在定位的(L3)模式的ASAv与使用AVS- ACI 1.2(x)版本 - Cisco
在定位的(L3)模式的ASAv与使用AVS- ACI 1.2(x)版本
在各种设备上使用 Adobe Reader 查看
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
文档 ID:200428
关于此翻译
思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。
请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。
Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。
本文描述如何配置有一可适应安全虚拟设备(ASAv)单个防火墙的一应用程序虚拟交换机(AVS)交换机在Routed/GOTO模式，当在两端点组(EPGs)之间的一个L4-L7服务图表使用ACI 1.2(x)版本，建立客户端服务器通信。
Cisco 建议您了解以下主题：
访问策略配置的和接口和在使用中
EPG、网桥域(BD)和虚拟路由和转发(VRF)已经配置
使用的组件
本文档中的信息基于以下软件和硬件版本：
硬件&软件：
UCS C220 -&2.0(6d)
ESXi/vCenter - 5.5
ASAv -&asa-device-pkg-1.2.4.8
AVS -&5.2.1.SV3.1.10
APIC -&1.2(1i)
分支/脊椎- 11.2(1i)
*.zip已经下载的设备包
EPGs， BD， VRF
访问控制表(ACL)
L4-L7服务图表
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。
如镜像所显示，
AVS初始设置创建VMware vCenter域(VMM integration)2
您能创建多datacenters和分布式虚拟交换机(DVS)条目在单个域下。然而，您只能有一思科AVS分配到每datacenter。
服务与思科AVS的图表部署从思科ACI版本1.2(1i)支持用思科AVS版本5.2(1)SV3(1.10)。整个服务图表配置在Cisco应用策略基础设施控制器(思科APIC)被执行。
服务虚拟机管理器(VMM)域仅支持与思科AVS的虚拟机部署同虚拟局域网(VLAN)封装模式。然而，估计VMs (供应商和用户VMs)可以是VMM与虚拟可扩展LAN (VXLAN)或VLAN封装的域的一部分。
并且请注意，如果使用本地交换，组播地址，并且池没有要求。如果本地交换没有选择，则组播池必须配置，并且AVS结构组播地址不应该一部分的组播池。于AVS起源的所有流量将是被封装的VLAN或VXLAN。
如镜像所显示，导航对VM网络& VMWare &创建vCenter域， ：
如果使用Port-Channel或VPC (虚拟Port-Channel)推荐设置vSwitch策略使用Mac别住。
如镜像所显示，在此以后， APIC应该推送AVS交换机配置到vCenter， ：
在APIC您能注意VXLAN隧道终点(VTEP)地址分配到VTEP端口组为AVS。此地址分配，不管使用连接模式(VLAN或VXLAN)
安装在vCenter的思科AVS软件
下载vSphere安装套件(VIB)使用此从CCO
注意：在这种情况下我们使用ESX 5.5，表1，显示ESXi的6.0， 5.5， 5.1和5.0兼容性矩阵
表1&- ESXi的6.0， 5.5， 5.1和5.0主机软件版本兼容性
在压缩文件内有3个VIB文件，一个其中每一个的ESXi主机版本，选择那个适当为ESX 5.5，如镜像所显示：
复制VIB文件对ESX数据存储器-这可以执行通过CLI或直接地从vCenter
注意：如果VIB文件在主机存在，请删除它通过使用remove命令esxcli软件的vib。
esxcli软件vib删除- n&cross_cisco-vem-v197-5.2.1.3.1.5.0-3.2.1.vib
或者通过直接浏览数据存储器。
安装AVS软件使用以下on命令ESXi主机：
&esxcli软件vib安装- v /vmfs/volumes/datastore1/cross_cisco-vem-v250-5.2.1.3.1.10.0-3.2.1.vib--维护模式--NO- SIG检查
一旦虚拟以太网模块(VEM)是UP，您能添加主机到您的AVS ：
在添加主机中到vSphere被分配的交换机对话框，请选择连接到分支交换机的虚拟NIC端口(在本例中您移动仅vmnic6)，如镜像所显示， ：
单击“下一步”
在网络连通性对话框中，其次请单击
在虚拟机网络对话框中，其次请单击
在就绪完成对话框，请点击芬通社
注意：如果使用多台ESXi主机，所有需要运行AVS/VEM，因此他们可以从标准的交换机管理到DVS或AVS。
使用此， AVS集成完成，并且我们准备继续L4-L7 ASAv部署：
&ASAv初始设置
下载思科ASAv设备包并且导入它到APIC ：
如镜像所显示，导航到L4-L7 Services&包&导入设备包， ：
如果一切工作良好，如镜像所显示，您能看到导入的设备包展开L4-L7服务设备类型文件夹， ：
在您继续前，有需要确定安装的少量方面，在实际L4-L7集成进行前：
有管理网络、带内管理和带外(OOB)的两种类型，这些可以用于管理不是基本应用程序中心基础设施将包括ASAv，负载平衡器等等的设备(ACI) (分支、脊椎亦不apic控制器)一部分。
在这种情况下， ASAv的OOB配置有使用标准的vSwitch。如镜像所显示，对于仅有的金属ASA或其他服务设备和服务器，请连接OOB管理端口对OOB交换机或网络。
ASAv OOB Mgmt端口管理连接需要使用ESXi上行链路端口与APIC联络通过OOB。&当映射vNIC建立接口时，网络adapter1总是匹配在ASAv的Management0/0接口，并且数据层面接口的其余从网络adapter2开始。
表2显示网络适配器ID和ASAv接口和谐ID ：
通过从File&Deploy OVF (开放虚拟化格式)模板的向导部署ASAv VM
如果要使用独立ESX服务器或asav-vi vCenter，请选择asav-esxi。在这种情况下，使用vCenter。
通过安装向导，接受条款和条件。&在向导中间您能确定几个选项类似主机名、管理、IP地址、防火墙模式和其他特定相关的信息对ASAv。切记使用OOB管理ASAv，您在这种情况下需要保持接口Management0/0，当您使用VM网络(标准的交换机)时，并且接口GigabitEthernet0-8是默认网络端口。
请点击芬通社并且等待，直到ASAv部署完成
启动您的ASAv VM并且通过控制台登陆验证初始配置
如镜像所显示，某个管理配置已经推送对ASAv防火墙。配置admin用户名和密码。&APIC用于此用户名和密码登陆和配置ASA。ASA应该有连接到OOB网络，并且应该能到达APIC。
用户名管理员密码&device_password&已加密权限15
&另外，从全局配置模式enable (event) HTTP服务器：
HTTP服务器enable (event)
http 0.0.0.0 0.0.0.0管理
ASAv集成的L4-L7在APIC ：
ACI GUI的洛金，点击服务图表将部署的承租人。在导航窗格的底部扩展L4-L7服务范围并且用鼠标右键单击在L4-L7设备并且点击Create L4-L7设备打开向导
对于此实施，以下设置将应用：
&&&&&& -托管型模式
&&&&&& -防火墙服务
&&&&&& -虚拟设备
&&&&&& -连接对与单个节点的AVS域
&&&&&& - ASAv型号&
&&&&&& -已路由模式(定位)
&&&&&& 管理地址(必须以前匹配地址分配到Mgmt0/0接口)
请使用HTTPS默认情况下， APIC使用多数安全协议与ASAv联络
设备接口和团星接口的正确定义为成功的部署是关键
对于第一部分，请使用表2显示在前面部分适当地匹配与您希望使用的ASAv接口ID的网络适配器ID。路径是指启用方式进出防火墙接口的物理端口或Port-Channel或者VPC。在这种情况下， ASA在ESX主机查找，里里外外同样两个接口的。在一个物理设备中，内部和外部防火墙(FW)请是不同的物理端口。
对于第二部分，团星接口必须总是定义有不是例外(即使没有使用团星HA)，这是，因为对象模型有在mIf接口(阶接口在设备包)， LIf接口(即分支接口例如，外部，内部，内部等等)和CIf (具体接口)之间的一个关联。L4-L7具体设备必须在设备集群配置里配置，并且此抽象呼叫逻辑设备。逻辑设备有被映射对在具体设备的具体接口的逻辑接口。
对于此示例，将使用以下关联：
Gi0/0 =&vmnic2&= ServerInt/供应商/服务器& EPG1
Gi0/1 =&vmnic3&=&ClientInt/用户/client& EPG2
注意：对于failover/HA部署，千兆以太网0/8预先配置作为故障切换接口。
设备状态应该稳定的，并且您应该准备部署功能配置文件和服务图表模板
服务图表寺庙
首先，请创建ASAv的一功能配置文件如镜像所显示，但是以前您需要创建功能配置文件组然后L4-L7服务功能配置文件在该文件夹下的那， ：
选择从下拉菜单的WebPolicyForRoutedMode配置文件并且继续配置在防火墙的接口。从这里，步骤可选，并且可以实现/已修改以后。这些步骤可以采取在部署的一些个不同的阶段根据可再用或自定义服务图表如何可能是。
对于此练习，一已路由防火墙(定位的模式)要求每个接口有一个唯一IP地址。标准的ASA配置也有一个接口安全等级(外部接口是安全的较少，内部接口是安全的更多)。您能根据您的需求也更改接口的名称。默认用于此示例。
扩展界面特殊化的配置，添加IP地址和安全等级ServerInt的与以下格式IP地址的x.x.x.x/y.y.y.y或x.x.x.x/yy。重复ClientInt接口的进程。
注意：您能也修改默认access-list设置和创建您自己的基本模板。默认情况下， RoutedMode模板将包括HTTP & HTTPS的规则。对于此练习， SSH和ICMP将被添加到允许外部access-list。
