Ejemplo de integración de Cisco Nexus RISE y Netscaler

Introducción

Este documento describe la integración de Cisco Nexus 7000 RISE con Citrix NetScaler.

Cisco® Remote Integrated Services Engine (RISE) es una solución innovadora que permite que cualquier dispositivo de servicio Citrix NetScaler, ya sea físico o virtual, aparezca como una tarjeta de línea virtual en los switches Cisco Nexus® serie 7000. Cisco RISE establece una ruta de comunicación entre el plano de datos de la red y el dispositivo de servicio. Esta estrecha integración simplifica la implementación de servicios y optimiza las rutas de datos de las aplicaciones, lo que se traduce en una mayor eficiencia operativa en el Data Center.

Entre las principales ventajas de Cisco RISE se incluyen las siguientes:

Disponibilidad mejorada del dispositivo: Cisco RISE permite una gestión eficaz del dispositivo de servicio al obtener actualizaciones de ruta en tiempo real del dispositivo de servicio, lo que reduce la probabilidad de que se descarten rutas para el tráfico de aplicaciones. Al aprovechar el plano de control ampliado, Cisco RISE puede proporcionar una convergencia y recuperación más rápidas ante fallos de servicio tanto en los niveles de aplicación como de dispositivo. Cisco RISE también mejora la experiencia del día 0 gracias a la detección automática y el bootstrapping, lo que reduce la necesidad de la implicación del administrador.

Optimización del trayecto de datos: Los administradores pueden utilizar una amplia gama de funciones de Cisco RISE para automatizar y optimizar la prestación de servicios de red en un Data Center dinámico. En los controladores de suministro de aplicaciones (ADC), el routing automatizado basado en políticas (APBR) permite al dispositivo obtener los parámetros de switch Cisco Nexus que necesita para implementar automáticamente las rutas. Estas rutas se aprenden dinámicamente cada vez que se aprovisionan nuevas aplicaciones. APBR elimina la necesidad de que los administradores configuren manualmente rutas basadas en políticas para redirigir el tráfico de respuesta del servidor a ADC mientras se conserva la dirección IP de origen del cliente.

Cisco RISE también permite la integración del plano de control con los dispositivos de plataforma Cisco Prime™ Network Analysis Module (NAM) 2300, lo que simplifica la experiencia operativa de los administradores de red. Cisco Prime NAM, que se integra con los switches Nexus de Cisco serie 7000, ofrece visibilidad de las aplicaciones, análisis de rendimiento e inteligencia de red más profunda. Esta visibilidad permite al administrador gestionar de forma eficaz el suministro de aplicaciones distribuidas. La integración de Cisco RISE evolucionará para ampliar la visibilidad de forma transparente en varios contextos de dispositivos virtuales (VDC) en el switch, lo que mejorará aún más la agilidad y simplicidad de las operaciones. Escalabilidad y flexibilidad: Cisco RISE se puede implementar en los switches Nexus de Cisco serie 7000 y permite que los dispositivos de servicio se ejecuten en VDC, lo que permite que las instancias de servicio independientes se implementen de diversas formas, como configuraciones de uno a varios, de varios a uno e innumerables configuraciones para admitir cualquier escenario de varios arrendatarios.

Mayor agilidad empresarial: Cisco RISE puede adaptarse a las crecientes demandas de los clientes y los Data Centers aprovisionando recursos en tiempo real. Cisco RISE también reduce el tiempo necesario para implementar nuevos servicios, lo que elimina la necesidad de rediseñar la red y responde de forma dinámica a los cambiantes requisitos de los clientes.

Requirements

Comprensión básica de NXOS y RISE

Comprensión básica de NetScaler. 

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• Software NXOS 6.2(16) Nexus 7010
• NSMPX-11500 de Citrix NetScaler. Versión del software: NS11.1: Build 50.10.nc

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Topología

Overview

En el laboratorio, tenemos a continuación los dispositivos:

1. Dos servidores que ejecutan Windows 2008 R2: IIS como servidor web. Cada servidor tiene una página web de prueba
2. Switch Nexus 7000: Servicio RISE que se ejecuta en este switch, redirige el tráfico HTTP a NetScaler
3. Citrix NetScaler: realiza el equilibrio de carga de tráfico
4. PC de prueba de administración

En este laboratorio, NetScaler tiene USIP habilitado para proporcionar las siguientes ventajas:

- Los registros del servidor web pueden utilizar una dirección IP verdadera para aumentar la rastreabilidad
- El servidor web tiene la flexibilidad de utilizar una dirección IP real para controlar quién puede acceder a qué
- La aplicación web requiere IP del cliente para sus propios fines de registro
- La aplicación web requiere IP de cliente para la autenticación

Sin USIP, todas las direcciones IP de origen de solicitud HTTP aparecerían de NetScaler.

Con USIP habilitado, el flujo de tráfico es el siguiente:

1. En el PC, abra el navegador web y vaya a http://40.40.41.101/test.html.
2. La solicitud HTTP alcanzará Nexus 7000. N7K redirigirá el tráfico a NetScaler.
3. NetScaler envía la solicitud a uno de los servidores.
4. La respuesta HTTP del servidor alcanza N7K pero la dirección IP de origen es la dirección real del servidor, por ejemplo, la dirección IP de origen puede ser 30.30.32.35 o 30.30.31.33. Como N7K tiene RISE configurado, NO enviará directamente la respuesta al PC. En su lugar, utiliza la búsqueda de PBR y envía la respuesta HTTP a NetScaler de nuevo. Esto garantiza que el flujo de tráfico no se interrumpa.
5. NetScaler cambia la dirección IP de origen de la respuesta HTTP a VIP 40.40.41.101 y envía la respuesta HTTP de vuelta al PC

Configurar

Configuración de Nexus 7010

feature ospf
feature pbr
feature interface-vlan
feature hsrp
feature rise


vlan 1,99,125,130,132,201
 
route-map _rise-system-rmap-Vlan125 permit 1                      !- - - - - >Generated by RISE. Manual configuration is NOT required.
  match ip address _rise-system-acl-20.20.21.5-Vlan125            !- - - - - >Generated by RISE. Manual configuration is NOT required.
  set ip next-hop 20.20.21.5                                      !- - - - - >Generated by RISE. Manual configuration is NOT required.
route-map _rise-system-rmap-Vlan132 permit 1                      !- - - - - >Generated by RISE. Manual configuration is NOT required.
  match ip address _rise-system-acl-20.20.21.5-Vlan132            !- - - - - >Generated by RISE. Manual configuration is NOT required.
  set ip next-hop 20.20.21.5                                      !- - - - - >Generated by RISE. Manual configuration is NOT required.

interface Vlan99

  description RISE control VLAN SVI
  no shutdown
  mtu 9216
  no ip redirects
  ip address 20.20.99.2/24
  no ipv6 redirects
  ip ospf passive-interface
  hsrp version 2
  hsrp 99
    preempt
    priority 110
    ip 20.20.99.1
 
interface Vlan125

  description RISE server 1 VLAN SVI
  no shutdown
  ip address 30.30.31.1/24
  ip policy route-map _rise-system-rmap-Vlan125              !- - - - - >Generated by RISE. Manual configuration is NOT required.
 
interface Vlan130

  description RISE testing PC VLAN SVI
  no shutdown
  ip address 100.100.100.1/24
 
interface Vlan132

  description RISE server 2 VLAN SVI
  no shutdown
  ip address 30.30.32.1/24
  ip policy route-map _rise-system-rmap-Vlan132           !- - - - - >Generated by RISE. Manual configuration is NOT required.
 
interface Vlan201

  description RISE Data VLAN SVI
  no shutdown
  mtu 9216
  no ip redirects
  ip address 20.20.21.2/24
  no ipv6 redirects
  ip ospf passive-interface
  hsrp version 2
  hsrp 201
    preempt
    priority 110
    ip 20.20.21.1
 
interface Ethernet9/1
  description connect to Testing PC
  switchport
  switchport access vlan 130
  no shutdown
 
interface Ethernet9/2
  description connect to Server 1
  switchport
  switchport access vlan 125
  no shutdown
 
interface Ethernet9/3
  description connect to Server 2
  switchport
  switchport access vlan 132
  no shutdown
 
interface Ethernet10/1
  description connect to NetScaler
  switchport
  switchport mode trunk
  switchport trunk allowed vlan 99,201
  spanning-tree port type edge
  no shutdown
 
service vlan-group 21 201
service type rise name ns21 mode indirect
  vlan 99
  vlan group 21
  ip 20.20.99.5 255.255.255.0
  no shutdown

configuración de NetScaler 

#Configure NSIP, this is also the IP used by N7K for RISE

set ns config -IPAddress 20.20.99.5 -netmask 255.255.255.0

 

#Configure NSVLAN 99 and bind it to LACP channel LA/1

set ns config -nsvlan 99 -ifnum LA/1

 

# Enable RISE

enable ns feature WL SP LB CS CMP PQ SSL HDOSP REWRITE RISE
enable ns mode FR L3 USIP CKA TCPB Edge USNIP PMTUD RISE_APBR RISE_RHI

 

#Configure interfaces

set interface 10/1 -mtu 9000 -throughput 0 -bandwidthHigh 0 -bandwidthNormal 0 -intftype "Intel 10G" -ifnum LA/1

add channel LA/1 -tagall ON -throughput 0 -bandwidthHigh 0 -bandwidthNormal 0
set channel LA/1 -mtu 9000 -tagall ON -throughput 0 -lrMinThroughput 0 -bandwidthHigh 0 -bandwidthNormal 0
bind channel LA/1 10/1

 

#Add RISE control and data VLANs

add vlan 99
add vlan 201

 

 

#Configure RISE data VLAN IP address and bind interface to data VLAN

add ns ip 10.66.91.170 255.255.254.0 -vServer DISABLED -mgmtAccess ENABLED   #This is for management only
add ns ip 20.20.21.5 255.255.255.0 -vServer DISABLED 

bind vlan 201 -ifnum LA/1 -tagged                #Need to be tagged because N7K E10/1 is configured as trunk port.
bind vlan 201 -IPAddress 20.20.21.5 255.255.255.0

 

# Configure Virtual Servers.

add ns ip 40.40.41.101 255.255.255.0 -type VIP -snmp DISABLED -hostRoute ENABLED -hostRtGw 20.20.21.5 -metric 100 -vserverRHILevel NONE -vserverRHIMode RISE

add server SERV-2 30.30.32.35
add server SERV-1 30.30.31.33

add service SVC-1-tcpHTTP SERV-1 TCP 80 -gslb NONE -maxClient 0 -maxReq 0 -cip DISABLED -usip YES -useproxyport YES -sp OFF -cltTimeout 180 -svrTimeout 360 -CKA YES -TCPB NO -CMP NO
add service SVC-2-tcpHTTP SERV-2 TCP 80 -gslb NONE -maxClient 0 -maxReq 0 -cip DISABLED -usip YES -useproxyport YES -sp OFF -cltTimeout 180 -svrTimeout 360 -CKA YES -TCPB NO -CMP NO

add lb vserver VSRV-40-tcpHTTP TCP 40.40.41.101 80 -persistenceType NONE -connfailover STATEFUL -cltTimeout 180
add lb vserver VSRV-40-tcpHTTPS TCP 40.40.41.101 443 -persistenceType NONE -connfailover STATEFUL -cltTimeout 180

bind lb vserver VSRV-40-tcpHTTP SVC-1-tcpHTTP
bind lb vserver VSRV-40-tcpHTTP SVC-2-tcpHTTP

 

#Configure route
add route 0.0.0.0 0.0.0.0 20.20.21.1
add route 10.0.0.0 255.0.0.0 10.66.91.1                                   # - - - - > For management only
add route 30.30.31.0 255.255.255.0 20.20.21.1                  
add route 30.30.32.0 255.255.255.0 20.20.21.1

 

#configure RISE to run in indirect mode

set rise param -indirectMode ENABLED

 

#Save config and reboot

save ns config

reboot
Are you sure you want to restart NetScaler (Y/N)? [N]:y

Servidor

Este ejemplo utiliza Microsoft Windows 2008 R2 IIS como servidor Web. Siga la documentación de Windows sobre cómo configurar IIS.

Una vez instalado IIS, puede acceder directamente al servidor web VIP sin crear una página web adicional. En esta documentación, para demostrar la conmutación por fallas, creamos una página de prueba "test.html" en cada servidor en IIS home dir (de forma predeterminada c:\inetpub\wwwroot). El contenido de la página de pruebas es el siguiente:

Contenido de la página de prueba del servidor 1: "Este es el servidor 1"

Contenido de la página de prueba del servidor 2: "Este es el servidor 2"

Verificación

Utilize esta sección para confirmar que su configuración funcione correctamente.

Verificar en PC

1. Abra el navegador web y vaya a http://40.40.41.101/test.html. Debe mostrar una de las páginas de prueba.

2. Apagar el servidor 1.  Repita el paso 1.  Debería mostrar "Este es el servidor 2"

3. Conecte el servidor 1 y cierre el servidor 2. Repita el paso 1 de nuevo. Debería mostrar "Este es el servidor 1"

Verificación en N7K

STLD1-630-01.05-N7K-RU21# show ip route static

IP Route Table for VRF "default"

'*' denotes best ucast next-hop

'**' denotes best mcast next-hop

'[x/y]' denotes [preference/metric]

'%<string>' in via output denotes VRF <string>

 

40.40.41.101/32, ubest/mbest: 1/0                  - - - - - - - - >RHI injected routes

    *via 20.20.21.5, Vlan201, [100/0], 03:18:00, static

 

STLD1-630-01.05-N7K-RU21# show route-map

route-map _rise-system-rmap-Vlan125, permit, sequence 1           - - -- - - - - - >Generated by NetScaler.

  Match clauses:

    ip address (access-lists): _rise-system-acl-20.20.21.5-Vlan125 

  Set clauses:

    ip next-hop 20.20.21.5 

route-map _rise-system-rmap-Vlan132, permit, sequence 1      - - -- - - - - - >Generated by NetScaler.

  Match clauses:

    ip address (access-lists): _rise-system-acl-20.20.21.5-Vlan132 

  Set clauses:

    ip next-hop 20.20.21.5 

STLD1-630-01.05-N7K-RU21# sho access-lists dynamic      - - - - - >Dynamic ACL download from NetScaler (or pushed by Netscaler)

 

IP access list __urpf_v4_acl__

        10 permit ip any any 

IPv6 access list __urpf_v6_acl__

        10 permit ipv6 any any 

IP access list _rise-system-acl-20.20.21.5-Vlan125

        10 permit tcp 30.30.31.33/32 eq 443 any 

        20 permit tcp 30.30.31.33/32 eq www any 

IP access list _rise-system-acl-20.20.21.5-Vlan132

        10 permit tcp 30.30.32.35/32 eq 443 any 

        20 permit tcp 30.30.32.35/32 eq www any 

IP access list sl_def_acl

        statistics per-entry 

        10 deny tcp any any eq telnet syn 

        20 deny tcp any any eq www syn 

        30 deny tcp any any eq 22 syn 

        40 permit ip any any 

STLD1-630-01.05-N7K-RU21# show run int vl 132

 

!Command: show running-config interface Vlan132

!Time: Mon Mar 27 03:44:13 2017

 

version 6.2(16)

 

interface Vlan132

  no shutdown

  ip address 30.30.32.1/24

  ip policy route-map _rise-system-rmap-Vlan132            - - - - - >APBR, this command was generated by RISE

 

STLD1-630-01.05-N7K-RU21# show run int vl 125

 

!Command: show running-config interface Vlan125

!Time: Mon Mar 27 03:44:16 2017

 

version 6.2(16)

 

interface Vlan125

  no shutdown

  ip address 30.30.31.1/24

  ip policy route-map _rise-system-rmap-Vlan125    - - - - - >APBR, this command was generated by RISE

 

STLD1-630-01.05-N7K-RU21# 

TLD1-630-01.05-N7K-RU21# show rise

Name            Slot Vdc Rise-Ip         State        Interface

                  Id  Id                                       

--------------- ---- --- --------------- ------------ ----------------

ns21            300  1   20.20.99.5      active       N/A            

 

RHI Configuration

ip              prefix len nhop ip         weight vlan vrf        slot-id

--------------- ---------- --------------- ------ ---- ---------- -------

40.40.41.101    32         20.20.21.5      100    201  default    300             - - - - > RHI

 

APBR Configuration                                                                - - - - > APBR

rs ip           rs port protocol nhop ip         rs nhop  apbr state slot-id

--------------- ------- -------- --------------- -------- ---------- -------

30.30.31.33     80      TCP      20.20.21.5      Vlan125  ADD DONE   300    

30.30.31.33     443     TCP      20.20.21.5      Vlan125  ADD DONE   300    

30.30.32.35     80      TCP      20.20.21.5      Vlan132  ADD DONE   300    

30.30.32.35     443     TCP      20.20.21.5      Vlan132  ADD DONE   300