Configurazione della gestione in banda in ACI
Sommario
Introduzione
In questo documento viene descritta la configurazione della gestione in banda (INB) in ACI (Application Centric Infrastructure).
Prerequisiti
Requisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
* Informazioni sui criteri di accesso ACI
* Informazioni sui contratti ACI
* Descrizione della configurazione L3out External Network Instance Profile (External EPG)
È necessario completare l'individuazione dell'infrastruttura prima di configurare INB in ACI.
Componenti usati
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
- Application Policy Infrastructure Controller (APIC)
- Browser
- ACI in esecuzione 5.2 (8e)
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Configurazione
La configurazione è suddivisa in tre passi principali:
1. Configurare la VLAN di INB sulla porta che collega Leaf e APIC.
2. Associare INB EPG nel tenant di gestione e assegnare l'indirizzo INB a tutti i dispositivi.
3. Perdere l'indirizzo INB tramite L3out o il tenant VRF.
Esempio di rete
1. Configurare la VLAN di INB nell'interfaccia foglia
1.1. Creazione di un pool di VLAN
Spostarsi sul percorso dell'interfaccia grafica Web di APIC; Fabric > Access Policies > Pools > VLAN.
Name: il nome del pool di VLAN. Il nome può contenere da 1 a 64 caratteri alfanumerici.
Descrizione: descrizione del pool di VLAN. La descrizione può contenere da 0 a 128 caratteri alfanumerici.
Modalità di allocazione: il metodo di allocazione del pool di VLAN deve essere statico per INB.
Encap blocks: l'intervallo di pool di VLAN assegnate.
Intervallo: l'ID della VLAN iniziale e quello finale del pool di VLAN. L'ID inizio deve essere minore o uguale all'ID fine.
1.2. Creazione del dominio fisico
Spostarsi sul percorso dell'interfaccia grafica Web di APIC; Fabric > Access Policies > Physical and External Domains > Physical Domains.
Nome: il nome del dominio fisico. Il nome può contenere da 1 a 64 caratteri alfanumerici.
Pool di VLAN: scegliere il pool di VLAN creato nel passaggio 1.1.
1.3. Creazione di profili di entità di accesso collegabili
Spostarsi sul percorso dell'interfaccia grafica Web di APIC; Fabric > Access Policies > Policies > Global > Attachable Access Entity Profile.
Nome: il nome del profilo dell'entità di accesso collegabile. Il nome può contenere da 1 a 64 caratteri alfanumerici.
Associazione alle interfacce: deselezionare. Nel passo finale, assegnare manualmente l'interfaccia di Leaf nel passo 1.6.
Domini (VMM, fisici o esterni) da associare alle interfacce: scegliere il dominio fisico creato nel passaggio 1.2.
1.4. Crea gruppo di criteri porte di accesso foglia
Spostarsi sul percorso dell'interfaccia grafica Web di APIC; Fabric > Access Policies > Interfaces > Leaf Interfaces > Policy Groups > Leaf Access Port Policy Group.
Nome: il nome del gruppo di criteri della porta di accesso foglia. Il nome può contenere da 1 a 64 caratteri alfanumerici.
Profilo entità allegato: scegliere il profilo entità allegato creato al passo 1.3.
Criterio LLDP (Link Layer Discovery Protocol): è necessario scegliere Abilita criterio.
1.5. Crea gruppo di criteri porte di accesso foglia
Spostarsi sul percorso dell'interfaccia grafica Web di APIC; Fabric > Access Policies > Interfaces > Leaf Interfaces > Profiles.
Nome: il nome del profilo dell'interfaccia foglia. Il nome può contenere da 1 a 64 caratteri alfanumerici.
Selettori interfaccia: creare una relazione corrispondente tra interfacce e criteri di interfaccia.
Nome: il nome del selettore della porta di accesso. Il nome può contenere da 1 a 64 caratteri alfanumerici.
ID interfaccia: l'ID interfaccia è interconnesso con APIC. Nella topologia del documento, questo ID di interfaccia è 1/47 o 1/48.
Gruppo di criteri di interfaccia: scegliere il profilo entità allegato creato al passo 1.4.
Nota: Nella topologia di questo documento, le interfacce che connettono i tre APIC alla foglia non sono le stesse.
Poiché APIC 3 non è collegato all'interfaccia Eth1/47, non è possibile creare gli ID di interfaccia 1/47-1/48.
È necessario creare profili di interfaccia separati per Eth1/47 e Eth1/48.
1.6. Applicazione del profilo di interfaccia alla foglia
Spostarsi sul percorso dell'interfaccia grafica Web di APIC; Fabric > Access Policies > Switches > Leaf Switches > Profiles.
Nome (Name) - Nome del profilo foglia. Il nome può contenere da 1 a 64 caratteri alfanumerici.
Selettori foglia: scegliere l'ID foglia a cui viene applicata la configurazione interfaccia.
Nome: il nome del gruppo Foglia.
Blocchi: scegliere l'ID del nodo di commutazione.
Profili selettore interfaccia - Scegliere il profilo entità allegato creato al passo 1.5.
Nota: Nell'esempio di documento, devono essere configurati due profili di switch.
La prima consiste nel scegliere Foglia 101-102, Foglia 111-112 e assegnare il profilo di interfaccia a Eth1/48.
Il secondo consiste nel scegliere Foglia 111-112 e assegnare il profilo di interfaccia a Eth1/47.
Per ulteriori informazioni sulla risoluzione dei problemi relativi ai criteri di accesso, consultare il documento sulla risoluzione dei problemi relativi ai criteri di accesso ACI.
2. Assegna indirizzo INB nel tenant di gestione
2.1. Creazione della subnet INB di un dominio con bridging (BD)
Spostarsi sul percorso dell'interfaccia grafica Web di APIC; Tenants > mgmt > Networking > Bridge Domains > inb.
Nota: In questo documento vengono utilizzati il BD predefinito e il VRF predefinito.
È inoltre possibile creare un nuovo VRF e BD per eseguire configurazioni simili.
Gateway IP - The INB subnet gateway.
Scope - Choose according to the route leakage method you used. Here, choose to use L3out, and then click Advertised Externally.
2.2. Creazione INB EPG
Spostarsi sul percorso dell'interfaccia grafica Web di APIC; Tenants > mgmt > Node Management EPGs.
Nome: il nome dell'EPG INB.
Incapsulamento: scegliere la VLAN nel pool di VLAN come specificato al passaggio 1.1.
Dominio bridge: scegliere il BD creato al punto 2.1.
2.3. Assegnare l'indirizzo IP INB statico al dispositivo
Spostarsi sul percorso dell'interfaccia grafica Web di APIC; Tenants > mgmt > Node Management Addresses > Static Node Management Addresses.
Intervallo nodi: l'ID nodo da assegnare all'indirizzo INB. L'indirizzo INB assegnato aumenta in modo sequenziale con l'ID nodo.
Configurazione - Scegliere Indirizzi In-Band.
Gestione in-band EPG: scegliere l'EPG creato nel passo 2.2.
Indirizzo IPV4 in-band: il primo indirizzo INB assegnato.
Gateway IPV4 in-band: configurarlo come indirizzo della subnet aggiunta nel passaggio 2.1.
Nota: Dopo aver completato la configurazione al passo 2.3., tutte le parti Leaf e APIC possono comunicare attraverso INB.
3. Indirizzo INB di perdita
È possibile condividere la subnet INB con altre reti tramite qualsiasi metodo di perdita di route. INB EPG può essere considerato un EPG speciale. Non vi è alcuna differenza con il normale EPG quando si configurano le perdite di percorso.
In questo documento solo L3out viene configurato come esempio.
3.1. Crea L3out nel tenant di gestione
Nell'esempio, un'interfaccia fisica viene utilizzata con un router che esegue il protocollo OSPF (Open Shortest Path First).
Nota: Per ulteriori informazioni su L3out, consultare il white paper L3out (ACI Fabric L3Out White Paper).
Nome: il nome dell'inb L3out.
VRF - Scegliere il VRF in cui si trova il percorso L3out. In questo documento viene utilizzata la configurazione più semplice e viene selezionato il VRF INB nel tenant di gestione.
Dominio L3 - Creare e scegliere in base alla situazione effettiva. Per informazioni dettagliate sul dominio L3, consultare il white paper L3out.
OSPF - In questo esempio, L3out esegue il protocollo OSPF. Scegliere un protocollo di routing dinamico o utilizzare il routing statico in base alla situazione effettiva.
Configurare l'interfaccia in base al piano di rete.
Per OSPF, il tipo di rete predefinito è broadcast. In questo esempio viene impostato il tipo di rete point-to-point.
In questo esempio, esiste solo un'uscita L3e solo EPG ed è possibile utilizzare l'opzione predefinita EPG per tutte le reti esterne.
Nota: Se nello stesso VRF sono presenti più EPG L3out, configurare questa opzione con attenzione. Per ulteriori informazioni, consultare il white paper L3out.
Dopo aver configurato il router, lo stato del router adiacente OSPF può essere modificato in FULL.
admin-Infra# show lldp neighbors
Capability codes:
(R) Router, (B) Bridge, (T) Telephone, (C) DOCSIS Cable Device
(W) WLAN Access Point, (P) Repeater, (S) Station, (O) Other
Device ID Local Intf Hold-time Capability Port ID
f6leaf102.aci.pub Eth4/37 120 BR Eth1/40
admin-Infra# show run
version 8.2(6)
feature ospf
interface loopback66
vrf member aci-inb
ip address 192.168.1.7/32
ip router ospf aci-inb area 0.0.0.0
interface Ethernet4/37
vrf member aci-inb
ip address 192.168.2.2/24
ip ospf network point-to-point
ip router ospf aci-inb area 0.0.0.0
no shutdown
vrf context aci-inb
address-family ipv4 unicast
router ospf aci-inb
vrf aci-inb
router-id 192.168.1.7
admin-Infra# show ip ospf neighbors vrf aci-inb
OSPF Process ID aci-inb VRF aci-inb
Total number of neighbors: 1
Neighbor ID Pri State Up Time Address Interface
192.168.1.6 1 FULL/ - 00:04:01 192.168.2.1 Eth4/37
admin-Infra#
f6leaf102# show ip int bri vrf mgmt:inb
IP Interface Status for VRF "mgmt:inb"(27)
Interface Address Interface Status
eth1/40 192.168.2.1/24 protocol-up/link-up/admin-up
vlan7 192.168.6.254/24 protocol-up/link-up/admin-up
lo37 192.168.1.6/32 protocol-up/link-up/admin-up
f6leaf102# show ip ospf neighbors vrf mgmt:inb
OSPF Process ID default VRF mgmt:inb
Total number of neighbors: 1
Neighbor ID Pri State Up Time Address Interface
192.168.1.7 1 FULL/ - 00:05:08 192.168.2.2 Eth1/40
f6leaf102# Per la risoluzione dei problemi in L3out, consultare il documento sulla risoluzione dei problemi relativi all'inoltro esterno ACI.
3.2. BD associato a L3out
Spostarsi sul percorso dell'interfaccia grafica Web di APIC; Tenants > mgmt > Networking > Bridge Domains > inb.
L3out associati: scegliere il nome del L3out di gestione creato al passaggio 3.1.
3.3. Creazione di contratti
Spostarsi sul percorso dell'interfaccia grafica Web di APIC; Tenants > mgmt > Contracts > Standard.
Nell'esempio, il contratto consente tutto il traffico. Per ulteriori informazioni sul contratto, consultare il white paper Cisco ACI Contract Guide.
3.4. Applica contratto a INB EPG
Spostarsi sul percorso dell'interfaccia grafica Web di APIC; Tenants > mgmt > Node Management EPGs > In-Band EPG - default.
Contratti forniti: scegliere il contratto creato nel passo 3.3.
Contratti consumati: scegliere il contratto creato nel passo 3.3.
3.5. Applica contratto a EPG L3out
Spostarsi sul percorso dell'interfaccia grafica Web di APIC; Tenants > mgmt > Networking > L3Outs > INB-L3out > External EPGs > all-subnet-epg.
Aggiungi contratti forniti: il contratto creato nel passo 3.3.
Aggiungi contratti consumati: il contratto creato nel passo 3.3.
Dopo averlo applicato, è possibile visualizzare il contratto in Fornito e Consumato.
Verifica
Il percorso INB è visibile nel router esterno.
admin-Infra# show ip route vrf aci-inb
IP Route Table for VRF "aci-inb"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%' in via output denotes VRF
192.168.1.6/32, ubest/mbest: 1/0
*via 192.168.2.1, Eth4/37, [110/5], 00:37:40, ospf-aci-inb, intra
192.168.1.7/32, ubest/mbest: 2/0, attached
*via 192.168.1.7, Lo66, [0/0], 00:04:06, local
*via 192.168.1.7, Lo66, [0/0], 00:04:06, direct
192.168.2.0/24, ubest/mbest: 1/0, attached
*via 192.168.2.2, Eth4/37, [0/0], 00:37:51, direct
192.168.2.2/32, ubest/mbest: 1/0, attached
*via 192.168.2.2, Eth4/37, [0/0], 00:37:51, local
192.168.6.0/24, ubest/mbest: 1/0
*via 192.168.2.1, Eth4/37, [110/20], 00:24:38, ospf-aci-inb, type-2
admin-Infra#
admin-Infra# ping 192.168.6.1 vrf aci-inb
PING 192.168.6.1 (192.168.6.1): 56 data bytes
64 bytes from 192.168.6.1: icmp_seq=0 ttl=62 time=0.608 ms
64 bytes from 192.168.6.1: icmp_seq=1 ttl=62 time=0.55 ms
64 bytes from 192.168.6.1: icmp_seq=2 ttl=62 time=0.452 ms
64 bytes from 192.168.6.1: icmp_seq=3 ttl=62 time=0.495 ms
64 bytes from 192.168.6.1: icmp_seq=4 ttl=62 time=0.468 ms
--- 192.168.6.1 ping statistics ---
5 packets transmitted, 5 packets received, 0.00% packet loss
round-trip min/avg/max = 0.452/0.514/0.608 ms
admin-Infra# ping 192.168.6.3 vrf aci-inb
PING 192.168.6.3 (192.168.6.3): 56 data bytes
64 bytes from 192.168.6.3: icmp_seq=0 ttl=61 time=0.731 ms
64 bytes from 192.168.6.3: icmp_seq=1 ttl=61 time=0.5 ms
64 bytes from 192.168.6.3: icmp_seq=2 ttl=61 time=0.489 ms
64 bytes from 192.168.6.3: icmp_seq=3 ttl=61 time=0.508 ms
64 bytes from 192.168.6.3: icmp_seq=4 ttl=61 time=0.485 ms
--- 192.168.6.3 ping statistics ---
5 packets transmitted, 5 packets received, 0.00% packet loss
round-trip min/avg/max = 0.485/0.542/0.731 ms
admin-Infra# ping 192.168.6.201 vrf aci-inb
PING 192.168.6.201 (192.168.6.201): 56 data bytes
64 bytes from 192.168.6.201: icmp_seq=0 ttl=63 time=0.765 ms
64 bytes from 192.168.6.201: icmp_seq=1 ttl=63 time=0.507 ms
64 bytes from 192.168.6.201: icmp_seq=2 ttl=63 time=0.458 ms
64 bytes from 192.168.6.201: icmp_seq=3 ttl=63 time=0.457 ms
64 bytes from 192.168.6.201: icmp_seq=4 ttl=63 time=0.469 ms
--- 192.168.6.201 ping statistics ---
5 packets transmitted, 5 packets received, 0.00% packet loss
round-trip min/avg/max = 0.457/0.531/0.765 ms
admin-Infra# ping 192.168.6.211 vrf aci-inb
PING 192.168.6.211 (192.168.6.211): 56 data bytes
64 bytes from 192.168.6.211: icmp_seq=0 ttl=63 time=0.814 ms
64 bytes from 192.168.6.211: icmp_seq=1 ttl=63 time=0.525 ms
64 bytes from 192.168.6.211: icmp_seq=2 ttl=63 time=0.533 ms
64 bytes from 192.168.6.211: icmp_seq=3 ttl=63 time=0.502 ms
64 bytes from 192.168.6.211: icmp_seq=4 ttl=63 time=0.492 ms
--- 192.168.6.211 ping statistics ---
5 packets transmitted, 5 packets received, 0.00% packet loss
round-trip min/avg/max = 0.492/0.573/0.814 ms
admin-Infra# Nota: Se la versione ACI era precedente, i nodi della spine non rispondono al ping sulla banda in quanto utilizzano interfacce di loopback per la connettività che non rispondono al protocollo ARP (Address Resolution Protocol).
Quando è configurata la gestione in banda, Cisco APIC preferisce sempre la gestione in banda per qualsiasi traffico proveniente da Cisco APIC (come TACACS).
OOB è ancora accessibile per gli host che inviano richieste specificamente all'indirizzo OOB.
Risoluzione dei problemi
Innanzitutto, è necessario verificare la presenza di eventuali errori in INB.
Interruttore On:
f6leaf102# show vrf mgmt:inb
VRF-Name VRF-ID State Reason
mgmt:inb 27 Up --
f6leaf102#
f6leaf102# show ip int bri vrf mgmt:inb
IP Interface Status for VRF "mgmt:inb"(27)
Interface Address Interface Status
eth1/40 192.168.2.1/24 protocol-up/link-up/admin-up
vlan7 192.168.6.254/24 protocol-up/link-up/admin-up
lo37 192.168.1.6/32 protocol-up/link-up/admin-up
f6leaf102#
f6leaf102# show ip route vrf mgmt:inb
IP Route Table for VRF "mgmt:inb"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%' in via output denotes VRF
192.168.1.6/32, ubest/mbest: 2/0, attached, direct
*via 192.168.1.6, lo37, [0/0], 02:12:38, local, local
*via 192.168.1.6, lo37, [0/0], 02:12:38, direct
192.168.1.7/32, ubest/mbest: 1/0
*via 192.168.2.2, eth1/40, [110/5], 00:03:09, ospf-default, intra
192.168.2.0/24, ubest/mbest: 1/0, attached, direct
*via 192.168.2.1, eth1/40, [0/0], 00:37:13, direct
192.168.2.1/32, ubest/mbest: 1/0, attached
*via 192.168.2.1, eth1/40, [0/0], 00:37:13, local, local
192.168.6.0/24, ubest/mbest: 1/0, attached, direct, pervasive
*via 192.168.224.64%overlay-1, [1/0], 00:24:06, static
192.168.6.102/32, ubest/mbest: 1/0, attached
*via 192.168.6.102, vlan7, [0/0], 00:21:38, local, local
192.168.6.254/32, ubest/mbest: 1/0, attached, pervasive
*via 192.168.6.254, vlan7, [0/0], 00:21:38, local, local
f6leaf102# Su APIC:
f6apic1# ifconfig
bond0.10: flags=4163 mtu 1496
inet 192.168.6.1 netmask 255.255.255.0 broadcast 192.168.6.255
inet6 fe80::2ef8:9bff:fee8:8a10 prefixlen 64 scopeid 0x20
ether 2c:f8:9b:e8:8a:10 txqueuelen 1000 (Ethernet)
RX packets 37 bytes 1892 (1.8 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 889 bytes 57990 (56.6 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
f6apic1# show inband-mgmt
Table1 : INB-Mgmt Node Details
Type Node ID IP Address Gateway Inband EPG Oper State
------------ ---------- -------------------- -------------------- -------------------- --------------------
f6apic1 1 192.168.6.1/24 192.168.6.254 default up
f6apic2 2 192.168.6.2/24 192.168.6.254 default up
f6apic3 3 192.168.6.3/24 192.168.6.254 default up
f6leaf101 101 192.168.6.101/24 192.168.6.254 default up
f6leaf102 102 192.168.6.102/24 192.168.6.254 default up
f6leaf111 111 192.168.6.111/24 192.168.6.254 default up
f6leaf112 112 192.168.6.112/24 192.168.6.254 default up
f6spine201 201 192.168.6.201/24 192.168.6.254 default up
f6spine202 202 192.168.6.202/24 192.168.6.254 default up
f6spine211 211 192.168.6.211/24 192.168.6.254 default up
f6spine212 212 192.168.6.212/24 192.168.6.254 default up
Table2 : InB-Mgmt EPG Details
Name Qos Tag Nodes Vlan Oper State
--------------- --------------- --------------- ---------- ---------- ----------
default unspecified 32778 1 vlan-10 up
default unspecified 32778 2 vlan-10 up
default unspecified 32778 3 vlan-10 up
default unspecified 32778 101 vlan-10 up
default unspecified 32778 102 vlan-10 up
default unspecified 32778 111 vlan-10 up
default unspecified 32778 112 vlan-10 up
default unspecified 32778 201 vlan-10 up
default unspecified 32778 202 vlan-10 up
default unspecified 32778 211 vlan-10 up
default unspecified 32778 212 vlan-10 up
Table3 : INB-Mgmt EPG Contract Details
INBAND-MGMT-EPG Contracts App Epg L3 External Epg Oper State
--------------- --------------- ------------------------- ------------------------- ----------
default(P) ALL default all-subnet-epg up
default(C) ALL default all-subnet-epg up
f6apic1#
f6apic1# bash
admin@f6apic1:~> ip route show
default via 192.168.6.254 dev bond0.10 metric 32
192.168.6.0/24 dev bond0.10 proto kernel scope link src 192.168.6.1
192.168.6.254 dev bond0.10 scope link src 192.168.6.1
admin@f6apic1:~> route -n
Kernel IP routing table
0.0.0.0 192.168.6.254 0.0.0.0 UG 32 0 0 bond0.10
192.168.6.0 0.0.0.0 255.255.255.0 U 0 0 0 bond0.10
192.168.6.254 0.0.0.0 255.255.255.255 UH 0 0 0 bond0.10
admin@f6apic1:~> Nota: Questa funzione di imposizione della convalida del dominio controlla la configurazione della VLAN/del dominio e dell'interfaccia utilizzata da EPG. Se non è abilitata, Leaf ignora il controllo del dominio durante il push della configurazione. Una volta abilitata, questa funzionalità non può essere disabilitata. Per evitare una configurazione incompleta, si consiglia di attivare questa opzione.
Non esitare a contattare Cisco TAC per ulteriore assistenza nella risoluzione dei problemi.
Cronologia delle revisioni
| Revisione | Data di pubblicazione | Commenti |
|---|---|---|
2.0 |
14-May-2025
|
Grammatica e formattazione aggiornate. |
1.0 |
08-May-2024
|
Versione iniziale |
Feedback