Cisco Nexus 9000 シリーズ NX-OS ePBR 構成ガイド、リリース 10.3(x)

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ
このマニュアル内で検索
ご利用いただける言語
Download Options

Book Title

Cisco Nexus 9000 シリーズ NX-OS ePBR 構成ガイド、リリース 10.3(x)

Chapter Title

ePBR L2 の構成

検索結果

Updated:
2023年1月11日水曜日

章のタイトル: ePBR L2 の構成

ePBR L2 の構成

ePBR L2 に関する情報

Elastic Services Re-direction(ESR)の強化されたポリシーベースのリダイレクト レイヤ 2(ePBR)は、ポート ACL と VLAN 変換を利用して、レイヤ 1/レイヤ 2 サービス アプライアンスの透過的なサービス リダイレクトとサービスチェーンを提供します。このアクションは、余分なヘッダーを追加することなくサービス チェーンと負荷分散機能を実現し、余分なヘッダーを使用する際の遅延を回避するのに役立ちます。

ePBR は、アプリケーション ベースのルーティングを可能にし、アプリケーションのパフォーマンスに影響を与えることなく、柔軟でデバイスに依存しないポリシー ベースのリダイレクト ソリューションを提供します。ePBR サービス フローには、次のタスクが含まれます。

ePBR サービスとポリシーの構成

まず、サービス エンド ポイントの属性を定義する ePBR サービスを作成する必要があります。サービス エンド ポイントは、スイッチに関連付けることができるファイアウォール、IPS などのサービス アプライアンスです。また、サービス エンド ポイントの状態をモニタするプローブを定義したり、トラフィック ポリシーが適用されるフォワード インターフェイスと reverse インターフェイスを定義したりすることもできます。 ePBR は、サービスチェーンとともにロード バランシングもサポートします。 ePBR を使用すると、サービス構成の一部として複数のサービス エンド ポイントを構成できます。

ePBR サービスを作成したら、ePBR ポリシーを作成する必要があります。ePBR ポリシーを使用すると、トラフィックの選択、サービス エンド ポイントへのトラフィックのリダイレクト、およびエンド ポイントの正常性障害に関するさまざまな fail-action メカニズムを定義できます。許可アクセス コントロール エントリ(ACE)を備えた IP access-list エンド ポイントを使用して、一致する対象のトラフィックを定義し、適切なアクションを実行できます。

ePBR ポリシーは、複数の ACL 一致定義をサポートします。一致には、シーケンス番号によって順序付けできるチェーンに複数のサービスを含めることができます。これにより、単一のサービス ポリシーでチェーン内の要素を柔軟に追加、挿入、および変更できます。すべてのサービス シーケンスで、ドロップ、転送、バイパスなどの失敗時のアクション メソッドを定義できます。ePBR ポリシーを使用すると、トラフィックの詳細なロード バランシングを行うために、送信元または接続先ベースのロード バランシングとバケット数を指定できます。

ePBR の L2 インターフェイスへの適用

ePBR ポリシーを作成したら、インターフェイスにポリシーを適用する必要があります。これにより、トラフィックがスタンドアロン スイッチに入るインターフェイスと、トラフィックがリダイレクションまたはサービス チェーン後にスイッチから出る必要があるインターフェイスを定義できます。スタンドアロン スイッチに順方向と逆方向の両方でポリシーを適用することもできます。

アクセス ポートとしてのプロダクション インターフェイスの有効化

サービス チェーン スイッチがトラフィック リダイレクションのために 2 つの L3 ルーターの間に挿入されている場合、生産インターフェイスは次の制限付きでアクセス ポートとして有効になります。

  • 一致構成の一部としてポートの VLAN を使用する必要があります。

  • これは、mac-learn 無効モードに限定されます。

トランク ポートとしてのプロダクション インターフェイスの有効化

プロダクション インターフェイスはトランク ポートとして構成できます。インターフェイスによってトランクされるサービスチェーンする必要がある受信トラフィックの VLAN は、一致構成の一部として構成する必要があります。

