ePBR L2 の構成

ePBR L2 に関する情報

Elastic Services Re-direction(ESR)の強化されたポリシーベースのリダイレクト レイヤ 2(ePBR)は、ポート ACL と VLAN 変換を利用して、レイヤ 1/レイヤ 2 サービス アプライアンスの透過的なサービス リダイレクトとサービスチェーンを提供します。このアクションは、余分なヘッダーを追加することなくサービスチェーンと負荷分散機能を実現し、余分なヘッダーを使用する際の遅延を回避するのに役立ちます。

ePBR は、アプリケーション ベースのルーティングを可能にし、アプリケーションのパフォーマンスに影響を与えることなく、柔軟でデバイスに依存しないポリシー ベースのリダイレクト ソリューションを提供します。ePBR サービス フローには、次のタスクが含まれます。

ePBR サービスとポリシーの構成

まず、サービス エンド ポイントの属性を定義する ePBR サービスを作成する必要があります。サービス エンド ポイントは、スイッチに関連付けることができるファイアウォール、IPS などのサービス アプライアンスです。また、サービス エンド ポイントの状態を監視するプローブを定義したり、トラフィック ポリシーが適用されるフォワード インターフェイスと reverse インターフェイスを定義したりすることもできます。 ePBR は、サービスチェーンとともにロード バランシングもサポートします。 ePBR を使用すると、サービス構成の一部として複数のサービス エンド ポイントを構成できます。

ePBR サービスを作成したら、ePBR ポリシーを作成する必要があります。ePBR ポリシーを使用すると、トラフィックの選択、サービス エンド ポイントへのトラフィックのリダイレクト、およびエンド ポイントの正常性障害に関するさまざまな fail-action メカニズムを定義できます。許可アクセス コントロール エントリ(ACE)を備えた IP access-list エンド ポイントを使用して、一致する対象のトラフィックを定義し、適切なアクションを実行できます。

ePBR ポリシーは、複数の ACL 一致定義をサポートします。一致には、シーケンス番号によって順序付けできるチェーンに複数のサービスを含めることができます。これにより、単一のサービス ポリシーでチェーン内の要素を柔軟に追加、挿入、および変更できます。すべてのサービス シーケンスで、ドロップ、転送、バイパスなどの失敗時のアクション メソッドを定義できます。ePBR ポリシーを使用すると、トラフィックの詳細なロード バランシングを行うために、送信元または接続先ベースのロード バランシングとバケット数を指定できます。

ePBR の L2 インターフェイスへの適用

ePBR ポリシーを作成したら、インターフェイスにポリシーを適用する必要があります。これにより、トラフィックがスタンドアロン スイッチに入力するインターフェイスと、トラフィックがリダイレクションまたはサービスチェーンの後にスイッチから出力される必要があるインターフェイスを定義できます。スタンドアロン スイッチに順方向と逆方向の両方でポリシーを適用することもできます。

アクセス ポートとしてのプロダクション インターフェイスの有効化

サービスチェーンするスイッチがトラフィックのリダイレクト向けの 2 つの L3 ルータ間に挿入されている場合、実稼働インターフェイスがアクセス ポートとして有効になります。以下の制限があります。

  • 一致構成の一部としてポートの VLAN を使用する必要があります。

  • これは、mac-learn 無効モードに制限されます。

トランク ポートとしてのプロダクション インターフェイスの有効化

プロダクション インターフェイスはトランク ポートとして構成できます。インターフェイスによってトランクされるサービスチェーンする必要がある着信トラフィックの VLAN は、一致構成の一部として構成する必要があります。

または、一致構成で「vlan all」を使用すると、インターフェイス上の着信 VLAN に関連するすべてのトラフィックが一致し、サービスチェーンされます。

バケットの作成およびロード バランシング

ePBR は、チェーン内でサービスエンドポイントの最大数を持つサービスに基づいてトラフィック バケットの数を計算します。ロード バランス バケットを構成する場合は事前に行ってください。ePBR は送信元 IP および接続先 IP のロード バランシングをサポートしますが、L4 ベースの送信元または接続先のロード バランシング メソッドはサポートしていません。

ePBR オブジェクト トラッキング、ヘルスモニタリング、および Fail-Action

レイヤ 2 ePBR は、デフォルトでサービス エンドポイントのリンク ステート モニタリングを実行します。サービスでサポートされている場合、ユーザはさらに CTP(構成テスト支援プロトコル)を有効にすることができます。

サービス向け、または転送または reverse の各エンドポイント向けに、ePBR プローブ オプションを構成することが可能です。頻度、タイムアウト、および再試行のアップカウントとダウンカウントを構成することもできます。同じトラック オブジェクトが、同じ ePBR サービスを使用するすべてのポリシーに再利用されます。

エンドポイント レベルで定義されているプローブ メソッドがない場合、サービスレベルで構成されるプローブ メソッドを使用できます。

ePBR は、自身のサービスチェーンのシーケンスで次の fail-action メカニズムをサポートします。

  • バイパス

  • ドロップオンフェイル

  • 転送

サービス シーケンスのバイパスは、現在のシーケンスで障害が発生した場合に、トラフィックは次のサービス シーケンスにリダイレクトされる必要があることを示しています。

サービス シーケンスのドロップオンフェイルは、サービスのすべてのサービスエンドポイントが到達不能となる場合に、トラフィックはドロップされる必要があることを示しています。

転送はデフォルトのオプションであり、現在のサービスに障害が発生した場合、トラフィックは出力インターフェイスに転送する必要があることを示します。これはデフォルトの fail-action メカニズムです。


(注)  

対称性が維持されるのは、fail-action バイパスがサービスチェーン内のすべてのサービス向けに構成された場合です。その他の fail-action シナリオでは、1 つまたはそれ以上の機能不全サービスが存在する場合、転送または reverse フローでの対称性は維持されません。

ePBR セッションベースの構成

ePBR セッションにより、次のサービス内のアスペクトのサービスまたはポリシーの追加、削除、変更が可能になります。サービス内とは、アクティブ インターフェイスまたはポリシーに適用されているポリシーに関連付けられたサービスを示し、アクティブ インターフェイス上で変更される、現在構成済みのサービスを示します。

  • インターフェイスおよびプローブを備えたサービスエンドポイント

  • reverse エンドポイントおよびプローブ

  • ポリシーで一致

  • 一致させるための負荷分散メソッド

  • 一致シーケンスおよび fail-action


(注)  

ePBR セッションで、同じセッション内で 1 つのサービスから別のサービスにインターフェイスを移動することはできません。1 つのサービスから別のサービスにインターフェイスを移動させるには、次の手順を行います。

  1. まず初めに、既存のサービスからインターフェイスを削除するための 1 つ目のセッションを実行します。

  2. 既存のサービスにインターフェイスを追加するための 2 つ目のセッションを実行します。

ACL リフレッシュ

ePBR セッション ACL リフレッシュにより、ユーザが入力した ACL がACE を使用して変更、追加、または削除される場合に、ACL を生成するポリシーを更新することができるようになります。リフレッシュ トリガーで、ePBR はこの変更によって影響を受けるポリシーを特定し、それらのポリシー向けに ACL を生成するバケットを作成、削除、または変更します。

ePBR のスケール数については、『Cisco Nexus 9000 Series NX-OS Verified Scalability Guide』を参照してください。

ePBR L2 の注意事項および制約事項

ePBR には、次の注意事項と制限事項 があります。

  • fail-action がいずれかの一致ステートメントで指定されている場合、プローブは構成内に存在していることが必須です。

  • スイッチで MAC ラーニングを無効化するには、 mac-learn disable コマンドを使用します。

  • ePBR 構成内の複数の一致ステートメント全体で同じユーザ定義 ACL を共有しないでください。

  • トラフィックの対称性が維持されるのは、fail-action バイパスが ePBR サービス向けに構成されたときのみです。サービスチェーン内の転送/ドロップなどのその他の fail-action の場合、トラフィックの順方向と逆方向のフローの対称性は維持されません。

  • 機能 ePBR および機能 ITD は同じ入力インターフェイスと共存できません。

  • 拡張済み ePBR 構成では、no feature epbrコマンド を使用する前にポリシーを削除することが推奨されています。

  • VXLAN 上の ePBRv6 は、Cisco Nexus 9500 シリーズ スイッチでサポートされていません。

  • システムから削除されたポートチャネルに構成された ePBR サービスエンドポイントを削除する場合、次の手順を実行してください。

    1. 既存の ePBR ポリシーを削除します。

    2. 既存の ePBR サービスを削除します。

    3. ePBR サービス エンドポイントを必要なポートチャネルに再構成します。

  • 「epbr_」という名前で始まる、動的に作成された ePBR の access-list エントリは変更しないでください。これらの access-lists は ePBR 内部使用向けに予約済みです。


    (注)  

    これらのプレフィックス文字列を変更すると ePBR が正しく機能せず、ISSU に影響を与える可能性があります。

  • すべてのリダイレクション ルールは、ing-ifacl リージョンを使用して ACL TCAM でプログラムされます。このリージョンは、ePBR L2 ポリシーを適用する前に分割して割り当てる必要があります。


    (注)  

    TCAM リージョンの分割方法の手順については、「Cisco Nexus 9000 シリーズ NX-OS セキュリティ構成ガイド」の [IP ACL の構成(Configuring IP ACLs)] セクションを参照してください。

  • ePBR L2 では、VLAN 変換と Q-in-Q 用に VLAN 範囲を予約する必要があります。この範囲は、トラフィックの一致構成に使用される VLAN と重複しないようにすることが推奨されています。

  • ePBR の「インフラ」VLAN は、ePBR レイヤ 2 ポリシーを適用する前に予約済みにする必要があります。

  • トランク ポートとして構成された本番インターフェイスの場合、ePBR「infra vlan」範囲で指定された VLAN に対してのみ VLAN トランキングを有効にします。

  • ePBR L2 は、VLAN ヘッダーを変更または削除せずに、パケットをそのまま転送するようにサービス アプライアンスが構成されていることを想定しています。

  • ePBR L2 ポリシーは、順方向の単一のインターフェイスと逆方向の単一のインターフェイスにのみ適用できます。異なるインターフェイス ペアで同様にサービスチェーンを作成するには、ポリシーを複製する必要があります。

  • ePBR L2 ポリシーの各一致には、トランク インターフェイスに適用される場合、一意の一致 VLAN または一意の VLAN 範囲が必要です。トランク インターフェイスに適用されるポリシーには、「vlan all」との一致が 1 つだけ存在できます。

  • 複数のサービス デバイス間の負荷分散を行い、CTP ヘルスチェックを介してこれらのデバイスの障害を一意に検出するには、各サービス デバイスを ePBR サービスの一意のエンドポイントとして定義する必要があります。

  • バケットベースの負荷分散は、ePBR ポリシーのレイヤ 2 一致ではサポートされていません。

  • ネイバー探索パケットを含む「すべての」IPv6 トラフィックをサービスチェーンまたはリダイレクトするには、プロトコル タイプが ND-NA および ND-NS である ICMPv6 エースを、ユーザ定義の一致アクセス リストで明示的に定義する必要があります。

  • 「すべての」レイヤ 2 トラフィックをサービスチェーンまたはリダイレクトするために、ARP(0x806)、VN-Tag(0x8926)、FCOE(0x8906)、MPLS ユニキャスト(0x8847)、MPLS マルチキャスト(0x8848)のプロトコルに一致する一意の ACES必要に応じて、ユーザ定義の一致アクセス リストに明示的に追加する必要があります。

  • レイヤ 2 ePBR は、レイヤ 2 制御パケットのサービスチェーンまたはリダイレクトをサポートしていません。

  • 意図しない動作を防ぐために、使用中の ePBR 実稼働インターフェイスおよび/またはサービス インターフェイスのデフォルト設定は避ける必要があります。

次の注意事項および制約事項を一致 ACL 機能に適用します。

  • permit メソッドを持つ ACE のみが ACL でサポートされます。他の方法(deny または remark など)の ACE は無視されます。

  • 1 つの ACL で最大 256 の許可 ACE がサポートされます。

次のガイドラインと制限事項が VRF 間のサービスチェーンに適用されます。

  • Cisco NX-OS リリース 10.2(3)F 以降、エンドポイントの追加、サービス シーケンスの追加、削除および変更のセッション操作中のトラフィックの中断を最小限にするために、事前にロードバランス バケットの構成を行い、ロードバランス構成への変更を回避することが推奨されています。ロードバランス向けに構成されたバケットの数が、チェーン内の各シーケンス向けのサービスで構成されたエンドポイントの数より多くなるようにしてください。

ePBR サービス、ポリシーの構成およびインターフェイスへの関連付け

次のセクションでは、ePBR サービス、ePBR ポリシーの構成、およびインターフェイスへのポリシーの関連付けについて説明します。

手順の概要

  1. configure terminal
  2. [no] epbr infra vlans [vlan range]
  3. epbr service service-name type l2
  4. mode [full duplex | half duplex]
  5. probe {ctp} [frequency seconds] [timeout seconds] [retry-down-count count] retry-up-count count]
  6. service-endpoint [interface interface-name interface-number]
  7. reverse interface interface-name interface-number
  8. exit
  9. epbr policy policy-name
  10. match { [ip address ipv4 acl-name] | [ipv6 address ipv6 acl-name] | [l2 address l2 acl-name]} {drop | exclude | redirect | vlan{vlan | vlan range | all}}
  11. [no] load-balance [ method { src-ip | dst-ip}] [ buckets count]
  12. sequence-number set service service-name [ fail-action { bypass | drop | forward}
  13. interface interface-name interface-number
  14. epbr {l2} policy policy-name egress-interface interface-name [reverse]
  15. exit

手順の詳細

  コマンドまたはアクション 目的
ステップ 1

configure terminal

例:

switch# configure terminal
switch(config)#

コンフィギュレーション モードに入ります。

ステップ 2

[no] epbr infra vlans [vlan range]

VLAN 範囲は、サービス デバイスへのリダイレクト中に選択的な dot1q 変換用に予約された VLAN を示すために使用されています。
ステップ 3

epbr service service-name type l2

例:

switch(config)# epbr service firewall type l2

新しい ePBR L2 サービスを作成します。
ステップ 4

mode [full duplex | half duplex]

サービスを半二重または全二重モードに構成します。
ステップ 5

probe {ctp} [frequency seconds] [timeout seconds] [retry-down-count count] retry-up-count count]

例:

switch(config)# probe icmp

ePBR サービスのプローブを構成します。

オプションは次のとおりです。

  • 頻度:プローブの頻度を秒単位で指定します。値の範囲は 1 ~ 604800 です。

  • 再試行ダウン カウント:ノードがダウンしたときにプローブによって実行される再カウントの数を指定します。指定できる範囲は 1 ~ 5 です。

  • 再試行アップ カウント:ノードが復帰したときにプローブが実行する再カウントの数を指定します。指定できる範囲は 1 ~ 5 です。

  • タイムアウト:タイムアウト期間を秒単位で指定します。値の範囲は 1 ~ 604800 です。
ステップ 6

service-endpoint [interface interface-name interface-number]

例:

switch(config-epbr-svc)# service-end-point interface Ethernet1/3

ePBR サービスのサービスエンドポイントを構成します。

手順 2 ~ 5 を繰り返して、別の ePBR サービスを構成できます。
ステップ 7

reverse interface interface-name interface-number

例:

switch(config-epbr-fwd-svc)# reverse interface Ethernet1/4

トラフィック ポリシーが適用される reverse インターフェイスを定義します。
ステップ 8

exit

例:

switch(config-epbr-reverse-svc)# exit
switch(config-epbr-fwd-svc)# exit
switch(config-epbr-svc)# exit
switch(config)#

ePBR サービス構成モードを終了し、グローバル コンフィギュレーション モードを開始します。
ステップ 9

epbr policy policy-name

例:

switch(config)# epbr policy Tenant_A-Redirect

ePBR ポリシーを構成します。
ステップ 10

match { [ip address ipv4 acl-name] | [ipv6 address ipv6 acl-name] | [l2 address l2 acl-name]} {drop | exclude | redirect | vlan{vlan | vlan range | all}}

例:

switch (config) # match ip address WEB vlan 10

IPv4 または IPv6 アドレス、または MAC アドレスを IP、IPv6、または MAC ACL と照合します。リダイレクトは、一致トラフィックのデフォルト アクションです。ドロップは、着信インターフェイスでトラフィックをドロップする必要がある場合に使用されます。除外オプションは、着信インターフェイスのサービスチェーンから特定のトラフィックを除外するために使用されます。

この手順を繰り返して、要件に基づいて複数の ACL を一致させることができます。
ステップ 11

[no] load-balance [ method { src-ip | dst-ip}] [ buckets count]

例:

switch(config)# load-balance method src-ip

ePBR サービスで使用されるロードバランス メソッドとバケット数を計算します。
ステップ 12

sequence-number set service service-name [ fail-action { bypass | drop | forward}

例:

switch(config)# set service firewall fail-action drop

fail-action メカニズムを構成します。
ステップ 13

interface interface-name interface-number

例:

switch(config)# interface Ethernet1/1

インターフェイス構成モードを開始します。
ステップ 14

epbr {l2} policy policy-name egress-interface interface-name [reverse]

例:

epbr l2 policy Tenant_A_Redirect egress-interface Ethernet1/2

インターフェイスは、いつでも次の 1 つの順方向のポリシーと 1 つの逆方向のポリシーに関連付けることができます。

  • 順方向の IPV4 ポリシー

  • 逆方向の IPv4 ポリシー

  • 順方向の IPv6 ポリシー

  • 逆方向の IPv6 ポリシー

  • 順方向の l2 ポリシー

  • 逆方向の l2 ポリシー
ステップ 15

exit

例:

switch(config-if)# end

ポリシー構成モードを終了し、グローバル モードに戻ります。

ePBR セッションを使用したサービスの変更

次の手順では、ePBR セッションを使用してサービスを変更する方法を説明しています。

手順の概要

  1. epbr session
  2. epbr service service-name type l2
  3. [no] service-endpoint [interface interface-name]
  4. service-endpoint [interface interface-name]
  5. reverse [interface interface-name]
  6. commit

手順の詳細

  コマンドまたはアクション 目的
ステップ 1

epbr session

例:

switch(config)# epbr session

ePBR セッション モードに入ります。
ステップ 2

epbr service service-name type l2

例:

switch(config-epbr-sess)# epbr service TCP_OPTIMIZER

ePBR セッション モードで構成する ePBR サービスを指定します。
ステップ 3

[no] service-endpoint [interface interface-name]

例:

switch(config-epbr-sess-svc)# no service-end-point interface ethernet 1/3

ePBR サービス向けに構成されたサービスエンドポイントを無効にします。
ステップ 4

service-endpoint [interface interface-name]

例:

switch(config-epbr-sess-svc)# service-end-point interface ethernet 1/15

サービスにサービスエンドポイントを追加します。
ステップ 5

reverse [interface interface-name]

例:

switch(config-epbr-sess-fwd-svc)# reverse interface ethernet 1/4

トラフィック ポリシーが適用される reverse インターフェイスを定義します。
ステップ 6

commit

例:

switch(config-epbr-sess)#commit

ePBR セッションを使用した ePBR サービスの変更を完了します。

(注)   

このステップの完了後に ePBR セッションを再起動します。

ePBR セッションを使用したポリシーの変更

次の手順では、ePBR セッションを使用してポリシーを変更する方法について説明します。

手順の概要

  1. epbr session
  2. epbr policy policy-name
  3. [no] match { [ip address ipv4 acl-name] | [ipv6 address ipv6 acl-name] | l2 address mac acl-name]} vlan {all | vlan-id | vlan-id-range
  4. match { [ip address ipv4 acl-name] | [ipv6 address ipv6 acl-name] | l2 address mac acl-name]} vlan {all | vlan-id | vlan-id-range]
  5. sequence-number set service service-name [ fail-action { bypass | drop | forward}] [load-balance [ method { src-ip | dst-ip}] [ buckets sequence-number]
  6. load-balance set service service-name [ fail-action { bypass | drop | forward}] [load-balance [ method { src-ip | dst-ip}] [ buckets no-of-buckets]
  7. commit
  8. end

手順の詳細

  コマンドまたはアクション 目的
ステップ 1

epbr session

ステップ 2

epbr policy policy-name

例:

switch(config-epbr-sess)# epbr policy Tenant_A-Redirect

ePBR セッション モードで構成する ePBR ポリシーを指定します。
ステップ 3

[no] match { [ip address ipv4 acl-name] | [ipv6 address ipv6 acl-name] | l2 address mac acl-name]} vlan {all | vlan-id | vlan-id-range

例:

switch(config-epbr-sess-pol)# no match ip address WEB

IP、IPv6、または L2 ACL に対する一致を無効にします。
ステップ 4

match { [ip address ipv4 acl-name] | [ipv6 address ipv6 acl-name] | l2 address mac acl-name]} vlan {all | vlan-id | vlan-id-range]

例:

switch(config-epbr-sess-pol)# match ip address HR

IP、IPv6、または L2 ACL に対する一致を変更します。
ステップ 5

sequence-number set service service-name [ fail-action { bypass | drop | forward}] [load-balance [ method { src-ip | dst-ip}] [ buckets sequence-number]

例:

switch(config-epbr-sess-pol-match)# 10  set service Web-FW

一致するシーケンスを追加、変更、または削除するか、既存のシーケンスの fail-action アクションを変更します。
ステップ 6

load-balance set service service-name [ fail-action { bypass | drop | forward}] [load-balance [ method { src-ip | dst-ip}] [ buckets no-of-buckets]

例:

switch(config-epbr-sess-pol-match)# 10  set service Web-FW

一致のロードバランス メソッドとバケットを構成します。

(注)   

既存の一致のサービスチェーンを変更するときに、セッション コンテキストでこの構成を省略すると、一致のロードバランス構成がデフォルトにリセットされます。
ステップ 7

commit

例:

switch(config-epbr-sess)#commit

ePBR セッションを使用した ePBR サービスの変更を完了します。
ステップ 8

end

例:

switch(config-epbr-sess)#end

ePBR セッション モードを終了します。

ePBR ポリシーによる使用される Access-list の更新

次の手順では、ePBR ポリシーで使用される access-list を更新する方法について説明します。

手順の概要

  1. epbr session access-list acl-name refresh
  2. end

手順の詳細

  コマンドまたはアクション 目的
ステップ 1

epbr session access-list acl-name refresh

例:

switch(config)# epbr session access-list WEB refresh

ポリシーによって生成された ACL を更新またはリフレッシュします。
ステップ 2

end

例:

switch(config)# end

グローバル コンフィギュレーション モードを終了します。

ePBR Show コマンド

次のリストに、ePBR に関連する show コマンドを示します。

手順の概要

  1. show epbr policy policy-name [reverse]
  2. show epbr statistics policy-name [reverse]
  3. show tech-support epbr
  4. show running-config epbr
  5. show startup-config epbr

手順の詳細

  コマンドまたはアクション 目的
ステップ 1

show epbr policy policy-name [reverse]

例:

switch# show epbr policy Tenant_A-Redirect

順方向または逆方向に適用される ePBR ポリシーに関する情報を表示します。
ステップ 2

show epbr statistics policy-name [reverse]

例:

switch# show ePBR statistics policy pol2

ePBR ポリシー統計を表示します。
ステップ 3

show tech-support epbr

例:

switch# show tech-support epbr

ePBR のテクニカル サポート情報を表示します。
ステップ 4

show running-config epbr

例:

switch# show running-config epbr

ePBR の実行構成を表示します。
ステップ 5

show startup-config epbr

例:

switch# show startup-config epbr

ePBR のスタートアップ構成を表示します。

ePBR 構成の確認

ePBR 構成を確認するためには、次のコマンドを使用します。

コマンド

目的

show ip access-list <access-list name> dynamic

バケット アクセス リストのトラフィック一致基準を表示します。

show ip sla configuration dynamic

プローブが有効になっている場合に、チェーン内のサービスエンドポイントに対して ePBR によって生成された IP SLA 構成を表示します。

show track dynamic

プローブが有効になっている場合に、チェーン内のサービスエンドポイントに対して ePBR によって生成されたトラックを表示します。

show ip access-list summary

バケット アクセス リストのトラフィック一致基準のサマリを表示します。

show [ip | ipv6 | mac ] access-lists dynamic

一致基準のダイナミック エントリを表示します。

ePBR の構成例

例:ePBR のスタンドアロン構成

次のトポロジは、ePBR スタンドアロン構成を示しています。

図 1. ePBR のスタンドアロン構成

例:アクセス ポートおよびトランク ポートのサービス構成

次の構成例は、アクセス ポートとトランク ポートのサービス構成を実行する方法を示しています。

epbr infra vlans 100-200
 
epbr service app_1 type l2
   service-end-point interface Ethernet1/3
    reverse  interface Ethernet1/4
 
epbr service app_2 type l2
   probe ctp frequency 2 retry-down-count 1 retry-up-count 1 timeout 1
   service-end-point interface port-channel10
    reverse  interface port-channel11
 
epbr service app_3 type l2
   probe ctp frequency 2 retry-down-count 1 retry-up-count 1 timeout 1
   service-end-point interface Ethernet1/9
    reverse  interface Ethernet1/10
 
epbr service app_4 type l2
   probe ctp frequency 2 retry-down-count 1 retry-up-count 1 timeout 1
   service-end-point interface port-channel12
    reverse  interface port-channel13

例:アクセス ポートの構成

次の例では、アクセス ポートを構成する方法を示します。

epbr policy p1
  statistics
  match ipv6 address flow2 vlan 10
    load-balance buckets 2
    10 set service app_1
    20 set service app_3
    25 set service app_4
    30 set service app_2
  match l2 address flow3 vlan 10
    20 set service app_2
    25 set service app_4
    50 set service app_3
  match ip address flow1 vlan 10
    10 set service app_1
    15 set service app_3
    20 set service app_2
 
interface Ethernet1/1
  switchport
  switchport access vlan 10
  no shutdown
  epbr l2 policy p1 egress-interface Ethernet1/2
 
interface Ethernet1/2
  switchport
  switchport access vlan 10
  no shutdown
  epbr l2 policy p1 egress-interface Ethernet1/1 reverse

例:トランク ポートの構成

次の構成例は、トランク ポートを構成する方法を示します。 

epbr policy p3
  statistics
  match ip address flow1 vlan 10
    load-balance buckets 2
    10 set service app_1
    20 set service app_2
  match ipv6 address flow2 vlan 20
    load-balance buckets 2
    10 set service app_3
    20 set service app_4
  match l2 address flow3 vlan 30
    10 set service app_1
    20 set service app_2
 
interface Ethernet1/27
  switchport
  switchport mode trunk
  no shutdown
  epbr l2 policy p3 egress-interface Ethernet1/28
 
interface Ethernet1/28
  switchport
  switchport mode trunk
  no shutdown
  epbr l2 policy p3 egress-interface Ethernet1/27 reverse
 
Collecting statistics

統計の収集:


itd-san-2# show epbr statistics policy p1
 
Policy-map p1, match flow2
 
    Bucket count: 2
 
      traffic match : bucket 1
        app_1 : 8986 (Redirect)
        app_3 : 8679 (Redirect)
        app_4 : 8710 (Redirect)
        app_2 : 8725 (Redirect)
      traffic match : bucket 2
        app_1 : 8696 (Redirect)
        app_3 : 8680 (Redirect)
        app_4 : 8711 (Redirect)
        app_2 : 8725 (Redirect)
 
Policy-map p1, match flow3
 
    Bucket count: 1
 
      traffic match : bucket 1
        app_2 : 17401 (Redirect)
        app_4 : 17489 (Redirect)
        app_3 : 17461 (Redirect)
 
Policy-map p1, match flow1
 
    Bucket count: 1
 
      traffic match : bucket 1
        app_1 : 17382 (Redirect)
        app_3 : 17348 (Redirect)
        app_2 : 17411 (Redirect)

例:ePBR ポリシーの表示

次の例では、ePBR ポリシーを表示する方法を示します。 

show epbr policy p3

Policy-map : p3
Match clause:
ip address (access-lists): flow1
action:Redirect
service app_1, sequence 10, fail-action No fail-action
Ethernet1/3 track 4 [UP]
service app_2, sequence 20, fail-action No fail-action
port-channel10 track 10 [UP]
Match clause:
ipv6 address (access-lists): flow2
action:Redirect
service app_3, sequence 10, fail-action No fail-action
Ethernet1/9 track 13 [UP]
service app_4, sequence 20, fail-action No fail-action
port-channel12 track 3 [UP]
Match clause:
layer-2 address (access-lists): flow3
action:Redirect
service app_1, sequence 10, fail-action No fail-action
Ethernet1/3 track 4 [UP]
service app_2, sequence 20, fail-action No fail-action
port-channel10 track 10 [UP]
Policy Interfaces:
egress-interface Eth1/28