Cisco Interfaces and Modules : Módulo de switching de conteúdo da Cisco

Reverso-Sticky para o exemplo de configuração do módulo content switching

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento fornece uma configuração de exemplo usando o reverso-Sticky. Esta característica é usada na maior parte em encenações do Firewall Load Balancing (FWLB) para garantir que o tráfego de saída está enviado ao mesmo Firewall que o tráfego de entrada. Por exemplo, se você está usando o FTP de um cliente no Internet a um server em sua rede interna, você precisará a conexão de dados aberta pelo server ao cliente de atravessar o mesmo Firewall que o canal de controle.

Antes de Começar

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nas seguintes versões de hardware e software:

  • Módulo content switching (CS) 3.x

  • Native IOS 12.1(20)E

Produtos Relacionados

Esta configuração também pode ser utilizada com as seguintes versões de hardware e software.

  • Versão catos 7.x

  • MSFC IO 12.1E

Convenções

Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

/image/gif/paws/47921/rsticky.jpg

Configurações

Este documento utiliza as seguintes configurações:

module ContentSwitchingModule 4 
 vlan 500 server

!--- Internal network.

  ip address 192.168.20.97 255.255.254.0
  route 192.168.50.0 255.255.255.0 gateway 192.168.20.1
!
 vlan 169 server

!--- Inside firewall VLAN.

  ip address 192.168.169.97 255.255.255.0
!
 serverfarm FORWARD

!--- Serverfarm to simply forward the traffic with no load balancing.

  no nat server 
  no nat client
  predictor forward
!
 serverfarm FWLB_IN2OUT

!--- Firewall serverfarm.

  no nat server 
  no nat client
  real 192.168.169.1

!--- Firewall inside IP address.

   backup real 192.168.169.2


!--- Backup firewall inside IP address; only if firewalls support stateful failover.

   inservice
  real 192.168.169.2
   backup real 192.168.169.1
   inservice
!
sticky 60 netmask 255.255.255.255 address destination timeout 200


!--- Define a sticky group based on destination IP address.
!--- The sticky entry will link a destination IP address with a firewall

!
 vserver FW2SERV
  virtual 192.168.20.0 255.255.254.0 any
  vlan 169
  serverfarm FORWARD
  reverse-sticky 60


!--- Enable reverse-sticky for group 60.
!--- The source IP address (reverse of group 60) will be used
!--- to create an entry in the sticky table.

  persistent rebalance
  inservice
!
 vserver SERV2FW
  virtual 0.0.0.0 0.0.0.0 any
  vlan 500
  serverfarm FWLB_IN2OUT
  sticky 200 group 60


!--- Normal sticky group.
!--- The sticky entry is used to determine the correct firewall to be used.

  persistent rebalance
  inservice
!

Verificar

Esta seção fornece informações que você pode usar para confirmar se sua configuração está funcionando adequadamente.

  • mostre o Sticky do entalhe modificação csm

  • mostre o vserver do entalhe modificação csm

  • cancele o Sticky todo do entalhe modificação csm

show mod csm 4 sticky 

group   sticky-data              real                  timeout
----------------------------------------------------------------
60      ip 192.168.11.46         192.168.169.2         0         

Quando o cliente (192.168.11.46) abrir uma conexão de TCP com o server (192.168.21.240), o tráfego bate o vserver FW2SERV. Devido ao comando do reverso-Sticky, uma entrada é criada na tabela difícil para o ENDEREÇO IP DE ORIGEM. O ponto de entrada ao Firewall de onde o tráfego está vindo, neste exemplo, Firewall 192.168.169.2.

show mod csm 4 vservers 

vserver         type  prot virtual                  vlan state        conns
---------------------------------------------------------------------------    
FW2SERV         SLB   any  192.168.20.0/23:0        169  OPERATIONAL  0       
SERV2FW         SLB   any  0.0.0.0/0:0              500  OPERATIONAL  0 

O vserver do entalhe csm do comando show mod indica o número de conexões ativa para cada vserver.

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

Para verificar se o stickyness (aderência) trabalha, emita o comando do vserver do entalhe modificação csm da mostra ver se uma conexão veio ao vserver direito. Emita o Sticky do entalhe csm do comando show mod para ver se uma entrada foi criada na tabela difícil.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 47921