または、一致構成で「vlan all」を使用すると、インターフェイス上の受信 VLAN に関連するすべてのトラフィックが一致し、サービスチェーンされます。

バケットの作成およびロード バランシング

ePBR は、チェーン内に最大数のサービス エンドポイントを持つサービスに基づいて、トラフィック バケットの数を計算します。ロード バランス バケットを構成すると、構成が優先されます。 ePBR は、ソース IP と宛先 IP のロード バランシング方式をサポートしていますが、L4 ベースのソースまたは宛先のロード バランシング方式はサポートしていません。

ePBR オブジェクト トラッキング、ヘルスモニタリング、および Fail-Action

レイヤ 2 ePBR は、デフォルトでサービス エンドポイントのリンク ステート モニタリングを実行します。サービスでサポートされている場合、ユーザーはさらに CTP(構成テスト支援プロトコル)を有効にすることができます。

サービス向け、または転送または reverse の各エンドポイント向けに、ePBR プローブ オプションを構成することが可能です。頻度、タイムアウト、および再試行のアップカウントとダウンカウントを構成することもできます。同じトラック オブジェクトが、同じ ePBR サービスを使用するすべてのポリシーに再利用されます。

エンドポイント レベルで定義されているプローブ メソッドがない場合、サービスレベルで構成されるプローブ メソッドを使用できます。

ePBR は、自身のサービスチェーンのシーケンスで次の fail-action メカニズムをサポートします。

  • バイパス

  • ドロップオンフェイル

  • Forward

サービス シーケンスのバイパスは、現在のシーケンスで障害が発生した場合に、トラフィックは次のサービス シーケンスにリダイレクトされる必要があることを示しています。

サービス シーケンスのドロップオンフェイルは、サービスのすべてのサービスエンドポイントが到達不能となる場合に、トラフィックはドロップされる必要があることを示しています。

転送はデフォルトのオプションであり、現在のサービスに障害が発生した場合、トラフィックは出力インターフェイスに転送する必要があることを示します。これはデフォルトの fail-action メカニズムです。


(注)  

対称性が維持されるのは、fail-action バイパスがサービスチェーン内のすべてのサービス向けに構成された場合です。その他の fail-action シナリオでは、1 つまたはそれ以上の機能不全サービスが存在する場合、転送または reverse フローでの対称性は維持されません。

ePBR セッションベースの構成

ePBR セッションでは、サービス中のサービスまたはポリシーの次の側面を追加、削除、または変更できます。サービス内とは、アクティブ インターフェイスまたはポリシーに適用されているポリシーに関連付けられたサービスを示し、アクティブ インターフェイス上で変更される、現在構成済みのサービスを示します。

  • インターフェースとプローブを備えたサービス エンドポイント

  • リバース エンドポイントとプローブ

  • ポリシーに基づく一致

  • 一致のロードバランス方法

  • 一致シーケンスと失敗アクション


(注)  

ePBR セッションでは、同じセッションでインターフェイスを 1 つのサービスから別のサービスに移動することはできません。インターフェイスをあるサービスから別のサービスに移動するには、次の手順を実行します。

  1. セッション操作を使用して、最初に既存のサービスから削除します。

  2. 2 番目のセッション操作を使用して、既存のサービスに追加します。

ACL リフレッシュ

ePBR セッション ACL の更新により、ユーザーが提供した ACL が ACE で変更または追加または削除されたときに、ポリシーによって生成された ACL を更新できます。更新トリガで、ePBR はこの変更の影響を受けるポリシーを識別し、それらのポリシーに対してバケットで生成された ACL を作成、削除、または変更します。

