Cisco Nexus RISE と Netscaler の統合例

ダウンロード オプション

  • PDF     (442.3 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (317.4 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (172.1 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2021 年 7 月 16 日
Document ID:211327

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    概要

    このドキュメントでは、Cisco RISE による Cisco Nexus 7000 と Citrix NetScaler の統合について説明します。

    Cisco® Remote Integrated Services Engine(RISE)は、Citrix NetScaler サービス アプライアンス(物理、仮想に関わらず) を Cisco Nexus® 7000 シリーズ スイッチの仮想ライン カードとして扱えるようにする革新的なソリューションです。Cisco RISE によりネットワーク データ プレーンとサービス アプライアンス間の通信パスを確立します。この緊密な統合によりサービス展開を簡素化し、アプリケーション データ パスを最適化することで、データセンターの運用効率を向上させます。

    Cisco RISE の主な利点は次のとおりです。

    ● アプライアンスの可用性の向上:Cisco RISE は、サービス アプライアンスからリアルタイムでルート アップデートを取得することでサービス アプライアンスの効率的な運用を可能にし、ドロップされにくいルートでアプリケーション トラフィックを運びます。Cisco RISE は拡張型コントロール プレーンを活用することで、サービス障害発生時もアプリケーション レベル、デバイス レベルの両方で高速コンバージェンスとリカバリを実行します。Cisco RISE では、自動検出とブートストラップにより管理者の介入の必要性を低減することで、導入準備の負担を軽減します。

    ● データ パスの最適化:Cisco RISE の各種機能を使ってダイナミック データセンターにおけるネットワーク サービスの提供の自動化、最適化が可能です。アプリケーション配信コントローラ(ADC)では、自動ポリシー ベース ルーティング(APBR)を行うことにより、アプライアンスは自動的にルーティングを実行するために必要な Cisco Nexus スイッチ パラメータを取得できます。新しいアプリケーションがプロビジョニングされると、これらのルートを動的に学習します。APBR を使用することで、管理者がクライアントの送信元 IP アドレスを保持しながら、手動でポリシー ベースのルートを設定してサーバ応答トラフィックを ADC にリダイレクトする手間を省きます。

    ● Cisco RISE では、コントロール プレーンによる Cisco Prime™ ネットワーク解析モジュール(NAM)2300 プラットフォーム アプライアンスとの統合も可能で、ネットワーク管理者の運用業務を簡素化します。Cisco Prime NAM を Cisco Nexus 7000 シリーズ スイッチに統合することで、アプリケーションの可視性、パフォーマンス分析、詳細なネットワーク インテリジェンスを提供します。この可視性により管理者は効果的に分散型アプリケーションの配信を効果的に行うことができます。Cisco RISE による統合で、スイッチの複数の仮想デバイス コンテキスト(VDC)全体を通して可視性が透過的に拡張され、運用を一層俊敏かつシンプルに行えるようにします。拡張性と柔軟性:Cisco RISE はあらゆる Cisco Nexus 7000 シリーズ スイッチに導入でき、サービス アプライアンスを VDC で実行できます。そのため、個別のサービス インスタンスを 1 対多、多対 1 、多種多様な多対多など、どんなマルチテナントのシナリオにも対応する構成で展開することができます。

    ● ビジネスの俊敏性の向上:Cisco RISE ではリソースをリアルタイムでプロビジョニングすることで、高まるデータセンターと顧客のニーズに応えます。また Cisco RISE は、新サービスの導入にあたってネットワークを再設計する必要性をなくすことで導入にかかる時間を短縮し、変化する顧客の要件にダイナミックに対応します。

    要件

    NXOS および RISE の基本知識

    NetScaler の基本知識 

    使用するコンポーネント

    このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

    • Nexus 7010 ソフトウェア NXOS 6.2(16)
    • Citrix NetScaler NSMPX-11500。ソフトウェアバージョン:NS11.1:ビルド 50.10.nc

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

    トポロジ

    概要

    ラボでは次のデバイスを使用します。

    1. Windows 2008 R2を実行している2台のサーバ:Web サーバとして IIS。各サーバにはテストWebページがあります
    2. Nexus 7000 スイッチ:このスイッチで実行されているRISEサービスは、HTTPトラフィックをNetScalerにリダイレクトします
    3. Citrix NetScaler:トラフィックロードバランシングを実行する
    4. 管理テストPC

    このラボでは、次の利点を利用するため NetScaler の USIP を有効にしています。

    – Web サーバのログに真の IP アドレスを使用して、トレーサビリティが向上できる。
    – Web サーバで実際の IP アドレスを使用してどのユーザが何にアクセスできるかを制御することもできる。
    – Web アプリケーションのロギングにクライアント IP が必要となる。
    – Web アプリケーションの認証にクライアント IP が必要となる。

    USIP が無効になっていると、すべての HTTP 要求の送信元 IP アドレスが NetScaler から来たように見えます。

    USIP が有効になっている場合のトラフィック フローは次のとおりです。

    1. PC で Web ブラウザを開き、http://40.40.41.101/test.html にアクセスします。
    2. HTTP 要求が Nexus 7000 に届きます。N7K がトラフィックを NetScaler にリダイレクトします。
    3. NetScaler がサーバの 1 つに要求を送信します。
    4. サーバHTTP応答はN7Kに到達しますが、送信元IPアドレスはサーバの実アドレスです。たとえば、送信元IPアドレスは30.30.32.35または30.30.31.33です。N7KにRISEが設定されているため、PCに直接応答を送信しません。その代わりに N7K は PBR ルックアップを使って HTTP 応答を再度 NetScaler へ送信します。これによりトラフィック フローが途切れることはありません。
    5. NetScaler は HTTP 応答の送信元 IP アドレスを VIP 40.40.41.101 に変えてから PC に送信します。

    設定

    Nexus 7010 の設定

    feature ospf
feature pbr
feature interface-vlan
feature hsrp
feature rise


vlan 1,99,125,130,132,201
 
route-map _rise-system-rmap-Vlan125 permit 1                      !- - - - - >Generated by RISE. Manual configuration is NOT required.
  match ip address _rise-system-acl-20.20.21.5-Vlan125            !- - - - - >Generated by RISE. Manual configuration is NOT required.
  set ip next-hop 20.20.21.5                                      !- - - - - >Generated by RISE. Manual configuration is NOT required.
route-map _rise-system-rmap-Vlan132 permit 1                      !- - - - - >Generated by RISE. Manual configuration is NOT required.
  match ip address _rise-system-acl-20.20.21.5-Vlan132            !- - - - - >Generated by RISE. Manual configuration is NOT required.
  set ip next-hop 20.20.21.5                                      !- - - - - >Generated by RISE. Manual configuration is NOT required.

interface Vlan99

  description RISE control VLAN SVI
  no shutdown
  mtu 9216
  no ip redirects
  ip address 20.20.99.2/24
  no ipv6 redirects
  ip ospf passive-interface
  hsrp version 2
  hsrp 99
    preempt
    priority 110
    ip 20.20.99.1
 
interface Vlan125

  description RISE server 1 VLAN SVI
  no shutdown
  ip address 30.30.31.1/24
  ip policy route-map _rise-system-rmap-Vlan125              !- - - - - >Generated by RISE. Manual configuration is NOT required.
 
interface Vlan130

  description RISE testing PC VLAN SVI
  no shutdown
  ip address 100.100.100.1/24
 
interface Vlan132

  description RISE server 2 VLAN SVI
  no shutdown
  ip address 30.30.32.1/24
  ip policy route-map _rise-system-rmap-Vlan132           !- - - - - >Generated by RISE. Manual configuration is NOT required.
 
interface Vlan201

  description RISE Data VLAN SVI
  no shutdown
  mtu 9216
  no ip redirects
  ip address 20.20.21.2/24
  no ipv6 redirects
  ip ospf passive-interface
  hsrp version 2
  hsrp 201
    preempt
    priority 110
    ip 20.20.21.1
 
interface Ethernet9/1
  description connect to Testing PC
  switchport
  switchport access vlan 130
  no shutdown
 
interface Ethernet9/2
  description connect to Server 1
  switchport
  switchport access vlan 125
  no shutdown
 
interface Ethernet9/3
  description connect to Server 2
  switchport
  switchport access vlan 132
  no shutdown
 
interface Ethernet10/1
  description connect to NetScaler
  switchport
  switchport mode trunk
  switchport trunk allowed vlan 99,201
  spanning-tree port type edge
  no shutdown
 
service vlan-group 21 201
service type rise name ns21 mode indirect
  vlan 99
  vlan group 21
  ip 20.20.99.5 255.255.255.0
  no shutdown

    NetScaler の設定 

    #Configure NSIP, this is also the IP used by N7K for RISE

set ns config -IPAddress 20.20.99.5 -netmask 255.255.255.0

 

#Configure NSVLAN 99 and bind it to LACP channel LA/1

set ns config -nsvlan 99 -ifnum LA/1

 

# Enable RISE

enable ns feature WL SP LB CS CMP PQ SSL HDOSP REWRITE RISE
enable ns mode FR L3 USIP CKA TCPB Edge USNIP PMTUD RISE_APBR RISE_RHI

 

#Configure interfaces

set interface 10/1 -mtu 9000 -throughput 0 -bandwidthHigh 0 -bandwidthNormal 0 -intftype "Intel 10G" -ifnum LA/1

add channel LA/1 -tagall ON -throughput 0 -bandwidthHigh 0 -bandwidthNormal 0
set channel LA/1 -mtu 9000 -tagall ON -throughput 0 -lrMinThroughput 0 -bandwidthHigh 0 -bandwidthNormal 0
bind channel LA/1 10/1

 

#Add RISE control and data VLANs

add vlan 99
add vlan 201

 

 

#Configure RISE data VLAN IP address and bind interface to data VLAN

add ns ip 10.66.91.170 255.255.254.0 -vServer DISABLED -mgmtAccess ENABLED   #This is for management only
add ns ip 20.20.21.5 255.255.255.0 -vServer DISABLED 

bind vlan 201 -ifnum LA/1 -tagged                #Need to be tagged because N7K E10/1 is configured as trunk port.
bind vlan 201 -IPAddress 20.20.21.5 255.255.255.0

 

# Configure Virtual Servers.

add ns ip 40.40.41.101 255.255.255.0 -type VIP -snmp DISABLED -hostRoute ENABLED -hostRtGw 20.20.21.5 -metric 100 -vserverRHILevel NONE -vserverRHIMode RISE

add server SERV-2 30.30.32.35
add server SERV-1 30.30.31.33

add service SVC-1-tcpHTTP SERV-1 TCP 80 -gslb NONE -maxClient 0 -maxReq 0 -cip DISABLED -usip YES -useproxyport YES -sp OFF -cltTimeout 180 -svrTimeout 360 -CKA YES -TCPB NO -CMP NO
add service SVC-2-tcpHTTP SERV-2 TCP 80 -gslb NONE -maxClient 0 -maxReq 0 -cip DISABLED -usip YES -useproxyport YES -sp OFF -cltTimeout 180 -svrTimeout 360 -CKA YES -TCPB NO -CMP NO

add lb vserver VSRV-40-tcpHTTP TCP 40.40.41.101 80 -persistenceType NONE -connfailover STATEFUL -cltTimeout 180
add lb vserver VSRV-40-tcpHTTPS TCP 40.40.41.101 443 -persistenceType NONE -connfailover STATEFUL -cltTimeout 180

bind lb vserver VSRV-40-tcpHTTP SVC-1-tcpHTTP
bind lb vserver VSRV-40-tcpHTTP SVC-2-tcpHTTP

 

#Configure route
add route 0.0.0.0 0.0.0.0 20.20.21.1
add route 10.0.0.0 255.0.0.0 10.66.91.1                                   # - - - - > For management only
add route 30.30.31.0 255.255.255.0 20.20.21.1                  
add route 30.30.32.0 255.255.255.0 20.20.21.1

 

#configure RISE to run in indirect mode

set rise param -indirectMode ENABLED

 

#Save config and reboot

save ns config

reboot
Are you sure you want to restart NetScaler (Y/N)? [N]:y

    サーバ

    この例では Web サーバに Microsoft Windows 2008 R2 搭載の IIS を使用します。IIS の設定方法については Windows の関連ドキュメントに従ってください。

    IIS をインストールすると、追加で Web ページを作成することなく Web サーバ VIP に直接アクセスできます。このドキュメントでは、フェールオーバーを示すために、IISのホームディレクトリ(デフォルトではc:\inetpub\wwwroot)の下の各サーバに1つのテストページ「test.html」を作成します。 テスト用ページの内容は次のとおりです。

    サーバ 1 のテスト用ページの内容:「こちらはサーバ 1 です。」

    サーバ 2 のテスト用ページの内容:「こちらはサーバ 2 です。」

    確認

    ここでは、設定が正常に機能しているかどうかを確認します。

    PC での検証

    1. Webブラウザを開き、http://40.40.41.101/test.htmlに移動します。テスト用ページのいずれかが表示されます。

    2.サーバー1をシャットダウンします。手順1を繰り返します。「This is server 2」と表示されるはずです

    3.サーバー1をオンラインにして、サーバー2をシャットダウンします。もう一度ステップ1を繰り返します。これで「こちらはサーバ 1 です。」が表示されるはずです。

    N7K での検証

    STLD1-630-01.05-N7K-RU21# show ip route static

IP Route Table for VRF "default"

