El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe cómo configurar e implementar un gráfico de servicios de dos nodos dentro de la plataforma Cisco Application Centric Infrastructure (ACI). Los dos dispositivos que se utilizan en el gráfico de servicios son un Cisco Adaptive Security Appliance (ASA) físico que se ejecuta en modo transparente y un dispositivo virtual Citrix NetScaler 1000V.
Cisco recomienda que tenga conocimiento de estos temas antes de intentar la configuración que se describe en este documento:
La información que contiene este documento se basa en estas versiones de software y hardware.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
En esta sección se describe cómo configurar los diversos componentes que participan en esta implementación.
Esta sección describe cómo completar la configuración en el ASA.
Para crear varios contextos en el ASA, debe habilitar la función. Inicie sesión en el ASA e ingrese este comando en el modo Configuración:
ciscoasa(config)#
mode multiple[an error occurred while processing this directive]
A continuación, se le pedirá que vuelva a cargar. Una vez que el dispositivo se recarga, puede continuar creando el contexto Usuario.
Nota: Se debe crear un contexto Admin antes de los contextos de usuario. Este documento no describe cómo crear el contexto Admin, sino más bien el contexto User. Para obtener más información sobre cómo crear el contexto de administración, refiérase a la sección Configuración de Contextos Múltiples de la Guía de Configuración de CLI de Cisco ASA Series, 9.0.
Para crear el contexto de usuario en el ASA, ingrese este comando desde el contexto del sistema:
ciscoasa/admin# changeto context sys
ciscoasa(config)# context
jristain <--- This is the name of the desired context
Creating context 'jristain'... Done. (5)
ciscoasa(config-ctx)# allocate-interface Management0/1
ciscoasa(config-ctx)# config-url disk0:/
jristain
.cfg
<--- "context-name.cfg"
[an error occurred while processing this directive]
WARNING: Could not fetch the URL disk0:/jristain.cfg
INFO: Creating context with default config
Esta configuración crea el contexto, asigna la interfaz de administración para su uso en este contexto y especifica una ubicación para el archivo de configuración. Ahora debe ingresar este contexto para configurar el bootstrap mínimo necesario para que el APIC pueda conectarse.
Una vez creado el contexto de usuario, puede cambiar a ese contexto y configurar la dirección IP de administración en la interfaz asignada. Ingrese estos comandos:
ciscoasa(config-ctx)# changeto context jristain <----
Drops into the user context
[an error occurred while processing this directive]
ciscoasa/jristain(config)# interface Management0/1
ciscoasa/jristain(config-if)# ip address 192.168.20.10 255.255.255.128
ciscoasa/jristain(config-if)# nameif management
INFO: Security level for "management" set to 0 by default.
ciscoasa/jristain(config-if)# security-level 100
ciscoasa/jristain(config-if)# exit
ciscoasa/jristain(config)# route management 0.0.0.0 0.0.0.0 192.168.20.1
ciscoasa/jristain(config)# exit
ciscoasa/jristain# copy running-config startup-config
Nota: La entrada name debe ser management porque es la expectativa del paquete del dispositivo. Si la entrada nameif contiene caracteres adicionales, verá fallas en la implementación del dispositivo L4-L7 en el APIC.
Para conectar el APIC al ASA, se requiere una configuración mínima. Esto incluye el servidor HTTP y una cuenta de usuario para el APIC. Utilice esta configuración en el contexto del usuario:
ciscoasa/jristain(config)#username
<username>
password
<password>
[an error occurred while processing this directive]
ciscoasa/jristain(config)#http server enable
ciscoasa/jristain(config)#http 0.0.0.0 0.0.0.0 management
Nota: Introduzca el nombre de usuario y la contraseña que desee en las áreas <username> y <password>.
Esta sección describe cómo completar la configuración en el APIC.
Hay tres dominios de puente (BD) necesarios para implementar un gráfico de servicios de dos nodos.
Utilice esta información para configurar el BD para la interfaz ASA externa (consumidor):
Utilice esta información para configurar el BD que se utiliza para conectar los dos dispositivos:
El gráfico de servicios requiere la configuración de dos grupos de terminales (EPG): un consumidor y un proveedor. El EPG del consumidor debe utilizar el BD que se conecta a la interfaz ASA externa. El EPG del proveedor debe utilizar un BD que se conecte a los servidores finales.
Debe agregar los contextos administrador y usuario de ASA al APIC. Para completar esto, navegue hasta Arrendatario > Servicios L4-L7 > Dispositivos L4-L7, haga clic con el botón derecho del ratón y seleccione Crear un Dispositivo L4-L7, y luego complete estos pasos:
Nota: Puede finalizar el uso del asistente en este momento. No es necesario que configure ninguna de las informaciones de failover.
Después de registrar el dispositivo con el fabric, el APIC puede enviar la configuración a través de los parámetros del dispositivo. Después del registro, primero debe configurar el canal de puerto que conecta el ASA a los switches de hoja en un canal de puerto virtual (vPC).
Para configurar el canal de puerto, navegue hasta el dispositivo que creó y haga clic en la pestaña Parámetros en la esquina superior del panel de trabajo. Haga clic en el icono del lápiz para modificar los parámetros:
Aparece la ventana Editar parámetros de clúster. Haga clic en PortChannel para limitar el alcance de la opción. Expanda la carpeta Port Channel Member y complete las Opciones de Configuración. A continuación se explica cada opción:
Repita este proceso para cada interfaz que desee asignar:
Una vez completada, debería ver una creación de canal de puerto en el ASA en el contexto del sistema. Para verificar esto, acceda al contexto del sistema e ingrese el comando show port-channel summary:
ciscoasa#
show port-channel summary
Flags: D - down P - bundled in port-channel
I - stand-alone s - suspended
H - Hot-standby (LACP only)
U - in use N - not in use, no aggregation/nameif
M - not in use, no aggregation due to minimum links not met
w - waiting to be aggregated
Number of channel-groups in use: 2
Group Port-channel Protocol Span-cluster Ports
------+-------------+---------+------------+-----------------------
27 Po27(N) LACP No Gi0/4(P) Gi0/5(P)[an error occurred while processing this directive]
Debe registrar el contexto de usuario como dispositivo L4-L7 en el fabric. Navegue hasta Arrendatario > Servicios L4-L7 > Dispositivos L4-L7, haga clic con el botón derecho del ratón y seleccione Crear un dispositivo L4-L7 y, a continuación, complete estos pasos:
Nota: Puede finalizar el uso del asistente en este momento. No es necesario que configure ninguna de las informaciones de failover.
El segundo nodo de este ejemplo de configuración es un NetScaler 1000V. NetScaler proporciona funcionalidad de balanceo de carga a los servidores conectados. También debe registrar este dispositivo en el APIC. Navegue hasta Arrendatario > Servicios L4-L7 > Dispositivos L4-L7, haga clic con el botón derecho del ratón y seleccione Crear un dispositivo L4-L7 y, a continuación, complete estos pasos:
Nota: El adaptador de red 1 se utiliza para fines de administración, por lo que no lo utilice.
Ahora que los dispositivos están registrados, puede crear una plantilla de gráficos de servicio. Navegue hasta Arrendatario > Servicios L4-L7 > Plantillas de Gráfico de Servicios L4-L7 > Crear Plantilla de Gráfico de Servicios L4-L7, y complete estos pasos:
Después de crear la plantilla, puede implementarla en los dispositivos. Vaya a Arrendatario > Servicios L4-L7 > Plantillas de gráficos de servicios L4-L7 > Plantilla de gráficos de servicios > Aplicar plantilla de gráfico de servicios.
En la pestaña Contrato, complete estos pasos:
En la pestaña Gráfico, complete estos pasos:
En la ficha Parámetros de ASA, introduzca los parámetros deseados. No se requiere ninguno de los parámetros de esta ficha.
En la ficha NetScaler Parameters, ingrese la configuración de NetScaler a través del asistente:
Actualmente, no hay un procedimiento de verificación disponible para esta configuración.
Esta sección proporciona información que puede utilizar para resolver problemas de su configuración.
A continuación se indican dos fallos conocidos relacionados con las configuraciones que se describen en este documento: