Создание внешнего доступа уровня 3 в Cisco ACI
В прошлом месяце я писал о создании внешнего доступа уровня 2 в Cisco ACI. Возможно, еще более необходимо создать уровень 3 для внешнего доступа или даже сделать оба уровня 2 и 3. Скорее всего, вам потребуется подключить фабрику ACI к вашей текущей сети только для того, чтобы получить трафик между двумя средами. Имейте в виду, что вы также можете применять политики даже к внешней сети (за пределами ACI) с помощью APIC, как я говорил в предыдущей статье.
В этой статье мы предполагаем, что используем OSPF в качестве протокола динамической маршрутизации, хотя в ACI разрешены и другие протоколы маршрутизации. Мы создадим подключение к коммутатору Nexus 5000 с типом области NSSA для подключения к фабрике ACI.
Одной из задач узлов в структуре ACI является выполнение функций рефлекторов маршрутов BGP. Существует много информации о Route Reflection, но вкратце это способ обмена информацией о маршрутизации между всеми коммутаторами в фабрике. Не каждый ствол необходимо настраивать в качестве рефлектора маршрута, но рекомендуется иметь два сконфигурированных в целях резервирования.
Чтобы настроить отражатели маршрутов BGP:
- Войти в АПИК
- Нажмите на вкладку Ткань
- Разверните политики Fabric
- Развернуть политики Pod
- Развернуть Политики
- Выберите отражатели маршрутов BGP по умолчанию
- В качестве номера автономной системы введите 1 на панели справа.
- Нажмите кнопку +, чтобы добавить узлы Route Reflector.
- Щелкните раскрывающийся список, чтобы выбрать идентификатор узла позвоночника.
- Нажмите «Отправить» дважды
Чтобы создать политику pod:
- Выберите группы политик в разделе Pod Policy
- Щелкните правой кнопкой мыши группы политик и создайте новую.
- Дайте ему имя
- Рядом с BGP Route Reflector Policy выберите BGP Route Reflectors Default, который мы выбрали на шаге 6 выше.
- Нажмите «Отправить».
- Нажмите «По умолчанию» в разделе «Политики Pod» в дереве слева.
- В раскрывающемся списке справа выберите имя, указанное на шаге 3, для группы политик Fabric.
- Нажмите «Отправить».
Теперь мы можем продолжить и настроить наше соединение уровня 3. Имейте в виду, что это будет сделано для каждого арендатора. Итак, вверху щелкните клиент, в котором вы хотите создать это внешнее соединение уровня 3. В нашем примере мы перейдем к производственному арендатору и создадим подключение к коммутатору Nexus 5548, который находится в нашей уже существующей или устаревшей сети.
- В APIC нажмите Арендаторы
- Нажмите на Производство
- Разверните Сеть в дереве слева.
- Щелкните правой кнопкой мыши на External Routed Networks и выберите Create Routed Outside.
- Введите для него имя, например Production-L3-Out-Prof.
- Выберите OSPF, который мы используем в этом примере.
- По умолчанию вводится 1 для области OSPF.
- Нажмите знак +, чтобы выбрать, какие узлы вы хотите подключить.
фигура 1
- Щелкните раскрывающийся список рядом с Частной сетью и выберите созданный вами VRF.
- Нажмите знак «+» в разделе «Профили протоколов узлов и интерфейсов».
Здесь вы создадите профиль узла. При нажатии на знак + появится новое окно.
- Введите имя, например Production-L3-Out-Prof.
- Щелкните значок + в разделе «Профили интерфейса OSPF», чтобы создать новый профиль интерфейса.
фигура 2
- Здесь вы будете использовать раскрывающееся меню, чтобы показать конечные узлы. Разверните конечные узлы, чтобы выбрать порт на конечном узле, который будет подключаться к маршрутизатору в существующей в настоящее время сети.
- Укажите идентификатор маршрутизатора OSPF.
- Нажмите ОК
- Теперь щелкните значок + в разделе «Профили интерфейса OSPF».
- Дайте ему имя, например Production-L3-Out-IntProf.
- Нажмите на знак +, чтобы назначить маршрутизируемые интерфейсы.
Рисунок 3
Рисунок 4
- Появится новое окно, и вы снова выберите путь из выпадающего меню. Убедитесь, что вы развернули лист и выбрали фактический порт здесь
- Укажите IP-адрес
- Укажите также MTU, будь то обычные кадры или кадры большого размера.
- Дважды нажмите OK, чтобы выполнить задачи.
В этот момент вы вернетесь к начальному мастеру. Вы можете нажать «Далее», чтобы указать внешние сети EPG. По сути, создайте это внешнее соединение как фактическую группу конечных точек, что означает, что вы можете назначать для него политики, как и для любого EPG в ACI Fabric. Это довольно крутая штука, потому что теперь мы можем назначать политики даже внешним объектам, пока мы мигрируем из нашей текущей сети в структуру ACI.
- Нажмите на знак +, чтобы добавить внешнюю сеть EPG.
- Дайте ему имя, например Production-L3-Out-EPG.
- Выберите подсеть 0.0.0.0/0.0.0.0, чтобы разрешить любое подключение. Вы можете сузить это по подсети по мере необходимости
- Нажмите Готово
Теперь мы можем вернуться и проверить, что внешнее соединение уровня 3 было создано, заглянув в раздел «Внешние маршрутизируемые сети» в дереве слева.
Рисунок 5
EPG с внешним доступом уровня 3 теперь создана. В случае с OSPF таймеры могут быть очень важны. Вообще говоря, таймеры OSPF должны быть установлены на один и тот же интервал на всех устройствах, чтобы произошла связь.
Чтобы установить таймеры OSPF в APIC:
- Разверните Частные сети, расположенные в разделе Сеть в дереве слева.
- Выберите Производство-VRF
- На правой панели в разделе Таймеры OSPF вы можете ввести правильный интервал. Вы также можете выбрать значение по умолчанию, если другие таймеры OSPF установлены по умолчанию в вашей среде.
Затем назначьте новую сеть мостовому домену. Если вы не знакомы с мостовыми доменами в ACI, ознакомьтесь с этой статьей.
- Разверните Bridge Domains в разделе Networking в дереве слева.
- Выберите домен-мост, которому вы хотите его назначить.
- На панели справа щелкните знак + рядом с Associated L3 Outs.
- В раскрывающемся меню выберите Production-L3-Out.
- Нажмите Обновить
- Нажмите «Отправить», чтобы выполнить эту задачу.
Мы завершили внешнее соединение уровня 3. Имейте в виду, что трафик не будет входить или выходить из структуры ACI до тех пор, пока не будет создана политика или контракт, потому что мы все еще используем модель белого списка в ACI. Между двумя EPG необходим контракт, даже если этот EPG является внешним EPG уровня 3. Подробнее о создании контрактов читайте в этой статье.
Если у вас есть какие-либо вопросы, как всегда, оставьте их в разделе комментариев или свяжитесь со мной в Твиттере @Malhoit.