ePBR のスケール数については、『Cisco Nexus 9000 シリーズ NX-OS 検証済みスケーラビリティ ガイド』を参照してください。

ePBR L2 の注意事項および制約事項

ePBR には、次の注意事項と制限事項 があります。

  • fail-action がいずれかの一致ステートメントで指定されている場合、プローブは構成内に存在していることが必須です。

  • スイッチで MAC ラーニングを無効化するには、 mac-learn disable コマンドを使用します。

  • ePBR 構成内の複数の一致ステートメント全体で同じユーザー定義 ACL を共有しないでください。

  • トラフィックの対称性が維持されるのは、fail-action バイパスが ePBR サービス向けに構成されたときのみです。サービスチェーン内の転送/ドロップなどのその他の fail-action の場合、トラフィックの順方向と逆方向のフローの対称性は維持されません。

  • 機能 ePBR および機能 ITD は同じ入力インターフェイスと共存できません。

  • 拡張済み ePBR 構成では、no feature epbrコマンド を使用する前にポリシーを削除することが推奨されています。

  • VXLAN 上の ePBRv6 は、Cisco Nexus 9500 シリーズ スイッチでサポートされていません。

  • システムから削除されたポートチャネルに構成された ePBR サービスエンドポイントを削除する場合、次の手順を実行してください。

    1. 既存の ePBR ポリシーを削除します。

    2. 既存の ePBR サービスを削除します。

    3. ePBR サービス エンドポイントを必要なポートチャネルに再構成します。

  • 「epbr_」という名前で始まる、動的に作成された ePBR の access-list エントリは変更しないでください。これらの access-lists は ePBR 内部使用向けに予約済みです。


    (注)  

    これらのプレフィックス文字列を変更すると ePBR が正しく機能せず、ISSU に影響を与える可能性があります。

  • すべてのリダイレクション ルールは、ing-ifacl リージョンを使用して ACL TCAM でプログラムされます。このリージョンは、ePBR L2 ポリシーを適用する前に分割して割り当てる必要があります。


    (注)  

    TCAM リージョンの分割方法の手順については、『Cisco Nexus 9000 シリーズ NX-OS セキュリティ構成ガイド』の「IP ACL の構成」セクションを参照してください。

  • ePBR L2 では、VLAN 変換と Q-in-Q 用に VLAN 範囲を予約する必要があります。この範囲は、トラフィックの一致構成に使用される VLAN と重複しないようにすることが推奨されています。

  • ePBR の「インフラ」VLAN は、ePBR レイヤ 2 ポリシーを適用する前に予約済みにする必要があります。

  • トランク ポートとして構成された本番インターフェイスの場合、ePBR「infra vlan」範囲で指定された VLAN に対してのみ VLAN トランキングを有効にします。

  • ePBR L2 は、VLAN ヘッダーを変更または削除せずに、パケットをそのまま転送するようにサービス アプライアンスが構成されていることを想定しています。

  • ePBR L2 ポリシーは、順方向の単一のインターフェイスと逆方向の単一のインターフェイスにのみ適用できます。異なるインターフェイス ペアで同様にサービスチェーンを作成するには、ポリシーを複製する必要があります。

  • ePBR L2 ポリシーの各一致には、トランク インターフェイスに適用される場合、一意の一致 VLAN または一意の VLAN 範囲が必要です。トランク インターフェイスに適用されるポリシーには、「vlan all」との一致が 1 つだけ存在できます。

  • Cisco NX-OS リリース 10.3(1)F 以降、同じ EPBR L2 ポリシー内の複数の一致は、同じ VLAN または VLAN 範囲を共有するか、トランク インターフェイスに適用されるポリシーで「vlan all」で構成される場合があります。


    (注)  

    同じアドレス ファミリ(IPv4、ipv6、または L2)の複数の一致 ACL がポリシー内の同じ VLAN を共有する場合、構成された一致 ACL 全体の ACL フィルタが一意であり、重複していないことを確認してください。

  • 実稼働ポート ペアの場合、順方向のインターフェイスとその逆方向の reverse インターフェイスに適用されるポリシーは、一致するもので構成され、同一の match-vlan または VLAN 範囲に個別にマッピングされます。

