HA サーバ ロード バランシング
HA サーバ ロード バランシング(HA-SLB)機能は既存の IOS サーバ ロード バランシング(SLB)機能で構築されます。SLB によって、ネットワーク サーバのグループ(サーバ ファーム)を単一のサーバ インスタンスとして表示し、サーバへのトラフィックを分散させ、個別のサーバへのトラフィックを制限できます。サーバ ファームを示す単一のサーバ インスタンスは仮想サーバと呼ばれます。サーバ ファームを構成するサーバは実サーバと呼ばれます。
SLB は、実サーバに対するラウンド ロビンなどのメカニズムによってトラフィックを実サーバに配信できます。さらに、DFP を使用して各実サーバのヘルスをモニタし、最小ロードを持ったサーバを選択し、アップ状態で稼働しているサーバを選択できます。SLB アーキテクチャの詳細については、次の URL を参照してください。
http://www.cisco.com/en/US/products/ps5940/products_white_paper0900aecd802921f0.shtml
HA-SLB 機能は Cisco 7600 シリーズ プラットフォームで使用できます。この機能により、SAMI でそれぞれ稼働する一連の実 Home Agent(HA)を、Cisco 7600 スーパーバイザに存在する単一の仮想サーバの IP アドレスによって特定できます。
PDSN/FA はユーザの初期レジストレーション要求を仮想サーバの IP アドレスに送信します。SUP で稼働する HA-SLB はパケットを代行受信し、レジストレーション要求を実 HA の 1 つに転送します。
一般的なコール フローには次のイベント シーケンスがあります。
ステップ 1
PDSN/FA は Mobile IP RRQ を仮想サーバ IP アドレス(HA-SLB)に転送します。Authentication, Authorization, Accounting(AAA; 認証、許可、アカウンティング)サーバが HA アドレスを PDSN/FA に戻す場合、仮想サーバ IP アドレスのアドレスを戻すよう AAA サーバを設定する必要があります。
ステップ 2 SLB は、サーバ ファームから実サーバ/HA の 1 つを選択し、Mobile IP RRQ をこのサーバに配信します。
ステップ 3 実 HA は Reply で MobileIP RRQ に応答し、メッセージは実 HA から PDSN/FA に送信されます。HA-SLB はこのパケットを代行受信しません。実 HA はバインディングとローカル トンネル エンドポイントを作成します。
ステップ 4 PDSN/FA は、ビジター テーブルとローカル トンネル エンドポイントを作成し、トンネル経由で実 HA から直接トラフィックを送受信します。
ステップ 5 PDSN/FA はライフタイム「0」を含んだ Mobile IP RRQ を実 HA に送信してバインディングを終了します。
(注) パケットは仮想 IP アドレス(HA-SLB)には送信されません。
ステップ 6 実 HA は Mobile IP RRP を PDSN/FA を送信します。HA-SLB はこのパケットを代行受信しません。実 HA は バインディングを終了します。
(注) Mobile IP メッセージは RFC 2002 には準拠しませんが、draft-kulkarni-mobile-ip-dynamic-ha-assignment-frmwrk-00.txt に準拠します。
HA/SLB 仮想 IP アドレス宛てで、HA アドレス 0.0.0.0 または 255.255.255.255 のある RRQ は、重み付け「ラウンドロビン」、ロード バランシング アルゴリズムを使用して、実際の HA に転送されます。SLB メカニズムは、実サーバのヘルスをロード バランサに伝える機能を実サーバに与える DFP をサポートします。したがって、ロード バランシング アルゴリズムで実サーバの重みを調整します。
MN は、HA から RRP を受信する前に複数の RRQ を送信できるので(最初の RRQ を送信したあと MN の電源を再投入する、MN が最初のレジストレーションを複数送信するよう誤って設定されている、または RRP がネットワークによってドロップされる)、同じ MN から着信するレジストレーションを追跡することが重要です。これにより同じ MN が複数の HA で登録されるのを防ぐので、これらの HA では IP アドレスと他のリソースが浪費されます。この問題を解決するには、HA-SLB は RRQ を解析し、MN の NAI でインデックス化されたセッション オブジェクトを作成します。このセッション オブジェクトは、RRQ の転送先の実 HA IP アドレスを保存します。同じ MN からの以後のレジストレーションは、この同じ実 HA に転送されます。セッション オブジェクトは、設定可能な時間の間(デフォルトは 10 秒)保存されます。HA-SLB がこの時間内に MN からの RRQ を検出しない場合、セッション オブジェクトはクリアされます。HA-SLB が RRQ を検出すると、セッション オブジェクトに関連付けられたタイマーはリセットされます。
リトライ カウンタは各セッション オブジェクトに関連付けられ、ロード バランサによって検出され、再送信された RRQ ごとに増加します。検出された試行回数が設定された「再割り当て」しきい値よりも大きい場合、再送信するセッションは別の実 HA にふたたび割り当てられ、接続障害がオリジナルの実 HA に対して記録されます。接続障害が検出され、設定されたしきい値に到達すると、実サーバはダウン状態であるとみなされ、RRQ を再転送しません。HA-SLB は、設定可能なタイム インターバルの経過後、または実サーバが DFP メッセージを HA-SLB に送信すると、その実サーバへのセッションの転送を再開します。
HA-SLB でのロード バランシング
HA-SLB は、ロード バランシング アルゴリズムの重み付けラウンドロビンを使用します。このアルゴリズムは、仮想サーバへの新しい接続に使用する実サーバを、サーキュラ方式でサーバ ファームから選択するよう指定します。実サーバごとに重み n が割り当てられます。仮想サーバに関連付けられた他の実サーバと比較した場合、これは接続を処理する容量を示します。たとえば、実サーバ ServerA(n = 3)、ServerB(n = 1)、ServerC(n = 2)を構成するサーバ ファームがあると想定します。仮想サーバへの最初の 3 つの RRQ は ServerA に、4 番めの RRQ は ServerB に、5 番めと 6 番めの RRQ は ServerC に割り当てられます。
スタティックまたはダイナミックなロード バランシングを実行するよう IOS SLB を設定できます。サーバ ファームの各 HA に重みをスタティックに割り当てることで、スタティック ロード バランシングを実行できます。SLB の DFP マネージャと実 HA の DFP クライアントそれぞれに、DFP を設定することで、ダイナミック ロード バランシングを実行できます。
HA-SLB の動作モード
HA-SLB は 2 つのモード(dispatched モードと Direct[NAT サーバ]モード)で動作します。
dispatched モードでは、仮想サーバ アドレスは HA に通知されます。HA-SLB は Media Access Control(MAC; メディア アクセス制御)レイヤでパケットを単に HA にリダイレクトします。これにより、HA は SLB に隣接するレイヤ 2 でなければいけません。
Direct モードでは、HA-SLB は NAT サーバ モードで動作し、RRQ の宛先 IP アドレスを実サーバの IP アドレスに変更することで、RRQ を HA へルーティングします。この場合、HA は SLB に隣接するレイヤ 2 である必要はありません。
ルータにモバイル IP HA 冗長性を設定するには、次のセクションで説明する手順を実行します。
• 「HA ロード バランシングの設定」
• 「サーバ ロード バランシングの設定」
HA ロード バランシングの設定
HA ロード バランシング機能をイネーブルにするには、次の手順を実行します。
| |
|
|
ステップ 1 |
Router(config)# ip mobile home-agent dynamic-address ip address |
レジストレーション応答パケットの Home Agent Address フィールドを設定します。Home Agent Address フィールドを ip address に設定します。このコマンドは HA で設定されます。 |
サーバ ロード バランシングの設定
HA でモバイル IP SLB 機能をイネーブルにするには、次の手順を実行します。
| |
|
|
ステップ 1 |
Router(config)# ip slb vserver name Router(config-slb-vserver)# virtual ip address udp 434 service ipmobile |
モバイル IP SLB 機能をイネーブルにします。ip address は、PDSN/FA からのレジストレーション要求の送信先である仮想 HA のアドレスです。これは、SLB スーパーバイザで設定されます。 |
HA-SLB の設定例
次に、設定の詳細の検証方法を含めた、さまざまな HA-SLB 設定を示します。
スタティックな重みが設定された dispatched モード
SLB での設定:
次のコマンドは、サーバ ファーム「HAFARM」を設定し、2 つの実サーバ(HA)とサーバ ファームを関連付けます。実サーバにはスタティックな重みが設定されます。
次のコマンドは、SLB の「ipmobile」としてのサービスを仮想サーバに設定し、サーバ ファーム「HAFARM」と仮想サーバを関連付けます。任意で、idle ipmobile request idle-time-val コマンドは、セッション オブジェクトが存在する期間を設定します。
virtual 10.1.1.10 udp 434 service ipmobile
idle ipmobile request 300
HA での設定
次のコマンドは、HA にループバック アドレスとして仮想サーバ アドレスを設定します。この設定は、dispatched モードにのみ必要です。
ip address 10.1.1.10 255.255.255.0
次のコマンドは、実 HA のアドレスに対して、RRP の送信元アドレスおよび HA address フィールドを設定します。この設定は、dispatched モードにのみ必要です。
ip mobile home-agent dynamic-address 10.1.1.51
SLB での出力表示:
次のコマンドは、サーバ ファーム「HAFARM」のステータス、関連付けられた実サーバ、およびそのステータスを示します。各実サーバに割り当てられた接続の数も示します。
次の出力表示は、HA-SLB が 2 つの実 HA(HA ごとに 2 つの接続)上で等しくロード バランシングした、4 つの MIP セッションを開始したあとに取得されました。
SLB-7600#show ip slb reals
real farm name weight state conns
-------------------------------------------------------------------
20.1.1.51 HAFARM 1 OPERATIONAL 2
20.1.1.52 HAFARM 1 OPERATIONAL 2
次のコマンドは、実行時またはセッション オブジェクトが存在する場合のセッションをすべて表示します。
SLB-7600#show ip slb sessions ipmobile
vserver NAI hash client real state
-------------------------------------------------------------------------------------------
MIPSLB A984DF0A00000000 15.1.1.51 20.1.1.52 IPMOBILE_ESTAB
MIPSLB 1DC0E31400000000 15.1.1.51 20.1.1.52 IPMOBILE_ESTAB
MIPSLB 2BDEE91100000000 15.1.1.51 20.1.1.51 IPMOBILE_ESTAB
MIPSLB 47E2FD1B00000000 15.1.1.51 20.1.1.51 IPMOBILE_ESTAB
HA での出力表示:
次のコマンドは、HA1 および HA2 で開始していた 2 つのバインディングを示します。
HA1-7600#show ip mobile binding summary
HA2-7600#show ip mobile binding summary
DFP を使用した dispatched モード
SLB での設定:
次のコマンドは、サーバ ファーム「HAFAR」を設定し、2 つの実サーバ(HA)とサーバ ファームを関連付けます。
次のコマンドは、SLB の「ipmobile」としてのサービスを仮想サーバに設定し、サーバ ファーム HAFARM と仮想サーバを関連付けます。次の任意の idle ipmobile request idle-time-val コマンドは、セッション オブジェクトが存在する期間を設定します。
virtual 10.1.1.10 udp 434 service ipmobile
idle ipmobile request 300
次のコマンドは、HA-SLB に DFP マネージャを設定し、HA-SLB の接続先の 2 つの DFP エージェント(クライアント)を割り当てます。
HA での設定
次のコマンドは、HA にループバック アドレスとして仮想サーバ アドレスを設定します。この設定は、dispatched モードにのみ必要です。
ip address 10.1.1.10 255.255.255.0
次のコマンドは、実 HA に DFP エージェントを設定します。ここで設定されたポート番号は DFP マネージャで指定されたポート番号と一致する必要があります。
次のコマンドは、実 HA のアドレスに対して、RRP の送信元アドレスおよび HA address フィールドを設定します。この設定は、dispatched モードにのみ必要です。
ip mobile home-agent dynamic-address 10.1.1.51
SLB での出力表示:
次のコマンドは、DFP の設定時に HA が最初の重み 25(デフォルトの重み)を報告することを検証します。
SLB-7600#show ip slb dfp weights
Real IP Address: 10.1.1.51 Protocol: UDP Port: 434 Bind_ID: 65535 Weight: 25
Set by Agent 10.1.1.51:500 at 14:59:23 UTC 04/21/03
Real IP Address: 10.1.1.52 Protocol: UDP Port: 434 Bind_ID: 65535 Weight: 25
Set by Agent 10.1.1.52:500 at 14:59:15 UTC 04/21/03
次のコマンドは、サーバ ファーム「HAFARM」のステータス、関連付けられた実サーバ、およびそのステータスを示します。各実サーバに割り当てられた接続の数も示します。
次の出力表示は、HA-SLB が 2 つの実 HA(HA ごとに 50 の接続)上で等しくロード バランシングした、100 の MIP セッションを開始したあとに取得されました。
SLB-7600#show ip slb reals
real farm name weight state conns
-------------------------------------------------------------------
10.1.1.51 HAFARM 24 OPERATIONAL 50
10.1.1.52 HAFARM 24 OPERATIONAL 50
HA での出力表示:
次のコマンドは、HA1 および HA2 で開始していた 50 のバインディングを検証します。
HA1-7600#show ip mobile binding summary
HA2-7600#show ip mobile binding summary
現在、バインディングの数とメモリ使用量は、HA-SLB のロード バランシングを計算するためのものとみなされます。各実サーバ(HA)の CPS(秒単位のコールの周波数)およびスループット パラメータを考慮することで、既存の DFP の重み計算式を修正できます。
毎分計算された HA での CPS は Usage CPS と呼ばれ、HA が処理できる最大値の一部(使用可能な CPS)に設定できます。Usage CPS が使用可能な CPS に到達したら、HA 実サーバは低い重みを SLB に戻します。
ルータでスループットを計算することは困難です。これはパケット処理のための割り込み CPU を使用することで解決できます。
上記の 2 つのパラメータから次の式が得られます。
dfp_weight =(Maxbindings - NumberofBindings)×(cpu+mem)×
(Available cps - Usage cps)× dftp_max_weight ÷(Maxbindings × 32 × Available cps)
(注) 現在、メトリックを含んだ MIB アイテムは使用できません。
スタティックな重みが設定された Direct モード
SLB での設定:
次のコマンドは、サーバ ファーム「HAFARM」を設定し、2 つの実サーバ(HA)とサーバ ファームを関連付けます。実サーバにはスタティックな重みが設定されます。nat server コマンドは、HA-SLB を動作の Direct(NAT サーバ)モードに設定します。
virtual 10.1.1.10 udp 434 service ipmobile
idle ipmobile request 300
SLB での出力表示:
次に、サーバ ファーム HAFARM のステータス、関連付けられた実サーバ、およびそのステータスの例を示します。各実サーバに割り当てられた接続の数も示します。
次の出力表示は、HA-SLB が 2 つの実 HA(HA ごとに 2 つの接続)上で等しくロード バランシングした、4 つの MIP セッションを開始したあとに取得されました。
SLB-7600#show ip slb reals
real farm name weight state conns
-------------------------------------------------------------------
10.1.1.51 HAFARM 1 OPERATIONAL 2
10.1.1.52 HAFARM 1 OPERATIONAL 2
次のコマンドは、実行時またはセッション オブジェクトが存在する場合のセッションをすべて表示します。
SLB-7600#show ip slb sessions ipmobile
vserver NAI hash client real state
-----------------------------------------------------------------------------
MIPSLB A984DF0A00000000 15.1.1.51 10.1.1.52 IPMOBILE_ESTAB
MIPSLB 1DC0E31400000000 15.1.1.51 10.1.1.52 IPMOBILE_ESTAB
MIPSLB 2BDEE91100000000 15.1.1.51 10.1.1.51 IPMOBILE_ESTAB
MIPSLB 47E2FD1B00000000 15.1.1.51 10.1.1.51 IPMOBILE_ESTAB
HA での出力表示:
次に、HA1 および HA2 で開始していた 2 つのバインディングの例を示します。
HA1-7600#show ip mobile binding summary
HA2-7600#show ip mobile binding summary
イネーブルである次のデバッグは、NAT サーバ モードが動作中であることを示します。
SLB-7600#debug ip slb sessions ipmobile
*Apr 21 15:25:58: %SYS-5-CONFIG_I: Configured from console by console
*Apr 21 15:26:03: SLB_SESSION_IPMOBILE: client = 15.1.1.51, NAI: mwts-mip-np-user1@ispxyz.com, length: 28
*Apr 21 15:26:03: SLB_SESSION_IPMOBILE: event= IPMOBILE_REQ_REQUEST, state= IPMOBILE_INIT -> IPMOBILE_ESTAB
*Apr 21 15:26:03: SLB_SESSION: v_ip= 15.1.1.10:434 ( 7), real= 10.1.1.51, NAT= S
*Apr 21 15:26:03: SLB_SESSION: client= 15.1.1.51:434 session_key= 47E2FD1B00000000
DFP を使用した Direct モード
SLB での設定:
次のコマンドは、サーバ ファーム「HAFARM」を設定し、2 つの実サーバ(HA)とサーバ ファームを関連付けます。nat server コマンドは、HA-SLB を動作の Direct(NAT サーバ)モードに設定します。
次のコマンドは、SLB の「ipmobile」としてのサービスを仮想サーバに設定し、サーバ ファーム HAFARM と仮想サーバを関連付けます。任意の idle ipmobile request idle-time-val コマンドは、セッション オブジェクトが存在する期間を設定します。
virtual 10.1.1.10 udp 434 service ipmobile
idle ipmobile request 300
次のコマンドは、HA-SLB に DFP マネージャを設定し、HA-SLB の接続先の 2 つの DFP エージェント(クライアント)を割り当てます。
HA での設定
次のコマンドは、実 HA に DFP エージェントを設定します。設定されたポート番号は DFP マネージャで指定されたポート番号と一致する必要があります。
SLB での出力表示:
次のコマンドは、DFP の設定時に HA が最初の重み 25(デフォルトの重み)を報告することを検証します。
SLB-7600#show ip slb dfp weights
Real IP Address: 10.1.1.51 Protocol: UDP Port: 434 Bind_ID: 65535 Weight: 25
Set by Agent 10.1.1.51:500 at 14:59:23 UTC 04/21/03
Real IP Address: 10.1.1.52 Protocol: UDP Port: 434 Bind_ID: 65535 Weight: 25
Set by Agent 10.1.1.52:500 at 14:59:15 UTC 04/21/03
次のコマンドは、サーバ ファーム「HAFARM」のステータス、関連付けられた実サーバ、およびそのステータスを示します。各実サーバに割り当てられた接続の数も示します。
次の出力表示は、HA-SLB が 2 つの実 HA(HA ごとに 50 の接続)上で等しくロード バランシングした、100 の MIP セッションを開始したあとに取得されました。
SLB-7600#show ip slb reals
real farm name weight state conns
-------------------------------------------------------------------
10.1.1.51 HAFARM 24 OPERATIONAL 50
10.1.1.52 HAFARM 24 OPERATIONAL 50
HA での出力表示:
次のコマンドは、HA1 および HA2 で開始していた 50 のバインディングを示します。
HA1-7600#show ip mobile binding summary
HA2-7600#show ip mobile binding summary
イネーブルである次のデバッグは、NAT サーバ モードが動作中であることを示します。
SLB-7600#debug ip slb sessions ipmobile
*Apr 21 15:47:16: SLB_SESSION_IPMOBILE: client = 10.1.1.51, NAI: mwts-mip-np-user1@ispxyz.com, length: 28
*Apr 21 15:47:16: SLB_SESSION_IPMOBILE: event= IPMOBILE_REQ_REQUEST, state= IPMOBILE_INIT -> IPMOBILE_ESTAB
*Apr 21 15:47:16: SLB_SESSION: v_ip= 10.1.1.10:434 ( 7), real= 20.1.1.51, NAT= S
*Apr 21 15:47:16: SLB_SESSION: client= 10.1.1.51:434 session_key= 47E2FD1B00000000
*Apr 21 15:47:16: SLB_SESSION_IPMOBILE: client = 15.1.1.51, NAI: mwts-mip-np-user2@ispxyz.com, length: 28
*Apr 21 15:47:16: SLB_SESSION_IPMOBILE: event= IPMOBILE_REQ_REQUEST, state= IPMOBILE_INIT -> IPMOBILE_ESTAB
*Apr 21 15:47:16: SLB_SESSION: v_ip= 10.1.1.10:434 ( 7), real= 20.1.1.51, NAT= S
*Apr 21 15:47:16: SLB_SESSION: client= 10.1.1.51:434 session_key= 1DC0E31400000000
動作の Direct モードおよび暗号転送モードが Tunnel である場合
virtual 15.1.1.10 udp 434 service ipmobile
次のコマンドは、HA-SLB で IPSEC を設定します。
crypto isakmp key cisco address 10.1.1.51
crypto ipsec transform-set esp-des-sha-transport ah-sha-hmac esp-des
crypto map l2tpmap 10 ipsec-isakmp
set transform-set esp-des-sha-transport
interface GigabitEthernet6/1 (inside port of the IPSEC module)
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,15,1002-1005
interface GigabitEthernet6/2 (outside port of the IPSEC module)
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,16,1002-1005
interface FastEthernet3/15
ip address 10.1.1.15 255.0.0.0
access-list 101 permit ip host 10.1.1.10 host 10.1.1.51
PDSN での設定:
The following commands configure IPSEC on PDSN:
crypto isakmp key cisco address 10.1.1.15
crypto ipsec transform-set esp-des-sha-transport esp-des esp-sha-hmac
crypto map l2tpmap 10 ipsec-isakmp
set transform-set esp-des-sha-transport
interface FastEthernet1/0
ip address 10.1.1.51 255.0.0.0
access-list 101 permit ip host 10.1.1.51 host 10.1.1.10
clear crypto isakmp および clear crypto sa を PDSN および SLB で実行します。複数の MIP フローを開きます。
PDSN での出力表示:
次のコマンドを使用して、PDSN から送信されたパケットが暗号化されているか確認します。
PDSN-7600#sh crypto ipsec sa
interface: FastEthernet1/0
Crypto map tag: l2tpmap, local addr. 10.1.1.51
local ident (addr/mask/prot/port): (10.1.1.51/255.255.255.255/0/0)
remote ident (addr/mask/prot/port): (10.1.1.10/255.255.255.255/0/0)
PERMIT, flags={origin_is_acl,}
#pkts encaps: 4, #pkts encrypt: 4, #pkts digest 4
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
#send errors 4, #recv errors 0
local crypto endpt.: 10.1.1.51, remote crypto endpt.: 10.1.1.15
path mtu 1500, media mtu 1500
current outbound spi: 1A274E9D
spi: 0xD3D5F08B(3554013323)
in use settings ={Tunnel, }
slot: 0, conn id: 2002, flow_id: 1, crypto map: l2tpmap
sa timing: remaining key lifetime (k/sec): (4608000/3026)
replay detection support: Y
spi: 0x7FEE86C3(2146338499)
in use settings ={Tunnel, }
slot: 0, conn id: 2000, flow_id: 1, crypto map: l2tpmap
sa timing: remaining key lifetime (k/sec): (4608000/3026)
replay detection support: Y
spi: 0x1A274E9D(438783645)
in use settings ={Tunnel, }
slot: 0, conn id: 2003, flow_id: 2, crypto map: l2tpmap
sa timing: remaining key lifetime (k/sec): (4607999/3026)
replay detection support: Y
in use settings ={Tunnel, }
slot: 0, conn id: 2001, flow_id: 2, crypto map: l2tpmap
sa timing: remaining key lifetime (k/sec): (4607999/3026)
replay detection support: Y
SLB での出力表示:
次のコマンドを使用して、HA-SLB が受信したパケットが復号化されているか確認します。
SLB1-7600#sh crypto ipsec sa
Crypto map tag: l2tpmap, local addr. 10.1.1.15
local ident (addr/mask/prot/port): (10.1.1.10/255.255.255.255/0/0)
remote ident (addr/mask/prot/port): (10.1.1.51/255.255.255.255/0/0)
PERMIT, flags={origin_is_acl,}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0
#pkts decaps: 4, #pkts decrypt: 4, #pkts verify 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 15.1.1.15, remote crypto endpt.: 10.1.1.51
path mtu 1500, media mtu 1500
current outbound spi: D6C550E1
spi: 0x267FCD46(645909830)
in use settings ={Tunnel, }
slot: 0, conn id: 11027, flow_id: 63, crypto map: l2tpmap
sa timing: remaining key lifetime (k/sec): (4607999/3581)
replay detection support: Y
spi: 0xF779A01E(4151943198)
in use settings ={Tunnel, }
slot: 0, conn id: 11025, flow_id: 63, crypto map: l2tpmap
sa timing: remaining key lifetime (k/sec): (4607999/3581)
replay detection support: Y
spi: 0xD6C550E1(3603255521)
in use settings ={Tunnel, }
slot: 0, conn id: 11028, flow_id: 64, crypto map: l2tpmap
sa timing: remaining key lifetime (k/sec): (4608000/3581)
replay detection support: Y
spi: 0x325BEB84(844884868)
in use settings ={Tunnel, }
slot: 0, conn id: 11026, flow_id: 64, crypto map: l2tpmap
sa timing: remaining key lifetime (k/sec): (4608000/3581)
replay detection support: Y
SLB1-7600#sh ip slb sessions ipmobile
vserver NAI hash client real state
-----------------------------------------------------------------------------
IPSECSLB A984DF0A00000000 10.1.1.51 10.99.11.12 IPMOBILE_ESTAB
IPSECSLB 1DC0E31400000000 10.1.1.51 10.99.11.12 IPMOBILE_ESTAB
IPSECSLB 2BDEE91100000000 10.1.1.51 10.99.11.11 IPMOBILE_ESTAB
IPSECSLB 47E2FD1B00000000 10.1.1.51 10.99.11.11 IPMOBILE_ESTAB
SLB1-7600#sh ip slb reals
real farm name weight state conns
-------------------------------------------------------------------
10.99.11.11 FARM1 1 OPERATIONAL 2
10.99.11.12 FARM1 1 OPERATIONAL 2
HA5-2#sh ip mob binding summary
HA5-3#sh ip mob binding summary
SLB でのデバッグの出力:
イネーブルである次のデバッグは、NAT サーバ モードが動作中であることを示します。
SLB1-7600#debug ip slb sessions ipmobile
*Jul 1 05:25:25.513: SLB_SESSION_IPMOBILE: event= IPMOBILE_TIMEOUT, state= IPMOBILE_ESTAB -> IPMOBILE_INIT
*Jul 1 05:25:25.513: SLB_SESSION: v_ip= 15.1.1.10:434 ( 7), real= 99.99.11.12, NAT= S
*Jul 1 05:25:25.513: SLB_SESSION: client= 15.1.1.51:434 session_key= A984DF0A00000000
*Jul 1 05:25:25.513: SLB_SESSION_IPMOBILE: event= IPMOBILE_TIMEOUT, state= IPMOBILE_ESTAB -> IPMOBILE_INIT
*Jul 1 05:25:25.513: SLB_SESSION: v_ip= 15.1.1.10:434 ( 7), real= 99.99.11.11, NAT= S
*Jul 1 05:25:25.513: SLB_SESSION: client= 15.1.1.51:434 session_key= 2BDEE91100000000
*Jul 1 05:25:25.513: SLB_SESSION_IPMOBILE: event= IPMOBILE_TIMEOUT, state= IPMOBILE_ESTAB -> IPMOBILE_INIT
動作の Direct モードおよび暗号転送モードが Transport である場合
SLB での設定:
virtual 10.1.1.10 udp 434 service ipmobile
次のコマンドは、HA-SLB で IPSEC を設定します。
crypto isakmp key cisco address 10.1.1.51
crypto ipsec transform-set esp-des-sha-transport ah-sha-hmac esp-des
mode transport (The crypto mode is configured as transport )
crypto map l2tpmap 10 ipsec-isakmp
set transform-set esp-des-sha-transport
interface GigabitEthernet6/1 (inside port of the IPSEC module)
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,15,1002-1005
interface GigabitEthernet6/2 (outside port of the IPSEC module)
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,16,1002-1005
interface FastEthernet3/15
ip address 15.1.1.15 255.0.0.0
access-list 101 permit ip host 15.1.1.10 host 15.1.1.51
PDSN での設定:
次のコマンドは、PDSN で IPSEC を設定します。
crypto isakmp key cisco address 10.1.1.15
crypto ipsec transform-set esp-des-sha-transport esp-des esp-sha-hmac
mode transport (The crypto mode is configured as transport )
crypto map l2tpmap 10 ipsec-isakmp
set transform-set esp-des-sha-transport
interface FastEthernet1/0
ip address 10.1.1.51 255.0.0.0
access-list 101 permit ip host 15.1.1.51 host 15.1.1.10
clear crypto isakmp および clear crypto sa を PDSN および SLB で実行します。複数の MIP フローを開きます。
PDSN での出力表示:
次のコマンドを使用して、PDSN から送信されたパケットが暗号化されているか確認します。
PDSN-7600#sh crypto ipsec sa
interface: FastEthernet1/0
Crypto map tag: l2tpmap, local addr. 10.1.1.51
local ident (addr/mask/prot/port): (10.1.1.51/255.255.255.255/0/0)
remote ident (addr/mask/prot/port): (10.1.1.10/255.255.255.255/0/0)
PERMIT, flags={origin_is_acl,}
#pkts encaps: 4, #pkts encrypt: 4, #pkts digest 4
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
#send errors 4, #recv errors 0
local crypto endpt.: 10.1.1.51, remote crypto endpt.: 10.1.1.15
path mtu 1500, media mtu 1500
current outbound spi: 6A0EBD82
spi: 0x13E0E556(333505878)
in use settings ={Tunnel, }
slot: 0, conn id: 2002, flow_id: 1, crypto map: l2tpmap
sa timing: remaining key lifetime (k/sec): (4608000/3535)
replay detection support: Y
spi: 0xEFEEE153(4025409875)
in use settings ={Tunnel, }
slot: 0, conn id: 2000, flow_id: 1, crypto map: l2tpmap
sa timing: remaining key lifetime (k/sec): (4608000/3535)
replay detection support: Y
spi: 0x6A0EBD82(1779350914)
in use settings ={Tunnel, }
slot: 0, conn id: 2003, flow_id: 2, crypto map: l2tpmap
sa timing: remaining key lifetime (k/sec): (4607999/3535)
replay detection support: Y
spi: 0x49BE92A3(1237226147)
in use settings ={Tunnel, }
slot: 0, conn id: 2001, flow_id: 2, crypto map: l2tpmap
sa timing: remaining key lifetime (k/sec): (4607999/3535)
replay detection support: Y
SLB での出力表示:
SLB1-7600#sh ip slb sessions ipmobile
vserver NAI hash client real state
-----------------------------------------------------------------------------
IPSECSLB A984DF0A00000000 10.1.1.51 99.99.11.12 IPMOBILE_ESTAB
IPSECSLB 1DC0E31400000000 10.1.1.51 99.99.11.12 IPMOBILE_ESTAB
IPSECSLB 2BDEE91100000000 10.1.1.51 99.99.11.11 IPMOBILE_ESTAB
IPSECSLB 47E2FD1B00000000 10.1.1.51 99.99.11.11 IPMOBILE_ESTAB
SLB1-7600#sh ip slb reals
real farm name weight state conns
-------------------------------------------------------------------
99.99.11.11 FARM1 1 OPERATIONAL 2
99.99.11.12 FARM1 1 OPERATIONAL 2
次のコマンドを使用して、HA-SLB が受信したパケットが復号化されているか確認します。
SLB1-7600#sh crypto ipsec sa
Crypto map tag: l2tpmap, local addr. 10.1.1.15
local ident (addr/mask/prot/port): (10.1.1.10/255.255.255.255/0/0)
remote ident (addr/mask/prot/port): (10.1.1.51/255.255.255.255/0/0)
PERMIT, flags={origin_is_acl,}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0
#pkts decaps: 4, #pkts decrypt: 4, #pkts verify 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 15.1.1.15, remote crypto endpt.: 15.1.1.51
path mtu 1500, media mtu 1500
current outbound spi: 13E0E556
spi: 0x6A0EBD82(1779350914)
in use settings ={Tunnel, }
slot: 0, conn id: 11031, flow_id: 65, crypto map: l2tpmap
sa timing: remaining key lifetime (k/sec): (4607999/3527)
replay detection support: Y
spi: 0x49BE92A3(1237226147)
in use settings ={Tunnel, }
slot: 0, conn id: 11029, flow_id: 65, crypto map: l2tpmap
sa timing: remaining key lifetime (k/sec): (4607999/3527)
replay detection support: Y
spi: 0x13E0E556(333505878)
in use settings ={Tunnel, }
slot: 0, conn id: 11032, flow_id: 66, crypto map: l2tpmap
sa timing: remaining key lifetime (k/sec): (4608000/3527)
replay detection support: Y
spi: 0xEFEEE153(4025409875)
in use settings ={Tunnel, }
slot: 0, conn id: 11030, flow_id: 66, crypto map: l2tpmap
sa timing: remaining key lifetime (k/sec): (4608000/3524)
replay detection support: Y
HA での出力表示:
HA5-2#sh ip mob binding summary
HA5-3#sh ip mob binding summary
フィードバック