Panoramaシスコ ファブリックとの通信を確認 ACI する方法
12762
Created On 01/18/21 13:10 PM - Last Modified 03/26/21 18:55 PM
Objective
この記事では、 Panorama 管理者ガイドに従って設定が完了した後に Cisco Fabrics と通信していることを確認 ACI する方法を説明します。
Environment
- 任意 Panorama の .
- PAN-OS 9.1以上。
- シスコとの統合 ACI
Procedure
- すべてのファブリックとの接続の状態 ACI を確認する
admin@aci-pan-67> show plugins cisco status
Cluster Name Status Last Updated Time Error Msg
----------------------------------------------------------------------------------------------------
apic1 Success 2021-01-18T12:12:14.963000
- Websocket をオンに Panorama して、Cisco ファブリックで確立済み状態に 1 つ以上あることを確認します。 APIC IP
admin@aci-pan-67> show netstat all yes numeric-hosts yes verbose yes | match 10.46.32.221 => Replace the IP matching your configuration
tcp 0 0 10.46.56.67:51955 10.46.32.221:https ESTABLISHED
tcp 32 0 10.46.56.67:58400 10.46.32.221:https CLOSE_WAIT
tcp 32 0 10.46.56.67:58511 10.46.32.221:https CLOSE_WAIT
tcp 32 0 10.46.56.67:59814 10.46.32.221:https CLOSE_WAIT
tcp 32 0 10.46.56.67:38142 10.46.32.221:https CLOSE_WAIT
tcp 0 0 10.46.56.67:51944 10.46.32.221:https ESTABLISHED
tcp 32 0 10.46.56.67:34968 10.46.32.221:https CLOSE_WAIT
tcp 32 0 10.46.56.67:33555 10.46.32.221:https CLOSE_WAIT
tcp 0 0 10.46.56.67:51992 10.46.32.221:https ESTABLISHED
tcp 32 0 10.46.56.67:60270 10.46.32.221:https CLOSE_WAIT
tcp 0 0 10.46.56.67:51954 10.46.32.221:https ESTABLISHED - プラグインのカウンターを確認してください。履歴値は保存されません。 カウンターは、オンデマンドでクリアできます。 デルタオプションが利用可能です
admin@aci-pan-67> show plugins cisco counters
Name Value Rate Severity Category Aspect Description
---------------------------------------------------------------------------------------------------------------
Tag_push_fail 2 0 error tag-proc tag_push Number of failed tag updates pushed to configd process
apic1_full_ret_success 111065 0 info tag-ret api-call Number of successful full endpoint retrievals from apic1.
apic1_invalid_ep 488114 0 info tag-ret api-call Number of endpoints retrieved outside of EPGs with apic1.
dashboard_data_update_success 111065 0 info tag-ret db-access Number of successful dashboard data update in Dashboard DB.
10.46.32.221_login_success 111081 0 info tag-ret api-call Number of successful logins with APIC 10.46.32.221.
ip_tag_queue_update_success 111065 0 info tag-ret db-access Number of successful IP/tag updates in Queue DB.
epg_update_success 111075 0 info tag-ret api-call Number of successful epg updates
admin@aci-pan-67> clear plugins cisco counters
Counters were successfully cleared! - パケット キャプチャをオンに panorama して、パケットが前後に存在することを確認する
admin@aci-pan-67> tcpdump filter "host 10.46.32.221 and port 443" => Repace the host and use ctrl+c to stop capture
admin@aci-pan-67> view-pcap no-dns-lookup yes no-port-lookup yes mgmt-pcap mgmt.pcap
12:29:32.953737 IP 10.46.56.67.51955 > 10.46.32.221.443: Flags [.], ack 4223802298, win 173, length 0
12:29:32.954200 IP 10.46.32.221.443 > 10.46.56.67.51955: Flags [.], ack 1, win 245, length 0
12:29:52.855441 IP 10.46.56.67.51954 > 10.46.32.221.443: Flags [P.], seq 1974128972:1974129407, ack 1545978313, win 330, length 435
12:29:52.859215 IP 10.46.32.221.443 > 10.46.56.67.51954: Flags [P.], seq 1:683, ack 435, win 430, length 682
12:29:52.859247 IP 10.46.56.67.51954 > 10.46.32.221.443: Flags [.], ack 683, win 330, length 0
12:29:52.859593 IP 10.46.56.67.51954 > 10.46.32.221.443: Flags [P.], seq 435:870, ack 683, win 330, length 435
12:29:52.862859 IP 10.46.32.221.443 > 10.46.56.67.51954: Flags [P.], seq 683:1365, ack 870, win 438, length 682
12:29:52.903740 IP 10.46.56.67.51954 > 10.46.32.221.443: Flags [.], ack 1365, win 330, length 0Additional Information
Cisco ACI のプラグイン Panorama を使用すると、ダイナミック policy ACI アドレスグループ(DAG)を使用してシスコ ファブリックのセキュリティを構築できます。 プラグインは Policy 、シスコ環境のアプリケーション インフラストラクチャ コントローラ ( ) APIC ファブリックの変更を監視 ACI し、その情報を と共有 Panorama します。 Cisco ACI プラグインは、 または プラグインなどの他のプラグインとは少し異なる動作 panorama AZURE AWS を GCP します。 Cisco ACI プラグインは、コントローラとの WebSocket 接続 ACI を維持し、 ACI エンドポイントの更新に関する通知メッセージをモニタします。 Cisco ACI プラグインは APIC 、エンドポイントの変更を 60 秒以内に報告するファブリックをプルし、10 分ごとにすべての APC と完全に同期します。