'*' denotes best ucast next-hop

'**' denotes best mcast next-hop

'[x/y]' denotes [preference/metric]

'%<string>' in via output denotes VRF <string>

 

40.40.41.101/32, ubest/mbest: 1/0                  - - - - - - - - >RHI injected routes

    *via 20.20.21.5, Vlan201, [100/0], 03:18:00, static

 

STLD1-630-01.05-N7K-RU21# show route-map

route-map _rise-system-rmap-Vlan125, permit, sequence 1           - - -- - - - - - >Generated by NetScaler.

  Match clauses:

    ip address (access-lists): _rise-system-acl-20.20.21.5-Vlan125 

  Set clauses:

    ip next-hop 20.20.21.5 

route-map _rise-system-rmap-Vlan132, permit, sequence 1      - - -- - - - - - >Generated by NetScaler.

  Match clauses:

    ip address (access-lists): _rise-system-acl-20.20.21.5-Vlan132 

  Set clauses:

    ip next-hop 20.20.21.5 

STLD1-630-01.05-N7K-RU21# sho access-lists dynamic      - - - - - >Dynamic ACL download from NetScaler (or pushed by Netscaler)

 

IP access list __urpf_v4_acl__

        10 permit ip any any 

IPv6 access list __urpf_v6_acl__

        10 permit ipv6 any any 

IP access list _rise-system-acl-20.20.21.5-Vlan125

        10 permit tcp 30.30.31.33/32 eq 443 any 

        20 permit tcp 30.30.31.33/32 eq www any 

IP access list _rise-system-acl-20.20.21.5-Vlan132

        10 permit tcp 30.30.32.35/32 eq 443 any 

        20 permit tcp 30.30.32.35/32 eq www any 

IP access list sl_def_acl

        statistics per-entry 

        10 deny tcp any any eq telnet syn 

        20 deny tcp any any eq www syn 

        30 deny tcp any any eq 22 syn 

        40 permit ip any any 

STLD1-630-01.05-N7K-RU21# show run int vl 132

 

!Command: show running-config interface Vlan132

!Time: Mon Mar 27 03:44:13 2017

 

version 6.2(16)

 

interface Vlan132

  no shutdown

  ip address 30.30.32.1/24

  ip policy route-map _rise-system-rmap-Vlan132            - - - - - >APBR, this command was generated by RISE

 

STLD1-630-01.05-N7K-RU21# show run int vl 125

 

!Command: show running-config interface Vlan125

!Time: Mon Mar 27 03:44:16 2017

 

version 6.2(16)

 

interface Vlan125

  no shutdown

  ip address 30.30.31.1/24

  ip policy route-map _rise-system-rmap-Vlan125    - - - - - >APBR, this command was generated by RISE

 

STLD1-630-01.05-N7K-RU21# 

TLD1-630-01.05-N7K-RU21# show rise

Name            Slot Vdc Rise-Ip         State        Interface

                  Id  Id                                       

--------------- ---- --- --------------- ------------ ----------------

ns21            300  1   20.20.99.5      active       N/A            

 

RHI Configuration

ip              prefix len nhop ip         weight vlan vrf        slot-id

--------------- ---------- --------------- ------ ---- ---------- -------

40.40.41.101    32         20.20.21.5      100    201  default    300             - - - - > RHI

 

APBR Configuration                                                                - - - - > APBR

rs ip           rs port protocol nhop ip         rs nhop  apbr state slot-id

--------------- ------- -------- --------------- -------- ---------- -------

30.30.31.33     80      TCP      20.20.21.5      Vlan125  ADD DONE   300    

30.30.31.33     443     TCP      20.20.21.5      Vlan125  ADD DONE   300    

30.30.32.35     80      TCP      20.20.21.5      Vlan132  ADD DONE   300    

30.30.32.35     443     TCP      20.20.21.5      Vlan132  ADD DONE   300

    更新履歴

    改定 発行日 コメント
    1.0
    06-Jun-2017
    初版
    TAC Authored

    シスコ エンジニア提供

    • George He
      Cisco TAC Engineer

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています