設定Catalyst Center介面與路由

簡介

本文檔介紹在Cisco Catalyst Center裝置上設計和配置網路設定。

必要條件

採用元件

• Catalyst Center版本2.3.5.5

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

物理裝置提供四個路由介面，每個介面具有一個主物理網路介面卡和一個輔助物理網路介面卡。  這些網路介面卡的實體位置會因裝置型號而有所不同，但邏輯組態是相同的。  虛擬裝置OVA僅建立一個虛擬網路介面卡，但可以根據需要增加第二個。  之所以提供多重介面卡，是為了在各種網路架構中提供所需的彈性，讓裝置、其管理及/或監控的網路裝置、需要存取解決方案的系統管理員、外部整合及必要的雲端服務之間能夠雙向通訊。  我們首先檢查這些介面及其預期用途。

介面

企業（需要10G）

Enterprise介面是實體裝置上的10 Gb連線埠，並且對應至虛擬裝置中的第一個虛擬介面卡。 

它是用於與裝置通訊的主要介面，在許多部署中，可能是用於所有網路通訊的唯一介面。

群集（需要10G，內部VA）

群集介面也是物理裝置上的10 GB埠，但在虛擬裝置上，此埠未對映到任何虛擬介面卡。 

它僅用於HA集群中Catalyst Center裝置之間的通訊，並且必須從網路中未使用的子網中分配IP地址。

在安裝期間，必須將此埠與IP連線。

管理（1G/10G可選）

管理介面是主要網路介面卡上的1 Gigabit連線埠，以及次要介面卡上的10 Gigabit連線埠。

如果將第二個虛擬介面卡新增至虛擬裝置，則會將其對映至管理介面。 

某些環境具有嚴格的網路邊界，要求將企業介面置於安全網路中以管理您的資產，這會導致Catalyst Center管理員和使用者難以訪問它。 

管理介面使這些客戶能夠配置第二個可到達的IP地址。

網際網路/雲（1G/10G可選，VA不適用）

Internet埠是物理裝置上的一個或十千兆埠，類似於「管理」埠，但不適用於虛擬裝置。  在許多環境中，對網際網路或其他外部服務的訪問僅限於某些網路，例如DMZ。網際網路或雲介面可用於此連線。

在磁懸浮配置嚮導中，可以透過IP地址、子網掩碼、預設網關、DNS伺服器以及一個或多個靜態路由配置每個介面。  但是，實際上只有一個介面可以配置預設網關和DNS伺服器，而其餘所有介面僅使用靜態路由，集群介面則完全沒有路由。

設定

磁懸浮配置嚮導

磁懸浮配置嚮導可在初始安裝期間訪問，或在以後連線到CIMC KVM並運行sudo maglev-config update命令來訪問。但是，某些設定無法在安裝後進行更改，如《安裝指南》https://www.cisco.com/c/en/us/td/docs/cloud-systems-management/network-automation-and-management/dna-center/2-3-5/install_guide/2ndgen/b_cisco_dna_center_install_guide_2_3_5_2ndGen/m_troubleshoot_deployment_2_3_5_2ndgen.html?bookSearch=true#task_c3x_ycw_sfb中所述

除了上述欄位之外，您還可以為配置了IP的每個介面配置虛擬IP地址（或VIP）。 

VIP配置對於單節點部署是可選的，但部署三節點群集時需要它。 

這些配置控制裝置啟動連線的方式(出站路由)以及裝置如何配置為啟動它們與Catalyst Center的自身連線(入站路由)。

出站路由

出站路由適用於裝置發起的所有網路通訊，簡單明瞭。 

來自嚮導中配置的所有介面的已連線子網、靜態路由和預設網關設定被放入共用路由表中。 

建立出站連線後，目標IP將在此路由表中查詢以標識出站介面和下一跳路由器。 

源IP地址是在介面上配置的本地IP，而不是VIP。 

注意：這適用於所有流量（包括DNS和NTP伺服器），而不管這些伺服器在嚮導中配置在哪個介面上。

入站路由

在受管裝置上配置了入站路由，以控制它們發起到Catalyst Center的連線的方式。 

裝置和客戶端必須透過外發路由表為其IP地址指向的同一個入口介面訪問Catalyst Center。 

如果（例如）當客戶端IP地址的路由表指向管理介面時，客戶端嘗試連線到企業介面，則流量將被丟棄。 

因此，系統會為每個資產裝置的管理IP使用出站路由查詢來辨識正確的介面，然後將該裝置配置為使用該介面的VIP連線到Catalyst Center。 

如果未配置VIP（在單節點安裝中），則使用介面的本地IP。  在僅使用FQDN的證書部署中，會在裝置上配置集群FQDN。  在這種情況下，DNS架構必須確保客戶端解析正確的介面VIP或IP。 

對於災難恢復部署，災難恢復VIP始終配置（如果存在）。  如果沒有配置災難恢復VIP，則配置當前活動集群的VIP。

根據以上所有資訊，下面是如何確定您的環境中需要哪些介面以及如何配置其路由的。  

• 確定哪些IP網路可以訪問Internet和其他外部服務。  
• 確定哪個IP網路可以訪問您管理的裝置。
• 驗證您的管理員可以存取哪個IP網路。 

如果上述三(3)個角色都可從單一IP網路完成，則您只需要使用具有預設閘道的Enterprise連線埠。 

如果需要在不同的網路上執行其中兩(2)個角色，請使用Enterprise埠和Management或Internet埠之一。 

一個埠分配了預設網關，而另一個埠使用靜態路由。 

如果每個角色都需要自己的IP網路才能運行，則使用所有三(3)個企業、管理和網際網路埠。 

預設網關將分配給Internet埠。

必須在管理埠上配置到管理員網路的靜態路由。

必須在企業埠上配置到所有裝置管理網路的靜態路由。