O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.
A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Este documento descreve como implantar um switch Application Virtual Switch (AVS) com um único firewall Adaptive Security Virtual Appliance (ASAv) no modo roteado/GOTO como um gráfico de serviço L4-L7 entre dois EPGs (End Point Groups) para estabelecer comunicação cliente-servidor usando a versão ACI 1.2(x).
A Cisco recomenda que você tenha conhecimento destes tópicos:
As informações neste documento são baseadas nestas versões de software e hardware:
Hardware e software:
Recursos:
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Conforme mostrado na imagem,
A configuração inicial do AVS cria um domínio do VMware vCenter (integração do VMM)2
Note:
Navegue até Rede VM > VMWare > Criar domínio vCenter, conforme mostrado na imagem:
Se você estiver usando canal de porta ou VPC (canal de porta virtual), é recomendável definir as políticas do vSwitch para usar o Mac Pinning.
Depois disso, o APIC deve enviar a configuração do switch AVS para o vCenter, como mostrado na imagem:
No APIC, você pode observar que um endereço VXLAN Tunnel Endpoint (VTEP) é atribuído ao grupo de portas VTEP para AVS. Este endereço é atribuído independentemente do modo de conectividade usado (VLAN ou VXLAN)
Instalar o software Cisco AVS no vCenter
Nota:Nesse caso, estamos usando o ESX 5.5, Tabela 1, mostra a matriz de compatibilidade do ESXi 6.0, 5.5, 5.1 e 5.0
Tabela 1 - Compatibilidade da versão do software do host para ESXi 6.0, 5.5, 5.1 e 5.0
No arquivo ZIP, há 3 arquivos VIB, um para cada versão do host ESXi, selecione o apropriado para o ESX 5.5, como mostrado na imagem:
Note: Se houver um arquivo VIB no host, remova-o usando o comando esxcli software vib remove.
esxcli software vib remove -n cross_cisco-vem-v197-5.2.1.3.1.5.0-3.2.1.vib
ou navegando diretamente no Datastore.
esxcli software vib install -v /vmfs/volumes/datastore1/cross_cisco-vem-v250-5.2.1.3.1.10.0-3.2.1.vib — modo de manutenção — no-sig-check
Na caixa de diálogo Add Host to vSphere Distributed Switch, escolha as portas da NIC virtual conectadas ao switch leaf (Neste exemplo, você move apenas vmnic6), como mostrado na imagem:
Note: Se vários hosts ESXi forem usados, todos precisarão executar o AVS/VEM para que possam ser gerenciados do switch padrão para DVS ou AVS.
Com isso, a integração do AVS foi concluída e estamos prontos para continuar com a implantação do L4-L7 ASAv:
Configuração inicial do ASAv
Navegue até L4-L7 Services > Packages > Import Device Package (Serviços L4-L7 > Pacotes > Importar pacote de dispositivo) como mostrado na imagem:
Antes de continuar, há alguns aspectos da instalação que precisam ser determinados antes da integração L4-L7 real ser executada:
Há dois tipos de redes de gerenciamento, gerenciamento dentro da banda e out-of-band (OOB), que podem ser usadas para gerenciar dispositivos que não fazem parte da ACI (Application Centric Infrastructure, infraestrutura básica centrada em aplicativos) (leaf, spines, controlador apic), que inclui ASAv, balanceadores de carga, etc.
Nesse caso, o OOB para ASAv é implantado com o uso do vSwitch padrão. Para ASA bare metal ou outros dispositivos e/ou servidores de serviços, conecte a porta de gerenciamento OOB ao switch OOB ou à rede, como mostrado na imagem.
A conexão de gerenciamento de porta OOB ASAv precisa usar portas de uplink ESXi para se comunicar com o APIC via OOB. Ao mapear interfaces vNIC, o adaptador de rede 1 sempre corresponde à interface Management0/0 no ASAv, e o restante das interfaces do plano de dados é iniciado do adaptador de rede 2.
