Cервисы организации сетевого доступа к приложениям : Коммутаторы контент-сервисов Cisco серии CSS 11500

Вопросы и ответы по Content Services Switch

23 марта 2008 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Машинный перевод (28 июля 2013) | Английский (19 апреля 2006) | Отзыв

Вопросы

Введение
Где можно найти MIB для CSS?
Каково максимальное число сценариев поддержки активности, поддерживаемых CSS?
Как очистить или удалить файлы ядра?
Где можно найти пояснения к сообщениям журнала?
Есть ли команда, управляющая частотой отправки отчетов о загрузке от одного узла к другому?
Изменяются ли ключи лицензии с переменой версии кода?
Я потерял свой лицензионный ключ. Какие действия следует предпринять?
Сколько времени по умолчанию хранится запись в таблице Sticky-объектов?
Как настроить маску закрепления в памяти, чтобы закрыть запросы от мега-прокси, вроде Америка онлайн (AOL)?
Почему при использовании Secure Socket Layer (SSL) с улучшенным балансом не предоставляется возможность закрепления?
Какой тип шифрования используют протоколы CAPP и APP?
Что означает сообщение gratuitous arp?
Как синхронизировать конфигурации с помощью CSS в режиме обхода отказа?
Какие настройки следует использовать в терминальной программе?
Есть ли способ перепрограммировать MAC-адрес на CSS?
Как изменить приглашение на CSS так, чтобы оно сохранялось постоянно?
В чем заключается отличие между работающей и заблокированной флэш-памятью?
Почему существуют различные версии флэш-памяти?
Почему я не могу попасть на порт управления CSS с удаленного порта?
Поддерживает ли техническая поддержка Cisco сценарии обеспечения активности, написанные пользователем?
Как удалить файлы ядра с диска CSS?
Когда я аутентифицируюсь на сервере RADIUS со своим CSS, я получаю сообщение об ошибке «RADIUS-4: RADIUS Authentication failed with reason code 2». Что это значит?
Насколько велика таблица Sticky-объектов и что вызывает удаление записей в ней?
Как вывести службу из обращения?
Является ли network proximity частью расширенного набора функций?
Какие данные выдает команда show dos?
Можно ли отключить функцию DoS-защиты на линейке коммутаторов CSS?
Можно ли отключить счетчики DoS-защиты?
Как использовать диапазоны портов в списках доступа?
Связанные обсуждения сообщества поддержки Cisco
Дополнительная информация

Введение

В данном документе рассмотрены часто задаваемые вопросы, связанные с Cisco Content Services Switch (CSS).

Дополнительные сведения об условных обозначениях в документах см. в разделе Технические советы Cisco. Условные обозначения.

Вопрос. Где можно найти MIB для CSS?

Ответ. MIB хранятся на самом CSS. CSS можно рассматривать как агент в схеме сети SNMP. Вам остается только настроить параметры SNMP на CSS. Дополнительную информацию см. в документе Настройка протокола SNMP.

Вопрос. Каково максимальное число сценариев поддержки активности, поддерживаемых CSS?

Ответ. CSS поддерживает до 255 сценариев. См. раздел Новые функции ПО версии 5.00 в информации о версии Cisco 11000 Series Content Services Switch.

Вопрос. Как очистить или удалить файлы ядра?

Ответ. Выполните команду clear core. Команда доступна в ПО CSS 5.00 и более поздних версий в режиме отладки. Синтаксис:

css150(debug)#clear core filename CR

Вопрос. Где можно найти пояснения к сообщениям журнала?

Ответ. Сообщения журнала разъясняются в документе Сообщения журнала.

Вопрос. Есть ли команда, управляющая частотой отправки отчетов о загрузке от одного узла к другому?

Ответ. Можно воспользоваться командой dns-peer interval. Кроме того, есть и другие команды – они настраиваются локально и дают более быструю оценку локальной загрузки:

Вопрос. Изменяются ли ключи лицензии с переменой версии кода?

Ответ. Нет, ключи лицензии не меняются.

Вопрос. Я потерял свой лицензионный ключ. Какие действия следует предпринять?

Ответ. Отправьте письмо с серийным номером CSS по адресу licensing@cisco.com. Выходные данные команды version содержат набор функций, а не лицензионный ключ.

Вопрос. Сколько времени по умолчанию хранится запись в таблице Sticky-объектов?

Ответ. Если не использовалась команда sticky-inact-timeout, время по умолчанию не установлено. Таблица Sticky-объектов используется по принципу FIFO (32 000 или 128 000 записей – в зависимости от типа устройства и доступного объема памяти), и хранится до перезагрузки CSS.

Вопрос. Как настроить маску закрепления в памяти, чтобы закрыть запросы от мега-прокси, вроде America Online (AOL)?

Ответ. Если приложение требует закрепить пользователя на протяжении всего сеанса, можно использовать закрепление уровня 3. В этом случае пользователь закрепляется за сервером на основании IP-адреса пользователя. Объем таблицы Sticky-объектов в CSS – 32 000, то есть когда на узле одновременно присутствует более 32 000 пользователей, таблица сворачивается и закрепление с первого пользователя снимается. Однако узел может быть весьма масштабным – на нем может быть более 32 000 пользователей одновременно – или большая часть клиентов может приходить через мега-прокси. В таких случаях стоит использовать другой метод закрепления (например cookie, cookieurl или url) или расширять маску закрепления. Маска закрепления по умолчанию – 255.255.255.255, то есть каждая запись в таблице Sticky-объектов представляет собой отдельный IP-адрес. На некоторых мега-прокси случается, что пользователь в течение одного сеанса использует несколько IP-адресов из некоего диапазона. Это приводит к тому, что часть TCP-соединений закрепляются на одном сервере, из-за чего другие соединения, связанные с той же транзацией, закрепляются на другом. В результате чать элементов из корзины может пропасть. Когда нет возможности использовать более сложные методы закрепления, используйте маску 255.255.240.0, если большая часть ваших клиентов приходит через один из этих мега-прокси.

Вопрос. Почему при использовании Secure Socket Layer (SSL) с улучшенным балансом не предоставляется возможность закрепления?

Ответ. SSL с улучшенным балансом – это то же самое, что и SSL с закреплением.

Вопрос. Какой тип шифрования используют протоколы CAPP и APP?

Ответ. По умолчанию в протоколе CAPP шифрование не используется. Сеанс APP можно настроить так, чтобы использовался алгоритм Message Digest 5 (MD5). Тип шифрования на обоих одноранговых узлах должен совпадать, иначе сеанс APP не будет установлен.

Вопрос. Что означает сообщение gratuitous arp?

Ответ. Если резервный комутатор в течение 3 секунд не обнаруживает пульсацию основного коммутатора, он замещает основной коммутатор и отправляет сообщение gratuitous arp. Оно подтверждает передачу ARP с нового основного коммутатора. В сообщении содержится MAC-адрес коммутатора, являющегося основным в данный момент времени.

Вопрос. Как синхронизировать конфигурации с помощью CSS в режиме переключения при отказе?

Ответ. Для синхронизации конфигураций в ПО версии 4.0 используйте команду commit config sync. В ПО версии 3.10 для переноса конфигурации с одного коммутатора на другой необходимо использовать FTP. В ПО версий 6.x и 7.x синхронизация выполняется при помощи команды commit_redundancy для активного/аварийного резервирования или резервирования между устройствами. Для резервирования виртуальных IP (VIP) и интерфейсов можно использовать команду commit_vip_redundancy. Команду show script commit_redundancy можно использовать для просмотра доступных параметров командной строки для сценария commit_redundancy – они указаны в заголовке сценария. То же самое относится к команде commit_vip_redundancy.

Вопрос. Какие настройки следует использовать в терминальной программе?

Ответ. Используйте следующие настройки:

Вопрос. Есть ли способ перепрограммировать MAC-адрес на CSS?

Ответ. Да, такой способ существует.

Примечание: МАС-адрес и серийный номер указаны на задней стороне устройства.

Для перепрограммирования серийного номера и MAC-адреса выполните следующие действия. Это пример для МАС-адреса в шасси CS800:

  1. Откройте автономный диагностический монитор (ODM).
  2. В основном меню ODM нажмите Shift-T, чтобы перейти в меню инженера.
  3. Выберите пункт 1 (Настройка).
  4. Выберите пункт 5 (Установить информацию производителя).
  5. Выберите пункт 2 (Установить информацию производителя объединительной карты).
  6. Следуя подсказкам, введите соответствующие данные: серийный номер, MAC-адрес. Данные эти можно найти на крышке шасси CS800.
  7. Перезапустите сервер.

Вопрос. Как изменить приглашение на CSS так, чтобы оно сохранялось постоянно?

Ответ. Войдите в систему устройства CSS как пользователь fred и используйте собственные данные для входа. Чтобы изменить приглашение, выполните следующую команду:

Css100#prompt Redsox 
<cr> 
Redsox#

Чтобы сохранить изменения, выполните следующую команду:

Redsox#save_profile

Эта команда сохраняет профиль пользователя. Теперь при каждом входе пользователя в систему CSS будет использовать одно и то же приглашение. При этом – как при использовании файлов ресурсов ?.? в UNIX – создается уникальный профиль для каждого пользователя.

Когда вы возвращаетесь в CSS и входите в систему под учетной записью администратора, изменений приглашения вы не видите. Изменения действуют только для одного пользователя, то есть команды prompt и save_profile нужно выполнить для каждого пользователя, желающего использовать другое приглашение.

Вопрос. В чем заключается отличие между работающей и заблокированной флэш-памятью?

Ответ. В данном примере показаны различные типы флэш-памяти, которые указаны в выходных данных команды show version:

CSS150-2#show version
Version:               ap0401049s (4.01 Build 49) 
Flash (Locked):        3.10 Build 33

!--- Это тот образ, который был изначально установлен на CSS.
!--- Он используется в качестве резервного, когда CSS не удается
!--- загрузиться из работающей флэш-памяти из-за повреждения образа.

Flash (Operational):   5.00 Build 10-

!--- Это образ, который в данный момент запущен на CSS.
 
Тип:                  PRIMARY
Licensed Cmd Set(s):   Standard Feature Set 
                                      Enhanced Feature Set 
                                      SSH Server 

Вопрос. Почему существуют различные версии флэш-памяти?

Ответ. Заблокированная флэш-память отражает ту версию программного обеспечения, которая была изначально установлена на CSS. Эта версия не изменяется, она используется только в качестве резервной. Версия, хранящаяся в работающей флэш-памяти – это версия, которая в данный момент запущена на CSS.

Вопрос. Почему я не могу попасть на порт управления CSS с удаленного порта?

Ответ. В Cisco WebNS до версии 5.03 порт управления не являлся маршрутизируемым интерфейсом. В версии 5.03 он может быть маршрутизируемым: для этого нужно добавить к порту управления шлюз по умолчанию.

Вопрос. Поддерживает ли техническая поддержка Cisco сценарии обеспечения активности, написанные пользователем?

Ответ. Нет, служба технической поддержки Cisco не поддерживает пользовательские сценарии обеспечения активности.

Вопрос. Как удалить файлы ядра с диска CSS?

Ответ. Если в выходных данных команды show core перечислены файлы ядра, их можно удалить двумя способами:

Примечание: Выбор способа зависит от версии кода.

или

Вопрос. Когда я аутентифицируюсь на сервере RADIUS со своим CSS, я получаю сообщение об ошибке «RADIUS-4: RADIUS Authentication failed with reason code 2». Что это значит?

Ответ. Это сообщение об ошибке говорит о том, что ответ доставлен на CSS и с ним что-то не так. Причина может состоять в том, что на сервере RADIUS не удалось установить значение administrative для атрибута типа службы. Проверьте сервер RADIUS и атрибуты типа службы.

Вопрос. Насколько велика таблица Sticky-объектов и что вызывает удаление записей в ней?

Ответ. Размер таблицы Sticky-объектов в CSS составляет 32 000 или 128 000 (в зависимости от типа модели и доступного объема памяти). В таблице содержатся записи, соответствующие sticky source-ip и закрепленным SSL. Таблица Sticky-объектов не поддерживает закрепленные cookie на CSS. Записи из таблицы удаляются в следующих случаях:

Дополнительные сведения см. в документе Настройка Sticky-параметров для правил контента.

Вопрос. Как вывести службу из обращения?

Ответ. На основании настройки правила контента (уровень 3, 4 или 5) CSS работает по-другому: можно вручную приостановить службу, при этом сервер предоставлять службу не будет. Очень часто разработчикам веб-приложений приходится временно приостанавливать службы, чтобы вносить в веб-страницы изменения, связанные с администрированием. Поскольку такие изменения могут вноситься в рабочее время, существующие соединения со службой или службами во время ручной приостановки могут быть прерваны, что нежелательно. Обновление служб следует выполнять, когда работа службы приостановлена.

