Configurer la fonctionnalité IP SLA avec L3out pour suivre la route statique

Introduction

Ce document décrit comment configurer l'accord de niveau de service de protocole Internet (IPSLA) dans l'infrastructure axée sur les applications (ACI) de Cisco pour suivre les routes statiques acquises d'une sortie L3out et annoncer à une autre sortie L3out uniquement si le sous-réseau est accessible à partir de la première sortie L3out.

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes :

• Logiciel ACI version 4.1 et ultérieure
• Sortie L3vers périphérique externe ou serveur
• Châssis EX et -FX
• Suivre la route pour utiliser le protocole ICMP (Internet Control Message Protocol) et les sondes TCP (dans cet exemple, la sonde ICMP est utilisée)

Remarque : le contrat de niveau de service IP d'image ACI est pris en charge dans tous les commutateurs de deuxième génération Cisco Nexus, qui inclut les châssis -EX et -FX. Veuillez lire les directives et les limites pour IP SLA.

Components Used

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• ACI version 5.2(2f)
• N9K-C93180YC-FX

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Informations générales

Certains serveurs ont plusieurs interfaces (comme un bouclage) qui sont accessibles depuis l'ACI via l'adresse IP physique du serveur. Dans ce cas, vous pouvez avoir besoin d'ajouter une route statique et d'annoncer en externe, mais uniquement si l'adresse IP physique du serveur est accessible. Par conséquent, la fonctionnalité de suivi IP SLA est une configuration inévitable qui ne peut être réalisée que par la configuration L3out vers ces serveurs. Pour le moment, les fonctions de piste IP SLA ne sont pas prises en charge pour la route statique sur un domaine Bridge. Dans ce document, nous allons rechercher des exemples de serveurs et des configurations de routes de transit qui utilisent IP SLA.

Configuration

• L3sortant vers le serveur et vers les périphériques N3K.
• Configurez le suivi IP SLA pour l'adresse IP physique du serveur.
• Configurez la route statique sous L3out vers le serveur qui utilise la piste IP SLA et annoncez depuis un autre L3out vers N3K.

Diagramme du réseau

Topologie des travaux pratiques ACI

Configurations

Étapes récapitulatives :

Stratégies de fabric ACI :

• Créer un contrat (dans cet exemple, un filtre par défaut commun qui permet d'utiliser tout le trafic, mais vous pouvez utiliser un filtre spécifique créé localement dans le même service partagé pour autoriser un trafic spécifique. dans ce cas, assurez-vous d'autoriser le protocole que nous sommes utilisés pour le suivi IP SLA).
• Créer une sortie L3vers le serveur 10.100.0.100/24 (côté ACI SVI 550 avec l'adresse IP 10.100.0.254)
• Créer des stratégies de suivi IP SLA (stratégie de surveillance IP SLA, stratégie de suivi des membres, stratégie de liste de suivi)
• Ajoutez une route statique sous L3out vers le serveur avec la liste de suivi IP SLA.
• Créez un nouveau L3out vers le périphérique N3K qui utilise BGP. (EBGP) ACI AS 65535 et N3K AS 65536
• Exporter la route statique de L3out vers N3K.
• Vérifiez la configuration et l'accessibilité.

1. Créer un contrat (dans cet exemple, utilisez un filtre par défaut commun qui autorise tout le trafic, mais vous pouvez utiliser un filtre spécifique créé localement dans le même locataire pour autoriser un trafic spécifique, mais dans ce cas, assurez-vous d'autoriser le protocole que nous utilisons pour le suivi IP SLA).

Créer un contrat

2. Créez une sortie L3vers le serveur 10.100.0.100/24 (côté ACI SVI 550 avec l'adresse IP 10.100.0.254).

Créer L3out

Fixation du noeud à L3out

Connexion de l'interface à L3out

Configurer EPG externe

Joindre le contrat à L3out

3. Créer des stratégies de suivi IP SLA (stratégie de surveillance IP SLA, stratégie de suivi des membres, stratégie de liste de suivi).

Stratégie de surveillance IP SLA :

Configurer la stratégie de surveillance IP SLA

Membres du suivi IP SLA :

Ajout d'IP à la stratégie de surveillance

Stratégie de liste de suivi :

Configurer la liste de suivi

4. Configurez la route statique sous L3out vers le serveur avec la nouvelle stratégie de liste de suivi IP SLA.

Configurer la route statique sous L3out

5. Créez un L3out vers le périphérique N3K qui utilise le protocole BGP (Border Gateway Protocol). (EBGP) ACI AS 65535 et N3K AS 65536.

Configurer le protocole BGP

Profil d'homologue BGP

Configurer la stratégie d'homologue BGP

Configurer le profil d'interface logique sous L3out

Sous-réseau d'exportation EPG externe en transit L3out

Joindre le contrat à EPG externe

6. Exporter la route statique de L3out vers N3K.

switchname N3K
feature bgp
feature interface-vlan
interface Vlan550
  no shutdown
  vrf member BGP_L3out
  ip address 100.0.0.2/30
interface loopback200
  vrf member BGP_L3out
  ip address 30.30.30.1/32
interface Ethernet1/1
  switchport mode trunk
router bgp 65536
  address-family ipv4 unicast
  neighbor 100.0.0.1
  vrf BGP_L3out
    router-id 3.3.3.3
    address-family ipv4 unicast
      network 30.30.30.1/32
    neighbor 100.0.0.1
      remote-as 65535
      update-source Vlan550
      address-family ipv4 unicast

Vérification

Utilisez cette section pour confirmer que votre configuration fonctionne correctement.

Nexus3K.

Annonce de route de transit expliquée par la topologie

N3K# routing vrf BGP_L3out
N3K%BGP_L3out# show ip route
IP Route Table for VRF "BGP_L3out"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%' in via output denotes VRF 
30.30.30.1/32, ubest/mbest: 2/0, attached
    *via 30.30.30.1, Lo200, [0/0], 02:35:27, local
    *via 30.30.30.1, Lo200, [0/0], 02:35:27, direct
100.0.0.0/30, ubest/mbest: 1/0, attached
    *via 100.0.0.2, Vlan550, [0/0], 05:52:18, direct
100.0.0.2/32, ubest/mbest: 1/0, attached
    *via 100.0.0.2, Vlan550, [0/0], 05:52:18, local
200.0.0.1/32, ubest/mbest: 1/0
    *via 100.0.0.1, [20/0], 02:32:36, bgp-65536, external, tag 65535

Le bouclage du serveur est accessible avec la source comme adresse de bouclage N3K.

N3K
interface loopback200
  vrf member BGP_L3out
  ip address 30.30.30.1/32

N3K# ping 200.0.0.1 vrf BGP_L3out source 30.30.30.1
PING 200.0.0.1 (200.0.0.1): 56 data bytes
64 bytes from 200.0.0.1: icmp_seq=0 ttl=252 time=0.94 ms
64 bytes from 200.0.0.1: icmp_seq=1 ttl=252 time=0.729 ms
64 bytes from 200.0.0.1: icmp_seq=2 ttl=252 time=0.658 ms
64 bytes from 200.0.0.1: icmp_seq=3 ttl=252 time=0.706 ms
64 bytes from 200.0.0.1: icmp_seq=4 ttl=252 time=0.655 ms
--- 200.0.0.1 ping statistics ---
5 packets transmitted, 5 packets received, 0.00% packet loss
round-trip min/avg/max = 0.655/0.737/0.94 ms

Table de routage ACI Leaf 102 (avec L3out vers Nexus 3K).

Leaf102# show ip route vrf TN_D:VRF_S
IP Route Table for VRF "TN_D:VRF_S"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%' in via output denotes VRF 
10.100.0.0/24, ubest/mbest: 1/0
    *via 10.0.96.64%overlay-1, [200/0], 02:56:36, bgp-65535, internal, tag 65535
30.30.30.1/32, ubest/mbest: 1/0                                                      <<address of N3K. 
    *via 100.0.0.2%TN_D:VRF_S, [20/0], 02:44:34, bgp-65535, external, tag 65536
100.0.0.0/30, ubest/mbest: 1/0, attached, direct
    *via 100.0.0.1, vlan19, [0/0], 05:09:37, direct
100.0.0.1/32, ubest/mbest: 1/0, attached
    *via 100.0.0.1, vlan19, [0/0], 05:09:37, local, local
101.101.101.101/32, ubest/mbest: 1/0
    *via 10.0.96.64%overlay-1, [1/0], 02:56:36, bgp-65535, internal, tag 65535
102.102.102.102/32, ubest/mbest: 2/0, attached, direct
    *via 102.102.102.102, lo5, [0/0], 16:49:13, local, local
    *via 102.102.102.102, lo5, [0/0], 16:49:13, direct
200.0.0.1/32, ubest/mbest: 1/0
    *via 10.0.96.64%overlay-1, [1/0], 02:42:15, bgp-65535, internal, tag 65535

Vérification de la configuration IP SLA Leaf 101 à partir de l'interface de ligne de commande.

Leaf101# show ip sla configuration
IP SLAs Infrastructure Engine-III
Entry number: 2000
Owner: owner-icmp-echo-dme
Tag:
Operation timeout (milliseconds): 900
Type of operation to perform: icmp-echo
Target address/Source address: 10.100.0.100/0.0.0.0
Traffic-Class parameter: 0x0
Type Of Service parameter: 0x0
Request size (ARR data portion): 28
Verify data: No
Vrf Name: TN_D:VRF_S
Schedule:
   Operation frequency (seconds): 5  (not considered if randomly scheduled)
   Next Scheduled Start Time: Start Time already passed
   Group Scheduled : FALSE
   Randomly Scheduled : FALSE
   Life (seconds): Forever
   Entry Ageout (seconds): 3600
   Recurring (Starting Everyday): FALSE
   Status of entry (SNMP RowStatus): Active
Threshold (milliseconds): 900
Distribution Statistics:
   Number of statistic hours kept: 2
   Number of statistic distribution buckets kept: 1
   Statistic distribution interval (milliseconds): 20
History Statistics:
   Number of history Lives kept: 0
   Number of history Buckets kept: 15
   History Filter Type: None

Leaf101# show track brief
 TrackId  Type     Instance       Parameter            State      Last Change
 4        IP SLA   2000           reachability         up         2021-09-16T18:08:42.364+00:00
 3        List     ---            percentage           up         2021-09-16T18:08:42.365+00:00

Leaf101# show track
Track 1
    List Threshold percentage
    Threshold percentage is up
    6 changes, last change 2021-09-16T00:01:50.339+00:00
    Threshold percentage up 1% down 0%
    Tracked List Members:
        Object 2 (100)% up
    Attached to:
        Route prefix 200.0.0.1/32
Track 2
    IP SLA 2000
    reachability is up
    6 changes, last change 2021-09-16T00:01:50.338+00:00
    Tracked by:
        Track List 1

Vérification avec la commande Requête objet managée (Moquery) :

apic1# moquery -c fvIPSLAMonitoringPol -f 'fv.IPSLAMonitoringPol.name=="ICMP_Monitor"'
Total Objects shown: 1

# fv.IPSLAMonitoringPol
name                 : ICMP_Monitor
annotation           :
childAction          :
descr                :
dn                   : uni/tn-TN_D/ipslaMonitoringPol-ICMP_Monitor
extMngdBy            :
httpMethod           : get
httpUri              : /
httpVersion          : HTTP10
ipv4Tos              : 0
ipv6TrfClass         : 0
lcOwn                : local
modTs                : 2021-09-15T21:18:48.195+00:00
monPolDn             : uni/tn-common/monepg-default
nameAlias            :
ownerKey             :
ownerTag             :
reqDataSize          : 28
rn                   : ipslaMonitoringPol-ICMP_Monitor
slaDetectMultiplier  : 3
slaFrequency         : 5
slaPort              : 0
slaType              : icmp
status               :
threshold            : 900
timeout              : 900
uid                  : 15374
userdom              : :all:


apic1# moquery -c fvTrackMember -f 'fv.TrackMember.name=="Server_Physical_IP"'
Total Objects shown: 1

# fv.TrackMember
name         : Server_Physical_IP
annotation   :
childAction  :
descr        :
dn           : uni/tn-TN_D/trackmember-Server_Physical_IP
dstIpAddr    : 10.100.0.100
extMngdBy    :
id           : 2000
lcOwn        : local
modTs        : 2021-09-15T21:16:22.992+00:00
monPolDn     : uni/tn-common/monepg-default
nameAlias    :
ownerKey     :
ownerTag     :
rn           : trackmember-Server_Physical_IP
scopeDn      : uni/tn-TN_D/out-L3out_Static_server
status       :
uid          : 15374
userdom      : :all:

apic1# moquery -c fvTrackList -f 'fv.TrackList.name=="Tracking_Server_Physical_IP"'
Total Objects shown: 1

# fv.TrackList
name           : Tracking_Server_Physical_IP
annotation     :
childAction    :
descr          :
dn             : uni/tn-TN_D/tracklist-Tracking_Server_Physical_IP
extMngdBy      :
lcOwn          : local
modTs          : 2021-09-15T07:41:15.958+00:00
monPolDn       : uni/tn-common/monepg-default
nameAlias      :
ownerKey       :
ownerTag       :
percentageDown : 0
percentageUp   : 1
rn             : tracklist-Tracking_Server_Physical_IP
status         :
type           : percentage
uid            : 15374
userdom        : :all:
weightDown     : 0
weightUp       : 1

Dépannage

Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.

En cas de déconnexion de liaison ou d'inaccessibilité de l'adresse IP physique, l'adresse IP IP de l'ACI affiche le délai d'expiration de l'adresse IP de destination après que le seuil configuré ait atteint.

Interface L3out désactivée

État de la liaison du moniteur IP SLA après la liaison désactivée

Vérification CLI Leaf 101 (vous pouvez voir le délai d'attente pour le « code retour de la dernière opération »).

Leaf101# show ip sla statistics
IPSLAs Latest Operation Statistics
IPSLA operation id: 2000
        Latest RTT: NoConnection/Busy/Timeout
Latest operation start time: 23:54:30 UTC Wed Sep 15 2021
Latest operation return code: Timeout
Number of successes: 658
Number of failures: 61
Operation time to live: forever

Dès que le serveur est accessible, il affiche l'état OK.

État du moniteur IP SLA après activation de la liaison

Leaf101# show ip sla statistics
IPSLAs Latest Operation Statistics
IPSLA operation id: 2000
        Latest RTT: 1 milliseconds
Latest operation start time: 00:03:15 UTC Thu Sep 16 2021
Latest operation return code: OK
Number of successes: 18
Number of failures: 86
Operation time to live: forever

Informations connexes

• Guide de configuration de la mise en réseau de la couche 3 du contrôleur APIC Cisco, version 5.2(x)
• Support et documentation techniques - Cisco Systems