Exemple d'intégration de Cisco Nexus RISE et Netscaler

Introduction

Ce document décrit l'intégration de Cisco Nexus 7000 RISE avec Citrix NetScaler.

Cisco® Remote Integrated Services Engine (RISE) est une solution innovante qui permet à tout appareil de service Citrix NetScaler, physique ou virtuel, d'apparaître comme carte de ligne virtuelle sur les commutateurs Cisco Nexus® 7000. Cisco RISE établit un chemin de communication entre le plan de données réseau et l'appliance de service. Cette intégration étroite simplifie le déploiement des services et optimise les chemins de données des applications, ce qui améliore l'efficacité opérationnelle du data center.

Les principaux avantages de Cisco RISE sont les suivants :

◦ Disponibilité améliorée des appareils : Cisco RISE permet une gestion efficace de l'appliance de service en obtenant des mises à jour de routage en temps réel de l'appliance de service, réduisant ainsi la probabilité de perte de routes pour le trafic d'applications. En tirant parti du plan de contrôle étendu, Cisco RISE peut fournir une convergence et une récupération plus rapides des pannes de service aux niveaux des applications et des périphériques. Cisco RISE améliore également l'expérience du jour 0 grâce à la détection automatique et à l'amorçage, réduisant ainsi le besoin d'intervention de l'administrateur.

◦ Optimisation du chemin de données : Les administrateurs peuvent utiliser une large gamme de fonctionnalités Cisco RISE pour automatiser et optimiser la prestation de services réseau dans un data center dynamique. Dans les contrôleurs de distribution d'applications (ADC), le routage automatique basé sur des politiques (APBR) permet à l'appliance d'obtenir les paramètres de commutateur Cisco Nexus dont elle a besoin pour mettre automatiquement en oeuvre les routes. Ces routes sont apprises dynamiquement chaque fois que de nouvelles applications sont provisionnées. Le protocole APBR élimine le besoin pour les administrateurs de configurer manuellement des routes basées sur des stratégies pour rediriger le trafic de réponse du serveur vers l'ADC tout en préservant l'adresse IP source du client.

◦ Cisco RISE permet également l'intégration du plan de contrôle avec les appliances de plate-forme Cisco Prime™ Network Analysis Module (NAM) 2300, ce qui simplifie l'expérience d'exploitation des administrateurs réseau. Intégré aux commutateurs de la gamme Cisco Nexus 7000, Cisco Prime NAM offre une visibilité sur les applications, une analyse des performances et une meilleure intelligence du réseau. Cette visibilité permet à l'administrateur de gérer efficacement la livraison des applications distribuées. L'intégration de Cisco RISE évoluera pour étendre la visibilité de manière transparente sur plusieurs VDC (Virtual Device Context) sur le commutateur, améliorant ainsi la souplesse et la simplicité de fonctionnement. Évolutivité et flexibilité : Cisco RISE peut être déployé sur les commutateurs de la gamme Cisco Nexus 7000 et permet aux appliances de service de fonctionner dans des VDC, permettant ainsi le déploiement d'instances de service indépendantes de différentes manières, par exemple un à plusieurs, plusieurs à un, et un nombre incalculable de configurations de plusieurs à plusieurs pour prendre en charge tout scénario multilocataire.

◦ Agilité accrue de l'entreprise : Cisco RISE peut s'adapter aux besoins croissants des data centers et des clients en provisionnant les ressources en temps réel. Cisco RISE réduit également le temps nécessaire au déploiement de nouveaux services, éliminant la nécessité de reconcevoir le réseau et répondant de manière dynamique aux besoins changeants des clients.

Conditions requises

Compréhension de base de NXOS et de RISE

Compréhension de base de NetScaler. 

Components Used

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• Logiciel Nexus 7010 NXOS 6.2(16)
• Citrix NetScaler NSMPX-11500. Version du logiciel: NS11.1 : Générer 50.10.nc

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Topologie

Aperçu

Au cours de ces travaux pratiques, nous avons ci-dessous des périphériques :

1. Deux serveurs exécutant Windows 2008 R2 : IIS en tant que serveur Web. Chaque serveur possède une page Web de test
2. Commutateur Nexus 7000 : Service RISE exécuté sur ce commutateur, redirige le trafic HTTP vers NetScaler
3. Citrix NetScaler : Équilibrage de la charge du trafic
4. PC de test de gestion

Au cours de ces travaux pratiques, le protocole USIP de NetScaler est activé pour fournir les avantages suivants :

- Les journaux de serveur Web peuvent utiliser une adresse IP réelle pour améliorer la traçabilité
- Le serveur Web peut utiliser une adresse IP réelle pour contrôler qui peut accéder à quoi
- L'application Web a besoin de l'adresse IP du client pour ses propres besoins de journalisation
- L'application Web nécessite une adresse IP client pour l'authentification

Sans USIP, toute adresse IP source de requête HTTP apparaîtrait de NetScaler.

Avec USIP activé, le flux de trafic est le suivant :

1. Sur le PC, ouvrez un navigateur Web et accédez à http://40.40.41.101/test.html.
2. La requête HTTP atteint Nexus 7000. N7K redirige le trafic vers NetScaler.
3. NetScaler envoie la requête à l'un des serveurs.
4. La réponse HTTP du serveur atteint N7K, mais l'adresse IP source est l'adresse réelle du serveur. Par exemple, l'adresse IP source peut être 30.30.32.35 ou 30.30.31.33. N7K ayant configuré RISE, il n'enverra PAS directement la réponse au PC. Il utilise plutôt la recherche PBR et envoie à nouveau la réponse HTTP à NetScaler. Ceci garantit que le flux de trafic n'est pas interrompu.
5. NetScaler modifie l'adresse IP source de réponse HTTP en VIP 40.40.41.101 et renvoie la réponse HTTP au PC

Configuration

Configurer Nexus 7010

feature ospf
feature pbr
feature interface-vlan
feature hsrp
feature rise


vlan 1,99,125,130,132,201
 
route-map _rise-system-rmap-Vlan125 permit 1                      !- - - - - >Generated by RISE. Manual configuration is NOT required.
  match ip address _rise-system-acl-20.20.21.5-Vlan125            !- - - - - >Generated by RISE. Manual configuration is NOT required.
  set ip next-hop 20.20.21.5                                      !- - - - - >Generated by RISE. Manual configuration is NOT required.
route-map _rise-system-rmap-Vlan132 permit 1                      !- - - - - >Generated by RISE. Manual configuration is NOT required.
  match ip address _rise-system-acl-20.20.21.5-Vlan132            !- - - - - >Generated by RISE. Manual configuration is NOT required.
  set ip next-hop 20.20.21.5                                      !- - - - - >Generated by RISE. Manual configuration is NOT required.

interface Vlan99

  description RISE control VLAN SVI
  no shutdown
  mtu 9216
  no ip redirects
  ip address 20.20.99.2/24
  no ipv6 redirects
  ip ospf passive-interface
  hsrp version 2
  hsrp 99
    preempt
    priority 110
    ip 20.20.99.1
 
interface Vlan125

  description RISE server 1 VLAN SVI
  no shutdown
  ip address 30.30.31.1/24
  ip policy route-map _rise-system-rmap-Vlan125              !- - - - - >Generated by RISE. Manual configuration is NOT required.
 
interface Vlan130

  description RISE testing PC VLAN SVI
  no shutdown
  ip address 100.100.100.1/24
 
interface Vlan132

  description RISE server 2 VLAN SVI
  no shutdown
  ip address 30.30.32.1/24
  ip policy route-map _rise-system-rmap-Vlan132           !- - - - - >Generated by RISE. Manual configuration is NOT required.
 
interface Vlan201

  description RISE Data VLAN SVI
  no shutdown
  mtu 9216
  no ip redirects
  ip address 20.20.21.2/24
  no ipv6 redirects
  ip ospf passive-interface
  hsrp version 2
  hsrp 201
    preempt
    priority 110
    ip 20.20.21.1
 
interface Ethernet9/1
  description connect to Testing PC
  switchport
  switchport access vlan 130
  no shutdown
 
interface Ethernet9/2
  description connect to Server 1
  switchport
  switchport access vlan 125
  no shutdown
 
interface Ethernet9/3
  description connect to Server 2
  switchport
  switchport access vlan 132
  no shutdown
 
interface Ethernet10/1
  description connect to NetScaler
  switchport
  switchport mode trunk
  switchport trunk allowed vlan 99,201
  spanning-tree port type edge
  no shutdown
 
service vlan-group 21 201
service type rise name ns21 mode indirect
  vlan 99
  vlan group 21
  ip 20.20.99.5 255.255.255.0
  no shutdown

Configuration NetScaler 

#Configure NSIP, this is also the IP used by N7K for RISE

set ns config -IPAddress 20.20.99.5 -netmask 255.255.255.0

 

#Configure NSVLAN 99 and bind it to LACP channel LA/1

set ns config -nsvlan 99 -ifnum LA/1

 

# Enable RISE

enable ns feature WL SP LB CS CMP PQ SSL HDOSP REWRITE RISE
enable ns mode FR L3 USIP CKA TCPB Edge USNIP PMTUD RISE_APBR RISE_RHI

 

#Configure interfaces

set interface 10/1 -mtu 9000 -throughput 0 -bandwidthHigh 0 -bandwidthNormal 0 -intftype "Intel 10G" -ifnum LA/1

add channel LA/1 -tagall ON -throughput 0 -bandwidthHigh 0 -bandwidthNormal 0
set channel LA/1 -mtu 9000 -tagall ON -throughput 0 -lrMinThroughput 0 -bandwidthHigh 0 -bandwidthNormal 0
bind channel LA/1 10/1

 

#Add RISE control and data VLANs

add vlan 99
add vlan 201

 

 

#Configure RISE data VLAN IP address and bind interface to data VLAN

add ns ip 10.66.91.170 255.255.254.0 -vServer DISABLED -mgmtAccess ENABLED   #This is for management only
add ns ip 20.20.21.5 255.255.255.0 -vServer DISABLED 

bind vlan 201 -ifnum LA/1 -tagged                #Need to be tagged because N7K E10/1 is configured as trunk port.
bind vlan 201 -IPAddress 20.20.21.5 255.255.255.0

 

# Configure Virtual Servers.

add ns ip 40.40.41.101 255.255.255.0 -type VIP -snmp DISABLED -hostRoute ENABLED -hostRtGw 20.20.21.5 -metric 100 -vserverRHILevel NONE -vserverRHIMode RISE

add server SERV-2 30.30.32.35
add server SERV-1 30.30.31.33

add service SVC-1-tcpHTTP SERV-1 TCP 80 -gslb NONE -maxClient 0 -maxReq 0 -cip DISABLED -usip YES -useproxyport YES -sp OFF -cltTimeout 180 -svrTimeout 360 -CKA YES -TCPB NO -CMP NO
add service SVC-2-tcpHTTP SERV-2 TCP 80 -gslb NONE -maxClient 0 -maxReq 0 -cip DISABLED -usip YES -useproxyport YES -sp OFF -cltTimeout 180 -svrTimeout 360 -CKA YES -TCPB NO -CMP NO

add lb vserver VSRV-40-tcpHTTP TCP 40.40.41.101 80 -persistenceType NONE -connfailover STATEFUL -cltTimeout 180
add lb vserver VSRV-40-tcpHTTPS TCP 40.40.41.101 443 -persistenceType NONE -connfailover STATEFUL -cltTimeout 180

bind lb vserver VSRV-40-tcpHTTP SVC-1-tcpHTTP
bind lb vserver VSRV-40-tcpHTTP SVC-2-tcpHTTP

 

#Configure route
add route 0.0.0.0 0.0.0.0 20.20.21.1
add route 10.0.0.0 255.0.0.0 10.66.91.1                                   # - - - - > For management only
add route 30.30.31.0 255.255.255.0 20.20.21.1                  
add route 30.30.32.0 255.255.255.0 20.20.21.1

 

#configure RISE to run in indirect mode

set rise param -indirectMode ENABLED

 

#Save config and reboot

save ns config

reboot
Are you sure you want to restart NetScaler (Y/N)? [N]:y

Serveur 

Cet exemple utilise Microsoft Windows 2008 R2 IIS comme serveur Web. Suivez la documentation Windows pour configurer IIS.

Une fois IIS installé, vous pouvez accéder directement au VIP du serveur Web sans créer de page Web supplémentaire. Dans cette documentation, pour démontrer le basculement, nous créons une page de test « test.html » sur chaque serveur sous le répertoire de base IIS (par défaut c:\inetpub\wwwroot). Le contenu de la page de test est le suivant :

Contenu de la page de test du serveur 1 : « Il s'agit du serveur 1 »

Contenu de la page de test du serveur 2 : « Il s'agit du serveur 2 »

Vérification

Utilisez cette section pour confirmer que votre configuration fonctionne correctement.

