購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
2514
閲覧回数
2
いいね!
1
コメント

ACI Policy Based Redirect Service Graph 設定 (PBR設定)

DCNhowtoAdmin
Level 2
Level 2

‎2021-10-11 11:52 PM - 最終編集日: ‎2023-03-24 12:10 PM 、編集者: Cisco Employee

概要

2016年7月にリリースされたACI2.0からService Graphのオプション機能としてPolicy Based Redirectが追加されました。

 

今回は以下ののような構成を作成します。テナントのネットワークの設定, VMware 連携の設定は完了しているものとします。

※今回はACI version 5.2(3g) での設定例です。

shottana_0-1678933037928.pngshottana_1-1678933073961.png

 

ASAの準備などは事前に完了していることを前提としています。

 

L4-7 Device の作成

PBR によるリダイレクト先となる Device の接続情報を設定します。

Tenants > テナントを選択 > Services > L4-L7 > Devices を右クリック して “Create L4-L7 Devices” を選択

shottana_0-1679037260294.png

 


 

次にASAの情報を入力します。

General

  • Name : 名前を任意で設定
  • Service Type : 『Firewall』を選択
  • Device Type : 『PHYSICAL』を選択(デフォルト)
  • Physical Domain : 予めService Graph用に作成してあるPhysical Domainを選択
  • View : 『Single Node』を選択(デフォルト)
  • Function Type : 『GoTo』を選択(デフォルト) → PBRはパケットの投げ先が必要なのでFWはL3で動作する必要あり!

Device

  • Name : 任意の名前を設定
  • Interfaces : [Path] はASAが接続するACIの実際のインタフェースを設定。[Name]はPathに対する任意の名前を設定。

Cluster Interfaces ※consmerとproviderで計2行作成します。

  • Name:任意に設定。ここでは『consumer』を"consumer" 『provider』を”provider”とします
  • Concrete Interfaces : DeviceのInterfaces[Name]で作成したものを設定
  • Encap:ASAのInternal側(provider)・External側(consumer)で利用するVLAN-IDを設定

 


 shottana_4-1679038062294.png

 Devicesの設定ウィンドは下記画面

shottana_7-1679038364845.png

 

Device及びCluster Interfaces設定後の下記画面設定例
shottana_9-1679039449872.png

※画面例ではDevices>Interfaces>[Path]は“Pod-1/Node-101-102/hx_FI-A”及び“Pod-1/Node-101-102/hx_FI-B”を設定しているが、実際にExternalとInternalとしてASAを接続するACIのIFを設定すること(物理IFやPort-Channel等を環境に合わせて指定) 


Service Graph Template の作成

デバイスの登録はこれで終わりました。次はService Graph Template を作成します。

ここでASAをACIにどう接続するか(L2で接続するのかL3で接続するのか等)を決定します。

 

Tenants > テナントを選択 > Services > L4-L7 > Service Graph Templates を右クリックして

Create L4-L7 Service Graph Template を選択

shottana_10-1679040271495.png

 


 

Service Graph の名前を入力し、左側のDevice Cluster欄にあるFWデバイスを右側のスペースにドラッグ&ドロップします。

ASA InformationのFirewall欄を“Routed”に設定します。

最後に『Route Redirect』にチェックを入れ、Policy Based Redirect を ON にします。

 

shottana_11-1679040493910.png

 

 

Service Graph Template の適用

作成したService Graph Template を実際にApplyします。

 

Tenants > テナントを選択 > Services > L4-L7 > Service Graph Templates > 作成したService Graph名 を右クリックして

Apply L4-L7 Service Graph Template を選択

 

shottana_12-1679040762203.png

 


  

最初にConsumer EPG, Provider EPG, Contract をそれぞれ選択します。

shottana_13-1679041869656.png

 

次に以下のViewでConsumer側、Provider側それぞれでリダイレクトの詳細設定をします。

 

shottana_14-1679042050438.png

 


Consumer側の設定 

shottana_15-1679042370733.png

 


“Create Cluster Device Redirect Policy”のViewにて[Name]に任意の名前を指定(例ではExternal)、L3 DestinationsへConsumer側のリダイレクト先のIPアドレス/MACアドレスを指定

shottana_16-1679042447907.png

 

Provider側の設定

 

shottana_0-1679270106024.png

Provider Connectorについても、Consumerと同様に設定を行う。“Create Cluster Device Redirect Policy”のViewにて[Name]に任意の名前を指定(例ではInternal)、L3 DestinationsへProvider側のリダイレクト先のIPアドレス/MACアドレスを指定

各設定の入力が終わったら"Finish"をクリック

 

shottana_1-1679270336450.png

 

Service Graph の適用が成功すると、 Devices Selection Policies と Deployed Graph Instances が追加されます。

Tenants > テナントを選択 > Services > L4-L7 >  Devices Selection Policies および Deployed Graph Instances

shottana_2-1679270527879.png

 

以上でPBRの設定は完了です。

 

ラベル:
コメント
guri shienh
Level 1
Level 1
‎2023-08-09 11:06 PM

Hi, thank you for making an easy to follow step by step instruction. I have a similar setup, but the FW endpoints are not getting installed in the leaf. Any clue how to debug it?

Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents