Nexus 9000: ITD-Konfigurationsbeispiel und -überprüfung

Einführung

Dieses Dokument beschreibt die Konfiguration und Validierung von Intelligent Traffic Director (ITD) auf der Nexus 9000-Plattform.

Voraussetzungen

  

Anforderungen

Cisco empfiehlt, über Kenntnisse in folgenden Bereichen zu verfügen:

• Nexus 9000

• ITD

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf den folgenden Software- und Hardwareversionen:

• N9K-C 9372PX
• 7,0(3)I2(2a)
• Network Services-Lizenz
• 7.0(3)I1(2) oder spätere Version
• Cisco Nexus Switches der Serien 9372PX, 9372TX, 9396PX, 9396TX, 93120TX und 93128TX
• Cisco Nexus Switches der Serie 9500 mit den Linecards Cisco Nexus X9464PX, X9464TX, X9564PX und X9564TX

Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.

Konfigurieren

Netzwerkdiagramm

Betrachten Sie diese Topologie. Datenverkehr vom Host in VLAN 39, der an www.google.com gerichtet ist, geht normalerweise beim Nexus 9000 ein und wird an den nächsten Hop in der Routing-Tabelle auf VLAN 800 weitergeleitet. Der Kunde möchte jedoch den Datenverkehr aus VLAN 39 an das Webproxy-Gerät (40.40.40.2) umleiten können, bevor er schließlich an den Internet-Dienstanbieter (ISP) weitergeleitet wird. Dieses Bereitstellungsmodell wird häufig als One-Arm-Bereitstellungsmodus bezeichnet.

F340.10.26-N9K-C9372PX-1# sh running-config services

!Command: show running-config services
!Time: Sat Feb  6 23:50:09 2016

version 7.0(3)I2(2a)
feature itd


itd device-group ITD_DEVICE_GROUP
  node ip 40.40.40.2


itd ITD_SERVICE
  device-group ITD_DEVICE_GROUP
  ingress interface Vlan39
  no shut

Konfigurationsargumente

• Wenn Sie die ITD-Funktion aktivieren, wird eine Fehlermeldung bezüglich "NETWORK_SERVICES_PKG" angezeigt, die nicht verwendet wird, bis das Gerät neu geladen wird. Dies liegt an der ehrenbasierten Lizenzierung auf der N9K-Plattform.
• Wenn Sie unter dem ITD-Dienst eine Zugriffsliste für Ausschlüsse aufrufen, definieren Sie den gesamten Datenverkehr in dieser Zugriffsliste, den Sie von der Umleitung ausschließen möchten. Ohne diese Zugriffsliste aufzurufen, wird der gesamte Datenverkehr, der den Switch an der Eingangs-Schnittstelle empfängt, umgeleitet.
• Wenn Sie im Server Load Balancing-Modus bereitstellen, muss die virtuelle IP-Adresse im ITD-Dienst definiert werden, nur dann kann der Datenverkehr, der an die virtuelle IP-Adresse gerichtet ist, umgeleitet werden.
• Der Nexus 9000 bietet keine native Unterstützung für Network Address Translation/Port Address Translation (NAT/PAT) innerhalb der ITD-Funktionalität. Wenn der Rückverkehr vom Gerät, an das die ursprünglichen Pakete umgeleitet wurden, gesehen/inspiziert werden soll, muss dies vom Kunden in seinem Design berücksichtigt werden.
• Bei dem Gerät, für das Sie die Umleitung durchführen, muss es sich um Layer 2 neben dem Nexus 9000 handeln.
• Das Inserat {enable | disable}-Option gibt an, ob die virtuelle IP-Route an die benachbarten Geräte weitergegeben wird. Dies erfolgt durch die Einspeisung einer statischen Route in die lokale Routing-Tabelle, die dann in das Routing-Protokoll verteilt werden kann.
• Bevor Sie Konfigurationsänderungen am ITD-Service vornehmen können, müssen Sie zuerst den Service deaktivieren.  Dies führt zu einem Fail-Open-Szenario und sollte keine Auswirkungen auf den Service haben.

Überprüfen

In diesem Abschnitt überprüfen Sie, ob Ihre Konfiguration ordnungsgemäß funktioniert.

