Nexus 9000: Exemplo de configuração e verificação de ITD

Introduction

Este documento descreve a configuração e validação do Intelligent Traffic Diretor (ITD) na plataforma Nexus 9000.

Prerequisites

Requirements

A Cisco recomenda que você tenha conhecimento destes tópicos:

• Nexus 9000

• ITD

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• N9K-C 9372PX
• 7.0(3)I2(2a)
• Licença de serviços de rede
• 7.0(3)I1(2) ou posterior
• Switches Cisco Nexus 9372PX, 9372TX, 9396PX, 9396TX, 93120TX e 93128TX
• Switches Cisco Nexus 9500 Series com placas de linha Cisco Nexus X9464PX, X9464TX, X9564PX e X9564TX

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Configurar

Diagrama de Rede

Considere esta topologia. O tráfego que vem do host na vlan 39 destinado a www.google.com normalmente ingressaria no Nexus 9000 e seria encaminhado para o Next Hop na tabela de roteamento na vlan 800. No entanto, o cliente deseja ser capaz de redirecionar esse tráfego que entra na vlan 39 para o dispositivo Web Proxy (40.40.40.2) antes de ser encaminhado para o provedor de serviços de Internet (ISP). Esse modelo de implantação é mais comumente chamado de Modo de implantação de um braço.

F340.10.26-N9K-C9372PX-1# sh running-config services

!Command: show running-config services
!Time: Sat Feb  6 23:50:09 2016

version 7.0(3)I2(2a)
feature itd


itd device-group ITD_DEVICE_GROUP
  node ip 40.40.40.2


itd ITD_SERVICE
  device-group ITD_DEVICE_GROUP
  ingress interface Vlan39
  no shut

Avisos de configuração

• Quando você habilita o recurso ITD, uma mensagem de erro é relatada com relação ao "NETWORK_SERVICES_PKG", que mostra não utilizado até que o dispositivo seja recarregado. Isso se deve ao licenciamento honrado na plataforma N9K.
• Ao chamar uma lista de acesso de exclusão no serviço ITD, você define todo o tráfego nessa lista de acesso que deseja excluir do redirecionamento. Sem chamar essa lista de acesso, todo o tráfego que entra no switch na interface de entrada é redirecionado.
• Quando você implanta no modo de balanceamento de carga do servidor, o endereço IP virtual deve ser definido no serviço ITD, somente então o tráfego destinado ao endereço IP virtual está sujeito a redirecionamento.
• O Nexus 9000 não suporta Network Address Translation/Port Address Translation (NAT/PAT) nativamente na funcionalidade ITD. Se o tráfego de retorno deve ser visto/inspecionado pelo dispositivo para o qual os pacotes originais foram redirecionados, isso precisa ser levado em conta pelo cliente em seu projeto.
• O dispositivo para o qual você executa o redirecionamento deve ser a Camada 2 adjacente ao Nexus 9000.
• O anúncio {enable A opção | disable} especifica se a rota IP virtual é anunciada aos dispositivos vizinhos. Isso é feito pela injeção de uma rota estática na tabela de roteamento local, que pode ser distribuída no protocolo de roteamento.
• Antes de qualquer alteração de configuração no serviço ITD, você deve primeiro administrar o serviço.  Isso resulta em um cenário de falha aberta e não deve causar nenhum impacto no serviço.

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

F340.10.26-N9K-C9372PX-1# sh itd

Name           Probe LB Scheme  Status   Buckets
-------------- ----- ---------- -------- -------
ITD_SERVICE    N/A   src-ip     ACTIVE   1

Device Group                                         VRF-Name
-------------------------------------------------- -------------
ITD_DEVICE_GROUP

Pool                           Interface    Status Track_id
------------------------------ ------------ ------ ---------
ITD_SERVICE_itd_pool           Vlan39       UP       -

  Node  IP                  Config-State Weight Status     Track_id  Sla_id
  ------------------------- ------------ ------ ---------- --------- ---------
  1     40.40.40.2          Active       1      OK           None      None

        Bucket List
        -----------------------------------------------------------------------
        ITD_SERVICE_itd_bucket_1

• Essa saída é útil para executar uma verificação rápida de quais parâmetros em torno do serviço ITD foram configurados e se ele está ou não ativo.

Note: Consulte Verificando a configuração do ITD: Antes de poder usar esse comando para exibir estatísticas do ITD, você deve habilitar as estatísticas do ITD usando o comando itd statistics service_itd-name.

F340.10.26-N9K-C9372PX-1# sh itd all statistics

Service                        Device Group
-----------------------------------------------------------
ITD_SERVICE                        ITD_DEVICE_GROUP
    0%

Traffic Bucket                                   Assigned to                    Mode                Original Node                   #Packets
---------------                                  --------------                 -----               --------------                  ---------
ITD_SERVICE_itd_bucket_1                         40.40.40.2                     Redirect            40.40.40.2                      1215022221(100.00%)

• Esse comando é útil para determinar se o tráfego é redirecionado de acordo com a política de ITD. Para que esse comando forneça qualquer saída, você deve primeiro habilitar as estatísticas de ITD <ITD_SERVICE_NAME> para o serviço para o qual deseja monitorar as estatísticas.

Note: Esta CLI não fornece saída quando a Access Control List (ACL) é usada no serviço ITD. Quando a ACL é usada, você pode habilitar pbr-statistics no mapa de rota gerado pelo sistema.

F340.10.26-N9K-C9372PX-1# sh run int vlan 39

!Command: show running-config interface Vlan39
!Time: Thu Feb 18 02:22:12 2016

version 7.0(3)I2(2a)

interface Vlan39
  no shutdown
  ip address 39.39.39.39/24
  ip policy route-map ITD_SERVICE_itd_pool
  

F340.10.26-N9K-C9372PX-1# sh route-map ITD_SERVICE_itd_pool
route-map ITD_SERVICE_itd_pool, permit, sequence 10
Description: auto generated route-map for ITD service ITD_SERVICE
  Match clauses:
    ip address (access-lists): ITD_SERVICE_itd_bucket_1
  Set clauses:
    ip next-hop 40.40.40.2
	
	
F340.10.26-N9K-C9372PX-1# sh ip access-lists ITD_SERVICE_itd_bucket_1

IP access list ITD_SERVICE_itd_bucket_1
        10 permit ip 1.1.1.0 255.255.255.255 any

• Esses três comandos são úteis para determinar se a configuração automática criada pelo serviço ITD foi aplicada corretamente e se o redirecionamento está configurado corretamente.

Troubleshoot

Esta seção disponibiliza informações para a solução de problemas de configuração.

F340.10.26-N9K-C9372PX-1# sh tech-support services detail | i "`show "
`show feature | grep itd`
`show itd`
`show itd brief`
`show itd statistics`
`show itd statistics brief`
`show running-config services`
`show route-map`
`show module`
`show system internal iscm event-history debugs`
`show system internal iscm event-history debugs detail`
`show system internal iscm event-history events`
`show system internal iscm event-history errors`
`show system internal iscm event-history packets`
`show system internal iscm event-history msgs`
`show system internal iscm event-history all`
`show port-channel summary`
`show interface brief`
`show accounting log`

• Se houver um aspecto específico da configuração do ITD que falhe ou se acreditar que há algo de errado com o componente ITD no sistema, seria sensato coletar um detalhe do show tech services para auxiliar em investigações posteriores. Os comandos incluídos neste show tech estão listados como mencionado anteriormente.