Cisco Interfaces and Modules : Módulo de switching de conteúdo da Cisco

Balanceamento de carga VPN no CS no exemplo de configuração do modo direcionado

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento fornece uma configuração de exemplo para o Balanceamento de carga VPN em um módulo content switching (CS). O Balanceamento de carga VPN é um mecanismo que distribua inteligentemente sessões de VPN ao longo de um grupo de concentradores VPN ou de dispositivos de extremidade principais VPN. O Balanceamento de carga VPN é executado por estas razões:

  • para superar o desempenho ou as limitações de escalabilidade em dispositivos VPN; por exemplo, pacotes por segundo, conexões por segundo, e taxa de transferência

  • para fornecer a Redundância (remova um ponto de falha único)

Pré-requisitos

Requisitos

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

  • Execute o Reverse Route Injection (RRI) nos dispositivos de extremidade principais, para propagar automaticamente a informação de roteamento do spokes.

  • Permita VLAN 61 e 51 de compartilhar da mesma sub-rede.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco catalyst 6500 com CS

  • Cisco 2621 Router

  • Cisco 7206

  • Cisco 7206VXR

  • Cisco 7204VXR

  • Cisco 7140

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

/image/gif/paws/63390/vpnlb-csm-directed.gif

Configurações

Este documento utiliza as seguintes configurações:

Configuração de CSM

Conclua estes passos:

  1. Execute o RRI nos dispositivos de extremidade principais, para propagar automaticamente a informação de roteamento do spokes.

    Nota: Parte VLAN 61 e VLAN 51 a mesma sub-rede.

  2. Defina o VLAN cliente e o servidor de VLAN.

  3. Defina a ponta de prova usada para verificar a saúde dos servidores IPSec.

    
    !--- The CSM is located in slot 4.
    
    module ContentSwitchingModule 4
     vlan 51 client
      ip address 172.21.51.244 255.255.255.240
    !
     vlan 61 server
      ip address 172.21.51.244 255.255.255.240
    !
     probe ICMP_PROBE icmp
      interval 5
      retries 2
    !
  4. Defina o serverfarm com os servidores reais de IPSec.

  5. Configurar a remoção do failaction, para nivelar as conexões que pertencem aos servidores inoperantes.

  6. Defina a política de dificuldades.

    
    !--- Serverfarm VPN_IOS and real server members.
    
    serverfarm VPN_IOS
      nat server
      no nat client
    
    !--- Set the behavior of connections when the real servers have failed.
    
      failaction purge
      real 172.21.51.242
       inservice
      real 172.21.51.247
       inservice
      probe ICMP_PROBE
    !
     
    !--- Ensure that connections from the same client match the same server
    !--- load balancing (SLB) policy.
    !--- Use the same real server on subsequent connections; issue the
    !--- sticky command.
    
     sticky 5 netmask 255.255.255.255 timeout 60
    !
    policy VPNIOS
      sticky-group 5
      serverfarm VPN_IOS
    !
    
  7. Defina vserveres, um pelo fluxo de tráfego.

    
    !--- Virtual server VPN_IOS_ESP.
    
    vserver VPN_IOS_ESP
    
    
    !--- The virtual server IP address is specified.
    
      virtual 172.21.51.253 50
    
    !--- Persistence rebalance is used for HTTP 1.1, to rebalance the connection
    !--- to a new server using the load balancing policy.
    
      persistent rebalance  
    
    !--- Associate the load balancing policy with the VPNIOS virtual server.
    
      slb-policy VPNIOS
      inservice
    !
     vserver VPN_IOS_IKE
      virtual 172.21.51.253 udp 500
      persistent rebalance
      slb-policy VPNIOS
      inservice
    !

Configuração do roteador de extremidade principal - 7206VXR

crypto isakmp policy 10
 authentication pre-share
crypto isakmp key cisco123 address 0.0.0.0
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac
crypto mib ipsec flowmib history tunnel size 200
crypto mib ipsec flowmib history failure size 200
!
crypto dynamic-map mydyn 10
 set transform-set myset
 reverse-route
!
crypto map mymap 10 ipsec-isakmp dynamic mydyn
!
interface FastEthernet0/0
ip address 172.21.51.247 255.255.255.240
crypto map mymap
!
interface FastEthernet2/0
 ip address 10.1.1.6 255.255.255.0

router eigrp 1
 redistribute static
 network 10.0.0.0
 no auto-summary
 no eigrp log-neighbor-changes
!
ip default-gateway 172.21.51.241
ip classless
ip route 0.0.0.0 0.0.0.0 172.21.51.241
no ip http server
!

Configuração do Spoke Router - 7206

crypto isakmp policy 10
 authentication pre-share
crypto isakmp key cisco123 address 172.21.51.253
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac
crypto mib ipsec flowmib history tunnel size 200
crypto mib ipsec flowmib history failure size 200
!
crypto map mymap 10 ipsec-isakmp
 set peer 172.21.51.253
 set transform-set myset
 match address 101
!
interface Loopback0
 ip address 10.3.3.3 255.255.255.0
!
interface Ethernet0/0
 ip address 172.21.51.250 255.255.255.240
 duplex auto
 crypto map mymap
!
ip classless
ip route 0.0.0.0 0.0.0.0 172.21.51.241
no ip http server
!
access-list 101 permit ip 10.3.3.0 0.0.0.255 10.1.1.0 0.0.0.255
!

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

A Output Interpreter Tool (apenas para clientes registrados) (OIT) suporta determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

  • Emita o comando show module csm all ou show module contentSwitchingModule all; os comandos both gerenciem a mesma informação.

    O comando show module contentSwitchingModule all vservers mostra a informação do servidor virtual SLB.

    Cat6506-1-Native# show module contentSwitchingModule all vservers
    
    ---------------------- CSM in slot 4 ----------------------
    
    slb vserver      prot     virtual              vlan    state       conns
    ---------------------------------------------------------------------------
    VPN_IOS_ESP      50     172.21.51.253/32:0      ALL   OPERATIONAL   2
    VPN_IOS_IKE      UDP   172.21.51.253/32:500     ALL   OPERATIONAL   2

    O comando show module contentSwitchingModule all conns mostra a informação de conexão SLB.

    Cat6506-1-Native# show module contentSwitchingModule all conns
    
    ---------------------- CSM in slot 4 ----------------------
    
        prot vlan source                destination           state
    ----------------------------------------------------------------------
    In  UDP  51   172.21.51.250:500     172.21.51.253:500     ESTAB
    Out UDP  61   172.21.51.242:500     172.21.51.250:500     ESTAB
    
    In  50   51   172.21.51.251         172.21.51.253         ESTAB
    Out 50   61   172.21.51.247         172.21.51.251         ESTAB
    
    In  50   51   172.21.51.250         172.21.51.253         ESTAB
    Out 50   61   172.21.51.242         172.21.51.250         ESTAB
    
    In  UDP  51   172.21.51.251:500     172.21.51.253:500     ESTAB
    Out UDP  61   172.21.51.247:500     172.21.51.251:500     ESTAB

    O comando show module contentSwitchingModule all sticky mostra a base de dados sticky SLB.

    Cat6506-1-Native# show module contentSwitchingModule all sticky
    
    ---------------------- CSM in slot 4 ----------------------
    client IP:    172.21.51.250
    real server:  172.21.51.242
    connections:  0
    group id:     5
    timeout:      38
    sticky type:  netmask 255.255.255.255
    
    client IP:    172.21.51.251
    real server:  172.21.51.247
    connections:  0
    group id:     5
    timeout:      40
    sticky type:  netmask 255.255.255.255
  • Emita o comando show ip route no roteador.

    2621VPN# show ip route
    
    !--- Output suppressed.
    
         10.0.0.0/24 is subnetted, 3 subnets
    D EX    10.2.2.0 [170/30720] via 10.1.1.6, 00:13:57, FastEthernet0/0
    D EX    10.3.3.0 [170/30720] via 10.1.1.5, 00:16:15, FastEthernet0/0
    C       10.1.1.0 is directly connected, FastEthernet0/0
    D*EX 0.0.0.0/0 [170/30720] via 10.1.1.5, 00:37:58, FastEthernet0/0
                   [170/30720] via 10.1.1.6, 00:37:58, FastEthernet0/0
    2621VPN#
    
    7206VXR# show ip route
    
    !--- Output suppressed.
    
        172.21.0.0/28 is subnetted, 1 subnets
    C       172.21.51.240 is directly connected, FastEthernet0/0
         10.0.0.0/24 is subnetted, 3 subnets
    S       10.2.2.0 [1/0] via 0.0.0.0, FastEthernet0/0
    D EX    10.3.3.0 [170/30720] via 10.1.1.5, 00:16:45, FastEthernet2/0
    C       10.1.1.0 is directly connected, FastEthernet2/0
    S*   0.0.0.0/0 [1/0] via 172.21.51.241

Troubleshooting

Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.


Informações Relacionadas


Document ID: 63390