思科接口和模块 : 思科内容交换模块

内容交换模块的Reverse-Sticky配置示例

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈


目录


简介

本文提供一配置示例为使用反转粘滞。此功能在防火墙负载均衡(FWLB)方案主要使用保证出站流量发送对防火墙和入站数据流一样。例如,如果使用从一个客户端的FTP互联网的到在您的网络内部的一个服务器,您将需要数据连接开放由服务器对客户端通过防火墙和控制通道一样。

开始使用前

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于下列硬件和软件版本:

  • 内容交换模块(CSM) 3.x

  • 本地IOS 12.1(20)E

相关产品

此配置也可用于下列硬件和软件版本。

  • CatOS版本7.x

  • MSFC IOS 12.1E

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

配置

本部分提供有关如何配置本文档所述功能的信息。

网络图

本文档使用以下网络设置:

/image/gif/paws/47921/rsticky.jpg

配置

本文档使用以下配置:

module ContentSwitchingModule 4 
 vlan 500 server

!--- Internal network.

  ip address 192.168.20.97 255.255.254.0
  route 192.168.50.0 255.255.255.0 gateway 192.168.20.1
!
 vlan 169 server

!--- Inside firewall VLAN.

  ip address 192.168.169.97 255.255.255.0
!
 serverfarm FORWARD

!--- Serverfarm to simply forward the traffic with no load balancing.

  no nat server 
  no nat client
  predictor forward
!
 serverfarm FWLB_IN2OUT

!--- Firewall serverfarm.

  no nat server 
  no nat client
  real 192.168.169.1

!--- Firewall inside IP address.

   backup real 192.168.169.2


!--- Backup firewall inside IP address; only if firewalls support stateful failover.

   inservice
  real 192.168.169.2
   backup real 192.168.169.1
   inservice
!
sticky 60 netmask 255.255.255.255 address destination timeout 200


!--- Define a sticky group based on destination IP address.
!--- The sticky entry will link a destination IP address with a firewall

!
 vserver FW2SERV
  virtual 192.168.20.0 255.255.254.0 any
  vlan 169
  serverfarm FORWARD
  reverse-sticky 60


!--- Enable reverse-sticky for group 60.
!--- The source IP address (reverse of group 60) will be used
!--- to create an entry in the sticky table.

  persistent rebalance
  inservice
!
 vserver SERV2FW
  virtual 0.0.0.0 0.0.0.0 any
  vlan 500
  serverfarm FWLB_IN2OUT
  sticky 200 group 60


!--- Normal sticky group.
!--- The sticky entry is used to determine the correct firewall to be used.

  persistent rebalance
  inservice
!

验证

本部分所提供的信息可用于确认您的配置是否正常工作。

  • 粘贴show mod csm的slot

  • show mod csm slot vserver

  • 粘贴清楚mod csm的slot所有

show mod csm 4 sticky 

group   sticky-data              real                  timeout
----------------------------------------------------------------
60      ip 192.168.11.46         192.168.169.2         0         

当客户端(192.168.11.46)打开一TCP连接用服务器(192.168.21.240),流量点击vserver FW2SERV。由于反转粘滞命令,条目在源IP地址的粘滞表里创建。对流量来自,在本例中,防火墙192.168.169.2的防火墙的进入点。

show mod csm 4 vservers 

vserver         type  prot virtual                  vlan state        conns
---------------------------------------------------------------------------    
FW2SERV         SLB   any  192.168.20.0/23:0        169  OPERATIONAL  0       
SERV2FW         SLB   any  0.0.0.0/0:0              500  OPERATIONAL  0 

show mod csm slot vserver命令指示活动连接数量每vserver的。

故障排除

本部分提供的信息可用于对配置进行故障排除。

要检查stickyness是否工作,请发出show mod csm slot vserver命令发现连接是否来到正确的vserver。发出粘贴show mod命令csm的slot发现条目是否在粘滞表里创建。


相关信息


Document ID: 47921