Cisco Nexus 9000 シリーズ NX-OS ePBR 構成ガイド、リリース 10.3(x)

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ
このマニュアル内で検索
ご利用いただける言語
Download Options

Book Title

Cisco Nexus 9000 シリーズ NX-OS ePBR 構成ガイド、リリース 10.3(x)

Chapter Title

ePBR L3 の構成

検索結果

Updated:
2023年1月11日

章のタイトル: ePBR L3 の構成

ePBR L3 の構成

この章では、Cisco NX-OS デバイスで 拡張済みポリシーベース リダイレクト(ePBR)を構成する方法について説明します。

ePBR L3 に関する情報

Elastic Services Re-direction(ESR)の Enhanced Policy-based Redirect(ePBR)は、ポリシーベースのリダイレクト ソリューションを活用することで、スタンドアロンおよびファブリック トポロジ全体でトラフィック リダイレクトとサービスチェーンを可能にします。余分なヘッダーを追加せずにサービスチェーンを可能にし、余分なヘッダーを使用する際の遅延を回避します。

ePBR は、アプリケーション ベースのルーティングを可能にし、アプリケーションのパフォーマンスに影響を与えることなく、柔軟でデバイスに依存しないポリシー ベースのリダイレクト ソリューションを提供します。ePBR サービス フローには、次のタスクが含まれます。

ライセンス要件

Cisco NX-OS ライセンス方式の推奨の詳細と、ライセンスの取得および適用の方法については、『Cisco NX-OS Licensing Guide』を参照してください。

ePBR サービスとポリシーの構成

まず、サービス エンド ポイントの属性を定義する ePBR サービスを作成する必要があります。サービス エンド ポイントは、スイッチに関連付けることができるファイアウォール、IPS などのサービス アプライアンスです。また、サービス エンド ポイントの状態をモニタするプローブを定義したり、トラフィック ポリシーが適用されるフォワード インターフェイスと reverse インターフェイスを定義することもできます。また ePBR は、サービスチェーンとともにロード バランシングもサポートします。 ePBR を使用すると、サービス構成の一部として複数のサービス エンド ポイントを構成できます。

Cisco NX-OS リリース 10.2(1)F 以降、チェーン内のすべてのサービスの VRF は、一意であるか、完全に同一である可能性があります。サービスに定義されたサービスエンドポイントとインターフェイスは、サービスに定義された VRF に関連する必要があります。

既存の IPv4 PBR ポリシーを持つサービス エンドポイント インターフェイスは、IPv4 ePBR サービス内では使用できません。同様に、既存の ipv6 PBR ポリシーを持つサービス エンドポイント インターフェイスは、IPv6 ePBR サービス内では使用できません。

ePBR サービスを作成したら、ePBR ポリシーを作成する必要があります。ePBR ポリシーを使用すると、トラフィックの選択、サービス エンド ポイントへのトラフィックのリダイレクト、およびエンド ポイントの正常性障害に関するさまざまな fail-action メカニズムを定義できます。許可アクセス コントロール エントリ(ACE)を備えた IP access-list エンド ポイントを使用して、一致する対象のトラフィックを定義し、適切なアクションを実行できます。

ePBR ポリシーは、複数の ACL 一致定義をサポートします。一致には、シーケンス番号によって順序付けできるチェーンに複数のサービスを含めることができます。これにより、単一のサービス ポリシーでチェーン内の要素を柔軟に追加、挿入、および変更できます。すべてのサービス シーケンスで、ドロップ、転送、バイパスなどの失敗時のアクション メソッドを定義できます。ePBR ポリシーを使用すると、トラフィックの詳細なロード バランシングを行うために、送信元または接続先ベースのロード バランシングとバケット数を指定できます。

ePBR のインターフェイスへの適用

ePBR ポリシーを作成したら、インターフェイスにポリシーを適用する必要があります。これにより、トラフィックがスタンドアロンまたは Nexus ファブリックに入るインターフェイスを定義できます。順方向と逆方向の両方にポリシーを適用することもできます。インターフェイスに適用される IPv4/IPv6 ポリシーは、順方向と逆方向の 2 つだけです。

Cisco NX-OS リリース 10.2(1)F 以降、ePBR はレイヤ 3 ポート チャネル サブインターフェイスでポリシー アプリケーションをサポートします

Cisco NX-OS リリース 10.2(1)F 以降、ePBR ポリシーが適用されるインターフェイスは、チェーン内のサービスの VRF とは異なる VRF にある場合があります。

ePBR IPv4 ポリシーは、IPv4 PBR ポリシーがすでに適用されているインターフェイスには適用できません。 ePBR IPv6 ポリシーは、IPv6 PBR ポリシーがすでに適用されているインターフェイスには適用できません。

バケットの作成およびロード バランシング

ePBR は、チェーン内に最大数のサービス エンドポイントを持つサービスに基づいて、トラフィック バケットの数を計算します。ロード バランス バケットを構成すると、構成が優先されます。 ePBR は、ソース IP と宛先 IP のロード バランシング方式をサポートしていますが、L4 ベースのソースまたは宛先のロード バランシング方式はサポートしていません。

ePBR オブジェクト トラッキング、ヘルスモニタリング、および Fail-Action

ePBR は、サービスで構成されたプローブ タイプに基づいて SLA およびトラック オブジェクトを作成し、ICMP、TCP、UDP、DNS、HTTP などのさまざまなプローブとタイマーをサポートします。 ePBR はユーザ定義のトラックもサポートしており、ePBR に関連するミリ秒プローブを含むさまざまなパラメータでトラックを作成できます。

ePBR プローブ構成を適用する場合、ePBR は IP SLA プローブをプロビジョニングすることによりエンドポイントの正常性をモニタし、オブジェクトをトラックして IP SLA の到達可能性をトラックします。

サービス向け、または転送または reverse の各エンドポイント向けに、ePBR プローブ オプションを構成することが可能です。また、IP SLA セッションの送信元 IP に使用できるように、頻度、タイムアウト、再試行のアップ カウントとダウン カウント、および送信元ループバック インターフェイスを構成できます。任意のタイプのトラックを定義し、順方向または逆方向エンド ポイントに関連付けることができます。同じトラック オブジェクトが、同じ ePBR サービスを使用するすべてのポリシーに再利用されます。

トラックを個別に定義し、ePBR の各サービス エンド ポイントにトラック ID を割り当てることができます。ユーザー定義のトラックをエンドポイントに割り当てない場合、ePBR はエンドポイントのプローブ メソッドを使用してトラックを作成します。エンドポイント レベルで定義されているプローブ メソッドがない場合、サービスレベルで構成されるプローブ メソッドを使用できます。

ePBR は、自身のサービスチェーンのシーケンスで次の fail-action メカニズムをサポートします。

  • バイパス

  • ドロップオンフェイル

  • Forward

サービス シーケンスのバイパスは、現在のシーケンスで障害が発生した場合に、トラフィックは次のサービス シーケンスにリダイレクトされる必要があることを示しています。

サービス シーケンスのドロップオンフェイルは、サービスのすべてのサービスエンドポイントが到達不能となる場合に、トラフィックはドロップされる必要があることを示しています。

転送はデフォルトのオプションであり、現在のサービスに障害が発生した場合、トラフィックは通常のルーティング テーブルを使用する必要があることを示します。これはデフォルトの fail-action メカニズムです。


(注)  

対称性が維持されるのは、fail-action バイパスがサービスチェーン内のすべてのサービス向けに構成された場合です。その他の fail-action シナリオでは、1 つまたはそれ以上の機能不全サービスが存在する場合、転送または reverse フローでの対称性は維持されません。

ePBR セッションベースの構成

ePBR セッションでは、サービス中のサービスまたはポリシーの次の側面を追加、削除、または変更できます。サービス内とは、アクティブ インターフェイスまたはポリシーに適用されているポリシーに関連付けられたサービスを示し、アクティブ インターフェイス上で変更される、現在構成済みのサービスを示します。

  • インターフェースとプローブを備えたサービス エンドポイント

  • リバース エンドポイントとプローブ

  • ポリシーに基づく一致

  • 一致のロードバランス方法

  • 一致シーケンスと失敗アクション


(注)  

ePBR セッションでは、同じセッションでインターフェイスを 1 つのサービスから別のサービスに移動することはできません。インターフェイスをあるサービスから別のサービスに移動するには、次の手順を実行します。

  1. セッション操作を使用して、最初に既存のサービスから削除します。

  2. 2 番目のセッション操作を使用して、既存のサービスに追加します。

ePBR マルチサイト

Cisco NX-OS リリース 10.2(1)F 以降、VXLAN マルチサイト ファブリックでのサービスチェーンは、次の構成およびトポロジ ガイドラインを使用して実現できます。

  • サービス内のエンドポイントまたはチェーン内のサービスは、同じサイトまたは異なるサイト内の異なるリーフスイッチに分散される場合があります。

  • すべてのサービスは、ePBR ポリシーが適用されるテナント VRF コンテキストとは異なる一意の VRF にある必要があります。

  • 異なるテナント VRF のトラフィックを分離するには、サービスに使用される VLAN を分離し、新しいサービスとポリシーを定義する必要があります。

  • テナント VRF ルートは、サービスをホストするすべてのリーフスイッチの各サービス VRF にリークする必要があります。これにより、トラフィックがサービスチェーンの最後でテナント VRF 内の接続先にルーティングされるようになります。

  • VNI は、さまざまなリーフスイッチおよびサイトに対称的に割り当てる必要があります。

  • ePBR ポリシーは、使用されているサービス VRF のすべてのレイヤー 3 VNI、サービスをホストしているすべてのリーフスイッチ、およびマルチサイトのトランジットとして機能している場合はボーダー リーフまたはボーダーゲートウェイ スイッチで有効にする必要があります。

  • サービスチェーンが 1 つのサイトに完全に分離され、トラフィックがさまざまなサイトから着信する場合があります。このシナリオにはサービス デバイスのマルチサイト配布は含まれませんが、ボーダーゲートウェイまたはボーダー リーフ上のサービス VRF のレイヤー 3 VNI は、マルチサイト トランジットとしてのみ扱う必要があり、ePBR ポリシーをそれらに適用する必要があります。ePBR ポリシーは、トラフィックが着信するリモートサイトのホストまたはテナントに面したインターフェイスにも適用する必要があります。

ACL リフレッシュ

ePBR セッション ACL の更新により、ユーザーが提供した ACL が ACE で変更または追加または削除されたときに、ポリシーによって生成された ACL を更新できます。更新トリガで、ePBR はこの変更の影響を受けるポリシーを識別し、それらのポリシーに対してバケットで生成された ACL を作成、削除、または変更します。

ePBR のスケール数については、『Cisco Nexus 9000 シリーズ NX-OS 検証済みスケーラビリティ ガイド』を参照してください。

ePBR L3 の注意事項および制約事項

ePBR には、次の注意事項と制限事項 があります。

  • Cisco Nexus NX-OS リリース 10.1(2) 以降、IPv4 および IPv6 を使用した ePBR は N9K-C93108TC-FX3P スイッチでサポートされます。

  • Cisco NX-OS リリース 10.1(1) 以降、ePBR ポリシーの各一致ステートメントは、リダイレクト、ドロップ、および除外の 3 つのアクション タイプをサポートできます。ポリシーごとにドロップまたは除外の一致ステートメントを 1 つだけ指定できます。

  • Cisco NX-OS リリース 10.1(1) 以降、IPv4、IPv6、および VXLAN 上の ePBR を使用した ePBR は、次のプラットフォーム スイッチでサポートされます。N9K-C9316D-GX、N9K-C93600CD-GX、N9K-C9364C-GX、N9K-C93180YC FX3S、N9K-C93360YC-FX3 、N9K-C93108TC-FX3P.。

  • fail-action がいずれかの一致ステートメントで指定されている場合、プローブは構成内に存在していることが必須です。

  • OTM トラックの変更がある場合は常に、RPM の再プログラミングにより ePBR 統計がリセットされます。

  • ePBR 構成内の複数の一致ステートメント全体で同じユーザー定義 ACL を共有しないでください。

  • トラフィックの対称性が維持されるのは、fail-action バイパスが ePBR サービス向けに構成されたときのみです。サービスチェーン内の転送/ドロップなどのその他の fail-action の場合、トラフィックの順方向と逆方向のフローの対称性は維持されません。

  • 機能 ePBR および機能 ITD は同じ入力インターフェイスと共存できません。

  • 拡張済み ePBR 構成では、no feature epbrコマンド を使用する前にポリシーを削除することが推奨されています。

  • 個別の CoPP クラスでプローブ トラフィックを分類することを推奨します。そうしないと、プローブ トラフィックはデフォルトの CoPP クラスになり、ドロップされる可能性があり、プローブ トラフィックの IP SLA バウンスが発生します。CoPP 構成について詳しくは、「IP SLA パケットの CoPP の構成」を参照してください。

  • ePBR は、EX、FX、および FX2 ラインカードを備えた Cisco Nexus 9500 および Cisco Nexus 9300 プラットフォーム スイッチでサポートされています。

  • VXLAN 上の ePBRv4 およびスタンドアロン ePBR は、Cisco Nexus 9500 シリーズ スイッチでサポートされています。

  • VXLAN 上の ePBRv6 は、Cisco Nexus 9500 シリーズ スイッチでサポートされていません。

  • Cisco NX-OS リリース 9.3(5) 以降、Catena 機能は廃止されました。

  • システムから削除されたポートチャネルに構成された ePBR サービスエンドポイントを削除する場合、次の手順を実行してください。

    1. 既存の ePBR ポリシーを削除します。

    2. 既存の ePBR サービスを削除します。

    3. ePBR サービス エンドポイントを必要なポートチャネルに再構成します。

  • 「epbr_」という名前で始まる、動的に作成された ePBR の access-list エントリは変更しないでください。これらの access-lists は ePBR 内部使用向けに予約済みです。


    (注)  

    これらのプレフィックス文字列を変更すると ePBR が正しく機能せず、ISSU に影響を与える可能性があります。

  • Cisco Nexus N9K-C9316D-GX、N9K-C93600CD-GX、および N9K-C9364C-GX スイッチでは、Cisco NX-OS、リリース 10.2 以降のリリースからリリース 10.1 への ISSD を実行する前に、ePBR ポリシーを無効にして、ダウングレードを続行します。

次の注意事項および制約事項を VXLAN 上での ePBR 機能に適用します。

  • VXLAN ファブリックでは、同じ VLAN 内のデバイスに対してサービスチェーンを実行できません。すべてのデバイスは、個別の VLAN に存在する必要があります。

  • チェーン内のすべてのサービスが同じ VRF にある場合、ePBR は VXLAN マルチサイト ファブリックの単一サイトでのみサポートされます。

  • チェーン内のすべてのサービスが同じ VRF にある場合:

    • アクティブ/スタンバイ チェーンは、制限のない 2 つのサービス ノードでサポートされます。

    • チェーン内に 3 つ以上のサービス ノードがあるアクティブ/スタンバイ チェーンでは、同じサービス リーフの背後にあるタイプの異なる 2 つのノードは必要ありません。

    • VXLAN ファブリックでは、リーフ内の 1 つのサービスからのトラフィックをステッチして、後で同じリーフに戻ってくることはできません。


    (注)  

    チェーン内のすべてのサービスが異なる VRF コンテキストにある場合、これらの制限は適用されません。

  • ePBR ポリシーは、最初は常にホストまたはテナントに面したインターフェイスに適用する必要があります。ePBR ポリシーは、トランジット インターフェイスとしてのみ、テナントまたはサービス VRF に関連するレイヤ 3 VNI インターフェイスに適用する必要があります。

次の注意事項および制約事項を一致 ACL 機能に適用します。

  • permit メソッドを持つ ACE のみが ACL でサポートされます。他の方法(deny または remark など)の ACE は無視されます。

  • 1 つの ACL で最大 256 の許可 ACE がサポートされます。

次の注意事項と制限事項が VRF 間のサービスチェーンに適用されます。

  • Cisco NX-OS 10.2(1)F リリース以降、チェーン内のすべてのサービスは、同じ VRF または完全に一意の VRF に存在する必要があります。

  • バージョン 10.2(1)F では、チェーン内のすべてのサービスが一意の VRF に存在する場合、fail-action アクション バイパス メカニズムはサポートされません。

  • Cisco NX-OS 10.2(2)F リリースから、チェーン内のサービスが一意の VRF にある場合に fail-action アクション バイパスがサポートされます。

  • サービスが、ePBR ポリシーが適用されるインターフェイスの VRF コンテキストとは異なる VRF にある場合、ユーザは、テナント ルートがすべてのサービス VRF にリークされていることを確認して、トラフィックがサービスチェーンの最後にあるテナント VRF にルート バックできるようにする必要があります。

  • Cisco NX-OS リリース 10.2(2)F 以降、PBR では、異なる VRF に関連する複数のバックアップ ネクストホップをルート マップ シーケンスに構成できます。これにより、ePBR は、ある VRF に関連するサービスから別の VRF への fail-action バイパスを効果的に有効にすることができます。

  • Cisco NX-OS リリース 10.2(3)F 以降、エンドポイントの追加、サービス シーケンスの追加、削除および変更のセッション操作中のトラフィックの中断を最小限にするために、事前にロードバランス バケットの構成を行い、ロードバランス構成への変更を回避することが推奨されています。ロードバランス向けに構成されたバケットの数が、チェーン内の各シーケンス向けのサービスで構成されたエンドポイントの数より多くなるようにしてください。

ePBR L3 の構成

はじめる前に

ePBR 機能を構成する前に、IP SLA および PBR 機能が構成されていることを確認してください。

ePBR サービス、ポリシーの構成、およびインターフェイスへの関連付け

次のセクションでは、ePBR サービス、ePBR ポリシーの構成、およびインターフェイスへのポリシーの関連付けについて説明します。

手順の概要

  1. configure terminal
  2. epbr service service-name
  3. vrf vrf-name
  4. service-endpoint {ip ipv4 address | ipv6 ipv6 address} [interface interface-name interface-number]
  5. probe track track ID
  6. reverse ip ip address interface interface-name interface-number
  7. exit
  8. epbr policy policy-name
  9. match { [ip address ipv4 acl-name] | [ipv6 address ipv6 acl-name] } [redirect | drop | exclude]
  10. [no] load-balance [ method { src-ip | dst-ip}] [ buckets sequence-number
  11. sequence-number set service service-name [ fail-action { bypass | drop | forward}
  12. interface interface-name interface-number
  13. epbr { ip | ipv6} policy policy-name [reverse]
  14. exit

手順の詳細

  コマンドまたはアクション 目的
ステップ 1

configure terminal

例:

switch# configure terminal
switch(config)#

コンフィギュレーション モードに入ります。

ステップ 2

epbr service service-name

例:

switch(config)# epbr service firewall

新しい ePBR サービスを作成します。
ステップ 3

vrf vrf-name

例:

switch(config)# vrf tenant_A

ePBR サービスの VRF を指定します。
ステップ 4

service-endpoint {ip ipv4 address | ipv6 ipv6 address} [interface interface-name interface-number]

例:

switch(config-vrf)# service-endpoint ip 172.16.1.200 interface VLAN100

ePBR サービスのサービス エンドポイントを構成します。

手順 2 ~ 5 を繰り返して、別の ePBR サービスを構成できます。
ステップ 5

probe track track ID

例:

switch(config-vrf)# probe track 30

トラックを個別に定義し、ePBR の各サービス エンドポイントに既存のトラック ID を割り当てます。

各エンドポイントにトラック ID を割り当てることができます。
ステップ 6

reverse ip ip address interface interface-name interface-number

例:

switch(config-vrf)# reverse ip 172.16.30.200 interface VLAN201

トラフィック ポリシーが適用されるリバース IP とインターフェイスを定義します。
ステップ 7

exit

例:

switch(config-vrf)# exit

VRF コンフィギュレーション モードを終了して、グローバル コンフィギュレーション モードを開始します。
ステップ 8

epbr policy policy-name

例:

switch(config)# epbr policy Tenant_A-Redirect

ePBR ポリシーを構成します。
ステップ 9

match { [ip address ipv4 acl-name] | [ipv6 address ipv6 acl-name] } [redirect | drop | exclude]

例:

switch(config)# match ip address WEB

IPv4 または IPv6 アドレスを IP、または IPv6 ACL と照合します。リダイレクトは、一致トラフィックのデフォルト アクションです。ドロップは、着信インターフェイスでトラフィックをドロップする必要がある場合に使用されます。除外オプションは、着信インターフェイスのサービスチェーンから特定のトラフィックを除外するために使用されます。

この手順を繰り返して、要件に基づいて複数の ACL を一致させることができます。
ステップ 10

[no] load-balance [ method { src-ip | dst-ip}] [ buckets sequence-number

例:

switch(config)# load-balance method src-ip

ePBR サービスで使用されるロード バランス方法とバケット数を計算します。
ステップ 11

sequence-number set service service-name [ fail-action { bypass | drop | forward}

例:

switch(config)# set service firewall fail-action drop

fail-action メカニズムを計算します。
ステップ 12

interface interface-name interface-number

例:

switch(config)# interface vlan 2010

インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。
ステップ 13

epbr { ip | ipv6} policy policy-name [reverse]

例:

switch(config-if)# epbr ip policy Tenant_A-Redirect

インターフェイスは、いつでも次の 1 つ以上に関連付けることができます。

  • 順方向の IPV4 ポリシー

  • 逆方向の IPv4 ポリシー

  • 順方向の IPv6 ポリシー

  • 逆方向の IPv6 ポリシー
ステップ 14

exit

例:

switch(config-if)# end

インターフェイス コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。

ePBR セッションを使用したサービスの変更

次の手順では、ePBR セッションを使用してサービスを変更する方法について説明します。

手順の概要

  1. epbr session
  2. epbr service service-name
  3. [no] service-endpoint {ip ipv4 address | ipv6 ipv6 address} [interface interface-name interface-number]
  4. service-endpoint {ip ipv4 address | ipv6 ipv6 address} [interface interface-name interface-number]
  5. reverse ip ip address interface interface-name interface-number
  6. commit

手順の詳細

  コマンドまたはアクション 目的
ステップ 1

epbr session

例:

switch(config)# epbr session

ePBR セッション モードを開始します。
ステップ 2

epbr service service-name

例:

switch(config-epbr-sess)# epbr service TCP_OPTIMIZER

ePBR セッション モードで構成する ePBR サービスを指定します。
ステップ 3

[no] service-endpoint {ip ipv4 address | ipv6 ipv6 address} [interface interface-name interface-number]

例:

switch(config-epbr-sess-svc)# no service-end-point ip 172.16.20.200 interface VLAN200

ePBR サービス向けに構成されたサービスエンドポイントを無効にします。
ステップ 4

service-endpoint {ip ipv4 address | ipv6 ipv6 address} [interface interface-name interface-number]

例:

switch(config-epbr-sess-svc)#service-end-point ip 172.16.25.200 interface VLAN200

サービス エンドポイントを変更し、ePBR サービスの IP を置き換えます。
ステップ 5

reverse ip ip address interface interface-name interface-number

例:

switch(config-epbr-sess-svc-ep)# reverse ip 172.16.30.200 interface VLAN201

トラフィック ポリシーが適用されるリバース IP とインターフェイスを定義します。
ステップ 6

commit

例:

switch(config-epbr-sess)#commit

ePBR セッションを使用して ePBR サービスの変更を完了します。

(注)   

この手順を完了したら、ePBR セッションを再起動します。

ePBR セッションを使用したポリシーの変更

次の手順では、ePBR セッションを使用してポリシーを変更する方法について説明します。

手順の概要

  1. epbr session
  2. epbr policy policy-name
  3. [no] match { [ip address ipv4 acl-name] | [ipv6 address ipv6 acl-name] [l2 address ipv6 acl-name]} vlan {vlan | vlan range | all} [redirect | drop | exclude] }
  4. match { [ip address ipv4 acl-name] | [ipv6 address ipv6 acl-name] [l2 address ipv6 acl-name]} vlan {vlan | vlan range | all} [redirect | drop | exclude] }
  5. sequence-number set service service-name [ fail-action { bypass | drop | forward}] [load-balance [ method { src-ip | dst-ip}] [ buckets sequence-number]
  6. load-balance set service service-name [ fail-action { bypass | drop | forward}] [load-balance [ method { src-ip | dst-ip}] [ buckets sequence-number]
  7. commit
  8. end

手順の詳細

  コマンドまたはアクション 目的
ステップ 1

epbr session

例:

switch(config)# epbr session

ePBR セッション モードを開始します。
ステップ 2

epbr policy policy-name

例:

switch(config-epbr-sess)# epbr policy Tenant_A-Redirect

ePBR セッション モードで構成された ePBR ポリシーを指定します。
ステップ 3

[no] match { [ip address ipv4 acl-name] | [ipv6 address ipv6 acl-name] [l2 address ipv6 acl-name]} vlan {vlan | vlan range | all} [redirect | drop | exclude] }

例:

switch(config-epbr-sess-pol)# no match ip address WEB

IP または IPv6 ACL に対する IP アドレスの照合を無効にします。
ステップ 4

match { [ip address ipv4 acl-name] | [ipv6 address ipv6 acl-name] [l2 address ipv6 acl-name]} vlan {vlan | vlan range | all} [redirect | drop | exclude] }

例:

switch(config-epbr-sess-pol)# match ip address HR

IP または IPv6 ACL に対する IP アドレスの照合を変更します。
ステップ 5

sequence-number set service service-name [ fail-action { bypass | drop | forward}] [load-balance [ method { src-ip | dst-ip}] [ buckets sequence-number]

例:

switch(config-epbr-sess-pol-match)# 10  set service Web-FW

一致するシーケンスを追加、変更、または削除するか、既存のシーケンスの fail-action アクションを変更します。
ステップ 6

load-balance set service service-name [ fail-action { bypass | drop | forward}] [load-balance [ method { src-ip | dst-ip}] [ buckets sequence-number]

例:

switch(config-epbr-sess-pol-match)# 10  set service Web-FW

一致のロードバランス メソッドとバケットを構成します。

(注)   

既存の一致のサービスチェーンを変更するときに、セッション コンテキストでこれを省略すると、一致のロードバランス構成がデフォルトにリセットされます。
ステップ 7

commit

例:

switch(config-epbr-sess)#commit

ePBR セッションを使用して ePBR ポリシーの変更を完了します。
ステップ 8

end

例:

switch(config-epbr-sess)#end

ePBR セッション モードを終了します。

ePBR ポリシーによる使用される Access-list の更新

次の手順では、ePBR ポリシーで使用される access-list を更新する方法について説明します。

手順の概要

  1. epbr session access-list acl-name refresh
  2. end

手順の詳細

  コマンドまたはアクション 目的
ステップ 1

epbr session access-list acl-name refresh

例:

switch(config)# epbr session access-list WEB refresh

ポリシーによって生成された ACL を更新またはリフレッシュします。
ステップ 2

end

例:

switch(config)# end

グローバル コンフィギュレーション モードを終了します。

ePBR Show コマンド

次のリストに、ePBR に関連する show コマンドを示します。

手順の概要

  1. show epbr policy policy-name [reverse]
  2. show epbr statistics policy-name [reverse]
  3. show tech-support epbr
  4. show running-config epbr
  5. show startup-config epbr

手順の詳細

  コマンドまたはアクション 目的
ステップ 1

show epbr policy policy-name [reverse]

例:

switch# show epbr policy Tenant_A-Redirect

順方向または逆方向に適用される ePBR ポリシーに関する情報を表示します。
ステップ 2

show epbr statistics policy-name [reverse]

例:

switch# show ePBR statistics policy pol2

ePBR ポリシー統計を表示します。
ステップ 3

show tech-support epbr

例:

switch# show tech-support epbr

ePBR のテクニカル サポート情報を表示します。
ステップ 4

show running-config epbr

例:

switch# show running-config epbr

ePBR の実行構成を表示します。
ステップ 5

show startup-config epbr

例:

switch# show startup-config epbr

ePBR のスタートアップ構成を表示します。

ePBR 構成の確認

ePBR 構成を確認するためには、次のコマンドを使用します。

コマンド

目的

show ip/ipv6 policy vrf <context>

サービス チェーンが適用されるインターフェイスおよびサービス チェーンの関連するエンドポイント インターフェイスで、レイヤ 3 ePBR ポリシー用に作成された IPv4/IPv6 ルート マップ ポリシーを表示します。

show route-map dynamic <route-map name>

サービス チェーンのすべてのポイントでトラフィックを転送するために使用される、特定のバケット アクセス リストのトラフィック リダイレクション用に設定されたネクスト ホップを表示します。

show ip access-list <access-list name> dynamic

バケット アクセス リストのトラフィック一致基準を表示します。

show ip sla configuration dynamic

プローブが有効になっている場合に、チェーン内のサービスエンドポイントに対して ePBR によって生成された IP SLA 構成を表示します。

show track dynamic

プローブが有効になっている場合に、チェーン内のサービスエンドポイントに対して ePBR によって生成されたトラックを表示します。

ePBR L3 の構成例

例:ePBR のスタンドアロン構成

次のトポロジは、ePBR スタンドアロン構成を示しています。

図 1. ePBR のスタンドアロン構成

例:ユースケース:順方向のみの Web トラフィックのサービスチェーンを作成する

次の構成例は、順方向のみの Web トラフィックのサービスチェーンを作成する方法を示しています。 

IP access list web_traffic
        10 permit tcp any any eq www

ePBR service FW1
  service-end-point ip 10.1.1.2 interface Vlan10
    reverse interface Vlan11

ePBR service FW2
  service-end-point ip 12.1.1.2 interface Vlan12
    reverse interface Vlan13

ePBR service Web_cache
  service-end-point ip 16.1.1.2 interface Vlan16
    reverse interface Vlan17

ePBR policy tenant_1
  match ip address web-traffic
    10 set service FW1
    20 set service FW2
    30 set service Web_cache

interface Eth1/8
  ePBR ip policy tenant_1

次の例は、順方向の Web トラフィックのサービスチェーン作成の構成を確認する方法を示しています。 

switch# show ePBR policy tenant_1

Policy-map : tenant_1
  Match clause:
    ip address (access-lists): web-traffic
  Service chain:
    service FW1, sequence 10, fail-action No fail-action
      IP 10.1.1.2
    service FW2, sequence 20, fail-action No fail-action
      IP 12.1.1.2
    service Web_cache, sequence 30, fail-action No fail-action
      IP 16.1.1.2
  Policy Interfaces:
    Eth1/8

例:ユースケース:順方向のみで ePBR を使用して TCP トラフィックを負荷分散する

次の構成例は、順方向のみで ePBR を使用して TCP トラフィックを負荷分散する方法を示しています。 

IP access list tcp_traffic
        10 permit tcp any any
        
ePBR service TCP_Optimizer
  service-interface Vlan20
  service-end-point ip 20.1.1.2
  service-end-point ip 20.1.1.3
  service-end-point ip 20.1.1.4

ePBR policy tenant_1
  match ip address tcp_traffic
    10 set service TCP_Optimizer

interface Eth1/8
  ePBR ip policy tenant_1

次の例は、順方向で EPBR を使用して負荷分散 TCP トラフィックの構成を確認する方法を示しています。 

switch# show ePBR policy tenant_1

Policy-map : tenant_1
  Match clause:
    ip address (access-lists): tcp_traffic
  Service chain:
    service TCP_Optimizer, sequence 10, fail-action No fail-action
      IP 20.1.1.2
      IP 20.1.1.3
      IP 20.1.1.4
  Policy Interfaces:
    Eth1/8

例:ユースケース:双方向の Web トラフィックのサービスチェーンを作成する

次の構成例は、順方向と逆方向の両方で Web トラフィックのサービスチェーンを作成する方法を示しています。 

IP access list web_traffic
        10 permit tcp any any eq www


ePBR service FW1
  service-end-point ip 10.1.1.2 interface Vlan10
    reverse ip 11.1.1.2 interface Vlan11

ePBR service FW2
  service-end-point ip 12.1.1.2 interface Vlan12
    reverse ip 13.1.1.2 interface Vlan13

ePBR service Web_cache
  service-end-point ip 16.1.1.2 interface Vlan16
    reverse ip 17.1.1.2 interface Vlan17

ePBR policy tenant_1
  match ip address web-traffic
    10 set service FW1
    20 set service FW2
    30 set service Web_cache

interface Eth1/8
  ePBR ip policy tenant_1 

interface Eth1/18
  ePBR ip policy tenant_1 reverse

次の例は、順方向と逆方向の両方の Web トラフィックのサービスチェーン作成の構成を確認する方法を示しています。 

switch# show ePBR policy tenant_1

Policy-map : tenant_1
  Match clause:
    ip address (access-lists): web-traffic
  Service chain:
    service FW1, sequence 10, fail-action No fail-action
      IP 10.1.1.2
    service FW2, sequence 20, fail-action No fail-action
      IP 12.1.1.2
    service Web_cache, sequence 30, fail-action No fail-action
      IP 16.1.1.2
  Policy Interfaces:
    Eth1/8

switch# show ePBR policy tenant_1 reverse

Policy-map : tenant_1
  Match clause:
    ip address (access-lists): web-traffic
  Service chain:
    service Web_cache, sequence 30, fail-action No fail-action
      IP 17.1.1.2
    service FW2, sequence 20, fail-action No fail-action
      IP 13.1.1.2
    service FW1, sequence 10, fail-action No fail-action
      IP 11.1.1.2
  Policy Interfaces:
    Eth1/18

例:ユースケース:ePBR を使用して両方向で TCP トラフィックを負荷分散する

次の構成例は、ePBR を使用して順方向と逆方向の両方で TCP トラフィックを負荷分散する方法を示しています。 

ePBR service TCP_Optimizer
  service-interface Vlan20
  service-end-point ip 20.1.1.2
    reverse ip 20.1.1.22
  service-end-point ip 20.1.1.3
    reverse ip 20.1.1.23
  service-end-point ip 20.1.1.4
    reverse ip 20.1.1.24

ePBR policy tenant_1
  match ip address tcp_traffic
    10 set service TCP_Optimizer

interface Eth1/8
  ePBR ip policy tenant_1 

interface Eth1/18
  ePBR ip policy tenant_1 reverse

次の例は、ePBR を使用して双方向の負荷分散 TCP トラフィックの構成を確認する方法を示しています。 

switch# show ePBR policy tenant_1

Policy-map : tenant_1
  Match clause:
    ip address (access-lists): tcp_traffic
  Service chain:
    service TCP_Optimizer, sequence 10, fail-action No fail-action
      IP 20.1.1.2
      IP 20.1.1.3
      IP 20.1.1.4
  Policy Interfaces:
    Eth1/8

switch# show ePBR policy tenant_1 reverse

Policy-map : tenant_1
  Match clause:
    ip address (access-lists): tcp_traffic
  Service chain:
    service TCP_Optimizer, sequence 10, fail-action No fail-action
      IP 20.1.1.22
      IP 20.1.1.23
      IP 20.1.1.24
  Policy Interfaces:
    Eth1/18

例:VXLAN ファブリックを使用した ePBR ポリシーの作成

次の例/トポロジは、VXLAN ファブリック上で ePBR を構成する方法を示しています。

図 2. VXLAN ファブリック上の ePBR の構成 
ip access-list acl1
        10 permit ip 30.1.1.0/25 40.1.1.0/25
        20 permit ip 30.1.1.128/25 40.1.1.128/25
ip access-list acl2
        10 permit ip 130.1.1.0/25 140.1.1.0/25
        20 permit ip 130.1.1.128/25 140.1.1.128/25
 
epbr service s1
  vrf vrf1
  service-end-point ip 10.1.1.2 interface Vlan10
     probe icmp frequency 4 retry-down-count 1 retry-up-count 1 timeout 2 source-interface loopback9
    reverse ip 50.1.1.2 interface Vlan50                                                           
       probe icmp frequency 4 retry-down-count 1 retry-up-count 1 timeout 2 source-interface loopback10
                                         
epbr service s2
  vrf vrf1
  service-end-point ip 41.1.1.2 interface Vlan410
     probe icmp source-interface loopback9
    reverse ip 45.1.1.2 interface Vlan450                                                           
       probe icmp source-interface loopback10
                                                     
 
epbr service s3
  vrf vrf1
  service-end-point ip 31.1.1.2 interface Vlan310
     probe http get index.html source-interface loopback9
    reverse ip 35.1.1.2 interface Vlan350                                                          
     probe http get index.html source-interface loopback10
epbr service s4
  service-interface Vlan120
  vrf vrf1          
   probe udp 6900 control enable source-interface loopback9
  service-end-point ip 120.1.1.2                                                                  
    reverse ip 120.1.1.2   
 
epbr policy p1
 statistics 
  match ip address acl1
    load-balance buckets 16 method src-ip
    10 set service s1 fail-action drop 
    20 set service s2 fail-action drop
    30 set service s4 fail-action bypass
  match ip address acl2                  
    load-balance buckets 8 method dst-ip 
    10 set service s1 fail-action drop
    20 set service s3 fail-action forward
    30 set service s4 fail-action bypass
interface Vlan100 - Vxlan L3vni interface to which the policy is applied on all service leafs
  epbr ip policy p1
  epbr ip policy p1 reverse
 
 
Apply forward policy on ingress interface in border leaf where traffic coming in needs to be service-chained:
 
interface Vlan30 - Traffic matching acl1
  epbr ip policy p1
  int vlan 130  -  Traffic matching acl2
  epbr ip policy p1
 
Apply the reverse policy On leaf connected to server if reverse traffic flow needs to be enabled:

int vlan 130 - Traffic matching reverse flow for acl1
epbr ip policy p1 rev
int vlan 140 - Traffic matching reverse flow for acl1
epbr ip policy p1 rev

例:ePBR サービスの構成

次の例は、ePBR サービスを構成する方法を示します。


epbr service FIREWALL 
  probe icmp
  vrf TENANT_A
  service-endpoint ip 172.16.1.200 interface VLAN100 
        reverse ip 172.16.2.200 interface VLAN101
service-endpoint ip 172.16.1.201 interface VLAN100 
        reverse ip 172.16.2.201 interface VLAN101

epbr service TCP_Optimizer 
   probe icmp   
   vrf TENANT_A
service-endpoint ip 172.16.20.200 interface VLAN200 
       reverse ip 172.16.30.200 interface VLAN201

例:ePBR ポリシーの構成

次の例は、ePBR ポリシーを構成する方法を示します。


epbr service FIREWALL
  probe icmp
  service-end-point ip 1.1.1.1 interface Ethernet1/1
     reverse ip 1.1.1.2 interface Ethernet1/2
epbr service TCP_Optimizer
 probe icmp
 service-end-point ip 1.1.1.1 interface Ethernet1/3
     reverse ip 1.1.1.4 interface Ethernet1/4
epbr policy Tenant_A-Redirect
 match ip address WEB
  load-balance method src-ip
  10 set service FIREWALL fail-action drop
  20 set service TCP_Optimizer fail-action bypass
match ip address APP
  10 set service FIREWALL fail-action drop
match ip address exclude_acl exclude
match ip address drop_acl drop

次の例は、fail-action drop 情報を含む show ePBR Policy コマンドの出力を示しています。


switch(config-if)# show epbr policy Tenant_A-Redirect

Policy-map : Tenant_A-Redirect
  Match clause:
    ip address (access-lists): WEB
action:Redirect
   service FIREWALL, sequence 10, fail-action Drop
     IP 1.1.1.1 track 1 [INACTIVE]
   service TCP_Optimizer, sequence 20, fail-action Bypass
     IP 1.1.1.1 track 2 [INACTIVE]
Match clause:
     ip address (access-lists): APP
action:Redirect
   service FIREWALL, sequence 10, fail-action Drop
     IP 1.1.1.1 track 1 [INACTIVE]
Match clause:
    ip address (access-lists): exclude_acl
action:Deny
Match clause:
   ip address (access-lists): drop_acl
action:Drop
 Policy Interfaces:
  Eth1/4

例:インターフェイスと ePBR ポリシーの関連付け

次の例は、ePBR ポリシーを構成する方法を示します。

interface vlan 2010
  epbr ip policy Tenant_A-Redirect

interface vlan 2011
  epbr ip policy Tenant_A-Redirect reverse

例:順方向に適用される ePBR ポリシー

次の例は、順方向に適用されるポリシーのサンプル出力を示しています。

show epbr policy Tenant_A-Redirect
policy-map Tenant_A-Redirect 
	Match clause:
		ip address (access-lists): WEB
	Service chain:
		service FIREWALL  , sequence 10 , fail-action drop
			ip 172.16.1.200 track 10  [ UP ]   
			ip 172.16.1.201 track 11 [ DOWN ]        
	                    service TCP_Optimizer, sequence 20 , fail-action bypass
			ip 172.16.20.200 track 12  [ UP] ]   

	Match clause:
		ip address (access-lists): APP                   
	Service chain:
		service FIREWALL  , sequence 10 , fail-action drop
			ip 172.16.1.200 track 10  [ UP ]   
			ip 172.16.1.201 track 11 [ DOWN ]        
	
	Policy Interfaces:                                               
	    Vlan 2010

例:reverse 方向に適用される ePBR ポリシー

次の例は、reverse 方向に適用されるポリシーのサンプル出力を示しています。

show epbr policy Tenant_A-Redirect reverse
policy-map Tenant_A-Redirect 
	Match clause:
		ip address (access-lists): WEB

	Service chain:
		service TCP_Optimizer, sequence 20 , fail-action bypass
			ip 172.16.30.200 track 15  [ UP] ]   

		service FIREWALL  , sequence 10 , fail-action drop
			ip 172.16.2.200 track 13  [ UP ]   
			ip 172.16.2.201 track 14 [ DOWN ]        
		   
	Match clause:
		ip address (access-lists): APP                   

	Service chain:

		service FIREWALL  , sequence 10 , fail-action drop
			ip 172.16.2.200 track 13  [ UP ]   
			ip 172.16.2.201 track 14 [ DOWN ]        
	
	Policy Interfaces:                                               
	    Vlan 2011

例:ユーザー定義トラック

次の例は、各エンド ポイントにトラック ID を割り当てる方法を示しています。

epbr service FIREWALL 
  probe icmp 
  service-end-point ip 1.1.1.2 interface Ethernet1/21 
probe track 30 
reverse ip 1.1.1.3 interface Ethernet1/22 
  probe track 40 
 service-end-point ip 1.1.1.4 interface Ethernet1/23 
    reverse ip 1.1.1.5 interface Ethernet1/24

例:ePBR セッションを使用した ePBR サービスの変更

次の例は、ePBR サービスの IP を置き換え、別のサービス エンド ポイントを追加する方法を示しています。

switch(config)#epbr session
switch(config-epbr-sess)#epbr service TCP_OPTIMIZER 
switch(config-epbr-sess-svc)# no service-end-point ip 172.16.20.200 interface VLAN200   
switch(config-epbr-sess-svc)#service-end-point ip 172.16.25.200 interface VLAN200    
switch(config-epbr-sess-svc-ep)# reverse ip 172.16.30.200 interface VLAN201 
switch(config-epbr-sess)#commit

例:EPBR セッションを使用した ePBR ポリシーの変更

次の例は、ePBR ポリシーの IP を置き換え、変更されたポリシー トラフィックのサービスチェーンを追加する方法を示しています。

switch(config)#epbr session
switch(config-epbr-sess)#epbr policy Tenant_A-Redirect
switch(config-epbr-sess-pol)# no match ip address WEB 
switch(config-epbr-sess-pol)#match ip address WEB 
switch(config-epbr-sess-pol-match)# 10  set service Web-FW fail-action drop load-balance method src-ip  
switch(config-epbr-sess-pol-match)# 20 set service TCP_Optimizer fail-action bypass 
switch(config-epbr-sess-pol)#match ip address HR
switch(config-epbr-sess-pol-match)# 10  set service Web-FW   
switch(config-epbr-sess-pol-match)# 20 set service TCP_Optimizer 
switch(config-epbr-sess)#commit

例:ePBR 統計ポリシーの表示

次の例は、ePBR 統計ポリシーを表示する方法を示しています。

switch# show epbr statistics policy pol2

Policy-map pol2, match testv6acl

    Bucket count: 2

      traffic match : epbr_pol2_1_fwd_bucket_1
        two : 0
      traffic match : epbr_pol2_1_fwd_bucket_2
        two : 0

その他の参考資料

ePBR の構成の詳細については、次の各セクションを参照してください。

関連資料

関連項目

マニュアル タイトル

IP SLA パケットの CoPP の構成

Cisco Nexus 9000 シリーズ NX-OS IP SLA 構成ガイド、リリース 9.3(x)

ePBR ライセンス

『Cisco NX-OS ライセンス ガイド』

ePBR スケール値

『Cisco Nexus 9000 Series NX-OS Verified Scalability Guide』

標準

標準

タイトル

この機能でサポートされる新規の標準または変更された標準はありません。また、既存の標準のサポートは変更されていません。

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