Configureer en implementeer een servicemodule met twee knooppunten met ASA multi-context en NetScaler 1000V

Inleiding

Dit document beschrijft hoe u een servicecalfabet met twee knooppunten kunt configureren en implementeren in het Cisco-platform Application Centric Infrastructure (ACI). De twee apparaten die in het servicesdiagram worden gebruikt zijn een fysieke Cisco adaptieve security applicatie (ASA) die in Transparent Mode draait, en een Citrix NetScaler 1000V virtuele applicatie. 

Voorwaarden

Vereisten

Cisco raadt u aan om kennis te hebben van deze onderwerpen voordat u probeert de configuratie die in dit document wordt beschreven te configureren:

• Cisco ACI-stoffen die bestaan uit twee centrifugeswitches en twee bladeswitches
  
  
• Cisco Virtual Machine Managed-domeinen (VM)
  
  
• Cisco ASA’s
  
  
• NetScaler 1000V virtuele applicaties

Gebruikte componenten

De informatie in dit document is gebaseerd op deze hardware- en softwareversies:

• Een ACI-stof die uit twee ruggengraatswitches en twee bladeswitches bestaat die later coderversie 1.1(4e) of versie 1.2 uitvoeren en een apparaatpakket versie 1.2 of hoger uitvoeren
  
  
• Een VM-domein dat binnen de ACI is ingesteld voor VMWare
  
  
• Een fysieke ASA met twee verbindingen (één verbinding met elke bladeswitch)
  
  
• Een NetScaler 1000V virtuele applicatie die wordt ingezet in VMWare vCenter
  
  
• Cisco Application Policy Infrastructure Controller (APIC)

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Configureren

In deze sectie wordt beschreven hoe u de verschillende onderdelen kunt configureren die bij deze implementatie betrokken zijn.

De ASA configureren

In dit deel wordt beschreven hoe de configuratie van de ASA-apparatuur moet worden voltooid.

Ondersteuning van meerdere contexten in de ASA inschakelen

Om meerdere contexten op de ASA te creëren, moet u deze optie inschakelen. Meld u aan bij de ASA en voer deze opdracht in de Configuration-modus in:

ciscoasa(config)#

 mode multiple

U wordt dan gevraagd te herladen. Nadat het apparaat is herladen, kunt u de gebruikerscontext blijven maken.

Opmerking: Er moet een Admin-context worden gemaakt voor de gebruikerscontext. Dit document beschrijft niet hoe u de Admin-context kunt maken, maar eerder de gebruikerscontext. Raadpleeg het gedeelte Meervoudige contexten van de Cisco ASA Series CLI Configuration Guide, 9.0 voor meer informatie over het maken van de Admin-context.

De gebruikerscontext in de ASA configureren

Om de gebruikerscontext in de ASA te creëren, voer deze opdracht uit de systeemcontext in:

ciscoasa/admin# changeto context sys
ciscoasa(config)# context 

jristain    <--- This is the name of the desired context

Creating context 'jristain'... Done. (5)
ciscoasa(config-ctx)# allocate-interface Management0/1

ciscoasa(config-ctx)# config-url disk0:/

jristain

.cfg   

<--- "context-name.cfg"

WARNING: Could not fetch the URL disk0:/jristain.cfg
INFO: Creating context with default config

Deze configuratie maakt de context, wijst de beheerinterface toe voor gebruik in deze context en specificeert een locatie voor het configuratiebestand. U moet deze context nu invoeren om de minimale bootstrap te kunnen configureren die vereist is zodat APIC verbinding kan maken.

Het IP-adres voor het beheer van de gebruikerscontext configureren

Nadat de gebruikerscontext is gecreëerd, kunt u in die context veranderen en het IP-adres van het beheer op de interface configureren die wordt toegewezen. Voer deze opdrachten in:

ciscoasa(config-ctx)# changeto context jristain   <---- 

Drops into the user context

ciscoasa/jristain(config)# interface Management0/1
ciscoasa/jristain(config-if)# ip address 192.168.20.10 255.255.255.128
ciscoasa/jristain(config-if)# nameif management
INFO: Security level for "management" set to 0 by default.
ciscoasa/jristain(config-if)# security-level 100
ciscoasa/jristain(config-if)# exit
ciscoasa/jristain(config)# route management 0.0.0.0 0.0.0.0 192.168.20.1
ciscoasa/jristain(config)# exit
ciscoasa/jristain# copy running-config startup-config

Opmerking: De naam of entry management moet zijn omdat dit de verwachting is van het apparaatpakket. Als de naam of entry extra karakters bevat, zal je fouten zien in de plaatsing van het L4-L7 apparaat in de APIC.