  • 複数のサービス デバイス間のロードバランスを行い、CTP ヘルスチェックを介してこれらのデバイスの障害を一意に検出するには、各サービス デバイスを ePBR サービスの一意のエンドポイントとして定義する必要があります。

  • バケットベースのロードバランスは、ePBR ポリシーのレイヤ 2 一致ではサポートされていません。

  • ネイバー探索パケットを含む「すべての」IPv6 トラフィックをサービスチェーンまたはリダイレクトするには、プロトコル タイプが ND-NA および ND-NS である ICMPv6 エースを、ユーザ定義の一致アクセス リストで明示的に定義する必要があります。

  • 「すべての」レイヤ 2 トラフィックをサービスチェーンまたはリダイレクトするために、ARP(0x806)、VN-Tag(0x8926)、FCOE(0x8906)、MPLS ユニキャスト(0x8847)、MPLS マルチキャスト(0x8848)のプロトコルに一致する一意の ACES必要に応じて、ユーザ定義の一致アクセス リストに明示的に追加する必要があります。

  • レイヤ 2 ePBR は、レイヤ 2 制御パケットのサービスチェーンまたはリダイレクトをサポートしていません。

  • 意図しない動作を防ぐために、使用中の ePBR 実稼働インターフェイスおよび/またはサービス インターフェイスのデフォルト設定は避ける必要があります。

  • Cisco NX-OS リリース 10.3(1)F 以降、ePBR L2 は、Cisco Nexus 9300-GX プラットフォーム スイッチの L2 制御パケットのリダイレクションのみをサポートします。サービスチェーンは Cisco Nexus 9300-GX プラットフォーム スイッチではサポートされません。

次の注意事項および制約事項を一致 ACL 機能に適用します。

  • permit メソッドを持つ ACE のみが ACL でサポートされます。他の方法(deny または remark など)の ACE は無視されます。

  • 1 つの ACL で最大 256 の許可 ACE がサポートされます。

次の注意事項と制限事項が VRF 間のサービスチェーンに適用されます。

  • Cisco NX-OS リリース 10.2(3)F 以降、エンドポイントの追加、サービス シーケンスの追加、削除および変更のセッション操作中のトラフィックの中断を最小限にするために、事前にロードバランス バケットの構成を行い、ロードバランス構成への変更を回避することが推奨されています。ロードバランス向けに構成されたバケットの数が、チェーン内の各シーケンス向けのサービスで構成されたエンドポイントの数より多くなるようにしてください。

ePBR サービス、ポリシーの構成、およびインターフェイスへの関連付け

次のセクションでは、ePBR サービス、ePBR ポリシーの構成、およびインターフェイスへのポリシーの関連付けについて説明します。

手順の概要

  1. configure terminal
  2. [no] epbr infra vlans [vlan range]
  3. epbr service service-name type l2
  4. mode [full duplex | half duplex]
  5. probe {ctp} [frequency seconds] [timeout seconds] [retry-down-count count] retry-up-count count]
  6. service-endpoint [interface interface-name interface-number]
  7. reverse interface interface-name interface-number
  8. exit
  9. epbr policy policy-name
  10. match { [ip address ipv4 acl-name] | [ipv6 address ipv6 acl-name] | [l2 address l2 acl-name]} {drop | exclude | redirect | vlan{vlan | vlan range | all}}
  11. [no] load-balance [ method { src-ip | dst-ip}] [ buckets count]
  12. sequence-number set service service-name [ fail-action { bypass | drop | forward}
  13. interface interface-name interface-number
  14. epbr {l2} policy policy-name egress-interface interface-name [reverse]
  15. exit

手順の詳細

  コマンドまたはアクション 目的
ステップ 1

configure terminal

例:

switch# configure terminal
switch(config)#

コンフィギュレーション モードに入ります。

ステップ 2

[no] epbr infra vlans [vlan range]

VLAN 範囲は、サービス デバイスへのリダイレクト中に選択的な dot1q 変換用に予約された VLAN を示すために使用されています。
ステップ 3

epbr service service-name type l2

例:

switch(config)# epbr service firewall type l2

新しい ePBR L2 サービスを作成します。
ステップ 4

mode [full duplex | half duplex]

サービスを半二重または全二重モードに構成します。
ステップ 5

probe {ctp} [frequency seconds] [timeout seconds] [retry-down-count count] retry-up-count count]

例:

switch(config)# probe icmp

ePBR サービスのプローブを構成します。

オプションは次のとおりです。

  • 頻度:プローブの頻度を秒単位で指定します。値の範囲は 1 ~ 604800 です。

  • 再試行ダウン カウント:ノードがダウンしたときにプローブによって実行される再カウントの数を指定します。指定できる範囲は 1 ~ 5 です。

  • 再試行アップ カウント:ノードが復帰したときにプローブが実行する再カウントの数を指定します。指定できる範囲は 1 ~ 5 です。

  • タイムアウト:タイムアウト期間を秒単位で指定します。値の範囲は 1 ~ 604800 です。
ステップ 6

service-endpoint [interface interface-name interface-number]

例:

switch(config-epbr-svc)# service-end-point interface Ethernet1/3

ePBR サービスのサービス エンドポイントを構成します。

手順 2 ~ 5 を繰り返して、別の ePBR サービスを構成できます。
ステップ 7

reverse interface interface-name interface-number

例:

switch(config-epbr-fwd-svc)# reverse interface Ethernet1/4

トラフィック ポリシーが適用される reverse インターフェイスを定義します。
ステップ 8

exit

例:

switch(config-epbr-reverse-svc)# exit
switch(config-epbr-fwd-svc)# exit
switch(config-epbr-svc)# exit
switch(config)#

ePBR サービス構成モードを終了し、グローバル コンフィギュレーション モードを開始します。
ステップ 9

epbr policy policy-name

例:

switch(config)# epbr policy Tenant_A-Redirect

ePBR ポリシーを構成します。
ステップ 10

match { [ip address ipv4 acl-name] | [ipv6 address ipv6 acl-name] | [l2 address l2 acl-name]} {drop | exclude | redirect | vlan{vlan | vlan range | all}}

例:

switch (config) # match ip address WEB vlan 10

IPv4 または IPv6 アドレス、または MAC アドレスを IP、IPv6、または MAC ACL と一致させます。リダイレクトは、一致トラフィックのデフォルト アクションです。ドロップは、着信インターフェイスでトラフィックをドロップする必要がある場合に使用されます。除外オプションは、着信インターフェイスのサービスチェーンから特定のトラフィックを除外するために使用されます。

この手順を繰り返して、要件に基づいて複数の ACL を一致させることができます。
ステップ 11

[no] load-balance [ method { src-ip | dst-ip}] [ buckets count]

例:

switch(config)# load-balance method src-ip

ePBR サービスで使用されるロード バランス方法とバケット数を計算します。
ステップ 12

sequence-number set service service-name [ fail-action { bypass | drop | forward}

例:

switch(config)# set service firewall fail-action drop

fail-action メカニズムを構成します。
ステップ 13

interface interface-name interface-number

例:

switch(config)# interface Ethernet1/1

インターフェイス構成モードを開始します。
ステップ 14

epbr {l2} policy policy-name egress-interface interface-name [reverse]

例:

epbr l2 policy Tenant_A_Redirect egress-interface Ethernet1/2

インターフェイスは、いつでも次の 1 つの順方向のポリシーと 1 つの逆方向のポリシーに関連付けることができます。

  • 順方向の IPV4 ポリシー

  • 逆方向の IPv4 ポリシー

  • 順方向の IPv6 ポリシー

  • 逆方向の IPv6 ポリシー

  • 順方向の l2 ポリシー

  • 逆方向の l2 ポリシー
ステップ 15

exit

例:

switch(config-if)# end

ポリシー構成モードを終了し、グローバル モードに戻ります。

ePBR セッションを使用したサービスの変更

次の手順では、ePBR セッションを使用してサービスを変更する方法について説明します。

手順の概要

  1. epbr session
  2. epbr service service-name type l2
  3. [no] service-endpoint [interface interface-name]
  4. service-endpoint [interface interface-name]
  5. reverse [interface interface-name]
  6. commit

手順の詳細

  コマンドまたはアクション 目的
ステップ 1

epbr session

例:

switch(config)# epbr session

ePBR セッション モードを開始します。
ステップ 2

epbr service service-name type l2

例:

switch(config-epbr-sess)# epbr service TCP_OPTIMIZER

ePBR セッション モードで構成された ePBR サービスを指定します。
ステップ 3

[no] service-endpoint [interface interface-name]

例:

switch(config-epbr-sess-svc)# no service-end-point interface ethernet 1/3

ePBR サービスの構成済みサービス エンドポイントを無効にします。
ステップ 4

service-endpoint [interface interface-name]

例:

switch(config-epbr-sess-svc)# service-end-point interface ethernet 1/15

サービスにサービス エンドポイントを追加します。
ステップ 5

reverse [interface interface-name]

例:

switch(config-epbr-sess-fwd-svc)# reverse interface ethernet 1/4

トラフィック ポリシーが適用されるリバース インターフェイスを定義します。
ステップ 6

commit

例:

switch(config-epbr-sess)#commit

ePBR セッションを使用して ePBR サービスの変更を完了します。

(注)   

この手順を完了したら、ePBR セッションを再起動します。

ePBR セッションを使用したポリシーの変更

次の手順では、ePBR セッションを使用してポリシーを変更する方法について説明します。

手順の概要

  1. epbr session
  2. epbr policy policy-name
  3. [no] match { [ip address ipv4 acl-name] | [ipv6 address ipv6 acl-name] | l2 address mac acl-name]} vlan {all | vlan-id | vlan-id-range
  4. match { [ip address ipv4 acl-name] | [ipv6 address ipv6 acl-name] | l2 address mac acl-name]} vlan {all | vlan-id | vlan-id-range]
  5. sequence-number set service service-name [ fail-action { bypass | drop | forward}] [load-balance [ method { src-ip | dst-ip}] [ buckets sequence-number]
  6. load-balance set service service-name [ fail-action { bypass | drop | forward}] [load-balance [ method { src-ip | dst-ip}] [ buckets no-of-buckets]
  7. commit
  8. end

手順の詳細

  コマンドまたはアクション 目的
ステップ 1

epbr session

ステップ 2

epbr policy policy-name

例:

switch(config-epbr-sess)# epbr policy Tenant_A-Redirect

ePBR セッション モードで構成された ePBR ポリシーを指定します。
ステップ 3

[no] match { [ip address ipv4 acl-name] | [ipv6 address ipv6 acl-name] | l2 address mac acl-name]} vlan {all | vlan-id | vlan-id-range

例:

switch(config-epbr-sess-pol)# no match ip address WEB

IP、IPv6、または L2 ACL に対する一致を無効にします。
ステップ 4

match { [ip address ipv4 acl-name] | [ipv6 address ipv6 acl-name] | l2 address mac acl-name]} vlan {all | vlan-id | vlan-id-range]

例:

switch(config-epbr-sess-pol)# match ip address HR

IP、IPv6、または L2 ACL に対する一致を変更します。
ステップ 5

sequence-number set service service-name [ fail-action { bypass | drop | forward}] [load-balance [ method { src-ip | dst-ip}] [ buckets sequence-number]

