ASA Multi-Context 및 NetScaler 1000V를 사용하여 2노드 서비스 그래프 구성 및 구축
목차
소개
이 문서에서는 Cisco ACI(Application Centric Infrastructure) 플랫폼 내에서 2노드 서비스 그래프를 구성하고 구축하는 방법에 대해 설명합니다.서비스 그래프에서 사용되는 두 개의 디바이스는 투명 모드에서 실행되는 물리적 Cisco ASA(Adaptive Security Appliance) 및 Citrix NetScaler 1000V Virtual Appliance입니다.
사전 요구 사항
요구 사항
이 문서에 설명된 컨피그레이션을 시도하기 전에 이러한 주제에 대해 알고 있는 것이 좋습니다.
- 2개의 스파인 스위치와 2개의 리프 스위치로 구성된 Cisco ACI 패브릭
- Cisco VMM(Virtual Machine Managed) 도메인
- Cisco ASA
- NetScaler 1000V 가상 어플라이언스
사용되는 구성 요소
이 문서의 정보는 다음 하드웨어 및 소프트웨어 버전을 기반으로 합니다.
- 코드 버전 1.1(4e) 이상을 실행하는 2개의 스파인 스위치와 2개의 리프 스위치로 구성된 ACI 패브릭 및 장치 패키지 버전 1.2 이상
- VMWare용 ACI 내에 구성된 VMM 도메인
- 2개의 연결이 있는 물리적 ASA(각 리프 스위치에 1개의 연결)
- VMWare vCenter에 구축된 NetScaler 1000V 가상 어플라이언스
- Cisco APIC(Application Policy Infrastructure Controller)
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
구성
이 섹션에서는 이 구축에 포함된 다양한 구성 요소를 구성하는 방법에 대해 설명합니다.
ASA 구성
이 섹션에서는 ASA에서 컨피그레이션을 완료하는 방법에 대해 설명합니다.
ASA에서 다중 컨텍스트 지원 활성화
ASA에서 여러 컨텍스트를 생성하려면 기능을 활성화해야 합니다.ASA에 로그인하고 컨피그레이션 모드에서 이 명령을 입력합니다.
ciscoasa(config)#
mode multiple[an error occurred while processing this directive]
그런 다음 다시 로드하라는 메시지가 표시됩니다. 디바이스가 다시 로드되면 사용자 컨텍스트를 계속 생성할 수 있습니다.
ASA에서 사용자 컨텍스트 구성
ASA에서 사용자 컨텍스트를 생성하려면 시스템 컨텍스트에서 다음 명령을 입력합니다.
ciscoasa/admin# changeto context sys
ciscoasa(config)# context
jristain <--- This is the name of the desired context
Creating context 'jristain'... Done. (5)
ciscoasa(config-ctx)# allocate-interface Management0/1
ciscoasa(config-ctx)# config-url disk0:/
jristain
.cfg
<--- "context-name.cfg"
[an error occurred while processing this directive]
WARNING: Could not fetch the URL disk0:/jristain.cfg
INFO: Creating context with default config
이 컨피그레이션은 컨텍스트를 생성하고 이 컨텍스트에서 사용할 관리 인터페이스를 할당하며 컨피그레이션 파일의 위치를 지정합니다.이제 APIC에서 연결할 수 있도록 필요한 최소 부트스트랩을 구성하려면 이 컨텍스트를 입력해야 합니다.
사용자 컨텍스트에 대한 관리 IP 주소 구성
사용자 컨텍스트가 생성되면 해당 컨텍스트로 변경하고 할당된 인터페이스에서 관리 IP 주소를 구성할 수 있습니다.다음 명령을 입력합니다.
ciscoasa(config-ctx)# changeto context jristain <----
Drops into the user context
[an error occurred while processing this directive]
ciscoasa/jristain(config)# interface Management0/1
ciscoasa/jristain(config-if)# ip address 192.168.20.10 255.255.255.128
ciscoasa/jristain(config-if)# nameif management
INFO: Security level for "management" set to 0 by default.
ciscoasa/jristain(config-if)# security-level 100
ciscoasa/jristain(config-if)# exit
ciscoasa/jristain(config)# route management 0.0.0.0 0.0.0.0 192.168.20.1
ciscoasa/jristain(config)# exit
ciscoasa/jristain# copy running-config startup-config
APIC에 필요한 부트스트랩 구성
APIC를 ASA에 연결하려면 최소 컨피그레이션이 필요합니다.여기에는 HTTP 서버 및 APIC에 대한 사용자 계정이 포함됩니다.사용자 컨텍스트에서 이 컨피그레이션을 사용합니다.
ciscoasa/jristain(config)#username
<username>
password
<password>
[an error occurred while processing this directive]
ciscoasa/jristain(config)#http server enable
ciscoasa/jristain(config)#http 0.0.0.0 0.0.0.0 management
APIC 구성
이 섹션에서는 APIC에서 컨피그레이션을 완료하는 방법에 대해 설명합니다.
