ACE起步指南
1ACE技术
ACE技术见下表: 可扩展性(Scalability) 虚拟上下文 负载均衡Predictor 服务持久性使用Stickiness 安全(Security) 访问控制列表 SSL 访问控制列表 设备安装 冗余 虚拟服务器健康探寻 等级(level) 可用性(Availability) 设备 基于角色的访问控制 网络服务 基于角色的访问控制 在设备等级,ACE提供:设备冗余(建立peer ACE)、可扩展性(虚拟化)、安全(ACL)。 在网络服务等级,ACE提供:高服务可用性(负载均衡)、可扩展性(每一个虚拟设备包括多个虚拟服务器,每个虚拟服务器转发客户请求到服务器工厂中的一个,每个服务器工厂包含多个物理机,并能保证服务持久性)、服务级别的安全(SSL)。
2安装ACE 2.1实例
VLAN1000为管理VLAN,IP:172.25.91.110/24,对应Admin context。 VLAN400为客户端流量,IP:10.10.40.1/24。 VLAN500为服务器端流量,IP:10.10.50.1/24。
2.2安装ACE的任务流
? ? ? ? ? ? ?
配置VLAN
建立6500或7600与ACE之间的会话(Session) 为ACE命名
配置管理VLAN接口 配置默认路由 配置远程管理
通过Telnet远程访问
2.3配置VLAN
Router(config)# svclc vlan-group group_number vlan_range Router(config)# svclc vlan-group 50 40,41,60,100,400,500,1000
Router(config)#svclc module slot_number vlan-group group_number_range Router(config)# svclc module 5 vlan-group 50 Router(config)# svclc multiple-vlan-interfaces
此配置可选。在MSFC卡上配置SVI接口,并指派给ACE。 Router(config)# interface vlan 55
Router(config-if)# ip address 10.1.1.1 255.255.255.0 Router(config-if)# no shut
2.4配置Session连接
Router#session slot number1 processor number2 switch login: admin Password: admin switch/Admin# config
switch/Admin(config)# username Admin password 0 cisco123//必须修改 switch/Admin# terminal session-timeout 0//0代表不超时 switch/Admin# config
switch/Admin(config)# login timeout 0//0代表不超时
2.5命名ACE
默认ACE的名字是“switch”。
switch/Admin(config)# hostname host1 host1/Admin(config)#
2.6配置管理VLAN接口
host1/Admin(config)# interface vlan 1000
host1/Admin(config-if)# ip address 172.25.91.110 255.255.255.0
host1/Admin(config-if)# description Management connectivity on VLAN 1000
2.7配置默认路由
host1/Admin(config)# ip route 0.0.0.0 0.0.0.0 172.25.91.1
2.8配置远程管理
host1/Admin(config)# class-map type management match-any REMOTE_ACCESS host1/Admin(config-cmap-mgmt)# description Remote access traffic match host1/Admin(config-cmap-mgmt)# match protocol ssh \\telnet\\icmp any host1/Admin(config)# policy-map type management first-match
REMOTE_MGMT_ALLOW_POLICY
host1/Admin(config-pmap-mgmt)# class REMOTE_ACCESS host1/Admin(config-pmap-mgmt-c)# permit host1/Admin(config)# interface vlan 1000
host1/Admin(config-if)# service-policy input REMOTE_MGMT_ALLOW_POLICY
2.9通过Telnet远程访问
remote_host# telnet 172.25.91.110
3配置虚拟化 3.1关于虚拟化
默认情况下,ACE提供一个Admin Context,可以定义5个用户Context。最多支持250个用户Context。通过Console或Telnet登录时,在Admin Context中认证。 通过资源类(Resource Class)来对不同context提供资源。ACE有一个默认RC,允许所有context百分百访问所有资源。
3.2配置虚拟化的任务流
? ? ? ? ? ?
配置资源类RC 生成虚拟context 分配管理VLAN 配置远程管理访问 配置客户端访问接口 配置服务器端访问接口
3.3配置资源类
host1/Admin# config
host1/Admin(config)# resource-class RC_WEB
host1/Admin(config-resource)# limit-resource all minimum 10 maximum equal-to-min //限制资源使用率
3.4生成虚拟context
host1/Admin(config)# context VC_WEB
host1/Admin(config-context)# allocate-interface vlan 60
host1/Admin(config-context)# member RC_WEB//联系资源类
3.5配置远程管理访问
host1/Admin# changeto VC_WEB host1/VC_WEB# config
host1/VC_WEB(config)# class-map type management match-any REMOTE_ACCESS host1/VC_WEB(config-cmap-mgmt)# description Remote access traffic match host1/VC_WEB(config-cmap-mgmt)# match protocol ssh any
host1/VC_WEB(config)# policy-map type management first-match host1/VC_WEB(config-pmap-mgmt)# class REMOTE_ACCESS host1/VC_WEB(config-pmap-mgmt-c)# permit
host1/VC_WEB(config)# service-policy input REMOTE_MGMT_ALLOW_POLICY
3.6配置客户端访问接口
host1/VC_WEB(config)# interface vlan 400
host1/VC_WEB(config-if)# ip address 10.10.40.1 255.255.255.0
host1/VC_WEB(config-if)# description Client connectivity on VLAN 400 host1/VC_WEB(config-if)# no shutdown
3.7配置服务端访问接口
host1/VC_WEB(config)# interface vlan 500
