Nexus 9000：ITD の設定例と検証

概要

このドキュメントでは、Nexus 9000プラットフォームでのIntelligent Traffic Director(ITD)の設定と検証について説明します。

前提条件

要件

次の項目に関する知識があることが推奨されます。

• Nexus 9000

• ITD

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

• N9K-C 9372PX
• 7.0(3)I2(2a)
• ネットワークサービスライセンス
• 7.0(3)I1(2)以降
• Cisco Nexus 9372PX、9372TX、9396PX、9396TX、93120TX、および93128TXスイッチ
• Cisco Nexus X9464PX、X9464TX、X9564PX、およびX9564TXラインカードを搭載したCisco Nexus 9500シリーズスイッチ

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期（デフォルト）設定の状態から起動しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

設定

ネットワーク図

次のトポロジについて考えます。VLAN 39のホストからwww.google.com宛てのトラフィックは通常、Nexus 9000に入り、VLAN 800のルーティングテーブルのネクストホップに転送されます。ただし、VLAN 39で着信したトラフィックをインターネットサービスプロバイダーに転送する前に(ISP)。 この導入モデルは、一般にワンアーム導入モードと呼ばれます。

F340.10.26-N9K-C9372PX-1# sh running-config services

!Command: show running-config services
!Time: Sat Feb  6 23:50:09 2016

version 7.0(3)I2(2a)
feature itd


itd device-group ITD_DEVICE_GROUP
  node ip 40.40.40.2


itd ITD_SERVICE
  device-group ITD_DEVICE_GROUP
  ingress interface Vlan39
  no shut

設定の警告

• ITD機能を有効にすると、「NETWORK_SERVICES_PKG」に関するエラーメッセージが表示されます。このエラーメッセージは、デバイスがリロードされるまで使用されていないことを示します。これは、N9Kプラットフォームに基づく優遇ライセンスによるものです。
• ITDサービスの下で除外アクセスリストを呼び出す場合は、このアクセスリストのすべてのトラフィックをリダイレクションから除外するように定義します。このアクセスリストを呼び出さないと、入力インターフェイス上のスイッチに着信するすべてのトラフィックがリダイレクトされます。
• サーバロードバランシングモードで展開する場合、仮想IPアドレスはITDサービスで定義する必要があり、仮想IPアドレスを宛先とするトラフィックだけがリダイレクトの対象になります。
• Nexus 9000は、ITD機能内でネットワークアドレス変換/ポートアドレス変換(NAT/PAT)をネイティブにサポートしていません。元のパケットがリダイレクトされたデバイスでリターントラフィックが表示または検査される場合は、設計内で顧客が考慮する必要があります。
• リダイレクションを実行するデバイスは、Nexus 9000に隣接するレイヤ2である必要があります。
• advertise {enable | disable}オプションは、仮想IPルートを隣接デバイスにアドバタイズするかどうかを指定します。これは、ローカルルーティングテーブルにスタティックルートを挿入することによって行われます。ローカルルーティングテーブルは、ルーティングプロトコルに配布できます。
• ITDサービスの設定を変更する前に、まずサービスを管理する必要があります。 これにより、フェールオープンシナリオが発生し、サービスに影響を与えることはありません。

確認

ここでは、設定が正常に機能しているかどうかを確認します。

F340.10.26-N9K-C9372PX-1# sh itd

Name           Probe LB Scheme  Status   Buckets
-------------- ----- ---------- -------- -------
ITD_SERVICE    N/A   src-ip     ACTIVE   1

Device Group                                         VRF-Name
-------------------------------------------------- -------------
ITD_DEVICE_GROUP

Pool                           Interface    Status Track_id
------------------------------ ------------ ------ ---------
ITD_SERVICE_itd_pool           Vlan39       UP       -

  Node  IP                  Config-State Weight Status     Track_id  Sla_id
  ------------------------- ------------ ------ ---------- --------- ---------
  1     40.40.40.2          Active       1      OK           None      None

        Bucket List
        -----------------------------------------------------------------------
        ITD_SERVICE_itd_bucket_1

• この出力は、ITDサービスに関して設定されているパラメータと、それがアクティブであるかどうかを簡単に確認するのに役立ちます。

注：ITD構成の確認を参照してください。このコマンドを使用してITD統計情報を表示する前に、itd statistics service_itd-nameコマンドを使用してITD統計情報を有効にする必要があります。

F340.10.26-N9K-C9372PX-1# sh itd all statistics

Service                        Device Group
-----------------------------------------------------------
ITD_SERVICE                        ITD_DEVICE_GROUP
    0%

Traffic Bucket                                   Assigned to                    Mode                Original Node                   #Packets
---------------                                  --------------                 -----               --------------                  ---------
ITD_SERVICE_itd_bucket_1                         40.40.40.2                     Redirect            40.40.40.2                      1215022221(100.00%)

• このコマンドは、トラフィックがITDポリシーに従ってリダイレクトされているかどうかを判別するのに役立ちます。このコマンドで出力を表示するには、まず統計情報を監視するサービスのITD統計情報<ITD_SERVICE_NAME>を有効にする必要があります。

注：このCLIでは、ITDサービスでアクセス制御リスト(ACL)が使用されている場合の出力は提供されません。ACLを使用すると、システム生成ルートマップでpbr-statisticsを有効にできます。

F340.10.26-N9K-C9372PX-1# sh run int vlan 39

!Command: show running-config interface Vlan39
!Time: Thu Feb 18 02:22:12 2016

version 7.0(3)I2(2a)

interface Vlan39
  no shutdown
  ip address 39.39.39.39/24
  ip policy route-map ITD_SERVICE_itd_pool
  

F340.10.26-N9K-C9372PX-1# sh route-map ITD_SERVICE_itd_pool
route-map ITD_SERVICE_itd_pool, permit, sequence 10
Description: auto generated route-map for ITD service ITD_SERVICE
  Match clauses:
    ip address (access-lists): ITD_SERVICE_itd_bucket_1
  Set clauses:
    ip next-hop 40.40.40.2
	
	
F340.10.26-N9K-C9372PX-1# sh ip access-lists ITD_SERVICE_itd_bucket_1

IP access list ITD_SERVICE_itd_bucket_1
        10 permit ip 1.1.1.0 255.255.255.255 any

• これらの3つのコマンドは、ITDサービスによって作成された自動設定が正しく適用されたかどうか、およびリダイレクションが正しく設定されているかどうかを判別するのに役立ちます。

トラブルシュート

ここでは、設定のトラブルシューティングに使用できる情報を示します。

F340.10.26-N9K-C9372PX-1# sh tech-support services detail | i "`show "
`show feature | grep itd`
`show itd`
`show itd brief`
`show itd statistics`
`show itd statistics brief`
`show running-config services`
`show route-map`
`show module`
`show system internal iscm event-history debugs`
`show system internal iscm event-history debugs detail`
`show system internal iscm event-history events`
`show system internal iscm event-history errors`
`show system internal iscm event-history packets`
`show system internal iscm event-history msgs`
`show system internal iscm event-history all`
`show port-channel summary`
`show interface brief`
`show accounting log`

• ITD設定の特定の側面に障害が発生した場合や、システム上のITDコンポーネントに何らかの問題があると考えられる場合は、show tech services detailを収集して、詳細な調査を支援することをお勧めします。このshow techに含まれるコマンドは、前述のようにリストされています。