使用ASA多情景和NetScaler 1000V配置和部署雙節點服務圖

簡介

本文說明如何配置和部署思科以應用為中心的基礎設施(ACI)平台內的雙節點服務圖。服務圖中使用的兩台裝置是以透明模式運行的物理思科自適應安全裝置(ASA)和Citrix NetScaler 1000V虛擬裝置。 

必要條件

需求

思科建議您在嘗試本檔案所述的設定之前，先瞭解以下主題：

• 由兩個主幹交換機和兩個枝葉交換機組成的思科ACI交換矩陣
  
  
• Cisco Virtual Machine Managed(VMM)域
  
  
• Cisco ASA
  
  
• NetScaler 1000V虛擬裝置

採用元件

本檔案中的資訊是根據以下硬體和軟體版本：

• ACI交換矩陣，包括運行代碼版本1.1(4e)或更高版本的兩個主幹交換機和兩個枝葉交換機，以及裝置包版本1.2或更高版本
  
  
• 在ACI中為VMWare配置的VMM域
  
  
• 具有兩個連線的物理ASA（每個枝葉交換機一個連線）
  
  
• 部署在VMWare vCenter中的NetScaler 1000V虛擬裝置
  
  
• 思科應用政策基礎架構控制器(APIC)

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。

設定

本節介紹如何配置此部署中涉及的各種元件。

配置ASA

本節介紹如何在ASA上完成配置。

在ASA上啟用多情景支援

要在ASA上建立多個上下文，必須啟用該功能。登入到ASA並在配置模式下輸入以下命令：

ciscoasa(config)#

 mode multiple

然後系統將提示您重新載入。裝置重新載入後，您可以繼續建立使用者上下文。

附註：必須在使用者上下文之前建立Admin上下文。本文檔不介紹如何建立管理員上下文，而是介紹使用者上下文。有關如何建立管理上下文的詳細資訊，請參閱Cisco ASA系列CLI配置指南9.0的配置多個上下文部分。

在ASA上配置使用者情景

要在ASA上建立使用者上下文，請從System上下文輸入以下命令：

ciscoasa/admin# changeto context sys
ciscoasa(config)# context 

jristain    <--- This is the name of the desired context

Creating context 'jristain'... Done. (5)
ciscoasa(config-ctx)# allocate-interface Management0/1

ciscoasa(config-ctx)# config-url disk0:/

jristain

.cfg   

<--- "context-name.cfg"

WARNING: Could not fetch the URL disk0:/jristain.cfg
INFO: Creating context with default config

此配置將建立上下文、分配用於此上下文的管理介面並指定配置檔案的位置。現在，您必須輸入此上下文，才能配置所需的最小載入程式，以便APIC能夠連線。

配置使用者上下文的管理IP地址

建立使用者上下文後，可以更改該上下文，並在分配的介面上配置管理IP地址。輸入以下命令：

ciscoasa(config-ctx)# changeto context jristain   <---- 

Drops into the user context

ciscoasa/jristain(config)# interface Management0/1
ciscoasa/jristain(config-if)# ip address 192.168.20.10 255.255.255.128
ciscoasa/jristain(config-if)# nameif management
INFO: Security level for "management" set to 0 by default.
ciscoasa/jristain(config-if)# security-level 100
ciscoasa/jristain(config-if)# exit
ciscoasa/jristain(config)# route management 0.0.0.0 0.0.0.0 192.168.20.1
ciscoasa/jristain(config)# exit
ciscoasa/jristain# copy running-config startup-config

附註：nameif條目必須是management，因為這是裝置包的預期。如果nameif條目包含任何附加字元，您將在APIC中發現L4-L7裝置的部署故障。

配置APIC所需的載入程式

為了將APIC連線到ASA，需要一些最小配置。其中包括HTTP伺服器和用於APIC的使用者帳戶。在使用者上下文中使用此配置：

ciscoasa/jristain(config)#username 

<username>

 password 

<password>

ciscoasa/jristain(config)#http server enable
ciscoasa/jristain(config)#http 0.0.0.0 0.0.0.0 management

附註：在<username>和<password>區域中輸入所需的使用者名和密碼。

配置APIC

本節介紹如何完成APIC上的配置。

配置所需的網橋域

部署雙節點服務圖需要三個網橋域(BD)。

使用以下資訊為外部ASA介面（使用者）配置BD:

• L2未知單播 — 泛洪
  
  
• ARP泛洪 — 啟用
  
  
• 可以配置子網，以充當NetScaler外部介面（已啟用單播路由）的預設網關

使用以下資訊設定用於連線兩台裝置的BD:

