Cisco Interfaces and Modules : Módulo de switching de conteúdo da Cisco

Balanceamento de carga de firewall com um exemplo da configuração de CSM

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento fornece uma configuração de exemplo para a instalação do Firewall Load Balancing (FWLB) ao usar somente um módulo content switching (CS). O FWLB exige a exploração agrícola do Firewall ser cercado pelos equilibradores da carga. Esta é garantir que o tráfego de entrada e de saída de uma única sessão é carga equilibrada ao mesmo Firewall. Ao usar um CS, você pode usar o mesmo módulo para fazer o trabalho de ambos os loadbalancers. Este documento mostra-lhe como conseguir este.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Versão de execução de CSM 3.x

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco.

Configurar

Nesta seção, você é presentado com a informação para configurar o CS para o FWLB como descrito neste documento.

Nota: Para localizar informações adicionais sobre os comandos usados neste documento, utilize a Ferramenta Command Lookup (somente clientes registrados).

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

/image/gif/paws/47881/fwlb_csm.jpg

Configurações

Este documento utiliza esta configuração:

Versão de execução de CSM 3.x
module ContentSwitchingModule 4 
 vlan 499 client

!--- Outside world or client side.

  ip address 192.168.10.97 255.255.254.0
  gateway 192.168.10.1
!
 vlan 500 server

!--- Inside world or server side.

  ip address 192.168.20.97 255.255.254.0
!
 vlan 168 server

!--- Firewall outside interface.

  ip address 192.168.168.97 255.255.255.0
!
 vlan 169 server

!--- Firewall inside interface.

  ip address 192.168.169.97 255.255.255.0
!
!
 serverfarm FORWARD

!--- Serverfarm to simply forward the traffic with no NATing.

  no nat server 
  no nat client
  predictor forward
!
 serverfarm FWLB_IN2OUT

!--- Firewall farm used for outbound traffic from inside to outside.

  no nat server 
  no nat client
  real 192.168.169.1
   backup real 192.168.169.2

!--- Use a backup real if your firewalls support stateful failover.

   inservice
  real 192.168.169.2
   backup real 192.168.169.1
   inservice
!
 serverfarm FWLB_OUT2IN

!--- Firewall farm for inbound traffic from outside to inside.

  no nat server 
  no nat client
  real 192.168.168.1
   backup real 192.168.168.2
   inservice
  real 192.168.168.2
   backup real 192.168.168.1
   inservice


!--- The default is round robin load balancing.
!--- If you need to guarantee *parent* connections are going 
!--- to the same firewall, you may need to issue the 
!--- predictor hash address command or sticky with reverse sticky.



!
 vserver FW2SERV

!--- Vserver to catch traffic coming from the firewall and forward it to the server.

  virtual 192.168.20.0 255.255.254.0 any

!--- The Virtual IP (VIP) is a subnet that matches the internal network.

  vlan 169

!--- Specify that the vserver only applies to traffic from VLAN 169.

  serverfarm FORWARD
  persistent rebalance
  inservice
!
 vserver IN2OUT

!--- Vserver to catch traffic coming from the firewall and
!--- forward it to the outside.

  virtual 0.0.0.0 0.0.0.0 any
  vlan 168
  serverfarm FORWARD

!--- Serverfarm to forward traffic with no load balancing and no NATing.

  persistent rebalance
  inservice
!
 vserver OUT2IN

!--- Vserver to catch traffic from the outside world and load balance it to the firewall.

  virtual 192.168.20.0 255.255.254.0 any
  vlan 499

!--- Limit the vserver to traffic on VLAN 499 only.

  serverfarm FWLB_OUT2IN

!--- Use the firewall farm define in FWLB_OUT2IN.

  persistent rebalance
  inservice
!         
 vserver SERV2FW

!--- Vserver to catch the server response and load balance it to the firewall.

  virtual 0.0.0.0 0.0.0.0 any
  vlan 500
  serverfarm FWLB_IN2OUT
  persistent rebalance
  inservice
!      


!--- Same rules, however, for FTP traffic.
!--- This is recommended in order to tie the control channel
!--- with the data channel.

!
 vserver FTP_FW2SERV
  virtual 192.168.20.0 255.255.254.0 tcp ftp service ftp
  vlan 169
  serverfarm FORWARD
  persistent rebalance
  inservice
!
 vserver FTP_OUT2IN
  virtual 192.168.20.0 255.255.254.0 tcp ftp service ftp
  vlan 499
  serverfarm FWLB_OUT2IN
  persistent rebalance
  inservice
!   

Verificar

Esta seção fornece informações que você pode usar para confirmar se sua configuração está funcionando adequadamente.

A Output Interpreter Tool (somente clientes registrados) oferece suporte a determinados comandos show, o que permite exibir uma análise da saída do comando show.

  • mostre o vserver do entalhe modificação csm

    show mod csm 4 vservers       
    
    vserver         type  prot virtual                  vlan state        conns
    ---------------------------------------------------------------------------
    OUT2IN          SLB   any  192.168.20.0/23:0        499  OPERATIONAL  0       
    FW2SERV         SLB   any  192.168.20.0/23:0        169  OPERATIONAL  0       
    SERV2FW         SLB   any  0.0.0.0/0:0              500  OPERATIONAL  0       
    IN2OUT          SLB   any  0.0.0.0/0:0              168  OPERATIONAL  0       
    FTP_OUT2IN      SLB   TCP  192.168.20.0/23:21       499  OPERATIONAL  1       
    FTP_FW2SERV     SLB   TCP  192.168.20.0/23:21       169  OPERATIONAL  1 
  • mostre o detalhe do nome do nome do vserver do entalhe modificação csm

    show mod csm 4 vservers name FTP_OUT2IN
    
    vserver         type  prot virtual                  vlan state        conns
    ---------------------------------------------------------------------------
    FTP_OUT2IN      SLB   TCP  192.168.20.0/23:21       499  OPERATIONAL  1       
    cpu0#show mod csm 4 vservers name FTP_OUT2IN det
    FTP_OUT2IN, type = SLB, state = OPERATIONAL, v_index = 26
      virtual = 192.168.20.0/23:21 bidir, TCP, service = ftp, advertise = FALSE
      idle = 3600, replicate csrp = none, vlan = 499, pending = 30
      max parse len = 2000, persist rebalance = TRUE
      ssl sticky offset = 0, length = 32
      conns = 1, total conns = 1
      Default policy:
        server farm = FWLB_OUT2IN, backup = <not assigned>
        sticky: timer = 0, subnet = 0.0.0.0, group id = 0
      Policy          Tot matches  Client pkts  Server pkts
      -----------------------------------------------------
      (default)       1            11           10   
    
  • mostre o detalhe dos conns do entalhe modificação csm

    sho mod csm 4 conns detail 
    
        prot vlan source                destination           state       
    ----------------------------------------------------------------------
    In  TCP  499  192.168.11.46:2830    192.168.21.240:0      ESTAB       
    Out TCP  168  192.168.21.240:0      192.168.11.46:2830    ESTAB       
        vs = (n/a), ftp = Data, csrp = False
    
    In  TCP  169  192.168.11.46:2830    192.168.21.240:0      ESTAB       
    Out TCP  500  192.168.21.240:0      192.168.11.46:2830    ESTAB       
        vs = (n/a), ftp = Data, csrp = False
    
    In  TCP  169  192.168.11.46:2829    192.168.21.240:21     ESTAB       
    Out TCP  500  192.168.21.240:21     192.168.11.46:2829    ESTAB       
        vs = FTP_FW2SERV, ftp = Control, csrp = False
    
    In  TCP  499  192.168.11.46:2829    192.168.21.240:21     ESTAB       
    Out TCP  168  192.168.21.240:21     192.168.11.46:2829    ESTAB       
        vs = FTP_OUT2IN, ftp = Control, csrp = False
    

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

Se você experimenta o problema com esta instalação, a primeira coisa a fazer é verificar se há algum batido no vserver emitindo o comando do vserver do entalhe modificação csm da mostra. Se você não vê uma batida, certifique-se que o vserver está no serviço. Certifique-se que o tráfego está enviado ao CS usando um farejador de rastreamento. Quando você vê batidas, emita o comando detail dos conns do entalhe modificação csm da mostra verificar que uma entrada esteve criada para a conexão que você está procurando. Você precisará então de usar outra vez um sniffer para certificar-se que o tráfego está enviado ao Firewall correto (você pode igualmente usar qualquer tipo de entrar o Firewall). Continua esta maneira de seguir o trajeto do tráfego.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 47881