Het vereiste bootstrap voor APIC configureren

Om APIC op de ASA aan te sluiten, is enige minimale configuratie vereist. Dit omvat de HTTP server en een gebruikersaccount voor APIC. Gebruik deze configuratie in de gebruikerscontext:

ciscoasa/jristain(config)#username 

<username>

 password 

<password>

ciscoasa/jristain(config)#http server enable
ciscoasa/jristain(config)#http 0.0.0.0 0.0.0.0 management

Opmerking: Voer uw gewenste gebruikersnaam en wachtwoord in in de gebieden <gebruikersnaam> en <wachtwoord>.

APIC configureren

In dit deel wordt beschreven hoe de configuratie op APIC moet worden voltooid.

De vereiste Bridge Domain instellen

Er zijn drie Brug domeinen (BD's) vereist om een twee-knooppunten servicekoment te kunnen implementeren.

Gebruik deze informatie om de BD voor de externe ASA-interface (consument) te configureren:

• L2 Onbekend Unicast - Overstromingen
  
  
• ARP-overstromingen - ingeschakeld
  
  
• Subnet kan worden gevormd om als standaardgateway voor de externe interface van NetScaler met Unicast Routing Enabled te handelen

Gebruik deze informatie om de BD te configureren die wordt gebruikt om de twee apparaten aan te sluiten:

• L2 Onbekend Unicast - Overstromingen
  
  
• ARP-overstromingen - ingeschakeld
  
  
• Unicast routing - uitgeschakeld

De vereiste endpointgroepen configureren

Het servicesdiagram vereist dat twee endpointgroepen (EPG's) worden geconfigureerd: één consument en één aanbieder . De verbruiker-EPG dient gebruik te maken van de BD die zich aansluit op de externe ASA-interface. De provider EPG dient een BD te gebruiken die zich verbindt met de eindservers.

Admin-context toevoegen als een L4-L7-apparaat

U moet de ASA Admin- en Gebruikerscontexten aan APIC toevoegen. Om dit te voltooien, navigeer aan Tant > L4-L7 Services > L4-L7 Devices, klik met de rechtermuisknop en selecteer een L4-L7 apparaat maken en voltooi dan deze stappen:

1. Klik op het aanvinkvakje Beheerd in het algemene gebied als dit nog niet is ingeschakeld.
   
   
2. Voer de naam van het apparaat in.
   
   
3. Selecteer het servicetype in het vervolgkeuzemenu.
   
   
4. Kies het apparaattype (FYSIEK of VIRTUAL).
   
   
5. Selecteer het Physical Domain in het vervolgkeuzemenu.
   
   
6. Kies de modus.
   
   
7. Selecteer CISCO-ASA-1.2 in het vervolgkeuzemenu Apparaatpakket.
   
   
8. Selecteer het ASA-model in het vervolgkeuzemenu.
   
   
9. Kies het Functietype (GaThrough is doorzichtige modus en GaTo is Routed Mode).
   
   
10. Kies een APIC om de optie Connectiviteit van het Apparaatbeheer in het Connectiviteits gebied te gebruiken.
    
    
11. Typ uw gebruikersnaam en wachtwoord in het gebied Credentials.
    
    
12. Voer het IP-adres van de Admin-context in het veld IP-adres van het beheer (samen met de poort) in het gebied Apparaat 1 in.
    
    
13. Maak een fysieke interface, geef het een naam, kies de Groep van het Interfacebeleid die de ASA gebruikt, en selecteer dan Provider en consument.
    
    
14. Voer dezelfde informatie in als u voor het gebied Apparaat 1 hebt gebruikt in het gebied Cluster. Maak twee cluster interfaces (één consument en één leverancier) die op hetzelfde havenkanaal wijzen.
    
    

    Opmerking: U kunt de wizard nu gebruiken. U hoeft geen van de failover-informatie te configureren.

15. Controleer of het apparaat stabiel is en dat er geen fouten zijn:
    
    

De parameters voor poortkanalen configureren

Nadat het apparaat bij de stof is geregistreerd, kan APIC de configuratie via de apparaatparameters duwen. Na registratie moet u eerst het poortkanaal configureren dat de ASA aansluit op de bladeswitches in een Virtual Port Channel (vPC).

Om het poortkanaal te configureren navigeer dan naar het apparaat dat u hebt gemaakt en klik op het tabblad parameters in de bovenste hoek van het werkvenster. Klik op het pictogram potlood om de parameters te wijzigen:

Het venster Cluster parameters bewerken verschijnt. Klik op PortChannel om het bereik van de optie te beperken. Vul de map Port Channel tot de map Port Channel uit en vul de Configuration-opties in. Hier is een uitleg van elke optie:

• Kanaalgroep-ID - Voer in het veld Waarde de PC-ID in die u aan de interfaces op de ASA wilt toewijzen (1 tot en met 48 worden ondersteund).
  
  
• Interface - In het veld Waarde voert u de interface in op de ASA die u aan de kanaalgroep wilt toewijzen.

Herhaal dit proces voor elke interface die u wilt toewijzen:

Als het eenmaal is voltooid, moet je een port-kanaalcreatie zien op de ASA in de systeemcontext. Om dit te verifiëren, heb toegang tot de systeemcontext en voer de show port-channel summiere opdracht in:

ciscoasa# 

show port-channel summary

Flags:  D - down        P - bundled in port-channel
        I - stand-alone s - suspended
        H - Hot-standby (LACP only)
        U - in use      N - not in use, no aggregation/nameif
        M - not in use, no aggregation due to minimum links not met
        w - waiting to be aggregated
Number of channel-groups in use: 2
Group  Port-channel  Protocol  Span-cluster  Ports
------+-------------+---------+------------+-----------------------

27     Po27(N)           LACP          No     Gi0/4(P)   Gi0/5(P)

Voeg de gebruikerscontext toe als een L4-L7 apparaat

U moet de gebruikerscontext als een L4-L7 apparaat in het weefsel registreren. Navigeren in op Aanbesteding > L4-L7 Services > L4-L7 Devices, klik met de rechtermuisknop en selecteer Een L4-L7 apparaat maken en dan deze stappen voltooien:

1. Klik op het aanvinkvakje Beheerd in het algemene gebied als dit nog niet is ingeschakeld.
   
   
2. Voer de naam van het apparaat in.
   
   
3. Selecteer het servicetype in het vervolgkeuzemenu.
   
   
4. Kies het apparaattype.
   
   
5. Selecteer het Physical Domain in het vervolgkeuzemenu.
   
   
6. Kies de modus.
   
   
7. Selecteer CISCO-ASA-1.2 in het vervolgkeuzemenu Apparaatpakket.
   
   
8. Selecteer het ASA-model in het vervolgkeuzemenu.
   
   
9. Kies een APIC om de optie Connectiviteit van het Apparaatbeheer in het Connectiviteits gebied te gebruiken.
   
   
10. Kies het Functietype (GaThrough is doorzichtige modus en GaTo is Routed Mode).
    
    
11. Typ uw gebruikersnaam en wachtwoord in het gebied Credentials.
    
    
12. Voer het IP-adres van de gebruikerscontext in het veld IP-adres van het beheer (samen met de poort) in het gebied Apparaat 1 in.
    
    
13. Maak een fysieke interface, geef het een naam, kies de Groep van het Interfacebeleid die de ASA gebruikt, en selecteer dan Provider en consument.
    
    
14. Voer het IP-adres van het beheer in van de Admin-context (samen met de poort) in het Cluster-gebied. Maak twee cluster interfaces (één consument en één leverancier) die op hetzelfde havenkanaal wijzen.
    
    

    Opmerking: U kunt de wizard nu gebruiken. U hoeft geen van de failover-informatie te configureren.

15. Controleer of het apparaat stabiel is en dat er geen fouten zijn:
    
    

Voeg de NetScaler 1000V toe als een L4-L7-apparaat

Het tweede knooppunt in dit configuratievoorbeeld is een NetScaler 1000V. De NetScaler biedt de functionaliteit voor taakverdeling aan de aangesloten servers. U moet dit apparaat ook met APIC registreren. Navigeren in op Aanbesteding > L4-L7 Services > L4-L7 Devices, klik met de rechtermuisknop en selecteer Een L4-L7 apparaat maken en dan deze stappen voltooien:

1. Klik op het aanvinkvakje Beheerd in het algemene gebied als dit nog niet is ingeschakeld.
   
   
2. Voer de naam van het apparaat in.
   
   
3. Selecteer het servicetype in het uitrolmenu (NetScaler is een ADC of Application Delivery Controller).
   
   
4. Kies het apparaattype.
   
   
5. Selecteer het VMe Domain (als Virtueel) in het vervolgkeuzemenu.
   
   
6. Kies de modus.
   
   
7. Selecteer Cisco-NetScaler1KV-1.0 in het vervolgkeuzemenu Apparaatpakket.
   
   
8. Selecteer het Model in het vervolgkeuzemenu (virtuele applicatie is de NetScaler-VPX)
   
   
9. Kies een APIC om de optie Connectiviteit van het Apparaatbeheer in het Connectiviteits gebied te gebruiken.
   
   
10. Typ uw gebruikersnaam en wachtwoord in het gebied Credentials.
    
    
11. Voer het IP-adres van de Admin-context in het veld IP-adres van het beheer (samen met de poort) in het gebied Apparaat 1 in. Kies de VM (indien virtueel).
    
    
12. Maak een externe interface in het gebied Apparaatinterfaces en kies een ongebruikte netwerkadapter.

    Opmerking: Netwerkadapter 1 wordt gebruikt voor beheerdoeleinden, dus gebruik deze niet.

13. Maak een interne interface in het gebied Apparaatinterfaces en kies een ongebruikte netwerkadapter.
    
    
14. Voer dezelfde informatie in als u voor het gebied Apparaat 1 hebt gebruikt in het gebied Cluster. Maak twee clusterinterfaces (één consument en één aanbieder).
    
    
    
    
15. Controleer of het apparaat stabiel is en dat er geen fouten zijn:
    
    

De sjabloon servicesdiagram maken

Nu de apparaten worden geregistreerd, kunt u een Sjabloon voor servicesdiagram maken. Navigatie naar huurder > L4-L7 Services > L4-L7 Service Graph sjablonen > Create L4-L7 Service Graph sjabloon en voltooien deze stappen:

1. Typ een naam in het veld Grafiek Naam.
   
   
2. Sleep de apparaten van het gebied van de aanwijzingen van het apparaat in de volgorde dat zij moeten worden ingezet. Voer een naam in voor elk.
   
   
3. Kies het functieprofiel voor elk apparaat. Voor de NetScaler gebruikt dit voorbeeld twee baren (of online modus).
   
   

De sjabloon servicesdiagram implementeren

Nadat de sjabloon is gemaakt, kunt u deze op de apparaten implementeren. Navigeer naar huurder > L4-L7 services > L4-L7 Service Graph sjablonen > Servicegramsjabloon > Servicegids toepassen.

Voltooi de volgende stappen in het tabblad Contract:

1. Selecteer de verbruiker EPG in het vervolgkeuzemenu Consumentennetwerk/Extern netwerk.
   
   
2. Selecteer de provider EPG in het vervolgkeuzemenu van Provider EPG / extern netwerk.
   
   
3. Maak een nieuw contract, of kies een contract dat al bestaat, in het gebied Contractgegevens.
   
   

In het tabblad Grafiek dient u deze stappen te voltooien:

1. Selecteer de BD voor de ASA externe interface in het vervolgkeuzemenu BD.
   
   
2. Selecteer de BD voor de ASA interne interface in het vervolgkeuzemenu BD.
   
   
3. Selecteer de BD voor de NetScaler externe interface in het vervolgkeuzemenu BD.
   
   
4. Selecteer de BD voor de interne interface van NetScaler in het vervolgkeuzemenu BD.
   
   

Voer in het tabblad ASA-parameters de gewenste parameters in. Geen van de parameters in dit tabblad is vereist.

Voer in het tabblad NetScaler de configuratie van NetScaler in via de wizard:

Verifiëren

Er is momenteel geen verificatieprocedure beschikbaar voor deze configuratie.

Problemen oplossen

Deze sectie verschaft informatie die u kunt gebruiken om problemen met uw configuratie op te lossen.

Bekende fouten

Hier zijn twee bekende fouten die betrekking hebben op de configuraties die in dit document worden beschreven:

• Waarschuwing scripts: Ofwel de kabel is niet correct of zit niet aangesloten op de interfaceconnector:
  
  
  
  Om dit probleem op te lossen, moet u ervoor zorgen dat de havenkanaalparameters zijn geconfigureerd en dat het havenkanaal op de ASA staat. Raadpleeg het gedeelte Port-Channel-parameters voor informatie over het controleren van dit document.
  
  Als de interface omhoog is, maar u deze fouten nog steeds ziet, is dit waarschijnlijk te wijten aan Cisco bug ID CSCuw56882. Dit bug zit in de 1.2.3,apparaatondersteuning voor de 1.2(x) ACI-softwarerelease. De apparaatpakketten kunnen hier worden gedownload.
  
  
• Belangrijkste fout in scripts: verbindingsfout : 401 clientfout: Onbevoegd:
  
  
  
  Om dit probleem op te lossen, zorg ervoor dat de juiste geloofsbrieven voorzien worden op de apparaten en correct in APIC worden gevormd.