Voorbeeld van integratie met Cisco Nexus RISE en NetSER

Inleiding

Dit document beschrijft Cisco Nexus 7000 RISE-integratie met Citrix NetScaler.

De Cisco® Remote Integrated Services Engine (RISE) is een innovatieve oplossing waarmee elke Citrix NetScaler-servicemodule, fysiek of virtueel, kan worden weergegeven als een virtuele lijnkaart op de Cisco Nexus® 7000 Series Switches. Cisco RISE voert een communicatie-pad in tussen het netwerkgegevensvliegtuig en het servicetechnicus. Deze strakke integratie vereenvoudigt de toepassing van de dienst en optimaliseert toepassingsgegevenspaden, wat resulteert in een grotere efficiëntie van de bediening in het datacenter.

De belangrijkste voordelen van Cisco RISE zijn:

● Verbeterde beschikbaarheid van apparaat: Cisco RISE maakt een efficiënt beheer van het serviceapparaat mogelijk door real-time routeswitches van het servicemodule te verkrijgen, waarmee de kans op geworpen routes voor toepassingsverkeer wordt verminderd. Door gebruik te maken van het uitgebreide besturingsplane kan Cisco RISE zorgen voor snellere convergentie en herstel van servicestoornissen op zowel het niveau van de toepassing als het niveau van het apparaat. Cisco RISE verbetert ook de ervaring van dag-0 door automatische ontdekking en versterking, die de behoefte aan betrokkenheid van de beheerder vermindert.

● Optimalisatie van datacenters: De beheerders kunnen een brede reeks van de mogelijkheden van Cisco RISE gebruiken om levering van netwerkservices in een dynamisch datacenter te automatiseren en te optimaliseren. In Application Delivery Controllers (ADC’s), automatisch op beleid gebaseerde routing (APBR) stelt het apparaat in staat om de Cisco Nexus switch-parameters te verkrijgen die het nodig heeft om automatisch de routes te implementeren. Deze routes worden dynamisch geleerd wanneer nieuwe toepassingen voorzien worden. APBR heft de noodzaak voor beheerders op om beleid-gebaseerde routes handmatig te configureren om serverresponsverkeer te richten naar de ADC met behoud van het IP-bronadres van de client.

● Cisco RISE maakt ook controle-plane integratie mogelijk met Cisco Prime™ Network Analysis Module-apparatuur (NAM) 2300, waardoor de operationele ervaring voor netwerkbeheerders wordt vereenvoudigd. Geïntegreerd met Cisco Nexus 7000 Series Switches biedt Cisco Prime NAM toepassingszichtbaarheid, prestatieanalyse en diepere netwerkintelligentie. Deze zichtbaarheid stelt de beheerder in staat de levering van gedistribueerde toepassingen doeltreffend te beheren. Cisco RISE-integratie zal zich verder ontwikkelen om zichtbaarheid op transparante wijze over meerdere virtuele apparaten contexten (VDC’s) op de switch te vergroten, waardoor de operationele wendbaarheid en eenvoud verder worden verbeterd. Schaalbaarheid en flexibiliteit: Cisco RISE kan worden uitgevoerd voor Cisco Nexus 7000 Series Switches en maakt serviceapparaten mogelijk om in VDC’s te werken. Daardoor kunnen onafhankelijke servicesinstanties worden ingezet op verschillende manieren zoals één-op-veel, veel-op-één en een ontelbare verscheidenheid aan veel-op-veel configuraties ter ondersteuning van een multihuurscenario.

● Verhoogde bedrijfsmobiliteit: Cisco RISE kan zich aan groeiende datacenter- en klantbehoeften aanpassen door bronnen in real-time te provisioneren. Cisco RISE verlaagt ook de tijd die nodig is om nieuwe services uit te voeren, waardoor de noodzaak om het netwerk te herontwerpen wordt geminimaliseerd, en reageert dynamisch op veranderende klantvereisten.

Vereisten

Basisbegrip van NXOS en RISE

Basisbegrip van NetScaler. 

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• Nexus 7010-software NXOS 6.2(16)
• Citrix NetScaler NSMPX-1500. Software versie: NS11.1: Gebouwd 50.10.nc

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Topologie

Overzicht

In het lab hebben we onderstaande apparaten:

1. Twee servers met Windows 2008 R2: IS als webserver. Elke server heeft een testwebpagina
2. Nexus 7000 switch: RISE-service die op deze switch wordt uitgevoerd, richt HTTP-verkeer naar NetScaler om
3. Citrix NetScaler: taakverdeling voor verkeersstromen
4. Beheertest PC

In dit lab heeft NetScaler USIP ingeschakeld om onderstaande voordelen te bieden:

- De webserverlogbestanden kunnen het ware IP-adres gebruiken om de traceerbaarheid te verbeteren
- Webserver heeft de flexibiliteit om een echt IP-adres te gebruiken om te controleren wie toegang heeft tot
- Webtoepassing vereist client-IP voor eigen houtlogdoeleinden
- Webtoepassing vereist client-IP voor verificatie

Zonder USIP zou al het HTTP-adres dat om een bron vraagt, van NetScaler komen.

Als USIP is ingeschakeld, is de verkeersstroom als volgt:

1. Op de PC, open web browser en ga naar http://40.40.41.101/test.html.
2. Het HTTP-verzoek zal Nexus 7000 bereiken. N7K zal het verkeer omleiden naar NetScaler.
3. NetScaler stuurt het verzoek naar een van de server.
4. De reactie van de server HTTP bereikt N7K maar het bron IP-adres is het echte adres van de server, bijv. het bron-IP-adres kan 30.30.32.35 of 30.30.31.33 zijn. Omdat N7K RISE is geconfigureerd, zal het de respons NIET rechtstreeks naar PC sturen. In plaats daarvan maakt het gebruik van PBR-lookup en stuurt u de HTTP-respons opnieuw naar NetScaler. Dit zorgt ervoor dat de verkeersstroom niet wordt onderbroken.
5. NetScaler verander het HTTP-responsbron-adres naar VIP 40.40.41.101 en verstuur de HTTP-respons naar PC

Configureren

Nexus 7010 configuratie

feature ospf
feature pbr
feature interface-vlan
feature hsrp
feature rise


vlan 1,99,125,130,132,201
 
route-map _rise-system-rmap-Vlan125 permit 1                      !- - - - - >Generated by RISE. Manual configuration is NOT required.
  match ip address _rise-system-acl-20.20.21.5-Vlan125            !- - - - - >Generated by RISE. Manual configuration is NOT required.
  set ip next-hop 20.20.21.5                                      !- - - - - >Generated by RISE. Manual configuration is NOT required.
route-map _rise-system-rmap-Vlan132 permit 1                      !- - - - - >Generated by RISE. Manual configuration is NOT required.
  match ip address _rise-system-acl-20.20.21.5-Vlan132            !- - - - - >Generated by RISE. Manual configuration is NOT required.
  set ip next-hop 20.20.21.5                                      !- - - - - >Generated by RISE. Manual configuration is NOT required.

interface Vlan99

  description RISE control VLAN SVI
  no shutdown
  mtu 9216
  no ip redirects
  ip address 20.20.99.2/24
  no ipv6 redirects
  ip ospf passive-interface
  hsrp version 2
  hsrp 99
    preempt
    priority 110
    ip 20.20.99.1
 
interface Vlan125

  description RISE server 1 VLAN SVI
  no shutdown
  ip address 30.30.31.1/24
  ip policy route-map _rise-system-rmap-Vlan125              !- - - - - >Generated by RISE. Manual configuration is NOT required.
 
interface Vlan130

  description RISE testing PC VLAN SVI
  no shutdown
  ip address 100.100.100.1/24
 
interface Vlan132

  description RISE server 2 VLAN SVI
  no shutdown
  ip address 30.30.32.1/24
  ip policy route-map _rise-system-rmap-Vlan132           !- - - - - >Generated by RISE. Manual configuration is NOT required.
 
interface Vlan201

  description RISE Data VLAN SVI
  no shutdown
  mtu 9216
  no ip redirects
  ip address 20.20.21.2/24
  no ipv6 redirects
  ip ospf passive-interface
  hsrp version 2
  hsrp 201
    preempt
    priority 110
    ip 20.20.21.1
 
interface Ethernet9/1
  description connect to Testing PC
  switchport
  switchport access vlan 130
  no shutdown
 
interface Ethernet9/2
  description connect to Server 1
  switchport
  switchport access vlan 125
  no shutdown
 
interface Ethernet9/3
  description connect to Server 2
  switchport
  switchport access vlan 132
  no shutdown
 
interface Ethernet10/1
  description connect to NetScaler
  switchport
  switchport mode trunk
  switchport trunk allowed vlan 99,201
  spanning-tree port type edge
  no shutdown
 
service vlan-group 21 201
service type rise name ns21 mode indirect
  vlan 99
  vlan group 21
  ip 20.20.99.5 255.255.255.0
  no shutdown

NetScaler-configuratie 

#Configure NSIP, this is also the IP used by N7K for RISE

set ns config -IPAddress 20.20.99.5 -netmask 255.255.255.0

 

#Configure NSVLAN 99 and bind it to LACP channel LA/1

set ns config -nsvlan 99 -ifnum LA/1

 

# Enable RISE

enable ns feature WL SP LB CS CMP PQ SSL HDOSP REWRITE RISE
enable ns mode FR L3 USIP CKA TCPB Edge USNIP PMTUD RISE_APBR RISE_RHI

 

#Configure interfaces

set interface 10/1 -mtu 9000 -throughput 0 -bandwidthHigh 0 -bandwidthNormal 0 -intftype "Intel 10G" -ifnum LA/1

add channel LA/1 -tagall ON -throughput 0 -bandwidthHigh 0 -bandwidthNormal 0
set channel LA/1 -mtu 9000 -tagall ON -throughput 0 -lrMinThroughput 0 -bandwidthHigh 0 -bandwidthNormal 0
bind channel LA/1 10/1

 

#Add RISE control and data VLANs

add vlan 99
add vlan 201

 

 

#Configure RISE data VLAN IP address and bind interface to data VLAN

add ns ip 10.66.91.170 255.255.254.0 -vServer DISABLED -mgmtAccess ENABLED   #This is for management only
add ns ip 20.20.21.5 255.255.255.0 -vServer DISABLED 

bind vlan 201 -ifnum LA/1 -tagged                #Need to be tagged because N7K E10/1 is configured as trunk port.
bind vlan 201 -IPAddress 20.20.21.5 255.255.255.0

 

# Configure Virtual Servers.

add ns ip 40.40.41.101 255.255.255.0 -type VIP -snmp DISABLED -hostRoute ENABLED -hostRtGw 20.20.21.5 -metric 100 -vserverRHILevel NONE -vserverRHIMode RISE

add server SERV-2 30.30.32.35
add server SERV-1 30.30.31.33

add service SVC-1-tcpHTTP SERV-1 TCP 80 -gslb NONE -maxClient 0 -maxReq 0 -cip DISABLED -usip YES -useproxyport YES -sp OFF -cltTimeout 180 -svrTimeout 360 -CKA YES -TCPB NO -CMP NO
add service SVC-2-tcpHTTP SERV-2 TCP 80 -gslb NONE -maxClient 0 -maxReq 0 -cip DISABLED -usip YES -useproxyport YES -sp OFF -cltTimeout 180 -svrTimeout 360 -CKA YES -TCPB NO -CMP NO

add lb vserver VSRV-40-tcpHTTP TCP 40.40.41.101 80 -persistenceType NONE -connfailover STATEFUL -cltTimeout 180
add lb vserver VSRV-40-tcpHTTPS TCP 40.40.41.101 443 -persistenceType NONE -connfailover STATEFUL -cltTimeout 180

bind lb vserver VSRV-40-tcpHTTP SVC-1-tcpHTTP
bind lb vserver VSRV-40-tcpHTTP SVC-2-tcpHTTP

 

#Configure route
add route 0.0.0.0 0.0.0.0 20.20.21.1
add route 10.0.0.0 255.0.0.0 10.66.91.1                                   # - - - - > For management only
add route 30.30.31.0 255.255.255.0 20.20.21.1                  
add route 30.30.32.0 255.255.255.0 20.20.21.1

 

#configure RISE to run in indirect mode

set rise param -indirectMode ENABLED

 

#Save config and reboot

save ns config

reboot
Are you sure you want to restart NetScaler (Y/N)? [N]:y

Server

Dit voorbeeld gebruikt Microsoft Windows 2008 R2 is als webserver. Volg de documentatie van Windows op hoe te om IS te configureren.

Nadat IS geïnstalleerd, kunt u VIP van de webserver direct gebruiken zonder extra webpagina te maken. In deze documentatie, om failover te demonstreren, creëren we één testpagina "test.html" op elke server onder IS home dir (standaard c:\inetpub\wwwroot). De inhoud van de testpagina is als volgt:

Server 1 test pagina-inhoud: "Dit is server 1"

Server 2 test pagina-inhoud: "Dit is server 2"

Verifiëren

Gebruik dit gedeelte om te bevestigen dat de configuratie correct werkt.

Controleer op PC

1. Open webbrowser en ga naar http://40.40.41.101/test.html. Er moet één van de testpagina worden weergegeven.

2. Shutdown Server 1. Herhaal stap 1. Het moet worden weergegeven "Dit is server 2"

3. Breng Server 1 online en sluitingsserver 2. Herhaal stap 1 opnieuw. Het moet tonen "Dit is server 1"

Controleer op N7K

STLD1-630-01.05-N7K-RU21# show ip route static

IP Route Table for VRF "default"

'*' denotes best ucast next-hop

'**' denotes best mcast next-hop

'[x/y]' denotes [preference/metric]

'%<string>' in via output denotes VRF <string>

 

40.40.41.101/32, ubest/mbest: 1/0                  - - - - - - - - >RHI injected routes

    *via 20.20.21.5, Vlan201, [100/0], 03:18:00, static

 

STLD1-630-01.05-N7K-RU21# show route-map

route-map _rise-system-rmap-Vlan125, permit, sequence 1           - - -- - - - - - >Generated by NetScaler.

  Match clauses:

    ip address (access-lists): _rise-system-acl-20.20.21.5-Vlan125 

  Set clauses:

    ip next-hop 20.20.21.5 

route-map _rise-system-rmap-Vlan132, permit, sequence 1      - - -- - - - - - >Generated by NetScaler.

  Match clauses:

    ip address (access-lists): _rise-system-acl-20.20.21.5-Vlan132 

  Set clauses:

    ip next-hop 20.20.21.5 

STLD1-630-01.05-N7K-RU21# sho access-lists dynamic      - - - - - >Dynamic ACL download from NetScaler (or pushed by Netscaler)

 

IP access list __urpf_v4_acl__

        10 permit ip any any 

IPv6 access list __urpf_v6_acl__

        10 permit ipv6 any any 

IP access list _rise-system-acl-20.20.21.5-Vlan125

        10 permit tcp 30.30.31.33/32 eq 443 any 

        20 permit tcp 30.30.31.33/32 eq www any 

IP access list _rise-system-acl-20.20.21.5-Vlan132

        10 permit tcp 30.30.32.35/32 eq 443 any 

        20 permit tcp 30.30.32.35/32 eq www any 

IP access list sl_def_acl

        statistics per-entry 

        10 deny tcp any any eq telnet syn 

        20 deny tcp any any eq www syn 

        30 deny tcp any any eq 22 syn 

        40 permit ip any any 

STLD1-630-01.05-N7K-RU21# show run int vl 132

 

!Command: show running-config interface Vlan132

!Time: Mon Mar 27 03:44:13 2017

 

version 6.2(16)

 

interface Vlan132

  no shutdown

  ip address 30.30.32.1/24

  ip policy route-map _rise-system-rmap-Vlan132            - - - - - >APBR, this command was generated by RISE

 

STLD1-630-01.05-N7K-RU21# show run int vl 125

 

!Command: show running-config interface Vlan125

!Time: Mon Mar 27 03:44:16 2017

 

version 6.2(16)

 

interface Vlan125

  no shutdown

  ip address 30.30.31.1/24

  ip policy route-map _rise-system-rmap-Vlan125    - - - - - >APBR, this command was generated by RISE

 

STLD1-630-01.05-N7K-RU21# 

TLD1-630-01.05-N7K-RU21# show rise

Name            Slot Vdc Rise-Ip         State        Interface

                  Id  Id                                       

--------------- ---- --- --------------- ------------ ----------------

ns21            300  1   20.20.99.5      active       N/A            

 

RHI Configuration

ip              prefix len nhop ip         weight vlan vrf        slot-id

--------------- ---------- --------------- ------ ---- ---------- -------

40.40.41.101    32         20.20.21.5      100    201  default    300             - - - - > RHI

 

APBR Configuration                                                                - - - - > APBR

rs ip           rs port protocol nhop ip         rs nhop  apbr state slot-id

--------------- ------- -------- --------------- -------- ---------- -------

30.30.31.33     80      TCP      20.20.21.5      Vlan125  ADD DONE   300    

30.30.31.33     443     TCP      20.20.21.5      Vlan125  ADD DONE   300    

30.30.32.35     80      TCP      20.20.21.5      Vlan132  ADD DONE   300    

30.30.32.35     443     TCP      20.20.21.5      Vlan132  ADD DONE   300