Configurazione di criteri di accesso, binding statico (percorsi), L2Out, L3Out e integrazione VMM (vDS)

Opzioni per il download

  • PDF     (108.5 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (97.8 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (90.9 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:27 novembre 2018
ID documento:200964

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento viene descritta la configurazione dei criteri di accesso, dell'associazione statica (percorsi) o del layer 2 all'esterno (L2Out) tramite il metodo di associazione statica, dell'associazione L2Out tramite il metodo Routed Bridged Network, del layer 3 all'esterno (L3Out) e dell'integrazione Virtual Machine Manager (VMM) con uno switch distribuito vSphere (vDS) dal basso verso l'alto, a partire da Selettore interfaccia tramite l'interfaccia grafica di Application Policy Infrastructure Controller (APIC) senza utilizzare le procedure guidate QuickStart.

    Tuttavia, il presente documento è valido a partire dalla versione 2.0(1q); ci sono alcune differenze nella configurazione per 2.1(1h).

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    • Conoscenze base della tecnologia ACI (Cisco Application Centric Infrastructure)

    Componenti usati

    Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

    • Immagine Cisco Application Policy Infrastructure Controller (APIC) versione 2.0(1q)
    • Software Cisco Nexus serie 9000 ACI Mode Switch versione 12.0(1q)

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Topologia di esempio

    Questa topologia viene utilizzata per tutti questi esempi. La periferica esterna può essere lo switch esterno, il server bare metal, il router esterno o il vDS.

    Criteri di accesso per la connettività tramite dominio fisico

    Nota: I nomi di esempio per i criteri sono denominati in base allo scopo della connessione. Ad esempio, se N3K si connette fisicamente a uno switch Nexus 3000 (N3K). Non è necessario rispettare rigorosamente la convenzione di denominazione.

    Istruzioni di alto livello

    1. Configurare i selettori dei profili e delle interfacce.

    2. Configurare il gruppo di criteri di interfaccia.

    3. Configurare Switch Profile e associare Interface Selector a Switch Profile.

    4. (Facoltativo) Configurare i criteri di sicurezza del canale della porta virtuale se si configura un canale della porta virtuale (vPC).

    5. Configurare il profilo dell'entità di accesso collegabile e associare il profilo dell'entità di accesso collegabile al gruppo di criteri di interfaccia.

    6. Configurare il dominio e il pool VLAN e associarli al profilo dell'entità di accesso collegabile al dominio.

    Istruzioni dettagliate

    1. Passare a Fabric > Criteri di accesso.

    2. Selezionare Interfaccia > Profili > Profili foglia.

    3. Fare clic con il pulsante destro del mouse su Profili foglia e selezionare Crea profilo interfaccia foglia. Immettere un nome, ad esempio N3K).

    4. Fare clic sul segno + accanto a Selettori interfaccia. Immettere un nome, ad esempio N3K) e gli ID di interfaccia (ad esempio 1/1).

    5. Fare clic su OK, quindi su Invia.

    6. Passare a Criteri interfaccia > Gruppi di criteri > Gruppi di criteri foglia.

    7. Fare clic con il pulsante destro del mouse su Leaf Policy Groups e selezionare l'opzione appropriata per un'interfaccia singola, port-channel o vPC; immettere un nome, ad esempio N3K) e selezionare o creare i criteri appropriati.

    8. Fare clic su Invia.

    9. Tornare a Criteri interfaccia > Profili > Profili foglia > N3K (Profilo interfaccia foglia) > N3K (Selettore porte di accesso).

    10. Utilizzare l'elenco a discesa per selezionare il Gruppo di criteri da associare (ad esempio N3K).

    11. Fare clic su Invia.

    12. Passare a Cambia criteri > Profili > Profili foglia.

    13. Fare clic con il pulsante destro del mouse su Profili foglia e selezionare Crea profilo foglia. Immettere un nome, ad esempio Leaf101).

    14. Fare clic sul segno + accanto a Selettori foglia. Immettere un nome, ad esempio Leaf101) e utilizzare l'elenco a discesa in Blocchi per selezionare gli switch da associare.

    15. Fare clic su Aggiorna, Avanti e quindi su Fine.

    16. I passaggi 17 e 19 sono necessari solo se si configura un vPC.

    17. (Facoltativo) Passare a Switch Policies > Policies > Virtual Port Channel default (Criteri switch > Criteri > Canale porta virtuale predefinito).

