この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、ファイアウォール ロードバランシングの設定方法について説明します。
• 「ステルス ファイアウォール ロードバランシングの設定」
• 「ステートフル ファイアウォール接続のリマッピングの設定」
ファイアウォール ロードバランシングを使用すると、接続単位で複数のファイアウォールにトラフィックを分散させることによって、ファイアウォールの保護を拡張することができます。特定の接続に属すパケットはすべて、同じファイアウォールに送られなければなりません。ファイアウォールが個々のパケットについて、ファイアウォールのインターフェイスを通過することを許可または拒否します。
ファイアウォールは、ネットワークの2つの部分(たとえば、インターネットとイントラネットなど)の間に物理的な境界を形成します。ファイアウォールは一方(インターネット)からパケットを受け付け、そのパケットを他方(イントラネット)に送り出します。ファイアウォールはパケットを変更してから渡すことも、そのまま送り出すこともできます。ファイアウォールがパケットを拒否する場合、通常はパケットを廃棄し、パケット廃棄をイベントとして記録します。
セッションが確立され、パケット フローが開始されると、ファイアウォールはそのファイアウォールに設定されているポリシーに従って、フロー内の各パケットをモニタするか、またはモニタしないでフローを流し続けます。
• 「Content Switching Module with SSL(CSM-S)によるファイアウォールへのトラフィック分散」
• 「フォールトトレラントなCSM-Sファイアウォール設定」
標準ファイアウォールは、ネットワーク上でその存在が認識されます。装置として宛先になれるように、また、ネットワーク上の他の装置によって認識されるように、IPアドレスが割り当てられます。
ステルス ファイアウォールは、ネットワーク上でその存在が認識されません。したがって、IPアドレスは割り当てられず、宛先になることも、ネットワーク上の他の装置に認識されることもありません。ネットワークにとって、ステルス ファイアウォールは配線の一部です。
どちらのファイアウォール タイプも、(ネットワークの保護された側と保護されていない側の間で)双方向に流れるトラフィックを検証し、ユーザが定義したポリシー セットに基づいて、パケットを受け付けるか、または拒否します。
CSM-Sは、サーバ ファーム内に設定されている装置にトラフィックの負荷を分散させます。対象となる装置はサーバ、ファイアウォール、またはエイリアスIPアドレスを含め、IPアドレス指定が可能なあらゆるオブジェクトです。CSM-Sは装置タイプに関係なく、ロードバランス アルゴリズムを使用して、サーバ ファーム内で設定されている装置間でトラフィックをどのように分散させるかを決定します。
(注) 上位レイヤのロードバランス アルゴリズムとサーバ アプリケーション間の相互作用を考えると、ファイアウォールが含まれるサーバ ファームにレイヤ3ロードバランシングを設定することを推奨します。
CSM-Sは、標準ファイアウォールまたはステルス ファイアウォールにトラフィックの負荷を分散させることができます。
標準ファイアウォールでは、CSM-Sがサーバにトラフィックを分散させる場合と同様、単一またはペアのCSM-Sが固有のIPアドレスを持つファイアウォール間でトラフィックを分散させます。
ステルス ファイアウォールの場合、CSM-Sはステルス ファイアウォール経由のパスを提供する別のCSM-S上の、固有のVLAN(仮想LAN)エイリアスIPアドレスを持つインターフェイス間でトラフィックを分散させます。ステルス ファイアウォールは、そのVLAN上を双方向に流れるあらゆるトラフィックがファイアウォールを通過するように設定します。
CSM-Sがトラフィックの負荷をファイアウォールに分散させる場合、CSM-Sはサーバにトラフィックの負荷を分散させる場合と同じ機能を実行します。ファイアウォールに対するレイヤ3ロードバランシングを設定する手順は、次のとおりです。
ステップ 1 ファイアウォールの両側にサーバ ファームを作成します。
ステップ 2 サーバファーム サブモードで、プレディクタの hash address コマンドを入力します。
ステップ 3 ファイアウォール宛のトラフィックを受け付ける仮想サーバに、サーバ ファームを割り当てます。
(注) ファイアウォールに対するレイヤ3ロードバランシングを設定するときには、正方向で送信元
Network Address Translation(NAT;ネットワーク アドレス変換)を、逆方向で宛先NATを使用します。
CSM-Sは、2種類のファイアウォール構成をサポートします。
• デュアルCSM-S構成 ― 2つのCSMモジュールの間にファイアウォールを配置します。ファイアウォールは一方のCSM-Sからトラフィックを受け付け、他方のCSM-Sに送ってサーバへの負荷分散を図るか、または要求側装置に戻します。
• シングルCSM-S構成 ― ファイアウォールはCSM-Sからトラフィックを受け付け、同じCSM-Sに送り返してサーバへの負荷分散を図るか、または要求側装置にトラフィックを戻します。
CSM-Sは現在、固定(sticky)接続をサポートしています。固定接続によって、同じクライアントから発信された異なる2つのデータ フローが、同じ宛先にロードバランスされます。
ロードバランスを図る宛先は、実サーバになることがよくあります。ファイアウォール、キャッシュ、またはその他のネットワーキング装置になることもあります。固定接続は、ロードバランス対象のアプリケーションを正しく動作させるために必要です。これらのアプリケーションは、同一クライアントから特定のサーバへの複数の接続を利用します。ある接続で転送された情報が、別の接続で転送された情報の処理を左右する場合があります。
IPスティッキ インサート(sticky intert)機能は、同一クライアントから同一サーバへの新しい接続のバランスを図るために設定します。「ファイアウォール用リバーススティッキの設定」を参照してください。この機能は、FTP(ファイル転送プロトコル)データ チャネル、ストリーミングUDPデータ チャネルなど、バディ(buddy)接続の場合に特に重要です。
CSM-Sがサポートできるファイアウォール設定は、次のとおりです。
• デュアルCSM-S構成のステルス ファイアウォール(図13-1)
• デュアルCSM-S構成の標準ファイアウォール(図13-2)
• シングルCSM-S構成の標準ファイアウォール(図13-3)
• デュアルCSM-S構成の混在型(ステルスおよび標準)ファイアウォール(図13-4)
図13-1では、トラフィックはファイアウォールを通過し、双方向でフィルタリングされます。図は、インターネットからイントラネットへの流れを示しています。イントラネットへの経路では、CSM-S AがVLAN 5、6、および7にトラフィックを分散させ、ファイアウォール経由でCSM-S Bに送ります。インターネットへの経路では、CSM-S BがVLAN 15、16、および17にトラフィックを分散させ、ファイアウォール経由でCSM-S Aに送ります。CSM-S Aはサーバ ファームでCSM-S BのVLANエイリアスを使用し、CSM-S Bはサーバ ファームでCSM-S AのVLANエイリアスを使用します。
図13-1 ステルス ファイアウォールの設定(デュアルCSM-Sモジュール専用)
図13-2では、トラフィックはファイアウォールを通過し、双方向でフィルタリングされます。図は、インターネットからイントラネットへの流れを示しています。VLAN 11および111が同じサブネットにあり、VLAN 12および112が同じサブネットにあります。
図13-2 標準ファイアウォールの設定(デュアルCSM-Sモジュール)
図13-3では、トラフィックはファイアウォールを通過し、双方向でフィルタリングされます。図に示されているのは、インターネットからイントラネットへの流れだけです。VLAN 11および111は同じサブネットにあります。
VLAN 12および112は同じサブネットにあります。
図13-3 標準ファイアウォールの設定(シングルCSM-S)
図13-4では、トラフィックは標準ファイアウォールとステルス ファイアウォールの両方を通過し、双方向でフィルタリングされます。図は、インターネットからイントラネットへの流れを示しています。VLAN 5、6、および7はCSM-S AおよびCSM-S B間で共有されます。イントラネットへの経路上で、CSM-S AはVLAN 5、6、および7間でトラフィックを分散させ、ファイアウォール経由でCSM-S Bに送ります。イントラネットへの経路上で、CSM-S BはVLAN 5、6、および7間でトラフィックを分散させ、ファイアウォール経由でCSM-S Aに送ります。
図13-4 ステルスおよび標準ファイアウォールの混在型ファイアウォール設定(デュアルCSM-S専用)
CSM-Sは、次の構成でフォールトトレランスをサポートします。
• フォールトトレラント デュアルCSM-S構成のステルス ファイアウォール
• フォールトトレラント デュアルCSM-S構成の標準ファイアウォール
• フォールトトレラント シングルCSM-S構成の標準ファイアウォール
• フォールトトレラント デュアルCSM-S構成の混在型ファイアウォール(ステルスおよび標準)
図13-5では、トラフィックはファイアウォールを通過し、双方向でフィルタリングされます。図に示されているのは、プライマリCSMを通過する、インターネットからイントラネットへの流れだけです。VLAN 11および111は同じサブネットにあります。VLAN 12および112は同じサブネットにあります。
