Einführung

Dieses Dokument beschreibt die Integration der Cisco Nexus 7000 RISE mit Citrix NetScaler.

Die Cisco® Remote Integrated Services Engine (RISE) ist eine innovative Lösung, mit der jede physische oder virtuelle Citrix NetScaler Service Appliance als virtuelle Linecard auf den Cisco Nexus® Switches der Serie 7000 angezeigt werden kann. Cisco RISE stellt einen Kommunikationspfad zwischen der Netzwerkdatenebene und der Service-Appliance her. Diese enge Integration vereinfacht die Servicebereitstellung und optimiert Anwendungsdatenpfade, was zu einer höheren Betriebseffizienz im Rechenzentrum führt.

Zu den wichtigsten Vorteilen von Cisco RISE gehören:

* Verbesserte Anwendungsverfügbarkeit: Cisco RISE ermöglicht eine effiziente Verwaltung der Service-Appliance, indem Routen-Updates in Echtzeit von der Service-Appliance abgerufen werden. Dadurch wird die Wahrscheinlichkeit von Routen, die für den Anwendungsdatenverkehr unterbrochen werden, reduziert. Durch die Nutzung der erweiterten Kontrollebene ermöglicht Cisco RISE eine schnellere Konvergenz und Wiederherstellung nach Dienstausfällen auf Anwendungs- und Geräteebene. Cisco RISE verbessert zudem die Day-0-Erfahrung durch automatische Erkennung und Bootstrapping, wodurch die Mitwirkung von Administratoren entfällt.

* Datenpfadoptimierung: Administratoren können die Bereitstellung von Netzwerkservices in einem dynamischen Rechenzentrum mithilfe einer breiten Palette von Cisco RISE-Funktionen automatisieren und optimieren. In Anwendungsbereitstellungs-Controllern (ADCs) ermöglicht automatisiertes richtlinienbasiertes Routing (APBR) der Appliance, die erforderlichen Cisco Nexus-Switch-Parameter für die automatische Implementierung der Routen abzurufen. Diese Routen werden bei der Bereitstellung neuer Anwendungen dynamisch erfasst. Mit dem APBR müssen Administratoren richtlinienbasierte Routen nicht mehr manuell konfigurieren, um den Antwortverkehr des Servers an den ADC umzuleiten, ohne dabei die Quell-IP-Adresse des Clients zu verwenden.

* Cisco RISE ermöglicht darüber hinaus die Integration der Kontrollebene mit den Appliances der Cisco Prime™ Network Analysis Module (NAM) 2300-Plattform, wodurch Netzwerkadministratoren eine einfachere Bedienung erhalten. Cisco Prime NAM ist in die Cisco Nexus Switches der Serie 7000 integriert und bietet Anwendungstransparenz, Leistungsanalysen und intelligentere Netzwerkfunktionen. Dank dieser Transparenz können Administratoren die Bereitstellung verteilter Anwendungen effektiv verwalten. Die Cisco RISE-Integration wird weiterentwickelt, um die Transparenz transparent über mehrere Virtual Device Contexts (VDCs) auf dem Switch zu erweitern und so die Flexibilität und Einfachheit des Betriebs zu erhöhen. Skalierbarkeit und Flexibilität: Cisco RISE kann für alle Cisco Nexus Switches der Serie 7000 bereitgestellt werden und ermöglicht die Ausführung von Service-Appliances in VDCs. So können unabhängige Service-Instanzen auf verschiedene Weise bereitgestellt werden, z. B. auf eine Vielzahl von One-to-Many-, Many-to-One- und eine Vielzahl von Many-to-Many-Konfigurationen zur Unterstützung beliebiger Multi-Tenant-Szenarien.

* Erhöhte geschäftliche Flexibilität: Cisco RISE kann sich an wachsende Rechenzentrums- und Kundenanforderungen anpassen, indem Ressourcen in Echtzeit bereitgestellt werden. Cisco RISE reduziert zudem die für die Einführung neuer Services benötigte Zeit, sodass das Netzwerk nicht umgestaltet werden muss. Zudem reagiert Cisco RISE dynamisch auf sich ändernde Kundenanforderungen.

Anforderungen

Grundlegendes Verständnis von NXOS und RISE

Grundlegendes zu NetScaler 

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf den folgenden Software- und Hardwareversionen:

• Nexus 7010-Software NXOS 6.2(16)
• Citrix NetScaler NSMPX-11500 Softwareversion: NS11.1: Build 50.10.nc

Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.

Topologie

Übersicht

Im Labor werden die folgenden Geräte gezeigt:

1. Zwei Server mit Windows 2008 R2. IIS als Webserver. Jeder Server verfügt über eine Testseite.
2. Auf dem Nexus 7000 wird RISE ausgeführt, und HTTP-Datenverkehr wird an NetScaler weitergeleitet.
3. Citrix NetScaler führt einen Server-Lastenausgleich durch.
4. Testen von PC

In dieser Übung bietet NetScaler mithilfe von USIP die folgenden Vorteile:

- Webserverprotokolle können echte IP-Adressen verwenden, um die Nachvollziehbarkeit zu erhöhen.
- Der Webserver kann über die Flexibilität verfügen, echte IP-Adressen zu verwenden, um zu steuern, wer auf welche Ressourcen zugreifen kann.
- Webanwendung erfordert Client-IP für eigene Protokollierungszwecke.
- Webanwendung erfordert Client-IP für Authentifizierung

Ohne USIP würden alle HTTP-Anforderungs-Quell-IP-Adressen von NetScaler angezeigt.

Bei aktiviertem USIP ist der Datenverkehrsfluss wie folgt:

1. Öffnen Sie auf dem PC den Webbrowser, und gehen Sie zu http://40.40.41.101/test.html.
2. Die HTTP-Anforderung erreicht Nexus 7000. N7K leitet den Datenverkehr an NetScaler um.
3. NetScaler sendet die Anforderung an einen der Server.
4. Die HTTP-Antwort des Servers erreicht N7K, aber die Quell-IP-Adresse ist die reale Adresse des Servers. Beispiel: Quell-IP-Adresse kann 30.30.32.35 oder 30.30.31.33 sein. Da in Nexus 7000 RISE konfiguriert ist, wird die Antwort NICHT direkt an PC gesendet. Stattdessen wird PBR-Suche verwendet und die HTTP-Antwort erneut an NetScaler gesendet. Dadurch wird sichergestellt, dass der Datenverkehrsfluss nicht unterbrochen wird.
5. NetScaler ändert die IP-Adresse der HTTP-Antwortquelle in VIP 40.40.41.101 und sendet die HTTP-Antwort zurück an PC

Konfigurieren

Konfiguration des Nexus 7010

eature ospf
feature pbr
feature interface-vlan
feature hsrp
feature rise


vlan 1,99,125,130,132,201
 
route-map _rise-system-rmap-Vlan125 permit 1                      !- - - - - >Generated by RISE. Manual configuration is NOT required.
  match ip address _rise-system-acl-20.20.21.5-Vlan125            !- - - - - >Generated by RISE. Manual configuration is NOT required.
  set ip next-hop 20.20.21.5                                      !- - - - - >Generated by RISE. Manual configuration is NOT required.
route-map _rise-system-rmap-Vlan132 permit 1                      !- - - - - >Generated by RISE. Manual configuration is NOT required.
  match ip address _rise-system-acl-20.20.21.5-Vlan132            !- - - - - >Generated by RISE. Manual configuration is NOT required.
  set ip next-hop 20.20.21.5                                      !- - - - - >Generated by RISE. Manual configuration is NOT required.

interface Vlan99

  description RISE control VLAN SVI
  no shutdown
  mtu 9216
  no ip redirects
  ip address 20.20.99.2/24
  no ipv6 redirects
  ip ospf passive-interface
  hsrp version 2
  hsrp 99
    preempt
    priority 110
    ip 20.20.99.1
 
interface Vlan125

  description RISE server 1 VLAN SVI
  no shutdown
  ip address 30.30.31.1/24
  ip policy route-map _rise-system-rmap-Vlan125              !- - - - - >Generated by RISE. Manual configuration is NOT required.
 
interface Vlan130

  description RISE testing PC VLAN SVI
  no shutdown
  ip address 100.100.100.1/24
 
interface Vlan132

  description RISE server 2 VLAN SVI
  no shutdown
  ip address 30.30.32.1/24
  ip policy route-map _rise-system-rmap-Vlan132           !- - - - - >Generated by RISE. Manual configuration is NOT required.
 
interface Vlan201

  description RISE Data VLAN SVI
  no shutdown
  mtu 9216
  no ip redirects
  ip address 20.20.21.2/24
  no ipv6 redirects
  ip ospf passive-interface
  hsrp version 2
  hsrp 201
    preempt
    priority 110
    ip 20.20.21.1
 
interface Ethernet9/1
  description connect to Testing PC
  switchport
  switchport access vlan 130
  no shutdown
 
interface Ethernet9/2
  description connect to Server 1
  switchport
  switchport access vlan 125
  no shutdown
 
interface Ethernet9/3
  description connect to Server 2
  switchport
  switchport access vlan 132
  no shutdown
 
interface Ethernet10/1
  description connect to NetScaler
  switchport
  switchport mode trunk
  switchport trunk allowed vlan 99,201
  spanning-tree port type edge
  no shutdown
 
service vlan-group 21 201
service type rise name ns21 mode indirect
  vlan 99
  vlan group 21
  ip 20.20.99.5 255.255.255.0
  no shutdown

NetScaler-Konfiguration 

#Configure NSIP, this is also the IP used by N7K for RISE

set ns config -IPAddress 20.20.99.5 -netmask 255.255.255.0

 

#Configure NSVLAN 99 and bind it to LACP channel LA/1

set ns config -nsvlan 99 -ifnum LA/1

 

# Enable RISE

enable ns feature WL SP LB CS CMP PQ SSL HDOSP REWRITE RISE
enable ns mode FR L3 USIP CKA TCPB Edge USNIP PMTUD RISE_APBR RISE_RHI

 

#Configure interfaces

set interface 10/1 -mtu 9000 -throughput 0 -bandwidthHigh 0 -bandwidthNormal 0 -intftype "Intel 10G" -ifnum LA/1

add channel LA/1 -tagall ON -throughput 0 -bandwidthHigh 0 -bandwidthNormal 0
set channel LA/1 -mtu 9000 -tagall ON -throughput 0 -lrMinThroughput 0 -bandwidthHigh 0 -bandwidthNormal 0
bind channel LA/1 10/1

 

#Add RISE control and data VLANs

add vlan 99
add vlan 201

 

 

#Configure RISE data VLAN IP address and bind interface to data VLAN

add ns ip 10.66.91.170 255.255.254.0 -vServer DISABLED -mgmtAccess ENABLED   #This is for management only
add ns ip 20.20.21.5 255.255.255.0 -vServer DISABLED 

bind vlan 201 -ifnum LA/1 -tagged                #Need to be tagged because N7K E10/1 is configured as trunk port.
bind vlan 201 -IPAddress 20.20.21.5 255.255.255.0

 

# Configure Virtual Servers.

add ns ip 40.40.41.101 255.255.255.0 -type VIP -snmp DISABLED -hostRoute ENABLED -hostRtGw 20.20.21.5 -metric 100 -vserverRHILevel NONE -vserverRHIMode RISE

add server SERV-2 30.30.32.35
add server SERV-1 30.30.31.33

add service SVC-1-tcpHTTP SERV-1 TCP 80 -gslb NONE -maxClient 0 -maxReq 0 -cip DISABLED -usip YES -useproxyport YES -sp OFF -cltTimeout 180 -svrTimeout 360 -CKA YES -TCPB NO -CMP NO
add service SVC-2-tcpHTTP SERV-2 TCP 80 -gslb NONE -maxClient 0 -maxReq 0 -cip DISABLED -usip YES -useproxyport YES -sp OFF -cltTimeout 180 -svrTimeout 360 -CKA YES -TCPB NO -CMP NO

add lb vserver VSRV-40-tcpHTTP TCP 40.40.41.101 80 -persistenceType NONE -connfailover STATEFUL -cltTimeout 180
add lb vserver VSRV-40-tcpHTTPS TCP 40.40.41.101 443 -persistenceType NONE -connfailover STATEFUL -cltTimeout 180

bind lb vserver VSRV-40-tcpHTTP SVC-1-tcpHTTP
bind lb vserver VSRV-40-tcpHTTP SVC-2-tcpHTTP

 

#Configure route
add route 0.0.0.0 0.0.0.0 20.20.21.1
add route 10.0.0.0 255.0.0.0 10.66.91.1                                   # - - - - > For management only
add route 30.30.31.0 255.255.255.0 20.20.21.1                  
add route 30.30.32.0 255.255.255.0 20.20.21.1

 

#configure RISE to run in indirect mode

set rise param -indirectMode ENABLED

 

#Save config and reboot

save ns config

reboot
Are you sure you want to restart NetScaler (Y/N)? [N]:y

Server

In diesem Beispiel wird Microsoft Windows 2008 R2 IIS als Webserver verwendet. Befolgen Sie die Windows-Dokumentation zum Konfigurieren von IIS.

Nach der Installation von IIS können Sie direkt auf das Webserver-VIP zugreifen, ohne eine zusätzliche Webseite zu erstellen. In dieser Dokumentation erstellen wir zur Demonstration des Failovers eine Testseite "test.html" auf jedem Server unter IIS Home dir (standardmäßig c:\inetpub\wwwroot). Der Inhalt der Testseite ist wie folgt:

Inhalt der Testseite für Server 1: "Dies ist Server 1"

Inhalt der Testseite für Server 2: "Dies ist Server 2"

Überprüfen

In diesem Abschnitt überprüfen Sie, ob Ihre Konfiguration ordnungsgemäß funktioniert.

Überprüfen auf dem PC

1. Öffnen Sie den Webbrowser, und gehen Sie zu http://40.40.41.101/test.html. Es sollte eine der Testseiten angezeigt werden.

2. Herunterfahren des Servers 1.  Wiederholen Sie Schritt 1.  Es sollte "This is server 2" angezeigt werden.

3. Server 1 online stellen und Server herunterfahren 2. Wiederholen Sie Schritt 1 erneut. Es sollte "This is server 1" (Dies ist Server 1) angezeigt werden.

Überprüfen auf N7K

STLD1-630-01.05-N7K-RU21# show ip route static

IP Route Table for VRF "default"

'*' denotes best ucast next-hop

'**' denotes best mcast next-hop

'[x/y]' denotes [preference/metric]

'%<string>' in via output denotes VRF <string>

 

40.40.41.101/32, ubest/mbest: 1/0                  - - - - - - - - >RHI injected routes

    *via 20.20.21.5, Vlan201, [100/0], 03:18:00, static

 

STLD1-630-01.05-N7K-RU21# show route-map

route-map _rise-system-rmap-Vlan125, permit, sequence 1           - - -- - - - - - >Generated by NetScaler.

  Match clauses:

    ip address (access-lists): _rise-system-acl-20.20.21.5-Vlan125 

  Set clauses:

    ip next-hop 20.20.21.5 

route-map _rise-system-rmap-Vlan132, permit, sequence 1      - - -- - - - - - >Generated by NetScaler.

  Match clauses:

    ip address (access-lists): _rise-system-acl-20.20.21.5-Vlan132 

  Set clauses:

    ip next-hop 20.20.21.5 

STLD1-630-01.05-N7K-RU21# sho access-lists dynamic      - - - - - >Dynamic ACL download from NetScaler (or pushed by Netscaler)

 

IP access list __urpf_v4_acl__

        10 permit ip any any 

IPv6 access list __urpf_v6_acl__

        10 permit ipv6 any any 

IP access list _rise-system-acl-20.20.21.5-Vlan125

        10 permit tcp 30.30.31.33/32 eq 443 any 

        20 permit tcp 30.30.31.33/32 eq www any 

IP access list _rise-system-acl-20.20.21.5-Vlan132

        10 permit tcp 30.30.32.35/32 eq 443 any 

        20 permit tcp 30.30.32.35/32 eq www any 

IP access list sl_def_acl

        statistics per-entry 

        10 deny tcp any any eq telnet syn 

        20 deny tcp any any eq www syn 

        30 deny tcp any any eq 22 syn 

        40 permit ip any any 

STLD1-630-01.05-N7K-RU21# show run int vl 132

 

!Command: show running-config interface Vlan132

!Time: Mon Mar 27 03:44:13 2017

 

version 6.2(16)

 

interface Vlan132

  no shutdown

  ip address 30.30.32.1/24

  ip policy route-map _rise-system-rmap-Vlan132            - - - - - >APBR, this command was generated by RISE

 

STLD1-630-01.05-N7K-RU21# show run int vl 125

 

!Command: show running-config interface Vlan125

!Time: Mon Mar 27 03:44:16 2017

 

version 6.2(16)

 

interface Vlan125

  no shutdown

  ip address 30.30.31.1/24

  ip policy route-map _rise-system-rmap-Vlan125    - - - - - >APBR, this command was generated by RISE

 

STLD1-630-01.05-N7K-RU21# 

TLD1-630-01.05-N7K-RU21# show rise

Name            Slot Vdc Rise-Ip         State        Interface

                  Id  Id                                       

--------------- ---- --- --------------- ------------ ----------------

ns21            300  1   20.20.99.5      active       N/A            

 

RHI Configuration

ip              prefix len nhop ip         weight vlan vrf        slot-id

--------------- ---------- --------------- ------ ---- ---------- -------

40.40.41.101    32         20.20.21.5      100    201  default    300             - - - - > RHI

 

APBR Configuration                                                                - - - - > APBR

rs ip           rs port protocol nhop ip         rs nhop  apbr state slot-id

--------------- ------- -------- --------------- -------- ---------- -------

30.30.31.33     80      TCP      20.20.21.5      Vlan125  ADD DONE   300    

30.30.31.33     443     TCP      20.20.21.5      Vlan125  ADD DONE   300    

30.30.32.35     80      TCP      20.20.21.5      Vlan132  ADD DONE   300    

30.30.32.35     443     TCP      20.20.21.5      Vlan132  ADD DONE   300