Catalyst Centerのインターフェイスとルーティングの設定
はじめに
このドキュメントでは、Cisco Catalyst Centerアプライアンスのネットワーク設定の設計と設定について説明します。
前提条件
使用するコンポーネント
- Catalyst Centerバージョン2.3.5.5
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
物理アプライアンスには4つのルーテッドインターフェイスがあり、それぞれ1つのプライマリ物理ネットワークアダプタと1つのセカンダリ物理ネットワークアダプタを備えています。 これらのネットワークアダプタの物理的な場所はアプライアンスモデルによって異なりますが、論理構成は同じです。 仮想アプライアンスのOVAは、仮想ネットワークアダプタを1つだけ作成しますが、必要に応じて2つ目のアダプタを追加できます。 複数のアダプタを提供する理由は、アプライアンス、アプライアンスが管理および監視するネットワークデバイス、ソリューションにアクセスする必要があるシステム管理者、外部統合、および必要なクラウドサービス間の双方向通信を可能にするために必要な柔軟性を、さまざまなネットワークアーキテクチャにわたって提供するためです。 最初に、これらのインターフェイスと使用目的を確認します。
インターフェイス
エンタープライズ(10Gが必要)
エンタープライズインターフェイスは、物理アプライアンス上の10ギガビットポートであり、仮想アプライアンスの最初の仮想アダプタにマッピングされます。
これは、デバイスとの通信に使用されるプライマリインターフェイスであり、多くの導入環境では、すべてのネットワーク通信に使用される唯一のインターフェイスである可能性があります。
クラスタ(10 Gが必要、VA内部)
クラスタインターフェイスも物理アプライアンス上の10ギガビットポートですが、仮想アプライアンス上ではこれは仮想アダプタにマッピングされません。
このアドレスは、HAクラスタ内のCatalyst Centerアプライアンス間の通信にのみ使用され、それ以外の場合はネットワーク内で未使用であるサブネットからIPアドレスを割り当てる必要があります。
このポートは、インストール時に設定されたIPに接続されている必要があります。
管理(1G/10Gはオプション)
管理インターフェイスは、プライマリネットワークアダプタでは1ギガビットポートで、セカンダリアダプタでは10ギガビットポートです。
2つ目の仮想アダプタが仮想アプライアンスに追加されると、管理インターフェイスにマッピングされます。
一部の環境では、ネットワークの境界が厳しく、インベントリを管理するためにエンタープライズインターフェイスを安全なネットワークに配置する必要があります。このような状況になると、Catalyst Centerの管理者とユーザは、エンタープライズインターフェイスにアクセスするのが困難になります。
管理インターフェイスを使用すると、2番目に到達可能なIPアドレスを設定できます。
インターネット/クラウド(1G/10Gはオプション、VAは非対応)
インターネットポートは、管理ポートと同様に、物理アプライアンスの1または10ギガビットポートですが、仮想アプライアンスには適用されません。 多くの環境では、インターネットまたはその他の外部サービスへのアクセスは、DMZなどの特定のネットワークのみに制限されています。この接続には、インターネットまたはクラウドインターフェイスを使用できます。
これらの各インターフェイスは、Maglev Configuration Wizardで、IPアドレス、サブネットマスク、デフォルトゲートウェイ、DNSサーバ、および1つ以上のスタティックルートを使用して設定できます。 実際にデフォルトゲートウェイとDNSサーバを設定できるのは1つのインターフェイスだけですが、残りのインターフェイスはスタティックルートだけを使用し、クラスタインターフェイスにはルートがまったくありません。
設定
MAGLEV構成ウィザード
Maglevコンフィギュレーションウィザードは、初期インストール時にアクセスするか、後でCIMC KVMに接続してsudo maglev-config updateコマンドを実行することでアクセスできます。ただし、インストールガイドhttps://www.cisco.com/c/en/us/td/docs/cloud-systems-management/network-automation-and-management/dna-center/2-3-5/install_guide/2ndgen/b_cisco_dna_center_install_guide_2_3_5_2ndGen/m_troubleshoot_deployment_2_3_5_2ndgen.html?bookSearch=true#task_c3x_ycw_sfbに記載されているように、インストール後に変更できない特定の設定があります
