NetScaler 1000V および ASA マルチ コンテキストを伴う 2 ノード サービス グラフの設定と導入

概要

このドキュメントでは、Cisco Application Centric Infrastructure(ACI)プラットフォーム内で2ノードサービスグラフを設定および導入する方法について説明します。サービスグラフで使用される2つのデバイスは、トランスペアレントモードで稼働する物理Cisco適応型セキュリティアプライアンス(ASA)とCitrix NetScaler 1000V仮想アプライアンスです。 

前提条件

要件

このドキュメントで説明する設定を開始する前に、次の項目に関する知識があることが推奨されます。

• 2つのスパインスイッチと2つのリーフスイッチで構成されるCisco ACIファブリック
  
  
• Cisco Virtual Machine Managed(VMM)ドメイン
  
  
• Cisco ASA
  
  
• NetScaler 1000V仮想アプライアンス

使用するコンポーネント

このドキュメントの情報は、次のハードウェアとソフトウェアのバージョンに基づいています。

• 2つのスパインスイッチと、コードバージョン1.1以降を実行する2つのリーフスイッチ、およびデバイスパッケージバージョン1.2以降で構成されるACIファブリック
  
  
• VMware用にACI内で設定されたVMMドメイン
  
  
• 2つの接続（各リーフスイッチへの1つの接続）を持つ物理ASA
  
  
• VMWare vCenterに導入されるNetScaler 1000V仮想アプライアンス
  
  
• Cisco Application Policy Infrastructure Controller(APIC)

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期（デフォルト）設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

設定

このセクションでは、この導入に関連するさまざまなコンポーネントの設定方法について説明します。

ASA の設定

このセクションでは、ASAの設定を完了する方法について説明します。

ASAでのマルチコンテキストサポートの有効化

ASAで複数のコンテキストを作成するには、機能を有効にする必要があります。ASAにログインし、コンフィギュレーションモードで次のコマンドを入力します。

ciscoasa(config)#

 mode multiple

リロードするよう求められます。デバイスがリロードされたら、ユーザコンテキストの作成を続行できます。

注：ユーザーコンテクトの前に管理コンテキストを作成する必要があります。このドキュメントでは、管理コンテキストの作成方法ではなく、ユーザコンテキストの作成方法について説明します。管理コンテキストの作成方法の詳細については、『Cisco ASA Series CLI Configuration Guide, 9.0』の「Configuring Multiple Contexts」セクションを参照してください。

ASAでのユーザコンテキストの設定

ASAでユーザコンテキストを作成するには、システムコンテキストから次のコマンドを入力します。

ciscoasa/admin# changeto context sys
ciscoasa(config)# context 

jristain    <--- This is the name of the desired context

Creating context 'jristain'... Done. (5)
ciscoasa(config-ctx)# allocate-interface Management0/1

ciscoasa(config-ctx)# config-url disk0:/

jristain

.cfg   

<--- "context-name.cfg"

WARNING: Could not fetch the URL disk0:/jristain.cfg
INFO: Creating context with default config

このコンフィギュレーションは、コンテキストを作成し、このコンテキストで使用する管理インターフェイスを割り当て、コンフィギュレーションファイルの場所を指定します。次に、APICが接続できるように必要な最小限のブートストラップを設定するために、このコンテキストを入力する必要があります。

ユーザコンテキストの管理IPアドレスの設定

ユーザコンテキストが作成されたら、そのコンテキストに変更し、割り当てられているインターフェイスの管理IPアドレスを設定できます。次のコマンドを入力します。

ciscoasa(config-ctx)# changeto context jristain   <---- 

Drops into the user context

ciscoasa/jristain(config)# interface Management0/1
ciscoasa/jristain(config-if)# ip address 192.168.20.10 255.255.255.128
ciscoasa/jristain(config-if)# nameif management
INFO: Security level for "management" set to 0 by default.
ciscoasa/jristain(config-if)# security-level 100
ciscoasa/jristain(config-if)# exit
ciscoasa/jristain(config)# route management 0.0.0.0 0.0.0.0 192.168.20.1
ciscoasa/jristain(config)# exit
ciscoasa/jristain# copy running-config startup-config

注：nameifエントリは、デバイスパッケージに必要な内容であるため管理である必要があります。nameifエントリに追加の文字が含まれている場合は、APICでのL4-L7デバイスの配備に障害が発生します。

APICに必要なブートストラップの設定

APICをASAに接続するには、最小限の設定が必要です。これには、HTTPサーバとAPICのユーザアカウントが含まれます。ユーザコンテキストで次の設定を使用します。

ciscoasa/jristain(config)#username 

<username>

 password 

<password>

ciscoasa/jristain(config)#http server enable
ciscoasa/jristain(config)#http 0.0.0.0 0.0.0.0 management

注：<username>および<password>領域に目的のユーザ名とパスワードを入力してください。

APICの設定

このセクションでは、APICの設定を完了する方法について説明します。

必要なブリッジドメインの設定

2ノードサービスグラフを展開するには、3つのブリッジドメイン(BD)が必要です。

外部ASAインターフェイス（コンシューマ）のBDを設定するには、次の情報を使用します。

• L2不明ユニキャスト – フラッド
  
  
• ARPフラッディング:有効
  
  
• サブネットは、ユニキャストルーティングが有効なNetScaler外部インターフェイスのデフォルトゲートウェイとして機能するように設定できます

次の情報を使用して、2つのデバイスを接続するために使用されるBDを設定します。

• L2不明ユニキャスト – フラッド
  
  
• ARPフラッディング:有効
  
  
• ユニキャストルーティング – 無効

必要なエンドポイントグループの設定

サービスグラフでは、2つのエンドポイントグループ(EPG)を設定する必要があります。1つのコンシューマと1つのプロバイダーコンシューマEPGは、外部ASAインターフェイスに接続するBDを使用する必要があります。プロバイダーEPGは、エンドサーバに接続するBDを使用する必要があります。

管理コンテキストをL4-L7デバイスとして追加する

ASA管理コンテキストとユーザコンテキストをAPICに追加する必要があります。これを完了するには、[Tenant] > [L4-L7 Services] > [L4-L7 Devices]に移動し、右クリックして[Create an L4-L7 Device]を選択して、次の手順を実行します。

1. [全般]領域の[管理]チェックボックスをクリックします（有効になっていない場合）。
   
   
2. [Device Name] を入力します。
   
   
3. ドロップダウンメニューから[サービスタイプ]を選択します。
   
   
4. [Device Type](PHYSICALまたはVIRTUAL)を選択します。
   
   
5. ドロップダウンメニューから[Physical Domain]を選択します。
   
   
6. モードを選択します。
   
   
7. [Device Package]ドロップダウンメニューから[CISCO-ASA-1.2]を選択します。
   
   
8. ドロップダウンメニューからASAモデルを選択します。
   
   
9. 機能タイプを選択します(GoThroughは透過モードで、GoToはルーテッドモードです)。
   
   
10. [Connectivity]領域で[APIC to Device Management Connectivity]オプションを選択します。
    
    
11. [Credentials]領域にユーザー名とパスワードを入力してください。
    
    
12. 管理コンテキストのIPアドレスを、[Device 1]領域の[Management IP Address]フィールド(ポートと共に)に入力します。
    
    
13. 物理インターフェイスを作成し、名前を付け、ASAが使用するインターフェースポリシーグループを選択し、[Provider and consumer]を選択します。
    
    
14. [Device 1]エリアで使用した情報と同じ情報をクラスタエリアに入力します。同じポートチャネルを指す2つのクラスタイフェイス(1つのコンバイダーと1つのプロバイダー)を作成します。
    
    

    注：この時点でウィザードの使用を終了できます。フェールオーバー情報を設定する必要はありません。

15. デバイスが安定しており、障害がないことを確認します。
    
    

ポートチャネルパラメータの設定

デバイスがファブリックに登録された後、APICはデバイスパラメータを使用して設定をプッシュできます。登録後、まず、仮想ポートチャネル(vPC)でASAをリーフスイッチに接続するポートチャネルを設定する必要があります。

ポートチャネルを設定するには、作成したデバイスに移動し、作業ペインの右上隅にある[Parameters]タブをクリックします。鉛筆アイコンをクリックして、パラメータを変更します。

