switch(config)# epbr session access-list WEB refresh
ポリシーによって生成された ACL を更新またはリフレッシュします。
ステップ 2
end
例:
switch(config)# end
グローバル コンフィギュレーション モードを終了します。
ePBR Show コマンド
次のリストに、ePBR に関連する show コマンドを示します。
手順の概要
show epbr policypolicy-name [reverse]
show epbr statisticspolicy-name [reverse]
show tech-support epbr
show running-config epbr
show startup-config epbr
手順の詳細
コマンドまたはアクション
目的
ステップ 1
show epbr policypolicy-name [reverse]
例:
switch# show epbr policy Tenant_A-Redirect
順方向または逆方向に適用される ePBR ポリシーに関する情報を表示します。
ステップ 2
show epbr statisticspolicy-name [reverse]
例:
switch# show ePBR statistics policy pol2
ePBR ポリシー統計を表示します。
ステップ 3
show tech-support epbr
例:
switch# show tech-support epbr
ePBR のテクニカル サポート情報を表示します。
ステップ 4
show running-config epbr
例:
switch# show running-config epbr
ePBR の実行構成を表示します。
ステップ 5
show startup-config epbr
例:
switch# show startup-config epbr
ePBR のスタートアップ構成を表示します。
ePBR L3 の構成例
例:ePBR NX-OS 構成
次のトポロジは、ePBR NX-OS 構成を示しています。
例:ユースケース:順方向のみの Web トラフィックのサービスチェーンを作成する
次の構成例は、順方向のみの Web トラフィックのサービスチェーンを作成する方法を示しています。
IP access list web_traffic
10 permit tcp any any eq www
ePBR service FW1
service-end-point ip 10.1.1.2 interface Vlan10
reverse interface Vlan11
ePBR service FW2
service-end-point ip 12.1.1.2 interface Vlan12
reverse interface Vlan13
ePBR service Web_cache
service-end-point ip 16.1.1.2 interface Vlan16
reverse interface Vlan17
ePBR policy tenant_1
match ip address web-traffic
10 set service FW1
20 set service FW2
30 set service Web_cache
interface Eth1/8
ePBR ip policy tenant_1
次の例は、順方向の Web トラフィックのサービスチェーン作成の構成を確認する方法を示しています。
switch# show ePBR policy tenant_1
Policy-map : tenant_1
Match clause:
ip address (access-lists): web-traffic
Service chain:
service FW1, sequence 10, fail-action No fail-action
IP 10.1.1.2
service FW2, sequence 20, fail-action No fail-action
IP 12.1.1.2
service Web_cache, sequence 30, fail-action No fail-action
IP 16.1.1.2
Policy Interfaces:
Eth1/8
IP access list tcp_traffic
10 permit tcp any any
ePBR service TCP_Optimizer
service-interface Vlan20
service-end-point ip 20.1.1.2
service-end-point ip 20.1.1.3
service-end-point ip 20.1.1.4
ePBR policy tenant_1
match ip address tcp_traffic
10 set service TCP_Optimizer
interface Eth1/8
ePBR ip policy tenant_1
switch# show ePBR policy tenant_1
Policy-map : tenant_1
Match clause:
ip address (access-lists): tcp_traffic
Service chain:
service TCP_Optimizer, sequence 10, fail-action No fail-action
IP 20.1.1.2
IP 20.1.1.3
IP 20.1.1.4
Policy Interfaces:
Eth1/8
例:ユースケース:双方向の Web トラフィックのサービスチェーンを作成する
次の構成例は、順方向と逆方向の両方で Web トラフィックのサービスチェーンを作成する方法を示しています。
IP access list web_traffic
10 permit tcp any any eq www
ePBR service FW1
service-end-point ip 10.1.1.2 interface Vlan10
reverse ip 11.1.1.2 interface Vlan11
ePBR service FW2
service-end-point ip 12.1.1.2 interface Vlan12
reverse ip 13.1.1.2 interface Vlan13
ePBR service Web_cache
service-end-point ip 16.1.1.2 interface Vlan16
reverse ip 17.1.1.2 interface Vlan17
ePBR policy tenant_1