F340.10.26-N9K-C9372PX-1# sh itd

Name           Probe LB Scheme  Status   Buckets
-------------- ----- ---------- -------- -------
ITD_SERVICE    N/A   src-ip     ACTIVE   1

Device Group                                         VRF-Name
-------------------------------------------------- -------------
ITD_DEVICE_GROUP

Pool                           Interface    Status Track_id
------------------------------ ------------ ------ ---------
ITD_SERVICE_itd_pool           Vlan39       UP       -

  Node  IP                  Config-State Weight Status     Track_id  Sla_id
  ------------------------- ------------ ------ ---------- --------- ---------
  1     40.40.40.2          Active       1      OK           None      None

        Bucket List
        -----------------------------------------------------------------------
        ITD_SERVICE_itd_bucket_1

• Diese Ausgabe ist hilfreich, um schnell zu überprüfen, welche Parameter für den ITD-Dienst konfiguriert wurden und ob er aktiv ist.

Hinweis: Siehe Überprüfen der ITD-Konfiguration: Bevor Sie diesen Befehl verwenden können, um ITD-Statistiken anzuzeigen, müssen Sie ITD-Statistiken mit dem Befehl itd statistics_itd-name aktivieren.

F340.10.26-N9K-C9372PX-1# sh itd all statistics

Service                        Device Group
-----------------------------------------------------------
ITD_SERVICE                        ITD_DEVICE_GROUP
    0%

Traffic Bucket                                   Assigned to                    Mode                Original Node                   #Packets
---------------                                  --------------                 -----               --------------                  ---------
ITD_SERVICE_itd_bucket_1                         40.40.40.2                     Redirect            40.40.40.2                      1215022221(100.00%)

• Dieser Befehl ist hilfreich, um festzustellen, ob der Datenverkehr gemäß der ITD-Richtlinie umgeleitet wird. Damit dieser Befehl eine Ausgabe bereitstellen kann, müssen Sie zuerst ITD-Statistiken <ITD_SERVICE_NAME> für den Dienst aktivieren, für den Sie die Statistiken überwachen möchten.

Hinweis: Diese CLI stellt keine Ausgabe bereit, wenn die Zugriffskontrollliste (ACL) unter dem ITD-Dienst verwendet wird. Wenn die ACL verwendet wird, können Sie pbr-statistics auf der vom System generierten Route-Map aktivieren.

F340.10.26-N9K-C9372PX-1# sh run int vlan 39

!Command: show running-config interface Vlan39
!Time: Thu Feb 18 02:22:12 2016

version 7.0(3)I2(2a)

interface Vlan39
  no shutdown
  ip address 39.39.39.39/24
  ip policy route-map ITD_SERVICE_itd_pool
  

F340.10.26-N9K-C9372PX-1# sh route-map ITD_SERVICE_itd_pool
route-map ITD_SERVICE_itd_pool, permit, sequence 10
Description: auto generated route-map for ITD service ITD_SERVICE
  Match clauses:
    ip address (access-lists): ITD_SERVICE_itd_bucket_1
  Set clauses:
    ip next-hop 40.40.40.2
	
	
F340.10.26-N9K-C9372PX-1# sh ip access-lists ITD_SERVICE_itd_bucket_1

IP access list ITD_SERVICE_itd_bucket_1
        10 permit ip 1.1.1.0 255.255.255.255 any

• Diese drei Befehle sind hilfreich, um festzustellen, ob die vom ITD-Dienst erstellte automatische Konfiguration korrekt angewendet wurde und ob die Umleitung korrekt konfiguriert wurde.

Fehlerbehebung

Dieser Abschnitt enthält Informationen, die Sie zur Fehlerbehebung bei Ihrer Konfiguration verwenden können.

F340.10.26-N9K-C9372PX-1# sh tech-support services detail | i "`show "
`show feature | grep itd`
`show itd`
`show itd brief`
`show itd statistics`
`show itd statistics brief`
`show running-config services`
`show route-map`
`show module`
`show system internal iscm event-history debugs`
`show system internal iscm event-history debugs detail`
`show system internal iscm event-history events`
`show system internal iscm event-history errors`
`show system internal iscm event-history packets`
`show system internal iscm event-history msgs`
`show system internal iscm event-history all`
`show port-channel summary`
`show interface brief`
`show accounting log`

• Wenn ein bestimmter Aspekt der ITD-Konfiguration fehlschlägt oder angenommen wird, dass etwas mit der ITD-Komponente im System nicht stimmt, empfiehlt es sich, eine show tech services detail zu sammeln, um bei weiteren Untersuchungen behilflich zu sein. Die Befehle in dieser show tech werden wie oben erwähnt aufgelistet.