概要
ciscoが提供するsandboxでSD-ACCESSを勉強しています。
動画などで見るとスムーズに設定しているのですが、意外と検証できるまでの初期設定が難しいです。
エラーになったところを備忘として記録します。メモ書きなので、これを見ればわかる!とは言えませんが、同じところで悩んでいる方の参考になれば嬉しいです。
この記事はファブリックを設定して、各ノードにEdgeとかControl plane nodeとかの役割を割り当てるまでです。
間違えていたら教えてほしい..
環境はこちらを使用しました。
無料でSD-AccessやSD-WAN環境が試せます。
cisco sandbox
Catalyst Center Sandbox
Cisco DNA Center Release 2.3.7.4 with ISE
構成
sandboxの構成を少しシンプルに変更
sw2を削除、外部接続用としてR1を追加
手順
1.ISEと紐づけ
2.サイトの作成
3.ネットワークの設定
3-1.AAAサーバとしてISEを設定
3-2.IP address pool登録
4.デバイスの設定
4-1.デバイスをサイトに登録
4-2.デバイスのプロビジョニング
5.ファブリックの設定
5-1.ファブリックの作成
5-2.各nodeにRoleの割り当て
--ここまで--
6.Layer3 Virtual Networks/Anycast Gatewayの作成
7.Edgeのportを有効化
8.L3 Handoff
太字はGUIで選択するところ
sandboxのスクショ載せていいかわからないので、画像は少なめです
1.ISEと紐づけ
System > Settings > External Services - Authentication and Policy Servers
Actions - Edit > Advanced Settings pxGridを有効化
・sandboxではすでにISEが登録されているけれど、PxGridを有効にする必要がある
・UsernameとPasswordはISEのもの
・[Add]で登録後、Integrationが開始される
・Integrationの最後 Connection to pxGrid.. で×になる場合は、[Retry]すればだいたい完了する タイミングによる?
・登録する情報はISEの Administration > System > Deploymentから確認できる
PxGridとは
Cisco Platform Exchange Grid
platform integrations:統合プラットホーム
ISEで管理しているユーザ情報(SGT)をCatalyst centerと連携するために必要?
2.サイトの作成
Design > Network Hierarchy
・buildingを追加する場合、Lattitude/Longitude(緯度/経度)を指定する必要がある
・検証の場合は適当に1とかで登録可能
3.ネットワークの設定
3-1.AAAサーバとしてISEを設定
Design > Network Settings > Servers
Client/Endpoint - Add AAA servers
・Globalで設定
・ISEの紐づけが完了していれば、PANが選択できるようになる
PANとは
・Policy Administration Node (PAN): 管理ノードのこと
・ISEは複数ノードでそれぞれのペルソナ(役割り?)を分散でき、PANもそのひとつ
・管理ノードとなるPANは必ず指定する必要がある
・ペルソナはPANの他にもPSN(Policy Services Node)とか
・sandboxの場合はひとつのISE(=スタンドアローン)で、PANもPSNもおなじISE
ペルソナとは 他、ISEの用語
3-2.IP address pool登録
Design > Network Settings > IP Address Pools
今回の設定
| Name | Type | IPv4 Subnet |
|---|---|---|
| GLOBAL | Generic | 10.0.0.0/8 |
| EMPLOYEE | Generic | 10.0.1.0/24 |
| GUEST | Generic | 10.0.2.0/24 |
・GLOBALはおおまかなアドレス、VN(ここではEMPLOYEE/GUEST)ごとに払い出す範囲を指定する
・GLOBALはAddで追加、VNは使用したい範囲(今回はFloor)を指定してReserve
・LAN Automationの場合はTypeをLANに設定する必要がありそう(←まだ上手くできたことない)
4.デバイスの設定
4-1.デバイスをサイトに登録
Provision > Inventory
デバイスを選択
Action > Provision > Assign Device to Site
・ファブリックを作成したいサイトを指定
・3-2.でpoolを作成したサイト
4-2.デバイスのプロビジョニング
Provision > Inventory
Action > Provision > Provision Device
・②Advanced ConfigurationでL0 IPアドレスを指定する
・sandbox環境ではSW1のみすでに設定されている
・SW3/SW4は適当に指定
今回の設定
| sw | Loopback0 アドレス |
|---|---|
| sw1 | 10.1.1.1 |
| sw3 | 10.3.3.3 |
| sw4 | 10.4.4.4 |
・このプロビジョンを実行しないとfabricの設定でエラーになる
・copy run startを実行しているみたい
・プロビジョン完了後、該当デバイスにLoopback0アドレスが設定される
RLOCで使用するためにLoopback0を指定させてる?
5.ファブリックの設定
5-1.ファブリックの作成
Provision > Fabric Sites
Create Fabric Site
・ISEを使用するときはAuthentication TemplateにClosed Authenticationを選択
・Closed Authenticationはdot1Xで認証されたendpointのみ許可
・3-1.でAAAを有効化していないとエラーになる
作成完了後のfabric
sw1のDevice RoleをBORDER ROUTERに指定
Provision > Inventory
sw1選択
Action > Inventory > Edit Device
Device RoleをBORDER ROUTERに変更
5-2.各nodeにRoleの割り当て
デバイスを選択 > 割り当てたいRole(Edge Node/Control Plane Node/Border Node)を有効化
・ip routingを有効にしていないとエラーになる
その場合、CLIからip routingを有効化後に再同期
Provision > Inventory
Action > Inventory > Resync Device
エラーになった場合はすべてのノードでRole割り当てがやり直しなる
修正後はControl Plane Nodeだけ試しに登録して修正できているか確認するのがおすすめ
Border nodeにたくさん設定した後でやり直しになると悲しい
なぜControl Plane Nodeかというと
Control Plane Nodeはendpointのマッピングを担っている大事なNode
BGPでいうRR、ファブリックの脳にあたるため必ず1つは必要で、Control Plane Nodeを指定しないと[Deploy]できないため
今回の設定
| sw | Role |
|---|---|
| sw1 | Control Plane Node/Border Node |
| sw3 | Edge Node |
| sw4 | Edge Node |
・Control Plane NodeはLISP/BGPを指定
・Border Nodeで入力するのはlocal(Border Node)の情報
今回はBGPでL3 Handoff
✓Enable Layer-3 Handoff
Local Autonomus Number 100 を指定
・ここの登録でよくエラーになる
その場合は表示の通りに修正後、ProvisioningかResyncでだいたい解決する
・Roleを修正したい場合は、デバイス選択後[Remove From Fabric]で取り消しできる
設定完了後
ファブリックらしくなりました!
参考
Configuring Campus Fabrics - SD-Access
最近配信された動画で、GUIがsandboxとほぼ同じです。
英語ですが、動画なのでいっしょに操作しながら学習できます。
今回の記事もこちらの構成を参考にしています。
Cisco SD-Access解説 ( CCIE EI Candidate向け )
SD-Accessて用語とか概念とかがとっつきづらい印象なのですが、この動画はすごくわかりやすいです。
『Cisco Software-Defined Access』
細かい用語などはこちらを参照しました。