match ip address web-traffic
10 set service FW1
20 set service FW2
30 set service Web_cache
interface Eth1/8
ePBR ip policy tenant_1
interface Eth1/18
ePBR ip policy tenant_1 reverse
次の例は、順方向と逆方向の両方の Web トラフィックのサービスチェーン作成の構成を確認する方法を示しています。
switch# show ePBR policy tenant_1
Policy-map : tenant_1
Match clause:
ip address (access-lists): web-traffic
Service chain:
service FW1, sequence 10, fail-action No fail-action
IP 10.1.1.2
service FW2, sequence 20, fail-action No fail-action
IP 12.1.1.2
service Web_cache, sequence 30, fail-action No fail-action
IP 16.1.1.2
Policy Interfaces:
Eth1/8
switch# show ePBR policy tenant_1 reverse
Policy-map : tenant_1
Match clause:
ip address (access-lists): web-traffic
Service chain:
service Web_cache, sequence 30, fail-action No fail-action
IP 17.1.1.2
service FW2, sequence 20, fail-action No fail-action
IP 13.1.1.2
service FW1, sequence 10, fail-action No fail-action
IP 11.1.1.2
Policy Interfaces:
Eth1/18
ePBR service TCP_Optimizer
service-interface Vlan20
service-end-point ip 20.1.1.2
reverse ip 20.1.1.22
service-end-point ip 20.1.1.3
reverse ip 20.1.1.23
service-end-point ip 20.1.1.4
reverse ip 20.1.1.24
ePBR policy tenant_1
match ip address tcp_traffic
10 set service TCP_Optimizer
interface Eth1/8
ePBR ip policy tenant_1
interface Eth1/18
ePBR ip policy tenant_1 reverse
switch# show ePBR policy tenant_1
Policy-map : tenant_1
Match clause:
ip address (access-lists): tcp_traffic
Service chain:
service TCP_Optimizer, sequence 10, fail-action No fail-action
IP 20.1.1.2
IP 20.1.1.3
IP 20.1.1.4
Policy Interfaces:
Eth1/8
switch# show ePBR policy tenant_1 reverse
Policy-map : tenant_1
Match clause:
ip address (access-lists): tcp_traffic
Service chain:
service TCP_Optimizer, sequence 10, fail-action No fail-action
IP 20.1.1.22
IP 20.1.1.23
IP 20.1.1.24
Policy Interfaces:
Eth1/18
例:VXLAN ファブリックを使用した ePBR ポリシーの作成
次の例/トポロジは、VXLAN ファブリック上で ePBR を構成する方法を示しています。
ip access-list acl1
10 permit ip 30.1.1.0/25 40.1.1.0/25
20 permit ip 30.1.1.128/25 40.1.1.128/25
ip access-list acl2
10 permit ip 130.1.1.0/25 140.1.1.0/25
20 permit ip 130.1.1.128/25 140.1.1.128/25
epbr service s1
vrf vrf1
service-end-point ip 10.1.1.2 interface Vlan10
probe icmp frequency 4 retry-down-count 1 retry-up-count 1 timeout 2 source-interface loopback9
reverse ip 50.1.1.2 interface Vlan50
probe icmp frequency 4 retry-down-count 1 retry-up-count 1 timeout 2 source-interface loopback10
epbr service s2
vrf vrf1
service-end-point ip 41.1.1.2 interface Vlan410
probe icmp source-interface loopback9
reverse ip 45.1.1.2 interface Vlan450
probe icmp source-interface loopback10
epbr service s3
vrf vrf1
service-end-point ip 31.1.1.2 interface Vlan310
probe http get index.html source-interface loopback9
reverse ip 35.1.1.2 interface Vlan350
probe http get index.html source-interface loopback10
epbr service s4
service-interface Vlan120
vrf vrf1
probe udp 6900 control enable source-interface loopback9
service-end-point ip 120.1.1.2
reverse ip 120.1.1.2
epbr policy p1
statistics
match ip address acl1
load-balance buckets 16 method src-ip
10 set service s1 fail-action drop
20 set service s2 fail-action drop
30 set service s4 fail-action bypass
match ip address acl2
load-balance buckets 8 method dst-ip
10 set service s1 fail-action drop
20 set service s3 fail-action forward
30 set service s4 fail-action bypass
interface Vlan100 - Vxlan L3vni interface to which the policy is applied on all service leafs
epbr ip policy p1
epbr ip policy p1 reverse
Apply forward policy on ingress interface in border leaf where traffic coming in needs to be service-chained:
interface Vlan30 - Traffic matching acl1
epbr ip policy p1
int vlan 130 - Traffic matching acl2
epbr ip policy p1
Apply the reverse policy On leaf connected to server if reverse traffic flow needs to be enabled:
int vlan 130 - Traffic matching reverse flow for acl1
epbr ip policy p1 rev
int vlan 140 - Traffic matching reverse flow for acl1
epbr ip policy p1 rev
例:ePBR サービスの構成
次の例は、ePBR サービスを構成する方法を示します。
epbr service FIREWALL
probe icmp
vrf TENANT_A
service-endpoint ip 172.16.1.200 interface VLAN100
reverse ip 172.16.2.200 interface VLAN101
service-endpoint ip 172.16.1.201 interface VLAN100
reverse ip 172.16.2.201 interface VLAN101
epbr service TCP_Optimizer
probe icmp
vrf TENANT_A
service-endpoint ip 172.16.20.200 interface VLAN200
reverse ip 172.16.30.200 interface VLAN201
例:ePBR ポリシーの構成
次の例は、ePBR ポリシーを構成する方法を示します。
epbr service FIREWALL
probe icmp
service-end-point ip 1.1.1.1 interface Ethernet1/1
reverse ip 1.1.1.2 interface Ethernet1/2
epbr service TCP_Optimizer
probe icmp
service-end-point ip 1.1.1.1 interface Ethernet1/3
reverse ip 1.1.1.4 interface Ethernet1/4
epbr policy Tenant_A-Redirect
match ip address WEB
load-balance method src-ip
10 set service FIREWALL fail-action drop
20 set service TCP_Optimizer fail-action bypass
match ip address APP
10 set service FIREWALL fail-action drop
match ip address exclude_acl exclude
match ip address drop_acl drop
次の例は、fail-action drop 情報を含む show ePBR Policy コマンドの出力を示しています。
switch(config-if)# show epbr policy Tenant_A-Redirect
Policy-map : Tenant_A-Redirect
Match clause:
ip address (access-lists): WEB
action:Redirect
service FIREWALL, sequence 10, fail-action Drop
IP 1.1.1.1 track 1 [INACTIVE]
service TCP_Optimizer, sequence 20, fail-action Bypass
IP 1.1.1.1 track 2 [INACTIVE]
Match clause:
ip address (access-lists): APP
action:Redirect
service FIREWALL, sequence 10, fail-action Drop
IP 1.1.1.1 track 1 [INACTIVE]
Match clause:
ip address (access-lists): exclude_acl
action:Deny
Match clause:
ip address (access-lists): drop_acl
action:Drop
Policy Interfaces:
Eth1/4
例:インターフェイスと ePBR ポリシーの関連付け
次の例は、ePBR ポリシーを構成する方法を示します。
interface vlan 2010
epbr ip policy Tenant_A-Redirect
interface vlan 2011
epbr ip policy Tenant_A-Redirect reverse
例:順方向に適用される ePBR ポリシー
次の例は、順方向に適用されるポリシーのサンプル出力を示しています。
show epbr policy Tenant_A-Redirect
policy-map Tenant_A-Redirect
Match clause:
ip address (access-lists): WEB
Service chain:
service FIREWALL , sequence 10 , fail-action drop
ip 172.16.1.200 track 10 [ UP ]
ip 172.16.1.201 track 11 [ DOWN ]
service TCP_Optimizer, sequence 20 , fail-action bypass
ip 172.16.20.200 track 12 [ UP] ]
Match clause:
ip address (access-lists): APP
Service chain:
service FIREWALL , sequence 10 , fail-action drop
ip 172.16.1.200 track 10 [ UP ]
ip 172.16.1.201 track 11 [ DOWN ]
Policy Interfaces:
Vlan 2010
例:reverse 方向に適用される ePBR ポリシー
次の例は、reverse 方向に適用されるポリシーのサンプル出力を示しています。
show epbr policy Tenant_A-Redirect reverse
policy-map Tenant_A-Redirect
Match clause:
ip address (access-lists): WEB
Service chain:
service TCP_Optimizer, sequence 20 , fail-action bypass
ip 172.16.30.200 track 15 [ UP] ]
service FIREWALL , sequence 10 , fail-action drop
ip 172.16.2.200 track 13 [ UP ]
ip 172.16.2.201 track 14 [ DOWN ]
Match clause:
ip address (access-lists): APP
Service chain:
service FIREWALL , sequence 10 , fail-action drop
ip 172.16.2.200 track 13 [ UP ]
ip 172.16.2.201 track 14 [ DOWN ]
Policy Interfaces:
Vlan 2011
例:ユーザ定義トラック
次の例は、各エンド ポイントにトラック ID を割り当てる方法を示しています。
epbr service FIREWALL
probe icmp
service-end-point ip 1.1.1.2 interface Ethernet1/21
probe track 30
reverse ip 1.1.1.3 interface Ethernet1/22
probe track 40
service-end-point ip 1.1.1.4 interface Ethernet1/23
reverse ip 1.1.1.5 interface Ethernet1/24
例:ePBR セッションを使用した ePBR サービスの変更
次の例は、ePBR サービスの IP を置き換え、別のサービス エンド ポイントを追加する方法を示しています。
switch(config)#epbr session
switch(config-epbr-sess)#epbr service TCP_OPTIMIZER
switch(config-epbr-sess-svc)# no service-end-point ip 172.16.20.200 interface VLAN200
switch(config-epbr-sess-svc)#service-end-point ip 172.16.25.200 interface VLAN200
switch(config-epbr-sess-svc-ep)# reverse ip 172.16.30.200 interface VLAN201
switch(config-epbr-sess)#commit
例:EPBR セッションを使用した ePBR ポリシーの変更
次の例は、ePBR ポリシーの IP を置き換え、変更されたポリシー トラフィックのサービスチェーンを追加する方法を示しています。
switch(config)#epbr session
switch(config-epbr-sess)#epbr policy Tenant_A-Redirect
switch(config-epbr-sess-pol)# no match ip address WEB
switch(config-epbr-sess-pol)#match ip address WEB
switch(config-epbr-sess-pol-match)# 10 set service Web-FW fail-action drop load-balance method src-ip
switch(config-epbr-sess-pol-match)# 20 set service TCP_Optimizer fail-action bypass
switch(config-epbr-sess-pol)#match ip address HR
switch(config-epbr-sess-pol-match)# 10 set service Web-FW
switch(config-epbr-sess-pol-match)# 20 set service TCP_Optimizer
switch(config-epbr-sess)#commit
例:ePBR 統計ポリシーの表示
次の例は、ePBR 統計ポリシーを表示する方法を示しています。
switch# show epbr statistics policy pol2
Policy-map pol2, match testv6acl
Bucket count: 2
traffic match : epbr_pol2_1_fwd_bucket_1
two : 0
traffic match : epbr_pol2_1_fwd_bucket_2
two : 0
その他の参考資料
ePBR の構成の詳細については、次の各セクションを参照してください。
関連資料
関連項目
マニュアル タイトル
IP SLA パケットの CoPP の構成
Cisco Nexus 9000 シリーズ NX-OS IP SLA 構成ガイド、リリース 9.3(x)
ePBR ライセンス
『Cisco NX-OS Licensing Guide』
ePBR スケール値
『Cisco Nexus 9000 Series NX-OS Verified Scalability Guide』