Módulos e interfaces de Cisco : Módulo de switching de contenido de Cisco

Equilibrio de carga VPN en el CS en el ejemplo de configuración del modo dirigido

18 Octubre 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Este documento proporciona una configuración de muestra para el Equilibrio de carga VPN en un módulo content switching (CS). El Equilibrio de carga VPN es un mecanismo que distribuye inteligente a las sesiones de VPN a lo largo de un conjunto de los concentradores VPN o de los dispositivos de centro de distribuidor VPN. El Equilibrio de carga VPN se implementa por estas razones:

  • para superar el funcionamiento o las limitaciones de escalabilidad en los dispositivos VPN; por ejemplo, paquetes por segundo, conexiones por segundo, y producción

  • para proporcionar la Redundancia (quite un solo punto de falla)

prerrequisitos

Requisitos

Asegúrese de cumplir estos requisitos antes de intentar esta configuración:

  • Implemente el Reverse Route Injection (RRI) en los dispositivos de centro de distribuidor, para propagar la información de ruteo del spokes automáticamente.

  • Permita al VLA N 61 y 51 para compartir la misma subred.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Cisco Catalyst 6500 con el CS

  • Cisco 2621 Router

  • Cisco 7206

  • Cisco 7206VXR

  • Cisco 7204VXR

  • Cisco 7140

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Configurar

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Utilice la herramienta Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos utilizados en esta sección.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

/image/gif/paws/63390/vpnlb-csm-directed.gif

Configuraciones

En este documento, se utilizan estas configuraciones:

Configuración de CSM

Complete estos pasos:

  1. Implemente el RRI en los dispositivos de centro de distribuidor, para propagar la información de ruteo del spokes automáticamente.

    Nota: Parte del VLA N 61 y del VLA N 51 la misma subred.

  2. Defina el cliente VLAN y el servidor VLAN.

  3. Defina la sonda usada para marcar la salud de los servidores del IPSec.

    
    !--- The CSM is located in slot 4.
    
    module ContentSwitchingModule 4
     vlan 51 client
      ip address 172.21.51.244 255.255.255.240
    !
     vlan 61 server
      ip address 172.21.51.244 255.255.255.240
    !
     probe ICMP_PROBE icmp
      interval 5
      retries 2
    !
  4. Defina el serverfarm con los servidores IPSec reales.

  5. Configure la purgación del failaction, para vaciar las conexiones que pertenecen a los servidores muertos.

  6. Defina la política de cumplimiento.

    
    !--- Serverfarm VPN_IOS and real server members.
    
    serverfarm VPN_IOS
      nat server
      no nat client
    
    !--- Set the behavior of connections when the real servers have failed.
    
      failaction purge
      real 172.21.51.242
       inservice
      real 172.21.51.247
       inservice
      probe ICMP_PROBE
    !
     
    !--- Ensure that connections from the same client match the same server
    !--- load balancing (SLB) policy.
    !--- Use the same real server on subsequent connections; issue the
    !--- sticky command.
    
     sticky 5 netmask 255.255.255.255 timeout 60
    !
    policy VPNIOS
      sticky-group 5
      serverfarm VPN_IOS
    !
    
  7. Defina el vservers, uno por el flujo de tráfico.

    
    !--- Virtual server VPN_IOS_ESP.
    
    vserver VPN_IOS_ESP
    
    
    !--- The virtual server IP address is specified.
    
      virtual 172.21.51.253 50
    
    !--- Persistence rebalance is used for HTTP 1.1, to rebalance the connection
    !--- to a new server using the load balancing policy.
    
      persistent rebalance  
    
    !--- Associate the load balancing policy with the VPNIOS virtual server.
    
      slb-policy VPNIOS
      inservice
    !
     vserver VPN_IOS_IKE
      virtual 172.21.51.253 udp 500
      persistent rebalance
      slb-policy VPNIOS
      inservice
    !

Configuración del router de centro distribuidor - 7206VXR

crypto isakmp policy 10
 authentication pre-share
crypto isakmp key cisco123 address 0.0.0.0
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac
crypto mib ipsec flowmib history tunnel size 200
crypto mib ipsec flowmib history failure size 200
!
crypto dynamic-map mydyn 10
 set transform-set myset
 reverse-route
!
crypto map mymap 10 ipsec-isakmp dynamic mydyn
!
interface FastEthernet0/0
ip address 172.21.51.247 255.255.255.240
crypto map mymap
!
interface FastEthernet2/0
 ip address 10.1.1.6 255.255.255.0

router eigrp 1
 redistribute static
 network 10.0.0.0
 no auto-summary
 no eigrp log-neighbor-changes
!
ip default-gateway 172.21.51.241
ip classless
ip route 0.0.0.0 0.0.0.0 172.21.51.241
no ip http server
!

Configuración del router radial - 7206

crypto isakmp policy 10
 authentication pre-share
crypto isakmp key cisco123 address 172.21.51.253
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac
crypto mib ipsec flowmib history tunnel size 200
crypto mib ipsec flowmib history failure size 200
!
crypto map mymap 10 ipsec-isakmp
 set peer 172.21.51.253
 set transform-set myset
 match address 101
!
interface Loopback0
 ip address 10.3.3.3 255.255.255.0
!
interface Ethernet0/0
 ip address 172.21.51.250 255.255.255.240
 duplex auto
 crypto map mymap
!
ip classless
ip route 0.0.0.0 0.0.0.0 172.21.51.241
no ip http server
!
access-list 101 permit ip 10.3.3.0 0.0.0.255 10.1.1.0 0.0.0.255
!

Verificación

Use esta sección para confirmar que su configuración funciona correctamente.

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

  • Publique el comando show module csm all o show module contentSwitchingModule all; los comandos both generan la misma información.

    El comando show module contentSwitchingModule all vservers muestra la información del servidor virtual SLB.

    Cat6506-1-Native# show module contentSwitchingModule all vservers
    
    ---------------------- CSM in slot 4 ----------------------
    
    slb vserver      prot     virtual              vlan    state       conns
    ---------------------------------------------------------------------------
    VPN_IOS_ESP      50     172.21.51.253/32:0      ALL   OPERATIONAL   2
    VPN_IOS_IKE      UDP   172.21.51.253/32:500     ALL   OPERATIONAL   2

    El comando show module contentSwitchingModule all conns muestra la información de conexión SLB.

    Cat6506-1-Native# show module contentSwitchingModule all conns
    
    ---------------------- CSM in slot 4 ----------------------
    
        prot vlan source                destination           state
    ----------------------------------------------------------------------
    In  UDP  51   172.21.51.250:500     172.21.51.253:500     ESTAB
    Out UDP  61   172.21.51.242:500     172.21.51.250:500     ESTAB
    
    In  50   51   172.21.51.251         172.21.51.253         ESTAB
    Out 50   61   172.21.51.247         172.21.51.251         ESTAB
    
    In  50   51   172.21.51.250         172.21.51.253         ESTAB
    Out 50   61   172.21.51.242         172.21.51.250         ESTAB
    
    In  UDP  51   172.21.51.251:500     172.21.51.253:500     ESTAB
    Out UDP  61   172.21.51.247:500     172.21.51.251:500     ESTAB

    El comando show module contentSwitchingModule all sticky muestra las bases de datos fijas SLB.

    Cat6506-1-Native# show module contentSwitchingModule all sticky
    
    ---------------------- CSM in slot 4 ----------------------
    client IP:    172.21.51.250
    real server:  172.21.51.242
    connections:  0
    group id:     5
    timeout:      38
    sticky type:  netmask 255.255.255.255
    
    client IP:    172.21.51.251
    real server:  172.21.51.247
    connections:  0
    group id:     5
    timeout:      40
    sticky type:  netmask 255.255.255.255
  • Publique el comando show ip route en el router.

    2621VPN# show ip route
    
    !--- Output suppressed.
    
         10.0.0.0/24 is subnetted, 3 subnets
    D EX    10.2.2.0 [170/30720] via 10.1.1.6, 00:13:57, FastEthernet0/0
    D EX    10.3.3.0 [170/30720] via 10.1.1.5, 00:16:15, FastEthernet0/0
    C       10.1.1.0 is directly connected, FastEthernet0/0
    D*EX 0.0.0.0/0 [170/30720] via 10.1.1.5, 00:37:58, FastEthernet0/0
                   [170/30720] via 10.1.1.6, 00:37:58, FastEthernet0/0
    2621VPN#
    
    7206VXR# show ip route
    
    !--- Output suppressed.
    
        172.21.0.0/28 is subnetted, 1 subnets
    C       172.21.51.240 is directly connected, FastEthernet0/0
         10.0.0.0/24 is subnetted, 3 subnets
    S       10.2.2.0 [1/0] via 0.0.0.0, FastEthernet0/0
    D EX    10.3.3.0 [170/30720] via 10.1.1.5, 00:16:45, FastEthernet2/0
    C       10.1.1.0 is directly connected, FastEthernet2/0
    S*   0.0.0.0/0 [1/0] via 172.21.51.241

Troubleshooting

Actualmente, no hay información específica de troubleshooting disponible para esta configuración.

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 63390