Cisco Application Control Engine モジュール スタート ガイド Software Version A2(1.0)
ACE の設定および基本的な VIP ロード バランシングの実行
ACE の設定および基本的な VIP ロード バランシングの実行
発行日;2012/01/12 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 494KB) | フィードバック

目次

ACE の設定および基本的な VIP ロード バランシングの実行

ACE の初期設定

Cisco IOS ソフトウェアによる ACE の VLAN(仮想 LAN)の設定

セッションの確立と ACE へのログイン

ACE への名前の割り当て

ACE への IP アドレスの割り当て

デフォルト ルートの設定

ACE へのリモート アクセスの設定

Telnet セッションによる ACE へのアクセス

ACE での基本的な VIP ロード バランシングの設定

実サーバの設定

サーバ ファームの設定

VIP トラフィック ポリシーの設定

ACL の設定

VIP ロード バランシング設定の確認

次の作業

ACE の設定および基本的な VIP ロード バランシングの実行

この章では、トラフィックを許可して基本的な VIP ロード バランシングを実行できるように ACE を設定する手順について説明します。設定の詳細情報の参考資料についても記載しています。

この章の手順を実行する前に、Catalyst 6500 シリーズ スイッチまたは Cisco 7600 シリーズ ルータに ACE がインストールされている必要があります。ACE のインストール方法については、『 Cisco Application Control Engine Module Installation Note 』を参照してください。

この章の内容は、次のとおりです。

「ACE の初期設定」

「ACE での基本的な VIP ロード バランシングの設定」

「次の作業」

ACE の初期設定

ACE の初期設定により、次のタスクが実行できます。

Catalyst 6500 シリーズ スイッチまたは Cisco 7600 シリーズ ルータ(ACE20-MOD-K9 モジュールのみ)のスーパーバイザ エンジンから ACE にトラフィックを渡す。

ネットワーク接続を許可する。

Telnet でリモート管理を実行する。

ここでは次のタスクの実行方法について説明します。

「Cisco IOS ソフトウェアによる ACE の VLAN(仮想 LAN)の設定」

「セッションの確立と ACE へのログイン」

「ACE への名前の割り当て」

「ACE への IP アドレスの割り当て」

「デフォルト ルートの設定」

「ACE へのリモート アクセスの設定」

「Telnet セッションによる ACE へのアクセス」

Cisco IOS ソフトウェアによる ACE の VLAN(仮想 LAN)の設定

ACE が Catalyst 6500 シリーズ スイッチまたは Cisco 7600 シリーズ ルータ(ACE30-MOD-K9 モジュールのみ)のスーパーバイザ エンジンからトラフィックを受け取ることができるようにするには、スーパーバイザ エンジンで VLAN グループを作成してから、そのグループを ACE に割り当てる必要があります。ACE 用にスーパーバイザ エンジンで VLAN グループを設定したあと、ACE で VLAN インターフェイスを設定します。

Cisco IOS ソフトウェアでは、1 つまたは複数の VLAN グループを作成したあと、そのグループを ACE に割り当てることができます。たとえばすべての VLAN を 1 つのグループに割り当てたり、お客様ごとにグループを作成したりすることができます。

同一 VLAN を複数のグループに割り当てることはできませんが、複数のグループを ACE に割り当てることはできます。たとえば、複数の ACE に割り当てる VLAN は、それぞれの ACE に固有の VLAN とは別のグループに常駐させることができます。


) 作業を始める前にネットワーク管理者に問い合わせ、ACE が使用できる VLAN とアドレスを確認してください。


Cisco IOS ソフトウェアを使用して ACE 用に VLAN を設定するには、次の手順を実行します。


ステップ 1 スーパーバイザ エンジンに接続し、セッションを開きます。Telnet を使用し、IP アドレス 172.19.110.5 でスーパーバイザ エンジンに接続する例を示します。

linux$ telnet 172.19.110.5
User Access Verification
 
Password: cisco
Router#
 

ステップ 2 コンフィギュレーション モードで svclc vlan-group group_number vlan_range コマンドを使用し、VLAN をグループに割り当てます。ACE には最大 16 個の VLAN グループを割り当てることができます。VLAN 範囲 55 ~ 57 で 50、VLAN 範囲 75 ~ 86 で 51、VLAN 100 で 52 の 3 つの VLAN グループを作成する例を示します。

Router# config
Router(config)# svclc vlan-group 50 55-57
Router(config)# svclc vlan-group 51 70-85
Router(config)# svclc vlan-group 52 100
 

ステップ 3 svc module slot_number vlan-group group_number_range コマンドを使用し、VLAN グループを ACE に割り当てます。VLAN グループ 50 と 52 を ACE にスロット 5 で割り当て、VLAN グループ 51 と 52 を ACE のスロット 8 に割り当てる例を示します。

Router(config)# svc module 5 vlan-group 50,52
Router(config)# svc module 8 vlan-group 51,52
 

ステップ 4 show svclc vlan-group コマンドを使用し、ACE のグループ設定および関連 VLAN を表示します。以下に入力例を示します。

Router(config)# exit
Router# show svclc vlan-group
 

ステップ 5 show svc module コマンドを使用し、すべてのモジュールの VLAN グループ番号を表示します。以下に入力例を示します。

Router# show svc module
 


 

セッションの確立と ACE へのログイン

初めてセッションを確立して ACE にログインするには、次の手順を実行します。


ステップ 1 スーパーバイザ エンジンから session コマンドを使用し、スーパーバイザ エンジンから ACE へのセッションを確立します。スロット 5 で ACE へのセッションを確立する例を示します。

Router# session slot 5 processor 0
 

ステップ 2 ログイン プロンプトが表示されたら、ログイン ユーザ名とパスワードを入力して ACE にログインします。デフォルトのユーザ名とパスワードは admin です。以下に入力例を示します。

switch login: admin
Password: admin
 

次のプロンプトが表示されたら、ACE CLI(コマンド ライン インターフェイス)を使用できます。

switch/Admin#
 

デフォルトのログイン ユーザ名とパスワードを変更するには、『 Cisco Application Control Engine Module Administration Guide 』を参照してください。

ステップ 3 terminal session-timeout コマンドを使用して値を 0 にセットし、現行のセッションがタイムアウトしないようにしてください。デフォルトでは、ACE のセッションは 5 分間使用しないと自動的にログアウトするように設定されています。以下に入力例を示します。

switch/Admin# terminal session-timeout 0
 

ステップ 4 次のようにコンフィギュレーション モードで login timeout コマンドを使用し、次回 ACE にログインしたときの無活動タイムアウトをディセーブルにします。

a. Exec モードで configure コマンドを使用し、コンフィギュレーション モードにアクセスします。以下に入力例を示します。

switch/Admin# configure
Enter configuration commands, one per line. End with CNTL/Z
switch/Admin(config)#
 

b. login timeout コマンドで値を 0 に設定し、無活動タイマーをディセーブルにします。以下に入力例を示します。

switch/Admin(config)# login timeout 0
 


 

ACE への名前の割り当て

コマンドライン プロンプトおよびデフォルトの設定ファイル名には、ホスト名が使用されます。複数のデバイスでセッションを確立した場合は、コマンドを入力した場所をホスト名からトラッキングできます。デフォルトでは、ACE のホスト名は switch です。

host コマンドを使用すると、ACE のホスト名を変更できます。1 ~ 32 の英数字からなる名前を、大文字と小文字を区別して入力してください。ACE のホスト名を switch から host1 に変更する例を示します。

switch/Admin(config)# hostname host1
 

プロンプトは新しいホスト名で次のように表示されます。

host1/Admin(config)#

ACE への IP アドレスの割り当て

ACE に VLAN を割り当てたら、ACE に IP アドレスを割り当て、クライアントのネットワーク上での接続を可能にします。


) ACE が要求をサーバに転送するには、クライアントへのルート バックが必要です。ルートバックがないと、フローが確立されないためです。


管理コンテキストの Exec モードで show vlans コマンドを使用し、スーパーバイザ エンジンからダウンロードした ACE VLAN を表示します。 show コマンドは Exec モードで使用しますが、 do コマンドと組み合わせれば、どのコンフィギュレーション モードからも show コマンドが使用できます。以下に入力例を示します。

host1/Admin(config)# do show vlans
Vlans configured on SUP for this module
vlan55-57 vlan100
 

ACE で VLAN インターフェイスを設定し、インターフェイス モードにアクセスしてインターフェイス属性を設定するには、次の手順を実行します。


ステップ 1 interface vlan コマンドを使用し、VLAN のインターフェイス コンフィギュレーション モードにアクセスします。VLAN 55 を作成する例を示します。

host1/Admin(config)# interface vlan 55
host1/Admin(config-if)#
 

ステップ 2 ip address コマンドを使用し、VLAN インターフェイスに IP アドレスを割り当ててクライアント接続を可能にします。IP アドレス 172.19.110.8 255.255.255.192 を ACE に設定する例を示します。

host1/Admin(config-if)# ip address 172.19.110.8 255.255.255.192
 

ステップ 3 description コマンドを使用し、インターフェイスのデスクリプションを作成します。以下に入力例を示します。

host1/Admin(config-if)# description Client side connectivity
 

ステップ 4 no shutdown コマンドを使用し、インターフェイスを有効にします。以下に入力例を示します。

host1/admin(config-if)# no shutdown
 

ステップ 5 show interface コマンドを使用し、VLAN 55 がアップしていることを確認します。以下に入力例を示します。

host1/admin(config-if)# do show interface vlan 55
 

ステップ 6 ping コマンドを使用し、ネットワーク接続を確認します。以下に入力例を示します。

host1/admin(config-if)# do ping 172.19.110.1
 

ステップ 7 show arp コマンドを使用し、ARP テーブルを表示します。以下に入力例を示します。

host1/admin(config-if)# do show arp
 

ステップ 8 exit コマンドを使用し、コンフィギュレーション モードに戻ります。以下に入力例を示します。

host1/admin(config-if)# exit
host1/admin(config)#
 


 

デフォルト ルートの設定

デフォルト ルートにより、ACE が送信するルートのないすべての IP パケットの IP アドレスが識別されます。デフォルト ルートを設定するには、 ip route dest_ip_prefix netmask gateway_ip_address コマンドを使用します。

デフォルト ルートの IP アドレスとサブネット マスク(0.0.0.0/0)、およびデフォルト ゲートウェイを 172.19.110.1、つまり VLAN 55 と同一のネットワークのアドレスに設定する例を示します。

host1/Admin(config)# ip route 0.0.0.0 0.0.0.0 172.19.110.1
 

ACE のルーティング テーブルを表示するには、 show ip route コマンドを使用します。以下に入力例を示します。

host1/Admin(config)# do show ip route

ACE へのリモート アクセスの設定

ACE でリモート ネットワーク アクセスを行う前に、次の機能を設定する必要があります。

ACE インターフェイスにアクセスできるトラフィックを指定するクラス マップ

クラス マップ トラフィックの処理方法を決めるポリシー マップ

ポリシー マップをインターフェイスに適用するサービス ポリシー

リモート ネットワーク管理を設定するには、次の手順を実行します。


ステップ 1 class-map type management コマンドを使用し、クラス マップを作成します。すべてのトラフィックと一致する、REMOTE_ACCESS という名前の管理タイプ クラス マップを作成し、クラス マップ コンフィギュレーション モードにアクセスする例を示します。

host1/Admin(config)# class-map type management match-any REMOTE_ACCESS
host1/Admin(config-cmap-mgmt)#
 

ステップ 2 description コマンドを使用し、クラス マップのデスクリプションを作成します。以下に入力例を示します。

host1/Admin(config-cmap-mgmt)# description Remote access traffic match
 

ステップ 3 match protocol コマンドを使用し、ネットワーク管理トラフィックを許可するマッチ プロトコルを設定します。すべての送信元アドレスからの、SSH、Telnet、ICMP プロトコルに基づくトラフィックを許可する例を示します。

host1/Admin(config-cmap-mgmt)# match protocol telnet any
host1/Admin(config-cmap-mgmt)# match protocol ssh any
host1/Admin(config-cmap-mgmt)# match protocol icmp any
 

ステップ 4 exit コマンドを使用し、コンフィギュレーション モードに戻ります。以下に入力例を示します。

host1/Admin(config-cmap-mgmt)# exit
host1/Admin(config)#
 

ステップ 5 policy-map type management first-match コマンドを使用し、ACE インターフェイス宛てのトラフィック用にポリシー マップを作成して、ポリシー マップ管理コンフィギュレーション モードにアクセスします。
REMOTE_MGMT_ALLOW_POLICY ポリシー マップを作成する例を示します。

host1/Admin(config)# policy-map type management first-match REMOTE_MGMT_ALLOW_POLICY
host1/Admin(config-pmap-mgmt)#
 

ステップ 6 class コマンドを使用し、このポリシーにクラス マップを適用して、ポリシー マップ クラス コンフィギュレーション モードにアクセスします。作成済みの REMOTE_ACCESS クラス マップをこのポリシーに適用する例を示します。

host1/Admin(config-pmap-mgmt)# class REMOTE_ACCESS
host1/Admin(config-pmap-mgmt-c)#
 

ステップ 7 permit コマンドを使用し、設定したクラス マップ管理プロトコルを ACE が受信できるようにします。以下に入力例を示します。

host1/Admin(config-pmap-mgmt-c)# permit
 

ステップ 8 exit コマンドを使用し、コンフィギュレーション モードに戻ります。以下に入力例を示します。

host1/Admin(config-pmap-mgmt-c)# exit
host1/Admin(config-pmap-mgmt)# exit
host1/Admin(config)#
 

ステップ 9 ポリシー マップを適用する VLAN のインターフェイス コンフィギュレーション モードにアクセスします。VLAN 55 のインターフェイス コンフィギュレーション モードにアクセスする例を示します。

host1/Admin(config)# interface vlan 55
host1/Admin(config-if)#
 

ステップ 10 service-policy input コマンドを使用し、インターフェイスにポリシー マップを適用します。REMOTE_MGMT_ALLOW_POLICY ポリシー マップをインターフェイスに適用する例を示します。

host1/Admin(config-if)# service-policy input REMOTE_MGMT_ALLOW_POLICY
 

ステップ 11 show service-policy コマンドを使用し、インターフェイスに適用されているサービス ポリシーを表示します。REMOTE_MGMT_ALLOW_POLICY ポリシーをインターフェイスに適用する例を示します。

host1/Admin(config-if)# do show service-policy REMOTE_MGMT_ALLOW_POLICY
 

ステップ 12 実行コンフィギュレーションからスタートアップ コンフィギュレーションに設定の変更を保存します。

host1/Admin(config-if)# do copy running-config startup-config
 

ステップ 13 show running-config コマンドを使用し、実行コンフィギュレーションを表示します。以下に入力例を示します。

host1/Admin# show running-config
Generating configuration....
 
login timeout 0
hostname host1
 
class-map type management match-any REMOTE_ACCESS
10 match protocol telnet any
20 match protocol ssh any
30 match protocol icmp any
 
policy-map type management first-match REMOTE_MGMT_ALLOW_POLICY
class REMOTE_ACCESS
permit
 
interface vlan 55
ip address 172.19.110.8 255.255.255.192
description Client side connectivity
service-policy input REMOTE_MGMT_ALLOW_POLICY
no shutdown
 
ip route 0.0.0.0 0.0.0.0 172.19.110.1
 


 

Telnet セッションによる ACE へのアクセス

ここまでの設定を完了していれば、IP アドレスを使用して、Telnet で ACE にアクセスできます。Telnet で ACE にアクセスするには、次の手順を実行します。


ステップ 1 スーパーバイザ エンジンに接続し、別のセッションを開きます。以下に入力例を示します。

linux$ telnet 172.19.110.5
User Access Verification
 
 
Password: cisco
Router#

ステップ 2 Telnet を使用し、ACE インターフェイスにアクセスできることを確認します。VLAN IP アドレス 172.19.110.8 から ACE にアクセスする例を示します。

Router# telnet 172.19.110.8
Trying 172.19.110.8 ... Open
 

ステップ 3 プロンプトで ACE にログインします。ログイン ユーザ名 admin とパスワード admin を入力してください。以下に入力例を示します。

host1 login: admin
Password:
Cisco Application Control Software (ACSW)
TAC support: http://www.cisco.com/tac
Copyright (c) 2002-2006, Cisco Systems, Inc. All rights reserved.
The copyrights to certain works contained herein are owned by
other third parties and are used and distributed under license.
Some parts of this software are covered under the GNU Public
License. A copy of the license is available at
http://www.gnu.org/licenses/gpl.html.
host1/Admin#
 

ステップ 4 show telnet コマンドを使用し、Telnet セッションを表示します。以下に入力例を示します。

host1/Admin# show telnet
 


 

ACE での基本的な VIP ロード バランシングの設定

基本的なロード バランシング設定により、ACE は次のタスクを実行できます。

VIP 宛てトラフィック フローをマッチングする

これらのフローをネットワーク上の実サーバにロード バランシングする

クラス マップは、VIP アドレス宛てのクライアント トラフィックを分類します。ACE はサーバ ファームへトラフィックをロード バランシングし、いずれかの実サーバを選択してクライアント要求に応答します。

ここでは次のタスクの実行方法について説明します。

「実サーバの設定」

「サーバ ファームの設定」

「VIP トラフィック ポリシーの設定」

「ACL の設定」

「VIP ロード バランシング設定の確認」

実サーバの設定

実サーバは、通常サーバ ファームと呼ばれるグループで設定を行う際の、専用の物理サーバです。実サーバは、HTTP や XML コンテンツなどのサービスをクライアントに提供します。実サーバは名前で識別し、IP アドレス、接続制限、重み値で特定します

ACE で実サーバを設定するには、次の手順を実行します。


ステップ 1 Exec モードで configure コマンドを使用し、コンフィギュレーション モードを開始します。以下に入力例を示します。

host/Admin# config
Enter configuration commands, one per line. End with CNTL/Z
host1/Admin(config)#
 

ステップ 2 rserver コマンドを使用し、実サーバを作成して、実サーバ ホスト コンフィギュレーション モードに移行します。SERVER1 という名の実サーバを、ホスト タイプ(デフォルト)として作成する例を示します。

host1/Admin(config)# rserver SERVER1
host1/Admin(config-rserver-host)#
 

ステップ 3 description コマンドを使用し、実サーバのデスクリプションを入力します。以下に入力例を示します。

host1/Admin(config-rserver-host)# description web-one content server
 

ステップ 4 ip address コマンドを使用し、ドット付き 10 進表記で実サーバの IP アドレスを割り当てます。IP アドレス 192.168.4.11 を割り当てる例を示します。

host1/Admin(config-rserver-host)# ip address 192.168.4.11
 

ステップ 5 inservice コマンドを使用し、実サーバを稼働状態にします。以下に入力例を示します。

host1/Admin(config-rserver-host)# inservice
 

ステップ 6 exit コマンドを使用し、コンフィギュレーション モードをに戻ります。以下に入力例を示します。

host1/Admin(config-rserver-host)# exit
host1/Admin(config)#
 

ステップ 7 手順 2 ~ 5 を繰り返し、その他の実サーバを設定します。SERVER2 という名の実サーバを IP アドレス 192.168.4.12 で追加する例を示します。

host1/Admin(config)# rserver SERVER2
host1/Admin(config-rserver-host)# description web-two content server
host1/Admin(config-rserver-host)# ip address 192.168.4.12
host1/Admin(config-rserver-host)# inservice
 

ステップ 8 exit コマンドを使用し、コンフィギュレーション モードに戻ります。以下に入力例を示します。

host1/Admin(config-rserver-host)# exit
host1/Admin(config)#
 

ステップ 9 show running-config rserver コマンドを使用し、実サーバの設定を表示します。以下に入力例を示します。

host1/Admin(config)# do show running-config rserver
 


 

サーバ ファームの設定

実サーバを作成して設定したら、その実サーバをサーバ ファームに追加します。サーバ ファームを作成するには、次の手順を実行します。


ステップ 1 serverfarm コマンドを使用し、サーバ ファームを作成して、サーバ ファーム ホスト コンフィギュレーション モードに移行します。SFARM1 という名のサーバ ファームをホスト タイプ(デフォルト)として作成する例を示します。

host1/Admin(config)# serverfarm SFARM1
host1/Admin(config-sfarm-host)#
 

ステップ 2 rserver コマンドを使用し、既存の実サーバをサーバ ファームに関連付けて、サーバ ファーム ホスト実サーバ コンフィギュレーション モードを開始します。実サーバ SERVER1 をサーバ ファームに関連付ける例を示します。

host1/Admin(config-sfarm-host)# rserver SERVER1
host1/Admin(config-sfarm-host-rs)#
 

ステップ 3 inservice コマンドを使用し、実サーバを稼働状態にします。このように設定しないと、ACE はそのサーバを非稼働状態であるとみなすため、サーバ ファームはクライアントの要求に対する受信や応答ができなくなります。以下に入力例を示します。

host1/Admin(config-sfarm-host-rs)# inservice
 

ステップ 4 exit コマンドを使用し、サーバ ファーム ホスト コンフィギュレーション モードに戻ります。以下に入力例を示します。

host1/Admin(config-sfarm-host-rs)# exit
host1/Admin(config-sfarm-host)#
 

ステップ 5 実サーバ SERVER2 をサーバ ファームに関連付けます。以下に入力例を示します。

host1/Admin(config-sfarm-host)# rserver SERVER2
host1/Admin(config-sfarm-host-rs)#
 

ステップ 6 実サーバを稼働状態にします。以下に入力例を示します。

host1/Admin(config-sfarm-host-rs)# inservice
 

ステップ 7 exit コマンドを使用し、コンフィギュレーション モードに戻ります。以下に入力例を示します。

host1/Admin(config-sfarm-host-rs)# exit
host1/Admin(config-sfarm-host)# exit
host1/Admin(config)#
 

ステップ 8 show rserver コマンドを使用し、ネットワーク接続が確立していなくても、実サーバが動作中として表示されることを確認します。実サーバ SERVER1 を表示する例を示します。

host1/Admin(config)# do show rserver SERVER1
 

ステップ 9 interface vlan コマンドを使用し、インターフェイスを追加して、ACE が実サーバと通信できるようにします。VLAN 57 を設定してそのコンフィギュレーション モードにアクセスする例を示します。

host1/Admin(config)# interface vlan 57
host1/Admin(config-if)#
 

ステップ 10 ip address コマンドを使用し、実サーバ アドレスと関連する IP アドレスを設定します。IP アドレス 192.168.4.1 255.255.255.0 を設定する例を示します。

host1/Admin(config-if)# ip address 192.168.4.1 255.255.255.0
 

ステップ 11 description コマンドを使用し、インターフェイスのデスクリプションを作成します。以下に入力例を示します。

host1/Admin(config-if)# description Server-side Interface
 

ステップ 12 no shutdown コマンドを使用し、インターフェイスを有効にします。以下に入力例を示します。

host1/admin(config-if)# no shutdown
 

ステップ 13 実行コンフィギュレーションをスタートアップ コンフィギュレーションに保存します。以下に入力例を示します。

host1/Admin(config-if)# do copy running-config startup-config
 

ステップ 14 exit コマンドを使用し、コンフィギュレーション モードに戻ります。以下に入力例を示します。

host1/Admin(config-if)# exit
host1/Admin(config)#
 

ステップ 15 show arp コマンドを使用し、ACE が ARP テーブルに実サーバ(SERVER)を入力した方法を表示します。以下に入力例を示します。

host1/Admin(config)# do show arp
 


 

VIP トラフィック ポリシーの設定

ACE は、ポリシー マップに関連するクラス マップで着信トラフィックを分類し、クラス マップのマッチングに基づいて処理を実行します。最も単純なマッチングは、クライアントの仮想 IP アドレスとポートへの到達の際のサーバ ロード バランシングです。このタイプのマッチングは、レイヤ 3 とレイヤ 4 のトラフィック ポリシーです。このタイプのマッチングでは宛先 IP アドレスとポートのみがマッチングされ、サーバ ロード バランシングが決定されます。

VIP トラフィック ポリシーを作成するには、次の手順を実行します。


ステップ 1 policy-map type loadbalance first-match コマンドを使用し、ロード バランシングで発生する順序でクラス マップをマッチングさせる、レイヤ 7 SLB ポリシー マップを作成します。L7_VIP_LB_ORDER_POLICY というロード バランシング ポリシー マップを作成する例を示します。

host1/Admin(config)# policy-map type loadbalance first-match L7_VIP_LB_ORDER_POLICY
host1/Admin(config-pmap-lb)#
 

ステップ 2 単純なロード バランシング ポリシーの場合は、暗黙の match any 文のある ACE のデフォルトのクラス マップを割り当て、すべてのトラフィックの分類をマッチングします。 class class-default コマンドを使用してください。以下に入力例を示します。

host1/Admin(config-pmap-lb)# class class-default
host1/Admin(config-pmap-lb-c)#
 

ステップ 3 serverfarm コマンドを使用し、サーバ ファームをこのクラスに追加します。作成済みのサーバ ファーム SFARM1 を追加する例を示します。

host1/Admin(config-pmap-lb-c)# serverfarm SFARM1
 

ステップ 4 exit コマンドを使用し、コンフィギュレーション モードに戻ります。以下に入力例を示します。

host1/Admin(config-pmap-lb-c)# exit
host1/Admin(config-pmap-lb)# exit
host1/Admin(config)#
 

ステップ 5 class-map コマンドを使用し、レイヤ 3 とレイヤ 4 のロード バランシング クラス マップを作成します。L4_VIP_ADDRESS_CLASS という名のクラス マップを作成する例を示します。

host1/Admin(config)# class-map L4_VIP_ADDRESS_CLASS
host1/Admin(config-cmap)#
 

ステップ 6 match virtual-address コマンドを使用し、VIP アドレスのマッチ文を定義します。すべての IP プロトコルで IP アドレス 172.19.110.9 のマッチ文を定義する例を示します。

host1/Admin(config-cmap)# match virtual-address 172.19.110.9 any
 

ステップ 7 exit コマンドを使用し、コンフィギュレーション モードに戻ります。以下に入力例を示します。

host1/Admin(config-cmap)# exit
host1/Admin(config)#
 

ステップ 8 policy-map multi-match コマンドを使用し、レイヤ 3 とレイヤ 4 のマルチマッチ ポリシー マップを作成して、分類した着信要求をロード バランシング ポリシー マップとマッチングします。L4_LB_VIP_POLICY という名のポリシー マップを作成する例を示します。

host1/Admin(config)# policy-map multi-match L4_LB_VIP_POLICY
host1/Admin(config-pmap)#
 

ステップ 9 class コマンドを使用し、VIP アドレスを定義するレイヤ 3 とレイヤ 4 のクラス マップをポリシー マップと関連付けます。作成済みのクラス マップ
L4_VIP_ADDRESS_CLASS の関連付けを行う例を示します。

host1/Admin(config-pmap)# class L4_VIP_ADDRESS_CLASS
host1/Admin(config-pmap-c)#
 

ステップ 10 loadbalance コマンドを使用し、レイヤ 7 ロード バランシング ポリシー マップをレイヤ 3 とレイヤ 4 のポリシー マップに関連付けます。この関連付けにより、ネットワーク トラフィックがクラス マップと一致したときに ACE が実行する処理が決まります。作成済みのポリシー マップ L7_VIP_LB_ORDER_POLICY を関連付ける例を示します。

host1/Admin(config-pmap-c)# loadbalance policy L7_VIP_LB_ORDER_POLICY
 

ステップ 11 loadbalance vip inservice コマンドを使用し、ロード バランシング操作用の VIP をイネーブルにします。以下に入力例を示します。

host1/Admin(config-pmap-c)# loadbalance vip inservice
 

ステップ 12 exit コマンドを使用し、コンフィギュレーション モードに戻ります。以下に入力例を示します。

host1/Admin(config-pmap-c)# exit
host1/Admin(config-pmap)# exit
host1/Admin(config)# exit
 

ステップ 13 interface vlan コマンドを使用し、マルチマッチ ポリシー マップを適用するクライアント側インターフェイスにアクセスします。VLAN 55 のインターフェイス コンフィギュレーション モードにアクセスする例を示します。

host1/Admin(config)# interface vlan 55
host1/Admin(config-if)#
 

ステップ 14 service-policy input コマンドを使用し、マルチマッチ ポリシー マップを適用します。L4_LB_VIP_POLICY ポリシー マップを適用する例を示します。

host1/Admin(config-if)# service-policy input L4_LB_VIP_POLICY
 

ステップ 15 exit コマンドを使用し、コンフィギュレーション モードに戻ります。以下に入力例を示します。

host1/Admin(config-if)# exit
host1/Admin(config)#
 

ステップ 16 実行コンフィギュレーションをスタートアップ コンフィギュレーションに保存します。

host1/Admin(config)# do copy running-config startup-config
 

ステップ 17 show service-policy コマンドを使用し、VIP アドレスへのトラフィックに ACE が応答することを確認します。このコマンドで、VIP が稼働状態にあるかどうかが表示されます。L4_LB_VIP_POLICY ポリシー マップのサービス ポリシーの状態を表示する例を示します。

host1/Admin(config)# do show service-policy L4_LB_VIP_POLICY
 


 

ACL の設定

Access Control List(ACL; アクセス コントロール リスト)により、ACE が提供するサービスのセキュリティが強化されます。マルチマッチ ポリシー マップに適用されるクラス マップ宛てのトラフィックの場合は、ACL を設定してインターフェイスに適用する必要があります。適用しない場合、ACE はインターフェイスのすべてのトラフィックを拒否します。

ACL を設定するには、次の手順を実行します。


ステップ 1 access-list コマンドを使用し、インターフェイスの ACL を作成します。ACE の拡張 ACL によって IP トラフィックのアクセスを制御する、ALL という名の ACL を作成し、すべての送信元 IP アドレスから宛先アドレスへの転送を許可する例を示します。

host1/Admin(config)# access-list ALL line 10 extended permit ip any any
 

ステップ 2 interface vlan コマンドを使用し、マルチマッチ ポリシー マップで設定したインターフェイスにインターフェイス コンフィギュレーション モードでアクセスします。VLAN 55 のインターフェイス コンフィギュレーション モードにアクセスする例を示します。

host1/Admin(config)# interface vlan 55
host1/Admin(config-if)#
 

ステップ 3 access-group input コマンドを使用し、インターフェイスに ACL を適用します。作成済みの ALL ACL を適用する例を示します。

host1/Admin(config-if)# access-group input ALL
 

ステップ 4 end コマンドを使用し、Exec モードに戻ります。

host1/Admin(config-if)# end
host1/Admin#
 

ステップ 5 show access-list コマンドを使用し、ACL が適用され、アクティブであることを確認します。以下に入力例を示します。

host1/Admin# show access-list ALL
 

ステップ 6 実行コンフィギュレーションをスタートアップ コンフィギュレーションに保存します。

host1/Admin# copy running-config startup-config
 

ステップ 7 show running-config コマンドを使用し、設定情報を表示します。


) この例では、基本的なロード バランシングの設定を太字で表示しています。


以下に入力例を示します。

host1/Admin# show running-config
Generating configuration....
 
login timeout 0
hostname host1
 
access-list ALL line 10 extended permit any ip any any
 
rserver SERVER1
description web-one content server
ip address 192.168.4.11
inservice
 
rserver SERVER2
description web-two content server
ip address 192.168.4.12
inservice
 
serverfarm SFARM1
rserver SERVER1
inservice
rserver SERVER2
inservice
 
class-map type management match-any REMOTE_ACCESS
10 match protocol telnet any
20 match protocol ssh any
30 match protocol icmp any
class-map match-all L4_VIP_ADDRESS_CLASS
10 match virtual-address 172.19.110.9 any
 
policy-map type management first-match REMOTE_MGMT_ALLOW_POLICY
class REMOTE_ACCESS
permit
 
policy-map type loadbalance first-match L7_VIP_LB_ORDER_POLICY
class CLASS-DEFAULT
serverfarm SFARM1
 
policy-map multi-match L4_LB_VIP_POLICY
class L4_VIP_ADDRESS_CLASS
loadbalance vip inservice
loadbalance policy L7_VIP_LB_ORDER_POLICY
 
interface vlan 55
ip address 172.19.110.8 255.255.255.192
description Client side connectivity
access-group input ALL
service-policy input REMOTE_MGMT_ALLOW_POLICY
service-policy input L4_LB_VIP_POLICY
no shutdown
interface vlan 57
ip address 192.168.4.1 255.255.255.0
description Server-side Interface
no shutdown
 
ip route 0.0.0.0 0.0.0.0 172.19.110.1
 


 

VIP ロード バランシング設定の確認

ロード バランシング設定を確認するには、 show service-policy コマンドを使用し、接続の処理ごとにカウンタが増加することを表示します。L4_LB_VIP_POLICY ポリシー マップのカウンタを表示する例を示します。

host1/Admin# show service-policy L4_LB_VIP_POLICY
Interface: vlan 55
service-policy: L4_LB_VIP_POLICY
class: L4_VIP_ADDRESS_CLASS
loadbalance:
L7 policy: L7_VIP_LB_ORDER_POLICY, VIP state: INSERVICE
curr conns : 0 , hit count : 20
dropped conns : 0
client pkt count : 100 , client byte count: 13000
server pkt count : 127 , server byte count: 92381
 

Telnet セッションを使用して VIP アドレスに接続すると、実サーバへのアクセスも確認できます。ログインとパスワードのプロンプトを ACE から取得できる場合は、VIP アドレスによって実サーバにアクセスできます。以下に入力例を示します。

linux$ telnet 172.19.110.9
Trying 172.19.110.9... Open
 
host1 login: admin
Password:

次の作業

トラフィックとリモート アクセスの許可、および基本的なロード バランシングをACE に設定したら、詳細機能を ACE に設定できます。

表2-1 は ACE のその他の詳細機能を示しており、参考資料から設定情報を入手できます。ACE で実行するタスクの詳細リスト、およびタスクに関する詳細情報の参照先については、 第 3 章「ACE タスクの参考資料」 を参照してください。ACE の CLI および各モードのコマンドについては、『 Cisco Application Control Engine Module Command Reference 』を参照してください。

 

表2-1 ACE のその他の機能

詳細機能
参照先

アプリケーション プロトコル インスペクション

Cisco Application Control Engine Module Security Configuration Guide

Chapter 3「Configuring Application Protocol Inspection」

HTTP クッキー、HTTP ヘッダー、IP ネットマスクのスティッキ性を使用した接続の持続性

Cisco Application Control Engine Module Server Load-Balancing Configuration Guide

Chapter 5「Configuring Stickiness」

プローブを含むヘルス モニタリング

Cisco Application Control Engine Module Server Load-Balancing Configuration Guide

Chapter 4「Configuring Health Monitoring」

クラス マップとポリシー マップを含むレイヤ 7 サーバ ロード バランシング トラフィック ポリシー

Cisco Application Control Engine Module Server Load-Balancing Configuration Guide

Chapter 3「Configuring Traffic Policies for Server Load Balancing」

Network Address Translation(NAT; ネットワーク アドレス変換)

Cisco Application Control Engine Module Security Configuration Guide

Chapter 5「Configuring Network Address Translation」

冗長構成

Cisco Application Control Engine Module Administration Guide

Chapter 7「Configuring Redundant ACE Modules」

SSL 機能

Cisco Application Control Engine Module SSL Configuration Guide

TCP/IP の標準化

Cisco Application Control Engine Module Security Configuration Guide

Chapter 4「Configuring TCP/IP Normalization and IP Reassembly Parameters」

ユーザ認証とアカウンティング

Cisco Application Control Engine Module Security Configuration Guide

Chapter 2「Configuring Authentication and Accounting Services」

バーチャライゼーションと Role-Based Access Control(RBAC; ロールベース アクセス コントロール)

Cisco Application Control Engine Module Virtualization Configuration Guide