Catalyst Center 인터페이스 및 라우팅 구성

소개

이 문서에서는 Cisco Catalyst Center Appliance의 네트워크 설정 설계 및 컨피그레이션에 대해 설명합니다.

사전 요구 사항

사용되는 구성 요소

• Catalyst Center 버전 2.3.5.5

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

배경 정보

물리적 어플라이언스는 4개의 라우티드 인터페이스를 제공하며, 각 인터페이스에는 기본 및 보조 물리적 네트워크 어댑터가 하나씩 있습니다.  이러한 네트워크 어댑터의 물리적 위치는 어플라이언스 모델에 따라 다르지만 논리적 컨피그레이션은 동일합니다.  가상 어플라이언스 OVA는 하나의 가상 네트워크 어댑터만 생성하지만, 필요한 경우 두 번째 어댑터를 추가할 수 있습니다.  여러 어댑터를 제공하는 이유는 다양한 네트워크 아키텍처 전반에 어플라이언스, 어플라이언스가 관리 및/또는 모니터링하는 네트워크 디바이스, 솔루션에 대한 액세스가 필요한 시스템 관리자, 외부 통합, 필요한 클라우드 서비스 간 양방향 통신을 허용하는 데 필요한 유연성을 제공하기 위해서입니다.  먼저 이러한 인터페이스와 그 사용 용도를 검토합니다.

인터페이스

엔터프라이즈(10G 필요)

엔터프라이즈 인터페이스는 물리적 어플라이언스의 10기가비트 포트이며 가상 어플라이언스의 첫 번째 가상 어댑터에 매핑됩니다. 

이는 디바이스와 통신하는 데 사용되는 기본 인터페이스이며, 대부분의 구축에서는 모든 네트워크 통신에 사용되는 유일한 인터페이스일 수 있습니다.

클러스터(10G 필요, VA 내부)

클러스터 인터페이스는 물리적 어플라이언스의 10기가비트 포트이기도 하지만 가상 어플라이언스에서는 가상 어댑터에 매핑되지 않습니다. 

HA 클러스터의 Catalyst Center 어플라이언스 간 통신에만 사용되며, 서브넷에서 IP 주소를 할당해야 합니다. 서브넷은 네트워크에서 사용되지 않습니다.

설치 중에 이 포트를 구성된 IP에 연결해야 합니다.

관리(1G/10G 옵션)

관리 인터페이스는 기본 네트워크 어댑터의 1기가비트 포트 및 보조 어댑터의 10기가비트 포트입니다.

두 번째 가상 어댑터가 가상 어플라이언스에 추가된 경우 관리 인터페이스에 매핑됩니다. 

일부 환경에서는 인벤토리를 관리하기 위해 엔터프라이즈 인터페이스를 보안 네트워크에 두어야 하는 엄격한 네트워크 경계가 존재하기 때문에 Catalyst Center 관리자와 사용자가 액세스하기가 어렵습니다. 

관리 인터페이스는 이러한 고객에게 두 번째 연결 가능 IP 주소를 구성할 수 있는 기능을 제공합니다.

인터넷/클라우드(1G/10G 옵션, VA 해당 없음)

인터넷 포트는 관리 포트와 유사한 물리적 어플라이언스의 1기가비트 또는 10기가비트 포트이지만 가상 어플라이언스에는 적용할 수 없습니다.  많은 환경에서 인터넷 또는 기타 외부 서비스에 대한 액세스는 DMZ와 같은 특정 네트워크로만 제한됩니다. 이 연결에는 인터넷 또는 클라우드 인터페이스를 사용할 수 있습니다.

이러한 각 인터페이스는 Maglev Configuration Wizard에서 IP 주소, 서브넷 마스크, 기본 게이트웨이, DNS 서버 및 하나 이상의 고정 경로를 사용하여 구성할 수 있습니다.  실제로 하나의 인터페이스만 기본 게이트웨이 및 DNS 서버로 구성할 수 있습니다. 단, 나머지 인터페이스는 고정 경로만 사용하며 클러스터 인터페이스는 경로가 전혀 없습니다.

구성

MAGLEV 컨피그레이션 마법사

Maglev 컨피그레이션 마법사는 초기 설치 중에 또는 나중에 CIMC KVM에 연결하여 sudo maglev-config update 명령을 실행하여 액세스할 수 있습니다. 그러나 설치 후 변경할 수 없는 특정 설정은 설치 가이드 https://www.cisco.com/c/en/us/td/docs/cloud-systems-management/network-automation-and-management/dna-center/2-3-5/install_guide/2ndgen/b_cisco_dna_center_install_guide_2_3_5_2ndGen/m_troubleshoot_deployment_2_3_5_2ndgen.html?bookSearch=true#task_c3x_ycw_sfb에 설명되어 있습니다.

앞서 언급한 필드 외에도 IP로 구성된 각 인터페이스에 대해 가상 IP 주소(또는 VIP)를 구성할 수 있습니다. 

단일 노드 구축에서는 VIP 컨피그레이션이 선택 사항이지만, 3노드 클러스터 구축에는 VIP 컨피그레이션이 필요합니다. 

컨피그레이션은 어플라이언스가 연결을 시작하는 방법(아웃바운드 라우팅)과 Catalyst Center와의 연결을 시작하도록 디바이스를 구성하는 방법(인바운드 라우팅)을 제어합니다.

아웃바운드 라우팅

어플라이언스에서 시작한 모든 네트워크 통신에 적용되는 아웃바운드 라우팅은 간단합니다. 

마법사에 구성된 모든 인터페이스의 연결된 서브넷, 고정 경로 및 기본 게이트웨이 설정은 공유 라우팅 테이블에 배치됩니다. 

아웃바운드 연결이 생성되면 이그레스 인터페이스 및 next-hop 라우터를 식별하기 위해 이 라우팅 테이블에서 대상 IP를 조회합니다. 

소스 IP 주소는 VIP가 아니라 인터페이스 자체에 구성된 로컬 IP입니다. 

참고: 이는 DNS 및 NTP 서버를 비롯한 모든 트래픽에 적용되며, 마법사의 어떤 인터페이스에 이러한 서버가 구성되었는지에 상관없습니다.

인바운드 라우팅

인바운드 라우팅은 관리되는 디바이스에서 Catalyst Center에 대한 연결을 시작하는 방법을 제어하도록 구성됩니다. 

디바이스 및 클라이언트는 아웃바운드 라우팅 테이블이 IP 주소에 대해 가리키는 것과 동일한 인그레스 인터페이스를 통해 Catalyst Center에 액세스해야 합니다. 

클라이언트 IP 주소의 라우팅 테이블이 관리 인터페이스를 가리키는 동안 클라이언트가 엔터프라이즈 인터페이스에 연결하려고 하면 트래픽이 삭제됩니다. 

따라서 시스템은 각 인벤토리 디바이스의 관리 IP에 대한 아웃바운드 라우팅 조회를 사용하여 올바른 인터페이스를 식별한 다음, Catalyst Center에 연결하기 위해 해당 인터페이스의 VIP를 사용하도록 디바이스를 구성합니다. 

단일 노드 설치에서 구성된 VIP가 없는 경우 인터페이스의 로컬 IP가 대신 사용됩니다.  FQDN 전용 인증서 구축의 경우 클러스터 FQDN은 디바이스에 구성됩니다.  이 경우 DNS 아키텍처는 클라이언트에서 올바른 인터페이스 VIP 또는 IP를 확인하도록 해야 합니다. 

재해 복구 구축의 경우 재해 복구 VIP가 항상 구성됩니다(있는 경우).  재해 복구 VIP가 구성되지 않은 경우 현재 Active 클러스터의 VIP가 구성됩니다.

이 모든 정보를 기반으로, 환경에 어떤 인터페이스가 필요한지 확인하고 해당 경로를 구성하는 방법을 알아보겠습니다.  

• 사용 가능한 IP 네트워크 중 어떤 네트워크가 인터넷 및 기타 외부 서비스에 액세스할 수 있는지 확인합니다.  
• 관리 중인 디바이스에 액세스할 수 있는 IP 네트워크를 확인합니다.
• 관리자가 액세스할 수 있는 IP 네트워크를 확인합니다. 

단일 IP 네트워크에서 이 세 가지 역할을 모두 수행할 수 있는 경우 기본 게이트웨이가 있는 엔터프라이즈 포트만 사용하면 됩니다. 

이러한 역할 중 2개를 서로 다른 네트워크에서 수행해야 하는 경우 엔터프라이즈 포트와 관리 또는 인터넷 포트 중 하나를 사용합니다. 

한 포트에는 기본 게이트웨이가 할당되어 있고 다른 포트에는 고정 경로가 사용됩니다. 

각 역할이 자체 IP 네트워크를 운영해야 하는 경우 엔터프라이즈, 관리 및 인터넷 포트 3개가 모두 사용됩니다. 

기본 게이트웨이는 인터넷 포트에 할당됩니다.

관리자 네트워크에 대한 고정 경로는 관리 포트에서 구성해야 합니다.

모든 디바이스 관리 네트워크에 대한 고정 경로는 엔터프라이즈 포트에서 구성해야 합니다.