この章では、CSM のネットワーキングについて説明します。この章の構成は次のとおりです。
ネットワーキング用モードの設定
シングル サブネット(ブリッジ)モードおよびセキュア(ルータ)モードでCSMを設定できます。ここでは、モードについて説明します。
シングル サブネット(ブリッジ)モードの設定
シングル サブネット(ブリッジ) モード コンフィギュレーションでは、クライアント側およびサーバ側 VLANを同一サブネット上に配置します。 シングル サブネット(ブリッジ)モードの設定 では、シングル サブネット(ブリッジ)モード コンフィギュレーションの設定方法を示しています。
|
VLANモードを開始します 1 。 |
||
|
クライアント側VLANを設定します 2 。 |
||
|
クライアント側VLAN 2を作成し、SLB VLANモードを開始します 1 。 |
||
|
Router(config-slb-vlan-client)# ip addr 192.158.38.10 255.255.255.0 |
||
|
Router(config-slb-vlan-client)# ip addr 192.158.38.10 255.255.255.0 |
||
|
仮想サーバをサーバ ファームに関連付けます 3 。 |
||
セキュア(ルータ)モードの設定
|
VLANモードを開始します 4 。 |
||
|
クライアント側VLANを設定します 5 。 |
||
|
Router(config-slb-vlan-client)# ip addr 192.158.38.10 255.255.255.0 |
||
|
Router(config-slb-vlan-server)# ip addr 192.158.39.10 255.255.255.0 |
||
|
仮想サーバをサーバ ファームに関連付けます 6 。 |
||
CSMのネットワーキング トポロジー
ここでは、CSMのネットワーキング トポロジーについて説明します。
- CSM はインラインで、MSFC は関連しない場合
- CSMはインラインで、MSFCはサーバ側にある場合
- CSM はインラインで、MSFC はクライアント側にある場合
- 集約モードのCSM
- ダイレクト サーバ リターン
CSM はインラインで、MSFC は関連しない場合
CSMはインラインで、MSFCは関連しない場合 では、MSFC との相互作用がないレイヤ3構成でのCSMを示しています。
- MSFCは、CSM VLAN(仮想LAN)をルーティングしていません。
- サーバ間通信(ダイレクト レイヤ 3、またはロードバランス構成)はすべて、CSMを経由します。
- CSMは、アップストリーム ルータ(デフォルト ゲートウェイ)にはスタティック ルートを使用する必要があります。
CSMはインラインで、MSFCはサーバ側にある場合
CSMはインラインで、MSFCはサーバ側にある場合 では、MSFCがサーバ側にある構成でのCSMを示しています。
- サーバ間のダイレクト通信は、CSM をバイパスします。
- サーバ間のロードバランス接続には、常にSecure NAT(SNAT)が必要です。
- CSMは、アップストリーム ルータ(デフォルト ゲートウェイ)にはスタティック ルートを使用する必要があります。
- ルーティング プロトコルは、バック エンドで使用可能です。
- レイヤ 2 でのパケットの書き換えは、不可能です。
CSM はインラインで、MSFC はクライアント側にある場合
CSM はインラインで、MSFC はクライアント側にある場合 では、MSFC がクライアント側にある構成でのCSMを示しています。
- この構成は、運用が容易です。
- サーバ間のレイヤ3通信は、CSMを通過します。
- ルーティング プロトコルは、MSFCとアップストリーム ルータ間で使用可能です。
- サーバ間のトラフィックはすべて、CSMを通過します。
集約モードのCSM
集約モード構成の CSM では、集約モード構成でのCSMを示しています。
- CSMがインラインでないため、モジュールは不要なトラフィックを認識しません。
- ルーティングとCSM 構成は容易です。
- 戻りトラフィックが必要なので、PBR またはクライアント SNAT が必要です。
- サーバ間のロードバランス接続には、常にSNATが必要です。
- レイヤ 2 でのパケットの書き換えは、不可能です。
ダイレクト サーバ リターン
ダイレクト サーバ リターン では、ダイレクト サーバ リターン構成のCSMを示しています。
- ロードバランサでは、高度なスループットまたは帯域幅は必要ありません。
- ロードバランサは、戻りトラフィックを認識しません。
- TCPフローは、常にタイムアウトにしておく必要があります。
- TCP 終端は不可能です(レイヤ 4 のロード バランシングのみ)。
- 帯域内ヘルス モニタリングは不可能です。
- サーバは レイヤ 2 に隣接して、ループバック アドレスをもつ必要があります。
CSM によるルーティング
ロードバランス接続を転送および確保する場合は、CSM がルーティングを決定する必要があります。ただし CSM は、ルーティング プロトコルの実行、および MSFC ルーティング テーブルへのアクセスを行いません。CSM は3タイプのエントリを使用して、CSM 独自のルーティング テーブルを構築します。
これらのサブネットは、CSM クライアントまたはサーバ VLAN 上に設定されます。
デフォルト ゲートウェイは、クライアントまたはサーバVLANコンフィギュレーション サブモード内部から、 gateway キーワードを使用して設定されます。 VLANの設定 を参照してください。今回のリリースでは、最大 511 個のデフォルト ゲートウェイを設定できます。ただし同一VLANには、7つ以上のデフォルト ゲートウェイを設定することはできません。
ほとんどの構成では、デフォルト ゲートウェイは(または簡略化されて)1つです。このゲートウェイは、アップストリーム ルータ(またはアップストリーム ルータ ペアを表す HSRP IP アドレス)を示し、結果的に、多様なスタティック ルートを示しています。
スタティック ルートは、クライアントまたはサーバVLANコンフィギュレーション サブモード内部から、 route キーワードを使用して設定されます。 VLANの設定 を参照してください。スタティック ルートは、サーバがレイヤ2に隣接していない場合に便利です。
複数のデフォルト ゲートウェイがサポートされています。ただしCSMが未知の宛先にルーティングを決定する必要がある場合、CSM は干渉も制御もされることなく、無作為にゲートウェイを 1 つ選択するという状況を作成します。この動作を制御するには、次の項で説明されているプレディクタ転送オプションを使用します。
CSM が、ルーティングを決定する必要があるのは、次の 3 つの状況のときです。
このとき、CSM はこの接続用の戻りトラフィックの送信先を決定する必要があります。他の装置とは異なり CSM はルートのルックアップを実行しませんが、最初の接続パケットを受信した場所からの送信元 MAC アドレスを記憶します。この接続の戻りトラフィックは、送信元 MAC アドレスに送り返されます。また、この動作はアップストリーム ルータ間の冗長プロトコル(HSRPなど)と連動しています。
サーバはCSMをデフォルト ゲートウェイと決めて、接続を開始します。
- サーバ ファームが、プレディクタ転送オプションで設定されている場合( 実サーバおよびサーバ ファームの設定 を参照)。このプレディクタはCSMに接続のロードバランシングではなく、ルーティングするように指示します。
ゲートウェイが複数ある場合、ゲートウェイで設定されたサーバ ファームを固有の実サーバとして使用して、最初の2つの状況を簡略化することができます。 サーバを送信元とする VIP への接続用の送信元 NAT の設定 を参照してください。
DoS攻撃からの保護
CSM は、ロードバランシング装置の保護、および CSM 自体を DoS 攻撃から保護するために、さまざまな機能を実装しています。これらの機能の多くは、CSM により制御され着信トラフィック量を調整しているため、ユーザが設定することはできません。
保留接続数が設定可能なスレッシュホールドを超えると、CSM は SYN Cookie 機能を使用して、生成されたシーケンス番号ですべての接続ステート情報の暗号化を開始します。その結果、CSM は TCP 接続の保留(完全に確立されていない)にフロー ステートを消費できないようなります。この動作はハードウェアに完全に実装されているので、SYN 攻撃から保護しています。
この機能は仮想サーバ単位で設定可能で、秒単位で指定された設定タイムアウト時間内に適切に確立されていない接続をタイムアウトにすることができます。
この機能は仮想サーバ単位で設定可能で、接続が確立されてから、タイマーで設定されたインターバル時間内にトラフィックを渡さなかった場合、タイムアウトにすることができます。
レイヤ7ロードバランシングにTCP終端を必要としない接続もあります。これらの実サーバとの接続をロードバランシングする前に、すべての着信TCP接続を終了するように任意の仮想サーバに設定することができます。この設定により、レイヤ4ロードバランシング環境にあるすべてのCSM DoS機能を利用できるようになります。
- 3.
- 6.
