此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。
思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。
本文档介绍如何在路由/GOTO模式下使用自适应安全虚拟设备(ASAv)单防火墙部署应用虚拟交换机(AVS)交换机,作为两个终端组(EPG)之间的L4-L7服务图,以使用ACI 1.2(x)建立客户端到服务器通信释放。
Cisco 建议您了解以下主题:
本文档中的信息基于以下软件和硬件版本:
硬件和软件:
功能:
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
如图所示,
AVS初始设置创建VMware vCenter域(VMM集成)2
注意:
导航至VM Networking > VMWare > Create vCenter Domain,如图所示:
如果您使用的是端口通道或VPC(虚拟端口通道),建议将vSwitch策略设置为使用Mac Pinning。
此后,APIC应将AVS交换机配置推送到vCenter,如图所示:
在APIC上,您可以注意到VXLAN隧道终端(VTEP)地址已分配给AVS的VTEP端口组。无论使用什么连接模式(VLAN或VXLAN),都会分配此地址
在vCenter中安装Cisco AVS软件
注意:在本例中,我们使用ESX 5.5,表1显示ESXi 6.0、5.5、5.1和5.0的兼容性矩阵
表1 - ESXi 6.0、5.5、5.1和5.0的主机软件版本兼容性
在ZIP文件中有3个VIB文件,每个ESXi主机版本对应一个,请选择适合ESX 5.5的一个文件,如图所示:
注意:如果主机上存在VIB文件,请使用esxcli软件vib remove命令将其删除。
esxcli软件vib remove -n cross_cisco-vem-v197-5.2.1.3.1.5.0-3.2.1.vib
或直接浏览Datastore。
esxcli软件vib install -v /vmfs/volumes/datastore1/cross_cisco-vem-v250-5.2.1.3.10.0-3.2.1.vib —maintenance-mode —no-sig-check
在向vSphere分布式交换机添加主机对话框中,选择连接到枝叶交换机的虚拟NIC端口(在本示例中,您仅移动vmnic6),如图所示:
注意:如果使用多台ESXi主机,则所有主机都需要运行AVS/VEM,以便从标准交换机管理到DVS或AVS。
因此,AVS集成已完成,我们已准备好继续L4-L7 ASAv部署:
ASAv初始设置
导航到L4-L7服务>包>导入设备包,如图所示:
在继续之前,在执行实际的L4-L7集成之前,需要确定安装的几个方面:
管理网络分为两种类型:带内管理和带外(OOB),它们可用于管理不属于基本以应用为中心的基础设施(ACI)(枝叶、主干或apic控制器)的设备,包括ASAv、负载均衡器等。
在这种情况下,ASAv的OOB使用标准vSwitch进行部署。对于裸机ASA或其他服务设备和/或服务器,将OOB管理端口连接到OOB交换机或网络,如图所示。
ASAv OOB管理端口管理连接需要使用ESXi上行链路端口通过OOB与APIC通信。映射vNIC接口时,网络适配器1始终与ASAv上的Management0/0接口匹配,其余数据平面接口从网络适配器2启动。
表2显示网络适配器ID和ASAv接口ID的协调:
表 2
username admin password <device_password> encrypted privilege 15
此外,在全局配置模式下启用http服务器:
HTTP服务器启用
http 0.0.0.0 0.0.0.0管理
APIC中ASAv集成的L4-L7:
对于此实施,将应用以下设置:
— 托管模式
— 防火墙服务
— 虚拟设备
— 通过单节点连接到AVS域
-ASAv型号
— 路由模式(GoTo)
— 管理地址(必须与之前分配给Mgmt0/0接口的地址匹配)
对于第一部分,使用上一节中显示的表2,将网络适配器ID与要使用的ASAv接口ID正确匹配。路径是指启用进出防火墙接口的方式的物理端口或端口通道或VPC。在这种情况下,ASA位于ESX主机中,其中传入和传出对于两个接口都是相同的。在物理设备中,防火墙(FW)的内部和外部是不同的物理端口。
对于第二部分,必须始终定义集群接口,而不例外(即使不使用集群HA),这是因为对象模型在mIf接口(设备包上的元接口)、LIf接口(枝叶接口,如外部、内部、内部等)与CIf(具体接口)。 L4-L7具体设备必须在设备集群配置中配置,这种抽象称为逻辑设备。逻辑设备具有逻辑接口,这些逻辑接口映射到具体设备上的具体接口。
在本例中,将使用以下关联:
Gi0/0 = vmnic2 =服务器接口/提供商/服务器> EPG1
Gi0/1 = vmnic3 =客户端接口/消费者/客户端> EPG2
注意:对于故障切换/HA部署,GigabitEthernet 0/8已预配置为故障切换接口。
设备状态应为“稳定”,您应准备好部署功能配置文件和服务图模板
服务图庙
首先,为ASAv创建功能配置文件,但在此之前,您需要在该文件夹下创建功能配置文件组,然后创建L4-L7服务功能配置文件,如图所示:
在本练习中,路由防火墙(GoTo模式)要求每个接口都有唯一的IP地址。标准ASA配置还具有接口安全级别(外部接口安全性较低,内部接口安全性较高)。 您还可以根据需要更改接口的名称。本示例中使用默认值。
注意:您还可以修改默认访问列表设置并创建您自己的基本模板。默认情况下,路由模式模板将包含HTTP和HTTPS规则。在本练习中,SSH和ICMP将添加到允许的外部访问列表。
注意:防火墙的每个接口将分配一个来自AVS动态池的encap-vlan。验证是否没有故障。
在本测试中,我让2个EPG与标准合同通信,这2个EPG位于不同的域和不同的VRF中,因此它们之间的路由泄漏已预先配置。当防火墙在2个EPG之间设置路由和过滤时,这样在插入服务图后会简化一点。EPG和BD下之前配置的DG现在可以与合同一样删除。只有L4-L7推送的合同应保留在EPG下。
在删除标准合同后,您可以确认流量现在是否流经ASAv,命令show access-list应显示每次客户端向服务器发送请求时递增的规则的命中计数。
在枝叶上,应为客户端和服务器虚拟机以及ASAv接口学习终端
参见连接到VEM的两个防火墙接口。
ESX-1
ESX-2
最后,如果我们知道源和目标EPG的PC标记,也可以在枝叶级别验证防火墙规则:
过滤器ID可以与枝叶上的PC标记匹配,以验证防火墙规则。
注意:EPG PCTags/Sclass从不直接通信。通信通过L4-L7服务图插入创建的影子EPG被中断或绑定在一起。
通信客户端到服务器工作正常。
未分配VTEP地址
验证是否在AEP下检查了Infrastructure Vlan:
不支持的版本
验证VEM版本是否正确,并支持适当的ESXi VMWare系统。
~ # vem version Running esx version -1746974 x86_64 VEM Version: 5.2.1.3.1.10.0-3.2.1 OpFlex SDK Version: 1.2(1i) System Version: VMware ESXi 5.5.0 Releasebuild-1746974 ESX Version Update Level: 0[an error occurred while processing this directive]
VEM和交换矩阵通信不工作
- Check VEM status vem status - Try reloading or restating the VEM at the host: vem reload vem restart - Check if there’s connectivity towards the Fabric. You can try pinging 10.0.0.30 which is (infra:default) with 10.0.0.30 (shared address, for both Leafs) ~ # vmkping -I vmk1 10.0.0.30 PING 10.0.0.30 (10.0.0.30): 56 data bytes --- 10.0.0.30 ping statistics --- 3 packets transmitted, 0 packets received, 100% packet loss If ping fails, check: - Check OpFlex status - The DPA (DataPathAgent) handles all the control traffic between AVS and APIC (talks to the immediate Leaf switch that is connecting to) using OpFlex (opflex client/agent).[an error occurred while processing this directive]
All EPG communication will go thru this opflex connection. ~ # vemcmd show opflex Status: 0 (Discovering) Channel0: 0 (Discovering), Channel1: 0 (Discovering) Dvs name: comp/prov-VMware/ctrlr-[AVS]-vCenterController/sw-dvs-129 Remote IP: 10.0.0.30 Port: 8000 Infra vlan: 3967 FTEP IP: 10.0.0.32 Switching Mode: unknown Encap Type: unknown NS GIPO: 0.0.0.0 you can also check the status of the vmnics at the host level: ~ # esxcfg-vmknic -l Interface Port Group/DVPort IP Family IP Address Netmask Broadcast MAC Address MTU TSO MSS Enabled Type vmk0 Management Network IPv4 10.201.35.219 255.255.255.0 10.201.35.255 e4:aa:5d:ad:06:3e 1500 65535 true STATIC vmk0 Management Network IPv6 fe80::e6aa:5dff:fead:63e 64 e4:aa:5d:ad:06:3e 1500 65535 true STATIC, PREFERRED vmk1 160 IPv4 10.0.32.65 255.255.0.0 10.0.255.255 00:50:56:6b:ca:25 1500 65535 true STATIC vmk1 160 IPv6 fe80::250:56ff:fe6b:ca25 64 00:50:56:6b:ca:25 1500 65535 true STATIC, PREFERRED ~ # - Also on the host, verify if DHCP requests are sent back and forth: ~ # tcpdump-uw -i vmk1 tcpdump-uw: verbose output suppressed, use -v or -vv for full protocol decode listening on vmk1, link-type EN10MB (Ethernet), capture size 96 bytes 12:46:08.818776 IP truncated-ip - 246 bytes missing! 0.0.0.0.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from 00:50:56:6b:ca:25 (oui Unknown), length 300 12:46:13.002342 IP truncated-ip - 246 bytes missing! 0.0.0.0.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from 00:50:56:6b:ca:25 (oui Unknown), length 300 12:46:21.002532 IP truncated-ip - 246 bytes missing! 0.0.0.0.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from 00:50:56:6b:ca:25 (oui Unknown), length 300 12:46:30.002753 IP truncated-ip - 246 bytes missing! 0.0.0.0.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from 00:50:56:6b:ca:25 (oui Unknown), length 300
此时可以确定ESXi主机和枝叶之间的交换矩阵通信无法正常工作。可以在枝叶端检查某些验证命令以确定根本原因。