然后请单击提交
现在，请创建服务图表模板
拖放设备团星在右边形成用户之间的关系，并且供应商，选择已路由模式和以前已创建功能配置文件。
检查模板故障。模板创建是可再用的，他们必须然后应用到特定的EPGs等。
要运用模板，右键单击和选择运用L4-L7服务图表模板
定义哪些EPG在用户侧和供应商侧。在此练习， AVS-EPG2是用户(客户端)，并且AVS-EPG1是供应商(服务器)。切记没有过滤器应用，这将允许防火墙执行根据access-list定义的所有过滤在此向导最后一部分。
单击“下一步”
验证其中每一的BD信息EPGs。在这种情况下， EPG1是在IntBD DB和EPG2的供应商是在BD ExtBD的用户。EPG1在防火墙接口ServerInt将连接，并且EPG2在接口ClientInt将连接。两个FW接口将变为其中每一的DG EPGs，因此流量被迫一直交叉防火墙。
单击“下一步”
在设置参数部分，请点击所有参数并且验证，如果有需要更新/已配置的RED指示器。在如镜像所显示的输出中，可以被注意在的命令access-list未命中。这与您在显示IP访问控制列表X.将看到的线路顺序是等同的。
您能也验证从功能配置文件分配的IP寻址定义前，这如果必须是一个好机会对更改信息。一旦所有参数设置，如镜像所显示，请单击芬通社， ：
如果一切优良去，一个新的部署的设备和图表实例应该出现。
验证的一件重要事情在创建服务图表以后是用户/供应商关系用适当的阶连接器创建。验证在功能连接器属性下。
注意：防火墙的每个接口将分配与从AVS动态池的一encap VLAN。验证那里是没有故障。
现在，您能也验证推送对ASAv的信息
一个新的合同分配在EPGs下。从现在起，如果在需要修改任何东西access-list，更改必须从供应商完成EPG的L4-L7服务参数。
在vCenter，您能也验证Shadow EPGs分配到其中每一个FW接口：
对于此测验，我有2通信与标准合同的EPGs，这2 EPGs用不同的域和不同的VRF，因此在他们之间的路由泄漏以前配置。当FW设置路由和过滤在2 EPGs之间，这在您的插入以后简化有点服务图表。DG以前配置在EPG和BD下可能当前删除同合同一样。L4-L7推送的仅合同应该依然是在EPGs下。
当标准合同删除，您能确认流量是当前流经ASAv， show access-list命令应该显示增加的规则的命中数计数，在客户端发送请求到服务器时候。
在分支上，应该为客户端和服务器VMs以及ASAv接口了解终端
请参阅两个防火墙接口附加对VEM。
最后，如果我们认识源和目的EPGs， PC标记防火墙规则可以太验证在分支级别：
过滤器ID可以匹配与在分支的PC标记验证FW规则。
注意：EPG PCTags/Sclass直接地从未通信。通信通过Shadow L4-L7服务图表插入创建的EPGs中断或配合。
并且服务器工作的通信客户端。
VTEP地址没有分配
验证基础设施VLAN被检查在AEP下：
不支持的版本
验证VEM版本是正确和支持适当的ESXi VMWare系统。
~ # vem version
Running esx version -_64
VEM Version: 5.2.1.3.1.10.0-3.2.1
OpFlex SDK Version: 1.2(1i)
System Version: VMware ESXi 5.5.0 Releasebuild-1746974
ESX Version Update Level: 0
VEM和不工作结构的通信
- Check VEM status
vem status
- Try reloading or restating the VEM at the host:
vem reload
vem restart
- Check if there’s connectivity towards the Fabric. You can try pinging 10.0.0.30 which is (infra:default) with 10.0.0.30 (shared address, for both Leafs)
~ # vmkping -I vmk1 10.0.0.30
PING 10.0.0.30 (10.0.0.30): 56 data bytes
--- 10.0.0.30 ping statistics ---
3 packets transmitted, 0 packets received, 100% packet loss
If ping fails, check:
- Check OpFlex status - The DPA (DataPathAgent) handles all the control traffic between AVS and APIC (talks to the immediate Leaf switch that is connecting to) using OpFlex (opflex client/agent). All EPG communication will go thru this opflex connection.
