Actief/actief L1-PBR configureren en verifiëren in ACI
Inleiding
In dit document wordt beschreven hoe u Active/Active L1 Service Graph configureert en verifieert in Application Centric Infrastructure (ACI).
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Begrijpen hoe Layer 3 Service Graph werkt in ACI
- Inzicht in de configuratie van de beleidsgroep Endpoint, bridge-domeinen en -contracten in ACI
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- APIC-versie: 5.3(2a)
- H/W-blad: N9K-C93180YC-FX, N9K-C93180YC-EX
- Leaf S/W: n9000-15.3(2a)
- Bladknooppunt 101, 102, 103, 104
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Topologie
De EPG1- en EPG2-configuratie wordt niet weergegeven in dit document. De configuratie moet vooraf worden uitgevoerd en het eindpunt moet worden bepaald.
1. Valideer EPG1 haș eindpunt 192.168.132.100 geleerd (knooppunt 101).
2. EPG2 valideren heeft eindpunt 192.168.132.200 geleerd (knooppunt 104).
Waarom is L1 Service Graph nodig in ACI?
In Cisco ACI kunt u het L4-L7-serviceapparaat invoegen als L3/L2/L1. Laag 3 betekent dat het externe apparaat in staat is om routeringsbeslissingen uit te voeren om verkeer door te sturen, terwijl Laag 2 betekent dat verkeer alleen wordt doorgestuurd op basis van MAC-adres. In ACI kunt u een L2-apparaat zoals Intrusion Prevention System (IPS) / Transparent Firewall invoegen. Denk nu aan een scenario waarin het apparaat dat u gaat omleiden van het verkeer is niet in staat om het nemen van een forwarding beslissing, dus in die gevallen kunt u L1 Policy-Based Routing (PBR) implementeren.
Traffic forwarding is hetzelfde voor L3 en L2 PBR gevallen, het enige verschil is in het geval van L3 PBR verkeer wordt omgeleid naar een IP-adres waar als voor L1/L2 PBR verkeer wordt omgeleid naar MAC-adres. Deze MAC-adressen zijn statisch gebonden aan de bladinterface voor doorstuurdoeleinden. Je zult zien dat meer hierover verder gaat.
Voor meer informatie over Active/Stanby of Active/Active L1/L2 PBR use cases, zie de link; PBR White Paper.
Over L1-apparaat
In dit implementatiemodel wordt geen VLAN-vertaling uitgevoerd op het serviceapparaat en werken beide interfaces op hetzelfde VLAN. Deze aanpak is algemeen bekend als inline mode of wire mode en wordt meestal gebruikt voor firewalls en Intrusion Prevention Systems (IPS). Het is ideaal wanneer van het serviceapparaat wordt verwacht dat het beveiligingsfuncties uitvoert zonder deel te nemen aan Layer 2 of Layer 3-forwarding.
Actief/Actief L1 PBR
Vanaf ACI versie 5.0 wordt het implementeren van een servicegrafiek met L4-L7-apparaten in een actieve/actieve modus ondersteund. Dit wordt bereikt door een unieke encap toe te wijzen aan elke L4-L7-apparaatinterface (concrete interface) en gebruik te maken van automatische configuratie van ACI van 'Flood in encap' op de verborgen service EPG. Deze verborgen service-EPG is gemaakt door ACI om de L4-L7-apparaatinterface te koppelen aan het servicebriddomein.
Beheerders hoeven de verborgen service-EPG niet handmatig te configureren, omdat ACI automatisch 'Flood in encap' inschakelt tijdens het renderingsproces van de servicegrafiek.
Voor L1 PBR actief-actieve implementaties moet de lokale reikwijdte van de poort worden geconfigureerd. Hiervoor moeten de clusterinterfaces (connectors) van de consument en provider van het L4-L7-apparaat in afzonderlijke fysieke domeinen worden geplaatst, elk met een eigen VLAN-pool, terwijl hetzelfde VLAN-bereik voor beide domeinen behouden blijft.
Referentie: PBR White Paper.
Configuratie voor L1 Service Graph
Unicast-routering moet zijn ingeschakeld, L2 onbekende unicast moet zijn ingesteld op Hardware-proxy en er is geen subnet vereist voor cons- en prov-bridgedomeinen.
Stap 1. Configureer het Consumer Bridge-domein met de naam cons_bd1.
Stap 2. Het providerbridge-domein configureren met de naam prov-bd1.
Stap 3. Het beleid voor de IP Service Level Agreement (SLA) configureren met het SLA-type L2Ping.
Navigeer naar Huurder > Beleid > Protocol > IP SLA > IP SLA Monitoring Policies, klik vervolgens met de rechtermuisknop en maak beleid.
Stap 4. Apparaat L4/L7 configureren.
Navigeer naar Huurder > Services > Apparaten, klik met de rechtermuisknop en maak L4-L7-apparaat.
Opmerking: voor L1-apparaten moet elke clusterinterface zich in verschillende fysieke domeinen bevinden voor de lokale reikwijdte van de poort.
Stap 5. Configureer L4-L7-beleidsgebaseerde omleiding voor binnen- en buiteninterface.
Navigeer naar Huurder > Beleid > Protocol > L4-L7 Beleidsgebaseerde omleiding, klik met de rechtermuisknop en maak beleid.
++ Beleidsnaam bevindt zich binnen
++ We hebben twee L1-bestemmingen, één voor elk L1-apparaat
++ Beleidsnaam is buiten
++ We hebben twee L1-bestemmingen, één voor elk L1-apparaat
Opmerking: de drempelwaardeverlaging moet hetzelfde zijn voor het L4-L7-omleidingsbeleid.
Stap 6. Sjabloon voor servicegrafiek configureren.
Navigeer naar Huurder > Services > Servicegrafieksjabloon, klik vervolgens met de rechtermuisknop en maak een L4-L7-servicegrafieksjabloon.
Stap 7. Maak een contract aan.
Navigeer naar Huurder > Contract > Standaard, klik met de rechtermuisknop en maak een contract aan.
Stap 8. De overeenkomst als consument en aanbieder toepassen op respectievelijk EPG1 en EPG2.
Stap 9. De dienstgrafieksjabloon van L4-L7 toepassen.
Navigeer naar Huurder > Services > Servicegrafieksjabloon, klik vervolgens met de rechtermuisknop op PBR1 en pas de L4-L7-servicegrafieksjabloon toe.
++ Voeg consument en provider EPG toe
++ Contract opgeven
++ klik op Volgende
++ Specificeer details van de consumentenconnector
++ Specificeer details van de providerconnector
++ Klik op Voltooien
Verificatie voor L1 Service Graph op APIC GUI
Stap 1. Controleer het apparaatselectiebeleid dat is gemaakt nadat u de sjabloon voor de servicegrafiek hebt toegepast.
++ Consumentenconnector controleren
++ Provider-connector configureren
Stap 2. Verifieer geïmplementeerde grafiekinstanties, daar ziet u een instantie, deze moet in de toegepaste staat zijn.
++ Controleer op apparaatinterfaces en functieaansluitingen waar u PCTAG gaat zien die is gekoppeld aan service-EPG's
Verificatie voor L1 Service Graph op APIC CLI
Stap 1. Controleer of de servicegrafiek wordt toegepast op de node van de consument en de provider, samen met de status van de gezondheidsgroep.
apic01# fabric 101,104 show service redir info
----------------------------------------------------------------
Node 101
----------------------------------------------------------------
=======================================================================================================================================
LEGEND
TL: Threshold(Low) | TH: Threshold(High) | HP: HashProfile | HG: HealthGrp | BAC: Backup-Dest | TRA: Tracking | RES: Resiliency
=======================================================================================================================================
List of Dest Groups
GrpID Name destination HG-name BAC operSt operStQual TL TH HP TRAC RES
===== ==== =========== ============== === ======= ============ === === === === ===
10 destgrp-10 dest-[476f:9be9:5aab:4454:a5d6:8c9e:7017:61eb]-[vxlan-2490369] l1_pbr_tenant::HG2 N enabled no-oper-grp 51 100 sym yes no
dest-[8301:bb59:e940:4233:81c6:e007:437e:45f]-[vxlan-2490369] l1_pbr_tenant::HG1 N
2 destgrp-2 dest-[2958:ddd3:6eda:4ede:8bb4:1b66:8b19:1eb4]-[vxlan-2490369] l1_pbr_tenant::HG1 N enabled no-oper-grp 51 100 sym yes no
dest-[d438:790d:6fdb:4485:bab7:197d:ef61:9a59]-[vxlan-2490369] l1_pbr_tenant::HG2 N
List of destinations
Name bdVnid vMac vrf operSt operStQual HG-name
==== ====== ==== ==== ===== ========= =======
dest-[8301:bb59:e940:4233:81c6:e007:437e:45f]-[vxlan-2490369] vxlan-16252846 10:B3:D5:14:99:99 l1_pbr_tenant:l1_pbr_vrf enabled no-oper-dest l1_pbr_tenant::HG1
dest-[476f:9be9:5aab:4454:a5d6:8c9e:7017:61eb]-[vxlan-2490369] vxlan-16252846 10:B3:D5:14:77:77 l1_pbr_tenant:l1_pbr_vrf enabled no-oper-dest l1_pbr_tenant::HG2
dest-[2958:ddd3:6eda:4ede:8bb4:1b66:8b19:1eb4]-[vxlan-2490369] vxlan-15794150 10:B3:D5:14:66:66 l1_pbr_tenant:l1_pbr_vrf enabled no-oper-dest l1_pbr_tenant::HG1
dest-[d438:790d:6fdb:4485:bab7:197d:ef61:9a59]-[vxlan-2490369] vxlan-15794150 10:B3:D5:14:77:77 l1_pbr_tenant:l1_pbr_vrf enabled no-oper-dest l1_pbr_tenant::HG2
List of Health Groups
HG-Name HG-OperSt HG-Dest HG-Dest-OperSt
======= ========= ======= ==============
l1_pbr_tenant::HG1 enabled dest-[2958:ddd3:6eda:4ede:8bb4:1b66:8b19:1eb4]-[vxlan-2490369]] up
dest-[8301:bb59:e940:4233:81c6:e007:437e:45f]-[vxlan-2490369]] up
l1_pbr_tenant::HG2 enabled dest-[d438:790d:6fdb:4485:bab7:197d:ef61:9a59]-[vxlan-2490369]] up
dest-[476f:9be9:5aab:4454:a5d6:8c9e:7017:61eb]-[vxlan-2490369]] up
----------------------------------------------------------------
Node 104
----------------------------------------------------------------
=======================================================================================================================================
LEGEND
TL: Threshold(Low) | TH: Threshold(High) | HP: HashProfile | HG: HealthGrp | BAC: Backup-Dest | TRA: Tracking | RES: Resiliency
=======================================================================================================================================
List of Dest Groups
GrpID Name destination HG-name BAC operSt operStQual TL TH HP TRAC RES
===== ==== =========== ============== === ======= ============ === === === === ===
3 destgrp-3 dest-[d438:790d:6fdb:4485:bab7:197d:ef61:9a59]-[vxlan-2490369] l1_pbr_tenant::HG2 N enabled no-oper-grp 51 100 sym yes no
dest-[2958:ddd3:6eda:4ede:8bb4:1b66:8b19:1eb4]-[vxlan-2490369] l1_pbr_tenant::HG1 N
4 destgrp-4 dest-[476f:9be9:5aab:4454:a5d6:8c9e:7017:61eb]-[vxlan-2490369] l1_pbr_tenant::HG2 N enabled no-oper-grp 51 100 sym yes no
dest-[8301:bb59:e940:4233:81c6:e007:437e:45f]-[vxlan-2490369] l1_pbr_tenant::HG1 N
List of destinations
Name bdVnid vMac vrf operSt operStQual HG-name
==== ====== ==== ==== ===== ========= =======
dest-[2958:ddd3:6eda:4ede:8bb4:1b66:8b19:1eb4]-[vxlan-2490369] vxlan-15794150 10:B3:D5:14:66:66 l1_pbr_tenant:l1_pbr_vrf enabled no-oper-dest l1_pbr_tenant::HG1
dest-[d438:790d:6fdb:4485:bab7:197d:ef61:9a59]-[vxlan-2490369] vxlan-15794150 10:B3:D5:14:77:77 l1_pbr_tenant:l1_pbr_vrf enabled no-oper-dest l1_pbr_tenant::HG2
dest-[476f:9be9:5aab:4454:a5d6:8c9e:7017:61eb]-[vxlan-2490369] vxlan-16252846 10:B3:D5:14:77:77 l1_pbr_tenant:l1_pbr_vrf enabled no-oper-dest l1_pbr_tenant::HG2
dest-[8301:bb59:e940:4233:81c6:e007:437e:45f]-[vxlan-2490369] vxlan-16252846 10:B3:D5:14:99:99 l1_pbr_tenant:l1_pbr_vrf enabled no-oper-dest l1_pbr_tenant::HG1
List of Health Groups
HG-Name HG-OperSt HG-Dest HG-Dest-OperSt
======= ========= ======= ==============
l1_pbr_tenant::HG1 enabled dest-[2958:ddd3:6eda:4ede:8bb4:1b66:8b19:1eb4]-[vxlan-2490369]] up
dest-[8301:bb59:e940:4233:81c6:e007:437e:45f]-[vxlan-2490369]] up
l1_pbr_tenant::HG2 enabled dest-[476f:9be9:5aab:4454:a5d6:8c9e:7017:61eb]-[vxlan-2490369]] up
dest-[d438:790d:6fdb:4485:bab7:197d:ef61:9a59]-[vxlan-2490369]] up
Stap 2. Controleer of de statische MAC-binding is gemaakt op serviceknooppunten (102 en 103).
apic01# fabric 102-103 show endpoint vrf l1_pbr_tenant:l1_pbr_vrf
----------------------------------------------------------------
Node 102
----------------------------------------------------------------
Legend:
S - static s - arp L - local O - peer-attached
V - vpc-attached a - local-aged p - peer-aged M - span
B - bounce H - vtep R - peer-attached-rl D - bounce-to-proxy
E - shared-service m - svc-mgr
+-----------------------------------+---------------+-----------------+--------------+-------------+
VLAN/ Encap MAC Address MAC Info/ Interface
Domain VLAN IP Address IP Info
+-----------------------------------+---------------+-----------------+--------------+-------------+
23/l1_pbr_tenant:l1_pbr_vrf vlan-1310 10b3.d514.7777 LS eth1/6
24/l1_pbr_tenant:l1_pbr_vrf vlan-1301 10b3.d514.9999 LS eth1/5
----------------------------------------------------------------
Node 103
----------------------------------------------------------------
Legend:
S - static s - arp L - local O - peer-attached
V - vpc-attached a - local-aged p - peer-aged M - span
B - bounce H - vtep R - peer-attached-rl D - bounce-to-proxy
E - shared-service m - svc-mgr
+-----------------------------------+---------------+-----------------+--------------+-------------+
VLAN/ Encap MAC Address MAC Info/ Interface
Domain VLAN IP Address IP Info
+-----------------------------------+---------------+-----------------+--------------+-------------+
40/l1_pbr_tenant:l1_pbr_vrf vlan-1310 10b3.d514.7777 LS eth1/6
1/l1_pbr_tenant:l1_pbr_vrf vlan-1301 10b3.d514.6666 LS eth1/5
verkeersvalidatie
1. 2000 ICMP-pingpakketten worden gegenereerd van EP1 naar EP2 die worden omgeleid naar L1-apparaat.
switch1# ping 192.168.132.200 vrf l1_pbr1 count 2000 >>>>> sending 2000 packets
64 bytes from 192.168.132.200: icmp_seq=464 ttl=251 time=0.859 ms
64 bytes from 192.168.132.200: icmp_seq=465 ttl=251 time=0.872 ms
64 bytes from 192.168.132.200: icmp_seq=466 ttl=251 time=0.844 ms
64 bytes from 192.168.132.200: icmp_seq=467 ttl=251 time=0.821 ms
64 bytes from 192.168.132.200: icmp_seq=468 ttl=251 time=0.814 ms
64 bytes from 192.168.132.200: icmp_seq=469 ttl=251 time=0.846 ms
64 bytes from 192.168.132.200: icmp_seq=470 ttl=251 time=0.863 ms
64 bytes from 192.168.132.200: icmp_seq=471 ttl=251 time=0.819 ms
64 bytes from 192.168.132.200: icmp_seq=472 ttl=251 time=0.802 ms
64 bytes from 192.168.132.200: icmp_seq=473 ttl=251 time=0.851 ms
64 bytes from 192.168.132.200: icmp_seq=474 ttl=251 time=0.815 ms
2. Valideer interfaces tellers op knooppunt 102 en 103 die zijn aangesloten op L1 apparaat.
apic01# fabric 102-103 show interface ethernet 1/5-6 | grep "Node\|Ethernet\|RX\|packets\|TX"
Node 102
Ethernet1/5 is up
Hardware: 100/1000/10000/25000/auto Ethernet, address: 10b3.d5c5.8f25 (bia 10b3.d5c5.8f25)
30 seconds input rate 0 bits/sec, 0 packets/sec
30 seconds output rate 64 bits/sec, 0 packets/sec
RX
2008 unicast packets 2 multicast packets 0 broadcast packets >>>>>2000 packets recieved from L1 device
2010 input packets 213180 bytes
0 jumbo packets 0 storm suppression bytes
TX
2009 unicast packets 1 multicast packets 0 broadcast packets >>>>> 2000 packets transmitted towards L1 device
2010 output packets 213003 bytes
0 jumbo packets
Ethernet1/6 is up
Hardware: 100/1000/10000/25000/auto Ethernet, address: 10b3.d5c5.8f26 (bia 10b3.d5c5.8f26)
30 seconds input rate 0 bits/sec, 0 packets/sec
30 seconds output rate 64 bits/sec, 0 packets/sec
RX
9 unicast packets 2 multicast packets 0 broadcast packets
11 input packets 1286 bytes
0 jumbo packets 0 storm suppression bytes
TX
9 unicast packets 1 multicast packets 0 broadcast packets
10 output packets 1003 bytes
0 jumbo packets
Node 103
Ethernet1/5 is up
Hardware: 100/1000/10000/25000/auto Ethernet, address: a453.0e75.9a85 (bia a453.0e75.9a85)
30 seconds input rate 0 bits/sec, 0 packets/sec
30 seconds output rate 64 bits/sec, 0 packets/sec
RX
2009 unicast packets 1 multicast packets 0 broadcast packets >>>>> 2000 packets recieved from L1 device
2010 input packets 213003 bytes
0 jumbo packets 0 storm suppression bytes
TX
2008 unicast packets 1 multicast packets 0 broadcast packets >>> 2000 packets transmitted towards L1 device
2009 output packets 212897 bytes
0 jumbo packets
Ethernet1/6 is up
Hardware: 100/1000/10000/25000/auto Ethernet, address: a453.0e75.9a86 (bia a453.0e75.9a86)
30 seconds input rate 0 bits/sec, 0 packets/sec
30 seconds output rate 64 bits/sec, 0 packets/sec
RX
9 unicast packets 1 multicast packets 0 broadcast packets
10 input packets 1003 bytes
0 jumbo packets 0 storm suppression bytes
TX
9 unicast packets 1 multicast packets 0 broadcast packets
10 output packets 1003 bytes
0 jumbo packets
Opmerking: Interfacetellers werden gewist op knooppunt 102 en 103 voordat het verkeer werd getest.
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
1.0 |
25-Mar-2025
|
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)