Nexus 9000:ITD組態範例和驗證
簡介
本檔案介紹在Nexus 9000平台上設定和驗證智慧流量導向器(ITD)。
必要條件
需求
思科建議您瞭解以下主題:
-
Nexus 9000
-
ITD
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- N9K-C 9372PX
- 7.0(3)I2(2a)
- 網路服務許可證
- 7.0(3)I1(2)或更高版本
- Cisco Nexus 9372PX、9372TX、9396PX、9396TX、93120TX和40TX93128換機
- 採用Cisco Nexus X9464PX、X9464TX、X9564PX和X9564TX線卡的Cisco Nexus 9500系列交換機
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
設定
網路圖表
請考慮此拓撲。來自vlan 39中主機且目的地為www.google.com的流量通常會進入Nexus 9000並轉送到vlan 800上路由表中的下一躍點。但是,客戶希望能夠將vlan 39中傳入的流量重新導向到Web代理裝置(40.40.40.2),然後最終轉發到網際網路服務提供商(ISP)。 此部署模式通常稱為「單臂部署模式」。
F340.10.26-N9K-C9372PX-1# sh running-config services !Command: show running-config services !Time: Sat Feb 6 23:50:09 2016 version 7.0(3)I2(2a) feature itd itd device-group ITD_DEVICE_GROUP node ip 40.40.40.2 itd ITD_SERVICE device-group ITD_DEVICE_GROUP ingress interface Vlan39 no shut
組態警告
- 啟用ITD功能時,系統會報告有關「NETWORK_SERVICES_PKG」的錯誤消息,該消息顯示裝置在重新載入之前未使用。這是因為N9K平台上的基於榮譽的許可。
- 當您在ITD服務下呼叫排除訪問清單時,會在此訪問清單中定義要從重定向中排除的所有流量。若不呼叫此存取清單,所有進入輸入介面上的交換器的流量都會重新導向。
- 當在伺服器負載平衡模式下部署時,必須在ITD服務下定義虛擬IP地址,只有到虛擬IP地址的流量會受到重新導向的影響。
- 在ITD功能中,Nexus 9000不本地支援網路地址轉換/埠地址轉換(NAT/PAT)。如果原始資料包重定向到的裝置要檢視/檢查返回流量,則客戶在設計時需要考慮這一點。
- 執行重新導向的裝置必須是與Nexus 9000相鄰的第2層。
- 通告{enable | disable}選項指定是否將虛擬IP路由通告給它的相鄰裝置。通過將靜態路由注入本地路由表來完成此操作,然後將靜態路由分發到路由協定中。
- 在對ITD服務進行任何配置更改之前,您必須先關閉該服務。 這會導致失效開放情況,而且不會造成任何服務影響。
驗證
使用本節內容,確認您的組態是否正常運作。
F340.10.26-N9K-C9372PX-1# sh itd
Name Probe LB Scheme Status Buckets
-------------- ----- ---------- -------- -------
ITD_SERVICE N/A src-ip ACTIVE 1
Device Group VRF-Name
-------------------------------------------------- -------------
ITD_DEVICE_GROUP
Pool Interface Status Track_id
------------------------------ ------------ ------ ---------
ITD_SERVICE_itd_pool Vlan39 UP -
Node IP Config-State Weight Status Track_id Sla_id
------------------------- ------------ ------ ---------- --------- ---------
1 40.40.40.2 Active 1 OK None None
Bucket List
-----------------------------------------------------------------------
ITD_SERVICE_itd_bucket_1
- 此輸出有助於快速檢查已配置的ITD服務相關引數以及它是否處於活動狀態。
F340.10.26-N9K-C9372PX-1# sh itd all statistics
Service Device Group
-----------------------------------------------------------
ITD_SERVICE ITD_DEVICE_GROUP
0%
Traffic Bucket Assigned to Mode Original Node #Packets
--------------- -------------- ----- -------------- ---------
ITD_SERVICE_itd_bucket_1 40.40.40.2 Redirect 40.40.40.2 1215022221(100.00%)
- 此命令有助於確定是否根據ITD策略重定向流量。要使此命令提供任何輸出,您必須首先為要監控其統計資訊的服務啟用ITD統計資訊<ITD_SERVICE_NAME>。
F340.10.26-N9K-C9372PX-1# sh run int vlan 39
!Command: show running-config interface Vlan39
!Time: Thu Feb 18 02:22:12 2016
version 7.0(3)I2(2a)
interface Vlan39
no shutdown
ip address 39.39.39.39/24
ip policy route-map ITD_SERVICE_itd_pool
F340.10.26-N9K-C9372PX-1# sh route-map ITD_SERVICE_itd_pool
route-map ITD_SERVICE_itd_pool, permit, sequence 10
Description: auto generated route-map for ITD service ITD_SERVICE
Match clauses:
ip address (access-lists): ITD_SERVICE_itd_bucket_1
Set clauses:
ip next-hop 40.40.40.2
F340.10.26-N9K-C9372PX-1# sh ip access-lists ITD_SERVICE_itd_bucket_1
IP access list ITD_SERVICE_itd_bucket_1
10 permit ip 1.1.1.0 255.255.255.255 any
- 以下三個命令很有用,可用於確定是否已正確應用由ITD服務建立的自動配置以及重定向是否配置正確。
疑難排解
本節提供的資訊可用於對組態進行疑難排解。
F340.10.26-N9K-C9372PX-1# sh tech-support services detail | i "`show " `show feature | grep itd` `show itd` `show itd brief` `show itd statistics` `show itd statistics brief` `show running-config services` `show route-map` `show module` `show system internal iscm event-history debugs` `show system internal iscm event-history debugs detail` `show system internal iscm event-history events` `show system internal iscm event-history errors` `show system internal iscm event-history packets` `show system internal iscm event-history msgs` `show system internal iscm event-history all` `show port-channel summary` `show interface brief` `show accounting log`
- 如果ITD配置的特定方面出現故障,或者認為系統上的ITD元件存在問題,則最好收集show tech services detail以協助進一步調查。此show tech中包含的命令如前所述列出。
意見