Servicios de redes de aplicaciones : Switches de servicios de contenido Cisco CSS de la serie 11500

Configuración del Equilibrio de carga de firewall en el CSS11000

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


/images/flash.gif Este documento contiene animaciones Flash


Contenido


Introducción

El equilibrio de carga de firewall permite redundancia a través del firewall. Emplea un par de switches de servicio de contenido 11000 CSS de Cisco internos y externos, los cuales se comunican con su par a través de una conexión del Protocolo de redundancia de router virtual (VRRP). Los switches externos se comunican, a través del firewall, con los switches internos para mantener la información del trayecto. Los switches pueden mantener información de flujo a través de la matriz.

prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Content Service Switches de las Cisco 11000 Series

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Para obtener más información sobre las convenciones del documento, consulte Convenciones de Consejos Técnicos de Cisco.

Configurar

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Diagrama de la red

El gráfico abajo muestra una configuración de red de muestra.

fw_load_balancing1.gif

/images/flash.gif Refiera a la animación de los paquetes en el movimiento para ver un ejemplo del normal, los patrones de tráfico de la carga balanceada que ocurren cuando todos los dispositivos están actuando correctamente con las configuraciones mostradas abajo.

Descripción

Los Firewall se deben configurar para pasar los paquetes del Internet Control Message Protocol (ICMP) entre el CSSes. Si va un link abajo, los permisos del trayecto redundante.

Configuraciones

En la configuración de este firewall debe configurar los CSS locales y remotos con el mismo número de índice de firewall.

Configuración externa principal
!*************************** GLOBAL ***************************

!--- Enable switch redundancy.

  ip redundancy

!--- Define Firewall Path 1.

  ip firewall 1 192.168.1.2 192.168.1.10 192.168.1.9

!--- Define Firewall Path 2.

  ip firewall 2 192.168.1.3 192.168.1.11 192.168.1.9

!--- Tie routes to the firewall paths
!--- serving as the destination.

  ip route 192.168.1.8 255.255.255.248 firewall 1 1
  ip route 192.168.1.8 255.255.255.248 firewall 2 1
  ip route 192.168.1.16 255.255.255.248 firewall 1 1
  ip route 192.168.1.16 255.255.255.248 firewall 2 1

!************************* INTERFACE *************************
interface ethernet-2
  bridge vlan 2 
interface ethernet-3
  bridge vlan 2 
interface ethernet-12
  bridge vlan 3 

!************************** CIRCUIT **************************
circuit VLAN1

!--- Enable redundancy on the outside of the switch.

  redundancy
  ip address 192.168.1.25 255.255.255.248 
circuit VLAN2

!--- Enable redundancy on the inside of the switch.

  redundancy
  ip address 192.168.1.1 255.255.255.248 
circuit VLAN3

!--- Enable redundancy protocol between switches.

  redundancy-protocol
  ip address 10.0.0.2 255.255.255.252

Configuración de InternalMaster
!*************************** GLOBAL ***************************

!--- Enable switch redundancy.

  ip redundancy

!--- Same paths as before, but now from the perspective
!--- of the inside switch.

  ip firewall 1 192.168.1.10 192.168.1.2 192.168.1.1
  ip firewall 2 192.168.1.11 192.168.1.3 192.168.1.1
  ip route 0.0.0.0 0.0.0.0 firewall 1 1
  ip route 0.0.0.0 0.0.0.0 firewall 2 1

!************************* INTERFACE *************************
interface ethernet-1
  bridge vlan 2 
interface ethernet-2
  bridge vlan 2 
interface ethernet-12
  bridge vlan 3 

!************************** CIRCUIT **************************
circuit VLAN1
  redundancy 
  ip address 192.168.1.17 255.255.255.248 
circuit VLAN2
  redundancy 
  ip address 192.168.1.9 255.255.255.248 
circuit VLAN3
  redundancy-protocol 
  ip address 10.0.0.2 255.255.255.252 

!************************** SERVICE **************************
service Server1
  ip address 192.168.1.200
  active
service Server2
  ip address 192.168.1.201
  active

!*************************** OWNER ***************************
owner foo.com
  content L3_Basic
    vip address 192.168.1.100
    add service Server1
    add service Server2
    active

Configuración de ExternalBackup
!*************************** GLOBAL ***************************
  ip redundancy 
  ip firewall 1 192.168.1.2 192.168.1.10 192.168.1.9 
  ip firewall 2 192.168.1.3 192.168.1.11 192.168.1.9 
  ip route 192.168.1.8 255.255.255.248 firewall 1 1 
  ip route 192.168.1.8 255.255.255.248 firewall 2 1 
  ip route 192.168.1.16 255.255.255.248 firewall 1 1 
  ip route 192.168.1.16 255.255.255.248 firewall 2 1 

!************************* INTERFACE *************************
interface ethernet-1
  bridge vlan 2 
interface ethernet-2
  bridge vlan 2 
interface ethernet-12
  bridge vlan 3 

!************************** CIRCUIT **************************
circuit VLAN1
  redundancy 
  ip address 192.168.1.25 255.255.255.248 
circuit VLAN2
  redundancy 
  ip address 192.168.1.1 255.255.255.248 
circuit VLAN3
  redundancy-protocol

!--- The one difference.

  ip address 10.0.0.1 255.255.255.252

Configuración de InternalBackup
!*************************** GLOBAL ***************************
  ip redundancy 
  ip firewall 1 192.168.1.10 192.168.1.2 192.168.1.1 
  ip firewall 2 192.168.1.11 192.168.1.3 192.168.1.1 
  ip route 0.0.0.0 0.0.0.0 firewall 1 1 
  ip route 0.0.0.0 0.0.0.0 firewall 2 1 

!************************* INTERFACE *************************
interface ethernet-1
  bridge vlan 2 
interface ethernet-2
  bridge vlan 2 
interface ethernet-12
  bridge vlan 3 

!************************** CIRCUIT **************************
circuit VLAN1
  redundancy 
  ip address 192.168.1.17 255.255.255.248 
circuit VLAN2
  redundancy 
  ip address 192.168.1.9 255.255.255.248 
circuit VLAN3
  redundancy-protocol 

!--- The one difference.

  ip address 10.0.0.1 255.255.255.252

!************************** SERVICE **************************
service Server1
  ip address 192.168.1.200
  active
service Server2
  ip address 192.168.1.201
  active

!*************************** OWNER ***************************
owner foo.com
  content L3_Basic
    vip address 192.168.1.100
    add service Server1
    add service Server2
    active

Verificación

Para verificar que la configuración sea acertada, cause las porciones de la red a la Conmutación por falla y asegúrese de que el tráfico puede todavía fluir.

Nota: Una vez que un respaldo CSS llega a ser habilitado, permanece habilitado hasta que falle, preservando la información de flujo.

Troubleshooting

Actualmente, no hay información específica de troubleshooting disponible para esta configuración.


Información Relacionada


Document ID: 16552