Nexus 9000 : Exemple de configuration ITD et vérification

Introduction

Ce document décrit la configuration et la validation d'Intelligent Traffic Director (ITD) sur la plate-forme Nexus 9000.

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes :

• Nexus 9000

• ITD

Components Used

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• N9K-C 9372PX
• 7.0(3)I2(2a)
• Licence de services réseau
• 7.0(3)I1(2) ou ultérieur
• Commutateurs Cisco Nexus 9372PX, 9372TX, 9396PX, 9396TX, 93120TX et 93128TX
• Commutateurs Cisco Nexus 9500 avec cartes de ligne Cisco Nexus X9464PX, X9464TX, X9564PX et X9564TX

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Configuration

Diagramme du réseau

Considérez cette topologie. Le trafic provenant de l'hôte du VLAN 39 destiné à www.google.com entrerait normalement dans le Nexus 9000 et serait transféré au tronçon suivant dans la table de routage du VLAN 800. Cependant, le client souhaite pouvoir rediriger le trafic entrant sur le VLAN 39 vers le périphérique proxy Web (40.40.40.2) avant qu'il ne soit finalement transféré vers le fournisseur d'accès à Internet (FAI). Ce modèle de déploiement est plus communément appelé mode de déploiement à un bras.

F340.10.26-N9K-C9372PX-1# sh running-config services

!Command: show running-config services
!Time: Sat Feb  6 23:50:09 2016

version 7.0(3)I2(2a)
feature itd


itd device-group ITD_DEVICE_GROUP
  node ip 40.40.40.2


itd ITD_SERVICE
  device-group ITD_DEVICE_GROUP
  ingress interface Vlan39
  no shut

Cavaliers de configuration

• Lorsque vous activez la fonction ITD, un message d'erreur est signalé concernant le message NETWORK_SERVICES_PKG qui indique les données inutilisées jusqu'au rechargement du périphérique. Ceci est dû à la licence basée sur l'honneur sur la plate-forme N9K.
• Lorsque vous appelez une liste d'accès d'exclusion sous le service ITD, vous définissez tout le trafic de cette liste d'accès que vous souhaitez exclure de la redirection. Sans appeler cette liste d’accès, tout le trafic qui entre dans le commutateur sur l’interface d’entrée est redirigé.
• Lorsque vous effectuez un déploiement en mode Équilibrage de charge du serveur, l'adresse IP virtuelle doit être définie sous le service ITD, mais le trafic destiné à l'adresse IP virtuelle est alors sujet à une redirection.
• Le Nexus 9000 ne prend pas en charge nativement la traduction d'adresses de réseau/traduction d'adresses de port (NAT/PAT) dans la fonctionnalité ITD. Si le trafic de retour doit être vu/inspecté par le périphérique vers lequel les paquets d'origine ont été redirigés, cela doit être pris en compte par le client dans sa conception.
• Le périphérique auquel vous effectuez la redirection doit être la couche 2 adjacente au Nexus 9000.
• Annonce {enable L'option | disable} spécifie si la route IP virtuelle est annoncée aux périphériques voisins. Pour ce faire, vous injectez une route statique dans la table de routage locale, qui peut ensuite être distribuée dans le protocole de routage.
• Avant toute modification de la configuration du service ITD, vous devez d'abord mettre le service hors service.  Cela entraîne un scénario d'échec et ne doit pas avoir d'impact sur le service.

Vérification

Utilisez cette section pour confirmer que votre configuration fonctionne correctement.

F340.10.26-N9K-C9372PX-1# sh itd

Name           Probe LB Scheme  Status   Buckets
-------------- ----- ---------- -------- -------
ITD_SERVICE    N/A   src-ip     ACTIVE   1

Device Group                                         VRF-Name
-------------------------------------------------- -------------
ITD_DEVICE_GROUP

Pool                           Interface    Status Track_id
------------------------------ ------------ ------ ---------
ITD_SERVICE_itd_pool           Vlan39       UP       -

  Node  IP                  Config-State Weight Status     Track_id  Sla_id
  ------------------------- ------------ ------ ---------- --------- ---------
  1     40.40.40.2          Active       1      OK           None      None

        Bucket List
        -----------------------------------------------------------------------
        ITD_SERVICE_itd_bucket_1

• Cette sortie est utile pour vérifier rapidement quels paramètres du service ITD ont été configurés et s'il est actif ou non.

Note: Voir Vérification de la configuration ITD : Avant de pouvoir utiliser cette commande pour afficher les statistiques ITD, vous devez activer les statistiques ITD à l'aide de la commande service_itd-name.

F340.10.26-N9K-C9372PX-1# sh itd all statistics

Service                        Device Group
-----------------------------------------------------------
ITD_SERVICE                        ITD_DEVICE_GROUP
    0%

Traffic Bucket                                   Assigned to                    Mode                Original Node                   #Packets
---------------                                  --------------                 -----               --------------                  ---------
ITD_SERVICE_itd_bucket_1                         40.40.40.2                     Redirect            40.40.40.2                      1215022221(100.00%)

• Cette commande est utile pour déterminer si le trafic est redirigé conformément à la politique ITD. Pour que cette commande puisse fournir une sortie, vous devez d'abord activer les statistiques ITD <ITD_SERVICE_NAME> pour le service pour lequel vous voulez surveiller les statistiques.

Note: Cette CLI ne fournit pas de sortie lorsque la liste de contrôle d'accès (ACL) est utilisée sous le service ITD. Lorsque la liste de contrôle d'accès est utilisée, vous pouvez activer pbr-statistics sur la route-map générée par le système.

F340.10.26-N9K-C9372PX-1# sh run int vlan 39

!Command: show running-config interface Vlan39
!Time: Thu Feb 18 02:22:12 2016

version 7.0(3)I2(2a)

interface Vlan39
  no shutdown
  ip address 39.39.39.39/24
  ip policy route-map ITD_SERVICE_itd_pool
  

F340.10.26-N9K-C9372PX-1# sh route-map ITD_SERVICE_itd_pool
route-map ITD_SERVICE_itd_pool, permit, sequence 10
Description: auto generated route-map for ITD service ITD_SERVICE
  Match clauses:
    ip address (access-lists): ITD_SERVICE_itd_bucket_1
  Set clauses:
    ip next-hop 40.40.40.2
	
	
F340.10.26-N9K-C9372PX-1# sh ip access-lists ITD_SERVICE_itd_bucket_1

IP access list ITD_SERVICE_itd_bucket_1
        10 permit ip 1.1.1.0 255.255.255.255 any

• Ces trois commandes sont utiles afin de déterminer si la configuration automatique créée par le service ITD a été appliquée correctement et si la redirection est configurée correctement.

Dépannage

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

F340.10.26-N9K-C9372PX-1# sh tech-support services detail | i "`show "
`show feature | grep itd`
`show itd`
`show itd brief`
`show itd statistics`
`show itd statistics brief`
`show running-config services`
`show route-map`
`show module`
`show system internal iscm event-history debugs`
`show system internal iscm event-history debugs detail`
`show system internal iscm event-history events`
`show system internal iscm event-history errors`
`show system internal iscm event-history packets`
`show system internal iscm event-history msgs`
`show system internal iscm event-history all`
`show port-channel summary`
`show interface brief`
`show accounting log`

• S'il y a un aspect spécifique de la configuration ITD qui échoue ou s'il y a un problème avec le composant ITD sur le système, il serait judicieux de collecter un détail show tech services pour faciliter une enquête plus approfondie. Les commandes incluses dans cette commande show tech sont répertoriées comme indiqué précédemment.