Configuration du routage et de l'interface Catalyst Center

Introduction

Ce document décrit la conception et la configuration des paramètres réseau sur l'appliance Cisco Catalyst Center.

Conditions préalables

Composants utilisés

• Catalyst Center version 2.3.5.5

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Informations générales

Les appareils physiques fournissent quatre interfaces routées, chacune avec une carte réseau physique principale et une carte réseau physique secondaire.  L'emplacement physique de ces cartes réseau varie selon le modèle d'appareil, mais la configuration logique est la même.  L'appliance virtuelle OVA ne crée qu'une seule carte réseau virtuelle, mais une seconde peut être ajoutée si nécessaire.  La raison de la mise à disposition de plusieurs adaptateurs est de fournir, sur une variété d'architectures réseau, la flexibilité nécessaire pour permettre une communication bidirectionnelle entre l'appliance, les périphériques réseau qu'elle gère et/ou surveille, les administrateurs système qui ont besoin d'accéder à la solution, les intégrations externes et les services cloud nécessaires.  Nous commençons par examiner ces interfaces et leur utilisation prévue.

Interfaces

Entreprise (10 G requis)

L'interface d'entreprise est un port de 10 gigabits sur l'appliance physique et est mappée à la première carte virtuelle de l'appliance virtuelle. 

Il s'agit de l'interface principale utilisée pour communiquer avec vos périphériques et, dans de nombreux déploiements, il peut s'agir de la seule interface utilisée pour toutes les communications réseau.

Cluster (10 G requis, VA interne)

L'interface de cluster est également un port de dix gigabits sur l'appliance physique, mais sur l'appliance virtuelle, elle n'est mappée à aucune carte virtuelle. 

Il est utilisé uniquement pour la communication entre les appliances Catalyst Center dans un cluster haute disponibilité et doit se voir attribuer une adresse IP d'un sous-réseau qui est inutilisé dans le réseau.

Ce port doit être connecté à une adresse IP configurée lors de l'installation.

Gestion (1G/10G en option)

L'interface de gestion est un port d'un gigabit sur la carte réseau principale et un port de dix gigabits sur la carte réseau secondaire.

Si une seconde carte virtuelle est ajoutée à une appliance virtuelle, elle est mappée à l'interface de gestion. 

Dans certains environnements, les limites du réseau sont strictes et l'interface d'entreprise doit être placée dans un réseau sécurisé afin de gérer votre inventaire, ce qui rend difficile l'accès des administrateurs et des utilisateurs de Catalyst Center. 

L'interface de gestion permet à ces clients de configurer une deuxième adresse IP accessible.

Internet/Cloud (1G/10G en option, VA sans objet)

Le port Internet est un port d'un ou de dix gigabits sur les appareils physiques, similaire au port de gestion, mais ne s'applique pas à l'appareil virtuel.  Dans de nombreux environnements, l'accès à Internet ou à d'autres services externes est limité à certains réseaux tels qu'une DMZ. L'interface Internet ou cloud peut être utilisée pour cette connexion.

Chacune de ces interfaces peut être configurée dans l'Assistant de configuration Maglev avec une adresse IP, un masque de sous-réseau, une passerelle par défaut, des serveurs DNS et une ou plusieurs routes statiques.  Cependant, une seule interface peut être configurée avec une passerelle par défaut et des serveurs DNS, toutes les interfaces restantes utilisant uniquement des routes statiques et l'interface de cluster n'ayant aucune route.

Configurer

Assistant de configuration MAGLEV

L'assistant de configuration Maglev est accessible lors de l'installation initiale ou en se connectant ultérieurement au KVM CIMC et en exécutant la commande sudo maglev-config update. Cependant, certains paramètres ne peuvent pas être modifiés après l'installation, comme indiqué dans le Guide d'installation https://www.cisco.com/c/en/us/td/docs/cloud-systems-management/network-automation-and-management/dna-center/2-3-5/install_guide/2ndgen/b_cisco_dna_center_install_guide_2_3_5_2ndGen/m_troubleshoot_deployment_2_3_5_2ndgen.html?bookSearch=true#task_c3x_ycw_sfb

Outre les champs mentionnés précédemment, vous pouvez configurer des adresses IP virtuelles (ou VIP) pour chaque interface configurée avec une adresse IP. 

Bien que la configuration VIP soit facultative pour un déploiement à un seul noeud, elle est requise pour le déploiement d'un cluster à trois noeuds. 

Les configurations contrôlent la façon dont l'appliance initie les connexions (routage sortant) et la façon dont les périphériques sont configurés pour initier leurs propres connexions avec Catalyst Center (routage entrant).

Routage sortant

Le routage sortant, qui s'applique à toutes les communications réseau initiées par l'appliance, est simple. 

Les sous-réseaux connectés, les routes statiques et les paramètres de passerelle par défaut de toutes les interfaces configurées dans l'Assistant sont placés dans une table de routage partagée. 

Lorsqu’une connexion sortante est créée, l’adresse IP de destination est recherchée dans cette table de routage pour identifier l’interface de sortie et le routeur de tronçon suivant. 

L'adresse IP source est l'adresse IP locale configurée sur l'interface elle-même, et non le VIP. 

Remarque : ceci s'applique à tout le trafic (y compris les serveurs DNS et NTP), quelles que soient les interfaces sur lesquelles ces serveurs sont configurés dans l'assistant.

Routage entrant

Le routage entrant est configuré sur les périphériques gérés pour contrôler la manière dont ils établissent les connexions vers Catalyst Center. 

Les périphériques et les clients doivent accéder à Catalyst Center via la même interface d'entrée que celle vers laquelle pointe la table de routage de sortie pour leur adresse IP. 

Si (par exemple) un client tente de se connecter à l'interface d'entreprise alors que la table de routage de l'adresse IP du client pointe vers l'interface de gestion, le trafic est abandonné. 

Par conséquent, le système utilise une recherche de routage sortant pour l'adresse IP de gestion de chaque périphérique d'inventaire afin d'identifier l'interface correcte, puis configure le périphérique afin d'utiliser le VIP de cette interface pour la connexion à Catalyst Center. 

Si aucun VIP n'est configuré (dans une installation à noeud unique), l'adresse IP locale de l'interface est utilisée à la place.  Dans le cas d'un déploiement de certificat avec nom de domaine complet uniquement, le nom de domaine complet du cluster est configuré sur les périphériques.  Dans ce cas, l’architecture DNS doit s’assurer que l’interface VIP ou IP correcte est résolue par le client. 

Pour les déploiements de reprise après sinistre, le VIP de reprise après sinistre est toujours configuré, le cas échéant.  Si aucun VIP de récupération après sinistre n'est configuré, le VIP du cluster actif actuel est configuré.

Sur la base de toutes ces informations, voici comment déterminer quelles interfaces sont nécessaires dans votre environnement et comment configurer leurs routes.  

• Déterminez les réseaux IP disponibles qui ont accès à Internet et à d'autres services externes.  
• Déterminez quel réseau IP a accès aux périphériques que vous gérez.
• Vérifiez le réseau IP auquel vos administrateurs peuvent accéder. 

Si ces trois (3) rôles peuvent être réalisés à partir d'un seul réseau IP, vous n'avez besoin d'utiliser que le port d'entreprise avec une passerelle par défaut. 

Si deux (2) de ces rôles doivent être exécutés sur des réseaux différents, utilisez le port d'entreprise et l'un des ports de gestion ou Internet. 

La passerelle par défaut est attribuée à un port, tandis que l'autre utilise des routes statiques. 

Si chaque rôle nécessite son propre réseau IP pour fonctionner, les trois (3) ports Enterprise (Entreprise), Management (Gestion) et Internet sont utilisés. 

La passerelle par défaut est attribuée au port Internet.

Les routes statiques vers vos réseaux d'administration doivent être configurées sur le port de gestion.

Les routes statiques vers tous les réseaux de gestion des périphériques doivent être configurées sur le port d'entreprise.