Introducción
Este documento describe el diseño y la configuración de la configuración de red en el dispositivo Cisco Catalyst Center.
Prerequisites
Componentes Utilizados
- Catalyst Center versión 2.3.5.5
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Antecedentes
Los appliances físicos proporcionan cuatro interfaces enrutadas, cada una con un adaptador de red físico principal y uno secundario. La ubicación física de estos adaptadores de red varía según el modelo de dispositivo; sin embargo, la configuración lógica es la misma. El dispositivo virtual OVA crea un solo adaptador de red virtual, pero se puede agregar un segundo si es necesario. El motivo para proporcionar varios adaptadores es proporcionar, en una variedad de arquitecturas de red, la flexibilidad necesaria para permitir la comunicación bidireccional entre el dispositivo, los dispositivos de red que gestiona y/o supervisa, los administradores de sistemas que necesitan acceso a la solución, las integraciones externas y los servicios de nube necesarios. Comenzamos revisando estas interfaces y su uso previsto.
Interfaces
Grandes empresas (se requiere 10 G)
La interfaz empresarial es un puerto de diez gigabits en el dispositivo físico y se asigna al primer adaptador virtual del dispositivo virtual.
Está diseñada para ser la interfaz principal utilizada para comunicarse con los dispositivos y, en muchas implementaciones, puede ser la única interfaz utilizada para todas las comunicaciones de red.
Clúster (se requiere 10 G, dispositivo virtual interno)
La interfaz de clúster también es un puerto de diez gigabits en el dispositivo físico, pero en el dispositivo virtual no está asignado a ningún adaptador virtual.
Sólo se utiliza para la comunicación entre los dispositivos Catalyst Center en un clúster HA y debe asignarse una dirección IP de una subred que, de lo contrario, no se utiliza en la red.
Es necesario tener este puerto conectado con una IP configurada durante la instalación.
Gestión (1 G/10 G opcional)
La interfaz de administración es un puerto de un gigabit en el adaptador de red principal y un puerto de diez gigabits en el adaptador secundario.
Si se agrega un segundo adaptador virtual a un dispositivo virtual, se asigna a la interfaz de gestión.
Algunos entornos tienen límites de red estrictos que requieren que la interfaz de la empresa se coloque en una red segura para gestionar el inventario, lo que provoca dificultades a los administradores y usuarios de Catalyst Center para acceder a ella.
La interfaz de gestión proporciona a estos clientes la capacidad de configurar una segunda dirección IP accesible.
Internet/nube (1 G/10 G opcional, VA no aplicable)
El puerto Internet es un puerto de uno o diez gigabits en los dispositivos físicos, similar al puerto de administración, pero no se aplica al dispositivo virtual. En muchos entornos, el acceso a Internet o a otros servicios externos está restringido únicamente a determinadas redes, como DMZ. La interfaz de Internet o de la nube se puede utilizar para esta conexión.
Cada una de estas interfaces se puede configurar en el Asistente de configuración de Maglev con una dirección IP, una máscara de subred, una puerta de enlace predeterminada, servidores DNS y una o más rutas estáticas. Sin embargo, sólo se puede configurar una interfaz con una puerta de enlace predeterminada y servidores DNS; las interfaces restantes sólo utilizan rutas estáticas y la interfaz de clúster no tiene rutas.
Configurar
Asistente de configuración de MAGLEV
Se puede acceder al asistente de configuración de Maglev durante la instalación inicial o conectándolo más tarde al KVM CIMC y ejecutando el comando sudo maglev-config update. Sin embargo, hay algunos ajustes que no se pueden modificar después de la instalación, como se describe en la guía de instalación https://www.cisco.com/c/en/us/td/docs/cloud-systems-management/network-automation-and-management/dna-center/2-3-5/install_guide/2ndgen/b_cisco_dna_center_install_guide_2_3_5_2ndGen/m_troubleshoot_deployment_2_3_5_2ndgen.html?bookSearch=true#task_c3x_ycw_sfb
Además de los campos mencionados anteriormente, puede configurar direcciones IP virtuales (o VIP) para cada interfaz configurada con una IP.
Aunque la configuración VIP es opcional para una implementación de un solo nodo, es necesaria para implementar un clúster de tres nodos.
Las configuraciones controlan la forma en que el dispositivo inicia las conexiones (enrutamiento de salida) y la forma en que los dispositivos se configuran para iniciar sus propias conexiones con Catalyst Center (enrutamiento de entrada).
Routing saliente
El enrutamiento de salida, que se aplica a todas las comunicaciones de red iniciadas por el dispositivo, es sencillo.
Las subredes conectadas, las rutas estáticas y la configuración de gateway predeterminada de todas las interfaces configuradas en el asistente se colocan en una tabla de enrutamiento compartida.
Cuando se crea una conexión saliente, la IP de destino se busca en esta tabla de ruteo para identificar la interfaz de salida y el router de siguiente salto.
La dirección IP de origen es la IP local configurada en la interfaz en sí, no el VIP.
Nota: Esto se aplica a todo el tráfico (incluidos los servidores DNS y NTP), independientemente de las interfaces en las que estén configurados estos servidores en el asistente.
Enrutamiento entrante
El routing entrante se configura en los dispositivos administrados para controlar cómo inician las conexiones hacia Catalyst Center.
Los dispositivos y los clientes deben acceder a Catalyst Center a través de la misma interfaz de ingreso a la que apunta la tabla de ruteo saliente para su dirección IP.
Si (por ejemplo) un cliente intenta conectarse a la interfaz de Enterprise mientras la tabla de ruteo para la dirección IP del cliente apunta a la interfaz de administración, entonces el tráfico se descarta.
Por lo tanto, el sistema utiliza una búsqueda de ruteo saliente para cada IP de administración del dispositivo de inventario para identificar la interfaz correcta y luego configura el dispositivo para utilizar el VIP de esa interfaz para conectarse a Catalyst Center.
Si no se configura ningún VIP (en una instalación de nodo único), se utiliza en su lugar la IP local de la interfaz. En el caso de una implementación de certificados solo de FQDN, el FQDN del clúster se configura en los dispositivos. En ese caso, la arquitectura DNS debe garantizar que el cliente resuelva el VIP o IP de la interfaz correcta.
Para las implementaciones de recuperación ante desastres, el VIP de recuperación ante desastres siempre se configura si está presente. Si no se ha configurado un VIP de recuperación ante desastres, se configura el VIP del clúster activo actual.
A partir de toda esta información, le mostramos cómo determinar qué interfaces se necesitan en su entorno y cómo configurar sus rutas.
- Determine cuál de las redes IP disponibles tiene acceso a Internet y a otros servicios externos.
- Determine qué red IP tiene acceso a los dispositivos que administra.
- Verifique a qué red IP pueden acceder sus administradores.
Si las tres (3) funciones se pueden realizar desde una única red IP, sólo tendrá que utilizar el puerto Enterprise con un gateway predeterminado.
Si dos (2) de estas funciones deben llevarse a cabo en redes diferentes, utilice el puerto Enterprise y uno de los puertos Management (Administración) o Internet.
Un puerto tiene asignada la gateway predeterminada, mientras que el otro utiliza rutas estáticas.
Si cada función requiere su propia red IP para funcionar, se utilizan los tres (3) puertos de empresa, gestión e Internet.
La puerta de enlace predeterminada está asignada al puerto Internet.
Las rutas estáticas a las redes de administrador se deben configurar en el puerto de administración.
Las rutas estáticas a todas las redes de administración de dispositivos se deben configurar en el puerto Enterprise.