在ACI中配置带内管理

下载选项

  • PDF     (3.7 MB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (3.3 MB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (3.0 MB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2024 年 5 月 9 日
文档 ID:221867

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍以应用为中心的基础设施(ACI)中的带内(INB)管理的配置

    先决条件

    要求

    Cisco 建议您了解以下主题:

    * 了解ACI访问策略
    * 了解ACI合同
    * 了解L3out外部网络实例配置文件(外部EPG)配置

    在ACI中配置INB之前需要完成交换矩阵发现。

    使用的组件

    本文档中的信息基于以下软件和硬件版本:

    • 应用策略基础设施控制器 (APIC)
    • 浏览器
    • 运行5.2 (8e)的ACI

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    配置

    配置分为三个主要步骤:
    1. 在连接枝叶和APIC的端口上配置INB的VLAN
    2. 在管理租户中关联INB EPG并将INB地址分配给所有设备。
    3. 通过L3out或租户VRF泄漏INB地址。

    网络图

    网络图

    1. 配置枝叶接口中的INB VLAN

    1.1.创建VLAN池

    导航到APIC Web GUI路径;Fabric > Access Policies > Pools > VLAN。

    VLAN池1

    VLAN池2

    Name - VLAN池的名称。此名称可以是1到64个字母数字字符。

    Description - VLAN池的说明。说明可以是0到128个字母数字字符。

    分配模式-对于INB,此VLAN池的分配方法必须为static

    Encap Blocks —分配的VLAN池的范围。

    范围- VLAN池的开始VLAN ID和结束VLAN ID。起始ID必须小于或等于结束ID。

    1.2.创建物理域

    导航到APIC Web GUI路径;Fabric > Access Policies > Physical and External Domains > Physical Domains。

    域 1

    域 2

    名称- 物理域的名称。此名称可以是1到64个字母数字字符。

    VLAN Pool —选择步骤1.1中创建的VLAN池。

    1.3.创建可附加访问实体配置文件

    导航到APIC Web GUI路径;Fabric > Access Policies > Policies > Global > Attachable Access Entity Profile。

    AAEP 1

    AAEP 2

    名称- 可附加访问授权配置文件的名称。此名称可以是1到64个字母数字字符。

    Association to Interfaces -取消选中。在最后一步中,在第1.6步中手动分配到枝叶接口。

    要与接口关联的域(VMM、物理或外部)-选择在步骤1.2中创建的物理域。

    1.4.创建枝叶接入端口策略组

    导航到APIC Web GUI路径;Fabric > Access Policies > Interfaces > Leaf Interfaces > Policy Groups > Leaf Access Port Policy Group。

    接口策略组1

    接口策略组2

    名称-枝叶接入端口策略组的名称。此名称可以是1到64个字母数字字符。

    附加实体配置文件-选择在步骤1.3中创建的附加实体配置文件。

    链路层发现协议(LLDP)策略-必须选择启用策略

    1.5.创建枝叶接入端口策略组

    导航到APIC Web GUI路径;Fabric > Access Policies > Interfaces > Leaf Interfaces > Profiles。

    接口配置文件1

    接口配置文件2

    名称-枝叶接口配置文件的名称。此名称可以是1到64个字母数字字符。

    接口选择器-创建接口和接口策略之间的对应关系。

    名称-接入端口选择器的名称。此名称可以是1到64个字母数字字符。

    接口ID -接口ID与APIC互连。在文档拓扑中,此接口ID为1/47或1/48。

    接口策略组-选择在步骤1.4中创建的附加实体配置文件。

    注释图标

    注意:在本文档的拓扑中,将三个APIC连接到枝叶的接口不同。
    由于APIC 3未连接到Eth1/47接口,因此无法创建1/47-1/48的接口ID。
    需要为Eth1/47和Eth1/48创建单独的接口配置文件。

    1.6.将接口配置文件应用于枝叶

    导航到APIC Web GUI路径;Fabric > Access Policies > Switches > Leaf Switches > Profiles。