[クラスタパラメータの編集]ウィンドウが表示されます。オプションの範囲を制限するには、[PortChannel]をクリックします。[Port Channel Member]フォルダを展開し、[Configuration Options]を完了します。各オプションの説明を次に示します。

• Channel Group ID:[Value]フィールドに、ASAのインターフェイスに割り当てるPC IDを入力します（1 ～ 48がサポートされています）。
  
  
• Interface:[Value]フィールドに、チャネルグループに割り当てるASAのインターフェイスを入力します。

割り当てるインターフェイスごとに、このプロセスを繰り返します。

完了すると、システムコンテキストでASAのポートチャネルが作成されます。これを確認するには、システムコンテキストにアクセスし、show port-channel summaryコマンドを入力します。

ciscoasa# 

show port-channel summary

Flags:  D - down        P - bundled in port-channel
        I - stand-alone s - suspended
        H - Hot-standby (LACP only)
        U - in use      N - not in use, no aggregation/nameif
        M - not in use, no aggregation due to minimum links not met
        w - waiting to be aggregated
Number of channel-groups in use: 2
Group  Port-channel  Protocol  Span-cluster  Ports
------+-------------+---------+------------+-----------------------

27     Po27(N)           LACP          No     Gi0/4(P)   Gi0/5(P)

ユーザコンテキストをL4-L7デバイスとして追加する

ユーザコンテキストをファブリック内のL4-L7デバイスとして登録する必要があります。[テナント] > [L4-L7 Services] > [L4-L7デバイス]に移動し、右クリックして[L4-L7デバイスの作成]を選択して、次の手順を実行します。

1. [全般]領域の[管理]チェックボックスをクリックします（有効になっていない場合）。
   
   
2. [Device Name] を入力します。
   
   
3. ドロップダウンメニューから[サービスタイプ]を選択します。
   
   
4. [デバイスタイプ]を選択します。
   
   
5. ドロップダウンメニューから[Physical Domain]を選択します。
   
   
6. モードを選択します。
   
   
7. [Device Package]ドロップダウンメニューから[CISCO-ASA-1.2]を選択します。
   
   
8. ドロップダウンメニューからASAモデルを選択します。
   
   
9. [Connectivity]領域で[APIC to Device Management Connectivity]オプションを選択します。
   
   
10. 機能タイプを選択します(GoThroughは透過モードで、GoToはルーテッドモードです)。
    
    
11. [Credentials]領域にユーザー名とパスワードを入力してください。
    
    
12. ユーザコンテキストのIPアドレスを、[Device 1]領域の[Management IP Address]フィールド(ポートと共に)に入力します。
    
    
13. 物理インターフェイスを作成し、名前を付け、ASAが使用するインターフェースポリシーグループを選択し、[Provider and consumer]を選択します。
    
    
14. 管理コンテキストの管理IPアドレスを（ポートとともに）クラスタ領域に入力します。同じポートチャネルを指す2つのクラスタイフェイス(1つのコンバイダーと1つのプロバイダー)を作成します。
    
    

    注：この時点でウィザードの使用を終了できます。フェールオーバー情報を設定する必要はありません。

15. デバイスが安定しており、障害がないことを確認します。
    
    

NetScaler 1000VをL4-L7デバイスとして追加する

この設定例の2番目のノードは、NetScaler 1000Vです。NetScalerは、接続されたサーバにロードバランシング機能を提供します。このデバイスもAPICに登録する必要があります。[テナント] > [L4-L7 Services] > [L4-L7デバイス]に移動し、右クリックして[L4-L7デバイスの作成]を選択して、次の手順を実行します。

1. [全般]領域の[管理]チェックボックスをクリックします（有効になっていない場合）。
   
   
2. [Device Name] を入力します。
   
   
3. ドロップダウンメニューから[Service Type]を選択します(NetScalerはADC、またはApplication Delivery Controller)。
   
   
4. [デバイスタイプ]を選択します。
   
   
5. ドロップダウンメニューから[VMMドメイン（仮想の場合）]を選択します。
   
   
6. モードを選択します。
   
   
7. [Device Package]ドロップダウンメニューからCisco-NetScaler1KV-1.0を選択します。
   
   
8. ドロップダウンメニューから[Model]を選択します(仮想アプライアンスはNetScaler-VPXです)。
   
   
9. [Connectivity]領域で[APIC to Device Management Connectivity]オプションを選択します。
   
   
10. [Credentials]領域にユーザー名とパスワードを入力してください。
    
    
11. 管理コンテキストのIPアドレスを、[Device 1]領域の[Management IP Address]フィールド(ポートと共に)に入力します。VM（仮想の場合）を選択します。
    