필요한 브리지 도메인 구성
2노드 서비스 그래프를 구축하려면 3개의 BD(Bridge Domains)가 필요합니다.
외부 ASA 인터페이스(소비자)에 대해 BD를 구성하려면 다음 정보를 사용합니다.
- L2 알 수 없는 유니캐스트 - 플러드
- ARP 플러딩 - 활성화됨
- 유니캐스트 라우팅이 활성화된 NetScaler 외부 인터페이스의 기본 게이트웨이 역할을 하도록 서브넷을 구성할 수 있습니다.
다음 정보를 사용하여 두 디바이스를 연결하는 데 사용되는 BD를 구성합니다.
- L2 알 수 없는 유니캐스트 - 플러드
- ARP 플러딩 - 활성화됨
- 유니캐스트 라우팅 - 비활성화됨
필수 엔드포인트 그룹 구성
서비스 그래프에서는 2개의 엔드포인트 그룹(EPG)을 구성해야 합니다.한 명의 소비자와 한 명의 공급자입니다.소비자 EPG는 외부 ASA 인터페이스에 연결되는 BD를 사용해야 합니다.공급자 EPG는 최종 서버에 연결하는 BD를 사용해야 합니다.
관리 컨텍스트를 L4-L7 디바이스로 추가
APIC에 ASA 관리자 및 사용자 컨텍스트를 추가해야 합니다.이 작업을 완료하려면 Tenant(테넌트) > L4-L7 Services(L4-L7 서비스) > L4-L7 Devices(L4-L7 디바이스)로 이동하여 마우스 오른쪽 버튼을 클릭하고 Create an L4-L7 Device(L4-L7 디바이스 생성)를 선택한 다음 다음 다음 다음 단계를 완료하십시오.
- General(일반) 영역에서 Managed(관리) 확인란을 클릭합니다(아직 활성화되지 않은 경우).
- 디바이스 이름을 입력합니다.
- 드롭다운 메뉴에서 Service Type(서비스 유형)을 선택합니다.
- Device Type(PHYSICAL 또는 VIRTUAL)을 선택합니다.
- 드롭다운 메뉴에서 Physical Domain(물리적 도메인)을 선택합니다.
- 모드를 선택합니다.
- Device Package 드롭다운 메뉴에서 CISCO-ASA-1.2를 선택합니다.
- 드롭다운 메뉴에서 ASA 모델을 선택합니다.
- 함수 유형을 선택합니다(GoThrough는 투명 모드이고 GoTo는 라우팅된 모드).
- Connectivity(연결) 영역에서 APIC to Device Management Connectivity(APIC to Device Management Connectivity) 옵션을 선택합니다.
- Credentials(자격 증명) 영역에 Username(사용자 이름) 및 Password(비밀번호)를 입력합니다.
- Device 1 영역의 Management IP Address 필드(Port와 함께)에 Admin 컨텍스트의 IP 주소를 입력합니다.
- 물리적 인터페이스를 생성하고 이름을 지정하고 ASA에서 사용하는 인터페이스 정책 그룹을 선택한 다음 Provider and consumer를 선택합니다.
- Device 1 영역에 사용한 것과 동일한 정보를 Cluster 영역에 입력합니다.동일한 포트 채널을 가리키는 두 개의 클러스터 인터페이스(소비자와 공급자 하나)를 생성합니다.
- 디바이스가 안정적이며 결함이 없는지 확인합니다.
포트 채널 매개변수 구성
디바이스가 패브릭에 등록되면 APIC는 디바이스 매개변수를 통해 컨피그레이션을 푸시할 수 있습니다. 등록 후에는 먼저 ASA를 vPC(Virtual Port Channel)의 리프 스위치에 연결하는 포트 채널을 구성해야 합니다.
포트 채널을 구성하려면 생성한 디바이스로 이동하고 작업 창 상단 모서리의 Parameters 탭을 클릭합니다.매개변수를 수정하려면 연필 아이콘을 클릭합니다.
Edit Cluster Parameters 창이 나타납니다.PortChannel을 클릭하여 옵션의 범위를 제한합니다. Port Channel Member 폴더를 확장하고 구성 옵션을 완료합니다.각 옵션에 대한 설명은 다음과 같습니다.
