Cisco インターフェイスとモジュール : Cisco コンテンツ スイッチング モジュール

コンテント スイッチング モジュールのリバース スティッキ設定例

2015 年 11 月 25 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、リバース スティッキを使用するための設定例を紹介します。 この機能は、発信トラフィックが着信トラフィックと同じファイアウォールに送信されるようにするために、ファイアウォール ロード バランシング(FWLB)のシナリオで主に使用されます。 たとえば、インターネット上のクライアントから内部ネットワークのサーバへのアクセスに FTP を使用している場合、コントロール チャネルと同じファイアウォールを通過するためには、サーバによってクライアントへのデータ接続が開かれている必要があります。

はじめに

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のハードウェアとソフトウェアのバージョンに基づくものです。

  • コンテンツ スイッチング モジュール(CSM)3.x

  • ネイティブ IOS 12.1(20)E

関連製品

この設定は、次のバージョンのハードウェアとソフトウェアにも使用できます。

  • CatOS バージョン 7.x

  • MSFC IOS 12.1E

表記法

ドキュメントの表記法の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

ネットワーク構成図

このドキュメントでは、次のネットワーク構成を使用しています。

/image/gif/paws/47921/rsticky.jpg

設定

このドキュメントでは、次の設定を使用します。

module ContentSwitchingModule 4 
 vlan 500 server

!--- Internal network.

  ip address 192.168.20.97 255.255.254.0
  route 192.168.50.0 255.255.255.0 gateway 192.168.20.1
!
 vlan 169 server

!--- Inside firewall VLAN.

  ip address 192.168.169.97 255.255.255.0
!
 serverfarm FORWARD

!--- Serverfarm to simply forward the traffic with no load balancing.

  no nat server 
  no nat client
  predictor forward
!
 serverfarm FWLB_IN2OUT

!--- Firewall serverfarm.

  no nat server 
  no nat client
  real 192.168.169.1

!--- Firewall inside IP address.

   backup real 192.168.169.2


!--- Backup firewall inside IP address; only if firewalls support stateful failover.

   inservice
  real 192.168.169.2
   backup real 192.168.169.1
   inservice
!
sticky 60 netmask 255.255.255.255 address destination timeout 200


!--- Define a sticky group based on destination IP address.
!--- The sticky entry will link a destination IP address with a firewall

!
 vserver FW2SERV
  virtual 192.168.20.0 255.255.254.0 any
  vlan 169
  serverfarm FORWARD
  reverse-sticky 60


!--- Enable reverse-sticky for group 60.
!--- The source IP address (reverse of group 60) will be used
!--- to create an entry in the sticky table.

  persistent rebalance
  inservice
!
 vserver SERV2FW
  virtual 0.0.0.0 0.0.0.0 any
  vlan 500
  serverfarm FWLB_IN2OUT
  sticky 200 group 60


!--- Normal sticky group.
!--- The sticky entry is used to determine the correct firewall to be used.

  persistent rebalance
  inservice
!

確認

このセクションでは、設定が正常に動作しているかどうかを確認する際に役立つ情報を提供しています。

  • show mod csm slot sticky

  • show mod csm slot vserver

  • clear mod csm slot sticky all

show mod csm 4 sticky 

group   sticky-data              real                  timeout
----------------------------------------------------------------
60      ip 192.168.11.46         192.168.169.2         0         

クライアント(192.168.11.46)がサーバ(192.168.21.240)との TCP 接続を開くと、トラフィックは仮想サーバ FW2SERV をヒットします。 reverse-sticky コマンドのために、送信元の IP アドレスに対するエントリがスティッキ テーブルに作成されます。 エントリ ポイントは、トラフィックの送信元のファイアウォールであり、この例ではファイアウォール 192.168.169.2 です。

show mod csm 4 vservers 

vserver         type  prot virtual                  vlan state        conns
---------------------------------------------------------------------------    
FW2SERV         SLB   any  192.168.20.0/23:0        169  OPERATIONAL  0       
SERV2FW         SLB   any  0.0.0.0/0:0              500  OPERATIONAL  0 

show mod csm slot vserver コマンドは、各仮想サーバのアクティブな接続の数を示します。

トラブルシューティング

ここでは、設定のトラブルシューティングに役立つ情報について説明します。

スティッキ性が動作するかどうかを確認するには、show mod csm slot vserver コマンドを発行して接続が正しい仮想サーバに到着したかどうかを確認します。 スティッキ テーブルにエントリが作成されたかどうかを調べるには、show mod csm slot sticky コマンドを発行します。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 47921