Exemplo de integração do Cisco Nexus RISE e do Netscaler

Introduction

Este documento descreve a integração do Cisco Nexus 7000 RISE com o Citrix NetScaler.

O Cisco® Remote Integrated Services Engine (RISE) é uma solução inovadora que permite que qualquer dispositivo de serviço Citrix NetScaler, físico ou virtual, apareça como uma placa de linha virtual nos switches Cisco Nexus® 7000 Series. O Cisco RISE estabelece um caminho de comunicação entre o plano de dados da rede e o dispositivo de serviço. Essa integração rígida simplifica a implantação do serviço e otimiza os caminhos de dados do aplicativo, resultando em maior eficiência operacional no data center.

Os principais benefícios do Cisco RISE incluem:

Disponibilidade aprimorada do dispositivo ●: O Cisco RISE permite o gerenciamento eficiente do dispositivo de serviço obtendo atualizações de rota em tempo real do dispositivo de serviço, reduzindo assim a probabilidade de rotas perdidas para o tráfego de aplicativos. Aproveitando o plano de controle estendido, o Cisco RISE pode fornecer convergência e recuperação mais rápidas de falhas de serviço nos níveis de aplicativos e dispositivos. O Cisco RISE também melhora a experiência do dia 0 por meio da descoberta automática e inicialização, reduzindo a necessidade de envolvimento do administrador.

Otimização do caminho de dados ●: Os administradores podem usar uma ampla variedade de recursos do Cisco RISE para automatizar e otimizar a disponibilização de serviços de rede em um data center dinâmico. Em ADCs (Application Delivery Controllers, Controladores de fornecimento de aplicativos), o roteamento automatizado baseado em políticas (APBR) permite que o dispositivo obtenha os parâmetros do switch Cisco Nexus de que precisa para implementar automaticamente as rotas. Essas rotas são aprendidas dinamicamente sempre que novos aplicativos são provisionados. O APBR elimina a necessidade dos administradores configurarem manualmente rotas baseadas em políticas para redirecionar o tráfego de resposta do servidor para o ADC enquanto preserva o endereço IP de origem do cliente.

● O Cisco RISE também permite a integração do plano de controle com dispositivos da plataforma Cisco Prime™ Network Analysis Module (NAM) 2300, simplificando a experiência operacional dos administradores de rede. Integrado aos switches Cisco Nexus 7000 Series, o Cisco Prime NAM oferece visibilidade de aplicativos, análise de desempenho e inteligência de rede mais profunda. Essa visibilidade permite que o administrador gerencie com eficiência o fornecimento de aplicativos distribuídos. A integração do Cisco RISE evoluirá para ampliar a visibilidade de forma transparente em vários contextos de dispositivos virtuais (VDCs) no switch, melhorando ainda mais a agilidade e a simplicidade da operação. Escalabilidade e flexibilidade: O Cisco RISE pode ser implantado em switches Cisco Nexus 7000 Series e permite que os dispositivos de serviço sejam executados em VDCs, permitindo assim que instâncias de serviço independentes sejam implantadas de várias maneiras, como um para muitos, muitos para um e uma infinita variedade de configurações de muitos para muitos para suportar qualquer cenário de multilocação.

● Maior agilidade comercial: O Cisco RISE pode se adaptar às crescentes demandas do data center e dos clientes provisionando recursos em tempo real. O Cisco RISE também reduz o tempo necessário para implementar novos serviços, eliminando a necessidade de reprojetar a rede e responde dinamicamente às mudanças nas exigências dos clientes.

Requirements

Compreensão básica do NXOS e do RISE

Compreensão básica do NetScaler. 

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• Software Nexus 7010 NXOS 6.2(16)
• Citrix NetScaler NSMPX-11500. Versão de software: NS11.1: Build 50.10.nc

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Topologia

Overview

No laboratório, temos os seguintes dispositivos:

1. Dois servidores executando o Windows 2008 R2: IIS como servidor Web. Cada servidor tem uma página da Web de teste
2. Switch Nexus 7000: O serviço RISE em execução nesse switch redireciona o tráfego HTTP para o NetScaler
3. Citrix NetScaler: realiza o balanceamento de carga de tráfego
4. PC de teste de gerenciamento

Neste laboratório, o NetScaler tem o USIP habilitado para oferecer os seguintes benefícios:

- Os registros do servidor Web podem usar um endereço IP verdadeiro para aumentar o rastreamento
- O servidor Web tem a flexibilidade de usar endereços IP reais para controlar quem pode acessar o que
- O aplicativo da Web exige IP do cliente para suas próprias finalidades de registro
- Aplicativo Web requer IP de cliente para autenticação

Sem o USIP, todo o endereço IP origem da solicitação HTTP apareceria do NetScaler.

Com o USIP ativado, o fluxo de tráfego é como abaixo:

1. No PC, abra o navegador da Web e vá para http://40.40.41.101/test.html.
2. A solicitação HTTP acessará o Nexus 7000. O N7K redirecionará o tráfego para o NetScaler.
3. O NetScaler envia a solicitação para um dos servidores.
4. A resposta HTTP do servidor atinge N7K, mas o endereço IP origem é o endereço real do servidor, por exemplo, o endereço IP origem pode ser 30.30.32.35 ou 30.30.31.33. Como o N7K tem o RISE configurado, ele NÃO enviará diretamente a resposta ao PC. Em vez disso, ele usa pesquisa PBR e envia a resposta HTTP para o NetScaler novamente. Isso garante que o fluxo de tráfego não seja interrompido.
5. O NetScaler altera o endereço IP origem da resposta HTTP para VIP 40.40.41.101 e envia a resposta HTTP de volta para o PC

Configurar

Configuração do Nexus 7010

feature ospf
feature pbr
feature interface-vlan
feature hsrp
feature rise


vlan 1,99,125,130,132,201
 
route-map _rise-system-rmap-Vlan125 permit 1                      !- - - - - >Generated by RISE. Manual configuration is NOT required.
  match ip address _rise-system-acl-20.20.21.5-Vlan125            !- - - - - >Generated by RISE. Manual configuration is NOT required.
  set ip next-hop 20.20.21.5                                      !- - - - - >Generated by RISE. Manual configuration is NOT required.
route-map _rise-system-rmap-Vlan132 permit 1                      !- - - - - >Generated by RISE. Manual configuration is NOT required.
  match ip address _rise-system-acl-20.20.21.5-Vlan132            !- - - - - >Generated by RISE. Manual configuration is NOT required.
  set ip next-hop 20.20.21.5                                      !- - - - - >Generated by RISE. Manual configuration is NOT required.

interface Vlan99

  description RISE control VLAN SVI
  no shutdown
  mtu 9216
  no ip redirects
  ip address 20.20.99.2/24
  no ipv6 redirects
  ip ospf passive-interface
  hsrp version 2
  hsrp 99
    preempt
    priority 110
    ip 20.20.99.1
 
interface Vlan125

  description RISE server 1 VLAN SVI
  no shutdown
  ip address 30.30.31.1/24
  ip policy route-map _rise-system-rmap-Vlan125              !- - - - - >Generated by RISE. Manual configuration is NOT required.
 
interface Vlan130

  description RISE testing PC VLAN SVI
  no shutdown
  ip address 100.100.100.1/24
 
interface Vlan132

  description RISE server 2 VLAN SVI
  no shutdown
  ip address 30.30.32.1/24
  ip policy route-map _rise-system-rmap-Vlan132           !- - - - - >Generated by RISE. Manual configuration is NOT required.
 
interface Vlan201

  description RISE Data VLAN SVI
  no shutdown
  mtu 9216
  no ip redirects
  ip address 20.20.21.2/24
  no ipv6 redirects
  ip ospf passive-interface
  hsrp version 2
  hsrp 201
    preempt
    priority 110
    ip 20.20.21.1
 
interface Ethernet9/1
  description connect to Testing PC
  switchport
  switchport access vlan 130
  no shutdown
 
interface Ethernet9/2
  description connect to Server 1
  switchport
  switchport access vlan 125
  no shutdown
 
interface Ethernet9/3
  description connect to Server 2
  switchport
  switchport access vlan 132
  no shutdown
 
interface Ethernet10/1
  description connect to NetScaler
  switchport
  switchport mode trunk
  switchport trunk allowed vlan 99,201
  spanning-tree port type edge
  no shutdown
 
service vlan-group 21 201
service type rise name ns21 mode indirect
  vlan 99
  vlan group 21
  ip 20.20.99.5 255.255.255.0
  no shutdown

configuração do NetScaler 

#Configure NSIP, this is also the IP used by N7K for RISE

set ns config -IPAddress 20.20.99.5 -netmask 255.255.255.0

 

#Configure NSVLAN 99 and bind it to LACP channel LA/1

set ns config -nsvlan 99 -ifnum LA/1

 

# Enable RISE

enable ns feature WL SP LB CS CMP PQ SSL HDOSP REWRITE RISE
enable ns mode FR L3 USIP CKA TCPB Edge USNIP PMTUD RISE_APBR RISE_RHI

 

#Configure interfaces

set interface 10/1 -mtu 9000 -throughput 0 -bandwidthHigh 0 -bandwidthNormal 0 -intftype "Intel 10G" -ifnum LA/1

add channel LA/1 -tagall ON -throughput 0 -bandwidthHigh 0 -bandwidthNormal 0
set channel LA/1 -mtu 9000 -tagall ON -throughput 0 -lrMinThroughput 0 -bandwidthHigh 0 -bandwidthNormal 0
bind channel LA/1 10/1

 

#Add RISE control and data VLANs

add vlan 99
add vlan 201

 

 

#Configure RISE data VLAN IP address and bind interface to data VLAN

add ns ip 10.66.91.170 255.255.254.0 -vServer DISABLED -mgmtAccess ENABLED   #This is for management only
add ns ip 20.20.21.5 255.255.255.0 -vServer DISABLED 

bind vlan 201 -ifnum LA/1 -tagged                #Need to be tagged because N7K E10/1 is configured as trunk port.
bind vlan 201 -IPAddress 20.20.21.5 255.255.255.0

 

# Configure Virtual Servers.

add ns ip 40.40.41.101 255.255.255.0 -type VIP -snmp DISABLED -hostRoute ENABLED -hostRtGw 20.20.21.5 -metric 100 -vserverRHILevel NONE -vserverRHIMode RISE

add server SERV-2 30.30.32.35
add server SERV-1 30.30.31.33

add service SVC-1-tcpHTTP SERV-1 TCP 80 -gslb NONE -maxClient 0 -maxReq 0 -cip DISABLED -usip YES -useproxyport YES -sp OFF -cltTimeout 180 -svrTimeout 360 -CKA YES -TCPB NO -CMP NO
add service SVC-2-tcpHTTP SERV-2 TCP 80 -gslb NONE -maxClient 0 -maxReq 0 -cip DISABLED -usip YES -useproxyport YES -sp OFF -cltTimeout 180 -svrTimeout 360 -CKA YES -TCPB NO -CMP NO

add lb vserver VSRV-40-tcpHTTP TCP 40.40.41.101 80 -persistenceType NONE -connfailover STATEFUL -cltTimeout 180
add lb vserver VSRV-40-tcpHTTPS TCP 40.40.41.101 443 -persistenceType NONE -connfailover STATEFUL -cltTimeout 180

bind lb vserver VSRV-40-tcpHTTP SVC-1-tcpHTTP
bind lb vserver VSRV-40-tcpHTTP SVC-2-tcpHTTP

 

#Configure route
add route 0.0.0.0 0.0.0.0 20.20.21.1
add route 10.0.0.0 255.0.0.0 10.66.91.1                                   # - - - - > For management only
add route 30.30.31.0 255.255.255.0 20.20.21.1                  
add route 30.30.32.0 255.255.255.0 20.20.21.1

 

#configure RISE to run in indirect mode

set rise param -indirectMode ENABLED

 

#Save config and reboot

save ns config

reboot
Are you sure you want to restart NetScaler (Y/N)? [N]:y

Servidor

Este exemplo usa o Microsoft Windows 2008 R2 IIS como servidor Web. Siga a documentação do Windows sobre como configurar o IIS.

