ASAv HA 기반 Service Chain 구성하기

[ ASAv HA 기반 Service Chain 구성하기 ]

Written by Woo Hyung Choi (whchoi@cisco.com / whchoi98@gmail.com) / 2017-03-01

Test 환경 - APIC 2.1.2(e) / ASAv 9.6.2

---

1. Device Packages 등록

• Device Package 등록 - 정상적으로 등록이 완료 되면 Package에 방화벽이 나타납니다.

• Function Profile - 어떤 Function Profile이 있는지 확인합니다.

---

2.  L4-L7 Device 등록

• L4-L7 Device 등록 : 해당 테넌트 혹은 Common Tenant에 L4-L7 Device를 등록합니다.

• STEP1 - General

General

A. Managed : 해당 값을 지정하면, 정책을 할당하게 됩니다. Uncheck 시에는 Unmanaged로 정책을 제외한 Service Chain만 구성할 수 있습니다.

B. Name : L4-L7 장비에 대한 이름을 정합니다.

C. Service Type : 각 서비스 종류 타입을 정할 수 있습니다. (ADC , Firewall, IDS/IPS 등)

D. Device Type : 물리장비 또는 가상화 장비 선택

E. VMM Domain : Virtual Machine Manage 도메인을 지정합니다. (현재 VMware만 지정가능합니다.)

F. View : Single Node (단독장비) , HA Node (Active/Standby), Cluster (Active/Active) 

G. Device Package : 앞서 1번에서 업로드한 Device Package를 선택합니다.

H. Model : Device Package를 선택하게 된 이후, 해당 지원 모델을 선택합니다.

I. Fuction Type : Go-Throgh (L2 : Transparent) 모드 또는 Go-To (L3 : Routed Mode)

Connectivity

J. Connectivity : APIC과 연결 방식 지정 

Credential

K. Credential : L4-L7 대상장비의 ID/PWD를 입력합니다.

Device

L. Device Mgmt IP address : 해당 장비 관리 IP를 입력합니다.

M. Mgmt Port : HTTPS를 입력합니다.

N. VM : "E"항목을 통해 연결된 VMM의 정보를 가지고 오게 되며, 이 인벤토리에서 L4-L7 VM을 선택합니다.

O. Device Interface : ASAv의 Interface와 VM의 Interface를 Mapping 합니다.

    Managmement 가 VM의 Network Adapter 1번과 Mapping 되므로, 1번을 제외하고 넘버링은 시작됩니다.

    Gigabit0/0 은 Network Adapter 2번과 Mapping 합니다.

    HA 구성의 경우 Failover_link (Session Copy)와 Failover_lan (Failover)를 추가로 필요하게 되므로, Inside/Outside 용도외에 2개의 인터페이스를 추가합니다.

P : Device 2 : HA를 위한 Device 를 추가 설정합니다.

Cluster

Q. Mgmt IP add : Active IP를 지정합니다.

R. Mgmt Port : HTTPS를 지정합니다.

S~V

Type : Consumer (ACI Side에서의 Client Side/Outside) / Name : Outside/Consumer등 다양한 이름을 지정 / Concrete Interface : 해당 인터페이스를 지정 (Device1/2 모두 선택)

Type : Provider (ACI Side에서의 Server Side/Inside) / Name : Inside/Provider 등 다양한 이름을 지정 / Concrete Interface : 해당 인터페이스를 지정 (Device1/2 모두 선택)

Type : failover_link (ASAv를 위한 failover link) / Name : failover_link 등 다양한 이름을 지정 / Concrete Interface : 해당 인터페이스를 지정 (Device1/2 모두 선택)

Type : failover_lan (ASAv를 위한 failover lan) / Name : failover_lan등 다양한 이름을 지정 / Concrete Interface : 해당 인터페이스를 지정 (Device1/2 모두 선택)

• STEP2 - Device Configuration

A. failover_link 인터페이스 구성

B. failover_link active ip 선언

C. failover_link interface 이름 선언

D. failover_link netmask 구성

E. failover_link standby ip 구성

F. Stateful Failover interface 지정

G. Managemet Standby IP 구성 - Step1-Genenral 단계의 Cluster Mgmt IP의 Standby IP가 여기에 해당됨.

H. Polling time 지정

I. failover_lan 인터페이스 구성 - failover interface configuration에서 "+"를 선택하면 인터페이스가 추가됨

J. failover_lan 생성

K. failover_lan active ip 선언

L. failover_lan 인터페이스 이름 지정

M.failover_lan subnet mask 지정

N. failover_lan Standby ip 지정

O. failover lan 역할 인터페이스 지정  

P. failover enable - All Parameters Tab을 선택하게 되면, failover 를 활성화하는 메뉴가 등장합니다. 여기에 enable을 기입합니다.

Q. failover Unit 역할 지정 - Device 1,2의 role을 지정합니다. Active는 primary, Standby는 secondary가 됩니다.

• 정상등록 확인 - Configuration State가 반드시 "stable"로 동작해야 합니다. 또한 앞서 실행한 인터페이스와 Device들의 설정이 정상적으로 구성되어야 합니다.

• failover 확인 - 각 VM들에서 자동으로 failover가 구성되어 있는지 확인합니다.

• Common Tenant에서 다른 Tenant로 Device Export 시키기 - 장비를 Common에 등록하고, 다른 Tenant에서 사용한다면, Export L4-L7 옵션을 통해 구성합니다.
  사용하고 싶은 Tenant에서 Device를 바로 등록한 경우에는 이 과정은 필요 없습니다.

---

4.  L4-L7 Service Graph Template 구성

• L4-L7 서비스 그래프 템플릿을 생성

A. L4-L7 템플릿 메뉴를 선택합니다.

B. 전 단계에서 등록한 Common Tenant 혹은 현재 Tenant의 Device를 좌측화면에서 Drag and Drop으로 우측 화면의 Consumer/Provider 사이로 가져다 놓습니다.

C. Firewall Mode를 선택합니다. (Routed or Bridge)

D. Device Package 에서 등록된 벤더들의 구성 템플릿을 선택합니다.

• 구성 확인 - 정상적으로 등록되었는지 확인합니다.

---

5.  L4-L7 Service Graph Template 적용

• L4-L7 Service Graph Template 을 구성합니다.

• Step1 - Contract 구성

A. Consumer 구성 - 방화벽 Inside와 연결될 EPG를 구성합니다.

B. Provider 구성 - 방화벽 Outside와 연결될 EPG를 구성합니다.

C. Contract 구성 - 기존 Contract를 활용하거나, 신규 Contract를 생성합니다. 신규생성시 새로운 Contract 이름을 지정합니다.

D. Contract에 Filter를 별도로 지정하지 않으려면 Check Box에 체크합니다. (Service Graph는 Contract를 통해 이뤄지므로 기본 Contarct는 반드시 있어야 하며, 여기서 No Filter로 만들거나 새로운 Filter를 넣게 되면, Serivce Chain 구성 전에 Filter가 먼저 동작합니다.)

• Step2- Graph 구성 단계

E. 앞서 생성된 Consumer가 소속된 BD(Bridge Domain)을 선언합니다.

F. 앞서 생성된 Provider가 소속된 BD(Bridge Domain)을 선언합니다.

Router Peering을 선택하게 되면 직접 Outside에 연결하여 Route Peering을 구성할 수도 있습니다.

• Step3- 서비스 Device Parameter 구성

G/H. Outside Interface의 Active IP/Standby IP를 구성합니다.

I/J. Inside Interface의 Active/Standby IP를 구성합니다.

K. Template를 통해 자동생성된 보안룰을 확인가능하며, 여기서 추가또는 삭제도 가능합니다.

• 정상작동 확인 - 아래와 같이 APIC에서 VLAN을 정상적으로 할당했는지, 그리고 ASDM이나 콘솔을 통해 자동으로 보안 룰과 Inside/Outside 정책이 배포되었는지를 확인합니다.