A Tabela 2 mostra a concordância das IDs dos adaptadores de rede e IDs de interface do ASAv:
Tabela 2
username admin password <device_password> privilégio criptografado 15
Além disso, no modo de configuração global, habilite o servidor http:
http server enable
http 0.0.0.0 0.0.0.0 gerenciamento
L4-L7 para integração do ASAv no APIC:
Para esta implementação, serão aplicadas as seguintes definições:
-Modo gerenciado
-Serviço de firewall
-Dispositivo virtual
-Conectado ao domínio AVS com um nó único
-Modelo ASAv
-Modo roteado (GoTo)
-Management Address (Endereço de gerenciamento) (precisa corresponder ao endereço anterior atribuído à interface Mgmt0/0)
Para a primeira parte, use a Tabela 2 mostrada na seção anterior para corresponder corretamente as IDs do adaptador de rede com as IDs de interface do ASAv que você gostaria de usar. O Caminho refere-se à porta física ou canal de porta ou VPC que permite a entrada e saída das interfaces de firewall. Nesse caso, o ASA está localizado em um host ESX, em que entrada e saída são iguais para ambas as interfaces. Em um dispositivo físico, dentro e fora do firewall (FW) seriam portas físicas diferentes.
Para a segunda parte, as interfaces de cluster devem ser definidas sempre sem exceções (mesmo que o Cluster HA não seja usado), isso ocorre porque o Modelo de objeto tem uma associação entre a interface mIf (meta interface no pacote de dispositivos), a interface LIf (interface leaf, como externa, interna, interna, etc.) e a CIf (interface concreta). Os dispositivos concretos L4-L7 precisam ser configurados em uma configuração de cluster de dispositivos e essa abstração é chamada de dispositivo lógico. O dispositivo lógico tem interfaces lógicas que são mapeadas para interfaces concretas no dispositivo concreto.
Para este exemplo, será usada a seguinte associação:
Gi0/0 = vmnic2 = ServerInt/provider/server > EPG1
Gi0/1 = vmnic3 = ClientInt/consumer/client > EPG2
Note: Para implantações de failover/HA, o GigabitEthernet 0/8 é pré-configurado como a interface de failover.
O estado do dispositivo deve ser Estável e você deve estar pronto para implantar o Perfil de função e o Modelo de Gráfico de serviços
Templo do Gráfico de Serviços
Primeiro, crie um perfil de função para o ASAv, mas antes disso você precisa criar o grupo de perfis de função e, em seguida, o perfil de função de serviços L4-L7 nessa pasta, como mostrado na imagem:
Para este exercício, um firewall roteado (modo GoTo) exige que cada interface tenha um endereço IP exclusivo. A configuração ASA padrão também tem um nível de segurança de interface (a interface externa é menos segura, a interface interna é mais segura). Você também pode alterar o nome da interface de acordo com seu requisito. Os padrões são usados neste exemplo.
Note: Você também pode modificar as configurações padrão da Lista de acesso e criar seu próprio modelo base. Por padrão, o modelo RoutedMode incluirá regras para HTTP e HTTPS. Para este exercício, SSH e ICMP serão adicionados à lista de acesso externo permitida.
Note: Cada interface do Firewall será atribuída com uma encap-vlan do Pool Dinâmico do AVS. Verifique se não há falhas.
Para esse teste, tive os 2 EPGs se comunicando com contratos padrão, esses 2 EPGs estão em domínios diferentes e VRFs diferentes, portanto, o vazamento de rota entre eles foi configurado anteriormente. Isso simplifica um pouco após a inserção do Service Graph, pois o FW configura o roteamento e a filtragem entre os 2 EPGs. A DG previamente configurada no EPG e na BD pode agora ser removida da mesma forma que os contratos. Apenas o contrato proposto pelo L4-L7 deve permanecer sob os EPG.
À medida que o contrato padrão é removido, você pode confirmar que o tráfego agora flui através do ASAv, o comando show access-list deve exibir a contagem de ocorrências para a regra que é incrementada sempre que o cliente envia uma solicitação ao servidor.
No leaf, os endpoints devem ser aprendidos para VMs cliente e servidor, bem como para as interfaces ASAv
consulte as duas interfaces de firewall conectadas ao VEM.
ESX-1
ESX-2
Finalmente, as regras de firewall também podem ser verificadas no nível de folha se soubermos as Marcas do PC para EPGs de origem e de destino:
As IDs de filtro podem ser combinadas com as marcas de PC na folha para verificar as regras de FW.
Note: Os EPG PCTags/Sclass nunca se comunicam diretamente. A comunicação é interrompida ou vinculada através dos EPGs de sombra criados pela inserção do gráfico do serviço L4-L7.
E o cliente de comunicação para servidor funciona.
O endereço VTEP não está atribuído
Verifique se Infrastructure Vlan está marcada no AEP:
Versão não suportada
Verifique se a versão do VEM está correta e ofereça suporte ao sistema ESXi VMWare apropriado.
~ # vem version Running esx version -1746974 x86_64 VEM Version: 5.2.1.3.1.10.0-3.2.1 OpFlex SDK Version: 1.2(1i) System Version: VMware ESXi 5.5.0 Releasebuild-1746974 ESX Version Update Level: 0[an error occurred while processing this directive]
Comunicação de VEM e malha não está funcionando
- Check VEM status vem status - Try reloading or restating the VEM at the host: vem reload vem restart - Check if there’s connectivity towards the Fabric. You can try pinging 10.0.0.30 which is (infra:default) with 10.0.0.30 (shared address, for both Leafs) ~ # vmkping -I vmk1 10.0.0.30 PING 10.0.0.30 (10.0.0.30): 56 data bytes --- 10.0.0.30 ping statistics --- 3 packets transmitted, 0 packets received, 100% packet loss If ping fails, check: - Check OpFlex status - The DPA (DataPathAgent) handles all the control traffic between AVS and APIC (talks to the immediate Leaf switch that is connecting to) using OpFlex (opflex client/agent).[an error occurred while processing this directive]
All EPG communication will go thru this opflex connection. ~ # vemcmd show opflex Status: 0 (Discovering) Channel0: 0 (Discovering), Channel1: 0 (Discovering) Dvs name: comp/prov-VMware/ctrlr-[AVS]-vCenterController/sw-dvs-129 Remote IP: 10.0.0.30 Port: 8000 Infra vlan: 3967 FTEP IP: 10.0.0.32 Switching Mode: unknown Encap Type: unknown NS GIPO: 0.0.0.0 you can also check the status of the vmnics at the host level: ~ # esxcfg-vmknic -l Interface Port Group/DVPort IP Family IP Address Netmask Broadcast MAC Address MTU TSO MSS Enabled Type vmk0 Management Network IPv4 10.201.35.219 255.255.255.0 10.201.35.255 e4:aa:5d:ad:06:3e 1500 65535 true STATIC vmk0 Management Network IPv6 fe80::e6aa:5dff:fead:63e 64 e4:aa:5d:ad:06:3e 1500 65535 true STATIC, PREFERRED vmk1 160 IPv4 10.0.32.65 255.255.0.0 10.0.255.255 00:50:56:6b:ca:25 1500 65535 true STATIC vmk1 160 IPv6 fe80::250:56ff:fe6b:ca25 64 00:50:56:6b:ca:25 1500 65535 true STATIC, PREFERRED ~ # - Also on the host, verify if DHCP requests are sent back and forth: ~ # tcpdump-uw -i vmk1 tcpdump-uw: verbose output suppressed, use -v or -vv for full protocol decode listening on vmk1, link-type EN10MB (Ethernet), capture size 96 bytes 12:46:08.818776 IP truncated-ip - 246 bytes missing! 0.0.0.0.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from 00:50:56:6b:ca:25 (oui Unknown), length 300 12:46:13.002342 IP truncated-ip - 246 bytes missing! 0.0.0.0.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from 00:50:56:6b:ca:25 (oui Unknown), length 300 12:46:21.002532 IP truncated-ip - 246 bytes missing! 0.0.0.0.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from 00:50:56:6b:ca:25 (oui Unknown), length 300 12:46:30.002753 IP truncated-ip - 246 bytes missing! 0.0.0.0.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from 00:50:56:6b:ca:25 (oui Unknown), length 300
Neste ponto, pode-se determinar que a comunicação de estrutura entre o host ESXi e o Folaf não funciona corretamente. Alguns comandos de verificação podem ser verificados no lado da folha para determinar a causa raiz.
