Esempio di integrazione di Cisco Nexus RISE e Netscaler

Introduzione

Questo documento descrive l'integrazione di Cisco Nexus 7000 RISE con Citrix NetScaler.

Cisco® Remote Integrated Services Engine (RISE) è una soluzione innovativa che consente a qualsiasi appliance di servizio Citrix NetScaler, fisica o virtuale, di apparire come una scheda di linea virtuale sugli switch Cisco Nexus® serie 7000. Cisco RISE stabilisce un percorso di comunicazione tra il piano dati della rete e l'appliance di servizio. Questa stretta integrazione semplifica l'installazione dei servizi e ottimizza i percorsi dei dati delle applicazioni, migliorando l'efficienza operativa del centro dati.

I principali vantaggi di Cisco RISE includono:

● Disponibilità appliance migliorata: Cisco RISE consente una gestione efficiente dell'appliance di servizio grazie alla possibilità di ottenere aggiornamenti in tempo reale del percorso dall'appliance, riducendo in tal modo la probabilità di interruzione delle route per il traffico delle applicazioni. Sfruttando il control plane esteso, Cisco RISE è in grado di fornire una convergenza e un ripristino più rapidi in caso di errori del servizio a livello di applicazione e di dispositivo. Cisco RISE migliora inoltre l'esperienza del giorno 0 attraverso il discovery automatico e il bootstrap, riducendo la necessità di coinvolgimento dell'amministratore.

● Ottimizzazione del percorso dati: Gli amministratori possono utilizzare una vasta gamma di funzionalità Cisco RISE per automatizzare e ottimizzare la fornitura di servizi di rete in un centro dati dinamico. Nei controller ADC (Application Delivery Controller), il routing automatico basato su policy (APBR) consente all'appliance di ottenere i parametri dello switch Cisco Nexus necessari per implementare automaticamente i percorsi. Queste route vengono apprese dinamicamente ogni volta che viene eseguito il provisioning di nuove applicazioni. L'APBR elimina la necessità per gli amministratori di configurare manualmente route basate su criteri per reindirizzare il traffico di risposta del server all'ADC, mantenendo l'indirizzo IP di origine del client.

● Cisco RISE consente anche l'integrazione control-plane con gli accessori di piattaforma Cisco Prime™ Network Analysis Module (NAM) 2300, semplificando l'esperienza operativa per gli amministratori di rete. Integrato con gli switch Cisco Nexus serie 7000, Cisco Prime NAM offre visibilità delle applicazioni, analisi delle prestazioni e una maggiore intelligenza della rete. Questa visibilità consente agli amministratori di gestire in modo efficace la distribuzione delle applicazioni distribuite. L'integrazione di Cisco RISE si evolverà per estendere la visibilità in modo trasparente su più contesti di dispositivi virtuali (VDC) sullo switch, migliorando ulteriormente l'agilità e la semplicità operativa. Scalabilità e flessibilità: Cisco RISE può essere implementato sugli switch Cisco Nexus serie 7000 e consente l'esecuzione di appliance di servizio nelle VDC, consentendo in tal modo l'installazione di istanze di servizio indipendenti in diversi modi, ad esempio uno-a-molti, molti-a-uno e un'infinita varietà di configurazioni molti-a-molti per supportare qualsiasi scenario multi-tenant.

● Maggiore agilità aziendale: Cisco RISE può adattarsi alle crescenti esigenze dei centri dati e dei clienti fornendo le risorse in tempo reale. Cisco RISE riduce inoltre il tempo necessario per implementare nuovi servizi, eliminando la necessità di riprogettare la rete e rispondendo in modo dinamico alle mutevoli esigenze dei clienti.

Requisiti

Conoscenze base di NXOS e RISE

Conoscenza di base di NetScaler. 

Componenti usati

Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

• Software Nexus 7010 NXOS 6.2(16)
• Citrix NetScaler NSMPX-1500. Versione del software: NS11.1: Build 50.10.nc

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Topologia

Panoramica

In laboratorio, abbiamo i seguenti dispositivi:

1. Due server che eseguono Windows 2008 R2: IIS come server Web. Ogni server dispone di una pagina Web di prova
2. Switch Nexus 7000: Servizio RISE in esecuzione su questo switch, reindirizza il traffico HTTP a NetScaler
3. Citrix NetScaler esegue il bilanciamento del carico del traffico
4. PC di test di gestione

In questo laboratorio NetScaler ha abilitato USIP per offrire i seguenti vantaggi:

- I registri dei server Web possono utilizzare un indirizzo IP reale per aumentare la tracciabilità
- Il server Web può utilizzare indirizzi IP reali per controllare chi può accedere a cosa
- L'applicazione Web richiede l'indirizzo IP del client per la registrazione
- L'applicazione Web richiede l'IP client per l'autenticazione

Senza USIP, tutti gli indirizzi IP di origine della richiesta HTTP provengono da NetScaler.

Se il protocollo USIP è abilitato, il flusso del traffico è il seguente:

1. Sul PC, aprire il browser Web e andare su http://40.40.41.101/test.html.
2. La richiesta HTTP raggiungerà Nexus 7000. N7K reindirizzerà il traffico a NetScaler.
3. NetScaler invia la richiesta a uno dei server.
4. La risposta HTTP del server raggiunge N7K, ma l'indirizzo IP di origine è l'indirizzo reale del server, ad esempio l'indirizzo IP di origine può essere 30.30.32.35 o 30.30.31.33. Poiché N7K ha configurato RISE, NON invierà direttamente la risposta al PC. ma utilizza la ricerca PBR e invia nuovamente la risposta HTTP a NetScaler. In questo modo, il flusso del traffico non viene interrotto.
5. NetScaler modifica l'indirizzo IP di origine della risposta HTTP in VIP 40.40.41.101 e invia la risposta HTTP al PC

Configurazione

Configurazione di Nexus 7010

feature ospf
feature pbr
feature interface-vlan
feature hsrp
feature rise


vlan 1,99,125,130,132,201
 
route-map _rise-system-rmap-Vlan125 permit 1                      !- - - - - >Generated by RISE. Manual configuration is NOT required.
  match ip address _rise-system-acl-20.20.21.5-Vlan125            !- - - - - >Generated by RISE. Manual configuration is NOT required.
  set ip next-hop 20.20.21.5                                      !- - - - - >Generated by RISE. Manual configuration is NOT required.
route-map _rise-system-rmap-Vlan132 permit 1                      !- - - - - >Generated by RISE. Manual configuration is NOT required.
  match ip address _rise-system-acl-20.20.21.5-Vlan132            !- - - - - >Generated by RISE. Manual configuration is NOT required.
  set ip next-hop 20.20.21.5                                      !- - - - - >Generated by RISE. Manual configuration is NOT required.

interface Vlan99

  description RISE control VLAN SVI
  no shutdown
  mtu 9216
  no ip redirects
  ip address 20.20.99.2/24
  no ipv6 redirects
  ip ospf passive-interface
  hsrp version 2
  hsrp 99
    preempt
    priority 110
    ip 20.20.99.1
 
interface Vlan125

  description RISE server 1 VLAN SVI
  no shutdown
  ip address 30.30.31.1/24
  ip policy route-map _rise-system-rmap-Vlan125              !- - - - - >Generated by RISE. Manual configuration is NOT required.
 
interface Vlan130

  description RISE testing PC VLAN SVI
  no shutdown
  ip address 100.100.100.1/24
 
interface Vlan132

  description RISE server 2 VLAN SVI
  no shutdown
  ip address 30.30.32.1/24
  ip policy route-map _rise-system-rmap-Vlan132           !- - - - - >Generated by RISE. Manual configuration is NOT required.
 
interface Vlan201

  description RISE Data VLAN SVI
  no shutdown
  mtu 9216
  no ip redirects
  ip address 20.20.21.2/24
  no ipv6 redirects
  ip ospf passive-interface
  hsrp version 2
  hsrp 201
    preempt
    priority 110
    ip 20.20.21.1
 
interface Ethernet9/1
  description connect to Testing PC
  switchport
  switchport access vlan 130
  no shutdown
 
interface Ethernet9/2
  description connect to Server 1
  switchport
  switchport access vlan 125
  no shutdown
 
interface Ethernet9/3
  description connect to Server 2
  switchport
  switchport access vlan 132
  no shutdown
 
interface Ethernet10/1
  description connect to NetScaler
  switchport
  switchport mode trunk
  switchport trunk allowed vlan 99,201
  spanning-tree port type edge
  no shutdown
 
service vlan-group 21 201
service type rise name ns21 mode indirect
  vlan 99
  vlan group 21
  ip 20.20.99.5 255.255.255.0
  no shutdown

Configurazione NetScaler 

#Configure NSIP, this is also the IP used by N7K for RISE

set ns config -IPAddress 20.20.99.5 -netmask 255.255.255.0

 

#Configure NSVLAN 99 and bind it to LACP channel LA/1

set ns config -nsvlan 99 -ifnum LA/1

 

# Enable RISE

enable ns feature WL SP LB CS CMP PQ SSL HDOSP REWRITE RISE
enable ns mode FR L3 USIP CKA TCPB Edge USNIP PMTUD RISE_APBR RISE_RHI

 

#Configure interfaces

set interface 10/1 -mtu 9000 -throughput 0 -bandwidthHigh 0 -bandwidthNormal 0 -intftype "Intel 10G" -ifnum LA/1

add channel LA/1 -tagall ON -throughput 0 -bandwidthHigh 0 -bandwidthNormal 0
set channel LA/1 -mtu 9000 -tagall ON -throughput 0 -lrMinThroughput 0 -bandwidthHigh 0 -bandwidthNormal 0
bind channel LA/1 10/1

 

#Add RISE control and data VLANs

add vlan 99
add vlan 201

 

 

#Configure RISE data VLAN IP address and bind interface to data VLAN

add ns ip 10.66.91.170 255.255.254.0 -vServer DISABLED -mgmtAccess ENABLED   #This is for management only
add ns ip 20.20.21.5 255.255.255.0 -vServer DISABLED 

bind vlan 201 -ifnum LA/1 -tagged                #Need to be tagged because N7K E10/1 is configured as trunk port.
bind vlan 201 -IPAddress 20.20.21.5 255.255.255.0

 

# Configure Virtual Servers.

add ns ip 40.40.41.101 255.255.255.0 -type VIP -snmp DISABLED -hostRoute ENABLED -hostRtGw 20.20.21.5 -metric 100 -vserverRHILevel NONE -vserverRHIMode RISE

add server SERV-2 30.30.32.35
add server SERV-1 30.30.31.33

add service SVC-1-tcpHTTP SERV-1 TCP 80 -gslb NONE -maxClient 0 -maxReq 0 -cip DISABLED -usip YES -useproxyport YES -sp OFF -cltTimeout 180 -svrTimeout 360 -CKA YES -TCPB NO -CMP NO
add service SVC-2-tcpHTTP SERV-2 TCP 80 -gslb NONE -maxClient 0 -maxReq 0 -cip DISABLED -usip YES -useproxyport YES -sp OFF -cltTimeout 180 -svrTimeout 360 -CKA YES -TCPB NO -CMP NO

add lb vserver VSRV-40-tcpHTTP TCP 40.40.41.101 80 -persistenceType NONE -connfailover STATEFUL -cltTimeout 180
add lb vserver VSRV-40-tcpHTTPS TCP 40.40.41.101 443 -persistenceType NONE -connfailover STATEFUL -cltTimeout 180

bind lb vserver VSRV-40-tcpHTTP SVC-1-tcpHTTP
bind lb vserver VSRV-40-tcpHTTP SVC-2-tcpHTTP

 

#Configure route
add route 0.0.0.0 0.0.0.0 20.20.21.1
add route 10.0.0.0 255.0.0.0 10.66.91.1                                   # - - - - > For management only
add route 30.30.31.0 255.255.255.0 20.20.21.1                  
add route 30.30.32.0 255.255.255.0 20.20.21.1

 

#configure RISE to run in indirect mode

set rise param -indirectMode ENABLED

 

#Save config and reboot

save ns config

reboot
Are you sure you want to restart NetScaler (Y/N)? [N]:y

Server

In questo esempio viene utilizzato Microsoft Windows 2008 R2 IIS come server Web. Per configurare IIS, consultare la documentazione di Windows.

Una volta installato IIS, è possibile accedere direttamente al VIP del server Web senza creare altre pagine Web. In questa documentazione, per dimostrare il failover, viene creata una pagina di test "test.html" su ogni server nella directory principale di IIS (per impostazione predefinita c:\inetpub\wwwroot). Il contenuto della pagina di prova è il seguente:

Contenuto della pagina di test del server 1: "Questo è il server 1"

Contenuto della pagina di test del server 2: "Questo è il server 2"

Verifica

Fare riferimento a questa sezione per verificare che la configurazione funzioni correttamente.

Verifica sul PC

1. Apri il browser e vai a http://40.40.41.101/test.html. Viene visualizzata una delle pagine di prova.

2. Arrestare il server 1. Ripetere il passaggio 1. Dovrebbe essere visualizzato "This is server 2"

3. Portare in linea il server 1 e arrestare il server 2. Ripetere nuovamente il passaggio 1. Dovrebbe essere visualizzato "This is server 1" (Questo è il server 1)

Verifica su N7K

STLD1-630-01.05-N7K-RU21# show ip route static

IP Route Table for VRF "default"

'*' denotes best ucast next-hop

'**' denotes best mcast next-hop

'[x/y]' denotes [preference/metric]

'%<string>' in via output denotes VRF <string>

 

40.40.41.101/32, ubest/mbest: 1/0                  - - - - - - - - >RHI injected routes

    *via 20.20.21.5, Vlan201, [100/0], 03:18:00, static

 

STLD1-630-01.05-N7K-RU21# show route-map

route-map _rise-system-rmap-Vlan125, permit, sequence 1           - - -- - - - - - >Generated by NetScaler.

  Match clauses:

    ip address (access-lists): _rise-system-acl-20.20.21.5-Vlan125 

  Set clauses:

    ip next-hop 20.20.21.5 

route-map _rise-system-rmap-Vlan132, permit, sequence 1      - - -- - - - - - >Generated by NetScaler.

  Match clauses:

    ip address (access-lists): _rise-system-acl-20.20.21.5-Vlan132 

  Set clauses:

    ip next-hop 20.20.21.5 

STLD1-630-01.05-N7K-RU21# sho access-lists dynamic      - - - - - >Dynamic ACL download from NetScaler (or pushed by Netscaler)

 

IP access list __urpf_v4_acl__

        10 permit ip any any 

IPv6 access list __urpf_v6_acl__

        10 permit ipv6 any any 

IP access list _rise-system-acl-20.20.21.5-Vlan125

        10 permit tcp 30.30.31.33/32 eq 443 any 

        20 permit tcp 30.30.31.33/32 eq www any 

IP access list _rise-system-acl-20.20.21.5-Vlan132

        10 permit tcp 30.30.32.35/32 eq 443 any 

        20 permit tcp 30.30.32.35/32 eq www any 

IP access list sl_def_acl

        statistics per-entry 

        10 deny tcp any any eq telnet syn 

        20 deny tcp any any eq www syn 

        30 deny tcp any any eq 22 syn 

        40 permit ip any any 

STLD1-630-01.05-N7K-RU21# show run int vl 132

 

!Command: show running-config interface Vlan132

!Time: Mon Mar 27 03:44:13 2017

 

version 6.2(16)

 

interface Vlan132

  no shutdown

  ip address 30.30.32.1/24

  ip policy route-map _rise-system-rmap-Vlan132            - - - - - >APBR, this command was generated by RISE

 

STLD1-630-01.05-N7K-RU21# show run int vl 125

 

!Command: show running-config interface Vlan125

!Time: Mon Mar 27 03:44:16 2017

 

version 6.2(16)

 

interface Vlan125

  no shutdown

  ip address 30.30.31.1/24

  ip policy route-map _rise-system-rmap-Vlan125    - - - - - >APBR, this command was generated by RISE

 

STLD1-630-01.05-N7K-RU21# 

TLD1-630-01.05-N7K-RU21# show rise

Name            Slot Vdc Rise-Ip         State        Interface

                  Id  Id                                       

--------------- ---- --- --------------- ------------ ----------------

ns21            300  1   20.20.99.5      active       N/A            

 

RHI Configuration

ip              prefix len nhop ip         weight vlan vrf        slot-id

--------------- ---------- --------------- ------ ---- ---------- -------

40.40.41.101    32         20.20.21.5      100    201  default    300             - - - - > RHI

 

APBR Configuration                                                                - - - - > APBR

rs ip           rs port protocol nhop ip         rs nhop  apbr state slot-id

--------------- ------- -------- --------------- -------- ---------- -------

30.30.31.33     80      TCP      20.20.21.5      Vlan125  ADD DONE   300    

30.30.31.33     443     TCP      20.20.21.5      Vlan125  ADD DONE   300    

30.30.32.35     80      TCP      20.20.21.5      Vlan132  ADD DONE   300    

30.30.32.35     443     TCP      20.20.21.5      Vlan132  ADD DONE   300