    交换机配置文件1

    交换机配置文件2

    名称-枝叶配置文件的名称。此名称可以是1到64个字母数字字符。

    枝叶选择器-选择将接口配置推送至的枝叶ID。

    名称-枝叶组的名称。

    块-选择交换机节点ID。

    交换机配置文件3

    Interface Selector Profiles —选择在步骤1.5中创建的附加实体配置文件。

    注释图标

    注意:在本文档的示例中,必须配置两个交换机配置文件。
    第一种是选择枝叶101-102和枝叶111-112,并将接口配置文件分配给Eth1/48。
    第二个是选择枝叶111-112并将接口配置文件分配给Eth1/47。

    有关访问策略的更多故障排除详细信息,请参阅ACI访问策略故障排除

    2. 在管理租户中分配INB地址

    2.1.创建网桥域(BD) INB子网

    导航到APIC Web GUI路径;Tenants > mgmt > Networking > Bridge Domains > inb。

    注释图标

    注意:本文档使用默认BD和默认VRF。

    您还可以创建新的VRF和BD以执行类似的配置。

    mgmt BD Subnet 1

    mgmt BD Subnet 2

    Gateway IP - The INB subnet gateway.

    Scope - Choose according to the route leakage method you use. Here choose to use L3out, and then click Advertised Externally.

    2.2.创建INB EPG

    导航到APIC Web GUI路径;Tenants > mgmt > Node Management EPGs。

    管理EPG 1

    管理EPG 2

    名称- INB EPG的名称。

    封装-选择在步骤1.1中创建的VLAN池中的VLAN。

    网桥域-选择在步骤2.1中创建的BD。

    2.3.为设备分配静态INB IP地址

    导航到APIC Web GUI路径;Tenants > mgmt > Node Management Addresses > Static Node Management Addresses。

    静态地址1

    静态地址2

    节点范围-要分配给INB地址的节点ID。 分配的INB地址随节点ID依次增加。

    配置-选择带内地址。

    带内管理EPG -选择在步骤2.2中创建的EPG。

    带内IPV4地址-第一个分配的INB地址。

    带内IPV4网关-将其配置为步骤2.1中添加的子网的地址。

    静态地址3

    注释图标

    注意:完成步骤2.3.中的配置后,所有枝叶和APIC均可通过INB通信。

    3. 泄漏INB地址

    您可以通过任何路由泄漏方法将INB子网共享给其他网络。INB EPG可视为特殊EPG。配置路由泄漏时,与普通EPG没有区别。

    本文档仅将L3out配置为示例。

    3.1.在管理租户中创建L3out

    管理L3out 1

    在本示例中,物理接口用于运行简单开放最短路径优先(OSPF)协议的路由器。

    注释图标

    注意:如果要了解有关L3out的更多详细信息,请参阅L3out白皮书;ACI交换矩阵L3Out白皮书

    管理L3out 2

    名称- INB L3out的名称。

    VRF -选择L3out路由所在的VRF。在本文档中,使用最简单的配置,并选择管理租户中的VRF INB。

    L3域-根据实际情况创建和选择。有关L3域的详细信息,请参阅L3out白皮书。

    OSPF -在本示例中,L3out运行OSPF协议。根据实际情况选择动态路由协议或使用静态路由。

    管理L3out 3

    根据网络规划配置接口。

    管理L3out 4

    对于OSPF,默认网络类型为广播。此示例将网络类型更改为点对点。

    管理L3out 5

    在本示例中,只有一个L3out和一个EPG,可以使用默认的所有外部网络的默认EPG选项。

    注释图标

    注意:如果同一VRF中有多个L3out EPG,请仔细配置此选项。有关详细信息,请参阅L3out白皮书。

    配置路由器后,OSPF邻居状态可更改为FULL。

    admin-Infra# show lldp neighbors Capability codes: (R) Router, (B) Bridge, (T) Telephone, (C) DOCSIS Cable Device (W) WLAN Access Point, (P) Repeater, (S) Station, (O) Other Device ID Local Intf Hold-time Capability Port ID f6leaf102.aci.pub Eth4/37 120 BR Eth1/40 admin-Infra# show run version 8.2(6) feature ospf interface loopback66 vrf member aci-inb ip address 192.168.1.7/32 ip router ospf aci-inb area 0.0.0.0 interface Ethernet4/37 vrf member aci-inb ip address 192.168.2.2/24 ip ospf network point-to-point ip router ospf aci-inb area 0.0.0.0 no shutdown vrf context aci-inb address-family ipv4 unicast router ospf aci-inb vrf aci-inb router-id 192.168.1.7 admin-Infra# show ip ospf neighbors vrf aci-inb OSPF Process ID aci-inb VRF aci-inb Total number of neighbors: 1 Neighbor ID Pri State Up Time Address Interface 192.168.1.6 1 FULL/ - 00:04:01 192.168.2.1 Eth4/37 admin-Infra# f6leaf102# show ip int bri vrf mgmt:inb IP Interface Status for VRF "mgmt:inb"(27) Interface Address Interface Status eth1/40 192.168.2.1/24 protocol-up/link-up/admin-up vlan7 192.168.6.254/24 protocol-up/link-up/admin-up lo37 192.168.1.6/32 protocol-up/link-up/admin-up f6leaf102# show ip ospf neighbors vrf mgmt:inb OSPF Process ID default VRF mgmt:inb Total number of neighbors: 1 Neighbor ID Pri State Up Time Address Interface 192.168.1.7 1 FULL/ - 00:05:08 192.168.2.2 Eth1/40 f6leaf102#

    如果需要对L3out进行故障排除,请参阅对ACI外部转发进行故障排除

    3.2.关联BD到L3out

    导航到APIC Web GUI路径;Tenants > mgmt > Networking > Bridge Domains > inb。

    BD分配给L3out

    关联的L3out -选择在步骤3.1中创建的mgmt L3out的名称。

    3.3.创建合同

    导航到APIC Web GUI路径;Tenants > mgmt > Contracts > Standard。

    创建合同1

    创建合同2

    创建合同3

    在本例中,合同允许所有流量。如果您需要有关合同的更多详细信息,请参阅合同白皮书;思科ACI合同指南白皮书

    3.4.将合同应用于INB EPG

    导航到APIC Web GUI路径;Tenants > mgmt > Node Management EPGs > In-Band EPG - default。

    在EPG中应用合同

    提供的合同-选择在步骤3.3中创建的合同。

    已使用合同-选择在步骤3.3中创建的合同。

    3.5.将合同应用到L3out EPG

    导航到APIC Web GUI路径;Tenants > mgmt > Networking > L3Outs > INB-L3out > External EPGs > all-subnet-epg。

    在L3out 1中应用合同

    添加提供的合同-在步骤3.3中创建的合同。

    添加已使用的合同-在步骤3.3中创建的合同。

    应用之后,您可在“Provided and Consumed”(提供和使用)中查看合同。

    在L3out 2中应用合同

    验证

    您可以在外部路由器中看到INB路由。

    admin-Infra# show ip route vrf aci-inb IP Route Table for VRF "aci-inb" '*' denotes best ucast next-hop '**' denotes best mcast next-hop '[x/y]' denotes [preference/metric] '%<string>' in via output denotes VRF <string> 192.168.1.6/32, ubest/mbest: 1/0 *via 192.168.2.1, Eth4/37, [110/5], 00:37:40, ospf-aci-inb, intra 192.168.1.7/32, ubest/mbest: 2/0, attached *via 192.168.1.7, Lo66, [0/0], 00:04:06, local *via 192.168.1.7, Lo66, [0/0], 00:04:06, direct 192.168.2.0/24, ubest/mbest: 1/0, attached *via 192.168.2.2, Eth4/37, [0/0], 00:37:51, direct 192.168.2.2/32, ubest/mbest: 1/0, attached *via 192.168.2.2, Eth4/37, [0/0], 00:37:51, local 192.168.6.0/24, ubest/mbest: 1/0 *via 192.168.2.1, Eth4/37, [110/20], 00:24:38, ospf-aci-inb, type-2 admin-Infra# admin-Infra# ping 192.168.6.1 vrf aci-inb PING 192.168.6.1 (192.168.6.1): 56 data bytes 64 bytes from 192.168.6.1: icmp_seq=0 ttl=62 time=0.608 ms 64 bytes from 192.168.6.1: icmp_seq=1 ttl=62 time=0.55 ms 64 bytes from 192.168.6.1: icmp_seq=2 ttl=62 time=0.452 ms 64 bytes from 192.168.6.1: icmp_seq=3 ttl=62 time=0.495 ms 64 bytes from 192.168.6.1: icmp_seq=4 ttl=62 time=0.468 ms --- 192.168.6.1 ping statistics --- 5 packets transmitted, 5 packets received, 0.00% packet loss round-trip min/avg/max = 0.452/0.514/0.608 ms admin-Infra# ping 192.168.6.3 vrf aci-inb PING 192.168.6.3 (192.168.6.3): 56 data bytes 64 bytes from 192.168.6.3: icmp_seq=0 ttl=61 time=0.731 ms 64 bytes from 192.168.6.3: icmp_seq=1 ttl=61 time=0.5 ms 64 bytes from 192.168.6.3: icmp_seq=2 ttl=61 time=0.489 ms 64 bytes from 192.168.6.3: icmp_seq=3 ttl=61 time=0.508 ms 64 bytes from 192.168.6.3: icmp_seq=4 ttl=61 time=0.485 ms --- 192.168.6.3 ping statistics --- 5 packets transmitted, 5 packets received, 0.00% packet loss round-trip min/avg/max = 0.485/0.542/0.731 ms admin-Infra# ping 192.168.6.201 vrf aci-inb PING 192.168.6.201 (192.168.6.201): 56 data bytes 64 bytes from 192.168.6.201: icmp_seq=0 ttl=63 time=0.765 ms 64 bytes from 192.168.6.201: icmp_seq=1 ttl=63 time=0.507 ms 64 bytes from 192.168.6.201: icmp_seq=2 ttl=63 time=0.458 ms 64 bytes from 192.168.6.201: icmp_seq=3 ttl=63 time=0.457 ms 64 bytes from 192.168.6.201: icmp_seq=4 ttl=63 time=0.469 ms --- 192.168.6.201 ping statistics --- 5 packets transmitted, 5 packets received, 0.00% packet loss round-trip min/avg/max = 0.457/0.531/0.765 ms admin-Infra# ping 192.168.6.211 vrf aci-inb PING 192.168.6.211 (192.168.6.211): 56 data bytes 64 bytes from 192.168.6.211: icmp_seq=0 ttl=63 time=0.814 ms 64 bytes from 192.168.6.211: icmp_seq=1 ttl=63 time=0.525 ms 64 bytes from 192.168.6.211: icmp_seq=2 ttl=63 time=0.533 ms 64 bytes from 192.168.6.211: icmp_seq=3 ttl=63 time=0.502 ms 64 bytes from 192.168.6.211: icmp_seq=4 ttl=63 time=0.492 ms --- 192.168.6.211 ping statistics --- 5 packets transmitted, 5 packets received, 0.00% packet loss round-trip min/avg/max = 0.492/0.573/0.814 ms admin-Infra#
    注释图标

    注意:如果您的ACI版本是旧版本,主干节点不会响应带内ping,因为它们使用环回接口进行连接,而环回接口不响应地址解析协议(ARP)。

    设置带内管理后,思科APIC始终会为来自思科APIC(如TACACS)的任何流量优先选择带内。

    对于专门向OOB地址发送请求的主机,仍可访问OOB。

    故障排除

    首先,您必须检查INB是否存在任何故障。

    在交换机上:

    f6leaf102# show vrf mgmt:inb VRF-Name VRF-ID State Reason mgmt:inb 27 Up -- f6leaf102# f6leaf102# show ip int bri vrf mgmt:inb IP Interface Status for VRF "mgmt:inb"(27) Interface Address Interface Status eth1/40 192.168.2.1/24 protocol-up/link-up/admin-up vlan7 192.168.6.254/24 protocol-up/link-up/admin-up lo37 192.168.1.6/32 protocol-up/link-up/admin-up f6leaf102# f6leaf102# show ip route vrf mgmt:inb IP Route Table for VRF "mgmt:inb" '*' denotes best ucast next-hop '**' denotes best mcast next-hop '[x/y]' denotes [preference/metric] '%<string>' in via output denotes VRF <string> 192.168.1.6/32, ubest/mbest: 2/0, attached, direct *via 192.168.1.6, lo37, [0/0], 02:12:38, local, local *via 192.168.1.6, lo37, [0/0], 02:12:38, direct 192.168.1.7/32, ubest/mbest: 1/0 *via 192.168.2.2, eth1/40, [110/5], 00:03:09, ospf-default, intra 192.168.2.0/24, ubest/mbest: 1/0, attached, direct *via 192.168.2.1, eth1/40, [0/0], 00:37:13, direct 192.168.2.1/32, ubest/mbest: 1/0, attached *via 192.168.2.1, eth1/40, [0/0], 00:37:13, local, local 192.168.6.0/24, ubest/mbest: 1/0, attached, direct, pervasive *via 192.168.224.64%overlay-1, [1/0], 00:24:06, static 192.168.6.102/32, ubest/mbest: 1/0, attached *via 192.168.6.102, vlan7, [0/0], 00:21:38, local, local 192.168.6.254/32, ubest/mbest: 1/0, attached, pervasive *via 192.168.6.254, vlan7, [0/0], 00:21:38, local, local f6leaf102#

    在APIC上:

    f6apic1# ifconfig bond0.10: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1496 inet 192.168.6.1 netmask 255.255.255.0 broadcast 192.168.6.255 inet6 fe80::2ef8:9bff:fee8:8a10 prefixlen 64 scopeid 0x20<link> ether 2c:f8:9b:e8:8a:10 txqueuelen 1000 (Ethernet) RX packets 37 bytes 1892 (1.8 KiB) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 889 bytes 57990 (56.6 KiB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 f6apic1# show inband-mgmt Table1 : INB-Mgmt Node Details Type Node ID IP Address Gateway Inband EPG Oper State ------------ ---------- -------------------- -------------------- -------------------- -------------------- f6apic1 1 192.168.6.1/24 192.168.6.254 default up f6apic2 2 192.168.6.2/24 192.168.6.254 default up f6apic3 3 192.168.6.3/24 192.168.6.254 default up f6leaf101 101 192.168.6.101/24 192.168.6.254 default up f6leaf102 102 192.168.6.102/24 192.168.6.254 default up f6leaf111 111 192.168.6.111/24 192.168.6.254 default up f6leaf112 112 192.168.6.112/24 192.168.6.254 default up f6spine201 201 192.168.6.201/24 192.168.6.254 default up f6spine202 202 192.168.6.202/24 192.168.6.254 default up f6spine211 211 192.168.6.211/24 192.168.6.254 default up f6spine212 212 192.168.6.212/24 192.168.6.254 default up Table2 : InB-Mgmt EPG Details Name Qos Tag Nodes Vlan Oper State --------------- --------------- --------------- ---------- ---------- ---------- default unspecified 32778 1 vlan-10 up default unspecified 32778 2 vlan-10 up default unspecified 32778 3 vlan-10 up default unspecified 32778 101 vlan-10 up default unspecified 32778 102 vlan-10 up default unspecified 32778 111 vlan-10 up default unspecified 32778 112 vlan-10 up default unspecified 32778 201 vlan-10 up default unspecified 32778 202 vlan-10 up default unspecified 32778 211 vlan-10 up default unspecified 32778 212 vlan-10 up Table3 : INB-Mgmt EPG Contract Details INBAND-MGMT-EPG Contracts App Epg L3 External Epg Oper State --------------- --------------- ------------------------- ------------------------- ---------- default(P) ALL default all-subnet-epg up default(C) ALL default all-subnet-epg up f6apic1# f6apic1# bash admin@f6apic1:~> ip route show default via 192.168.6.254 dev bond0.10 metric 32 192.168.6.0/24 dev bond0.10 proto kernel scope link src 192.168.6.1 192.168.6.254 dev bond0.10 scope link src 192.168.6.1 admin@f6apic1:~> route -n Kernel IP routing table 0.0.0.0 192.168.6.254 0.0.0.0 UG 32 0 0 bond0.10 192.168.6.0 0.0.0.0 255.255.255.0 U 0 0 0 bond0.10 192.168.6.254 0.0.0.0 255.255.255.255 UH 0 0 0 bond0.10 admin@f6apic1:~>
    注释图标

    注意:此Enforce Domain Validation功能检查EPG使用的VLAN/域和接口配置。如果未启用,枝叶交换机将在推送配置时忽略域检查。

    启用此功能后,便无法将其禁用。建议启用此选项以避免配置不完整。

    实施域验证

    您可以随时联系思科TAC获得进一步的故障排除帮助。

    相关信息

    修订历史记录

    版本 发布日期 备注
    1.0
    08-May-2024
    初始版本
    TAC Authored

    由思科工程师提供

    • 李小龙
      技术咨询工程师

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品