- Channel Group ID - Value 필드에 ASA의 인터페이스에 할당할 PC ID를 입력합니다(1~48은 지원됨).
- Interface - Value 필드에 채널 그룹에 할당할 ASA의 인터페이스를 입력합니다.
할당할 각 인터페이스에 대해 이 프로세스를 반복합니다.
완료되면 시스템 컨텍스트에서 ASA에 포트 채널 생성이 표시됩니다.이를 확인하려면 시스템 컨텍스트에 액세스하여 show port-channel summary 명령을 입력합니다.
ciscoasa#
show port-channel summary
Flags: D - down P - bundled in port-channel
I - stand-alone s - suspended
H - Hot-standby (LACP only)
U - in use N - not in use, no aggregation/nameif
M - not in use, no aggregation due to minimum links not met
w - waiting to be aggregated
Number of channel-groups in use: 2
Group Port-channel Protocol Span-cluster Ports
------+-------------+---------+------------+-----------------------
27 Po27(N) LACP No Gi0/4(P) Gi0/5(P)[an error occurred while processing this directive]
사용자 컨텍스트를 L4-L7 디바이스로 추가
사용자 컨텍스트를 패브릭에서 L4-L7 디바이스로 등록해야 합니다.Tenant(테넌트) > L4-L7 Services(L4-L7 서비스) > L4-L7 Devices(L4-L7 디바이스)로 이동하고 마우스 오른쪽 버튼을 클릭하고 Create an L4-L7 Device(L4-L7 디바이스 생성)를 선택한 다음 다음 다음 다음 단계를 완료합니다.
- General(일반) 영역에서 Managed(관리) 확인란을 클릭합니다(아직 활성화되지 않은 경우).
- 디바이스 이름을 입력합니다.
- 드롭다운 메뉴에서 Service Type(서비스 유형)을 선택합니다.
- Device Type(디바이스 유형)을 선택합니다.
- 드롭다운 메뉴에서 Physical Domain(물리적 도메인)을 선택합니다.
- 모드를 선택합니다.
- Device Package 드롭다운 메뉴에서 CISCO-ASA-1.2를 선택합니다.
- 드롭다운 메뉴에서 ASA 모델을 선택합니다.
- Connectivity(연결) 영역에서 APIC to Device Management Connectivity(APIC to Device Management Connectivity) 옵션을 선택합니다.
- 함수 유형을 선택합니다(GoThrough는 투명 모드이고 GoTo는 라우팅된 모드).
- Credentials(자격 증명) 영역에 Username(사용자 이름) 및 Password(비밀번호)를 입력합니다.
- Device 1 영역의 Management IP Address 필드(Port와 함께)에 User 컨텍스트의 IP 주소를 입력합니다.
- 물리적 인터페이스를 생성하고 이름을 지정하고 ASA에서 사용하는 인터페이스 정책 그룹을 선택한 다음 Provider and consumer를 선택합니다.
- Cluster 영역에 Admin 컨텍스트의 Management IP Address(관리 IP 주소)를 입력합니다.동일한 포트 채널을 가리키는 두 개의 클러스터 인터페이스(소비자와 공급자 하나)를 생성합니다.
- 디바이스가 안정적이며 결함이 없는지 확인합니다.
NetScaler 1000V를 L4-L7 디바이스로 추가
이 컨피그레이션 예에서 두 번째 노드는 NetScaler 1000V입니다.NetScaler는 연결된 서버에 로드 밸런싱 기능을 제공합니다.APIC에도 이 디바이스를 등록해야 합니다.Tenant(테넌트) > L4-L7 Services(L4-L7 서비스) > L4-L7 Devices(L4-L7 디바이스)로 이동하고 마우스 오른쪽 버튼을 클릭하고 Create an L4-L7 Device(L4-L7 디바이스 생성)를 선택한 다음 다음 다음 다음 단계를 완료합니다.
- General(일반) 영역에서 Managed(관리) 확인란을 클릭합니다(아직 활성화되지 않은 경우).
- 디바이스 이름을 입력합니다.
- 드롭다운 메뉴에서 Service Type(서비스 유형)을 선택합니다(NetScaler는 ADC 또는 Application Delivery Controller).
- Device Type(디바이스 유형)을 선택합니다.
- 드롭다운 메뉴에서 VMM 도메인(Virtual인 경우)을 선택합니다.
- 모드를 선택합니다.
- Device Package 드롭다운 메뉴에서 Cisco-NetScaler1KV-1.0을 선택합니다.
- 드롭다운 메뉴에서 모델을 선택합니다(Virtual Appliance는 NetScaler-VPX임).
- Connectivity(연결) 영역에서 APIC to Device Management Connectivity(APIC to Device Management Connectivity) 옵션을 선택합니다.
