Services de mise en réseau d'applications : Commutateurs de services de contenu de la gamme Cisco CSS 11500

Configuration de l'équilibrage de charge du pare-feu sur CSS 11000

16 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


/images/flash.gif Ce document contient des animations Flash


Contenu


Introduction

L'Équilibrage de charge de pare-feu tient compte de la Redondance par le Pare-feu. Il utilise une paire de Cisco CSS extérieur et intérieur 11000 Commutateurs de services de contenu, qui communiquent avec leur pair par une connexion de Protocole VRRP (Virtual Router Redundancy Protocol). Les Commutateurs sur l'extérieur communiquent, par le Pare-feu, avec les Commutateurs intérieurs pour mettre à jour les informations de chemin. Les Commutateurs peuvent mettre à jour les informations d'écoulement par la matrice.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Les informations dans ce document sont basées sur le logiciel et les versions de matériel suivants :

  • Commutateurs de service satisfait de gamme Cisco 11000

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions des documents, référez-vous aux Conventions utilisées pour les conseils techniques de Cisco.

Configurez

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Diagramme du réseau

Le graphique ci-dessous affiche une configuration réseau de réseau d'exemple.

fw_load_balancing1.gif

/images/flash.gif Référez-vous à l'animation des paquets dans le mouvement pour voir un exemple des structures de trafic normales et chargement-équilibrées qui se produisent quand tous les périphériques fonctionnent correctement avec les configurations affichées ci-dessous.

Description

Les Pare-feu doivent être configurés pour passer des paquets de Protocole ICMP (Internet Control Message Protocol) entre le CSSes. Si un lien descend, les enables redondants de chemin.

Configurations

Dans cette configuration de Pare-feu, vous devez configurer le CSSes local et distant avec le même index de Pare-feu.

Configuration d'ExternalPrimary
!*************************** GLOBAL ***************************

!--- Enable switch redundancy.

  ip redundancy

!--- Define Firewall Path 1.

  ip firewall 1 192.168.1.2 192.168.1.10 192.168.1.9

!--- Define Firewall Path 2.

  ip firewall 2 192.168.1.3 192.168.1.11 192.168.1.9

!--- Tie routes to the firewall paths
!--- serving as the destination.

  ip route 192.168.1.8 255.255.255.248 firewall 1 1
  ip route 192.168.1.8 255.255.255.248 firewall 2 1
  ip route 192.168.1.16 255.255.255.248 firewall 1 1
  ip route 192.168.1.16 255.255.255.248 firewall 2 1

!************************* INTERFACE *************************
interface ethernet-2
  bridge vlan 2 
interface ethernet-3
  bridge vlan 2 
interface ethernet-12
  bridge vlan 3 

!************************** CIRCUIT **************************
circuit VLAN1

!--- Enable redundancy on the outside of the switch.

  redundancy
  ip address 192.168.1.25 255.255.255.248 
circuit VLAN2

!--- Enable redundancy on the inside of the switch.

  redundancy
  ip address 192.168.1.1 255.255.255.248 
circuit VLAN3

!--- Enable redundancy protocol between switches.

  redundancy-protocol
  ip address 10.0.0.2 255.255.255.252

Configuration d'InternalMaster
!*************************** GLOBAL ***************************

!--- Enable switch redundancy.

  ip redundancy

!--- Same paths as before, but now from the perspective
!--- of the inside switch.

  ip firewall 1 192.168.1.10 192.168.1.2 192.168.1.1
  ip firewall 2 192.168.1.11 192.168.1.3 192.168.1.1
  ip route 0.0.0.0 0.0.0.0 firewall 1 1
  ip route 0.0.0.0 0.0.0.0 firewall 2 1

!************************* INTERFACE *************************
interface ethernet-1
  bridge vlan 2 
interface ethernet-2
  bridge vlan 2 
interface ethernet-12
  bridge vlan 3 

!************************** CIRCUIT **************************
circuit VLAN1
  redundancy 
  ip address 192.168.1.17 255.255.255.248 
circuit VLAN2
  redundancy 
  ip address 192.168.1.9 255.255.255.248 
circuit VLAN3
  redundancy-protocol 
  ip address 10.0.0.2 255.255.255.252 

!************************** SERVICE **************************
service Server1
  ip address 192.168.1.200
  active
service Server2
  ip address 192.168.1.201
  active

!*************************** OWNER ***************************
owner foo.com
  content L3_Basic
    vip address 192.168.1.100
    add service Server1
    add service Server2
    active

Configuration d'ExternalBackup
!*************************** GLOBAL ***************************
  ip redundancy 
  ip firewall 1 192.168.1.2 192.168.1.10 192.168.1.9 
  ip firewall 2 192.168.1.3 192.168.1.11 192.168.1.9 
  ip route 192.168.1.8 255.255.255.248 firewall 1 1 
  ip route 192.168.1.8 255.255.255.248 firewall 2 1 
  ip route 192.168.1.16 255.255.255.248 firewall 1 1 
  ip route 192.168.1.16 255.255.255.248 firewall 2 1 

!************************* INTERFACE *************************
interface ethernet-1
  bridge vlan 2 
interface ethernet-2
  bridge vlan 2 
interface ethernet-12
  bridge vlan 3 

!************************** CIRCUIT **************************
circuit VLAN1
  redundancy 
  ip address 192.168.1.25 255.255.255.248 
circuit VLAN2
  redundancy 
  ip address 192.168.1.1 255.255.255.248 
circuit VLAN3
  redundancy-protocol

!--- The one difference.

  ip address 10.0.0.1 255.255.255.252

Configuration d'InternalBackup
!*************************** GLOBAL ***************************
  ip redundancy 
  ip firewall 1 192.168.1.10 192.168.1.2 192.168.1.1 
  ip firewall 2 192.168.1.11 192.168.1.3 192.168.1.1 
  ip route 0.0.0.0 0.0.0.0 firewall 1 1 
  ip route 0.0.0.0 0.0.0.0 firewall 2 1 

!************************* INTERFACE *************************
interface ethernet-1
  bridge vlan 2 
interface ethernet-2
  bridge vlan 2 
interface ethernet-12
  bridge vlan 3 

!************************** CIRCUIT **************************
circuit VLAN1
  redundancy 
  ip address 192.168.1.17 255.255.255.248 
circuit VLAN2
  redundancy 
  ip address 192.168.1.9 255.255.255.248 
circuit VLAN3
  redundancy-protocol 

!--- The one difference.

  ip address 10.0.0.1 255.255.255.252

!************************** SERVICE **************************
service Server1
  ip address 192.168.1.200
  active
service Server2
  ip address 192.168.1.201
  active

!*************************** OWNER ***************************
owner foo.com
  content L3_Basic
    vip address 192.168.1.100
    add service Server1
    add service Server2
    active

Vérifiez

Pour vérifier que la configuration est réussie, entraînez les parties du réseau au Basculement et assurez-vous que le trafic peut encore circuler.

Remarque: Une fois qu'une sauvegarde CSS devient activée, elle reste activée jusqu'à ce qu'elle échoue, préservant les informations d'écoulement.

Dépannez

Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 16552