PDF(3.4 MB) Visualice con Adobe Reader en una variedad de dispositivos
Actualizado:14 de mayo de 2025
ID del documento:221867
Lenguaje no discriminatorio
El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Acerca de esta traducción
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma.
Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional.
Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe la configuración de la administración en banda (INB) en la Infraestructura centrada en aplicaciones (ACI).
Prerequisites
Requirements
Cisco recomienda que tenga conocimiento sobre estos temas:
* Comprensión de las políticas de acceso de ACI * Comprensión de los contratos de ACI * Comprensión de la configuración del perfil de instancia de red externa (EPG externo) L3out
La detección de fabric debe completarse antes de configurar INB en ACI.
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
Controlador de infraestructura de política de aplicación (APIC)
Navegador
ACI con 5.2 (8e)
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Configurar
La configuración se divide en tres pasos principales: 1. Configure la VLAN de INB en el puerto que conecta Leaf y APIC. 2. Asocie INB EPG en el arrendatario de administración y asigne la dirección INB a todos los dispositivos. 3. Dirección INB de fuga a través de L3out o VRF de arrendatario.
Diagrama de la red
1. Configure la VLAN de INB en la interfaz de hoja
1.1. Creación de un conjunto de VLAN
Vaya a la ruta de la GUI web de APIC; Fabric > Access Policies > Pools > VLAN.
Name (Nombre): Nombre del conjunto de VLAN. Este nombre puede tener entre 1 y 64 caracteres alfanuméricos.
Description: La descripción del conjunto de VLAN. La descripción puede tener entre 0 y 128 caracteres alfanuméricos.
Allocation Mode (Modo de asignación): El método de asignación de este conjunto de VLAN debe ser estático para INB.
Encap Blocks - El rango de conjuntos de VLAN asignadas.
Rango: el ID de VLAN inicial y el ID de VLAN final del conjunto de VLAN. El ID inicial debe ser menor o igual que el ID final.
1.2. Crear dominio físico
Vaya a la ruta de la GUI web de APIC; Fabric > Access Policies > Physical and External Domains > Physical Domains.
Nombre: el nombre del dominio físico. Este nombre puede tener entre 1 y 64 caracteres alfanuméricos.
VLAN Pool: Elija el VLAN Pool creado en el paso 1.1.
1.3. Creación de perfiles de entidad de acceso adjuntables
Vaya a la ruta de la GUI web de APIC; Fabric > Access Policies > Policies > Global > Attachable Access Entity Profile.
Nombre: el nombre del perfil de entidad de acceso adjuntable. Este nombre puede tener entre 1 y 64 caracteres alfanuméricos.
Asociación a interfaces: desmarque esta opción. En el paso final, asigne manualmente a la interfaz de Leaf en el paso 1.6.
Dominios (VMM, físicos o externos) que se asociarán a interfaces: elija el dominio físico creado en el paso 1.2.
1.4. Crear grupo de políticas de puerto de acceso de hoja
Vaya a la ruta de la GUI web de APIC; Fabric > Access Policies > Interfaces > Leaf Interfaces > Policy Groups > Leaf Access Port Policy Group.
Name (Nombre): Nombre del grupo de políticas de puertos de acceso de hoja. Este nombre puede tener entre 1 y 64 caracteres alfanuméricos.
Perfil de entidad adjunta: elija el perfil de entidad adjunta que se ha creado en el paso 1.3.
Política de protocolo de descubrimiento de la capa de enlace (LLDP): debe seleccionar Enable Policy.
1.5. Crear grupo de políticas de puerto de acceso de hoja
Vaya a la ruta de la GUI web de APIC; Fabric > Access Policies > Interfaces > Leaf Interfaces > Profiles.
Name (Nombre): Nombre del perfil de interfaz de hoja. Este nombre puede tener entre 1 y 64 caracteres alfanuméricos.
Selectores de interfaz: crean una relación correspondiente entre las interfaces y la política de interfaz.
Name (Nombre): Nombre del selector de puertos de acceso. Este nombre puede tener entre 1 y 64 caracteres alfanuméricos.
ID de interfaz: la ID de interfaz está interconectada con APIC. En la topología de documento, este ID de interfaz es 1/47 o 1/48.
Grupo de políticas de interfaz: elija el perfil de entidad adjunta que se creó en el paso 1.4.
Nota: En la topología de este documento, las interfaces que conectan los tres APIC con la hoja no son las mismas. Dado que APIC 3 no está conectado a la interfaz Eth1/47, no se pueden crear los ID de interfaz de 1/47-1/48. Es necesario crear perfiles de interfaz independientes para Eth1/47 y Eth1/48.
1.6. Aplicar perfil de interfaz a la hoja
Vaya a la ruta de la GUI web de APIC; Fabric > Access Policies > Switches > Leaf Switches > Profiles.
Nombre: el nombre del perfil de hoja. Este nombre puede tener entre 1 y 64 caracteres alfanuméricos.
Leaf Selectors - Elija el Leaf ID al que se envía la configuración de la interfaz.
Nombre: el nombre del grupo Hoja.
Blocks - Elija el ID del switch node.
Perfiles de Selector de Interfaz - Elija el perfil de entidad adjunta creado en el paso 1.5.
Nota: En este ejemplo de documento, se deben configurar dos perfiles de switch. La primera es elegir la hoja 101-102, la hoja 111-112, y asignar el perfil de interfaz a Eth1/48. La segunda es elegir la hoja 111-112 y asignar el perfil de interfaz a Eth1/47.
2. Asigne la dirección INB en el arrendatario de administración
2.1. Creación de un dominio de puente (BD) en la subred INB
Vaya a la ruta de la GUI web de APIC; Tenants > mgmt > Networking > Bridge Domains > inb.
Nota: Este documento utiliza el BD predeterminado y el VRF predeterminado.
También puede crear un nuevo VRF y BD para realizar configuraciones similares.
Gateway IP - The INB subnet gateway.
Scope - Choose according to the route leakage method you used. Here, choose to use L3out, and then click Advertised Externally.
2.2. Crear EPG INB
Vaya a la ruta de la GUI web de APIC; Tenants > mgmt > Node Management EPGs.
Name (Nombre): nombre del EPG de INB.
Encap - Elija VLAN en el conjunto de VLAN como creó en el paso 1.1.
Bridge Domain (Dominio de puente): Seleccione el BD creado en el paso 2.1.
2.3. Asignar dirección IP INB estática al dispositivo
Vaya a la ruta de la GUI web de APIC; Tenants > mgmt > Node Management Addresses > Static Node Management Addresses.
Rango de Nodos: Identificador de Nodo que se va a asignar a la dirección INB. La dirección INB asignada aumenta secuencialmente con el identificador de nodo.
Configuración: Elija Direcciones En Banda.
EPG de administración en banda: elija el EPG creado en el paso 2.2.
Dirección IPV4 en banda: la primera dirección INB asignada.
Gateway IPV4 en banda: configúrelo como la dirección de la subred agregada en el paso 2.1.
Nota: Después de completar la configuración en el paso 2.3, todos los módulos Leaf y APIC pueden comunicarse a través de INB.
3. Dirección INB de fuga
Puede compartir la subred INB con otras redes a través de cualquier método de fuga de ruta. INB EPG puede considerarse un EPG especial. No hay diferencia con el EPG normal al configurar la fuga de ruta.
Este documento sólo configura L3out como ejemplo.
3.1. Crear salida L3 en arrendatario de administración
En este ejemplo, se utiliza una interfaz física con un router que ejecuta el protocolo OSPF (Open Shortest Path First, ruta de acceso más corta simple).
Nota: Si desea conocer más detalles sobre L3out, consulte el informe técnico L3out; ACI Fabric L3Out White Paper.
Name (Nombre): nombre de INB L3out.
VRF: Elija el VRF donde se encuentra la ruta L3out. En este documento, se utiliza la configuración más simple y se selecciona VRF INB en el arrendatario de administración.
Dominio L3 - Crear y elegir de acuerdo con la situación real. Para obtener información detallada sobre el dominio L3, consulte el informe técnico L3out.
OSPF - En este ejemplo, L3out ejecuta el protocolo OSPF. Elija un protocolo de ruteo dinámico o utilice el ruteo estático según la situación real.
Configure la interfaz de acuerdo con su plan de red.
Para OSPF, el tipo de red predeterminado es broadcast. Este ejemplo cambia el tipo de red a punto a punto.
En este ejemplo, sólo hay un L3out y sólo EPG, y se puede utilizar la opción Default EPG (EPG predeterminado) para todas las redes externas.
Nota: Si tiene varios EPG L3out en el mismo VRF, configure esta opción cuidadosamente. Para obtener más información, consulte el informe técnico L3out.
Después de configurar el router, el estado del vecino OSPF puede cambiar a FULL.
admin-Infra# show lldp neighbors
Capability codes:
(R) Router, (B) Bridge, (T) Telephone, (C) DOCSIS Cable Device
(W) WLAN Access Point, (P) Repeater, (S) Station, (O) Other
Device ID Local Intf Hold-time Capability Port ID
f6leaf102.aci.pub Eth4/37 120 BR Eth1/40
admin-Infra# show run
version 8.2(6)
feature ospf
interface loopback66
vrf member aci-inb
ip address 192.168.1.7/32
ip router ospf aci-inb area 0.0.0.0
interface Ethernet4/37
vrf member aci-inb
ip address 192.168.2.2/24
ip ospf network point-to-point
ip router ospf aci-inb area 0.0.0.0
no shutdown
vrf context aci-inb
address-family ipv4 unicast
router ospf aci-inb
vrf aci-inb
router-id 192.168.1.7
admin-Infra# show ip ospf neighbors vrf aci-inb
OSPF Process ID aci-inb VRF aci-inb
Total number of neighbors: 1
Neighbor ID Pri State Up Time Address Interface
192.168.1.6 1 FULL/ - 00:04:01 192.168.2.1 Eth4/37
admin-Infra#
f6leaf102# show ip int bri vrf mgmt:inb
IP Interface Status for VRF "mgmt:inb"(27)
Interface Address Interface Status
eth1/40 192.168.2.1/24 protocol-up/link-up/admin-up
vlan7 192.168.6.254/24 protocol-up/link-up/admin-up
lo37 192.168.1.6/32 protocol-up/link-up/admin-up
f6leaf102# show ip ospf neighbors vrf mgmt:inb
OSPF Process ID default VRF mgmt:inb
Total number of neighbors: 1
Neighbor ID Pri State Up Time Address Interface
192.168.1.7 1 FULL/ - 00:05:08 192.168.2.2 Eth1/40
f6leaf102#
Vaya a la ruta de la GUI web de APIC; Tenants > mgmt > Networking > Bridge Domains > inb.
L3outs asociadas - Elija el nombre de la salida mgmt L3out creada en el Paso 3.1.
3.3. Creación de contratos
Vaya a la ruta de la GUI web de APIC; Tenants > mgmt > Contracts > Standard.
En este ejemplo, el contrato permite todo el tráfico. Si necesita más información sobre el contrato, consulte el informe técnico del contrato; informe técnico de la guía de contratos de Cisco ACI.
3.4. Aplicación del contrato a INB EPG
Vaya a la ruta de la GUI web de APIC; Tenants > mgmt > Node Management EPGs > In-Band EPG - default.
Contratos Proporcionados: Seleccione el contrato creado en el paso 3.3.
Consumo de Contratos: Seleccione el contrato creado en el paso 3.3.
3.5. Aplicación del contrato al EPG L3out
Vaya a la ruta de la GUI web de APIC; Tenants > mgmt > Networking > L3Outs > INB-L3out > External EPGs > all-subnet-epg.
Añadir contratos proporcionados: el contrato creado en el paso 3.3.
Agregar contratos consumidos: el contrato creado en el paso 3.3.
Después de aplicarlo, puede ver el contrato en Proporcionado y Consumido.
Verificación
Puede ver la ruta INB en el router externo.
admin-Infra# show ip route vrf aci-inb
IP Route Table for VRF "aci-inb"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%' in via output denotes VRF
192.168.1.6/32, ubest/mbest: 1/0
*via 192.168.2.1, Eth4/37, [110/5], 00:37:40, ospf-aci-inb, intra
192.168.1.7/32, ubest/mbest: 2/0, attached
*via 192.168.1.7, Lo66, [0/0], 00:04:06, local
*via 192.168.1.7, Lo66, [0/0], 00:04:06, direct
192.168.2.0/24, ubest/mbest: 1/0, attached
*via 192.168.2.2, Eth4/37, [0/0], 00:37:51, direct
192.168.2.2/32, ubest/mbest: 1/0, attached
*via 192.168.2.2, Eth4/37, [0/0], 00:37:51, local
192.168.6.0/24, ubest/mbest: 1/0
*via 192.168.2.1, Eth4/37, [110/20], 00:24:38, ospf-aci-inb, type-2
admin-Infra#
admin-Infra# ping 192.168.6.1 vrf aci-inb
PING 192.168.6.1 (192.168.6.1): 56 data bytes
64 bytes from 192.168.6.1: icmp_seq=0 ttl=62 time=0.608 ms
64 bytes from 192.168.6.1: icmp_seq=1 ttl=62 time=0.55 ms
64 bytes from 192.168.6.1: icmp_seq=2 ttl=62 time=0.452 ms
64 bytes from 192.168.6.1: icmp_seq=3 ttl=62 time=0.495 ms
64 bytes from 192.168.6.1: icmp_seq=4 ttl=62 time=0.468 ms
--- 192.168.6.1 ping statistics ---
5 packets transmitted, 5 packets received, 0.00% packet loss
round-trip min/avg/max = 0.452/0.514/0.608 ms
admin-Infra# ping 192.168.6.3 vrf aci-inb
PING 192.168.6.3 (192.168.6.3): 56 data bytes
64 bytes from 192.168.6.3: icmp_seq=0 ttl=61 time=0.731 ms
64 bytes from 192.168.6.3: icmp_seq=1 ttl=61 time=0.5 ms
64 bytes from 192.168.6.3: icmp_seq=2 ttl=61 time=0.489 ms
64 bytes from 192.168.6.3: icmp_seq=3 ttl=61 time=0.508 ms
64 bytes from 192.168.6.3: icmp_seq=4 ttl=61 time=0.485 ms
--- 192.168.6.3 ping statistics ---
5 packets transmitted, 5 packets received, 0.00% packet loss
round-trip min/avg/max = 0.485/0.542/0.731 ms
admin-Infra# ping 192.168.6.201 vrf aci-inb
PING 192.168.6.201 (192.168.6.201): 56 data bytes
64 bytes from 192.168.6.201: icmp_seq=0 ttl=63 time=0.765 ms
64 bytes from 192.168.6.201: icmp_seq=1 ttl=63 time=0.507 ms
64 bytes from 192.168.6.201: icmp_seq=2 ttl=63 time=0.458 ms
64 bytes from 192.168.6.201: icmp_seq=3 ttl=63 time=0.457 ms
64 bytes from 192.168.6.201: icmp_seq=4 ttl=63 time=0.469 ms
--- 192.168.6.201 ping statistics ---
5 packets transmitted, 5 packets received, 0.00% packet loss
round-trip min/avg/max = 0.457/0.531/0.765 ms
admin-Infra# ping 192.168.6.211 vrf aci-inb
PING 192.168.6.211 (192.168.6.211): 56 data bytes
64 bytes from 192.168.6.211: icmp_seq=0 ttl=63 time=0.814 ms
64 bytes from 192.168.6.211: icmp_seq=1 ttl=63 time=0.525 ms
64 bytes from 192.168.6.211: icmp_seq=2 ttl=63 time=0.533 ms
64 bytes from 192.168.6.211: icmp_seq=3 ttl=63 time=0.502 ms
64 bytes from 192.168.6.211: icmp_seq=4 ttl=63 time=0.492 ms
--- 192.168.6.211 ping statistics ---
5 packets transmitted, 5 packets received, 0.00% packet loss
round-trip min/avg/max = 0.492/0.573/0.814 ms
admin-Infra#
Nota: Si su versión de ACI era antigua, los nodos de columna no responden al ping en la banda, ya que utilizan interfaces de loopback para la conectividad que no responden al protocolo de resolución de direcciones (ARP).
Cuando se configura la administración en banda, Cisco APIC siempre prefiere la administración en banda para cualquier tráfico que se origine en Cisco APIC (como TACACS).
OOB sigue siendo accesible para los hosts que están enviando solicitudes a la dirección OOB específicamente.
Troubleshoot
En primer lugar, debe comprobar si hay algún fallo en INB.
En el switch:
f6leaf102# show vrf mgmt:inb
VRF-Name VRF-ID State Reason
mgmt:inb 27 Up --
f6leaf102#
f6leaf102# show ip int bri vrf mgmt:inb
IP Interface Status for VRF "mgmt:inb"(27)
Interface Address Interface Status
eth1/40 192.168.2.1/24 protocol-up/link-up/admin-up
vlan7 192.168.6.254/24 protocol-up/link-up/admin-up
lo37 192.168.1.6/32 protocol-up/link-up/admin-up
f6leaf102#
f6leaf102# show ip route vrf mgmt:inb
IP Route Table for VRF "mgmt:inb"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%' in via output denotes VRF
192.168.1.6/32, ubest/mbest: 2/0, attached, direct
*via 192.168.1.6, lo37, [0/0], 02:12:38, local, local
*via 192.168.1.6, lo37, [0/0], 02:12:38, direct
192.168.1.7/32, ubest/mbest: 1/0
*via 192.168.2.2, eth1/40, [110/5], 00:03:09, ospf-default, intra
192.168.2.0/24, ubest/mbest: 1/0, attached, direct
*via 192.168.2.1, eth1/40, [0/0], 00:37:13, direct
192.168.2.1/32, ubest/mbest: 1/0, attached
*via 192.168.2.1, eth1/40, [0/0], 00:37:13, local, local
192.168.6.0/24, ubest/mbest: 1/0, attached, direct, pervasive
*via 192.168.224.64%overlay-1, [1/0], 00:24:06, static
192.168.6.102/32, ubest/mbest: 1/0, attached
*via 192.168.6.102, vlan7, [0/0], 00:21:38, local, local
192.168.6.254/32, ubest/mbest: 1/0, attached, pervasive
*via 192.168.6.254, vlan7, [0/0], 00:21:38, local, local
f6leaf102#
En APIC:
f6apic1# ifconfig
bond0.10: flags=4163 mtu 1496
inet 192.168.6.1 netmask 255.255.255.0 broadcast 192.168.6.255
inet6 fe80::2ef8:9bff:fee8:8a10 prefixlen 64 scopeid 0x20
ether 2c:f8:9b:e8:8a:10 txqueuelen 1000 (Ethernet)
RX packets 37 bytes 1892 (1.8 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 889 bytes 57990 (56.6 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
f6apic1# show inband-mgmt
Table1 : INB-Mgmt Node Details
Type Node ID IP Address Gateway Inband EPG Oper State
------------ ---------- -------------------- -------------------- -------------------- --------------------
f6apic1 1 192.168.6.1/24 192.168.6.254 default up
f6apic2 2 192.168.6.2/24 192.168.6.254 default up
f6apic3 3 192.168.6.3/24 192.168.6.254 default up
f6leaf101 101 192.168.6.101/24 192.168.6.254 default up
f6leaf102 102 192.168.6.102/24 192.168.6.254 default up
f6leaf111 111 192.168.6.111/24 192.168.6.254 default up
f6leaf112 112 192.168.6.112/24 192.168.6.254 default up
f6spine201 201 192.168.6.201/24 192.168.6.254 default up
f6spine202 202 192.168.6.202/24 192.168.6.254 default up
f6spine211 211 192.168.6.211/24 192.168.6.254 default up
f6spine212 212 192.168.6.212/24 192.168.6.254 default up
Table2 : InB-Mgmt EPG Details
Name Qos Tag Nodes Vlan Oper State
--------------- --------------- --------------- ---------- ---------- ----------
default unspecified 32778 1 vlan-10 up
default unspecified 32778 2 vlan-10 up
default unspecified 32778 3 vlan-10 up
default unspecified 32778 101 vlan-10 up
default unspecified 32778 102 vlan-10 up
default unspecified 32778 111 vlan-10 up
default unspecified 32778 112 vlan-10 up
default unspecified 32778 201 vlan-10 up
default unspecified 32778 202 vlan-10 up
default unspecified 32778 211 vlan-10 up
default unspecified 32778 212 vlan-10 up
Table3 : INB-Mgmt EPG Contract Details
INBAND-MGMT-EPG Contracts App Epg L3 External Epg Oper State
--------------- --------------- ------------------------- ------------------------- ----------
default(P) ALL default all-subnet-epg up
default(C) ALL default all-subnet-epg up
f6apic1#
f6apic1# bash
admin@f6apic1:~> ip route show
default via 192.168.6.254 dev bond0.10 metric 32
192.168.6.0/24 dev bond0.10 proto kernel scope link src 192.168.6.1
192.168.6.254 dev bond0.10 scope link src 192.168.6.1
admin@f6apic1:~> route -n
Kernel IP routing table
0.0.0.0 192.168.6.254 0.0.0.0 UG 32 0 0 bond0.10
192.168.6.0 0.0.0.0 255.255.255.0 U 0 0 0 bond0.10
192.168.6.254 0.0.0.0 255.255.255.255 UH 0 0 0 bond0.10
admin@f6apic1:~>
Nota: Esta función Enforce Domain Validation verifica la VLAN/dominio y la configuración de interfaz utilizada por EPG. Si no está habilitada, Hoja omite la comprobación de dominio al enviar la configuración. Una vez habilitada esta característica, no se puede deshabilitar. Se recomienda activar esta opción para evitar una configuración incompleta.
No dude en ponerse en contacto con el TAC de Cisco para obtener más ayuda con la resolución de problemas.