概要
ciscoが提供するsandboxでSD-ACCESSを勉強しています。
動画などで見るとスムーズに設定しているのですが、意外と検証できるまでの初期設定が難しかったです。
エラーになったところを備忘として記録します。メモ書きなので、これを見ればわかる!とは言えませんが、同じことで悩んでいる方の参考になれば嬉しいです。
この記事はファブリックを設定後、Edgeの各ポートの設定とL3 Handoffの設定についてです。
間違えていたら教えてほしい..
環境はこちらを使用しました。
無料でcatalyst centerやSD-WAN環境が試せます。
cisco sandbox
Catalyst Center Sandbox
Cisco DNA Center Release 2.3.7.4 with ISE
構成
sandboxの構成を少しシンプルに変更
sw2を削除、外部接続用としてR1を追加
手順
1.ISEと紐づけ
2.サイトの作成
3.ネットワークの設定
4.デバイスの設定
5.ファブリックの設定
↓ここから
6.Layer3 Virtual Networks/Anycast Gatewayの作成
6-1.Layer3 Virtual Networks作成
6-2.Anycast Gateway作成
7.Edgeのportを有効化
8.L3 Handoff
8-1.Transitの設定
8-2.Border Nodeの設定
太字はGUIで選択するところ
6.Layer3 Virtual Networks/Anycast Gatewayの作成
6-1.Layer3 Virtual Networks作成
Provision > Fabric Sites
Layer3 Virtual Networks > +Create Layer 3 Virtual Networks
今回の設定
| Layer 3 Virtual Network |
|---|
| EMPLOYEE_VN |
| GUEST_VN |
6-2.Anycast Gateway作成
Provision > Fabric Sites
Anycast Gateway > +Create Anycast Gateway
今回の設定
| IP Address Pool | VLAN_Name | Security Groups |
|---|---|---|
| EMPLOYEE[10.0.1.0/24] | 10_0_1_0-EMPLOYEE_VN | Employees |
| GUEST[10.0.2.0/24] | 10_0_2_0-GUEST_VN | Guests |
・Auto generate VLAN nameをチェックすると自動でVLAN_Nameが入力される
・VLAN IDは未指定だと自動で割り当てられる
・Security Groupsは既存のものを使用
作成したい場合はPolicy > Group-Based Access Control - Security Groups
・[Submit]後、Edge Nodeにvlanが作成される
・Layer 2 Virtual Networksは、Anycast Gateway設定後に自動で作成される
Fabric Sites > Layer 2 Virtual Networksから確認できる
#show vlan
7.Edgeのportを有効化
Provision > Fabric Sites
Port Assignment
設定したいポートのInetrface Nameを選択
User Devices and Endpointsを選択 > VLAN NameとSecurity Groupを指定
今回の設定
| sw | port | VLAN Name | Secrity Group |
|---|---|---|---|
| sw3 | g1/0/3 | 10_0_1_0-EMPLOYEE_VN | Employees |
| sw3 | g1/0/4 | 10_0_2_0-GUEST_VN | Guests |
| sw4 | g1/0/3 | 10_0_1_0-EMPLOYEE_VN | Employees |
Deploy Allで反映
sw3
#show vlan
6.Layer3 Virtual Networks/Anycast Gatewayの作成、7.Edgeのportを有効化の確認
#show ip int b
SVIが作成され、Anycast gatewayのアドレスが割り当てられている
#show ip route vrf *
VNごとにルーティングテーブルが作成され、hostのIPアドレスをLISPで学習している
これが正解かはわからないけど
設定後、sw3とsw4のg1/0/1のtrunk portで作成したvlanが許可されておらず、VN内もpingがNGになってしまいます。
GUIからsw3とsw4のg1/0/1をtrunk portに設定するとpingが通るようになります。
Provision > Fabric Sites
Port Assignment > Trunking Deviceを選択
コマンドでallow vlanでもできちゃう
8.L3 Handoff
8-1.Transitの設定
Provision > Transits > +Create Transit ←画面中央くらいにある
今回の設定
| Transit Name | Transit Type | ASN |
|---|---|---|
| AS200 | IP-Based | 200 |
・SD-AccessにおけるTransit Networkとは、fabricの外でBorder Nodeの接続先のこと
・ここでは接続先の情報を入力
8-2.Border Nodeの設定
Provision > Fabric Sites
Border Nodeを選択 > Border Node - Configure > + Add Transits
設定したTransitを追加 > Add External Interface
今回の設定
| Virtual Network | VLAN | Local IP Address/Mask | Peer IP Address/Mask |
|---|---|---|---|
| EMPLOYEE_VN | 1021 | 100.1.1.2/31 | 100.1.1.3/31 |
| GUEST_VN | 100.1.1.4/31 | 100.1.1.5/31 |
・ここはBorder Nodeの情報を入力
・IP addressはIP address poolを作成して自動で割り当てることも可能
・自動で割り当てた場合にどのアドレスが割り当てられたかは、
Border Nodeを選択 > Border Node - details > IFを選択
または CLIから#show bgp all summaryなどで確認
・R1はファブリック外なので、Border Nodeのコマンドから推測しながら手動で設定
とりあえずupはした うーん
GlobalのBGPができない!!!と思っていたら、もともと設定が入っているINFRA_VNをBGPのVNに追加したらGlobalにできていました。うーん
思ったこと
SD-Access触れるようになって大変助かっています!が、触れば触るだけわからないことが増えていく..
時間をあけてリセットしてから復習します。