図13-5 フォールトトレラントな標準ファイアウォールの設定(デュアルCSM)
ここでは、ステルス ファイアウォール用にファイアウォール ロードバランシングを設定する方法について説明します。
ステルス ファイアウォール設定では、ファイアウォールは2つの異なるVLANに接続し、接続先VLANのIPアドレスを指定して設定します(図13-6を参照)。
|
|
|
|
---|---|---|---|
|
|||
|
|||
|
|||
|
図13-6では、2つの標準ファイアウォール(ファイアウォール1およびファイアウォール2)が2つのCSMモジュール(CSM-S AおよびCSM-S B)の間にあります。
(注) ステルス ファイアウォールはVLAN上にアドレスがありません。
インターネットからイントラネットへの経路上で、トラフィックはファイアウォールの保護されていない側から入り、別個のVLAN(VLAN 101およびVLAN 103)を通過し、ファイアウォールの保護された側から出て別個のVLAN(VLAN 102およびVLAN 104)を通過します。イントラネットからインターネットへの経路では、この流れが逆になります。VLANはインターネット(VLAN 10)およびイントラネット(VLAN 20)への接続も可能にします。
ステルス ファイアウォールの設定例では、2つのCSM-S(CSM-S AおよびCSM-S B)をそれぞれ別個のCatalyst 6500シリーズ スイッチに搭載しています。
(注) ステルス ファイアウォールの設定では、各CSM-Sをそれぞれ別個のCatalyst 6500シリーズ スイッチに搭載する必要があります。
ここでは、CSM-S AおよびCSM-S B用に、ステルス ファイアウォール コンフィギュレーションを作成する手順について説明します。
標準の設定例を作成するには、CSM-S Aに対して次の作業が必要です。
(注) 設定作業はCSM-S AでもCSM-S Bでも同じですが、手順、入力するコマンド、およびパラメータが異なります。
スイッチA上で2つのVLANを作成する手順は、次のとおりです。
|
|
|
---|---|---|
|
VLANモードを開始します1。 |
|
|
VLAN 10を作成します2。 |
|
|
VLAN 101を作成します3。 |
|
|
VLAN 103を作成します4。 |
1.この作業は、CSM-S Aが搭載されたスイッチのコンソールで行います。 2.VLAN 10は、CSM-S Aをインターネットに接続します。 |
|
|
|
---|---|---|
|
||
|
設定対象のVLANとしてVLAN 10を指定し、クライアントVLANであることを指定し、VLANコンフィギュレーション モードを開始します。 |
|
|
||
|
VLAN 10用のエイリアスIPアドレスおよびネットマスクを指定します5。 |
|
|
||
|
設定対象のVLANとしてVLAN 101を指定し、サーバVLANであることを指定し、VLANコンフィギュレーション モードを開始します。 |
|
|
||
|
VLAN 101用のエイリアスIPアドレスおよびネットマスクを指定します1。 |
|
|
||
|
設定対象のVLANとしてVLAN 103を指定し、サーバVLANであることを指定し、VLANコンフィギュレーション モードを開始します。 |
|
|
||
|
VLAN 103用のエイリアスIPアドレスおよびネットマスクを指定します1。 |
(注) CSM-S BのIPアドレスをINSIDE-SFサーバ ファームで実サーバとして指定するので、CSM-S AはCSM-S Bへの経路上にある2つのファイアウォール間で負荷を分散させます。
CSM-S A上で2つのサーバ ファームを設定する手順は、次のとおりです。
|
|
|
---|---|---|
|
||
|
FORWARD-SF6サーバ ファーム(実際にはフォワーディング ポリシー)を作成して名前を指定し、サーバ ファーム コンフィギュレーション モードを開始します。 |
|
|
サーバのIPアドレスおよびポート番号のNATをディセーブルにします7。 |
|
|
||
|
||
|
(実サーバではなくエイリアスIPアドレスを指定する)INSIDE-SF8サーバ ファームを作成して名前を指定し、サーバ ファーム コンフィギュレーション モードを開始します。 |
|
|
サーバのIPアドレスおよびポート番号のNATをディセーブルにします9。 |
|
|
送信元IPアドレスに基づくハッシュ値を使用して、サーバを選択します10。 |
|
|
ファイアウォール1への経路上にある、CSM-S BのエイリアスIPアドレスを実サーバとして指定し、実サーバ コンフィギュレーション サブモードを開始します。 |
|
|
||
|
||
|
ファイアウォール2への経路上にある、CSM-S BのエイリアスIPアドレスを実サーバとして指定し、実サーバ コンフィギュレーション サブモードを開始します。 |