• L2未知單播 — 泛洪
  
  
• ARP泛洪 — 啟用
  
  
• 單播路由 — 已禁用

配置所需的終端組

服務圖要求配置兩個終端組(EPG):一個消費者和一個提供商。使用者EPG應使用連線到外部ASA介面的BD。提供商EPG應使用連線到終端伺服器的BD。

將管理情景新增為L4-L7裝置

您必須將ASA管理員和使用者上下文新增到APIC。要完成此操作，請導航到Tenant > L4-L7服務> L4-L7裝置，按一下右鍵並選擇Create an L4-L7 Device，然後完成以下步驟：

1. 如果尚未啟用，請按一下General區域中的Managed覈取方塊。
   
   
2. 輸入裝置名稱。
   
   
3. 從下拉選單中選擇Service Type。
   
   
4. 選擇Device Type(PHYSICAL或VIRTUAL)。
   
   
5. 從下拉選單中選擇Physical Domain。
   
   
6. 選擇Mode。
   
   
7. 從Device Package下拉選單中選擇CISCO-ASA-1.2。
   
   
8. 從下拉選單中選擇ASA Model。
   
   
9. 選擇Function Type(GoThrough is Transparent mode和GoTo isRoutedmode)。
   
   
10. 在Connectivity區域中選擇APIC to Device Management Connectivity選項。
    
    
11. 在Credentials區域中輸入Username和Password。
    
    
12. 在Device 1區域的Management IP Address欄位中(與Port)輸入管理情景的IP地址。
    
    
13. 建立物理介面，為其指定一個名稱，選擇ASA使用的介面策略組，然後選擇Provider and consumer。
    
    
14. 在Cluster區域中輸入用於Device 1區域的相同資訊。建立兩個指向同一埠通道的群集介面(一個使用者介面和一個提供程式)。
    
    

    附註：此時可以完成嚮導的使用。您無需配置任何故障切換資訊。

15. 驗證裝置是否穩定且沒有故障：
    
    

配置埠通道引數

在交換矩陣中註冊裝置後，APIC可以通過裝置引數推送配置。註冊後，必須首先配置將ASA連線到虛擬埠通道(vPC)中的枝葉交換機的埠通道。

要配置埠通道，請導航到您建立的裝置，然後按一下工作窗格上角的Parameters頁籤。按一下pencil圖示以修改引數：

出現「Edit Cluster Parameters」視窗。按一下PortChannel可限制選項的範圍。展開Port Channel Member資料夾，然後完成配置選項。以下是每個選項的解釋：

• 通道組ID — 在值欄位中，輸入要分配給ASA上的介面的PC ID（支援1到48）。
  
  
• Interface — 在Value欄位中，輸入要分配給通道組的ASA介面。

對要分配的每個介面重複此過程：

完成後，您應該會在ASA的System上下文中看到埠通道建立。若要驗證這一點，請存取系統環境並輸入show port-channel summary命令：

ciscoasa# 

show port-channel summary

Flags:  D - down        P - bundled in port-channel
        I - stand-alone s - suspended
        H - Hot-standby (LACP only)
        U - in use      N - not in use, no aggregation/nameif
        M - not in use, no aggregation due to minimum links not met
        w - waiting to be aggregated
Number of channel-groups in use: 2
Group  Port-channel  Protocol  Span-cluster  Ports
------+-------------+---------+------------+-----------------------

27     Po27(N)           LACP          No     Gi0/4(P)   Gi0/5(P)

將使用者情景新增為L4-L7裝置

您必須將使用者情景註冊為交換矩陣中的L4-L7裝置。導航到Tenant > L4-L7服務> L4-L7裝置，按一下右鍵並選擇Create an L4-L7 Device，然後完成以下步驟：

1. 如果尚未啟用，請按一下General區域中的Managed覈取方塊。
   
   
2. 輸入裝置名稱。
   
   
3. 從下拉選單中選擇Service Type。
   
   
4. 選擇Device Type。
   
   
5. 從下拉選單中選擇Physical Domain。
   
   
6. 選擇Mode。
   
   
7. 從Device Package下拉選單中選擇CISCO-ASA-1.2。
   
   
8. 從下拉選單中選擇ASA Model。
   
   
9. 在Connectivity區域中選擇APIC to Device Management Connectivity選項。
   
   
10. 選擇Function Type(GoThrough is Transparent mode和GoTo isRoutedmode)。
    
    
11. 在Credentials區域中輸入Username和Password。
    
    
12. 在Device 1區域的Management IP Address欄位中(與Port)輸入使用者情景的IP地址。
    
    
13. 建立物理介面，為其指定一個名稱，選擇ASA使用的介面策略組，然後選擇Provider and consumer。
    
    
14. 在Cluster區域中輸入Admin上下文的Management IP Address（以及埠）。建立兩個指向同一埠通道的群集介面(一個使用者介面和一個提供程式)。
    
    

    附註：此時可以完成嚮導的使用。您無需配置任何故障切換資訊。

15. 驗證裝置是否穩定且沒有故障：
    
    

將NetScaler 1000V新增為L4-L7裝置

此配置示例中的第二個節點是NetScaler 1000V。NetScaler為連線的伺服器提供負載均衡功能。您還必須向APIC註冊此裝置。導航到Tenant > L4-L7服務> L4-L7裝置，按一下右鍵並選擇Create an L4-L7 Device，然後完成以下步驟：

1. 如果尚未啟用，請按一下General區域中的Managed覈取方塊。
   
   
2. 輸入裝置名稱。
   
   
3. 從下拉選單中選擇Service Type(NetScaler是ADC或Application Delivery Controller)。
   
   
4. 選擇Device Type。
   
   
5. 從下拉選單中選擇VMM Domain（如果為虛擬）。
   
   
6. 選擇Mode。
   
   
7. 從Device Package下拉選單中選擇Cisco-NetScaler1KV-1.0。
   
   
8. 從下拉選單中選擇Model(虛擬裝置是NetScaler-VPX)
   
   
9. 在Connectivity區域中選擇APIC to Device Management Connectivity選項。
   
   
10. 在Credentials區域中輸入Username和Password。
    
    
11. 在Device 1區域的Management IP Address欄位中(與Port)輸入管理情景的IP地址。選擇VM（如果是虛擬）。
    
    
12. 在Device Interfaces區域中建立外部介面，然後選擇未使用的網路介面卡。

    附註：網路適配器1用於管理目的，請勿使用。

13. 在Device Interfaces區域中建立內部介面，然後選擇未使用的網路介面卡。
    
    
14. 在Cluster區域中輸入用於Device 1區域的相同資訊。建立兩個群集介面(一個使用者介面和一個提供程式)。
    
    
    
    
15. 驗證裝置是否穩定且沒有故障：
    
    

建立服務圖模板

現在裝置已註冊，您可以建立Service Graph Template。導航到租戶> L4-L7服務> L4-L7服務圖模板>建立L4-L7服務圖模板，然後完成以下步驟：

1. 在Graph Name(圖形名稱)欄位中輸入名稱。
   
   
2. 從Device Clusters區域按裝置部署順序拖放裝置。為每個輸入名稱。
   
   
3. 為每個裝置選擇Profile功能。對於NetScaler，此示例使用雙臂(或內嵌模式)。
   
   

部署服務圖模板

建立模板後，您可以將其部署到裝置。導航到租戶> L4-L7服務> L4-L7服務圖模板>服務圖模板>應用服務圖模板。

在「Contract」索引標籤上，完成以下步驟：

1. 從Consumer EPG/External Network下拉選單中選擇使用者EPG。
   
   
2. 從Provider EPG/External Network下拉選單中選擇提供商EPG。
   
   
3. 在「合約資訊」區域中建立新合約或選擇已存在的合約。
   
   

在Graph頁籤上，完成以下步驟：

1. 從BD下拉選單中選擇ASA外部介面的BD。
   
   
2. 從BD下拉選單中選擇BD用於ASA內部介面。
   
   
3. 從BD下拉選單中選擇BD作為NetScaler外部介面。
   
   
4. 從BD下拉選單中選擇BD作為NetScaler內部介面。
   
   

在ASA Parameters頁籤上，輸入所需的引數。不需要此頁籤上的任何引數。

在NetScaler Parameters頁籤上，通過嚮導輸入NetScaler配置：

驗證

目前沒有適用於此組態的驗證程序。

疑難排解

本節提供的資訊可用於對組態進行疑難排解。

已知故障

以下是兩個與本文檔中所述的配置相關的已知故障：

• 指令碼警告：電纜不正確或未插入介面接頭:
  
  
  
  要解決此問題，請確保配置了port-channel引數，並且ASA上的埠通道已啟動。有關如何驗證此內容的資訊，請參閱本文檔的配置埠通道引數部分。
  
  如果介面處於開啟狀態但您仍看到這些錯誤，可能是由於思科錯誤ID CSCuw56882所致。此錯誤已在適用於1.2(x)ACI軟體版本的1.2.3裝置套件支援中修正。裝置軟體包可在此處下載。
  
  
• 主要指令碼錯誤：連線錯誤：401客戶端錯誤：未授權:
  
  
  
  為了解決此問題，請確保在裝置上調配了正確的憑據並在APIC中正確配置。