配置Catalyst Center接口和路由

简介

本文档介绍在Cisco Catalyst Center设备上设计和配置网络设置。

先决条件

使用的组件

• Catalyst Center版本2.3.5.5

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

物理设备提供四个路由接口，每个接口有一个主物理网络适配器和一个辅助物理网络适配器。  这些网络适配器的物理位置因设备型号而异，但逻辑配置是相同的。  虚拟设备OVA仅创建一个虚拟网络适配器，但必要时可以添加第二个。  提供多个适配器的原因是在各种网络架构中提供所需的灵活性，以允许设备、其管理的网络设备和/或监控的网络设备、需要访问解决方案的系统管理员、外部集成和必要的云服务之间进行双向通信。  首先，我们查看这些接口及其预期用途。

接口

企业（需要10G）

企业接口是物理设备上的一个万兆端口，并映射到虚拟设备中的第一个虚拟适配器。 

它应该是用于与设备通信的主要接口，而且在许多部署中，它可能是用于所有网络通信的唯一接口。

集群（需要10G，内部VA）

集群接口也是物理设备上的一个万兆端口，但在虚拟设备上，该端口未映射到任何虚拟适配器。 

它仅用于HA集群中Catalyst Center设备之间的通信，并且必须从网络中未使用的子网中分配IP地址。

在安装过程中，需要将此端口与配置的IP连接。

管理（1G/10G可选）

管理接口是主网络适配器上的一个1 gb端口，辅助适配器上的一个10 gb端口。

如果将第二个虚拟适配器添加到虚拟设备，则会将其映射到管理接口。 

某些环境具有严格的网络边界，要求将企业接口置于安全网络中来管理您的资产，这便导致Catalyst Center管理员和用户难以访问它。 

管理接口为这些客户提供了配置第二个可访问IP地址的功能。

互联网/云（1G/10G可选，VA不适用）

Internet端口是物理设备上的1 GB或10 GB端口，类似于管理端口，但不适用于虚拟设备。  在许多环境中，对Internet或其他外部服务的访问仅限于某些网络（如DMZ）。Internet或云接口可用于此连接。

在磁悬浮配置向导中可以为每个接口配置IP地址、子网掩码、默认网关、DNS服务器以及一条或多条静态路由。  实际上，只有一个接口可以配置默认网关和DNS服务器，但所有其余接口仅使用静态路由，集群接口则根本没有路由。

配置

磁悬浮配置向导

磁悬浮配置向导可在初始安装期间访问，也可在以后连接到CIMC KVM并运行sudo maglev-config update命令访问。但是，某些设置无法在安装后更改，安装指南中有相关记录，https://www.cisco.com/c/en/us/td/docs/cloud-systems-management/network-automation-and-management/dna-center/2-3-5/install_guide/2ndgen/b_cisco_dna_center_install_guide_2_3_5_2ndGen/m_troubleshoot_deployment_2_3_5_2ndgen.html?bookSearch=true#task_c3x_ycw_sfb

除上述字段外，您还可以为配置了IP的每个接口配置虚拟IP地址（或VIP）。 

虽然VIP配置对于单节点部署是可选的，但是对于部署三节点集群则是必需的。 

这些配置控制设备发起连接的方式(出站路由)以及设备如何配置为发起自己与Catalyst Center的连接(入站路由)。

出站路由

出站路由适用于设备发起的所有网络通信，非常简单。 

连接子网、静态路由和默认网关设置在向导配置的所有接口被放入共享路由表中。 

创建出站连接后，会在此路由表中查找目标IP以标识出站接口和下一跳路由器。 

源IP地址是在接口上配置的本地IP，而不是VIP。 

注意：这适用于所有流量（包括DNS和NTP服务器），而不管这些服务器在向导中配置的是哪些接口。

入站路由

在受管设备上配置入站路由，以控制它们发起与Catalyst Center的连接的方式。 

设备和客户端必须通过IP地址的外部路由表指向的同一入口接口访问Catalyst Center。 

如果（例如）当客户端IP地址的路由表指向管理接口时，客户端尝试连接到企业接口，则流量将被丢弃。 

因此，系统对每个清单设备的管理IP使用出站路由查找来确定正确的接口，然后配置设备使用该接口的VIP来连接到Catalyst Center。 

如果未配置VIP（在单节点安装中），则改为使用接口的本地IP。  在仅FQDN证书部署的情况下，集群FQDN在设备上配置。  在这种情况下，DNS架构必须确保客户端解析了正确的接口VIP或IP。 

对于灾难恢复部署，灾难恢复VIP始终配置（如果有）。  如果没有配置灾难恢复VIP，则配置当前活动集群的VIP。

根据所有这些信息，下面介绍如何确定您的环境中需要的接口以及如何配置其路由。  

• 确定您可用的IP网络中哪一个可以访问Internet和其他外部服务。  
• 确定哪个IP网络可以访问您管理的设备。
• 验证您的管理员可以访问哪个IP网络。 

如果所有三(3)种角色都可从单个IP网络完成，则只需使用具有默认网关的企业端口。 

如果需要在不同网络上执行其中两(2)个角色，请使用企业端口以及管理或互联网端口之一。 

一个端口分配了默认网关，而另一个端口使用静态路由。 

如果每个角色需要自己的IP网络运行，则使用全部三(3)个企业、管理和互联网端口。 

默认网关将分配给互联网端口。

必须在管理端口上配置到管理员网络的静态路由。

必须在企业端口上配置到所有设备管理网络的静态路由。