Interfaces et modules Cisco : Module du moteur de contrôle des applications Cisco ACE

Client et serveurs ACE rencontrant le même VIP

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document présente un exemple de configuration pour le module de contrôle des applications (ACE) avec des clients et des serveurs qui saisissent la même adresse IP virtuelle (VIP). Les clients sont chargement équilibré aux serveurs sans le Traduction d'adresses de réseau (NAT) tandis que les serveurs qui frappent la source d'utilisation de VIP NAT.

Cet échantillon utilise deux contextes ; le contexte d'admin est utilisé pour la gestion à distance et la configuration (pi) insensible aux défaillances, et le deuxième contexte C1 est utilisé pour l'Équilibrage de charge.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Informations générales

  • Un mode armé ? Cette topologie est utilisée quand le périphérique qui établit le rapport au VIP entre dans ACE sur le même VLAN sur lequel les serveurs résident. Le trafic de réponse de serveur doit retourner à ACE avant qu'il soit envoyé au périphérique qui a initié la connexion. Ceci peut être fait avec le routage NAT ou par stratégie basé de source.

  • Mode doublement armé ? Cette topologie est utilisée quand le périphérique qui établit le rapport au VIP entre dans ACE sur un VLAN différent que cela sur lequel les serveurs résident. Si les serveurs ont la passerelle par défaut réglée à ACE, il n'y a aucun besoin de source NAT. Le trafic de réponse revient à ACE avant qu'il soit renvoyé au client.

Configurez

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Remarque: Utilisez l'outil Command Lookup Tool (clients enregistrés seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

/image/gif/paws/107398/client-server-same-vip-1.gif

Configurations

Ce document utilise les configurations suivantes :

  • Catalyst 6500 ? ACE rainent le contexte 2 C1

  • Catalyst 6500 ? ACE rainent le contexte de l'admin 2

  • Catalyst 6500 ? Configuration MSFC

Contexte d'ACE C1
 switch/C1#show run
Generating configuration....




access-list any line 8 extended permit icmp any any 
access-list any line 16 extended permit ip any any 



!--- Access-list used to permit or 
!--- deny traffic entering the ACE.



probe http WEB_SERVERS
  interval 5
  passdetect interval 10
  passdetect count 2
  request method get url /index.html
  expect status 200 200



!--- Probe used to detect the status 
!--- of the servers in the serverfarm.



rserver host S1
  ip address 192.168.0.200
  inservice
rserver host S2
  ip address 192.168.0.201
  inservice
rserver host S3
  ip address 192.168.0.202
  inservice
rserver host S4
  ip address 192.168.0.203
  inservice

serverfarm host SF-1
  probe WEB_SERVERS
  rserver S1
    inservice
  rserver S2
    inservice
  rserver S3
    inservice
  rserver S4
    inservice



!--- Traffic hitting the VIP 
!--- will be load balanced to these servers.



class-map match-all L4VIPCLASS
  2 match virtual-address 172.16.0.15 tcp eq www



!--- Layer 4 class-map defining 
!--- the IP address and port.



class-map match-all REAL_SERVERS
  2 match source-address 192.168.0.0 255.255.255.0



!--- Layer 3 class-map defining source traffic.
!--- This traffic matches server initiated.



class-map type management match-any REMOTE_ACCESS
  2 match protocol ssh any
  3 match protocol telnet any
  4 match protocol icmp any
  5 match protocol snmp any
  6 match protocol http any



!--- Management class-map defining 
!--- what protocols can manage the ACE.



policy-map type management first-match REMOTE_MGMT_ALLOW_POLICY
  class REMOTE_ACCESS
    permit

policy-map type loadbalance http first-match WEB_L7_POLICY
  class class-default
    serverfarm SF-1



!--- Layer 4 policy-map defining 
!--- the serverfarm that will be used.



policy-map multi-match VIPs
  class L4VIPCLASS
    loadbalance vip inservice
    loadbalance policy WEB_L7_POLICY
    loadbalance vip icmp-reply active
    loadbalance vip advertise active
  class REAL_SERVERS
    nat dynamic 1 vlan 511



!--- Traffic originating from clients 
!--- will only match class L4VIPCLASS.
!--- This traffic will not use source NAT.
!--- Servers that make a connection to the 
!--- VIP will match both classes and will use
!--- natpool 1 to change the source address 
!--- of the server to 192.168.0.254 before
!--- it is loadbalanced.



interface vlan 240
  ip address 172.16.0.130 255.255.255.0
  alias 172.16.0.128 255.255.255.0
  peer ip address 172.16.0.131 255.255.255.0
  access-group input any
  service-policy input REMOTE_MGMT_ALLOW_POLICY
  service-policy input VIPs
  no shutdown



!--- Apply access-lists and service policies 
!--- to the client side VLAN.



interface vlan 511
  ip address 192.168.0.130 255.255.255.0
  alias 192.168.0.128 255.255.255.0
  peer ip address 192.168.0.131 255.255.255.0
  access-group input any
  nat-pool 1 192.168.0.254 192.168.0.254 netmask 255.255.255.0 pat
  service-policy input VIPs
  no shutdown


!--- For servers to be able to hit the VIP 
!--- the service-policy VIPs will also need to be applied here.



ip route 0.0.0.0 0.0.0.0 172.16.0.1



switch/C1#

Contexte d'admin d'ACE
switch/Admin#show running-config
Generating configuration....



boot system image:c6ace-t1k9-mz.A2_1_0a.bin

resource-class RC1
  limit-resource all minimum 50.00 maximum equal-to-min



!--- Resource-class used to limit 
!--- the amount of resources a specific context can use.



access-list any line 8 extended permit icmp any any 
access-list any line 16 extended permit ip any any 


rserver host test

class-map type management match-any REMOTE_ACCESS
  2 match protocol ssh any
  3 match protocol telnet any
  4 match protocol icmp any
  5 match protocol snmp any
  6 match protocol http any


policy-map type management first-match REMOTE_MGMT_ALLOW_POLICY
  class REMOTE_ACCESS
    permit


interface vlan 240
  ip address 172.16.0.4 255.255.255.0
  alias 172.16.0.10 255.255.255.0
  peer ip address 172.16.0.5 255.255.255.0
  access-group input any
  service-policy input REMOTE_MGMT_ALLOW_POLICY
  no shutdown
interface vlan 511
  ip address 192.168.0.4 255.255.255.0
  alias 192.168.0.10 255.255.255.0
  peer ip address 192.168.0.5 255.255.255.0
  access-group input any
  no shutdown

ft interface vlan 550
  ip address 192.168.1.4 255.255.255.0
  peer ip address 192.168.1.5 255.255.255.0
  no shutdown



!--- VLAN used for fault tolerant traffic. 



ft peer 1
  heartbeat interval 300
  heartbeat count 10
  ft-interface vlan 550



!--- FT peer definition defining heartbeat 
!--- parameters and to associate the ft VLAN.



ft group 1
  peer 1
  peer priority 90
  associate-context Admin
  inservice



!--- FT group used for Admin context.



ip route 0.0.0.0 0.0.0.0 172.16.0.1

context C1
  allocate-interface vlan 240
  allocate-interface vlan 511
  member RC1



!--- Allocate vlans the context C1 will use.


  
ft group 2
  peer 1
  no preempt
  associate-context C1
  inservice



!--- FT group used for the load balancing context C1.



username admin password 5 $1$faXJEFBj$TJR1Nx7sLPTi5BZ97v08c/  role Admin domai
n default-domain 
username www password 5 $1$UZIiwUk7$QMVYN1JASaycabrHkhGcS/  role Admin domain 
default-domain 

switch/Admin#

Configuration du routeur

!--- Only portions of the config relevant
!--- to the ACE are displayed.


sf-cat1-7606#show run
Building configuration...


!--- Output Omitted.


svclc multiple-vlan-interfaces
svclc module 2 vlan-group 2
svclc vlan-group 2  220,240,250,510,511,520,540,550

!


!--- Before the ACE can receive traffic 
!--- from the supervisor engine in the Catalyst 6500
!--- or Cisco 6600 series router, you must 
!--- create VLAN groups on the supervisor engine,
!--- and then assign the groups to the ACE.
!--- Add vlans to the vlan-group that are needed 
!--- for ALL contexts on the ACE.



interface Vlan240
 description public-vip-172.16.0.x 
 ip address 172.16.0.2 255.255.255.0
 standby ip 172.16.0.1
 standby priority 20
 standby name ACE_slot2

!

!--- SVI (Switch Virtual Interface). 
!--- The standby address is the default gateway for the ACE.

!--- Output Omitted.


sf-cat1-7606#

Vérifiez

Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.

  • Affichez le nom de serverfarm — Affiche des informations au sujet du serverfarm et l'état des rservers.

    Voici un exemple de résultat :

    switch/C1#show serverfarm SF-1 
     serverfarm     : SF-1, type: HOST
     total rservers : 4
    
    switch/C1# show serverfarm SF-1 
     serverfarm     : SF-1, type: HOST
     total rservers : 4
    
     ---------------------------------
                                               ----------connections-----------
           real             weight state        current    total      failures 
       ---+---------------------+------+------------+----------+----------+----
       rserver: S1
           192.168.0.200:0       8      OPERATIONAL  0          31         0
       rserver: S2
           192.168.0.201:0       8      OPERATIONAL  0          30         0
       rserver: S3
           192.168.0.202:0       8      OPERATIONAL  0          30         0
       rserver: S4
           192.168.0.203:0       8      OPERATIONAL  0          29         0
    
    switch/C1#
  • Nom de show service-policy — Affiche des informations au sujet de la stratégie de multi-correspondance. Utilisez cette commande de vérifier si le VIP obtient des connexions et si elles sont abandonnées.

    Voici un exemple de résultat :

    switch/C1#show service-policy VIPs 
    
    Status     : ACTIVE
    -----------------------------------------
    Interface: vlan 240 511 
      service-policy: VIPs
        class: L4VIPCLASS
          loadbalance:
            L7 loadbalance policy: WEB_L7_POLICY
            VIP Route Metric     : 77
            VIP Route Advertise  : ENABLED-WHEN-ACTIVE
            VIP ICMP Reply       : ENABLED-WHEN-ACTIVE
            VIP State: INSERVICE
            curr conns       : 0         , hit count        : 120       
            dropped conns    : 0         
            client pkt count : 1007      , client byte count: 139433              
            server pkt count : 1122      , server byte count: 1237658             
            conn-rate-limit      : 0         , drop-count : 0         
            bandwidth-rate-limit : 0         , drop-count : 0         
        class: REAL_SERVERS
          nat:
            nat dynamic 1 vlan 511
            curr conns       : 0         , hit count        : 41        
            dropped conns    : 0         
            client pkt count : 514       , client byte count: 78758               
            server pkt count : 608       , server byte count: 708319              
            conn-rate-limit      : 0         , drop-count : 0         
            bandwidth-rate-limit : 0         , drop-count : 0         
    
    switch/C1#
  • Show conn — Affiche des informations au sujet des connexions en cours sur ACE.

    Voici un exemple de résultat :

    switch/C1#show conn
    
    total current connections : 8
    
    conn-id np dir proto vlan source          destination        state
    ----------+--+---+-----+----+---------------------+----------------
    -+
    11 1  in  TCP   511  192.168.0.200:1380  172.16.0.15:80      ESTAB
    9  1  out TCP   511  192.168.0.203:80    192.168.0.254:1065  ESTAB
    12 2  in  TCP   240  130.10.96.221:2446  172.16.0.15:80      ESTAB
    9  2  out TCP   511  192.168.0.200:80    130.10.96.221:2446  ESTAB
    switch/C1#
    
    
    
    !--- Top two lines are the server connecting to the VIP. 
    !--- 192.168.0.254 is the natpool address.
    !--- Bottom two lines are a client making a connection to the VIP.
    
    

Dépannez

Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.


Informations connexes


Document ID: 107398