例:

switch(config-epbr-sess-pol-match)# 10  set service Web-FW

一致するシーケンスを追加、変更、または削除するか、既存のシーケンスの失敗アクションを変更します。
ステップ 6

load-balance set service service-name [ fail-action { bypass | drop | forward}] [load-balance [ method { src-ip | dst-ip}] [ buckets no-of-buckets]

例:

switch(config-epbr-sess-pol-match)# 10  set service Web-FW

一致のロードバランス方法とバケットを設定します。

(注)   

既存の一致のサービス チェーンを変更するときに、セッション コンテキストでこの構成を省略すると、一致のロードバランス構成がデフォルトにリセットされます。
ステップ 7

commit

例:

switch(config-epbr-sess)#commit

ePBR セッションを使用して ePBR ポリシーの変更を完了します。
ステップ 8

end

例:

switch(config-epbr-sess)#end

ePBR セッション モードを終了します。

ePBR ポリシーによる使用される Access-list の更新

次の手順では、ePBR ポリシーで使用される access-list を更新する方法について説明します。

手順の概要

  1. epbr session access-list acl-name refresh
  2. end

手順の詳細

  コマンドまたはアクション 目的
ステップ 1

epbr session access-list acl-name refresh

例:

switch(config)# epbr session access-list WEB refresh

ポリシーによって生成された ACL を更新またはリフレッシュします。
ステップ 2

end

例:

switch(config)# end

グローバル コンフィギュレーション モードを終了します。

ePBR Show コマンド

次のリストに、ePBR に関連する show コマンドを示します。

手順の概要

  1. show epbr policy policy-name [reverse]
  2. show epbr statistics policy-name [reverse]
  3. show tech-support epbr
  4. show running-config epbr
  5. show startup-config epbr

手順の詳細

  コマンドまたはアクション 目的
ステップ 1

show epbr policy policy-name [reverse]

例:

switch# show epbr policy Tenant_A-Redirect

順方向または逆方向に適用される ePBR ポリシーに関する情報を表示します。
ステップ 2

show epbr statistics policy-name [reverse]

例:

switch# show ePBR statistics policy pol2

ePBR ポリシー統計を表示します。
ステップ 3

show tech-support epbr

例:

switch# show tech-support epbr

ePBR のテクニカル サポート情報を表示します。
ステップ 4

show running-config epbr

例:

switch# show running-config epbr

ePBR の実行構成を表示します。
ステップ 5

show startup-config epbr

例:

switch# show startup-config epbr

ePBR のスタートアップ構成を表示します。

ePBR 構成の確認

ePBR 構成を確認するためには、次のコマンドを使用します。

コマンド

目的

show ip access-list <access-list name> dynamic

バケット アクセス リストのトラフィック一致基準を表示します。

show ip sla configuration dynamic

プローブが有効になっている場合に、チェーン内のサービスエンドポイントに対して ePBR によって生成された IP SLA 構成を表示します。

show track dynamic

プローブが有効になっている場合に、チェーン内のサービスエンドポイントに対して ePBR によって生成されたトラックを表示します。

show ip access-list summary

バケット アクセス リストのトラフィック一致基準のサマリを表示します。

show [ip | ipv6 | mac ] access-lists dynamic

一致基準のダイナミック エントリを表示します。

ePBR の構成例

例:ePBR のスタンドアロン構成

次のトポロジは、ePBR スタンドアロン構成を示しています。

図 1. ePBR のスタンドアロン構成

例:アクセス ポートおよびトランク ポートのサービス構成

次の構成例は、アクセス ポートとトランク ポートのサービス構成を実行する方法を示しています。

epbr infra vlans 100-200
 
epbr service app_1 type l2
   service-end-point interface Ethernet1/3
    reverse  interface Ethernet1/4
 
epbr service app_2 type l2
   probe ctp frequency 2 retry-down-count 1 retry-up-count 1 timeout 1
   service-end-point interface port-channel10
    reverse  interface port-channel11
 
epbr service app_3 type l2
   probe ctp frequency 2 retry-down-count 1 retry-up-count 1 timeout 1
   service-end-point interface Ethernet1/9
    reverse  interface Ethernet1/10
 
epbr service app_4 type l2
   probe ctp frequency 2 retry-down-count 1 retry-up-count 1 timeout 1
   service-end-point interface port-channel12
    reverse  interface port-channel13

例:アクセス ポートの構成

次の例では、アクセス ポートを構成する方法を示します。

epbr policy p1
  statistics
  match ipv6 address flow2 vlan 10
    load-balance buckets 2
    10 set service app_1
    20 set service app_3
    25 set service app_4
    30 set service app_2
  match l2 address flow3 vlan 10
    20 set service app_2
    25 set service app_4
    50 set service app_3
  match ip address flow1 vlan 10
    10 set service app_1
    15 set service app_3
    20 set service app_2
 
interface Ethernet1/1
  switchport
  switchport access vlan 10
  no shutdown
  epbr l2 policy p1 egress-interface Ethernet1/2
 
interface Ethernet1/2
  switchport
  switchport access vlan 10
  no shutdown
  epbr l2 policy p1 egress-interface Ethernet1/1 reverse

例:トランク ポートの構成

次の構成例は、トランク ポートを構成する方法を示します。 

epbr policy p3
  statistics
  match ip address flow1 vlan 10
    load-balance buckets 2
    10 set service app_1
    20 set service app_2
  match ipv6 address flow2 vlan 20
    load-balance buckets 2
    10 set service app_3
    20 set service app_4
  match l2 address flow3 vlan 30
    10 set service app_1
    20 set service app_2
 
interface Ethernet1/27
  switchport
  switchport mode trunk
  no shutdown
  epbr l2 policy p3 egress-interface Ethernet1/28
 
interface Ethernet1/28
  switchport
  switchport mode trunk
  no shutdown
  epbr l2 policy p3 egress-interface Ethernet1/27 reverse
 
Collecting statistics

統計の収集:


itd-san-2# show epbr statistics policy p1
 
Policy-map p1, match flow2
 
    Bucket count: 2
 
      traffic match : bucket 1
        app_1 : 8986 (Redirect)
        app_3 : 8679 (Redirect)
        app_4 : 8710 (Redirect)
        app_2 : 8725 (Redirect)
      traffic match : bucket 2
        app_1 : 8696 (Redirect)
        app_3 : 8680 (Redirect)
        app_4 : 8711 (Redirect)
        app_2 : 8725 (Redirect)
 
Policy-map p1, match flow3
 
    Bucket count: 1
 
      traffic match : bucket 1
        app_2 : 17401 (Redirect)
        app_4 : 17489 (Redirect)
        app_3 : 17461 (Redirect)
 
Policy-map p1, match flow1
 
    Bucket count: 1
 
      traffic match : bucket 1
        app_1 : 17382 (Redirect)
        app_3 : 17348 (Redirect)
        app_2 : 17411 (Redirect)

例:ePBR ポリシーの表示

次の例では、ePBR ポリシーを表示する方法を示します。 

show epbr policy p3

Policy-map : p3
Match clause:
ip address (access-lists): flow1
action:Redirect
service app_1, sequence 10, fail-action No fail-action
Ethernet1/3 track 4 [UP]
service app_2, sequence 20, fail-action No fail-action
port-channel10 track 10 [UP]
Match clause:
ipv6 address (access-lists): flow2
action:Redirect
service app_3, sequence 10, fail-action No fail-action
Ethernet1/9 track 13 [UP]
service app_4, sequence 20, fail-action No fail-action
port-channel12 track 3 [UP]
Match clause:
layer-2 address (access-lists): flow3
action:Redirect
service app_1, sequence 10, fail-action No fail-action
Ethernet1/3 track 4 [UP]
service app_2, sequence 20, fail-action No fail-action
port-channel10 track 10 [UP]
Policy Interfaces:
egress-interface Eth1/28

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