|
|
CSM-S A上で3つの仮想サーバを設定する手順は、次のとおりです。
|
|
|
---|---|---|
|
||
|
設定対象の仮想サーバとしてFORWARD-V10111を指定し、仮想サーバ コンフィギュレーション モードを開始します。 |
|
|
あらゆるIPアドレスおよびあらゆるプロトコルと一致することを指定します12。 |
|
|
仮想サーバがVLAN 101に届いたトラフィック、すなわちファイアウォールの保護されていない側からのトラフィックだけを受け付けることを指定します。 |
|
|
この仮想サーバに対応するサーバ ファームを指定します13。 |
|
|
||
|
||
|
設定対象の仮想サーバとしてFORWARD-V10314を指定し、仮想サーバ コンフィギュレーション モードを開始します。 |
|
|
あらゆるIPアドレスおよびあらゆるプロトコルと一致することを指定します15。 |
|
|
仮想サーバがVLAN 103に届いたトラフィック、すなわちファイアウォールの保護されていない側からのトラフィックだけを受け付けることを指定します。 |
|
|
この仮想サーバに対応するサーバ ファームを指定します3。 |
|
|
||
|
||
|
設定対象の仮想サーバとしてOUTSIDE-VS16を指定し、仮想サーバ コンフィギュレーション モードを開始します。 |
|
|
この仮想サーバのIPアドレス、ネットマスク、およびプロトコル(あれば)を指定します。クライアントはこのアドレスによって、この仮想サーバが提供するサーバ ファームに到達します。 |
|
|
仮想サーバがVLAN 10に届いたトラフィック、すなわちインターネットからのトラフィックだけを受け付けることを指定します。 |
|
|
この仮想サーバに対応するサーバ ファームを指定します17。 |
|
|
標準の設定例を作成するには、CSM-S Bに対して次の設定作業が必要です。
(注) 設定作業はCSM-S AでもCSM-S Bでも同じですが、手順、入力するコマンド、およびパラメータが異なります。
スイッチB上で3つのVLANを作成する手順は、次のとおりです。
(注) この例では、CSM-Sがそれぞれ別個のCatalyst 6500シリーズ スイッチに搭載されているものとします。同一シャーシに搭載されている場合は、同じCatalyst 6500シリーズ スイッチのコンソールですべてのVLANを作成できます。
|
|
|
---|---|---|
|
VLANモードを開始します18。 |
|
|
VLAN 102を作成します19。 |
|
|
VLAN 104を作成します20。 |
|
|
VLAN 200を作成します21。 |
18.この作業は、CSM-S Bが搭載されたスイッチのコンソールで行います。 19.VLAN 102は、ファイアウォール1経由でCSM-S Aに接続します。 |
|
|
|
---|---|---|
|
||
|
設定対象のVLANとしてVLAN 102を指定し、サーバVLANであることを指定し、VLANコンフィギュレーション モードを開始します。 |
|
|
||
|
VLAN 102用のエイリアスIPアドレスおよびネットマスクを指定します22。 |
|
|
||
|
設定対象のVLANとしてVLAN 104を指定し、サーバVLANであることを指定し、VLANコンフィギュレーション モードを開始します。 |
|
|
||
|
VLAN 104用のエイリアスIPアドレスおよびネットマスクを指定します1。 |
|
|
||
|
設定対象のVLANとしてVLAN 20を指定し、サーバVLANであることを指定し、VLANコンフィギュレーション モードを開始します。 |
|
|
CSM-S B上で3つのサーバ ファームを設定する手順は、次のとおりです。
(注) SERVERS-SFでは、この例ですでにnatpoolコマンドで作成した、クライアントNATアドレス プールを使用して、クライアントNATを実行することを指定します。コマンドを参照する前に、NATプールを作成する必要があります。
|
|
|
---|---|---|
|
||
|
FORWARD-SF23サーバ ファーム(実際にはフォワーディング ポリシー)を作成して名前を指定し、サーバ ファーム コンフィギュレーション モードを開始します。 |
|
|
サーバのIPアドレスおよびポート番号のNATをディセーブルにします24。 |
|
|
||
|
||
|
GENERIC-SF サーバ ファームを作成して名前を指定し、サーバ ファーム コンフィギュレーション モードを開始します25。 |
|
|
サーバのIPアドレスおよびポート番号のNATをディセーブルにします26。 |
|
|
ファイアウォール1への経路上にある、CSM-S AのエイリアスIPアドレスを実サーバとして指定し、実サーバ コンフィギュレーション サブモードを開始します。 |