    18. (Facoltativo) Fare clic sul segno + accanto a Gruppi protezione VPC espliciti. Immettere un nome, ad esempio Leaf101-Leaf102), ID (es. 100) e utilizzare gli elenchi a discesa per selezionare lo switch 1 (ad esempio 101) e lo switch 2 (ad esempio, 102).

    19. (Facoltativo) Fare clic su Invia.
    20. Selezionare Leaf101 (Profilo foglia).

    21. Fare clic sul segno + accanto a Profili selettori interfaccia associati; utilizzare l'elenco a discesa per selezionare il profilo di interfaccia da associare (ad esempio N3K).

    22. Fare clic su Invia.

    23. Passare a Criteri globali > Profili entità accesso collegabile.

    24. Fare clic con il pulsante destro del mouse su Profili entità di accesso collegabili e scegliere Crea profilo entità di accesso collegabile. Immettere un nome, ad esempio N3K).

    25. Fare clic su Avanti e quindi su Fine
      .
    26. Tornare a Interfaccia Criteri > Gruppi di criteri > Gruppi di criteri foglia > N3K (Gruppo di criteri).

    27. Utilizzare l'elenco a discesa Profilo entità collegata e selezionare il Profilo entità accesso collegabile da associare, ad esempio N3K).

    28. Fare clic su Invia.

    29. Passare a Domini fisici ed esterni > Domini fisici.

    30. Fare clic con il pulsante destro del mouse su Physical Domains (Domini fisici), quindi fare clic su in Create Physical Domain (Crea dominio fisico); immettere un nome, ad esempio N3K), utilizzare l'elenco a discesa per associare il profilo entità collegabile associato (ad esempio N3K), utilizzare il menu a discesa per creare il pool di VLAN.

    31. Inserire un nome (es. N3K) e scegliere l'allocazione dinamica/statica appropriata.

    32. Fare clic sul segno + accanto a Incapsula blocchi. Immettere i numeri di VLAN e scegliere l'allocazione dinamica/statica appropriata.

    33. Fare clic su OK, quindi su Invia e infine su Invia.

    Binding statico (percorsi) per server bare-metal o configurazione L2Out con il metodo di binding statico

    Configurazione L2Out con i prerequisiti del metodo di binding statico

    Si presume che siano stati creati il gruppo di endpoint (EPG), il dominio bridge (BD) e il VRF e che il BD sia impostato sulla modalità layer 2 (L2) (deselezionare Unicast Routing in Configurazioni L3 e impostare tutte le opzioni in Principale su Inondazione).

    Istruzioni di alto livello

    1. Configurare i criteri di accesso.

    2. Associa dominio a EPG.

    3. Configurare il binding statico (percorsi) ai server bare-metal o allo switch L2Out.

    Istruzioni dettagliate

    1. Completare le istruzioni relative ai criteri di accesso per la connettività tramite il dominio fisico riportate sopra.

    2. Passare all'EPG a cui aggiungere l'associazione statica (ad esempio Tenant > Tenant1 > Profili applicazione > AP1 > EPG applicazione > EPG1).

    3. Selezionare i domini (VM e Bare-Metals).

    4. Passare a AZIONI > Aggiungi associazione dominio fisico. Utilizzare l'elenco a discesa per selezionare il dominio fisico da associare (ad esempio N3K), e scegliere l'immediatezza appropriata (es. Immediato/Immediato).

    5. Fare clic su Invia.

    6. Selezionare Associazioni Statiche (Percorsi).

    7. Selezionare AZIONI > Distribuisci EPG statico su PC, VPC o interfaccia. Selezionare il tipo e il percorso appropriati, immettere la VLAN di incapsulamento e scegliere l'immediatezza appropriata (ad esempio Immediato) e modalità (es. Trunk).

    8. Fare clic su Invia.

    Configurazione L2Out con il metodo di rete con routing basato su bridge

    Istruzioni di alto livello

    1. Configurare i criteri di accesso.

    2. Configurare una rete con bridging esterno.

    3. Applicare i contratti appropriati.

    Istruzioni dettagliate

    1. Completare le istruzioni di cui sopra relative ai criteri di accesso per la connettività tramite dominio fisico, ad eccezione del passaggio 29 con domini con bridging esterno e del passaggio 30 con Creazione dominio di layer 2.

    2. Passare al tenant appropriato (ad esempio Tenant1) > Reti > Reti con bridging esterno.

    3. Fare clic con il pulsante destro del mouse su Reti con bridging esterno e quindi scegliere Creato con bridging esterno. Immettere un nome, ad esempio L2Out), utilizzare l'elenco a discesa per selezionare il dominio con bridging esterno da associare (ad esempio N3K), utilizzare l'elenco a discesa per selezionare il dominio bridge da associare (ad esempio BD1), quindi immettere la VLAN per l'uscita L2T.