leaf2# show cdp ne Capability Codes: R - Router, T - Trans-Bridge, B - Source-Route-Bridge S - Switch, H - Host, I - IGMP, r - Repeater, V - VoIP-Phone, D - Remotely-Managed-Device, s - Supports-STP-Dispute Device-ID Local Intrfce Hldtme Capability Platform Port ID AVS:localhost.localdomainmain Eth1/5 169 S I s VMware ESXi vmnic4 AVS:localhost.localdomainmain Eth1/6 169 S I s VMware ESXi vmnic5 N3K-2(FOC1938R02L) Eth1/13 166 R S I s N3K-C3172PQ-1 Eth1/13 leaf2# show port-c sum Flags: D - Down P - Up in port-channel (members) I - Individual H - Hot-standby (LACP only) s - Suspended r - Module-removed S - Switched R - Routed U - Up (port-channel) M - Not in use. Min-links not met F - Configuration failed ------------------------------------------------------------------------------- Group Port- Type Protocol Member Ports Channel ------------------------------------------------------------------------------- 5 Po5(SU) Eth LACP Eth1/5(P) Eth1/6(P)[an error occurred while processing this directive]
通过Po5连接的ESXi中有2个端口
leaf2# show vlan extended VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 13 infra:default active Eth1/1, Eth1/20 19 -- active Eth1/13 22 mgmt:inb active Eth1/1 26 -- active Eth1/5, Eth1/6, Po5 27 -- active Eth1/1 28 :: active Eth1/5, Eth1/6, Po5 36 common:pod6_BD active Eth1/5, Eth1/6, Po5 VLAN Type Vlan-mode Encap ---- ----- ---------- ------------------------------- 13 enet CE vxlan-16777209, vlan-3967 19 enet CE vxlan-14680064, vlan-150 22 enet CE vxlan-16383902 26 enet CE vxlan-15531929, vlan-200 27 enet CE vlan-11 28 enet CE vlan-14 36 enet CE vxlan-15662984[an error occurred while processing this directive] 从上述输出中可以看到,Infra Vlan不允许或通过通往ESXi主机的上行链路端口(1/5-6)。 这表示APIC上配置了接口策略或交换机策略的配置错误。
leaf2# show vlan extended VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 13 infra:default active Eth1/1, Eth1/5, Eth1/6, Eth1/20, Po5 19 -- active Eth1/13 22 mgmt:inb active Eth1/1 26 -- active Eth1/5, Eth1/6, Po5 27 -- active Eth1/1 28 :: active Eth1/5, Eth1/6, Po5 36 common:pod6_BD active Eth1/5, Eth1/6, Po5 VLAN Type Vlan-mode Encap ---- ----- ---------- ------------------------------- 13 enet CE vxlan-16777209, vlan-3967 19 enet CE vxlan-14680064, vlan-150 22 enet CE vxlan-16383902 26 enet CE vxlan-15531929, vlan-200 27 enet CE vlan-11 28 enet CE vlan-14 36 enet CE vxlan-15662984 and Opflex connection is restablised after restarting the VEM module: ~ # vem restart stopDpa VEM SwISCSI PID is Warn: DPA running host/vim/vimuser/cisco/vem/vemdpa.213997 Warn: DPA running host/vim/vimuser/cisco/vem/vemdpa.213997 watchdog-vemdpa: Terminating watchdog process with PID 213974 ~ # vemcmd show opflex Status: 0 (Discovering) Channel0: 14 (Connection attempt), Channel1: 0 (Discovering) Dvs name: comp/prov-VMware/ctrlr-[AVS]-vCenterController/sw-dvs-129 Remote IP: 10.0.0.30 Port: 8000 Infra vlan: 3967 FTEP IP: 10.0.0.32 Switching Mode: unknown Encap Type: unknown NS GIPO: 0.0.0.0 ~ # vemcmd show opflex Status: 12 (Active) Channel0: 12 (Active), Channel1: 0 (Discovering) Dvs name: comp/prov-VMware/ctrlr-[AVS]-vCenterController/sw-dvs-129 Remote IP: 10.0.0.30 Port: 8000 Infra vlan: 3967 FTEP IP: 10.0.0.32 Switching Mode: LS Encap Type: unknown NS GIPO: 0.0.0.0[an error occurred while processing this directive]
应用虚拟交换机安装
思科系统公司思科应用虚拟交换机安装指南,版本5.2(1)SV3(1.2)使用VMware部署ASAv
思科系统公司思科自适应安全虚拟设备(ASAv)快速入门指南,9.4
思科ACI和思科AVS
使用思科以应用为中心的基础设施设计服务图白皮书