema e immettere il comando show port-channel summary:

ciscoasa# 
show port-channel summary
 

Flags:  D - down        P - bundled in port-channel
        I - stand-alone s - suspended
        H - Hot-standby (LACP only)
        U - in use      N - not in use, no aggregation/nameif
        M - not in use, no aggregation due to minimum links not met
        w - waiting to be aggregated
Number of channel-groups in use: 2
Group  Port-channel  Protocol  Span-cluster  Ports
------+-------------+---------+------------+-----------------------
27     Po27(N)           LACP          No     Gi0/4(P)   Gi0/5(P)
 [an error occurred while processing this directive]

Aggiungere il contesto utente come dispositivo L4-L7

È necessario registrare il contesto utente come dispositivo L4-L7 nella struttura. Passare a Tenant > Servizi L4-L7 > Dispositivi L4-L7, fare clic con il pulsante destro del mouse e selezionare Crea un dispositivo L4-L7, quindi completare i seguenti passaggi:

  1. Fare clic sulla casella di controllo Gestito nell'area Generale, se non è già attivata.

  2. Immettere il nome del dispositivo.

  3. Selezionare il Tipo di servizio dal menu a discesa.

  4. Scegliere il tipo di dispositivo.

  5. Selezionare il Dominio fisico dal menu a discesa.

  6. Scegliere la Modalità.

  7. Selezionare CISCO-ASA-1.2 dal menu a discesa Device Package.

  8. Selezionare il modello ASA dal menu a discesa.

  9. Scegliere un'opzione APIC per Connettività gestione dispositivi nell'area Connettività.

  10. Scegliere il tipo di funzione (GoThrough è in modalità trasparente e GoTo è in modalità instradata).

  11. Immettere il nome utente e la password nell'area Credenziali.

  12. Immettere l'indirizzo IP del contesto utente nel campo Indirizzo IP di gestione (insieme alla porta) nell'area Dispositivo 1.

  13. Creare un'interfaccia fisica, assegnarle un nome, scegliere il gruppo di criteri di interfaccia usato dall'ASA, quindi selezionare Provider e consumer.

  14. Immettere l'indirizzo IP di gestione del contesto di amministrazione (insieme alla porta) nell'area Cluster. Creare due interfacce cluster (un consumer e un provider) che puntano allo stesso canale porta.

    Nota: È possibile completare l'utilizzo della procedura guidata. Non è necessario configurare le informazioni di failover.

  15. Verificare che il dispositivo sia stabile e che non vi siano errori:

Aggiungere NetScaler 1000V come dispositivo L4-L7

Il secondo nodo di questo esempio di configurazione è un NetScaler 1000V. NetScaler fornisce funzionalità di bilanciamento del carico ai server connessi. È necessario registrare il dispositivo anche con l'APIC. Passare a Tenant > Servizi L4-L7 > Dispositivi L4-L7, fare clic con il pulsante destro del mouse e selezionare Crea un dispositivo L4-L7, quindi completare i seguenti passaggi:

  1. Fare clic sulla casella di controllo Gestito nell'area Generale, se non è già attivata.

  2. Immettere il nome del dispositivo.

  3. Selezionare il Tipo di servizio dal menu a discesa (NetScaler è un ADC, o Application Delivery Controller).

  4. Scegliere il tipo di dispositivo.

  5. Selezionare il dominio VMM (se virtuale) dal menu a discesa.

  6. Scegliere la Modalità.

  7. Selezionare Cisco-NetScaler1KV-1.0 dal menu a discesa Device Package.

  8. Selezionare il modello dal menu a discesa (Virtual Appliance è NetScaler-VPX)

  9. Scegliere un'opzione APIC per Connettività gestione dispositivi nell'area Connettività.

  10. Immettere il nome utente e la password nell'area Credenziali.

  11. Immettere l'indirizzo IP del contesto Admin nel campo Management IP Address (insieme alla porta) nell'area Device 1. Scegliere la VM (se virtuale).

  12. Creare un'interfaccia esterna nell'area Interfacce dispositivo e scegliere una scheda di rete inutilizzata.

    Nota: La scheda di rete 1 viene utilizzata a scopo di gestione, quindi non utilizzarla.

  13. Creare un'interfaccia interna nell'area Interfacce dispositivo e scegliere una scheda di rete inutilizzata.

  14. Immettere le stesse informazioni utilizzate per l'area Periferica 1 nell'area Cluster. Creare due interfacce cluster (un consumer e un provider).



  15. Verificare che il dispositivo sia stabile e che non vi siano errori:

Creazione del modello di grafico del servizio

Dopo aver registrato i dispositivi, è possibile creare un modello di Service Graph. Passare a Tenant > Servizi L4-L7 > Modelli grafico servizi L4-L7 > Crea modello grafico servizi L4-L7 e completare i seguenti passaggi:

  1. Immettere un nome nel campo Nome grafico.

  2. Trascinare i dispositivi dall'area Cluster dispositivi nell'ordine in cui devono essere distribuiti. Immettete un nome per ciascuno di essi.

  3. Scegliere la funzione Profilo per ciascun dispositivo. Per il modello NetScaler, in questo esempio viene utilizzata la modalità Due bracci (o Inline).

Distribuire il modello di Service Graph

Dopo aver creato il modello, è possibile distribuirlo nei dispositivi. Passare a Tenant > Servizi L4-L7 > Modelli grafico servizi L4-L7 > Modello grafico servizi > Applica modello grafico servizi.

Nella scheda Contratto eseguire i passaggi seguenti:

  1. Selezionare l'EPG consumer dal menu a discesa EPG consumer / Rete esterna.

  2. Selezionare il provider EPG dal menu a discesa Provider EPG / External Network.

  3. Creare un nuovo contratto o sceglierne uno già esistente nell'area Informazioni contratto.

Nella scheda Grafico effettuare le seguenti operazioni:

  1. Selezionare BD per l'interfaccia esterna ASA dal menu a discesa BD.

  2. Selezionare BD For the ASA internal interface (BD per l'interfaccia interna ASA) dal menu a discesa BD (BD).

  3. Selezionare BD per l'interfaccia esterna NetScaler dal menu a discesa BD.

  4. Selezionare BD per l'interfaccia interna di NetScaler dal menu a discesa BD.

Nella scheda Parametri ASA, immettere i parametri desiderati. Nessuno dei parametri di questa scheda è obbligatorio.

Nella scheda Parametri NetScaler, immettere la configurazione di NetScaler tramite la procedura guidata:

Verifica

Attualmente non è disponibile una procedura di verifica per questa configurazione.

Risoluzione dei problemi

Le informazioni contenute in questa sezione permettono di risolvere i problemi relativi alla configurazione.

Errori noti

Di seguito sono riportati due errori noti relativi alle configurazioni descritte nel presente documento:

  • Avviso script: Il cavo non è corretto o non è collegato al connettore di interfaccia:



    Per risolvere questo problema, verificare che i parametri del canale della porta siano configurati e che il canale della porta sia attivo sull'appliance ASA. Per informazioni su come verificare questa condizione, consultare la sezione Configurazione dei parametri del canale della porta di questo documento.

    Se l'interfaccia è attiva, ma vengono ancora visualizzati questi errori, è probabile che sia dovuto all'ID bug Cisco CSCuw56882. Il bug è stato risolto nella versione 1.2.3 del software ACI in uso. I pacchetti del dispositivo possono essere scaricati qui.

  • Errore script principale: Errore di connessione: Errore client 401: Non autorizzato:



    Per risolvere il problema, verificare che le credenziali corrette siano state fornite sui dispositivi e configurate correttamente nell'APIC.
TAC Authored

Contributo dei tecnici Cisco

  • Joseph Ristaino
    Cisco TAC Engineer

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci

Questo documento si applica a questi prodotti