- Credentials(자격 증명) 영역에 Username(사용자 이름) 및 Password(비밀번호)를 입력합니다.
- Device 1 영역의 Management IP Address 필드(Port와 함께)에 Admin 컨텍스트의 IP 주소를 입력합니다.VM을 선택합니다(가상인 경우).
- Device Interfaces(디바이스 인터페이스) 영역에 외부 인터페이스를 생성하고 사용하지 않는 네트워크 어댑터를 선택합니다.
- Device Interfaces(디바이스 인터페이스) 영역에 내부 인터페이스를 생성하고 사용하지 않는 네트워크 어댑터를 선택합니다.
- Device 1 영역에 사용한 것과 동일한 정보를 Cluster 영역에 입력합니다.클러스터 인터페이스 2개(소비자 1개 및 공급자 1개)를 생성합니다.
- 디바이스가 안정적이며 결함이 없는지 확인합니다.
서비스 그래프 템플릿 생성
이제 디바이스가 등록되었으므로 서비스 그래프 템플릿을 생성할 수 있습니다.Tenant(테넌트) > L4-L7 Services(L4-L7 서비스) > L4-L7 Service Graph Templates(L4-L7 서비스 그래프 템플릿 생성)로 이동하고 다음 단계를 완료합니다.
- Graph Name 필드에 이름을 입력합니다.
- 디바이스를 구축해야 하는 순서대로 Device Clusters 영역에서 끌어서 놓습니다.각각에 대한 이름을 입력합니다.
- 각 디바이스의 기능 Profile을 선택합니다.NetScaler의 경우 이 예에서는 Two-Arm(또는 Inline 모드)을 사용합니다.
서비스 그래프 템플릿 구축
템플릿을 생성한 후 디바이스에 구축할 수 있습니다.Tenant(테넌트) > L4-L7 Services(L4-L7 서비스) > L4-L7 Service Graph Templates(L4-L7 서비스 그래프 템플릿) > Service Graph Template(서비스 그래프 템플릿 적용)으로 이동합니다.
계약 탭에서 다음 단계를 완료합니다.
- Consumer EPG / External Network 드롭다운 메뉴에서 소비자 EPG를 선택합니다.
- Provider EPG /External Network 드롭다운 메뉴에서 제공자 EPG를 선택합니다.
- Contract Information 영역에서 새 계약을 생성하거나 이미 있는 계약을 선택합니다.
그래프 탭에서 다음 단계를 완료합니다.
- BD 드롭다운 메뉴에서 ASA 외부 인터페이스에 대한 BD를 선택합니다.
- BD 드롭다운 메뉴에서 ASA 내부 인터페이스의 BD를 선택합니다.
- BD 드롭다운 메뉴에서 NetScaler 외부 인터페이스의 BD를 선택합니다.
- BD 드롭다운 메뉴에서 NetScaler 내부 인터페이스의 BD를 선택합니다.
ASA Parameters 탭에서 원하는 매개변수를 입력합니다.이 탭의 매개 변수는 필요하지 않습니다.
NetScaler Parameters(NetScaler 매개변수) 탭에서 마법사를 통해 NetScaler 컨피그레이션을 입력합니다.
다음을 확인합니다.
현재 이 구성에 대해 사용 가능한 확인 절차가 없습니다.
문제 해결
이 섹션에서는 컨피그레이션 문제를 해결하는 데 사용할 수 있는 정보를 제공합니다.
알려진 결함
이 문서에 설명된 컨피그레이션과 관련된 알려진 두 가지 결함은 다음과 같습니다.
- 스크립트 경고:케이블이 잘못되었거나 인터페이스 커넥터에 연결되지 않았습니다.
이 문제를 해결하려면 포트 채널 매개변수가 구성되어 있고 포트 채널이 ASA에서 작동 중인지 확인하십시오.확인 방법에 대한 자세한 내용은 이 문서의 Configure the Port-Channel Parameters 섹션을 참조하십시오.
인터페이스가 작동하지만 이러한 결함이 계속 표시되는 경우 Cisco 버그 ID CSCuw56882 때문일 수 있습니다. 이 버그는 1.2.3 디바이스 패키지 지원에서 1.2(x) ACI 소프트웨어 릴리스에 대해 고정됩니다.디바이스 패키지는 여기서 다운로드할 수 있습니다. - 주요 스크립트 오류:연결 오류:401 클라이언트 오류:권한 없음:
이 문제를 해결하려면 디바이스에서 적절한 자격 증명이 프로비저닝되고 APIC에서 올바르게 구성되었는지 확인합니다.
피드백