leaf2# show cdp ne Capability Codes: R - Router, T - Trans-Bridge, B - Source-Route-Bridge S - Switch, H - Host, I - IGMP, r - Repeater, V - VoIP-Phone, D - Remotely-Managed-Device, s - Supports-STP-Dispute Device-ID Local Intrfce Hldtme Capability Platform Port ID AVS:localhost.localdomainmain Eth1/5 169 S I s VMware ESXi vmnic4 AVS:localhost.localdomainmain Eth1/6 169 S I s VMware ESXi vmnic5 N3K-2(FOC1938R02L) Eth1/13 166 R S I s N3K-C3172PQ-1 Eth1/13 leaf2# show port-c sum Flags: D - Down P - Up in port-channel (members) I - Individual H - Hot-standby (LACP only) s - Suspended r - Module-removed S - Switched R - Routed U - Up (port-channel) M - Not in use. Min-links not met F - Configuration failed ------------------------------------------------------------------------------- Group Port- Type Protocol Member Ports Channel ------------------------------------------------------------------------------- 5 Po5(SU) Eth LACP Eth1/5(P) Eth1/6(P)[an error occurred while processing this directive]
Há duas portas usadas no ESXi conectadas através de um Po5
leaf2# show vlan extended VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 13 infra:default active Eth1/1, Eth1/20 19 -- active Eth1/13 22 mgmt:inb active Eth1/1 26 -- active Eth1/5, Eth1/6, Po5 27 -- active Eth1/1 28 :: active Eth1/5, Eth1/6, Po5 36 common:pod6_BD active Eth1/5, Eth1/6, Po5 VLAN Type Vlan-mode Encap ---- ----- ---------- ------------------------------- 13 enet CE vxlan-16777209, vlan-3967 19 enet CE vxlan-14680064, vlan-150 22 enet CE vxlan-16383902 26 enet CE vxlan-15531929, vlan-200 27 enet CE vlan-11 28 enet CE vlan-14 36 enet CE vxlan-15662984[an error occurred while processing this directive] A partir da saída acima, pode-se observar que a Vlan de infravermelho não é permitida ou passa pelas portas de uplinks que vão para o host ESXi (1/5-6). Isso indica uma configuração incorreta com a política de interface ou a política de switch configurada no APIC.
leaf2# show vlan extended VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 13 infra:default active Eth1/1, Eth1/5, Eth1/6, Eth1/20, Po5 19 -- active Eth1/13 22 mgmt:inb active Eth1/1 26 -- active Eth1/5, Eth1/6, Po5 27 -- active Eth1/1 28 :: active Eth1/5, Eth1/6, Po5 36 common:pod6_BD active Eth1/5, Eth1/6, Po5 VLAN Type Vlan-mode Encap ---- ----- ---------- ------------------------------- 13 enet CE vxlan-16777209, vlan-3967 19 enet CE vxlan-14680064, vlan-150 22 enet CE vxlan-16383902 26 enet CE vxlan-15531929, vlan-200 27 enet CE vlan-11 28 enet CE vlan-14 36 enet CE vxlan-15662984 and Opflex connection is restablised after restarting the VEM module: ~ # vem restart stopDpa VEM SwISCSI PID is Warn: DPA running host/vim/vimuser/cisco/vem/vemdpa.213997 Warn: DPA running host/vim/vimuser/cisco/vem/vemdpa.213997 watchdog-vemdpa: Terminating watchdog process with PID 213974 ~ # vemcmd show opflex Status: 0 (Discovering) Channel0: 14 (Connection attempt), Channel1: 0 (Discovering) Dvs name: comp/prov-VMware/ctrlr-[AVS]-vCenterController/sw-dvs-129 Remote IP: 10.0.0.30 Port: 8000 Infra vlan: 3967 FTEP IP: 10.0.0.32 Switching Mode: unknown Encap Type: unknown NS GIPO: 0.0.0.0 ~ # vemcmd show opflex Status: 12 (Active) Channel0: 12 (Active), Channel1: 0 (Discovering) Dvs name: comp/prov-VMware/ctrlr-[AVS]-vCenterController/sw-dvs-129 Remote IP: 10.0.0.30 Port: 8000 Infra vlan: 3967 FTEP IP: 10.0.0.32 Switching Mode: LS Encap Type: unknown NS GIPO: 0.0.0.0[an error occurred while processing this directive]
Instalação do Switch Virtual de Aplicativo
Cisco Systems, Inc. Guia de instalação do Cisco Application Virtual Switch, versão 5.2(1)SV3(1.2)Implante o ASAv usando o VMware
Cisco Systems, Inc. Guia de início rápido do Cisco Adaptive Security Virtual Appliance (ASAv), 9.4
Cisco ACI e Cisco AVS
Cisco Systems, Inc. Guia de virtualização da Cisco ACI, versão 1.2(1i)
White paper Design do Service Graph com a infraestrutura centrada em aplicativos da Cisco
White paper Design do Service Graph com a infraestrutura centrada em aplicativos da Cisco