Quando o IIS estiver instalado, você poderá acessar o VIP do servidor Web diretamente sem criar uma página da Web adicional. Nesta documentação, para demonstrar failover, criamos uma página de teste "test.html" em cada servidor sob o diretório inicial do IIS (por padrão, c:\inetpub\wwwroot). O conteúdo da página de teste é o seguinte:

Conteúdo da página de teste do Servidor 1: "Este é o servidor 1"

Conteúdo da página de teste do Servidor 2: "Este é o servidor 2"

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

Verificar no PC

1. Abra o navegador da Web e vá para http://40.40.41.101/test.html. Deve exibir uma das páginas de teste.

2. Desligar o servidor 1.  Repita a etapa 1.  Ele deve exibir "Este é o servidor 2"

3. Coloque o Servidor 1 on-line e desligue o servidor 2. Repita a etapa 1 novamente. Ele deve exibir "Este é o servidor 1"

Verificar no N7K

STLD1-630-01.05-N7K-RU21# show ip route static

IP Route Table for VRF "default"

'*' denotes best ucast next-hop

'**' denotes best mcast next-hop

'[x/y]' denotes [preference/metric]

'%<string>' in via output denotes VRF <string>

 

40.40.41.101/32, ubest/mbest: 1/0                  - - - - - - - - >RHI injected routes

    *via 20.20.21.5, Vlan201, [100/0], 03:18:00, static

 

STLD1-630-01.05-N7K-RU21# show route-map

route-map _rise-system-rmap-Vlan125, permit, sequence 1           - - -- - - - - - >Generated by NetScaler.

  Match clauses:

    ip address (access-lists): _rise-system-acl-20.20.21.5-Vlan125 

  Set clauses:

    ip next-hop 20.20.21.5 

route-map _rise-system-rmap-Vlan132, permit, sequence 1      - - -- - - - - - >Generated by NetScaler.

  Match clauses:

    ip address (access-lists): _rise-system-acl-20.20.21.5-Vlan132 

  Set clauses:

    ip next-hop 20.20.21.5 

STLD1-630-01.05-N7K-RU21# sho access-lists dynamic      - - - - - >Dynamic ACL download from NetScaler (or pushed by Netscaler)

 

IP access list __urpf_v4_acl__

        10 permit ip any any 

IPv6 access list __urpf_v6_acl__

        10 permit ipv6 any any 

IP access list _rise-system-acl-20.20.21.5-Vlan125

        10 permit tcp 30.30.31.33/32 eq 443 any 

        20 permit tcp 30.30.31.33/32 eq www any 

IP access list _rise-system-acl-20.20.21.5-Vlan132

        10 permit tcp 30.30.32.35/32 eq 443 any 

        20 permit tcp 30.30.32.35/32 eq www any 

IP access list sl_def_acl

        statistics per-entry 

        10 deny tcp any any eq telnet syn 

        20 deny tcp any any eq www syn 

        30 deny tcp any any eq 22 syn 

        40 permit ip any any 

STLD1-630-01.05-N7K-RU21# show run int vl 132

 

!Command: show running-config interface Vlan132

!Time: Mon Mar 27 03:44:13 2017

 

version 6.2(16)

 

interface Vlan132

  no shutdown

  ip address 30.30.32.1/24

  ip policy route-map _rise-system-rmap-Vlan132            - - - - - >APBR, this command was generated by RISE

 

STLD1-630-01.05-N7K-RU21# show run int vl 125

 

!Command: show running-config interface Vlan125

!Time: Mon Mar 27 03:44:16 2017

 

version 6.2(16)

 

interface Vlan125

  no shutdown

  ip address 30.30.31.1/24

  ip policy route-map _rise-system-rmap-Vlan125    - - - - - >APBR, this command was generated by RISE

 

STLD1-630-01.05-N7K-RU21# 

TLD1-630-01.05-N7K-RU21# show rise

Name            Slot Vdc Rise-Ip         State        Interface

                  Id  Id                                       

--------------- ---- --- --------------- ------------ ----------------

ns21            300  1   20.20.99.5      active       N/A            

 

RHI Configuration

ip              prefix len nhop ip         weight vlan vrf        slot-id

--------------- ---------- --------------- ------ ---- ---------- -------

40.40.41.101    32         20.20.21.5      100    201  default    300             - - - - > RHI

 

APBR Configuration                                                                - - - - > APBR

rs ip           rs port protocol nhop ip         rs nhop  apbr state slot-id

--------------- ------- -------- --------------- -------- ---------- -------

30.30.31.33     80      TCP      20.20.21.5      Vlan125  ADD DONE   300    

30.30.31.33     443     TCP      20.20.21.5      Vlan125  ADD DONE   300    

30.30.32.35     80      TCP      20.20.21.5      Vlan132  ADD DONE   300    

30.30.32.35     443     TCP      20.20.21.5      Vlan132  ADD DONE   300