В данном примере показаны правила контента уровня 5, 4 и 3:

owner REDSOX 
    content layer5 
    vip address 200.200.200.200 
    add service test 
    add service  test1  
    add service test2 
    protocol tcp 
    port 80 
    url "/*"      

!--- Это правило уровня 5.

    active 
content layer4 
     vip address 200.200.200.200 
     add service test 
     add service test1 
     add service test2 
     protocol tcp  

!--- Это правило уровня 4.

     port 80   

!--- Это правило уровня 4.
   
     active 
content layer3 
     vip address 200.200.200.200  

!--- Это правило уровня 3.

     add service test 
     add service test1 
     add service test2 
     active 

CSS переадресует существующие соединения при использовании правил уровня 3 и 4. Если происходит приостановка службы при использовании правил уровня 3 или 4, CSS переадресует каждое установленное соединение и перенаправит все последующие TCP-запросы на активную службу согласно соответствующему правилу контента.

При ручной приостановке службы по правилу уровня 5 CSS восстановит соединения, связанные с данной службой.

Вопрос. Является ли network proximity частью расширенного набора функций?

Ответ. Функции network proximity не входят в набор расширенных функций, на них требуется отдельная лицензия. Если попытаться выполнить команду proximity на CSS без соответствующей лицензии, вы получите сообщение об ошибке:

CSS50-1(config)#proximity db 0 tier1 
                             ^ 
%% Invalid License to execute command. 
This command belongs to the Proximity Database.  Refer 
to the user manual or contact Cisco Systems, Inc for 
further information concerning license keys. 

Приобрести лицензию вы можете у официального дилера Cisco в вашем регионе. Если вы приобрели лицензию и вам требуется замена, отправьте письмо по адресу licensing@cisco.com.

Вопрос. Какие данные выдает команда show dos?

Ответ. Cisco CSS может предоставлять сведения о недавно произошедших атаках:

Если происходит несколько атак с одним типом DoS и одинаковыми адресами источника и назначения, CSS пытается объединить их в одно событие. Это сокращает объем отображаемой информации о событиях.

Выполните команду show dos, чтобы получить следующие сведения:

Ниже приведен пример выходных данных команды show dos:

CSS50-1#show dos
Denial of Service Attack Summary: 
Total Attacks: 0 
SYN Attacks:                          0 Maximum per second:                   0 
LAND Attacks:                         0 Maximum per second:                   0 
Zero Port Attacks:                    0 Maximum per second:                   0 
Illegal Src Attacks:                  0 Maximum per second:                   0 
Illegal Dst Attacks:                  0 Maximum per second:                   0 
Smurf Attacks:                        0 Maximum per second:                   0 
  

No attacks detected

В следующем списке приведены краткие описания полей выходных данных команды:

Для обнаружения возможных DoS-атак можно также использовать различные SNMP-ловушки. Ловушки доступны следующие:

Вопрос. Можно ли отключить функцию DoS-защиты на линейке коммутаторов CSS?

Ответ. В имеющейся на данный момент линейке ПО для CSS (Cisco WebNS) DoS-защита не отключается.

Вопрос. Можно ли отключить счетчики DoS-защиты?

Ответ. Счетчики, регистрирующие атаки DoS/SYN, не отключаются.

Примечание: Дополнительные сведения по атакам DoS и SYN см. в ответе на вопрос Какие данные выдает команда show dos?.

Вопрос. Как использовать диапазоны портов в списках доступа?

Ответ. Использование диапазонов портов в списках ACL помогает уменьшить число настраиваемых ACL, если нужно блокировать доступ пользователя к нескольким портам TCP/UDP. Допустим, нужно блокировать порты 20 – 23 для всех пользователей из внешней сети. Пусть внешняя сеть или общедоступная сторона CSS находится в сети VLAN 2, а внутренняя или серверная сторона сети находится в сети VLAN 1. ACL настраивается следующим образом:

acl 1 
clause 10 deny any any destination range 20 23  

!--- Эта команда clause блокирует.
 
clause 20 permit any any destination any   

!--- Эта команда clause разрешает все остальное.

apply circuit-(VLAN2) 
acl
clause 10 permit any any destination any 
apply circuit-(VLAN1)

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 25901