Cервисы организации сетевого доступа к приложениям : Коммутаторы контент-сервисов Cisco серии CSS 11500

Настройка балансировки нагрузки брандмауэра на CSS 11000

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


/images/flash.gif Данный документ содержит flash-анимацию


Содержание


Введение

Распределение нагрузки от межсетевого экрана позволяет внедрить на всем межсетевом экране избыточность. При этом используется пара из внешнего и внутреннего коммутаторов служб контента Cisco CSS 11000, которые связываются со своим одноранговым узлом через соединение VRRP. Коммутатора вовне взаимодействуют через межсетевой экран с внутренними коммутаторами, чтобы получить сведения о пути. Коммутаторы могут обеспечивать информацию о потоке через матрицу.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Cisco коммутаторы контент-сервиса серии 11000

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Технические рекомендации Cisco. Условные обозначения.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Схема сети

Рисунок ниже показов конфигурация примера сети.

fw_load_balancing1.gif

/images/flash.gif Обратитесь к анимации пакетов в движении видеть пример обычных, распределенных нагрузку структур трафика, которые происходят, когда все устройства должным образом работают с конфигурациями, показанными ниже.

Описание

Межсетевые экраны должны быть настроены для прохождения пакетов Протокола ICMP между CSSes. Если ссылка выключается, путь с избыточным резервом включает.

Конфигурации

В рамках конфигурации межсетевого экрана нужно конфигурировать и локальный и удаленный CSS с тождественным номером firewall.

Конфигурация ExternalPrimary
!*************************** GLOBAL ***************************

!--- Enable switch redundancy.

  ip redundancy

!--- Define Firewall Path 1.

  ip firewall 1 192.168.1.2 192.168.1.10 192.168.1.9

!--- Define Firewall Path 2.

  ip firewall 2 192.168.1.3 192.168.1.11 192.168.1.9

!--- Tie routes to the firewall paths
!--- serving as the destination.

  ip route 192.168.1.8 255.255.255.248 firewall 1 1
  ip route 192.168.1.8 255.255.255.248 firewall 2 1
  ip route 192.168.1.16 255.255.255.248 firewall 1 1
  ip route 192.168.1.16 255.255.255.248 firewall 2 1

!************************* INTERFACE *************************
interface ethernet-2
  bridge vlan 2 
interface ethernet-3
  bridge vlan 2 
interface ethernet-12
  bridge vlan 3 

!************************** CIRCUIT **************************
circuit VLAN1

!--- Enable redundancy on the outside of the switch.

  redundancy
  ip address 192.168.1.25 255.255.255.248 
circuit VLAN2

!--- Enable redundancy on the inside of the switch.

  redundancy
  ip address 192.168.1.1 255.255.255.248 
circuit VLAN3

!--- Enable redundancy protocol between switches.

  redundancy-protocol
  ip address 10.0.0.2 255.255.255.252

Конфигурация InternalMaster
!*************************** GLOBAL ***************************

!--- Enable switch redundancy.

  ip redundancy

!--- Same paths as before, but now from the perspective
!--- of the inside switch.

  ip firewall 1 192.168.1.10 192.168.1.2 192.168.1.1
  ip firewall 2 192.168.1.11 192.168.1.3 192.168.1.1
  ip route 0.0.0.0 0.0.0.0 firewall 1 1
  ip route 0.0.0.0 0.0.0.0 firewall 2 1

!************************* INTERFACE *************************
interface ethernet-1
  bridge vlan 2 
interface ethernet-2
  bridge vlan 2 
interface ethernet-12
  bridge vlan 3 

!************************** CIRCUIT **************************
circuit VLAN1
  redundancy 
  ip address 192.168.1.17 255.255.255.248 
circuit VLAN2
  redundancy 
  ip address 192.168.1.9 255.255.255.248 
circuit VLAN3
  redundancy-protocol 
  ip address 10.0.0.2 255.255.255.252 

!************************** SERVICE **************************
service Server1
  ip address 192.168.1.200
  active
service Server2
  ip address 192.168.1.201
  active

!*************************** OWNER ***************************
owner foo.com
  content L3_Basic
    vip address 192.168.1.100
    add service Server1
    add service Server2
    active

Конфигурация ExternalBackup
!*************************** GLOBAL ***************************
  ip redundancy 
  ip firewall 1 192.168.1.2 192.168.1.10 192.168.1.9 
  ip firewall 2 192.168.1.3 192.168.1.11 192.168.1.9 
  ip route 192.168.1.8 255.255.255.248 firewall 1 1 
  ip route 192.168.1.8 255.255.255.248 firewall 2 1 
  ip route 192.168.1.16 255.255.255.248 firewall 1 1 
  ip route 192.168.1.16 255.255.255.248 firewall 2 1 

!************************* INTERFACE *************************
interface ethernet-1
  bridge vlan 2 
interface ethernet-2
  bridge vlan 2 
interface ethernet-12
  bridge vlan 3 

!************************** CIRCUIT **************************
circuit VLAN1
  redundancy 
  ip address 192.168.1.25 255.255.255.248 
circuit VLAN2
  redundancy 
  ip address 192.168.1.1 255.255.255.248 
circuit VLAN3
  redundancy-protocol

!--- The one difference.

  ip address 10.0.0.1 255.255.255.252

Конфигурация InternalBackup
!*************************** GLOBAL ***************************
  ip redundancy 
  ip firewall 1 192.168.1.10 192.168.1.2 192.168.1.1 
  ip firewall 2 192.168.1.11 192.168.1.3 192.168.1.1 
  ip route 0.0.0.0 0.0.0.0 firewall 1 1 
  ip route 0.0.0.0 0.0.0.0 firewall 2 1 

!************************* INTERFACE *************************
interface ethernet-1
  bridge vlan 2 
interface ethernet-2
  bridge vlan 2 
interface ethernet-12
  bridge vlan 3 

!************************** CIRCUIT **************************
circuit VLAN1
  redundancy 
  ip address 192.168.1.17 255.255.255.248 
circuit VLAN2
  redundancy 
  ip address 192.168.1.9 255.255.255.248 
circuit VLAN3
  redundancy-protocol 

!--- The one difference.

  ip address 10.0.0.1 255.255.255.252

!************************** SERVICE **************************
service Server1
  ip address 192.168.1.200
  active
service Server2
  ip address 192.168.1.201
  active

!*************************** OWNER ***************************
owner foo.com
  content L3_Basic
    vip address 192.168.1.100
    add service Server1
    add service Server2
    active

Проверка.

Проверить, что конфигурация успешна, части причины сети к аварийному переключению и гарантирует, что может все еще течь трафик.

Примечание: Как только резервный CSS становится включенным, это остается включенным, пока это не отказывает, сохраняя сведения о потоках.

Устранение неполадок

Для этой конфигурации в настоящее время нет сведений об устранении проблем.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 16552