~ # vemcmd show opflex
Status: 0 (Discovering)
Channel0: 0 (Discovering), Channel1: 0 (Discovering)
Dvs name: comp/prov-VMware/ctrlr-[AVS]-vCenterController/sw-dvs-129
Remote IP: 10.0.0.30 Port: 8000
Infra vlan: 3967
FTEP IP: 10.0.0.32
Switching Mode: unknown
Encap Type: unknown
NS GIPO: 0.0.0.0
you can also check the status of the vmnics at the host level:
~ # esxcfg-vmknic -l
Port Group/DVPort
IP Family IP Address
MAC Address
Enabled Type
Management Network
10.201.35.219
255.255.255.0
10.201.35.255
e4:aa:5d:ad:06:3e 1500
Management Network
fe80::e6aa:5dff:fead:63e
e4:aa:5d:ad:06:3e 1500
STATIC, PREFERRED
10.0.32.65
255.255.0.0
10.0.255.255
00:50:56:6b:ca:25 1500
fe80::250:56ff:fe6b:ca25
00:50:56:6b:ca:25 1500
STATIC, PREFERRED
- Also on the host, verify if DHCP requests are sent back and forth:
~ # tcpdump-uw -i vmk1
tcpdump-uw: verbose output suppressed, use -v or -vv for full protocol decode
listening on vmk1, link-type EN10MB (Ethernet), capture size 96 bytes
12:46:08.818776 IP truncated-ip - 246 bytes missing! 0.0.0.0.bootpc & 255.255.255.255.bootps: BOOTP/DHCP, Request from 00:50:56:6b:ca:25 (oui Unknown), length 300
12:46:13.002342 IP truncated-ip - 246 bytes missing! 0.0.0.0.bootpc & 255.255.255.255.bootps: BOOTP/DHCP, Request from 00:50:56:6b:ca:25 (oui Unknown), length 300
12:46:21.002532 IP truncated-ip - 246 bytes missing! 0.0.0.0.bootpc & 255.255.255.255.bootps: BOOTP/DHCP, Request from 00:50:56:6b:ca:25 (oui Unknown), length 300
12:46:30.002753 IP truncated-ip - 246 bytes missing! 0.0.0.0.bootpc & 255.255.255.255.bootps: BOOTP/DHCP, Request from 00:50:56:6b:ca:25 (oui Unknown), length 300
这时可以确定ESXi主机和分支之间的结构通信不适当地运作。一些验证命令可以被检查在分支侧确定根本原因。
leaf2# show cdp ne
Capability Codes: R - Router, T - Trans-Bridge, B - Source-Route-Bridge
S - Switch, H - Host, I - IGMP, r - Repeater,
V - VoIP-Phone, D - Remotely-Managed-Device,
s - Supports-STP-Dispute
Local Intrfce
Capability
AVS:localhost.localdomainmain
VMware ESXi
AVS:localhost.localdomainmain
VMware ESXi
N3K-2(FOC1938R02L)
N3K-C3172PQ-1
leaf2# show port-c sum
P - Up in port-channel (members)
I - Individual
H - Hot-standby (LACP only)
s - Suspended
r - Module-removed
S - Switched
R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
F - Configuration failed
-------------------------------------------------------------------------------
Group Port-
Member Ports
-------------------------------------------------------------------------------
有用于ESXi的2个端口连接通过Po5
leaf2# show vlan extended
---- -------------------------------- --------- -------------------------------
infra:default
Eth1/1, Eth1/20
Eth1/5, Eth1/6, Po5
Eth1/5, Eth1/6, Po5
common:pod6_BD
Eth1/5, Eth1/6, Po5
---- ----- ---------- -------------------------------
vxlan-, vlan-3967
vxlan-, vlan-150
vxlan-, vlan-200
从上述输出可以注意到在下VLAN没有通过去ESXi主机的上行端口允许也没有通过(1/5-6)。这指示与在APIC或交换机策略的一误配置配置的接口策略。&
检查两个：
访问策略&接口策略&配置文件访问策略&交换机策略&配置文件
在这种情况下，接口配置文件附加对错误的AEP (用于DVS的旧有AEP)如镜像所显示， ：
在设置AVS的正确AEP，我们能当前看到在下VLAN通过适当后被看到解开在分支：
leaf2# show vlan extended
---- -------------------------------- --------- -------------------------------
infra:default
Eth1/1, Eth1/5, Eth1/6,
Eth1/20, Po5
Eth1/5, Eth1/6, Po5
Eth1/5, Eth1/6, Po5
common:pod6_BD
Eth1/5, Eth1/6, Po5
---- ----- ---------- -------------------------------
vxlan-, vlan-3967
vxlan-, vlan-150
vxlan-, vlan-200
and Opflex connection is restablised after restarting the VEM module:
~ # vem restart
VEM SwISCSI PID is
Warn: DPA running host/vim/vimuser/cisco/vem/vemdpa.213997
Warn: DPA running host/vim/vimuser/cisco/vem/vemdpa.213997
watchdog-vemdpa: Terminating watchdog process with PID 213974
~ # vemcmd show opflex
Status: 0 (Discovering)
Channel0: 14 (Connection attempt), Channel1: 0 (Discovering)
Dvs name: comp/prov-VMware/ctrlr-[AVS]-vCenterController/sw-dvs-129
Remote IP: 10.0.0.30 Port: 8000
Infra vlan: 3967
FTEP IP: 10.0.0.32
Switching Mode: unknown
Encap Type: unknown
NS GIPO: 0.0.0.0
~ # vemcmd show opflex
Status: 12 (Active)
Channel0: 12 (Active), Channel1: 0 (Discovering)
Dvs name: comp/prov-VMware/ctrlr-[AVS]-vCenterController/sw-dvs-129
Remote IP: 10.0.0.30 Port: 8000
Infra vlan: 3967
FTEP IP: 10.0.0.32
Switching Mode: LS
Encap Type: unknown
NS GIPO: 0.0.0.0
应用程序虚拟交换机安装
使用VMware，部署ASAv
思科ACI和思科AVS
服务与Cisco应用中心基础设施白皮书的图表设计&
阿伊达伦布雷拉斯思科高级服务服务工程师
此文档是否有帮助?
相关的支持社区讨论
本文档适用于以下产品文件加密_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
&&初等数论教案
阅读已结束，下载文档到电脑
想免费下载更多文档？
定制HR最喜欢的简历
下载文档到电脑，方便使用
还剩15页未读，继续阅读
定制HR最喜欢的简历
你可能喜欢我是招标业主
已享特权 会员到期时间：
我是供应商
我是招标业主
热门招标：
中安煤化工170万吨/年甲醇及转化烯烃EPC项目AVS电子汽车衡招标公告
中安煤化工170万吨/年甲醇及转化烯烃EPC项目AVS电子汽车衡招标公告
所属地区：
招标业主：
中石***公司
信息类型：
加入时间：
招标代理：
中国***公司
截止时间：
2018年**月**日
略投标平台操作，略投标平台并使用CA数字证书加密制作投标文件,操作流程见下方说明。
EpointContent
更多企业邀请，点击进入频道
帮帮我！请留下您的意见和建议 ×
错误信息类型
信息日期过期
信息不全面
附件下载打不开
内容与标题不符
信息无内容
附件上传错误的
信息类型错误
请输入内容
，即可查看免费招标信息
法人/总经理
招投标负责人（招投标办）
销售人员（业务部）
后勤人员（行政部）
我同意接受网站《用户服务条款》
服务热线：400-810-9688
，即可查看免费招标信息
服务热线：400-810-9688
，优先匹配项目，提高中标率！
电子邮箱：
填写您所关注的产品关键词分，以便我们将优质招标、项目及是发送至您的邮箱。用AVS Video Editor制作了一个视频 怎样能让这个视频用别的视频播放器也可以打开？_百度知道
用AVS Video Editor制作了一个视频 怎样能让这个视频用别的视频播放器也可以打开？
我现在是除了可以用制作的那个软件打开别的都打不开 我是要送给别人的生日视频来的 怎么办？！
你这，然后mp4里面还有低像素的和高像素的，肯定高像素的更清晰一些。就是生成.mp4文件.vep 没见过生成格式那里选错了，生成-文件-mp4, 格式mp4
采纳率：70%
为您推荐：
其他类似问题
视频播放器的相关知识
换一换
回答问题，赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。vep格式无法转换通常格式，格式工厂转换时会出现“nikon movie editor”字样，并提_百度知道
vep格式无法转换通常格式，格式工厂转换时会出现“nikon movie editor”字样，并提
并提示安装失败，便不能继续转换格式。请问是否有更便捷的方式转换格式vep格式无法转换通常格式，格式工厂转换时会出现“nikon movie editor”字样
我有更好的答案
vep是AVS Video Editor视频编辑软件的项目文件，需要先保存项目，再来生成你需要的视频格式！
采纳率：77%
来自团队：
1条折叠回答
为您推荐：
其他类似问题
格式工厂的相关知识
换一换
回答问题，赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。}