Vérifier sur PC

1. Ouvrez le navigateur Web et accédez à http://40.40.41.101/test.html. Il doit afficher une page de test.

2. Arrêt du serveur 1.  Répétez l'étape 1.  Il doit afficher « This is server 2 ».

3. Mettre le serveur 1 en ligne et arrêter le serveur 2. Répétez l'étape 1. Il doit afficher « This is server 1 ».

Vérifier sur N7K

STLD1-630-01.05-N7K-RU21# show ip route static

IP Route Table for VRF "default"

'*' denotes best ucast next-hop

'**' denotes best mcast next-hop

'[x/y]' denotes [preference/metric]

'%<string>' in via output denotes VRF <string>

 

40.40.41.101/32, ubest/mbest: 1/0                  - - - - - - - - >RHI injected routes

    *via 20.20.21.5, Vlan201, [100/0], 03:18:00, static

 

STLD1-630-01.05-N7K-RU21# show route-map

route-map _rise-system-rmap-Vlan125, permit, sequence 1           - - -- - - - - - >Generated by NetScaler.

  Match clauses:

    ip address (access-lists): _rise-system-acl-20.20.21.5-Vlan125 

  Set clauses:

    ip next-hop 20.20.21.5 

route-map _rise-system-rmap-Vlan132, permit, sequence 1      - - -- - - - - - >Generated by NetScaler.

  Match clauses:

    ip address (access-lists): _rise-system-acl-20.20.21.5-Vlan132 

  Set clauses:

    ip next-hop 20.20.21.5 

STLD1-630-01.05-N7K-RU21# sho access-lists dynamic      - - - - - >Dynamic ACL download from NetScaler (or pushed by Netscaler)

 

IP access list __urpf_v4_acl__

        10 permit ip any any 

IPv6 access list __urpf_v6_acl__

        10 permit ipv6 any any 

IP access list _rise-system-acl-20.20.21.5-Vlan125

        10 permit tcp 30.30.31.33/32 eq 443 any 

        20 permit tcp 30.30.31.33/32 eq www any 

IP access list _rise-system-acl-20.20.21.5-Vlan132

        10 permit tcp 30.30.32.35/32 eq 443 any 

        20 permit tcp 30.30.32.35/32 eq www any 

IP access list sl_def_acl

        statistics per-entry 

        10 deny tcp any any eq telnet syn 

        20 deny tcp any any eq www syn 

        30 deny tcp any any eq 22 syn 

        40 permit ip any any 

STLD1-630-01.05-N7K-RU21# show run int vl 132

 

!Command: show running-config interface Vlan132

!Time: Mon Mar 27 03:44:13 2017

 

version 6.2(16)

 

interface Vlan132

  no shutdown

  ip address 30.30.32.1/24

  ip policy route-map _rise-system-rmap-Vlan132            - - - - - >APBR, this command was generated by RISE

 

STLD1-630-01.05-N7K-RU21# show run int vl 125

 

!Command: show running-config interface Vlan125

!Time: Mon Mar 27 03:44:16 2017

 

version 6.2(16)

 

interface Vlan125

  no shutdown

  ip address 30.30.31.1/24

  ip policy route-map _rise-system-rmap-Vlan125    - - - - - >APBR, this command was generated by RISE

 

STLD1-630-01.05-N7K-RU21# 

TLD1-630-01.05-N7K-RU21# show rise

Name            Slot Vdc Rise-Ip         State        Interface

                  Id  Id                                       

--------------- ---- --- --------------- ------------ ----------------

ns21            300  1   20.20.99.5      active       N/A            

 

RHI Configuration

ip              prefix len nhop ip         weight vlan vrf        slot-id

--------------- ---------- --------------- ------ ---- ---------- -------

40.40.41.101    32         20.20.21.5      100    201  default    300             - - - - > RHI

 

APBR Configuration                                                                - - - - > APBR

rs ip           rs port protocol nhop ip         rs nhop  apbr state slot-id

--------------- ------- -------- --------------- -------- ---------- -------

30.30.31.33     80      TCP      20.20.21.5      Vlan125  ADD DONE   300    

30.30.31.33     443     TCP      20.20.21.5      Vlan125  ADD DONE   300    

30.30.32.35     80      TCP      20.20.21.5      Vlan132  ADD DONE   300    

30.30.32.35     443     TCP      20.20.21.5      Vlan132  ADD DONE   300