前述のフィールドに加えて、IPを使用して設定された各インターフェイスの仮想IPアドレス(VIP)を設定できます。
VIPの設定はシングルノード導入ではオプションですが、3ノードクラスタを導入する場合は必須です。
この設定では、アプライアンスが接続を開始する方法(アウトバウンドルーティング)と、Catalyst Centerとの接続を開始するようにデバイスを設定する方法(インバウンドルーティング)を制御します。
アウトバウンドルーティング
アウトバウンドルーティングは、アプライアンスによって開始されるすべてのネットワーク通信に適用され、簡単です。
ウィザードで設定されたすべてのインターフェイスからの接続サブネット、スタティックルート、およびデフォルトゲートウェイ設定は、共有ルーティングテーブルに配置されます。
発信接続が作成されると、出力インターフェイスとネクストホップルータを識別するために、このルーティングテーブルで宛先IPが検索されます。
送信元IPアドレスは、VIPではなく、インターフェイス自体に設定されたローカルIPです。
注:これは、これらのサーバがウィザードでどのインターフェイスに設定されているかに関係なく、すべてのトラフィック(DNSサーバとNTPサーバを含む)に適用されます。
着信ルーティング
着信ルーティングは、管理対象デバイスがCatalyst Centerへの接続を開始する方法を制御するために設定されます。
デバイスとクライアントは、アウトバウンドルーティングテーブルでIPアドレスに対して指し示されている同じ入力インターフェイスを介してCatalyst Centerにアクセスする必要があります。
たとえば、クライアントIPアドレスのルーティングテーブルが管理インターフェイスを指している場合、クライアントがエンタープライズインターフェイスに接続しようとすると、トラフィックはドロップされます。
したがって、システムは各インベントリデバイスの管理IPの発信ルーティングルックアップを使用して正しいインターフェイスを特定し、そのインターフェイスのVIPを使用してCatalyst Centerに接続するようにデバイスを設定します。
VIPが設定されていない場合(シングルノードインストールの場合)、代わりにインターフェイスのローカルIPが使用されます。 FQDNのみの証明書の展開の場合は、デバイスでクラスタFQDNが設定されます。 この場合、DNSアーキテクチャは、正しいインターフェイスVIPまたはIPがクライアントによって解決されることを確認する必要があります。
ディザスタリカバリの導入では、ディザスタリカバリVIPが存在する場合は常に設定されます。 ディザスタリカバリVIPが設定されていない場合は、現在のアクティブクラスタのVIPが設定されます。
これらの情報すべてに基づいて、次の方法で環境に必要なインターフェイスを判別し、それらのルートを設定します。
- 使用可能なIPネットワークのうち、インターネットやその他の外部サービスにアクセスできるのはどれかを判断します。
- 管理対象のデバイスにアクセスできるIPネットワークを特定します。
- 管理者がアクセスできるIPネットワークを確認します。
これらの3つの役割すべてを1つのIPネットワークで実現できる場合は、デフォルトゲートウェイでエンタープライズポートを使用するだけで済みます。
これらの役割のうち2つを異なるネットワークで実行する必要がある場合は、エンタープライズポートと、管理ポートまたはインターネットポートのいずれかを使用します。
一方のポートにはデフォルトゲートウェイが割り当てられ、もう一方のポートはスタティックルートを使用します。
各役割が動作するために独自のIPネットワークを必要とする場合、エンタープライズ、管理、およびインターネットポートの3つすべてが使用されます。
デフォルトゲートウェイはインターネットポートに割り当てられます。
管理者ネットワークへのスタティックルートは、管理ポートで設定する必要があります。
すべてのデバイス管理ネットワークへのスタティックルートは、エンタープライズポートで設定する必要があります。
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
23-Jul-2024 |
初版 |
フィードバック