|
|
||
|
||
|
ファイアウォール2への経路上にある、CSM-S BのエイリアスIPアドレスを実サーバとして指定し、実サーバ コンフィギュレーション サブモードを開始します。 |
|
|
||
|
||
|
SERVERS-SF27サーバ ファームを作成して名前を指定し、サーバ ファーム コンフィギュレーション モードを開始します。 |
|
|
イントラネット内のサーバを実サーバとして指定し、IPアドレスを割り当てて、実サーバ コンフィギュレーション サブモードを開始します。 |
|
|
||
|
||
|
イントラネット内のサーバを実サーバとして指定し、IPアドレスを割り当てて、実サーバ コンフィギュレーション サブモードを開始します。 |
|
|
||
|
イントラネット内のサーバを実サーバとして指定し、IPアドレスを割り当てて、実サーバ コンフィギュレーション サブモードを開始します。 |
|
|
CSM-S上で3つの仮想サーバを設定する手順は、次のとおりです。
|
|
|
---|---|---|
|
||
|
||
|
あらゆるIPアドレスおよびあらゆるプロトコルと一致することを指定します28。 |
|
|
仮想サーバがVLAN 102に届いたトラフィック、すなわちファイアウォール1の保護されている側からのトラフィックだけを受け付けることを指定します。 |
|
|
この仮想サーバに対応するサーバ ファームを指定します29。 |
|
|
||
|
||
|
設定対象の仮想サーバとしてFORWARD-VS30を指定し、仮想サーバ コンフィギュレーション モードを開始します。 |
|
|
あらゆるIPアドレスおよびあらゆるプロトコルと一致することを指定します1。 |
|
|
仮想サーバがVLAN 104に届いたトラフィック、すなわちファイアウォール2の保護されている側からのトラフィックだけを受け付けることを指定します。 |
|
|
この仮想サーバに対応するサーバ ファームを指定します2。 |
|
|
||
|
||
|
設定対象の仮想サーバとしてINSIDE-VS31を指定し、仮想サーバ コンフィギュレーション モードを開始します。 |
|
|
あらゆるIPアドレスおよびあらゆるプロトコルと一致することを指定します1。 |
|
|
仮想サーバがVLAN 20に届いたトラフィック、すなわちイントラネットからのトラフィックだけを受け付けることを指定します。 |
|
|
この仮想サーバに対応するサーバ ファーム(実サーバとしてのCSM-S AのエイリアスIPアドレスからなり、トラフィックをファイアウォール1および2に流す)を指定し、実サーバ コンフィギュレーション サブモードを開始します。 |
|
|
||
|
||
|
設定対象の仮想サーバとしてTELNET-VS32を指定し、仮想サーバ コンフィギュレーション モードを開始します。 (注) TELNET-VSはVLAN制限を使用しません。したがって、(ファイアウォールまたは内部ネットワークからの)あらゆる送信元のトラフィックがこのアドレス経由で負荷分散されます。 |
|
|
この仮想サーバのIPアドレス、ネットマスク、プロトコル(TCP)、およびポート(Telnet)を指定します33。 |
|
|
||
|
ここでは、標準ファイアウォール用にファイアウォール ロードバランシングを設定する方法について説明します。
標準ファイアウォール設定では、ファイアウォールは2つの異なるVLANに接続し、接続先VLANのIPアドレスを指定して設定します(図13-7を参照)。
|
|
|
|
---|---|---|---|
|
|||
|
|||
|
|||
|
図13-7では、2つの標準ファイアウォール(ファイアウォール1およびファイアウォール2)が2つのCSM(CSM-S AおよびCSM-S B)の間にあります。トラフィックは共有VLAN(VLAN 101およびVLAN 201)を介してファイアウォールを出入りします。どちらの標準ファイアウォールも、各共有VLAN上に固有のアドレスを持っています。
VLANはインターネット(VLAN 100)、内部ネットワーク(VLAN 200)、および内部サーバ ファーム(VLAN 20)に接続できるようにします。
CSM-Sは、実サーバの場合と同様、標準ファイアウォール間でトラフィックを分散させます。標準ファイアウォールは、実サーバと同様、IPアドレスを指定してサーバ ファーム内で設定します。標準ファイアウォールが所属するサーバ ファームは、ロードバランス プレディクタが割り当てられ、仮想サーバと関連付けられます。
標準ファイアウォールの設定例では、2つのCSM-Sモジュール(CSM-S AおよびCSM-S B)をそれぞれ別個のCatalyst 6500シリーズ スイッチに搭載しています。
(注) この例を使用できるのは、同じCatalyst 6500シリーズ スイッチ シャーシに搭載された2つのCSM-Sモジュールを設定する場合です。また、CSM-S AおよびCSM-S Bの両方を設定するときに、そのCSM-Sのスロット番号を指定することによって、単一スイッチ シャーシに1つだけ搭載されたCSM-Sを設定する場合にも、この例を使用できます。
標準の設定例を作成するには、CSM-S Aに対して次の設定作業が必要です。
(注) 設定作業はCSM-S AでもCSM-S Bでも同じですが、手順、入力するコマンド、およびパラメータが異なります。
図13-7に示した例では、スイッチA上でVLANを2つ作成する必要があります。
(注) この例では、CSM-Sがそれぞれ別個のCatalyst 6500シリーズ スイッチ シャーシに搭載されているものとします。同一シャーシに搭載されている場合は、同じCatalyst 6500シリーズ スイッチのコンソールですべてのVLANを作成できます。
|
|
|
---|---|---|
|
VLANモードを開始します34。 |
|
|
VLAN 100を作成します35。 |
|
|
VLAN 101を作成します36。 |
34.この作業は、CSM-S Aが搭載されたスイッチのコンソールで行います。 |
|
|
|
---|---|---|
|
||
|
設定対象のVLANとしてVLAN 100を指定し、クライアントVLANであることを指定し、VLANコンフィギュレーション モードを開始します。 |
|
|
||
|
||
|
||
|
設定対象のVLANとしてVLAN 101を指定し、サーバVLANであることを指定し、VLANコンフィギュレーション モードを開始します。 |
|
|
||
|
VLAN 101用のエイリアスIPアドレスおよびネットマスクを指定します37。 |
(注) ファイアウォール1およびファイアウォール2の保護された側のIPアドレスは、CSM-S Bと関連付けられたSEC-SFサーバ ファーム内の実サーバとして設定します。
CSM-S A上で2つのサーバ ファームを設定する手順は、次のとおりです。
|
|
|
---|---|---|
|
||
|
FORWARD-SF38サーバ ファーム(実際にはフォワーディング ポリシー)を作成して名前を指定し、サーバ ファーム コンフィギュレーション モードを開始します。 |
|
|
サーバのIPアドレスおよびポート番号のNATをディセーブルにします39。 |
|
|
||
|
||
|
(実サーバとしてのファイアウォールが含まれる)INSEC-SF40サーバ ファームを作成して名前を指定し、サーバ ファーム コンフィギュレーション モードを開始します。 |
|
|
サーバのIPアドレスおよびポート番号のNATをディセーブルにします41。 |
|
|
送信元IPアドレスに基づくハッシュ値を使用して、サーバを選択します42。 |
|
|
ファイアウォール1を実サーバとして設定し、ファイアウォールの保護されない側にIPアドレスを割り当て、実サーバ コンフィギュレーション サブモードを開始します。 |
|
|
||
|
||
|
ファイアウォール2を実サーバとして設定し、ファイアウォールの保護されない側にIPアドレスを割り当て、実サーバ コンフィギュレーション サブモードを開始します。 |
|
|
CSM-S A上で2つの仮想サーバを設定する手順は、次のとおりです。
|
|
|
---|---|---|
|
||
|
設定対象の仮想サーバとしてFORWARD-VS43を指定し、仮想サーバ コンフィギュレーション モードを開始します。 |
|
|
あらゆるIPアドレスおよびあらゆるプロトコルと一致することを指定します44。 |
|
|
仮想サーバがVLAN 101に届いたトラフィック、すなわちファイアウォールの保護されていない側からのトラフィックだけを受け付けることを指定します。 |
|
|
この仮想サーバに対応するサーバ ファームを指定します45。 |
|
|
||
|
||
|
設定対象の仮想サーバとしてINSEC-VS46を指定し、仮想サーバ コンフィギュレーション モードを開始します。 |
|
|
この仮想サーバのIPアドレス、ネットマスク、およびプロトコル(あれば)を指定します47。 |
|
|
仮想サーバがVLAN 100に届いたトラフィック、すなわちインターネットからのトラフィックだけを受け付けることを指定します。 |
|
|
この仮想サーバに対応するサーバ ファームを指定します48。 |
|
|
標準の設定例を作成するには、CSM-S Bに対して次の設定作業が必要です。
(注) 設定作業はCSM-S AでもCSM-S Bでも同じですが、手順、入力するコマンド、およびパラメータが異なります。
(注) この例では、CSM-Sがそれぞれ別個のCatalyst 6500シリーズ スイッチ シャーシに搭載されているものとします。同一シャーシに搭載されている場合は、同じCatalyst 6500シリーズ スイッチのコンソールですべてのVLANを作成できます。
スイッチB上で3つのVLANを作成する手順は、次のとおりです。
|
|
|
---|---|---|
|
VLANモードを開始します49。 |
|
|
VLAN 201を作成します50。 |
|
|
VLAN 200を作成します51。 |
|
|
VLAN 20を作成します52。 |
49.この作業は、CSM-S Bが搭載されたスイッチのコンソールで行います。 |
CSM-S B上で3つのVLANを設定する手順は、次のとおりです。
|
|
|
---|---|---|
|
||
|
設定対象のVLANとしてVLAN 201を指定し、サーバVLANであることを指定し、VLANコンフィギュレーション モードを開始します。 |
|
|
||
|
VLAN 201用のエイリアスIPアドレスおよびネットマスクを指定します53。 |
|
|
||
|
設定対象のVLANとしてVLAN 20を指定し、サーバVLANであることを指定し、VLANコンフィギュレーション モードを開始します。 |
|
|
||
|
||
|
設定対象のVLANとしてVLAN 200を指定し、クライアントVLANであることを指定し、VLANコンフィギュレーション モードを開始します。 |
|
|
(注) ファイアウォール1およびファイアウォール2の保護された側のIPアドレスは、CSM-S Aと関連付けられたINSEC-SFサーバ ファーム内の実サーバとして設定します。
CSM-S B上で2つのサーバ ファームを設定する手順は、次のとおりです。
|
|
|
---|---|---|
|
||
|
GENERIC-SF54 サーバ ファームを作成して名前を指定し、サーバ ファーム コンフィギュレーション モードを開始します。 |
|
|
内部サーバ ファームのサーバを実サーバとして指定し、IPアドレスを割り当てて、実サーバ コンフィギュレーション サブモードを開始します。 |
|
|
||
|
||
|
内部サーバ ファームのサーバを実サーバとして指定し、IPアドレスを割り当てて、実サーバ コンフィギュレーション サブモードを開始します。 |
|
|
||
|
||
|
||
|
SEC-SF55サーバ ファームを作成して名前を指定し、サーバ ファーム コンフィギュレーション モードを開始します。 |
|
|
サーバのIPアドレスおよびポート番号のNATをディセーブルにします56。 |
|
|
宛先IPアドレスに基づくハッシュ値を使用して、サーバを選択します57。 |
|
|
ファイアウォール1を実サーバとして設定し、ファイアウォールの保護されない側にIPアドレスを割り当て、実サーバ コンフィギュレーション サブモードを開始します。 |
|
|
||
|
||
|
ファイアウォール2を実サーバとして設定し、ファイアウォールの保護されない側にIPアドレスを割り当て、実サーバ コンフィギュレーション サブモードを開始します。 |
|
|
CSM-S B上で3つの仮想サーバを設定する手順は、次のとおりです。
|
|
|
---|---|---|
|
||
|
設定対象の仮想サーバとしてGENERIC-VS58を指定し、仮想サーバ コンフィギュレーション モードを開始します。 |
|
|
この仮想サーバのIPアドレス、プロトコル(TCP)、およびポート(0=any)を指定します59。 |
|
|
仮想サーバがVLAN 201に届いたトラフィック、すなわちファイアウォールの保護されている側からのトラフィックだけを受け付けることを指定します。 |
|
|
この仮想サーバに対応するサーバ ファームを指定します60。 |
|
|
||
|
||
|
設定対象の仮想サーバとしてSEC-20-VS61を指定し、仮想サーバ コンフィギュレーション モードを開始します。 |
|
|
この仮想サーバのIPアドレス、ネットマスク、およびプロトコル(あれば)を指定します2。 |
|
|
仮想サーバがVLAN 20に届いたトラフィック、すなわち内部サーバ ファームからのトラフィックだけを受け付けることを指定します。 |
|
|
この仮想サーバに対応するサーバ ファームを指定します62。 |
|
|
||
|
||
|
設定対象の仮想サーバとしてSEC-20-VS63を指定し、仮想サーバ コンフィギュレーション モードを開始します。 |
|
|
この仮想サーバのIPアドレス、ネットマスク、およびプロトコル(あれば)を指定します2。 |
|
|
仮想サーバがVLAN 200に届いたトラフィック、すなわち内部ネットワークからのトラフィックだけを受け付けることを指定します。 |
|
|
この仮想サーバに対応するサーバ ファームを指定します5。 |
|
|
リバーススティッキ機能では、クライアントIPアドレスに基づいたロードバランスの決定に関するデータベースを作成します。この機能によって、データベースにリバーススティッキ エントリがあった場合に、ロードバランスの決定が変更されます。データベースにリバーススティッキ エントリがなかった場合は、ロードバランスの決定が実行され、今後のマッチングのために結果が保存されます。
リバーススティッキは、接続を反対方向からのものとみなして、スティッキ データベースにエントリを追加する1つの方法を提供します。リバーススティッキが行われた仮想サーバは、着信実サーバが含まれている指定のデータベースにエントリを追加します。
(注) 着信実サーバは、サーバ ファーム内の実サーバでなければなりません。
このエントリは、別の仮想サーバ上のstickyコマンドによってマッチングされます。他方の仮想サーバは、前もって作成されたこのエントリに基づいて、クライアントにトラフィックを送ります。
CSM-Sは、送信元IPキーから実サーバへのリンクとして、リバーススティッキ情報を保存します。ロードバランサがスティッキ データベースの割り当てられた仮想サーバと新しくセッションを開始するときには、最初にデータベースにエントリがすでにあるかどうかを確認します。一致するエントリがあった場合、セッションは指定された実サーバに接続されます。それ以外の場合は、スティッキ キーと適切な実サーバを結びつける、新しいエントリが作成されます。図13-8に、ファイアウォールでリバーススティッキ機能をどのように使用するかを示します。
図13-8のリバーススティッキ プロセスは、次のとおりです。
• クライアントは、ロードバランス対象のファイアウォールを通過して、CSM-S仮想サーバであるVS1に接続します。このロードバランスの決定は、CSM-Sと対話しないで行われます。
• サーバ1は最初のクライアントに戻る接続を作成します。この接続は仮想サーバVS2と対応します。VS2は、最初のVS1リバーススティッキによって追加されたスティッキ情報を使用します。したがって、同じファイアウォール1に強制的に接続されます。
• 別のファイアウォールを通過する第2のクライアントは、同じVS1が接続します。リバーススティッキによって、第2のクライアント用にファイアウォール2を示す新しいエントリがデータベースBに作成されます。VS1もサーバ1に対して通常のスティッキを実行します。
• サーバ1はクライアント2に戻る接続を作成します。この接続はVS2の接続と一致します。VS2は、最初のVS1リバーススティッキによって追加されたスティッキ情報を使用します。この接続は、ファイアウォール2への接続に使用されます。
• サーバが最初の接続を開始すると、サーバに戻るリンクがVS2によって作成され、通常のロードバランス決定によって一方のファイアウォールへの接続が作成されます。
(注) この設定では、任意のバランシング メトリックを使用する正方向の接続(クライアントからサーバ)がサポートされます。ただし、サーバが開始したトラフィックへのクライアント応答が適切なファイアウォールに送られるようにするには、VS2からファイアウォールへのバランシング メトリックが未知のロードバランサのメトリックと一致しなければなりません。または、未知のロードバランサが同様に新しいbuddy接続を固定(stick)しなければなりません。
ファイアウォール ロードバランスのためにIPリバーススティッキを設定する手順は、次のとおりです。
ファイアウォールの再割り当て機能を設定するには、Cisco IOSソフトウェアのRelease 12.1(19)EのMSFCイメージが必要です。
ファイアウォールの再割り当てを設定する手順は、次のとおりです。
ステップ 1 ファイアウォール用のサーバファーム サブモードで、次の動作を設定します。
ステップ 2 実サーバが失敗した場合(プローブまたはAddress Resolution Protocol[ARP;アドレス解決プロトコル])は、各ファイアウォール用のバックアップ実サーバを割り当てます。
ステップ 3 このサーバファーム用のInternet Control Message Protocol(ICMP)プローブ(ファイアウォールを経由)を設定します。
ステップ 4 ファイアウォールの外側および内側にCSM-Sモジュール用ICMPプローブを設定します。
バックアップ実サーバが、同じ順序でCSM-Sの両側に設定されていることを確認します。
接続の宛先または負荷分散先が失敗したプライマリ サーバの場合、実サーバに割り当てられた稼働中のスタンバイ オプションにより、このサーバが接続のみを受信するよう指定されます。real 2.2.2.2として指定された実サーバを稼働中のスタンバイで設定する場合、すべての接続はreal 1.1.1.1またはreal 3.3.3.3として指定された実サーバのいずれかに達します。実サーバreal 1.1.1.1が失敗した場合は、実サーバreal 1.1.1.1の代わりにreal 2.2.2.2として指定された実サーバがアクティブになります。