host1/VC_WEB(config-if)# ip address 10.10.50.1 255.255.255.0
host1/VC_WEB(config-if)# description Server connectivity on VLAN 500 host1/VC_WEB(config-if)# no shutdown
3.8配置默认路由
同上。
4配置访问控制列表 4.1关于ACL
ACE默认deny所有流量。
4.2配置ACL
host1/Admin# changeto VC_WEB
host1/VC_WEB(config)# access-list INBOUND extended permit ip any any host1/VC_WEB(config)# interface vlan400
host1/VC_WEB(config-if)# access-group input INBOUND
5配置基于角色的访问控制列表 5.1关于Role-Based ACL(RBAC)
ACE提供如下角色: ? Admin:all
? Network Admin:if\\Route\\Connection\\NAT\\VIP\\Copy\\changeto ? Network-Monitor:show\\changeto
? Security-Admin:ACL\\Appinspect\\Con\\if\\AAA\\NAT\\Copy\\changeto ? Server-Appln:Rserver\\ServerFarm\\LoadBalance\\Copy\\changeto ? Server-Maintenance:Rserver\\ServerF\\VIP\\Probe\\Loadb\\changeto ? SLB-Admin:Rserver\\ServerF\\VIP\\Probe\\Loadb\\changeto\\NAT\\Copy\\if ? SSL-Admin:SSL\\PKI\\if\\Copy\\changeto
5.2配置RBAC
host1/Admin# changeto VC_WEB host1/VC_WEB(config)# domain DOMAIN1 host1/VC_WEB(config-domain)# add-object all host1/VC_WEB(config)# username USER1 password 5
$1$vAN9gQDI$MmbmjQgJPj45lxbtzXPpB1 role Server-Maintenance domain DOMAIN1
6配置服务器负载均衡 6.1关于Server Load Balancing
实例中,虚拟server是VS_WEB,IP是10.10.40.10,从VLAN400到VLAN500转发流量。有四个实际server在server工厂SF_WEB中。VS使用轮转调度。
6.2配置SLB任务流
? 配置实际server ? 配置server工厂
? 配置虚拟server流量策略
host1/Admin(config-ft-peer)# query-interface vlan 1000
12.6配置共享网关
host1/Admin(config)# interface vlan 1000
host1/Admin(config-intf-config)# alias ip address 172.25.91.112 255.255.255.0
12.7配置FT组
host1/Admin(config)# ft group 1
host1/Admin(config-ft-group)# associate-context VC_WEB host1/Admin(config-ft-group)# peer 1 host1/Admin(config-ft-group)# inservice
host1/Admin(config)# ft auto-sync running-config//可选 host1/Admin(config)# ft auto-sync startup-config//可选
13配置桥模式 13.1关于桥模式
目前为止,以上所讲把ACE置为路由模式,ACE作为路由中的一跳,对于client和server有不同的网络和VLAN。在桥模式下,两边不同的VLAN在相同的子网下。BVI接口把两个VLAN加入到一个桥组中。
13.2指导和局限
? ? ? ? ? ?
ACE最多提供4094个BVI ACE支持最多8192个接口
在一个interface VLAN上配置桥组,自动变为可桥接的接口 每个桥组最多包含2个二层接口 ACE在2层接口上不支持共享VLAN 服务器默认网关是上游路由器
13.3配置桥模式任务流
举例如下:
? VS_WEB2为虚拟服务器,IP地址为10.15.3.100,从客户端VLAN40到服务器端
VLAN41转发流量。
? 在server工厂中,有四个实际server。
? VLAN40用作客户端流量,VLAN41用走服务器端流量。
? BVI接口,IP地址为10.15.3.5,配置2个VLAN到一个桥组。 任务流如下:
? 配置实际server和server工厂 ? 配置TCP Probe ? 配置VIP
? 生成policy为负载均衡 ? 生成服务policy
? 生成客户端和服务器端VLAN,分配到BVI ? 应用访问控制和服务policy
13.4配置服务器负载均衡
见上。
13.5配置VLAN和BVI
host1/Admin# changeto VC_WEB
host1/VC_WEB(config)# interface vlan 40
host1/VC_WEB(config-if)# description Client_side host1/VC_WEB(config-if)# bridge-group 1
host1/VC_WEB(config-if)# access-group input INBOUND
host1/VC_WEB(config-if)# service-policy input HTTP_MULTI_MATCH host1/VC_WEB(config-if)# no shutdown host1/VC_WEB(config)# interface vlan 41
host1/VC_WEB(config-if)# description Server_side host1/VC_WEB(config-if)# bridge-group 1 host1/VC_WEB(config-if)# no shutdown host1/VC_WEB(config)# interface bvi 1
host1/VC_WEB(config-if)# description Client and server bridge group 1 host1/VC_WEB(config-if)# ip address 10.15.3.5 255.255.255.0 host1/VC_WEB(config-if)# no shutdown
14配置One-Arm模式 14.1关于One-Arm
在此模式下,ACE只有一个VLAN。必须配置NAT或PBR。
14.2配置单臂模式
举例如下:
? 用户context为VC_WEB,使用 VLAN 100 ? 虚拟服务器为VS_WEB3,IP为172.16.5.10 ? 在server工厂中有四个实际server ? 实际server网关为198.168.5.1 任务流如下:
? 配置实际server和server工厂 ? 配置TCP Probe
? 生成policy为负载均衡 ? 配置VLAN
? 应用ACL,把NAT应用到VLAN
14.3配置服务器负载均衡
如上。
14.4配置单臂VLAN
pat
host1/Admin# changeto VC_WEB
host1/VC_WEB(config)# interface vlan 100
host1/VC_WEB(config-if)# service-policy input PM_ONE_ARM_MULTI_MATCH
host1/VC_WEB(config-if)# nat-pool 5 172.16.5.200 172.5.16.209 netmask 255.255.255.0 host1/VC_WEB(config-if)# no shutdown