您的位置: 网界网 > 网络学院-网络通信 > 正文

思科ACE配置说明

2014年07月28日 16:13:23 | 作者:佚名 | 来源:中国IT实验室 | 查看本文手机版

摘要:文章标题:思科ACE配置说明。中国IT实验室思科(Cisco)网络技术频道,云集互联网精品网络技术文章,积累海量的技术内容库,为广大网络爱好者提供一个优秀的学习和查阅的平台。

标签
思科ACE配置思科ACE配置说明

最近在项目中遇到了思科负载均衡设备--ACE,由于初次接触思科负载均衡设备,对细节和特性还未完全理解。只对配置步骤有所认识,特此写了该文档。

文档是利用业余时间写的,可能有些地方略显粗糙,望大家谅解。本文中没有图片,逻辑拓扑结构很简单。6500&7600系列产品上插入ACE模块,将需要做负载均衡的VLAN设备插入6500&7600板卡上,只需要建立VLAN,而不建立SVI接口,针对需要做4层的VLAN在65和76上的MSFC上配置指向ACE模块。与此同时ACE模块配置缺省路由指回65&76的MSFC的VLAN接口上。

MSFC---ACE----(serverf---realserver)

==============================

正文如下:

ACE配置笔记

注:笔记源于思科官网配置文档

在6500或7600上使用IOS配置VLAN

Configuring VLANs for the ACE Using IOS Software

配置如下:

1、  建立VLAN 而不开启三层SVI接口(此处略)

2、  配置VLAN Group组

svclc vlan-group 50  40, 41,60,100,400,500,1000  Vlan-Group组号  50  对应的VLAN40, 41,60,100,400,500,1000

3、配置VLAN Group映射到ACE模块上

svclc module 5 vlan-group 50

3、  配置MSFC支持多个SVI接口并分配到ACE上。(可选命令)

svclc multiple-vlan-interfaces

登陆ACE模块

Router# session slot 5 processor 0 通过此命令来登陆到65或76系列设备上的ACE模块

switch login:

Password:

配置一个管理VLAN在ACE模块上

interface vlan 1000

descripttion Management connectivity on VLAN 1000

ip address 172.25.91.110 255.255.255.0   与65、76上MSFC上的SVI接口同一网段提供ACE与MSFC通信

service-policy input REMOTE_MGMT_ALLOW_POLICY   远程登陆访问策略(入向 input)

配置一条缺省路由在ACE模块上

ip route 0.0.0.0 0.0.0.0 172.25.91.1    缺省路由指向MSFC

配置一个管理登陆访问策略

1、ACE上配置远程管理流量,默认是完全禁止的。

先建立class-map来定义远程管理的流量类型:

class-map type management match-any REMOTE_ACCESS  名字:REMOTE_ACCESS

descripttion Remote access traffic match      增加描述

10 match protocol telnet any   放开telnet,源地址是any

20 match protocol ssh any     放开 ssh   源地址是any

30 match protocol icmp any    放开icmp  源地址是any

2、定义一个policy-map,来调用刚才定义的class-map.

policy-map type management first-match REMOTE_MGMT_ALLOW_POLICY  名字:REMOTE_MGMT_ALLOW_POLICY

class REMOTE_ACCESS      调用class-map   名字:REMOTE_ACCESS

permit                    动作为允许

注:也可以按照思科文档上的实例去deny掉一个。

The following example shows how to create a policy map that restricts an ICMP connection by the ACE:

host1/Admin(config)# policy-map type management first-action ICMP_RESTRICT_POLICY

host1/Admin(config-pmap-mgmt)# class ICMP-ALLOW_CLASS

host1/Admin(config-pmap-mgmt-c)# deny

3、在ACE上vlan interface的入方向(input方向)上调用这个policy-map

interface vlan 215

descripttion Server-Vlan-IOM   描述

ip address 132.80.241.130 255.255.255.224  VLAN 215的IP地址

alias 132.80.241.129 255.255.255.224      alias地址

peer ip address 132.80.241.131 255.255.255.224  另一个65上的另一块冗余的ACE

no normalization

no icmp-guard

service-policy input REMOTE_MGMT_ALLOW_POLICY   接口input入向调用policy-map

no shutdown

配置一个虚拟ACE关联

Admin/Context配置:

resource-class RC_WEB     资源分类,避免虚拟ACE占用管理ACE资源

limit-resource all minimum 10.00 maximum equal-to-min   限制使用全部资源的10%

创建一个虚拟关联,并指派VLAN 到虚拟关联中。

context VC_WEB

allocate-interface vlan 60

allocate-interface vlan 400

allocate-interface vlan 500

allocate-interface vlan 1000

member RC_WEB

VC_WEB/Context配置:

host1/Admin# changeto VC_WEB

VC_WEB/Admin# show running-config

Generating configuration…

class-map type management match-any REMOTE_ACCESS

descripttion Remote access traffic match

2 match protocol ssh any

3 match protocol telnet any

4 match protocol icmp any

policy-map type management first-match REMOTE_MGMT_ALLOW_POLICY

class REMOTE_ACCESS

permit

service-policy input REMOTE_MGMT_ALLOW_POLICY

interface vlan 400

descripttion Client connectivity on VLAN 400

ip address 10.10.40.1 255.255.255.0

no shutdown

interface vlan 500

descripttion Server connectivity on VLAN 500

ip address 10.10.50.1 255.255.255.0

no shutdown

ip route 0.0.0.0 0.0.0.0 172.25.91.1

配置一个访问控制列表

注:以下是思科文档上的说明

You must configure an ACL on each interface that you want to permit connections. Otherwise, the ACE will deny all traffic on the interface.

access-list INBOUND line 8 extended permit ip any any   创建ACL允许进入ACE的IP流量

interface vlan 400

descripttion Client connectivity on VLAN 400

ip address 10.10.40.1 255.255.255.0

access-group input INBOUND                        应用到入向Client VLAN

配置四层负载均衡部分

创建一个RealServer

Configuring Real Servers

配置步骤:

创建一个realserver

rserver host RS_WEB1      RealServer 的名字  RS_WEB1

descripttion content server web-one   描述

ip address 10.10.50.10               realserver真实主机的IP地址

inservice                            激活

可建立多台realserver,例如:RS_WEB2、RS_WEB3、RS_WEB4、RS_WEB5等等,并且分配给真是IP地址后激活。

创建一个ServerF

Creates a real server named RS_WEB1 as type host (the default)。

配置步骤:

serverfarm host SF_WEB    ServerF的名字 SF_WEB

rserver RS_WEB1 80       针对这个主机的,如果不跟 eq 则表示所有端口与。

inservice                激活

rserver RS_WEB2 80       第二台真实主机加入这个ServerF

inservice                救活

可在一个ServerFarm中增加多台RealServer真实主机,使得提供同一服务的主机隶属于这个F中,作为一个集群。

[1]  

[责任编辑:孙可 sun_ke@cnw.com.cn]