    4. Fare clic su Avanti e quindi su Fine.

    5. Passare a L2Out (L2 esterno) > Profili nodo.

    6. Fare clic con il pulsante destro del mouse su Profili nodo e quindi scegliere Crea profilo nodo. Immettere un nome, ad esempio Leaf101).

    7. Fare clic sul segno + accanto a Profili interfaccia. Immettere un nome, ad esempio eth1_1).

    8. Fare clic sul segno + accanto a Interfacce. Selezionare il tipo e il percorso appropriati.

    9. Fare clic su OK, quindi su OK e infine su Invia.
    10. Passare a Reti.

    11. Fare clic con il pulsante destro del mouse su Networks (Reti), quindi selezionare Create External Network (Crea rete esterna); immettere un nome (ad esempio L2Out-EPG).

    12. Fare clic su Invia.

    13. Applicare opportunamente i contratti tra l'EPG L2Out (ad esempio L2Out-EPG) e l'applicazione EPG (ad esempio EPG1) per la comunicazione.

    Configurazione L3Out

    Prerequisiti

    Si presume che il routing venga eseguito tramite route statiche utilizzando un singolo tenant e VRF, che vengano creati EPG, BD e VRF e che BD sia impostato sulla modalità layer 3 (L3) (verificare il routing unicast nelle configurazioni L3).

    Istruzioni di alto livello

    1. Configurare i criteri di accesso.

    2. Configurare una rete con routing esterno.

    3. Associare l'uscita L3a dominio bridge.

    4. Applicare i contratti appropriati.

    Istruzioni dettagliate

    1. Completare le istruzioni di cui sopra relative ai criteri di accesso per la connettività tramite dominio fisico, ad eccezione del passaggio 25 con domini di routing esterni e del passaggio 26 con Creazione dominio di layer 3.

    2. Passare al tenant appropriato, ad esempio Tenant1) > Reti > Reti con routing esterno.

    3. Fare clic con il pulsante destro del mouse su External Routed Networks e fare clic su Create Routed Outside; immettere un nome (ad esempio L3Out), utilizzare il menu a discesa per selezionare il VRF da associare (ad esempio VRF1) e utilizzare l'elenco a discesa per selezionare il dominio di routing esterno da associare (ad esempio N3K).

    4. Fare clic su Avanti e quindi su Fine.

    5. Passare a L3Out (L3 esterno) > Profili nodo logico.

    6. Fare clic con il pulsante destro del mouse su Profili nodo logico e scegliere Crea profilo nodo. Immettere un nome, ad esempio Leaf101).

    7. Fare clic sul segno + accanto a Nodi. Selezionare il nodo appropriato e immettere un ID router.

    8. Fare clic sul segno + accanto a Route statiche. Immettere il prefisso della route.

    9. Fare clic sul segno + accanto a Indirizzi hop successivo. Immettere l'IP dell'hop successivo.

    10. Fare clic su Aggiorna, OK e quindi su OK.

    11. Ripetere i passaggi 7 e 10 in base alle esigenze per ogni nodo da aggiungere.

    12. Fare clic su Invia.

    13. Passare a Leaf101 (Profilo nodo logico) > Profili interfaccia logica.

    14. Fare clic con il pulsante destro del mouse su Profili interfaccia logica e selezionare Crea profilo interfaccia. Immettere un nome, ad esempio eth1_1).

    15. Fare clic su Invia.

    16. Selezionare eth1_1 (Profilo interfaccia logica).

    17. Fare clic sul segno + accanto a Interfacce di routing, SVI o Sottointerfacce di routing, a seconda della configurazione desiderata. Selezionare il tipo e il percorso appropriati e assegnare gli indirizzi IP appropriati per le interfacce.

    18. Fare clic su Invia.

    19. Selezione delle reti.

    20. Fare clic con il pulsante destro del mouse su Reti e selezionare Crea rete esterna. Immettere un nome, ad esempio L3Out-EPG).

    21. Fare clic su Invia.

    22. Selezionare L3Out-EPG (External Network Instance Profile).

    23. Fare clic sul segno + accanto a Subnet. Immettere ora la subnet esterna dietro l'uscita L3E controllare le subnet esterne per l'EPG esterno.