    
12. [デバイスインタフェース]領域に外部インターフェースを作成し、未使用のネットワークアダプタを選択します。

    注：Network Adapter 1は管理目的で使用されるため、使用しないでください。

13. [Device Interfaces]領域に内部インターフェイスを作成し、未使用のネットワークアダプタを選択します。
    
    
14. [Device 1]エリアで使用した情報と同じ情報をクラスタエリアに入力します。2つのクラスタ・インタフェース(1つのコンシューマと1つのプロバイダ)を作成します。
    
    
    
    
15. デバイスが安定しており、障害がないことを確認します。
    
    

サービスグラフテンプレートの作成

デバイスが登録されたら、サービスグラフテンプレートを作成します。[テナント] > [L4-L7サービス] > [L4-L7サービスグラフテンプレート] > [L4-L7サービスグラフテンプレートの作成]に移動し、次の手順を実行します。

1. [グラフ名]フィールドに名前を入力します。
   
   
2. デバイスを[デバイスクラスタ(Device Clusters)]領域から展開する必要がある順序でドラッグアンドドロップします。それぞれの名前を入力します。
   
   
3. 各デバイスの機能プロファイルを選択します。NetScalerの場合、この例ではTwo-Arm (またはインラインモード)を使用します。
   
   

サービスグラフテンプレートの導入

テンプレートを作成したら、デバイスに展開できます。[テナント] > [L4-L7サービス] > [L4-L7サービスグラフテンプレート] > [サービスグラフテンプレート] > [サービスグラフテンプレートの適用]に移動します。

[Contract]タブで、次の手順を実行します。

1. 「コンシューマEPG/外部ネットワーク」ドロップダウンメニューからコンシューマEPGを選択します。
   
   
2. 「プロバイダEPG/外部ネットワーク」ドロップダウンメニューからプロバイダEPGを選択します。
   
   
3. [契約情報]領域で、新しい契約を作成するか、既存の契約を選択します。
   
   

[グラフ]タブで、次の手順を実行します。

1. [BD]ドロップダウンメニューから、ASA外部インターフェイスのBDを選択します。
   
   
2. [BD]ドロップダウンメニューから、ASA内部インターフェースのBDを選択します。
   
   
3. [BD]ドロップダウンメニューから、NetScaler外部インターフェイスのBDを選択します。
   
   
4. [BD]ドロップダウンメニューから、NetScaler内部インタフェースのBDを選択します。
   
   

[ASA Parameters]タブで、必要なパラメータを入力します。このタブのパラメータは不要です。

[NetScaler Parameters]タブで、ウィザードを使用してNetScalerの設定を入力します。

確認

現在、この設定に使用できる確認手順はありません。

トラブルシュート

このセクションでは、設定のトラブルシューティングに役立つ情報を提供します。

既知の障害

このドキュメントで説明されている設定に関連する2つの既知の障害を次に示します。

• スクリプトの警告：ケーブルが正しくないか、インターフェイスコネクタに差し込まれていません。
  
  
  
  この問題を解決するには、ポートチャネルパラメータが設定されていて、ポートチャネルがASAでアップになっていることを確認します。これを確認する方法に関する情報は、このドキュメントの「ポートチャネルパラメータの設定」セクションを参照してください。
  
  インターフェイスがアップしているにもかかわらず、これらの障害が引き続き発生する場合は、Cisco Bug ID CSCuw56882が原因である可能性があります。このバグは、1.2(x) ACIソフトウェアリリースの1.2.3デバイスパッケージサポートで修正されています。デバイスパッケージはこちらからダウンロードできます。
  
  
• メジャースクリプトエラー：Connection Error:401 Client Error:Unauthorized:
  
  
  
  この問題を解決するには、適切なクレデンシャルがデバイスにプロビジョニングされ、APICで正しく設定されていることを確認します。