思科接口和模块 : 思科内容交换模块

VPN负载均衡在定向模式的CSM配置示例的

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈


目录


简介

本文为VPN负载均衡提供一配置示例在内容交换模块(CSM)。VPN负载均衡是智能分配沿一套的VPN会话VPN集中器或VPN数据转发设备的机制。VPN负载均衡实现对于这些原因:

  • 解决在VPN设备的性能或可扩展性限制;例如,数据包每秒,连接每秒和吞吐量

  • 提供冗余(请取消单点故障)

先决条件

要求

尝试进行此配置之前,请确保满足以下要求:

  • 实现反向路由注入(RRI)在数据转发设备,自动地传播从spoke的路由信息。

  • 使VLAN 61和51共享相同子网。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • 有CSM的思科Catalyst 6500

  • Cisco 2621 路由器

  • Cisco 7206

  • Cisco 7206VXR

  • Cisco 7204VXR

  • Cisco 7140

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

配置

本部分提供有关如何配置本文档所述功能的信息。

注意: 使用命令查找工具仅限注册用户)可获取有关本部分所使用命令的详细信息。

网络图

本文档使用以下网络设置:

/image/gif/paws/63390/vpnlb-csm-directed.gif

配置

本文档使用以下配置:

CSM配置

完成这些步骤:

  1. 实现RRI在数据转发设备,自动地传播从spoke的路由信息。

    注意: VLAN 61和VLAN 51共享相同子网。

  2. 定义VLAN客户端和VLAN服务器。

  3. 定义用于的探测器检查IPSec服务器的健康。

    
    !--- The CSM is located in slot 4.
    
    module ContentSwitchingModule 4
     vlan 51 client
      ip address 172.21.51.244 255.255.255.240
    !
     vlan 61 server
      ip address 172.21.51.244 255.255.255.240
    !
     probe ICMP_PROBE icmp
      interval 5
      retries 2
    !
  4. 定义serverfarm用实时IPSec服务器。

  5. 配置failaction清除,冲洗属于死机服务器的连接。

  6. 定义粘贴策略。

    
    !--- Serverfarm VPN_IOS and real server members.
    
    serverfarm VPN_IOS
      nat server
      no nat client
    
    !--- Set the behavior of connections when the real servers have failed.
    
      failaction purge
      real 172.21.51.242
       inservice
      real 172.21.51.247
       inservice
      probe ICMP_PROBE
    !
     
    !--- Ensure that connections from the same client match the same server
    !--- load balancing (SLB) policy.
    !--- Use the same real server on subsequent connections; issue the
    !--- sticky command.
    
     sticky 5 netmask 255.255.255.255 timeout 60
    !
    policy VPNIOS
      sticky-group 5
      serverfarm VPN_IOS
    !
    
  7. 定义Vserver,一个每通信流。

    
    !--- Virtual server VPN_IOS_ESP.
    
    vserver VPN_IOS_ESP
    
    
    !--- The virtual server IP address is specified.
    
      virtual 172.21.51.253 50
    
    !--- Persistence rebalance is used for HTTP 1.1, to rebalance the connection
    !--- to a new server using the load balancing policy.
    
      persistent rebalance  
    
    !--- Associate the load balancing policy with the VPNIOS virtual server.
    
      slb-policy VPNIOS
      inservice
    !
     vserver VPN_IOS_IKE
      virtual 172.21.51.253 udp 500
      persistent rebalance
      slb-policy VPNIOS
      inservice
    !

数据转发路由器配置- 7206VXR

crypto isakmp policy 10
 authentication pre-share
crypto isakmp key cisco123 address 0.0.0.0
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac
crypto mib ipsec flowmib history tunnel size 200
crypto mib ipsec flowmib history failure size 200
!
crypto dynamic-map mydyn 10
 set transform-set myset
 reverse-route
!
crypto map mymap 10 ipsec-isakmp dynamic mydyn
!
interface FastEthernet0/0
ip address 172.21.51.247 255.255.255.240
crypto map mymap
!
interface FastEthernet2/0
 ip address 10.1.1.6 255.255.255.0

router eigrp 1
 redistribute static
 network 10.0.0.0
 no auto-summary
 no eigrp log-neighbor-changes
!
ip default-gateway 172.21.51.241
ip classless
ip route 0.0.0.0 0.0.0.0 172.21.51.241
no ip http server
!

分支路由器配置- 7206

crypto isakmp policy 10
 authentication pre-share
crypto isakmp key cisco123 address 172.21.51.253
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac
crypto mib ipsec flowmib history tunnel size 200
crypto mib ipsec flowmib history failure size 200
!
crypto map mymap 10 ipsec-isakmp
 set peer 172.21.51.253
 set transform-set myset
 match address 101
!
interface Loopback0
 ip address 10.3.3.3 255.255.255.0
!
interface Ethernet0/0
 ip address 172.21.51.250 255.255.255.240
 duplex auto
 crypto map mymap
!
ip classless
ip route 0.0.0.0 0.0.0.0 172.21.51.241
no ip http server
!
access-list 101 permit ip 10.3.3.0 0.0.0.255 10.1.1.0 0.0.0.255
!

验证

使用本部分可确认配置能否正常运行。

命令输出解释程序仅限注册用户)(OIT) 支持某些 show 命令。使用 OIT 可查看对 show 命令输出的分析。

  • 发出show module csm全部show module contentSwitchingModule all命令;两命令生成同一信息。

    show module contentSwitchingModule all vservers命令显示SLB虚拟服务器信息。

    Cat6506-1-Native# show module contentSwitchingModule all vservers
    
    ---------------------- CSM in slot 4 ----------------------
    
    slb vserver      prot     virtual              vlan    state       conns
    ---------------------------------------------------------------------------
    VPN_IOS_ESP      50     172.21.51.253/32:0      ALL   OPERATIONAL   2
    VPN_IOS_IKE      UDP   172.21.51.253/32:500     ALL   OPERATIONAL   2

    show module contentSwitchingModule all conns命令显示SLB连接信息。

    Cat6506-1-Native# show module contentSwitchingModule all conns
    
    ---------------------- CSM in slot 4 ----------------------
    
        prot vlan source                destination           state
    ----------------------------------------------------------------------
    In  UDP  51   172.21.51.250:500     172.21.51.253:500     ESTAB
    Out UDP  61   172.21.51.242:500     172.21.51.250:500     ESTAB
    
    In  50   51   172.21.51.251         172.21.51.253         ESTAB
    Out 50   61   172.21.51.247         172.21.51.251         ESTAB
    
    In  50   51   172.21.51.250         172.21.51.253         ESTAB
    Out 50   61   172.21.51.242         172.21.51.250         ESTAB
    
    In  UDP  51   172.21.51.251:500     172.21.51.253:500     ESTAB
    Out UDP  61   172.21.51.247:500     172.21.51.251:500     ESTAB

    show module contentSwitchingModule all sticky命令显示SLB粘性数据库。

    Cat6506-1-Native# show module contentSwitchingModule all sticky
    
    ---------------------- CSM in slot 4 ----------------------
    client IP:    172.21.51.250
    real server:  172.21.51.242
    connections:  0
    group id:     5
    timeout:      38
    sticky type:  netmask 255.255.255.255
    
    client IP:    172.21.51.251
    real server:  172.21.51.247
    connections:  0
    group id:     5
    timeout:      40
    sticky type:  netmask 255.255.255.255
  • 发出show ip route命令在路由器。

    2621VPN# show ip route
    
    !--- Output suppressed.
    
         10.0.0.0/24 is subnetted, 3 subnets
    D EX    10.2.2.0 [170/30720] via 10.1.1.6, 00:13:57, FastEthernet0/0
    D EX    10.3.3.0 [170/30720] via 10.1.1.5, 00:16:15, FastEthernet0/0
    C       10.1.1.0 is directly connected, FastEthernet0/0
    D*EX 0.0.0.0/0 [170/30720] via 10.1.1.5, 00:37:58, FastEthernet0/0
                   [170/30720] via 10.1.1.6, 00:37:58, FastEthernet0/0
    2621VPN#
    
    7206VXR# show ip route
    
    !--- Output suppressed.
    
        172.21.0.0/28 is subnetted, 1 subnets
    C       172.21.51.240 is directly connected, FastEthernet0/0
         10.0.0.0/24 is subnetted, 3 subnets
    S       10.2.2.0 [1/0] via 0.0.0.0, FastEthernet0/0
    D EX    10.3.3.0 [170/30720] via 10.1.1.5, 00:16:45, FastEthernet2/0
    C       10.1.1.0 is directly connected, FastEthernet2/0
    S*   0.0.0.0/0 [1/0] via 172.21.51.241

故障排除

目前没有针对此配置的故障排除信息。


相关信息


Document ID: 63390