この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、ご使用の ACE でのファイアウォール負荷分散の設定方法を説明します。ファイアウォール負荷分散を設定すると、トラフィックを接続ごとに複数のファイアウォールに分散させることによって、ファイアウォール プロテクションを拡張できます。特定の接続に属するパケットは、すべて同じファイアウォールを通過します。ファイアウォールは、そのインターフェイスすべてにわたり、個々のパケットの伝送を許可または拒否します。
• スタンダード ファイアウォールのロード バランシングの設定
• 次の作業
ファイアウォールは、ネットワークの 2 つの部分(たとえば、インターネットとイントラネット)の間で物理的障壁を形成します。ファイアウォールは、一方の側(インターネット)からパケットを受け取ると、そのパケットをもう一方の側(イントラネット)へ転送します。ファイアウォールでは、パケットを修正してから転送したり、そのまま転送したりできます。ファイアウォールは、パケットを拒否すると、通常、そのパケットを廃棄し、廃棄されたパケットをイベントとしてロギングします。
セッションが確立され、パケットのフローが開始されたら、ファイアウォールでは、設定されたポリシーに応じて、フロー内の各パケットを監視したり、フローを監視せずに転送したりできます。
ファイアウォールには、次のような 2 つの基本タイプがあります。
スタンダード ファイアウォールは、ネットワーク上にプレゼンスを持ちます。IP アドレスが割り当てられるため、ネットワーク上の他のデバイスによって認識され、デバイスとして扱われます。各ファイアウォールは、ファイアウォールの両側に設定された VLAN 上の IP アドレスを持ちます。
ステルス ファイアウォールは、ネットワーク上にプレゼンスを持ちません。IP アドレスが割り当てられないため、ネットワーク上の他のデバイスによって認識されることもアドレス指定されることもありません。その代わり、ファイアウォールの両側の VLAN でエイリアス IP アドレスを設定します。ネットワークから見ると、ステルス ファイアウォールは接続ケーブルの一部のようなものです。
ACE は、サーバ ファーム内の設定されたデバイスへのトラフィックをロード バランシングします。これらのデバイスは、ファイアウォール、キャッシュ、サーバなど、IP アドレス指定可能なあらゆるオブジェクトです。エイリアス IP アドレスもこのようなデバイスと見なされます。サーバ ファームの詳細については、 「実サーバおよびサーバ ファームの設定」 の「サーバ ファームの設定」を参照してください。ACE がファイアウォールへのトラフィックをロード バランシングするときに実行する機能は、サーバ ファームにある実サーバへのレイヤ 3 トラフィックをロード バランシングするときに実行する機能と同じです。
ACE は、ロード バランシング アルゴリズムまたはプレディクタを使用して、デバイスのタイプにかかわらず、サーバ ファーム内の設定されたデバイス間でのトラフィック分散方法を決定します。FWLB では、ハッシュ アドレス送信元およびハッシュ アドレス宛先プレディクタだけを使用することを推奨します。FWLB で、特に制御チャネルとデータ チャネルが分離しているアプリケーション(FTP など)に対して他のプレディクタを使用すると、障害が発生してトラフィックがブロックされる場合があります。
ロード バランシングのプレディクタ方式の詳細については、 「実サーバおよびサーバ ファームの設定」 の「サーバ ファーム プレディクタ方式の設定」を参照してください。
ACE は、スタンダード ファイアウォールとステルス ファイアウォールのどちらへのトラフィックでもロード バランシングできます。
スタンダード ファイアウォールの場合、単一の ACE またはそれぞれ 2 つの異なった Catalyst 6500 シリーズ スイッチまたは 2 つの異なった Cisco 7600 シリーズ ルータにある一組の ACE が、サーバ ファーム内のサーバ間のトラフィックを ACE でロード バランシングするときと同様に、一意の IP アドレスを持つファイアウォール間でトラフィックをロード バランシングします(図 6-1を参照)。
図 6-1 では、トラフィックがファイアウォールを通過し、ファイアウォールは両方向でトラフィックをフィルタリングします。インターネットからのトラフィックについては、サーバ ファーム SF_INSEC のファイアウォールへのトラフィックを ACE A がロード バランシングします。イントラネットからのトラフィックについては、サーバ ファーム SF_SEC のファイアウォールへのトラフィックを ACE B がロード バランシングします。元のトラフィックが通過したファイアウォールと同じファイアウォールをリターン トラフィックが通過するようにファイアウォールを設定します。
ステルス ファイアウォールの場合は、ファイアウォールを通過するパスを提供する複数の ACE で一意のエイリアス IP アドレスを持つインターフェイス間で、ACE がトラフィックをロード バランシングします(図 6-2を参照)。ステルス ファイアウォールは、特定の VLAN 上を流れる両方向のトラフィックがすべて同じファイアウォールを通過するように設定します。
図 6-2 ステルス ファイアウォールの設定(デュアル ACE だけ)
図 6-2 では、トラフィックがファイアウォールを通過し、ファイアウォールは両方向でトラフィックをフィルタリングします。イントラネットへのパスでは、VLAN 101、VLAN 102、および VLAN 103 の間で ACE A がトラフィックをロード バランシングし、ファイアウォールを経由して ACE B に送ります。インターネットへのパスでは、VLAN 201、VLAN 202、および VLAN 203 の間で ACE B がトラフィックをロード バランシングし、ファイアウォールを経由して ACE A に送ります。それぞれの ACE は、もう一方の ACE に設定したエイリアス IP アドレスをロード バランシング プロセスのターゲットとして使用します。
この項では、スタンダード ファイアウォールのファイアウォール負荷分散の設定方法を説明します。具体的な内容は次のとおりです。
(注) ネットワーク内のファイアウォール デバイスの設定の詳細については、ご使用のファイアウォール製品に付属のマニュアルを参照してください。
このスタンダード FWLB の設定例では(図 6-1を参照)、2 台の ACE(ACE A、ACE B)間で 3 つのファイアウォール(FW1、FW2、FW3)を設定します (1 台の ACE だけでもスタンダード FWLB を設定できます)。トラフィックは、ファイアウォールの両側にある共有 VLAN を経由してファイアウォールに出入りします(低セキュリティ側は VLAN 101、高セキュリティ側は VLAN 201)。各共有 VLAN 上のサーバ ファーム内で実サーバとして設定された各ファイアウォールに一意の IP アドレスを割り当てます。
ここでは、それぞれ別々の Catalyst 6500 シリーズ スイッチにある 2 台の ACE モジュールでスタンダード FWLB を設定するためのステップバイステップ手順を示すクイック スタート表を提供します。スタンダード FWLB は、ACEが 1 台だけでも設定できます。次の内容について説明します。
表 6-1 は、ACE A でスタンダード FWLB を設定するために必要な手順の概要を示しています(図 6-1を参照)。各ステップには、作業の完了に必要な CLI コマンドが示されています。
|
---|
1. 複数のコンテキストを使用している場合は、CLI プロンプトに注意し、目的のコンテキスト内で作業を実行していることを確認します。必要な場合は、正しいコンテキストに変更するか、または正しいコンテキストに直接ログインしてください。 この表の以降の例では、特に記載がない限り、Admin コンテキストが使用されています。コンテキストの作成に関する詳細は、『 Cisco Application Control Engine Module Administration Guide 』を参照してください。 |
(config)#
|
3. Access Control List(ACL; アクセス コントロール リスト)を設定してトラフィックを許可します。ACL は、アプリケーションのニーズに合わせて修正できます。ACL の設定の詳細については、『 Cisco Application Control Engine Module Security Configuration Guide 』を参照してください。 |
4. 3 台の実サーバで、VLAN 101 に属するファイアウォールの低セキュリティ側を設定します。実サーバの設定の詳細については、 「実サーバおよびサーバ ファームの設定」 を参照してください。 |
5. ファイアウォールの低セキュリティ側(インターネット)からの接続を処理するようにサーバ ファームを設定します。ACE は、ハッシュ アドレス送信元プレディクタを使用して、送信元 IP アドレスに基づいてファイアウォールを選択します。サーバ ファームの設定の詳細については、 「実サーバおよびサーバ ファームの設定」 を参照してください。 (config-sfarm-host)#
transparent
(config-sfarm-host)#
predictor hash address source 255.255.255.255
(config-sfarm-host)#
rserver FW_INSEC_1
(config-sfarm-host-rs)#
inservice
(config-sfarm-host-rs)#
exit
(config-sfarm-host)#
rserver FW_INSEC_2
(config-sfarm-host-rs)#
inservice
(config-sfarm-host-rs)#
exit
(config-sfarm-host)#
rserver FW_INSEC_3
(config-sfarm-host-rs)#
inservice
(config-sfarm-host-rs)#
exit
(config-sfarm-host)#
exit
|
6. サーバ ファーム SF-INSEC への要求がロード バランシングされるように、レイヤ 7 ロード バランシング ポリシー マップを設定します。そのポリシー マップとデフォルト クラス マップおよびサーバ ファーム SF-INSEC を関連付けます。SLB のトラフィック ポリシー設定の詳細については、 「サーバ ロード バランシングに関するトラフィック ポリシーの設定」 を参照してください。 |
7. ファイアウォールの低セキュリティ側の VLAN 100 で VIP アドレス 255.1.1.1 にマッチするインターネットからのトラフィックを分類するように、レイヤ 3 クラス マップを設定します。SLB のトラフィック ポリシー設定の詳細については、 「サーバ ロード バランシングに関するトラフィック ポリシーの設定」 を参照してください。 |
8. レイヤ 3 ポリシー マップを設定し、それとレイヤ 3 クラス マップおよびレイヤ 7 ポリシー マップを関連付けて、トラフィック ポリシー設定を完了します。SLB のトラフィック ポリシー設定の詳細については、 「サーバ ロード バランシングに関するトラフィック ポリシーの設定」 を参照してください。 |
9. インターネットからのトラフィックを受信し、イントラネットからのトラフィックをインターネットに送信するために ACE で使用するインターフェイスを設定します。ACL(ACL1)とレイヤ 3 ポリシー(POL_INSEC)を、そのインターフェイスに適用します。インターフェイスの設定の詳細については、『 Cisco Application Control Engine Module Routing and Bridging Configuration Guide 』を参照してください。 |
10. ファイアウォールの低セキュリティ側のインターフェイスを設定します。ACE は、このインターフェイスを使用してファイアウォールへのトラフィックをロード バランシングし、イントラネットからのトラフィックを受信します。インターフェイスの設定の詳細については、『 Cisco Application Control Engine Module Routing and Bridging Configuration Guide 』を参照してください。 |
11. 次の show コマンドを使用して、FWLB の設定を確認します。 |
|
表 6-2 は、ACE B でスタンダード FWLB を設定するために必要な手順の概要を示しています(図 6-1を参照)。ステップごとに、CLI コマンドおよび作業に必要な手順の参照を示します。
|
---|
1. 複数のコンテキストを使用している場合は、CLI プロンプトに注意し、目的のコンテキスト内で作業を実行していることを確認します。必要な場合は、正しいコンテキストに変更するか、または正しいコンテキストに直接ログインしてください。 この表の以降の例では、特に記載がない限り、Admin コンテキストが使用されています。コンテキストの作成に関する詳細は、『 Cisco Application Control Engine Module Administration Guide 』を参照してください。 |
(config)#
|
3. ACL を設定してトラフィックを許可します。ACL は、アプリケーションのニーズに合わせて修正できます。ACL の設定の詳細については、『 Cisco Application Control Engine Module Security Configuration Guide 』を参照してください。 |
4. 3 台の実サーバで、VLAN 201 に属するファイアウォールの高セキュリティ側を設定します。実サーバの設定の詳細については、 「実サーバおよびサーバ ファームの設定」 を参照してください。 |
5. ファイアウォールの高セキュリティ側(イントラネット)からの接続を処理するようにサーバ ファームを設定します。この場合、ACE は、ハッシュ アドレス宛先プレディクタを使用して、宛先 IP アドレスに基づいてファイアウォールを選択します。このプレディクタによって、ACE は、リターン フローおよび関連する接続に対して同じファイアウォールを選択できます。たとえば、FTP の場合、制御チャネルとデータ チャネルがいずれも同じファイアウォールを通過できます。サーバ ファームの設定の詳細については、 「実サーバおよびサーバ ファームの設定」 を参照してください。 (config-sfarm-host)#
transparent
(config-sfarm-host)#
predictor hash address destination 255.255.255.255
(config-sfarm-host)#
rserver FW_SEC_1
(config-sfarm-host-rs)#
inservice
(config-sfarm-host-rs)#
exit
(config-sfarm-host)#
rserver FW_SEC_2
(config-sfarm-host-rs)#
inservice
(config-sfarm-host-rs)#
exit
(config-sfarm-host)#
rserver FW_SEC_3
(config-sfarm-host-rs)#
inservice
(config-sfarm-host)#
exit
|
6. ファイアウォールの高セキュリティ側の VLAN 20 でコンテンツをロード バランシングするように 2 台の実サーバを設定します。サーバ ファームの設定の詳細については、 「実サーバおよびサーバ ファームの設定」 を参照してください。 |
7. HTTP サーバの標準的なサーバ ファームを設定します。サーバ ファームの設定の詳細については、 「実サーバおよびサーバ ファームの設定」 を参照してください。 (config-sfarm-host)#
rserver REAL1
(config-sfarm-host-rs)#
inservice
(config-sfarm-host-rs)#
exit
(config-sfarm-host)#
rserver REAL2
(config-sfarm-host-rs)#
inservice
(config-sfarm-host-rs)#
exit
(config-sfarm-host)#
rserver REAL3
(config-sfarm-host-rs)#
inservice
(config-sfarm-host-rs)#
exit
(config-sfarm-host)#
exit
|
8. デフォルト クラス マップを使用して、VLAN 20 の HTTP サーバ ファームへのトラフィックをロード バランシングするレイヤ 7 ポリシー マップを設定します。SLB のトラフィック ポリシー設定の詳細については、 「サーバ ロード バランシングに関するトラフィック ポリシーの設定」 を参照してください。 |
9. VLAN 201 で設定された仮想 IP アドレス 200.1.1.1 に向かうトラフィックを分類するように、レイヤ 3 クラス マップを設定します。SLB のトラフィック ポリシー設定の詳細については、 「サーバ ロード バランシングに関するトラフィック ポリシーの設定」 を参照してください。 |
10. レイヤ 3 ポリシー マップを設定し、それとレイヤ 3 クラス マップ(SEC_20_VS)およびレイヤ 7 ポリシー マップ(SEC_20_LB)を関連付けます。このステップによって、VLAN 20 の HTTP サーバへのトラフィックをロード バランシングするポリシーが完成します。SLB のトラフィック ポリシー設定の詳細については、 「サーバ ロード バランシングに関するトラフィック ポリシーの設定」 を参照してください。 |
11. インターネットに向けて VLAN 200 または VLAN 20 から VLAN 201 のファイアウォールの高セキュリティ側に送られるトラフィックをロード バランシングするように、レイヤ 7 ポリシー マップを設定します。SLB のトラフィック ポリシー設定の詳細については、 「サーバ ロード バランシングに関するトラフィック ポリシーの設定」 を参照してください。 |
12. ファイアウォールの高セキュリティ側からインターネットに向かうすべてのトラフィックを分類するように、レイヤ 3 クラス マップを設定します。SLB のトラフィック ポリシー設定の詳細については、 「サーバ ロード バランシングに関するトラフィック ポリシーの設定」 を参照してください。 |
13. レイヤ 3 ポリシー マップを設定し、それとレイヤ 7 ポリシー マップ(LB_FW_SEC)およびレイヤ 3 クラス マップ(FW_SEC_VIP)を関連付けます。VIP でロード バランシングを有効にします。このステップによって、ファイアウォールの高セキュリティ側からインターネットに向かうすべての要求をロード バランシングするポリシーが完成します。SLB のトラフィック ポリシー設定の詳細については、 「サーバ ロード バランシングに関するトラフィック ポリシーの設定」 を参照してください。 |
14. ファイアウォールの高セキュリティ側のインターフェイスを、インターネットから発信されてそのファイアウォールを通過するトラフィック用に設定します。ACE は、このインターフェイスを使用してファイアウォールからのトラフィックを捕捉し、HTTP サーバ ファームへのそのトラフィックをロード バランシングして、リモート ホストにルーティングします。インターフェイスの設定の詳細については、『 Cisco Application Control Engine Module Routing and Bridging Configuration Guide 』を参照してください。 |
15. VLAN 20 の HTTP サーバ ファームからのトラフィック用に、ファイアウォールの高セキュリティ側のインターフェイスを設定します。インターフェイスの設定の詳細については、『 Cisco Application Control Engine Module Routing and Bridging Configuration Guide 』を参照してください。 |
16. VLAN 200 のリモート ホストからのトラフィック用に、ファイアウォールの高セキュリティ側のインターフェイスを設定します。インターフェイスの設定の詳細については、『 Cisco Application Control Engine Module Routing and Bridging Configuration Guide 』を参照してください。 |
17. 次の show コマンドを使用して、FWLB の設定を確認します。 |
|
この項では、ステルス FWLB の設定方法を説明します。具体的な内容は次のとおりです。
• ステルス ファイアウォール負荷分散設定のクイック スタート
(注) ネットワーク内のファイアウォール デバイスの設定の詳細については、ご使用のファイアウォール製品に付属のマニュアルを参照してください。
(注) ステルス FWLB の設定では、それぞれが別個の Catalyst 6500 シリーズ スイッチまたは Cisco 7600 シリーズ ルータに配置された 2 台の ACEを設定する必要があります。
このステルス FWLB の設定例では(図 6-2 を参照)、ACE A と ACE B が、3 つのファイアウォールを通過するトラフィックをロード バランシングします。サーバ ファーム内で実サーバとして設定された各ファイアウォールは、2 つの異なる VLAN に接続します。その 1 つはファイアウォールの低セキュリティ側、もう 1 つは高セキュリティ側にあります。ステルス ファイアウォールは、VLAN 上で IP アドレスを持ちません。その代わり、ファイアウォールが接続する ACE のインターフェイスごとにエイリアス IP アドレスを設定します。ACE は、エイリアス IP アドレスを使用して、トラフィックを正しいファイアウォールへ送信します。
インターネットからイントラネットへのパスでは、トラフィックは、異なる VLAN(VLAN 101、VLAN 102、VLAN 103)からファイアウォールの低セキュリティ側に入り、それらの高セキュリティ側から別々の VLAN(VLAN 201、VLAN 202、VLAN 203)へ出て行きます。イントラネットからインターネットへのパスでは、フローは逆になります。他の VLAN は、次のロケーションへの接続を提供します。
ここでは、2 台の ACE モジュールでステルス FWLB を設定するためのステップバイステップ手順を示すクイック スタート表を提供します。次の内容について説明します。
表 6-3 は、ACE A(低セキュリティ側)でステルス FWLB を設定するために必要な手順の概要を示しています。各ステップには、作業の完了に必要な CLI コマンドが示されています。
|
---|
1. 複数のコンテキストを使用している場合は、CLI プロンプトに注意し、目的のコンテキスト内で作業を実行していることを確認します。必要な場合は、正しいコンテキストに変更するか、または正しいコンテキストに直接ログインしてください。 この表の以降の例では、特に記載がない限り、Admin コンテキストが使用されています。コンテキストの作成に関する詳細は、『 Cisco Application Control Engine Module Administration Guide 』を参照してください。 |
(config)#
|
3. ACE へのトラフィックを許可するように、ACL を設定します。ACL は、アプリケーションのニーズに合わせて修正できます。ACL の設定の詳細については、『 Cisco Application Control Engine Module Security Configuration Guide 』を参照してください。 |
4. 3 台の実サーバで、VLAN 101、102、および 103 に属するファイアウォールの低セキュリティ側を設定します。実サーバの設定の詳細については、 「実サーバおよびサーバ ファームの設定」 を参照してください。 |
5. ファイアウォールの低セキュリティ側(インターネット)からの接続を処理するようにサーバ ファームを設定します。ACE は、ハッシュ アドレス送信元プレディクタを使用して、送信元 IP アドレスに基づいてファイアウォールを選択します。サーバ ファームの設定の詳細については、 「実サーバおよびサーバ ファームの設定」 を参照してください。 (config-sfarm-host)#
transparent
(config-sfarm-host)#
predictor hash address source 255.255.255.255
(config-sfarm-host)#
rserver FW_INSEC_1
(config-sfarm-host-rs)#
inservice
(config-sfarm-host-rs)#
exit
(config-sfarm-host)#
rserver FW_INSEC_2
(config-sfarm-host-rs)#
inservice
(config-sfarm-host-rs)#
exit
(config-sfarm-host)#
rserver FW_INSEC_3
(config-sfarm-host-rs)#
inservice
(config-sfarm-host-rs)#
exit
(config-sfarm-host)#
exit
|
6. ファイアウォールから受信したパケットをインターネットに転送するように、レイヤ 7 ロード バランシング ポリシー マップを設定します。そのポリシー マップとデフォルト クラス マップを関連付けます。SLB のトラフィック ポリシー設定の詳細については、 「サーバ ロード バランシングに関するトラフィック ポリシーの設定」 を参照してください。 |
7. ファイアウォールの低セキュリティ側の VLAN 101、102、および 103 ですべての VIP アドレス、ネットマスク、およびプロトコルにマッチするファイアウォールからのトラフィックを分類するように、レイヤ 3 クラス マップを設定します。 |
8. レイヤ 3 ポリシー マップを設定し、それとレイヤ 3 フォワーディング クラス マップ(FORWARD_VIP)およびレイヤ 7 フォワーディング ポリシー マップ(FORWARD_FW_INSEC)を関連付けて、フォワーディング ポリシー設定を完了します。 |
9. インターネットからサーバ ファーム SF-INSEC への要求をロード バランシングするように、レイヤ 7 ロード バランシング ポリシー マップを設定します。そのポリシー マップとデフォルト クラス マップおよびサーバ ファーム SF-INSEC を関連付けます。 |
10. ファイアウォールの低セキュリティ側の VLAN 100 で VIP アドレス 200.1.1.1、ネットマスク 255.255.0.0、およびすべてのプロトコルにマッチするインターネットからのトラフィックを分類するように、レイヤ 3 クラス マップを設定します。 |
11. レイヤ 3 ポリシー マップを設定し、それとレイヤ 3 クラス マップ(FW-VIP)およびレイヤ 7 ポリシー マップ(LB_FW_INSEC)を関連付けて、ロード バランシング ポリシー設定を完了します。 |
12. インターネットからのトラフィックを受信し、ファイアウォールの低セキュリティ側へのそのトラフィックをロード バランシングするために ACE で使用するインターフェイスを設定します。ACL(ACL1)とレイヤ 3 ポリシー(POL_INSEC)を、そのインターフェイスに適用します。インターフェイスの設定の詳細については、『 Cisco Application Control Engine Module Routing and Bridging Configuration Guide 』を参照してください。 |
13. FW1 へのトラフィックをロード バランシングし、イントラネットからのトラフィックを受信するために ACE A で使用するファイアウォールの低セキュリティ側のインターフェイスを設定します。インターフェイスの設定の詳細については、『 Cisco Application Control Engine Module Routing and Bridging Configuration Guide 』を参照してください。 |
14. FW2 へのトラフィックをロード バランシングし、イントラネットからのトラフィックを受信するために ACE A で使用するファイアウォールの低セキュリティ側のインターフェイスを設定します。インターフェイスの設定の詳細については、『 Cisco Application Control Engine Module Routing and Bridging Configuration Guide 』を参照してください。 |
15. FW3 へのトラフィックをロード バランシングし、イントラネットからのトラフィックを受信するために ACE A で使用するファイアウォールの低セキュリティ側のインターフェイスを設定します。インターフェイスの設定の詳細については、『 Cisco Application Control Engine Module Routing and Bridging Configuration Guide 』を参照してください。 |
16. 次の show コマンドを使用して、FWLB の設定を確認します。 |
|
表 6-4 は、ACE B(高セキュリティ側)でステルス FWLB を設定するために必要な手順の概要を示しています。各ステップには、作業の完了に必要な CLI コマンドが示されています。
|
---|
1. 複数のコンテキストを使用している場合は、CLI プロンプトに注意し、目的のコンテキスト内で作業を実行していることを確認します。必要な場合は、正しいコンテキストに変更するか、または正しいコンテキストに直接ログインしてください。 この表の以降の例では、特に記載がない限り、Admin コンテキストが使用されています。コンテキストの作成に関する詳細は、『 Cisco Application Control Engine Module Administration Guide 』を参照してください。 |
(config)#
|
3. ACE へのトラフィックを許可するように、ACL を設定します。ACL は、アプリケーションのニーズに合わせて修正できます。ACL の設定の詳細については、『 Cisco Application Control Engine Module Security Configuration Guide 』を参照してください。 |
4. 3 台の実サーバで、VLAN 201、202、および 203 に属するファイアウォールの高セキュリティ側を設定します。実サーバの設定の詳細については、 「実サーバおよびサーバ ファームの設定」 を参照してください。 |
5. ファイアウォールの高セキュリティ側(イントラネット)からの接続を処理するようにサーバ ファームを設定します。この場合、ACE は、ハッシュ アドレス宛先プレディクタを使用して、宛先 IP アドレスに基づいてファイアウォールを選択します。このプレディクタによって、ACE は、リターン フローおよび関連する接続に対して同じファイアウォールを選択できます。たとえば、FTP の場合、制御チャネルとデータ チャネルがいずれも同じファイアウォールを通過できます。サーバ ファームの設定の詳細については、 「実サーバおよびサーバ ファームの設定」 を参照してください。 (config-sfarm-host)#
transparent
(config-sfarm-host)#
predictor hash address destination 255.255.255.255
(config-sfarm-host)#
rserver FW_SEC_1
(config-sfarm-host)#
inservice
(config-sfarm-host)#
rserver FW_SEC_2
(config-sfarm-host)#
inservice
(config-sfarm-host)#
rserver FW_SEC_3
(config-sfarm-host)#
inservice
(config-sfarm-host)#
exit
|
6. ファイアウォールの高セキュリティ側の VLAN 20 でコンテンツをロード バランシングするように 3 台の実サーバを設定します。実サーバの設定の詳細については、 「実サーバおよびサーバ ファームの設定」 を参照してください。 |
7. VLAN 20 の HTTP サーバへの要求をロード バランシングするように、その HTTP サーバの標準的なサーバ ファームを設定します。サーバ ファームの設定の詳細については、 「実サーバおよびサーバ ファームの設定」 を参照してください。 (config-sfarm-host)#
rserver REAL1
(config-sfarm-host-rs)#
inservice
(config-sfarm-host-rs)#
exit
(config-sfarm-host)#
rserver REAL2
(config-sfarm-host-rs)#
inservice
(config-sfarm-host-rs)#
exit
(config-sfarm-host)#
rserver REAL3
(config-sfarm-host-rs)#
inservice
(config-sfarm-host-rs)#
exit
(config-sfarm-host)#
exit
|
8. デフォルト クラス マップを使用して、VLAN 20 の HTTP サーバ ファームへのトラフィックをロード バランシングするレイヤ 7 ポリシー マップを設定します。SLB のトラフィック ポリシー設定の詳細については、 「サーバ ロード バランシングに関するトラフィック ポリシーの設定」 を参照してください。 |
9. VLAN 201、202、および 203 上の仮想 IP アドレス 200.1.1.1 に向かうトラフィックを分類するように、レイヤ 3 クラス マップを設定します。SLB のトラフィック ポリシー設定の詳細については、 「サーバ ロード バランシングに関するトラフィック ポリシーの設定」 を参照してください。 |
10. レイヤ 3 ポリシー マップを設定し、それとレイヤ 3 クラス マップ(SEC_20_VS)およびレイヤ 7 ポリシー マップ(SEC_20_LB)を関連付けます。このステップによって、VLAN 20 の HTTP サーバへのトラフィックをロード バランシングするポリシーが完成します。SLB のトラフィック ポリシー設定の詳細については、 「サーバ ロード バランシングに関するトラフィック ポリシーの設定」 を参照してください。 |
11. インターネットに向けて VLAN 200 または VLAN 20 から VLAN 201 のファイアウォールの高セキュリティ側に送られる要求をロード バランシングするように、レイヤ 7 ポリシー マップを設定します。SLB のトラフィック ポリシー設定の詳細については、 「サーバ ロード バランシングに関するトラフィック ポリシーの設定」 を参照してください。 |
12. ファイアウォールの高セキュリティ側からのすべてのトラフィック(あらゆる IP アドレス、ネットマスク、およびプロトコル)を分類するように、レイヤ 3 クラス マップを設定します。SLB のトラフィック ポリシー設定の詳細については、 「サーバ ロード バランシングに関するトラフィック ポリシーの設定」 を参照してください。 |
13. レイヤ 3 ポリシー マップを設定し、それとレイヤ 7 ポリシー マップ(LB_FW_SEC)およびレイヤ 3 クラス マップ(FW_SEC_VIP)を関連付けます。VIP でロード バランシングを有効にします。このステップによって、ファイアウォールの高セキュリティ側からインターネットに向かうすべての要求をロード バランシングするポリシーが完成します。SLB のトラフィック ポリシー設定の詳細については、 「サーバ ロード バランシングに関するトラフィック ポリシーの設定」 を参照してください。 |
14. トラフィックをイントラネットから FW1 に送信するため、そしてインターネットから発信されてファイアウォールを通過するトラフィックを受信するために ACE で使用するファイアウォールの高セキュリティ側のインターフェイスを設定します。インターフェイスの設定の詳細については、『 Cisco Application Control Engine Module Routing and Bridging Configuration Guide 』を参照してください。 |
15. トラフィックをイントラネットから FW2 に送信するため、およびインターネットから発信されてファイアウォールを通過するトラフィックを受信するために ACE で使用するファイアウォールの高セキュリティ側のインターフェイスを設定します。インターフェイスの設定の詳細については、『 Cisco Application Control Engine Module Routing and Bridging Configuration Guide 』を参照してください。 |
16. トラフィックをイントラネットから FW3 に送信するため、およびインターネットから発信されてファイアウォールを通過するトラフィックを受信するために ACE で使用するファイアウォールの低セキュリティ側のインターフェイスを設定します。インターフェイスの設定の詳細については、『 Cisco Application Control Engine Module Routing and Bridging Configuration Guide 』を参照してください。 |
17. VLAN 200 のリモート ホストからインターネットに向かうトラフィックを受信するために ACE で使用するインターフェイスを設定します。ACL(ACL1)とレイヤ 3 ポリシー マップ(POL_SEC)を、そのインターフェイスに適用します。インターフェイスの設定の詳細については、『 Cisco Application Control Engine Module Routing and Bridging Configuration Guide 』を参照してください。 |
18. VLAN 20 の HTTP サーバ ファームからインターネットに向かうトラフィックを受信するために ACE で使用するインターフェイスを設定します。ACL(ACL1)とレイヤ 3 ポリシー マップ(POL_SEC)を、そのインターフェイスに適用します。インターフェイスの設定の詳細については、『 Cisco Application Control Engine Module Routing and Bridging Configuration Guide 』を参照してください。 |
19. 次の show コマンドを使用して、FWLB の設定を確認します。 |
|
EXEC モードで show running-config コマンドを使用することによって、実行コンフィギュレーション全体を表示できます。このコマンドの構文は次のとおりです。
実行コンフィギュレーションの FWLB に関連したセクションを表示するには、EXEC モードで次のコマンドを使用します。
• show running-config access-list
• show running-config class-map
• show running-config interface
• show running-config policy-map
この項では、スタンダードおよびステルス FWLB の設定例を示します。具体的な内容は次のとおりです。
次の例は、実行コンフィギュレーションのスタンダード FWLB に関連した部分を示しています。この設定は、ファイアウォールをはさんで配置された Catalyst 6500 シリーズ スイッチ内にそれぞれ配置された 2 台の ACE モジュールに基づいています(図 6-1を参照)。スタンダード FWLB は、ACEが 1 台だけでも設定できます。
次の例は、実行コンフィギュレーションのステルス FWLB に関連した部分を示しています。この設定では、別個の Catalyst 6500 シリーズ スイッチ内にそれぞれ配置された 2 台の ACE モジュール が必要です。
Toolkit Command Language(TCL)スクリプトを ACE で使用する場合は、 「ACE での TCL スクリプトの使用」 を参照してください。