    24. Fare clic su Invia.

    25. Ripetere i passaggi 23 e 24 per ogni subnet da aggiungere.

    26. Fare clic su Invia.

    27. Passare al BD dell'applicazione EPG (es. BD1) > Configurazioni L3.

    28. Fare clic sul segno + accanto a Uscite L3 associate. Utilizzare l'elenco a discesa per selezionare l'uscita L3T da associare, ad esempio Tenant1/L3Out).

    29. Fare clic su Aggiorna.

    30. Applicare in modo appropriato i contratti tra l'EPG L3Out (ad esempio L3Out-EPG) e l'applicazione EPG (ad esempio EPG1) per la comunicazione.

    Integrazione di VMM con una configurazione vDS

    Nota: Le istruzioni di vCenter presuppongono una certa familiarità con vCenter, pertanto sono brevi; in questo esempio, i nomi sotto i criteri di accesso sono stati modificati da N3K a DVS (Distributed Virtual Switch). I termini vSphere Distributed Switch (vDS) e Distributed Virtual Switch (DVS) vengono utilizzati in modo intercambiabile in quanto si riferiscono allo stesso argomento.

    Istruzioni di alto livello

    1. Configurare i criteri di accesso.

    2. Configurare il dominio VMM.

    3. Aggiungere uplink a vDS.

    4. Associare il dominio VMM a EPG.

    5. Aggiungere le VM al portgroup.

    6. Verificare la connettività.

    Istruzioni dettagliate

    1. Completare le istruzioni relative ai criteri di accesso per la connettività tramite dominio fisico riportate sopra, ad eccezione dell'interruzione dopo aver completato il passaggio 24.

    2. Passare a Rete VM > Inventario > VMare.

    3. Fare clic con il pulsante destro del mouse su VMWare e scegliere Crea dominio vCenter.

    4. Inserire un nome (es. DVS), utilizzare l'elenco a discesa per selezionare il Profilo entità collegabile da associare (ad esempio DVS) e usare l'elenco a discesa per selezionare Create VLAN Pool (Crea pool VLAN) per creare il pool VLAN da usare con il DVS.

    5. Immettere un nome (ad esempio DVS) e scegliere l'allocazione dinamica/statica appropriata (ad es. Allocazione dinamica).

    6. Fare clic sul segno + accanto a Incapsula blocchi. A questo punto, immettere i numeri di VLAN e scegliere l'allocazione dinamica/statica appropriata (ad esempio, Eredita allocMode dal padre).

    7. Fare clic su OK, quindi su Invia.

    8. Fare clic sul segno + accanto a Credenziali vCenter. Immettere un nome, ad esempio vCenter-6), nome utente (ad esempio root) e password.

    9. Fare clic su OK.

    10. Fare clic sul segno + accanto a vCenter/vShield. Immettere un nome, ad esempio vCenter-6), indirizzo IP, selezionare la versione DVS appropriata (es. vCenter (impostazione predefinita), immettere il nome del centro dati visualizzato in vCenter (ad esempio DC) e utilizzare l'elenco a discesa per selezionare le credenziali associate.

    11. Fare clic su OK e quindi su Invia.

    12. Passare a DVS (dominio), scorrere verso il basso fino a Criteri vSwitch e selezionare i Criteri vSwitch appropriati.

    13. Fare clic su Invia.

    14. Passare a vCenter; è necessario creare il nuovo vDS (ad esempio DVS) in una cartella del centro dati (ad es. DC).

    15. Fare clic con il pulsante destro del mouse su vDS e aggiungere gli host e gli uplink appropriati a vDS.

    16. Tornare all'interfaccia grafica APIC.

    17. Passare all'EPG appropriato (ad esempio Tenant1 > AP1 > EPG1) > Domini (VM e Bare-Metals).

    18. Fare clic su AZIONI > Aggiungi associazione di dominio VMM.Utilizzare ora l'elenco a discesa per selezionare il dominio VMM da associare, ad esempio DVS) e scegliere l'immediatezza appropriata (ad es. Immediato/Immediato).

    19. Fare clic su Invia.

    20. Passare a vCenter; il nuovo gruppo di porte deve essere creato in vDS (ad esempio Tenant1|AP1|EPG1).

    21. Selezionare una VM; modificare le impostazioni per la scheda NIC da associare a questo gruppo di porte.

    Verifica connettività

    1. Tornare all'interfaccia grafica APIC.

    2. Passare all'EPG appropriato (es. EPG1) > Operativo.

    3. La VM deve essere appresa in questa scheda (vmm = vCenter conosce l'IP; ished = ACI leaf rileva il traffico da questo IP).
    TAC Authored

    Contributo dei tecnici Cisco

    • Jenny Ngo
      Cisco TAC Engineer

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti