Configurar e implantar um gráfico de serviço de dois nós com multicontexto ASA e NetScaler 1000V

Opções de download

  • PDF     (865.3 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (742.5 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (1.5 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:17 de fevereiro de 2016
ID do documento:1455726115578440

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introduction

Este documento descreve como configurar e implantar um gráfico de serviço de dois nós na plataforma Cisco Application Centric Infrastructure (ACI). Os dois dispositivos usados no gráfico de serviços são um Cisco Adaptive Security Appliance (ASA) físico executado no modo Transparente e um Citrix NetScaler 1000V Virtual Appliance. 

Prerequisites

Requirements

A Cisco recomenda que você tenha conhecimento desses tópicos antes de tentar a configuração descrita neste documento:

  • Malhas Cisco ACI que consistem em dois switches spine e dois switches leaf

  • Domínios Cisco Virtual Machine Managed (VMM)

  • Cisco ASAs

  • Dispositivos virtuais NetScaler 1000V

Componentes Utilizados

As informações neste documento são baseadas nas seguintes versões de hardware e software:

  • Uma estrutura da ACI que consiste em dois switches spine e dois switches leaf que executam o código versão 1.1(4e) ou posterior e pacote de dispositivos versão 1.2 ou posterior

  • Um domínio VMM configurado na ACI para VMWare

  • Um ASA físico com duas conexões (uma conexão para cada switch leaf)

  • Um dispositivo virtual NetScaler 1000V implantado no VMWare vCenter

  • Um Cisco Application Policy Infrastructure Controller (APIC)

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Configurar

Esta seção descreve como configurar os vários componentes envolvidos nesta implantação.

Configurar o ASA

Esta seção descreve como concluir a configuração no ASA.

Habilitar suporte multicontexto no ASA

Para criar vários contextos no ASA, você deve habilitar o recurso. Faça login no ASA e insira este comando no modo de configuração:

ciscoasa(config)#
 mode multiple
 [an error occurred while processing this directive]

Você será solicitado a recarregar. Depois que o dispositivo for recarregado, você poderá continuar a criar o contexto do usuário.

Note: Um contexto Admin deve ser criado antes do contexto Usuário. Este documento não descreve como criar o contexto Admin, mas sim o contexto Usuário. Para obter mais informações sobre como criar o contexto Admin, consulte a seção Configuração de Vários Contextos do Cisco ASA Series CLI Configuration Guide, 9.0.

Configure o contexto do usuário no ASA

Para criar o contexto do usuário no ASA, insira estes comandos no contexto do sistema:

ciscoasa/admin# changeto context sys
ciscoasa(config)# context 
jristain    <--- This is the name of the desired context
 

Creating context 'jristain'... Done. (5)
ciscoasa(config-ctx)# allocate-interface Management0/1

ciscoasa(config-ctx)# config-url disk0:/
jristain
 
.cfg   
<--- "context-name.cfg"
 

WARNING: Could not fetch the URL disk0:/jristain.cfg
INFO: Creating context with default config
[an error occurred while processing this directive]

Essa configuração cria o contexto, aloca a interface de gerenciamento para uso nesse contexto e especifica um local para o arquivo de configuração. Agora você deve inserir este contexto para configurar o bootstrap mínimo necessário para que o APIC possa se conectar.

Configurar o endereço IP de gerenciamento para o contexto do usuário

Depois que o contexto do usuário for criado, você poderá alterar para esse contexto e configurar o endereço IP de gerenciamento na interface alocada. Insira os seguintes comandos:

ciscoasa(config-ctx)# changeto context jristain   <---- 
Drops into the user context
 

ciscoasa/jristain(config)# interface Management0/1
ciscoasa/jristain(config-if)# ip address 192.168.20.10 255.255.255.128
ciscoasa/jristain(config-if)# nameif management
INFO: Security level for "management" set to 0 by default.
ciscoasa/jristain(config-if)# security-level 100
ciscoasa/jristain(config-if)# exit
ciscoasa/jristain(config)# route management 0.0.0.0 0.0.0.0 192.168.20.1
ciscoasa/jristain(config)# exit
ciscoasa/jristain# copy running-config startup-config
[an error occurred while processing this directive]

Note: A entrada nameif deve ser management porque essa é a expectativa do pacote do dispositivo. Se a entrada nameif contiver caracteres adicionais, você verá falhas na implantação do dispositivo L4-L7 no APIC.

Configure o bootstrap necessário para o APIC

Para conectar o APIC ao ASA, é necessária uma configuração mínima. Isso inclui o servidor HTTP e uma conta de usuário para o APIC. Use esta configuração no contexto Usuário:

ciscoasa/jristain(config)#username 
<username>
 
 password 
<password>
 

ciscoasa/jristain(config)#http server enable
ciscoasa/jristain(config)#http 0.0.0.0 0.0.0.0 management
[an error occurred while processing this directive]

Note: Digite seu nome de usuário e senha desejados nas áreas <nome de usuário> e <senha>.

Configurar o APIC

Esta seção descreve como concluir a configuração no APIC.

Configurar os domínios de bridge necessários

Há três domínios de bridge (BDs) necessários para implantar um gráfico de serviço de dois nós.

Use estas informações para configurar o BD para a interface ASA externa (consumidor):

  • L2 Unicast Desconhecido - Inundação

  • Inundação ARP - Habilitado

  • A sub-rede pode ser configurada para atuar como o gateway padrão para a interface externa do NetScaler com Unicast Routing Enabled

Use estas informações para configurar o BD usado para conectar os dois dispositivos:

  • L2 Unicast Desconhecido - Inundação

  • Inundação ARP - Habilitado

  • Roteamento Unicast - Desabilitado

Configurar os grupos de endpoint necessários

O gráfico de serviço exige que dois grupos de endpoint (EPGs) sejam configurados: um consumidor e um fornecedor. O EPG do consumidor deve usar o BD que se conecta à interface externa do ASA. O EPG do provedor deve usar um BD que se conecta aos servidores finais.

Adicione o contexto de administrador como um dispositivo L4-L7

Você deve adicionar os contextos de Administrador e Usuário do ASA ao APIC. Para concluir isso, navegue para Espaço > Serviços L4-L7 > Dispositivos L4-L7, clique com o botão direito do mouse e selecione Criar um dispositivo L4-L7, depois conclua estas etapas:

  1. Clique na caixa de seleção Gerenciado na área Geral, se ainda não estiver ativada.

  2. Introduza o nome do dispositivo.

  3. Selecione o Tipo de serviço no menu suspenso.

  4. Escolha o tipo de dispositivo (FÍSICO ou VIRTUAL).

  5. Selecione o Domínio Físico no menu suspenso.

  6. Escolha o modo.

  7. Selecione CISCO-ASA-1.2 no menu suspenso Device Package.

  8. Selecione o modelo ASA no menu suspenso.

  9. Escolha o tipo de função (GoThrough é o modo transparente e GoTo é Routed).

  10. Escolha uma opção APIC para conectividade de gerenciamento de dispositivos na área Conectividade.

  11. Digite seu nome de usuário e senha na área Credenciais.

  12. Insira o endereço IP do contexto Admin no campo Management IP Address (Endereço IP de gerenciamento) (junto com a porta) na área Device 1.

  13. Crie uma interface física, dê um nome a ela, escolha o Grupo de Política de Interface que o ASA usa e selecione Provedor e consumidor.

  14. Digite as mesmas informações que você usou para a área Dispositivo 1 na área Cluster. Crie duas interfaces de cluster (um consumidor e um provedor) que apontem para o mesmo canal de porta.

    Note: Você pode concluir o uso do assistente neste momento. Você não precisa configurar nenhuma das informações de failover.

  15. Verifique se o dispositivo está estável e se não há falhas:

Configurar os parâmetros do canal de porta

Depois que o dispositivo é registrado na tela, o APIC pode enviar a configuração por meio dos parâmetros do dispositivo. Após o registro, você deve primeiro configurar o canal de porta que conecta o ASA aos switches leaf em um canal de porta virtual (vPC).

Para configurar o canal de porta, navegue até o dispositivo que você criou e clique na guia Parâmetros no canto superior do painel de trabalho. Clique no ícone lápis para modificar os parâmetros:

A janela Editar parâmetros de cluster é exibida. Clique em PortChannel para limitar o escopo da opção. Expanda a pasta Port Channel Member (Membro do canal de porta) e preencha as Opções de configuração. Aqui está uma explicação de cada opção:

  • ID do grupo de canais - No campo Valor, insira a ID do PC que deseja atribuir às interfaces no ASA (1 a 48 são suportadas).

  • Interface - No campo Valor, insira a interface no ASA que deseja atribuir ao grupo de canais.

Repita esse processo para cada interface que deseja atribuir:

Depois de concluído, você deve ver uma criação de canal de porta no ASA no contexto do sistema. Para verificar isso, acesse o contexto do sistema e insira o comando show port-channel summary:

ciscoasa# 
show port-channel summary
 

Flags:  D - down        P - bundled in port-channel
        I - stand-alone s - suspended
        H - Hot-standby (LACP only)
        U - in use      N - not in use, no aggregation/nameif
        M - not in use, no aggregation due to minimum links not met
        w - waiting to be aggregated
Number of channel-groups in use: 2
Group  Port-channel  Protocol  Span-cluster  Ports
------+-------------+---------+------------+-----------------------
27     Po27(N)           LACP          No     Gi0/4(P)   Gi0/5(P)
 [an error occurred while processing this directive]

Adicione o contexto do usuário como um dispositivo L4-L7

Você deve registrar o contexto do usuário como um dispositivo L4-L7 na estrutura. Navegue para Espaço > Serviços L4-L7 > Dispositivos L4-L7, clique com o botão direito do mouse e selecione Criar um dispositivo L4-L7, depois conclua estas etapas:

  1. Clique na caixa de seleção Gerenciado na área Geral, se ainda não estiver ativada.

  2. Introduza o nome do dispositivo.

  3. Selecione o Tipo de serviço no menu suspenso.

  4. Escolha o tipo de dispositivo.

  5. Selecione o Domínio Físico no menu suspenso.

  6. Escolha o modo.

  7. Selecione CISCO-ASA-1.2 no menu suspenso Device Package.

  8. Selecione o modelo ASA no menu suspenso.

  9. Escolha uma opção APIC para conectividade de gerenciamento de dispositivos na área Conectividade.

  10. Escolha o tipo de função (GoThrough é o modo transparente e GoTo é Routed).

  11. Digite seu nome de usuário e senha na área Credenciais.

  12. Insira o endereço IP do contexto do usuário no campo Management IP Address (Endereço IP de gerenciamento) (junto com a porta) na área Device 1.

  13. Crie uma interface física, dê um nome a ela, escolha o Grupo de Política de Interface que o ASA usa e selecione Provedor e consumidor.

  14. Insira o Endereço IP de Gerenciamento do contexto Admin (junto com a Porta) na área Cluster. Crie duas interfaces de cluster (um consumidor e um provedor) que apontem para o mesmo canal de porta.

    Note: Você pode concluir o uso do assistente neste momento. Você não precisa configurar nenhuma das informações de failover.

  15. Verifique se o dispositivo está estável e se não há falhas:

Adicione o NetScaler 1000V como um dispositivo L4-L7

O segundo nó neste exemplo de configuração é um NetScaler 1000V. O NetScaler fornece funcionalidade de balanceamento de carga para os servidores conectados. Você também deve registrar esse dispositivo no APIC. Navegue para Espaço > Serviços L4-L7 > Dispositivos L4-L7, clique com o botão direito do mouse e selecione Criar um dispositivo L4-L7, depois conclua estas etapas:

  1. Clique na caixa de seleção Gerenciado na área Geral, se ainda não estiver ativada.

  2. Introduza o nome do dispositivo.

  3. Selecione o Tipo de serviço no menu suspenso (o NetScaler é um ADC ou Application Delivery Controller).

  4. Escolha o tipo de dispositivo.

  5. Selecione o domínio do VMM (se virtual) no menu suspenso.

  6. Escolha o modo.

  7. Selecione Cisco-NetScaler1KV-1.0 no menu suspenso Device Package.

  8. Selecione o Modelo no menu suspenso (Virtual Appliance é o NetScaler-VPX)

  9. Escolha uma opção APIC para conectividade de gerenciamento de dispositivos na área Conectividade.

  10. Digite seu nome de usuário e senha na área Credenciais.

  11. Insira o endereço IP do contexto Admin no campo Management IP Address (Endereço IP de gerenciamento) (junto com a porta) na área Device 1. Escolha a VM (se virtual).

  12. Crie uma interface externa na área Interfaces do dispositivo e escolha um adaptador de rede não utilizado.

    Note: O adaptador de rede 1 é usado para fins de gerenciamento, portanto, não o use.

  13. Crie uma interface interna na área Interfaces do dispositivo e escolha um adaptador de rede não utilizado.

  14. Digite as mesmas informações que você usou para a área Dispositivo 1 na área Cluster. Criar duas interfaces de cluster (um consumidor e um fornecedor).



  15. Verifique se o dispositivo está estável e se não há falhas:

Crie o Modelo de Gráfico de Serviços

Agora que os dispositivos estão registrados, você pode criar um Modelo de Gráfico de Serviço. Navegue até Espaço > Serviços L4-L7 > Modelos de Gráfico de Serviços L4-L7 > Criar Modelo de Gráfico de Serviços L4-L7, e conclua estas etapas:

  1. Digite um nome no campo Nome do gráfico.

  2. Arraste e solte os dispositivos da área Clusters de Dispositivos na ordem em que eles devem ser implantados. Digite um nome para cada um.

  3. Escolha a função Profile para cada dispositivo. Para o NetScaler, este exemplo usa Dois Braços (ou modo Inline).

Implantar o modelo de gráfico de serviço

Depois que o modelo for criado, você poderá implantá-lo nos dispositivos. Navegue para Espaço > Serviços L4-L7 > Modelos de Gráfico de Serviço L4-L7 > Modelo de Gráfico de Serviço > Aplicar Modelo de Gráfico de Serviço.

Na guia Contrato, faça o seguinte:

  1. Selecione o EPG do consumidor no menu suspenso Consumer EPG / External Network.

  2. Selecione o EPG do provedor no menu suspenso Provider EPG / External Network.

  3. Crie um novo contrato ou escolha um que já exista na área Informações do contrato.

Na guia Graph (Gráfico), faça o seguinte:

  1. Selecione o BD para a interface externa do ASA no menu suspenso BD.

  2. Selecione o BD para a interface interna do ASA no menu suspenso BD.

  3. Selecione o BD para a interface externa do NetScaler no menu suspenso BD.

  4. Selecione o BD para a interface interna do NetScaler no menu suspenso BD.

Na guia Parâmetros ASA, insira os parâmetros desejados. Nenhum dos parâmetros desta guia é necessário.

Na guia NetScaler Parameters, insira a configuração do NetScaler através do assistente:

Verificar

No momento, não há procedimento de verificação disponível para esta configuração.

Troubleshoot

Esta seção fornece informações que você pode usar para solucionar problemas de sua configuração.

Falhas conhecidas

Aqui estão duas falhas conhecidas relacionadas às configurações descritas neste documento:

  • Aviso do script: O cabo está incorreto ou não está conectado ao conector de interface:



    Para resolver esse problema, certifique-se de que os parâmetros do canal de porta estejam configurados e que o canal de porta esteja ativo no ASA. Consulte a seção Configurar os Parâmetros do Port-Channel deste documento para obter informações sobre como verificar isso.

    Se a interface estiver ativa, mas você ainda vir essas falhas, é provável que seja devido ao bug da Cisco ID CSCuw56882. Este bug é corrigido no pacote de dispositivos 1.2.3 com suporte para a versão 1.2(x) do software ACI. Os pacotes de dispositivos podem ser baixados aqui.

  • Erro de script principal: Erro de conexão: Erro de cliente 401: Não autorizado:



    Para resolver esse problema, certifique-se de que as credenciais corretas sejam provisionadas nos dispositivos e configuradas corretamente no APIC.
TAC Authored

Colaborado por engenheiros da Cisco

  • Joseph Ristaino
    Engenheiro do TAC da Cisco

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos