Catalyst 6500 シリーズ スイッチ コンテント スイッチング モジュール コンフィギュレーション ノート Software Release 4.2(1)
ファイアウォール ロードバランシング の設定
ファイアウォール ロードバランシングの設定
発行日;2012/01/11 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

ファイアウォール ロードバランシングの設定

ファイアウォールの機能

ファイアウォールのタイプ

CSMによるファイアウォールへのトラフィック分散

サポート対象のファイアウォール

ファイアウォールに対するレイヤ3ロードバランシング

ファイアウォール構成タイプ

ファイアウォール用IPリバーススティッキ

CSMのファイアウォール設定

フォールトトレラントなCSMファイアウォール設定

ステルス ファイアウォール ロードバランシングの設定

ステルス ファイアウォールの設定

ステルス ファイアウォールの設定例

CSM Aの設定(ステルス ファイアウォールの例)

CSM Bの設定(ステルス ファイアウォールの例)

標準ファイアウォール ロードバランシングの設定

標準ファイアウォール構成の場合のパケット フロー

標準ファイアウォールの設定例

CSM Aの設定(標準ファイアウォールの例)

CSM Bの設定(標準ファイアウォールの例)

ファイアウォール用リバーススティッキの設定

ファイアウォール用リバーススティッキの概要

ファイアウォール用リバーススティッキの設定

ステートフル ファイアウォール接続のリマッピングの設定

ファイアウォール ロードバランシングの設定

この章では、ファイアウォール ロードバランシングの設定方法について説明します。

「ファイアウォールの機能」

「ステルス ファイアウォール ロードバランシングの設定」

「標準ファイアウォール ロードバランシングの設定」

「ファイアウォール用リバーススティッキの設定」

「ステートフル ファイアウォール接続のリマッピングの設定」

ファイアウォール ロードバランシングを使用すると、接続単位で複数のファイアウォールにトラフィックを分散させることによって、ファイアウォールの保護を拡張することができます。特定の接続に属すパケットはすべて、同じファイアウォールに送られなければなりません。ファイアウォールが個々のパケットについて、ファイアウォールのインターフェイスを通過することを許可または拒否します。

ファイアウォールの機能

ファイアウォールは、ネットワークの2つの部分(たとえば、インターネットとイントラネットなど)の間に物理的な境界を形成します。ファイアウォールは一方(インターネット)からパケットを受け付け、そのパケットを他方(イントラネット)に送り出します。ファイアウォールはパケットを変更してから渡すことも、そのまま送り出すこともできます。ファイアウォールがパケットを拒否する場合、通常はパケットを廃棄し、パケット廃棄をイベントとして記録します。

セッションが確立され、パケット フローが開始されると、ファイアウォールはそのファイアウォールに設定されているポリシーに従って、フロー内の各パケットをモニタするか、またはモニタしないでフローを流し続けます。

この章の内容は、次のとおりです。

「ファイアウォールのタイプ」

「CSMによるファイアウォールへのトラフィック分散」

「サポート対象のファイアウォール」

「ファイアウォールに対するレイヤ3ロードバランシング」

「ファイアウォール構成タイプ」

「ファイアウォール用IPリバーススティッキ」

「CSMのファイアウォール設定」

「フォールトトレラントなCSMファイアウォール設定」

ファイアウォールのタイプ

ファイアウォールの基本的なタイプは、次のとおりです。

標準ファイアウォール

ステルス ファイアウォール

標準ファイアウォールは、ネットワーク上でその存在が認識されます。装置として宛先になれるように、また、ネットワーク上の他の装置によって認識されるように、IPアドレスが割り当てられます。

ステルス ファイアウォールは、ネットワーク上でその存在が認識されません。したがって、IPアドレスは割り当てられず、宛先になることも、ネットワーク上の他の装置に認識されることもありません。ネットワークにとって、ステルス ファイアウォールは配線の一部です。

どちらのファイアウォール タイプも、(ネットワークの保護された側と保護されていない側の間で)双方向に流れるトラフィックを検証し、ユーザが定義したポリシー セットに基づいて、パケットを受け付けるか、または拒否します。

CSMによるファイアウォールへのトラフィック分散

Content Switching Module(CSM;コンテント スイッチング モジュール)は、サーバ ファーム内に設定されている装置にトラフィックの負荷を分散させます。対象となる装置はサーバ、ファイアウォール、またはエイリアスIPアドレスを含め、IPアドレス指定が可能なあらゆるオブジェクトです。CSMは装置タイプに関係なく、ロードバランス アルゴリズムを使用して、サーバ ファーム内で設定されている装置間でトラフィックをどのように分散させるかを決定します。


) 上位レイヤのロードバランス アルゴリズムとサーバ アプリケーション間の相互作用を考えると、ファイアウォールが含まれるサーバ ファームにレイヤ3ロードバランシングを設定することを推奨します。


サポート対象のファイアウォール

CSMは、標準ファイアウォールまたはステルス ファイアウォールにトラフィックの負荷を分散させることができます。

標準ファイアウォールでは、CSMがサーバにトラフィックを分散させる場合と同様、単一またはペアのCSMが固有のIPアドレスを持つファイアウォール間でトラフィックを分散させます。

ステルス ファイアウォールの場合、CSMはステルス ファイアウォール経由のパスを提供する別のCSM上の、固有のVLAN(仮想LAN)エイリアスIPアドレスを持つインターフェイス間でトラフィックを分散させます。ステルス ファイアウォールは、そのVLAN上を双方向に流れるあらゆるトラフィックがファイアウォールを通過するように設定します。

ファイアウォールに対するレイヤ3ロードバランシング

CSMがトラフィックの負荷をファイアウォールに分散させる場合、CSMはサーバにトラフィックの負荷を分散させる場合と同じ機能を実行します。ファイアウォールに対するレイヤ3ロードバランシングを設定する手順は、次のとおりです。


ステップ 1 ファイアウォールの両側にサーバ ファームを作成します。

ステップ 2 サーバファーム サブモードで、プレディクタの hash address コマンドを入力します。

ステップ 3 ファイアウォール宛のトラフィックを受け付ける仮想サーバに、サーバ ファームを割り当てます。


 


) ファイアウォールに対するレイヤ3ロードバランシングを設定するときには、正方向で送信元
Network Address Translation(NAT;ネットワーク アドレス変換)を、逆方向で宛先NATを使用します。


ファイアウォール構成タイプ

CSMは、2種類のファイアウォール構成をサポートします。

デュアルCSM構成 ― 2つのCSMの間にファイアウォールを配置します。ファイアウォールは一方のCSMからトラフィックを受け付け、他方のCSMに送ってサーバへの負荷分散を図るか、または要求側装置に戻します。

シングルCSM構成 ― ファイアウォールはCSMからトラフィックを受け付け、同じCSMに送り返してサーバへの負荷分散を図るか、または要求側装置にトラフィックを戻します。

ファイアウォール用IPリバーススティッキ

CSMは現在、固定(sticky)接続をサポートしています。固定接続によって、同じクライアントから発信された異なる2つのデータ フローが、同じ宛先にロードバランスされます。

ロードバランスを図る宛先は、実サーバになることがよくあります。ファイアウォール、キャッシュ、またはその他のネットワーキング装置になることもあります。固定接続は、ロードバランス対象のアプリケーションを正しく動作させるために必要です。これらのアプリケーションは、同一クライアントから特定のサーバへの複数の接続を利用します。ある接続で転送された情報が、別の接続で転送された情報の処理を左右する場合があります。

IPスティッキ インサート(sticky intert)機能は、同一クライアントから同一サーバへの新しい接続のバランスを図るために設定します。「ファイアウォール用リバーススティッキの設定」を参照してください。この機能は、FTPデータ チャネル、ストリーミングUDPデータ チャネルなど、バディ(buddy)接続の場合に特に重要です。

CSMのファイアウォール設定

CSMがサポートできるファイアウォール設定は、次のとおりです。

デュアルCSM構成のステルス ファイアウォール(図11-1

デュアルCSM構成の標準ファイアウォール(図11-2

シングルCSM構成の標準ファイアウォール(図11-3

デュアルCSM構成の混在型(ステルスおよび標準)ファイアウォール(図11-4

図11-1では、トラフィックはファイアウォールを通過し、双方向でフィルタリングされます。図は、インターネットからイントラネットへの流れを示しています。イントラネットへの経路では、CSM AがVLAN5、6、および7にトラフィックを分散させ、ファイアウォール経由でCSM Bに送ります。インターネットへの経路では、CSM BがVLAN 15、16、および17にトラフィックを分散させ、ファイアウォール経由でCSM Aに送ります。CSM Aはサーバ ファームでCSM BのVLANエイリアスを使用し、CSM Bはサーバ ファームでCSM AのVLANエイリアスを使用します。

図11-1 ステルス ファイアウォールの設定(デュアルCSM専用)

 

図11-2では、トラフィックはファイアウォールを通過し、双方向でフィルタリングされます。図は、インターネットからイントラネットへの流れを示しています。VLAN 11および111が同じサブネットにあり、VLAN 12および112が同じサブネットにあります。

図11-2 標準ファイアウォールの設定(デュアルCSM)

 

図11-3では、トラフィックはファイアウォールを通過し、双方向でフィルタリングされます。図に示されているのは、インターネットからイントラネットへの流れだけです。VLAN 11および111は同じサブネットにあります。VLAN 12および112は同じサブネットにあります。

図11-3 標準ファイアウォールの設定(シングルCSM)

 

図11-4では、トラフィックは標準ファイアウォールとステルス ファイアウォールの両方を通過し、双方向でフィルタリングされます。図は、インターネットからイントラネットへの流れを示しています。VLAN 5、6、および7はCSM AおよびCSM B間で共有されます。イントラネットへの経路上で、CSM AはVLAN 5、6、および7間でトラフィックを分散させ、ファイアウォール経由でCSM Bに送ります。イントラネットへの経路上で、CSM BはVLAN 5、6、および7間でトラフィックを分散させ、ファイアウォール経由でCSM Aに送ります。

図11-4 ステルスおよび標準ファイアウォールの混在型ファイアウォール設定(デュアルCSM専用)

 

フォールトトレラントなCSMファイアウォール設定

CSMは、次の構成でフォールトトレランスをサポートします。

フォールトトレラント デュアルCSM構成のステルス ファイアウォール

フォールトトレラント デュアルCSM構成の標準ファイアウォール

フォールトトレラント シングルCSM構成の標準ファイアウォール

フォールトトレラント デュアルCSM構成の混在型ファイアウォール(ステルスおよび標準)

図11-5では、トラフィックはファイアウォールを通過し、双方向でフィルタリングされます。図に示されているのは、プライマリCSMを通過する、インターネットからイントラネットへの流れだけです。VLAN 11および111は同じサブネットにあります。VLAN 12および112は同じサブネットにあります。

図11-5 フォールトトレラントな標準ファイアウォールの設定(デュアルCSM)

 

ステルス ファイアウォール ロードバランシングの設定

ここでは、ステルス ファイアウォール用にファイアウォール ロードバランシングを設定する方法について説明します。

「ステルス ファイアウォールの設定」

「ステルス ファイアウォールの設定例」

ステルス ファイアウォールの設定

ステルス ファイアウォール設定では、ファイアウォールは2つの異なるVLANに接続し、接続先VLANのIPアドレスを指定して設定します(図11-6を参照)。

図11-6 ステルス ファイアウォールの設定例

 

位置
トラフィックの方向
入口
出口
1

イントラネットへ

VLAN 10

VLAN 101および103

2

イントラネットへ

VLAN 101および103

VLAN 20

3

インターネットへ

VLAN 20

VLAN 102および104

4

インターネットへ

VLAN 101および103

VLAN 10

図11-6では、2つの標準ファイアウォール(ファイアウォール1およびファイアウォール2)が2つのCSM(CSM AおよびCSM B)の間にあります。


) ステルス ファイアウォールはVLAN上にアドレスがありません。


インターネットからイントラネットへの経路上で、トラフィックはファイアウォールの保護されていない側から入り、別個のVLAN(VLAN 101およびVLAN 103)を通過し、ファイアウォールの保護された側から出て別個のVLAN(VLAN 102およびVLAN 104)を通過します。イントラネットからインターネットへの経路では、この流れが逆になります。VLANはインターネット(VLAN 10)およびイントラネット(VLAN 20)への接続も可能にします。

ステルスの設定では、CSM AおよびCSM Bがトラフィックの負荷を分散させてファイアウォールに通します。

ステルス ファイアウォールの設定例

ステルス ファイアウォールの設定例では、2つのCSM(CSM AおよびCSM B)をそれぞれ別個のCatalyst 6500シリーズ スイッチに搭載しています。


) ステルス ファイアウォールの設定では、各CSMをそれぞれ別個のCatalyst 6500シリーズ スイッチに搭載する必要があります。


ここでは、CSM AおよびCSM B用に、ステルス ファイアウォール コンフィギュレーションを作成する手順について説明します。

CSM Aの設定(ステルス ファイアウォールの例)

標準の設定例を作成するには、CSM Aに対して次の作業が必要です。

「スイッチA上でのVLANの作成」

「CSM A上でのVLANの設定」

「CSM A上でのサーバ ファームの設定」

「CSM A上での仮想サーバの設定」


) 設定作業はCSM AでもCSM Bでも同じですが、手順、入力するコマンド、およびパラメータが異なります。


スイッチA上でのVLANの作成

スイッチA上で2つのVLANを作成する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

Switch-A(config)# vlan

VLANモードを開始します1

ステップ 2

Switch-A(vlan)# vlan 10

VLAN 10を作成します2

ステップ 3

Switch-A(vlan)# vlan 101

VLAN 101を作成します3

ステップ 4

Switch-A(vlan)# vlan 103

VLAN 103を作成します4

1.この作業は、CSM Aが搭載されたスイッチのコンソールで行います。

2.VLAN 10はCSM Aをインターネットに接続します。

3.VLAN 101は、ファイアウォール1経由でCSM Bに接続します。

4.VLAN 103は、ファイアウォール2経由でCSM Bに接続します。

CSM A上でのVLANの設定

3つのVLANを設定する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

Switch-A(config)# module csm 5

マルチモジュール コンフィギュレーション モードを開始し、CSM Aがスロット5に搭載されていることを指定します。

ステップ 2

Switch-A(config-module-csm)# vlan 10 client

設定対象のVLANとしてVLAN 10を指定し、クライアントVLANであることを指定し、VLANコンフィギュレーション モードを開始します。

ステップ 3

Switch-A(config-slb-vlan-client)# ip address 10.0.1.35 255.255.255.0

VLAN 10のIPアドレスおよびネットマスクを指定します。

ステップ 4

Switch-A(config-slb-vlan-client)# alias 10.0.1.30 255.255.255.0

VLAN 10用のエイリアスIPアドレスおよびネットマスクを指定します5

ステップ 5

Switch-A(config-slb-vlan-client)# exit

VLANコンフィギュレーション モードに戻ります。

ステップ 6

Switch-A(config-module-csm)# vlan 101 server

設定対象のVLANとしてVLAN 101を指定し、サーバVLANであることを指定し、VLANコンフィギュレーション モードを開始します。

ステップ 7

Switch-A(config-slb-vlan-server)# ip address 10.0.101.35 255.255.255.0

VLAN 101のIPアドレスおよびネットマスクを指定します。

ステップ 8

Switch-A(config-slb-vlan-server)# alias 10.0.101.100 255.255.255.0

VLAN 101用のエイリアスIPアドレスおよびネットマスクを指定します1

ステップ 9

Switch-A(config-slb-vlan-server)# exit

VLANコンフィギュレーション モードに戻ります。

ステップ 10

Switch-A(config-module-csm)# vlan 103 server

設定対象のVLANとしてVLAN 103を指定し、サーバVLANであることを指定し、VLANコンフィギュレーション モードを開始します。

ステップ 11

Switch-A(config-slb-vlan)# ip address 10.0.102.35 255.255.255.0

VLAN 103のIPアドレスおよびネットマスクを指定します。

ステップ 12

Switch-A(config-slb-vlan)# alias 10.0.102.100 255.255.255.0

VLAN 103用のエイリアスIPアドレスおよびネットマスクを指定します1

5.このステップで、ロードバランシングの決定に使用する、CSM Bのターゲットを特定します。

CSM A上でのサーバ ファームの設定


) CSM BのIPアドレスをINSIDE-SFサーバ ファームで実サーバとして指定するので、CSM AはCSM Bへの経路上にある2つのファイアウォール間で負荷を分散させます。


CSM A上で2つのサーバ ファームを設定する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

Switch-A(config)# module csm 5

マルチモジュール コンフィギュレーション モードを開始し、CSM Aがスロット5に搭載されていることを指定します。

ステップ 2

Switch-A(config-module-csm)# serverfarm FORWARD-SF

FORWARD-SF6サーバ ファーム(実際にはフォワーディング ポリシー)を作成して名前を指定し、サーバ ファーム コンフィギュレーション モードを開始します。

ステップ 3

Switch-A(config-slb-sfarm)# no nat server

サーバのIPアドレスおよびポート番号のNATをディセーブルにします7

ステップ 4

Switch-A(config-slb-sfarm)# predictor forward

ロードバランス アルゴリズムではなく、内部ルーティング テーブルに従って、トラフィックを転送します。

ステップ 5

Switch-A(config-slb-sfarm)# exit

マルチモジュール コンフィギュレーション モードに戻ります。

ステップ 6

Switch-A(config-module-csm)# serverfarm TO-INSIDE-SF

(実サーバではなくエイリアスIPアドレスを指定する)INSIDE-SF8サーバ ファームを作成して名前を指定し、サーバ ファーム コンフィギュレーション モードを開始します。

ステップ 7

Switch-A(config-slb-sfarm)# no nat server

サーバのIPアドレスおよびポート番号のNATをディセーブルにします9

ステップ 8

Switch-A(config-slb-sfarm)# predictor hash address source 255.255.255.255

送信元IPアドレスに基づくハッシュ値を使用して、サーバを選択します10

ステップ 9

Switch-A(config-slb-sfarm)# real 10.0.101.200

ファイアウォール1への経路上にある、CSM BのエイリアスIPアドレスを実サーバとして指定し、実サーバ コンフィギュレーション サブモードを開始します。

ステップ 10

Switch-A(config-slb-real)# inservice

ファイアウォールをイネーブルにします。

ステップ 11

Switch-A(config-slb-real)# exit

サーバ ファーム コンフィギュレーション モードに戻ります。

ステップ 12

Switch-A(config-slb-sfarm)# real 10.0.102.200

ファイアウォール2への経路上にある、CSM BのエイリアスIPアドレスを実サーバとして指定し、実サーバ コンフィギュレーション サブモードを開始します。

ステップ 13

Switch-A(config-slb-real)# inservice

ファイアウォールをイネーブルにします。

6.FORWARD-SFは実際には、実サーバ ファームではなく、トラフィックが(VLAN 10経由で)インターネットに到達できるようにする、ルート フォワーディング ポリシーです。実サーバは含まれません。

7.このステップは、実サーバではなくフォワーディング ポリシーからなるサーバ ファームを設定する場合に必要です。

8.INSIDE-SFは、イントラネットからCSM Bにトラフィックが到達できるようにする実サーバとして指定された、CSM Bの2つのエイリアスIPアドレスからなります。

9.このステップは、ファイアウォールが含まれるサーバ ファームを設定する場合に必要です。

10.この作業は、サーバ ファームで保護されない側のファイアウォール インターフェイスを設定する場合に行ってください。

CSM A上での仮想サーバの設定

CSM A上で3つの仮想サーバを設定する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

Switch-A(config)# module csm 5

マルチモジュール コンフィギュレーション モードを開始し、CSM Aがスロット5に搭載されていることを指定します。

ステップ 2

Switch-A(config-module-csm)# vserver FORWARD-V101

設定対象の仮想サーバとしてFORWARD-V10111を指定し、仮想サーバ コンフィギュレーション モードを開始します。

ステップ 3

Switch-A(config-slb-vserver)# virtual 0.0.0.0 0.0.0.0 any

あらゆるIPアドレスおよびあらゆるプロトコルと一致することを指定します12

ステップ 4

Switch-A(config-slb-vserver))# vlan 101

仮想サーバがVLAN 101に届いたトラフィック、すなわちファイアウォールの保護されていない側からのトラフィックだけを受け付けることを指定します。

ステップ 5

Switch-A(config-slb-vserver)# serverfarm FORWARD-SF

この仮想サーバに対応するサーバ ファームを指定します13

ステップ 6

Switch-A(config-slb-vserver)# inservice

仮想サーバをイネーブルにします。

ステップ 7

Switch-A(config-slb-vserver)# exit

マルチモジュール コンフィギュレーション モードに戻ります。

ステップ 8

Switch-A(config-module-csm)# vserver FORWARD-V103

設定対象の仮想サーバとしてFORWARD-V10314を指定し、仮想サーバ コンフィギュレーション モードを開始します。

ステップ 9

Switch-A(config-slb-vserver)# virtual 0.0.0.0 0.0.0.0 any

あらゆるIPアドレスおよびあらゆるプロトコルと一致することを指定します15

ステップ 10

Switch-A(config-slb-vserver))# vlan 103

仮想サーバがVLAN 103に届いたトラフィック、すなわちファイアウォールの保護されていない側からのトラフィックだけを受け付けることを指定します。

ステップ 11

Switch-A(config-slb-vserver)# serverfarm FORWARD-SF

この仮想サーバに対応するサーバ ファームを指定します3

ステップ 12

Switch-A(config-slb-vserver)# inservice

仮想サーバをイネーブルにします。

ステップ 13

Switch-A(config-slb-vserver)# exit

マルチモジュール コンフィギュレーション モードに戻ります。

ステップ 14

Switch-A(config-module-csm)# vserver OUTSIDE-VS

設定対象の仮想サーバとしてOUTSIDE-VS16を指定し、仮想サーバ コンフィギュレーション モードを開始します。

ステップ 15

Switch-A(config-slb-vserver)# virtual 10.1.0.0 255.255.255.0 any

この仮想サーバのIPアドレス、ネットマスク、およびプロトコル(あれば)を指定します。クライアントはこのアドレスによって、この仮想サーバが提供するサーバ ファームに到達します。

ステップ 16

Switch-A(config-slb-vserver))# vlan 10

仮想サーバがVLAN 10に届いたトラフィック、すなわちインターネットからのトラフィックだけを受け付けることを指定します。

ステップ 17

Switch-A(config-slb-vserver)# serverfarm TO-INSIDE-SF

この仮想サーバに対応するサーバ ファームを指定します17

ステップ 18

Switch-A(config-slb-vserver)# inservice

仮想サーバをイネーブルにします。

11.FORWARD-V101は、インターネット トラフィックを(VLAN 101経由で)ファイアウォールの保護されていない側に送ります。

12.クライアントの一致を制限するのは、VLAN制約だけです(ステップ4を参照)。

13.このサーバ ファームは、実サーバからなる実サーバ ファームではなく、実際にはフォワーディング プレディクタです。

14.FORWARD-V103は、インターネット トラフィックを(VLAN 103経由で)ファイアウォールの保護されていない側に送ります。

15.クライアントの常に一致を制限するのは、VLAN制約だけです(ステップ10を参照)。

16.OUTSIDE-VSは、インターネットからのトラフィックを(VLAN 10経由で)CSM Aに送ります。

17.サーバ ファームは、ファイアウォール1およびファイアウォール2の経路上にある、CSM BのエイリアスIPアドレスで構成されます。

CSM Bの設定(ステルス ファイアウォールの例)

標準の設定例を作成するには、CSM Bに対して次の設定作業が必要です。

「スイッチB上でのVLANの作成」

「CSM B上でのVLANの設定」

「CSM B上でのサーバ ファームの設定」

「CSM B上での仮想サーバの設定」


) 設定作業はCSM AでもCSM Bでも同じですが、手順、入力するコマンド、およびパラメータが異なります。


スイッチB上でのVLANの作成

スイッチB上で3つのVLANを作成する手順は、次のとおりです。


) この例では、CSMがそれぞれ別個のCatalyst 6500シリーズ スイッチに搭載されているものとします。同一シャーシに搭載されている場合は、同じCatalyst 6500シリーズ スイッチのコンソールですべてのVLANを作成できます。


 

コマンド
目的

ステップ 1

Switch-B(config)# vlan

VLANモードを開始します18

ステップ 2

Switch-B(vlan)# vlan 102

VLAN 102を作成します19

ステップ 3

Switch-B(vlan)# vlan 104

VLAN 104を作成します20

ステップ 4

Switch-B(vlan)# vlan 200

VLAN 200を作成します21

18.この作業は、CSM Bが搭載されたスイッチのコンソールで行います。

19.VLAN 102は、ファイアウォール1経由でCSM Aに接続します。

20.VLAN 104は、ファイアウォール2経由でCSM Aに接続します。

21.VLAN 200は、内部ネットワークに接続します。

CSM B上でのVLANの設定

3つのVLANを設定する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

Switch-B(config)# module csm 6

マルチモジュール コンフィギュレーション モードを開始し、CSM Bがスロット6に搭載されていることを指定します。

ステップ 2

Switch-B(config-module-csm)# vlan 102 server

設定対象のVLANとしてVLAN 102を指定し、サーバVLANであることを指定し、VLANコンフィギュレーション モードを開始します。

ステップ 3

Switch-B(config-slb-vlan-server)# ip address 10.0.101.36 255.255.255.0

VLAN 102のIPアドレスおよびネットマスクを指定します。

ステップ 4

Switch-B(config-slb-vlan-server)# alias 10.0.101.200 255.255.255.0

VLAN 102用のエイリアスIPアドレスおよびネットマスクを指定します22

ステップ 5

Switch-B(config-slb-vlan-server)# exit

マルチモジュール コンフィギュレーション モードに戻ります。

ステップ 6

Switch-B(config-module-csm)# vlan 104 server

設定対象のVLANとしてVLAN 104を指定し、サーバVLANであることを指定し、VLANコンフィギュレーション モードを開始します。

ステップ 7

Switch-B(config-slb-vlan-server)# ip address 10.0.102.36 255.255.255.0

VLAN 104のIPアドレスおよびネットマスクを指定します。

ステップ 8

Switch-B(config-slb-vlan)# alias 10.0.102.200 255.255.255.0

VLAN 104用のエイリアスIPアドレスおよびネットマスクを指定します1

ステップ 9

Switch-B(config-slb-vlan-server)# exit

マルチモジュール コンフィギュレーション モードに戻ります。

ステップ 10

Switch-B(config-module-csm)# vlan 20 server

設定対象のVLANとしてVLAN 20を指定し、サーバVLANであることを指定し、VLANコンフィギュレーション モードを開始します。

ステップ 11

Switch-B(config-slb-vlan-server)# ip address 10.1.0.36 255.255.255.0

VLAN 20のIPアドレスおよびネットマスクを指定します。

22.このステップで、ロードバランシングの決定に使用する、CSM Aのターゲットを特定します。

CSM B上でのサーバ ファームの設定

CSM B上で3つのサーバ ファームを設定する手順は、次のとおりです。


) SERVERS-SFでは、この例ですでにnatpoolコマンドで作成した、クライアントNATアドレス プールを使用して、クライアントNATを実行することを指定します。コマンドを参照する前に、NATプールを作成する必要があります。


 

コマンド
目的

ステップ 1

Switch-B(config)# module csm 6

マルチモジュール コンフィギュレーション モードを開始し、CSM Bがスロット6に搭載されていることを指定します。

ステップ 2

Switch-B(config-module-csm)# serverfarm FORWARD-SF

FORWARD-SF23サーバ ファーム(実際にはフォワーディング ポリシー)を作成して名前を指定し、サーバ ファーム コンフィギュレーション モードを開始します。

ステップ 3

Switch-B(config-slb-sfarm)# no nat server

サーバのIPアドレスおよびポート番号のNATをディセーブルにします24

ステップ 4

Switch-B(config-slb-sfarm)# predictor forward

ロードバランス アルゴリズムではなく、内部ルーティング テーブルに従って、トラフィックを転送します。

ステップ 5

Switch-B(config-slb-sfarm)# exit

マルチモジュール コンフィギュレーション モードに戻ります。

ステップ 6

Switch-B(config-module-csm)# serverfarm TO-OUTSIDE-SF

GENERIC-SF サーバ ファームを作成して名前を指定し、サーバ ファーム コンフィギュレーション モードを開始します25

ステップ 7

Switch-B(config-slb-sfarm)# no nat server

サーバのIPアドレスおよびポート番号のNATをディセーブルにします26

ステップ 8

Switch-B(config-slb-sfarm)# real 10.0.101.100

ファイアウォール1への経路上にある、CSM AのエイリアスIPアドレスを実サーバとして指定し、実サーバ コンフィギュレーション サブモードを開始します。

ステップ 9

Switch-B(config-slb-real)# inservice

実サーバ(実際にはエイリアスIPアドレス)をイネーブルにします。

ステップ 10

Switch-B(config-slb-real)# exit

サーバ ファーム コンフィギュレーション モードに戻ります。

ステップ 11

Switch-B(config-slb-sfarm)# real 10.0.102.100

ファイアウォール2への経路上にある、CSM BのエイリアスIPアドレスを実サーバとして指定し、実サーバ コンフィギュレーション サブモードを開始します。

ステップ 12

Switch-B(config-slb-real)# inservice

実サーバ(実際にはエイリアスIPアドレス)をイネーブルにします。

ステップ 13

Switch-B(config-slb-real)# exit

サーバ ファーム コンフィギュレーション モードに戻ります。

ステップ 14

Switch-B(config-module-csm)# serverfarm SERVERS-SF

SERVERS-SF27サーバ ファームを作成して名前を指定し、サーバ ファーム コンフィギュレーション モードを開始します。

ステップ 15

Switch-B(config-slb-sfarm)# real 10.1.0.101

イントラネット内のサーバを実サーバとして指定し、IPアドレスを割り当てて、実サーバ コンフィギュレーション サブモードを開始します。

ステップ 16

Switch-B(config-slb-real)# inservice

実サーバをイネーブルにします。

ステップ 17

Switch-B(config-slb-real)# exit

サーバ ファーム コンフィギュレーション モードに戻ります。

ステップ 18

Switch-B(config-slb-sfarm)# real 10.1.0.102

イントラネット内のサーバを実サーバとして指定し、IPアドレスを割り当てて、実サーバ コンフィギュレーション サブモードを開始します。

ステップ 19

Switch-B(config-slb-real)# inservice

実サーバをイネーブルにします。

ステップ 20

Switch-B(config-slb-sfarm)# real 10.1.0.103

イントラネット内のサーバを実サーバとして指定し、IPアドレスを割り当てて、実サーバ コンフィギュレーション サブモードを開始します。

ステップ 21

Switch-B(config-slb-real)# inservice

実サーバをイネーブルにします。

23.FORWARD-SFは実際には、実サーバ ファームではなく、トラフィックが(VLAN 20経由で)イントラネットに到達できるようにする、ルート フォワーディング ポリシーです。実サーバは含まれません。

24.このステップは、実サーバではなくフォワーディング ポリシーからなるサーバ ファームを設定する場合に必要です。

25.OUTSIDE-SFは、イントラネットからCSM Aにトラフィックが到達できるようにする実サーバとして指定された、CSM Aの2つのエイリアスIPアドレスからなります。

26.このステップは、実サーバではなくフォワーディング ポリシーからなるサーバ ファームを設定する場合に必要です。

27.SERVERS-SFは、イントラネット内に配置された実サーバのIPアドレスからなります。

CSM B上での仮想サーバの設定

CSM上で3つの仮想サーバを設定する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

Switch-B(config)# module csm 6

マルチモジュール コンフィギュレーション モードを開始し、CSM Bがスロット6に搭載されていることを指定します。

ステップ 2

Switch-B(config-module-csm)# vserver FORWARD-VS-102

設定対象の仮想サーバとしてFORWARD-VSを指定し、仮想サーバ コンフィギュレーション モードを開始します。

ステップ 3

Switch-B(config-slb-vserver)# virtual 0.0.0.0 0.0.0.0 any

あらゆるIPアドレスおよびあらゆるプロトコルと一致することを指定します28

ステップ 4

Switch-B(config-slb-vserver)# vlan 102

仮想サーバがVLAN 102に届いたトラフィック、すなわちファイアウォール1の保護されている側からのトラフィックだけを受け付けることを指定します。

ステップ 5

Switch-B(config-slb-vserver)# serverfarm FORWARD-SF

この仮想サーバに対応するサーバ ファームを指定します29

ステップ 6

Switch-B(config-slb-vserver)# inservice

仮想サーバをイネーブルにします。

ステップ 7

Switch-B(config-slb-vserver)# exit

マルチモジュール コンフィギュレーション モードに戻ります。

ステップ 8

Switch-B(config-module-csm)# vserver FORWARD-VS-104

設定対象の仮想サーバとしてFORWARD-VS30を指定し、仮想サーバ コンフィギュレーション モードを開始します。

ステップ 9

Switch-B(config-slb-vserver)# virtual 0.0.0.0 0.0.0.0 any

あらゆるIPアドレスおよびあらゆるプロトコルと一致することを指定します1

ステップ 10

Switch-B(config-slb-vserver)# vlan 104

仮想サーバがVLAN 104に届いたトラフィック、すなわちファイアウォール2の保護されている側からのトラフィックだけを受け付けることを指定します。

ステップ 11

Switch-B(config-slb-vserver)# serverfarm FORWARD-SF

この仮想サーバに対応するサーバ ファームを指定します2

ステップ 12

Switch-B(config-slb-vserver)# inservice

仮想サーバをイネーブルにします。

ステップ 13

Switch-B(config-slb-vserver)# exit

マルチモジュール コンフィギュレーション モードに戻ります。

ステップ 14

Switch-B(config-module-csm)# vserver INSIDE-VS

設定対象の仮想サーバとしてINSIDE-VS31を指定し、仮想サーバ コンフィギュレーション モードを開始します。

ステップ 15

Switch-B(config-slb-vserver)# virtual 0.0.0.0 0.0.0.0 any

あらゆるIPアドレスおよびあらゆるプロトコルと一致することを指定します1

ステップ 16

Switch-B(config-slb-vserver)# vlan 20

仮想サーバがVLAN 20に届いたトラフィック、すなわちイントラネットからのトラフィックだけを受け付けることを指定します。

ステップ 17

Switch-B(config-slb-vserver)# serverfarm TO-OUTSIDE-SF

この仮想サーバに対応するサーバ ファーム(実サーバとしてのCSM AのエイリアスIPアドレスからなり、トラフィックをファイアウォール1および2に流す)を指定し、実サーバ コンフィギュレーション サブモードを開始します。

ステップ 18

Switch-B(config-slb-vserver)# inservice

仮想サーバをイネーブルにします。

ステップ 19

Switch-B(config-slb-vserver)# exit

マルチモジュール コンフィギュレーション モードに戻ります。

ステップ 20

Switch-B(config-module-csm)# vserver TELNET-VS

ステップ 21

Switch-B(config-slb-vserver)# virtual 10.1.0.200 255.255.255.0 tcp telnet

この仮想サーバのIPアドレス、ネットマスク、プロトコル(TCP)、およびポート(Telnet)を指定します33

ステップ 22

Switch-B(config-slb-vserver)# serverfarm SERVERS-SF

この仮想サーバに対応する、実サーバからなるサーバ ファームを指定します。

ステップ 23

Switch-B(config-slb-vserver)# inservice

仮想サーバをイネーブルにします。

28.クライアントの一致を制限するのは、VLAN制約だけです。

29.このサーバ ファームは、実サーバからなる実サーバ ファームではなく、実際にはフォワーディング プレディクタです。

30.FORWARD-VSは、インターネットからのトラフィックを(VLAN 20経由で)イントラネットに送ります。

31.INSIDE-VSは、イントラネットからのトラフィックをファイアウォール1経由(VLAN 102および101経由)またはファイアウォール2経由(VLAN 104および103経由)でCSM Aに送ります。

32.TELNET-VSは、インターネットからのトラフィックを内部ネットワーク内のTelnetサーバに送ります。

33.クライアントはこのアドレスによって、この仮想サーバが提供するサーバ ファームに到達します。

標準ファイアウォール ロードバランシングの設定

ここでは、標準ファイアウォール用にファイアウォール ロードバランシングを設定する方法について説明します。

「標準ファイアウォール構成の場合のパケット フロー」

「標準ファイアウォールの設定例」

標準ファイアウォール構成の場合のパケット フロー

標準ファイアウォール設定では、ファイアウォールは2つの異なるVLANに接続し、接続先VLANのIPアドレスを指定して設定します(図11-7を参照)。

図11-7 標準ファイアウォールの設定例

 

アイテム
トラフィックの方向
入口
出口
1

イントラネットへ

VLAN 100

VLAN 101

2

イントラネットへ

VLAN 201

VLAN 200および20

3

インターネットへ

VLAN 200および20

VLAN 201

4

インターネットへ

VLAN 101

VLAN 100

図11-7では、2つの標準ファイアウォール(ファイアウォール1およびファイアウォール2)が2つのCSM(CSM AおよびCSM B)の間にあります。トラフィックは共有VLAN(VLAN 101およびVLAN 201)を介してファイアウォールを出入りします。どちらの標準ファイアウォールも、各共有VLAN上に固有のアドレスを持っています。

VLANはインターネット(VLAN 100)、内部ネットワーク(VLAN 200)、および内部サーバ ファーム(VLAN 20)に接続できるようにします。

CSMは、実サーバの場合と同様、標準ファイアウォール間でトラフィックを分散させます。標準ファイアウォールは、実サーバと同様、IPアドレスを指定してサーバ ファーム内で設定します。標準ファイアウォールが所属するサーバ ファームは、ロードバランス プレディクタが割り当てられ、仮想サーバと関連付けられます。

標準ファイアウォールの設定例

標準ファイアウォールの設定例では、2つのCSM(CSM AおよびCSM B)をそれぞれ別個のCatalyst 6500シリーズ スイッチに搭載しています。


) この例を使用できるのは、同じCatalyst 6500シリーズ スイッチ シャーシに搭載された2つのモジュールを設定する場合です。また、CSM AおよびCSM Bの両方を設定するときに、そのCSMのスロット番号を指定することによって、単一スイッチ シャーシに1つだけ搭載されたCSMを設定する場合にも、この例を使用できます。


CSM Aの設定(標準ファイアウォールの例)

標準の設定例を作成するには、CSM Aに対して次の設定作業が必要です。

「スイッチA上でのVLANの作成」

「CSM A上でのVLANの設定」

「CSM A上でのサーバ ファームの設定」

「CSM A上での仮想サーバの設定」


) 設定作業はCSM AでもCSM Bでも同じですが、手順、入力するコマンド、およびパラメータが異なります。


スイッチA上でのVLANの作成

図11-7に示した例では、スイッチA上でVLANを2つ作成する必要があります。


) この例では、CSMがそれぞれ別個のCatalyst 6500シリーズ スイッチ シャーシに搭載されているものとします。同一シャーシに搭載されている場合は、同じCatalyst 6500シリーズ スイッチのコンソールですべてのVLANを作成できます。


スイッチA上でVLANを作成する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

Switch-A(config)# vlan

VLANモードを開始します34

ステップ 2

Switch-A(vlan)# vlan 100

VLAN 100を作成します35

ステップ 3

Switch-A(vlan)# vlan 101

VLAN 101を作成します36

34.この作業は、CSM Aが搭載されたスイッチのコンソールで行います。

35.VLAN 100はCSM Aをインターネットに接続します。

36.VLAN 101はCSM Aをファイアウォールの保護されていない側に接続します。

CSM A上でのVLANの設定

2つのVLANを設定する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

Switch-A(config)# module csm 5

マルチモジュール コンフィギュレーション モードを開始し、CSM Aがスロット5に搭載されていることを指定します。

ステップ 2

Switch-A(config-module-csm)# vlan 100 client

設定対象のVLANとしてVLAN 100を指定し、クライアントVLANであることを指定し、VLANコンフィギュレーション モードを開始します。

ステップ 3

Switch-A(config-slb-vlan-client)# ip address 100.0.0.25 255.255.255.0

VLAN 100のIPアドレスおよびネットマスクを指定します。

ステップ 4

Switch-A(config-slb-vlan-client)# gateway 100.0.0.13

CSM Aのインターネット側ルータのゲートウェイIPアドレスを設定します。

ステップ 5

Switch-A(config-slb-vlan-client)# exit

マルチモジュール コンフィギュレーション モードに戻ります。

ステップ 6

Switch-A(config-module-csm)# vlan 101 server

設定対象のVLANとしてVLAN 101を指定し、サーバVLANであることを指定し、VLANコンフィギュレーション モードを開始します。

ステップ 7

Switch-A(config-slb-vlan-server)# ip address 100.0.0.25 255.255.255.0

VLAN 101のIPアドレスおよびネットマスクを指定します。

ステップ 8

Switch-A(config-slb-vlan-server)# alias 100.0.0.20 255.255.255.0

VLAN 101用のエイリアスIPアドレスおよびネットマスクを指定します37

37.このステップで、ロードバランシングの決定に使用する、CSM Bのターゲットを特定します。

CSM A上でのサーバ ファームの設定


) ファイアウォール1およびファイアウォール2の保護された側のIPアドレスは、CSM Bと関連付けられたSEC-SFサーバ ファーム内の実サーバとして設定します。


CSM A上で2つのサーバ ファームを設定する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

Switch-A(config)# module csm 5

マルチモジュール コンフィギュレーション モードを開始し、CSM Aがスロット5に搭載されていることを指定します。

ステップ 2

Switch-A(config-module-csm)# serverfarm FORWARD-SF

FORWARD-SF38サーバ ファーム(実際にはフォワーディング ポリシー)を作成して名前を指定し、サーバ ファーム コンフィギュレーション モードを開始します。

ステップ 3

Switch-A(config-slb-sfarm)# no nat server

サーバのIPアドレスおよびポート番号のNATをディセーブルにします39

ステップ 4

Switch-A(config-slb-sfarm)# predictor forward

ロードバランス アルゴリズムではなく、内部ルーティング テーブルに従って、トラフィックを転送します。

ステップ 5

Switch-A(config-slb-sfarm)# exit

マルチモジュール コンフィギュレーション モードに戻ります。

ステップ 6

Switch-A(config-module-csm)# serverfarm INSEC-SF

(実サーバとしてのファイアウォールが含まれる)INSEC-SF40サーバ ファームを作成して名前を指定し、サーバ ファーム コンフィギュレーション モードを開始します。

ステップ 7

Switch-A(config-slb-sfarm)# no nat server

サーバのIPアドレスおよびポート番号のNATをディセーブルにします41

ステップ 8

Switch-A(config-slb-sfarm)# predictor hash address source 255.255.255.255

送信元IPアドレスに基づくハッシュ値を使用して、サーバを選択します42

ステップ 9

Switch-A(config-slb-sfarm)# real 100.0.0.3

ファイアウォール1を実サーバとして設定し、ファイアウォールの保護されない側にIPアドレスを割り当て、実サーバ コンフィギュレーション サブモードを開始します。

ステップ 10

Switch-A(config-slb-real)# inservice

ファイアウォールをイネーブルにします。

ステップ 11

Switch-A(config-slb-real)# exit

サーバ ファーム コンフィギュレーション モードに戻ります。

ステップ 12

Switch-A(config-slb-sfarm)# real 100.0.0.4

ファイアウォール2を実サーバとして設定し、ファイアウォールの保護されない側にIPアドレスを割り当て、実サーバ コンフィギュレーション サブモードを開始します。

ステップ 13

Switch-A(config-slb-real)# inservice

ファイアウォールをイネーブルにします。

38.FORWARD-SFは実際には、実サーバ ファームではなく、トラフィックが(VLAN 100経由で)インターネットに到達できるようにする、ルート フォワーディング ポリシーです。実サーバは含まれません。

39.このステップは、実サーバではなくフォワーディング ポリシーからなるサーバ ファームを設定する場合に必要です。

40.INSEC-SFにはファイアウォール1およびファイアウォール2が含まれます。それぞれの保護されていない側のIPアドレスをこのサーバ ファーム内の実サーバとして設定します。

41.このステップは、ファイアウォールが含まれるサーバ ファームを設定する場合に必要です。

42.この作業は、サーバ ファームで保護されない側のファイアウォール インターフェイスを設定する場合に行ってください。

CSM A上での仮想サーバの設定

CSM A上で2つの仮想サーバを設定する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

Switch-A(config)# module csm 5

マルチモジュール コンフィギュレーション モードを開始し、CSM Aがスロット5に搭載されていることを指定します。

ステップ 2

Switch-A(config-module-csm)# vserver FORWARD-VS

設定対象の仮想サーバとしてFORWARD-VS43を指定し、仮想サーバ コンフィギュレーション モードを開始します。

ステップ 3

Switch-A(config-slb-vserver)# virtual 0.0.0.0 0.0.0.0 any

あらゆるIPアドレスおよびあらゆるプロトコルと一致することを指定します44

ステップ 4

Switch-A(config-slb-vserver))# vlan 101

仮想サーバがVLAN 101に届いたトラフィック、すなわちファイアウォールの保護されていない側からのトラフィックだけを受け付けることを指定します。

ステップ 5

Switch-A(config-slb-vserver)# serverfarm FORWARD-SF

この仮想サーバに対応するサーバ ファームを指定します45

ステップ 6

Switch-A(config-slb-vserver)# inservice

仮想サーバをイネーブルにします。

ステップ 7

Switch-A(config-slb-vserver)# exit

マルチモジュール コンフィギュレーション モードに戻ります。

ステップ 8

Switch-A(config-module-csm)# vserver INSEC-VS

設定対象の仮想サーバとしてINSEC-VS46を指定し、仮想サーバ コンフィギュレーション モードを開始します。

ステップ 9

Switch-A(config-slb-vserver)# virtual 200.0.0.0 255.255.255.0 any

この仮想サーバのIPアドレス、ネットマスク、およびプロトコル(あれば)を指定します47

ステップ 10

Switch-A(config-slb-vserver))# vlan 100

仮想サーバがVLAN 100に届いたトラフィック、すなわちインターネットからのトラフィックだけを受け付けることを指定します。

ステップ 11

Switch-A(config-slb-vserver)# serverfarm INSEC-SF

この仮想サーバに対応するサーバ ファームを指定します48

ステップ 12

Switch-A(config-slb-vserver)# inservice

仮想サーバをイネーブルにします。

43.FORWARD-VSは、インターネット トラフィックを(VLAN 101経由で)ファイアウォールの保護されていない側に送ります。

44.クライアントの一致を制限するのは、VLAN制約だけです(ステップ4を参照)。

45.このサーバ ファームは、実サーバからなる実サーバ ファームではなく、実際にはフォワーディング プレディクタです。

46.INSEC-VSは、インターネットからのトラフィックを(VLAN 101経由で)CSM Aに送ります。

47.クライアントはこのアドレスによって、この仮想サーバが提供するサーバ ファームに到達します。

48.サーバ ファームは実サーバではなくファイアウォールからなります。

CSM Bの設定(標準ファイアウォールの例)

標準の設定例を作成するには、CSM Bに対して次の設定作業が必要です。

「スイッチB上でのVLANの作成」

「CSM B上でのVLANの設定」

「CSM B上でのサーバ ファームの設定」

「CSM B上での仮想サーバの設定」


) 設定作業はCSM AでもCSM Bでも同じですが、手順、入力するコマンド、およびパラメータが異なります。


スイッチB上でのVLANの作成


) この例では、CSMがそれぞれ別個のCatalyst 6500シリーズ スイッチ シャーシに搭載されているものとします。同一シャーシに搭載されている場合は、同じCatalyst 6500シリーズ スイッチのコンソールですべてのVLANを作成できます。


スイッチB上で3つのVLANを作成する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

Switch-B(config)# vlan

VLANモードを開始します49

ステップ 2

Switch-B(vlan)# vlan 201

VLAN 201を作成します50

ステップ 3

Switch-B(vlan)# vlan 200

VLAN 200を作成します51

ステップ 4

Switch-B(vlan)# vlan 20

VLAN 20を作成します52

49.この作業は、CSM Bが搭載されたスイッチのコンソールで行います。

50.VLAN 201はファイアウォールの保護されている側に接続します。

51.VLAN 200は、内部ネットワークに接続します。

52.VLAN 20は、内部サーバ ファームに接続します。

CSM B上でのVLANの設定

CSM B上で3つのVLANを設定する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

Switch-B(config)# module csm 6

マルチモジュール コンフィギュレーション モードを開始し、CSM Bがスロット6に搭載されていることを指定します。

ステップ 2

Switch-B(config-module-csm)# vlan 201 server

設定対象のVLANとしてVLAN 201を指定し、サーバVLANであることを指定し、VLANコンフィギュレーション モードを開始します。

ステップ 3

Switch-B(config-slb-vlan-server)# ip address 200.0.0.26 255.255.255.0

VLAN 201のIPアドレスおよびネットマスクを指定します。

ステップ 4

Switch-B(config-slb-vlan-server)# alias 200.0.0.20 255.255.255.0

VLAN 201用のエイリアスIPアドレスおよびネットマスクを指定します53

ステップ 5

Switch-B(config-slb-vlan-server)# exit

VLANコンフィギュレーション モードに戻ります。

ステップ 6

Switch-B(config-module-csm)# vlan 20 server

設定対象のVLANとしてVLAN 20を指定し、サーバVLANであることを指定し、VLANコンフィギュレーション モードを開始します。

ステップ 7

Switch-B(config-slb-vlan-server)# ip address 10.1.0.26 255.255.255.0

VLAN 20のIPアドレスおよびネットマスクを指定します。

ステップ 8

Switch-B(config-slb-vlan-server)# exit

VLANコンフィギュレーション モードに戻ります。

ステップ 9

Switch-B(config-module-csm)# vlan 200 client

設定対象のVLANとしてVLAN 200を指定し、クライアントVLANであることを指定し、VLANコンフィギュレーション モードを開始します。

ステップ 10

Switch-B(config-slb-vlan)# ip address 200.0.0.26 255.255.255.0

VLAN 200のIPアドレスおよびネットマスクを指定します。

53.このステップで、ロードバランシングの決定に使用する、CSM Aのターゲットを特定します。

CSM B上でのサーバ ファームの設定


) ファイアウォール1およびファイアウォール2の保護された側のIPアドレスは、CSM Aと関連付けられたINSEC-SFサーバ ファーム内の実サーバとして設定します。


CSM B上で2つのサーバ ファームを設定する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

Switch-B(config)# module csm 6

マルチモジュール コンフィギュレーション モードを開始し、CSM Bがスロット6に搭載されていることを指定します。

ステップ 2

Switch-B(config-module-csm)# serverfarm GENERIC-SF

GENERIC-SF54 サーバ ファームを作成して名前を指定し、サーバ ファーム コンフィギュレーション モードを開始します。

ステップ 3

Switch-B(config-slb-sfarm)# real 10.1.0.101

内部サーバ ファームのサーバを実サーバとして指定し、IPアドレスを割り当てて、実サーバ コンフィギュレーション サブモードを開始します。

ステップ 4

Switch-B(config-slb-real)# inservice

実サーバをイネーブルにします。

ステップ 5

Switch-B(config-slb-real)# exit

サーバ ファーム コンフィギュレーション モードに戻ります。

ステップ 6

Switch-B(config-slb-sfarm)# real 10.1.0.102

内部サーバ ファームのサーバを実サーバとして指定し、IPアドレスを割り当てて、実サーバ コンフィギュレーション サブモードを開始します。

ステップ 7

Switch-B(config-slb-real)# inservice

実サーバをイネーブルにします。

ステップ 8

Switch-B(config-slb-real)# exit

サーバ ファーム コンフィギュレーション モードに戻ります。

ステップ 9

Switch-B(config-slb-sfarm)# exit

マルチモジュール コンフィギュレーション モードに戻ります。

ステップ 10

Switch-B(config-module-csm)# serverfarm SEC-SF

SEC-SF55サーバ ファームを作成して名前を指定し、サーバ ファーム コンフィギュレーション モードを開始します。

ステップ 11

Switch-B(config-slb-sfarm)# no nat server

サーバのIPアドレスおよびポート番号のNATをディセーブルにします56

ステップ 12

Switch-B(config-slb-sfarm)# predictor hash address destination 255.255.255.255

宛先IPアドレスに基づくハッシュ値を使用して、サーバを選択します57

ステップ 13

Switch-B(config-slb-sfarm)# real 200.0.0.3

ファイアウォール1を実サーバとして設定し、ファイアウォールの保護されない側にIPアドレスを割り当て、実サーバ コンフィギュレーション サブモードを開始します。

ステップ 14

Switch-B(config-slb-real)# inservice

ファイアウォールをイネーブルにします。

ステップ 15

Switch-B(config-slb-real)# exit

サーバ ファーム コンフィギュレーション モードに戻ります。

ステップ 16

Switch-B(config-slb-sfarm)# real 200.0.0.4

ファイアウォール2を実サーバとして設定し、ファイアウォールの保護されない側にIPアドレスを割り当て、実サーバ コンフィギュレーション サブモードを開始します。

ステップ 17

Switch-B(config-slb-real)# inservice

ファイアウォールをイネーブルにします。

54.GENERIC-SFは、内部サーバ ファーム内の実サーバからなります。

55.SEC-SFにはファイアウォール1およびファイアウォール2が含まれます。それぞれの保護される側のIPアドレスをこのサーバ ファーム内の実サーバとして設定します。

56.このステップは、ファイアウォールが含まれるサーバ ファームを設定する場合に必要です。

57.この作業は、サーバ ファームで保護されない側のファイアウォール インターフェイスを設定する場合に行ってください。

CSM B上での仮想サーバの設定

CSM B上で3つの仮想サーバを設定する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

Switch-B(config)# module csm 6

マルチモジュール コンフィギュレーション モードを開始し、CSM Bがスロット6に搭載されていることを指定します。

ステップ 2

Switch-B(config-module-csm)# vserver GENERIC-VS

設定対象の仮想サーバとしてGENERIC-VS58を指定し、仮想サーバ コンフィギュレーション モードを開始します。

ステップ 3

Switch-B(config-slb-vserver)# virtual 200.0.0.127 tcp 0

この仮想サーバのIPアドレス、プロトコル(TCP)、およびポート(0=any)を指定します59

ステップ 4

Switch-B(config-slb-vserver))# vlan 201

仮想サーバがVLAN 201に届いたトラフィック、すなわちファイアウォールの保護されている側からのトラフィックだけを受け付けることを指定します。

ステップ 5

Switch-B(config-slb-vserver)# serverfarm GENERIC-SF

この仮想サーバに対応するサーバ ファームを指定します60

ステップ 6

Switch-B(config-slb-vserver)# inservice

仮想サーバをイネーブルにします。

ステップ 7

Switch-B(config-slb-vserver)# exit

マルチモジュール コンフィギュレーション モードに戻ります。

ステップ 8

Switch-B(config-module-csm)# vserver SEC-20-VS

設定対象の仮想サーバとしてSEC-20-VS61を指定し、仮想サーバ コンフィギュレーション モードを開始します。

ステップ 9

Switch-B(config-slb-vserver)# virtual 200.0.0.0 255.255.255.0 any

この仮想サーバのIPアドレス、ネットマスク、およびプロトコル(あれば)を指定します2

ステップ 10

Switch-B(config-slb-vserver))# vlan 20

仮想サーバがVLAN 20に届いたトラフィック、すなわち内部サーバ ファームからのトラフィックだけを受け付けることを指定します。

ステップ 11

Switch-B(config-slb-vserver)# serverfarm SEC-SF

この仮想サーバに対応するサーバ ファームを指定します62

ステップ 12

Switch-B(config-slb-vserver)# inservice

仮想サーバをイネーブルにします。

ステップ 13

Switch-B(config-slb-vserver)# exit

マルチモジュール コンフィギュレーション モードに戻ります。

ステップ 14

Switch-B(config-module-csm)# vserver SEC-200-VS

設定対象の仮想サーバとしてSEC-20-VS63を指定し、仮想サーバ コンフィギュレーション モードを開始します。

ステップ 15

Switch-B(config-slb-vserver)# virtual 200.0.0.0 255.255.255.0 any

この仮想サーバのIPアドレス、ネットマスク、およびプロトコル(あれば)を指定します2

ステップ 16

Switch-B(config-slb-vserver))# vlan 200

仮想サーバがVLAN 200に届いたトラフィック、すなわち内部ネットワークからのトラフィックだけを受け付けることを指定します。

ステップ 17

Switch-B(config-slb-vserver)# serverfarm SEC-SF

この仮想サーバに対応するサーバ ファームを指定します5

ステップ 18

Switch-B(config-slb-vserver)# inservice

仮想サーバをイネーブルにします。

58.GENERIC-VSによって、インターネットを宛先とする、内部サーバ ファームおよび内部ネットワークからのトラフィックが、ファイアウォールの保護されている側に(VLAN 101経由で)送られます。

59.クライアントはこのアドレスによって、この仮想サーバが提供するサーバ ファームに到達します。

60.サーバ ファームは、内部サーバ ファーム ネットワーク内にあります。

61.SEC-20-VSは、インターネットからのトラフィックを(VLAN 20経由で)内部サーバ ファームに送ります。

62.サーバ ファームは実サーバではなくファイアウォールからなります。

63.SEC-200-VSは、インターネットからのトラフィックを(VLAN 20経由で)内部ネットワークに送ります。

ファイアウォール用リバーススティッキの設定

リバーススティッキ機能では、クライアントIPアドレスに基づいたロードバランスの決定に関するデータベースを作成します。この機能によって、データベースにリバーススティッキ エントリがあった場合に、ロードバランスの決定が変更されます。データベースにリバーススティッキ エントリがなかった場合は、ロードバランスの決定が実行され、将来のマッチングのために結果が保存されます。

ファイアウォール用リバーススティッキの概要

リバーススティッキは、接続を反対方向からのものとみなして、スティッキ データベースにエントリを追加する1つの方法を提供します。リバーススティッキが行われた仮想サーバは、着信実サーバが含まれている指定のデータベースにエントリを追加します。


) 着信実サーバは、サーバ ファーム内の実サーバでなければなりません。


このエントリは、別の仮想サーバ上のstickyコマンドによってマッチングされます。他方の仮想サーバは、前もって作成されたこのエントリに基づいて、クライアントにトラフィックを送ります。

CSMは、送信元IPキーから実サーバへのリンクとして、リバーススティッキ情報を保存します。ロードバランサがスティッキ データベースの割り当てられた仮想サーバと新しくセッションを開始するときには、最初にデータベースにエントリがすでにあるかどうかを確認します。一致するエントリがあった場合、セッションは指定された実サーバに接続されます。それ以外の場合は、スティッキ キーと適切な実サーバを結びつける、新しいエントリが作成されます。図11-8に、ファイアウォールでリバーススティッキ機能をどのように使用するかを示します。

図11-8 ファイアウォール用リバーススティッキ

 

図11-8のリバーススティッキ プロセスは、次のとおりです。

クライアントは、ロードバランス対象のファイアウォールを通過して、CSM仮想サーバであるVS1に接続します。このロードバランスの決定は、CSMと対話しないで行われます。

サーバ1は最初のクライアントに戻る接続を作成します。この接続は仮想サーバVS2と対応します。VS2は、最初のVS1リバーススティッキによって追加されたスティッキ情報を使用します。したがって、同じファイアウォール1に強制的に接続されます。

別のファイアウォールを通過する第2のクライアントは、同じVS1が接続します。リバーススティッキによって、第2のクライアント用にファイアウォール2を示す新しいエントリがデータベースBに作成されます。VS1もサーバ1に対して通常のスティッキを実行します。

サーバ1はクライアント2に戻る接続を作成します。この接続はVS2の接続と一致します。VS2は、最初のVS1リバーススティッキによって追加されたスティッキ情報を使用します。この接続は、ファイアウォール2への接続に使用されます。

サーバが最初の接続を開始すると、サーバに戻るリンクがVS2によって作成され、通常のロードバランス決定によって一方のファイアウォールへの接続が作成されます。


) この設定では、任意のバランシング メトリックを使用する正方向の接続(クライアントからサーバ)がサポートされます。ただし、サーバが開始したトラフィックへのクライアント応答が適切なファイアウォールに送られるようにするには、VS2からファイアウォールへのバランシング メトリックが未知のロードバランサのメトリックと一致しなければなりません。または、未知のロードバランサが同様に新しいbuddy接続を固定(stick)しなければなりません。


ファイアウォール用リバーススティッキの設定

ファイアウォール ロードバランスのためにIPリバーススティッキを設定する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

SLB-Switch(config)# module csm slot

特定のCSMモジュールにロードバランス コマンドを関連付け、指定したスロットに対してCSMモジュール コンフィギュレーション サブモードを開始します。

ステップ 2

SLB-Switch(config-module-csm)# vserver virtserver-name

仮想サーバを特定し、仮想サーバ コンフィギュレーション サブモードを開始します。

ステップ 3

SLB-Switch(config-slb-vserver)# sticky duration [ group group-id ] [ netmask ip-netmask ] [ source | destination | both ]

スティッキ エントリ キーに使用するIP情報の部分(送信元、宛先、または両方)を定義します。

ステップ 4

SLB-Switch(config-slb-vserver)# reverse-sticky group-id

最初の送信元に戻る反対方向で、CSMが接続を維持するようにします。

ステップ 5

SLB-Switch# show module csm slot sticky

スティッキ データベースを表示します。

ステートフル ファイアウォール接続のリマッピングの設定

ファイアウォールの再割り当て機能を設定するには、Cisco IOSソフトウェアのRelease 12.1(19)EのMSFCイメージが必要です。

ファイアウォールの再割り当てを設定する手順は、次のとおりです。


ステップ 1 ファイアウォール用のサーバファーム サブモードで、次の動作を設定します。

Cat6k-2(config)# serverfarm FW-FARM
failaction reassign
 

ステップ 2 実サーバが失敗した場合(プローブまたはAddress Resolution Protocol[ARP])は、各ファイアウォール用のバックアップ実サーバを割り当てます。

Cat6k-2(config-slb-sfarm)# serverfarm FW-FARM
Cat6k-2(config-slb-sfarm)# real 1.1.1.1
Cat6k(config-slb-module-real)# backup real 2.2.2.2
Cat6k(config-slb-module-real)# inservice
Cat6k-2(config-slb-sfarm)# real 2.2.2.2
Cat6k(config-slb-module-real)# backup real 3.3.3.3
Cat6k(config-slb-module-real)# inservice
Cat6k-2(config-slb-sfarm)# real 3.3.3.3
Cat6k(config-slb-module-real)# backup real 1.1.1.1
Cat6k(config-slb-module-real)# inservice
 

ステップ 3 このサーバファーム用のInternet Control Message Protocol(ICMP)プローブ(ファイアウォールを経由)を設定します。

ステップ 4 ファイアウォールの外側および内側にCSM用ICMPプローブを設定します。

バックアップ実サーバが、同じ順序でCSMの両側に設定されていることを確認します。

接続の宛先または負荷分散先が失敗したプライマリ サーバの場合、実サーバに割り当てられた稼働中のスタンバイ オプションにより、このサーバが接続のみを受信するよう指定されます。real 2.2.2.2として指定された実サーバを稼働中のスタンバイで設定する場合、すべての接続はreal 1.1.1.1またはreal 3.3.3.3として指定された実サーバのいずれかに達します。実サーバreal 1.1.1.1が失敗した場合は、実サーバreal 1.1.1.1の代わりにreal 2.2.2.2として指定された実サーバがアクティブになります。