Contents
Introduction
Este documento fornece uma configuração de exemplo para balanceamento de carga de VPN em um Content Switching Module (CSM). O balanceamento de carga da VPN é um mecanismo que distribui de forma inteligente as sessões de VPN ao longo de um conjunto de concentradores VPN ou dispositivos VPN head-end. O balanceamento de carga da VPN é implementado por estes motivos:
-
superar as limitações de desempenho ou escalabilidade em dispositivos VPN; por exemplo, pacotes por segundo, conexões por segundo e throughput
-
fornecer redundância (remover um único ponto de falha)
Prerequisites
Requirements
Certifique-se de atender a estes requisitos antes de tentar esta configuração:
-
Implemente a RI (Reverse Route Inject, injeção de rota inversa) nos dispositivos headend para propagar automaticamente as informações de roteamento dos spokes.
-
Ative a VLAN 61 e 51 para compartilhar a mesma sub-rede.
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
-
Cisco Catalyst 6500 com CSM
-
Cisco 2621 Router
-
Cisco 7206
-
Cisco 7206VXR
-
Cisco 7204VXR
-
Cisco 7140
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Conventions
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
Configurar
Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.
Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.
Diagrama de Rede
Este documento utiliza a seguinte configuração de rede:
Configurações
Este documento utiliza as seguintes configurações:
Configuração do CSM
Conclua estes passos:
-
Implemente o RRI nos dispositivos headend para propagar as informações de roteamento dos spokes automaticamente.
Observação: a VLAN 61 e a VLAN 51 compartilham a mesma sub-rede.
-
Defina o cliente VLAN e o servidor VLAN.
-
Defina a sonda usada para verificar a integridade dos servidores IPSec.
!--- The CSM is located in slot 4. module ContentSwitchingModule 4 vlan 51 client ip address 172.21.51.244 255.255.255.240 ! vlan 61 server ip address 172.21.51.244 255.255.255.240 ! probe ICMP_PROBE icmp interval 5 retries 2 !
-
Defina o serverfarm com os servidores IPSec reais.
-
Configure a limpeza de falha, para limpar as conexões que pertencem a servidores mortos.
-
Defina a política difícil.
!--- Serverfarm VPN_IOS and real server members. serverfarm VPN_IOS nat server no nat client !--- Set the behavior of connections when the real servers have failed. failaction purge real 172.21.51.242 inservice real 172.21.51.247 inservice probe ICMP_PROBE ! !--- Ensure that connections from the same client match the same server !--- load balancing (SLB) policy. !--- Use the same real server on subsequent connections; issue the !--- sticky command. sticky 5 netmask 255.255.255.255 timeout 60 ! policy VPNIOS sticky-group 5 serverfarm VPN_IOS !
-
Defina VServers, um por fluxo de tráfego.
!--- Virtual server VPN_IOS_ESP. vserver VPN_IOS_ESP !--- The virtual server IP address is specified. virtual 172.21.51.253 50 !--- Persistence rebalance is used for HTTP 1.1, to rebalance the connection !--- to a new server using the load balancing policy. persistent rebalance !--- Associate the load balancing policy with the VPNIOS virtual server. slb-policy VPNIOS inservice ! vserver VPN_IOS_IKE virtual 172.21.51.253 udp 500 persistent rebalance slb-policy VPNIOS inservice !
Configuração do roteador de ponto inicial - 7206VXR
crypto isakmp policy 10 authentication pre-share crypto isakmp key cisco123 address 0.0.0.0 ! crypto ipsec transform-set myset esp-3des esp-sha-hmac crypto mib ipsec flowmib history tunnel size 200 crypto mib ipsec flowmib history failure size 200 ! crypto dynamic-map mydyn 10 set transform-set myset reverse-route ! crypto map mymap 10 ipsec-isakmp dynamic mydyn ! interface FastEthernet0/0 ip address 172.21.51.247 255.255.255.240 crypto map mymap ! interface FastEthernet2/0 ip address 10.1.1.6 255.255.255.0 router eigrp 1 redistribute static network 10.0.0.0 no auto-summary no eigrp log-neighbor-changes ! ip default-gateway 172.21.51.241 ip classless ip route 0.0.0.0 0.0.0.0 172.21.51.241 no ip http server !
Configuração do roteador spoke - 7206
crypto isakmp policy 10 authentication pre-share crypto isakmp key cisco123 address 172.21.51.253 ! crypto ipsec transform-set myset esp-3des esp-sha-hmac crypto mib ipsec flowmib history tunnel size 200 crypto mib ipsec flowmib history failure size 200 ! crypto map mymap 10 ipsec-isakmp set peer 172.21.51.253 set transform-set myset match address 101 ! interface Loopback0 ip address 10.3.3.3 255.255.255.0 ! interface Ethernet0/0 ip address 172.21.51.250 255.255.255.240 duplex auto crypto map mymap ! ip classless ip route 0.0.0.0 0.0.0.0 172.21.51.241 no ip http server ! access-list 101 permit ip 10.3.3.0 0.0.0.255 10.1.1.0 0.0.0.255 !
Verificar
Use esta seção para confirmar se a sua configuração funciona corretamente.
A Output Interpreter Tool ( somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.
-
Emita o comando show module csm all ou show module contentSwitchingModule all; ambos os comandos geram as mesmas informações.
O comando show module contentSwitchingModule all vservers mostra as informações do servidor virtual SLB.
Cat6506-1-Native# show module contentSwitchingModule all vservers ---------------------- CSM in slot 4 ---------------------- slb vserver prot virtual vlan state conns --------------------------------------------------------------------------- VPN_IOS_ESP 50 172.21.51.253/32:0 ALL OPERATIONAL 2 VPN_IOS_IKE UDP 172.21.51.253/32:500 ALL OPERATIONAL 2
O comando show module contentSwitchingModule all conns mostra informações de conexão SLB.
Cat6506-1-Native# show module contentSwitchingModule all conns ---------------------- CSM in slot 4 ---------------------- prot vlan source destination state ---------------------------------------------------------------------- In UDP 51 172.21.51.250:500 172.21.51.253:500 ESTAB Out UDP 61 172.21.51.242:500 172.21.51.250:500 ESTAB In 50 51 172.21.51.251 172.21.51.253 ESTAB Out 50 61 172.21.51.247 172.21.51.251 ESTAB In 50 51 172.21.51.250 172.21.51.253 ESTAB Out 50 61 172.21.51.242 172.21.51.250 ESTAB In UDP 51 172.21.51.251:500 172.21.51.253:500 ESTAB Out UDP 61 172.21.51.247:500 172.21.51.251:500 ESTABO comando show module contentSwitchingModule all sticky mostra o banco de dados SLB sticky.
Cat6506-1-Native# show module contentSwitchingModule all sticky ---------------------- CSM in slot 4 ---------------------- client IP: 172.21.51.250 real server: 172.21.51.242 connections: 0 group id: 5 timeout: 38 sticky type: netmask 255.255.255.255 client IP: 172.21.51.251 real server: 172.21.51.247 connections: 0 group id: 5 timeout: 40 sticky type: netmask 255.255.255.255
-
Emita o comando show ip route no roteador.
2621VPN# show ip route !--- Output suppressed. 10.0.0.0/24 is subnetted, 3 subnets D EX 10.2.2.0 [170/30720] via 10.1.1.6, 00:13:57, FastEthernet0/0 D EX 10.3.3.0 [170/30720] via 10.1.1.5, 00:16:15, FastEthernet0/0 C 10.1.1.0 is directly connected, FastEthernet0/0 D*EX 0.0.0.0/0 [170/30720] via 10.1.1.5, 00:37:58, FastEthernet0/0 [170/30720] via 10.1.1.6, 00:37:58, FastEthernet0/0 2621VPN# 7206VXR# show ip route !--- Output suppressed. 172.21.0.0/28 is subnetted, 1 subnets C 172.21.51.240 is directly connected, FastEthernet0/0 10.0.0.0/24 is subnetted, 3 subnets S 10.2.2.0 [1/0] via 0.0.0.0, FastEthernet0/0 D EX 10.3.3.0 [170/30720] via 10.1.1.5, 00:16:45, FastEthernet2/0 C 10.1.1.0 is directly connected, FastEthernet2/0 S* 0.0.0.0/0 [1/0] via 172.21.51.241
Troubleshoot
Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.