この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
シングル サブネット(ブリッジ)モードおよびセキュア(ルータ)モードでCSMを設定できます。ここでは、モードについて説明します。
シングル サブネット(ブリッジ) モード コンフィギュレーションでは、クライアント側およびサーバ側VLANを同一サブネット上に配置します。図 2-1 では、シングル サブネット(ブリッジ)モード コンフィギュレーションの設定方法を示しています。
(注) 図 2-1 に表示されているアドレスは、次の手順の各ステップに関連しています。
(注) シングル サブネット(ブリッジ)モードを設定するには、CSMのクライアントおよびサーバVLANに同じIPアドレスを割り当てます。
コンテント スイッチングをシングル サブネット(ブリッジ)モードとして設定する手順は、次のとおりです。
|
|
|
---|---|---|
|
VLANモードを開始します1。 |
|
|
クライアント側VLANを設定します2。 |
|
|
||
|
||
|
クライアント側VLAN 2を作成し、SLB VLANモードを開始します1。 |
|
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
仮想サーバをサーバ ファームに関連付けます3。 |
|
|
1.モードまたはサブモードを終了するには、exitコマンドを入力します。メニューのトップ レベルに戻るには、end コマンドを入力します。 2.デフォルトの設定に戻すには、このコマンドのno形式を使用します。 3.このステップでは、サーバ ファームが設定してあるものと想定しています(「サーバ ファームの設定」を参照)。 |
(注) サーバのデフォルト ルートをルータ A のゲートウェイ(192.158.38.20)またはルータ B のゲートウェイ(192.158.38.21)に設定します。
セキュア(ルータ) モードでは、クライアント側およびサーバ側VLANは異なるサブネット上にあります。
コンテント スイッチングをセキュア(ルータ)モードに設定する手順は、次のとおりです。
|
|
|
---|---|---|
|
VLANモードを開始します4。 |
|
|
クライアント側VLANを設定します5。 |
|
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
仮想サーバをサーバ ファームに関連付けます6。 |
|
|
4.モードまたはサブモードを終了するには、exitコマンドを入力します。メニューのトップ レベルに戻るには、end コマンドを入力します。 5.デフォルトの設定に戻すには、このコマンドのno形式を使用します。 6.このステップでは、サーバ ファームが設定してあるものと想定しています(「サーバ ファームの設定」を参照)。 |
(注) サーバのデフォルト ルートをCSMのIPアドレス(192.158.39.10)に設定します。
ここでは、CSMのネットワーキング トポロジーについて説明します。
• 「CSM はインラインで、MSFC はクライアント側にある場合」
図 2-2 では、MSFC との相互作用がないレイヤ3構成でのCSMを示しています。
• MSFCは、CSM VLAN(仮想LAN)をルーティングしていません。
図 2-3では、MSFCがサーバ側にある構成でのCSMを示しています。
図 2-3 CSMはインラインで、MSFCはサーバ側にある場合
• サーバ間のロードバランス接続には、常にSecure NAT(SNAT)が必要です。
• CSMは、アップストリーム ルータ(デフォルト ゲートウェイ)にはスタティック ルートを使用する必要があります。
図 2-4 では、MSFC がクライアント側にある構成でのCSMを示しています。
図 2-4 CSM はインラインで、MSFC はクライアント側にある場合
図 2-5 では、集約モード構成でのCSMを示しています。
• CSMがインラインでないため、モジュールは不要なトラフィックを認識しません。
• 戻りトラフィックが必要なので、PBR またはクライアント SNAT が必要です。
図 2-6 では、ダイレクト サーバ リターン構成のCSMを示しています。
• ロードバランサでは、高度なスループットまたは帯域幅は必要ありません。
• TCPフローは、常にタイムアウトにしておく必要があります。
ロードバランス接続を転送および確保する場合は、CSM がルーティングを決定する必要があります。ただし CSM は、ルーティング プロトコルの実行、および MSFC ルーティング テーブルへのアクセスを行いません。CSM は3タイプのエントリを使用して、CSM 独自のルーティング テーブルを構築します。
これらのサブネットは、CSM クライアントまたはサーバ VLAN 上に設定されます。
デフォルト ゲートウェイは、クライアントまたはサーバVLANコンフィギュレーション サブモード内部から、 gateway キーワードを使用して設定されます。 第 4 章「VLANの設定」 を参照してください。今回のリリースでは、最大 511 個のデフォルト ゲートウェイを設定できます。ただし同一VLANには、7つ以上のデフォルト ゲートウェイを設定することはできません。
ほとんどの構成では、デフォルト ゲートウェイは(または簡略化されて)1つです。このゲートウェイは、アップストリーム ルータ(またはアップストリーム ルータ ペアを表す HSRP IP アドレス)を示し、結果的に、多様なスタティック ルートを示しています。
スタティック ルートは、クライアントまたはサーバVLANコンフィギュレーション サブモード内部から、 route キーワードを使用して設定されます。 第 4 章「VLANの設定」 を参照してください。スタティック ルートは、サーバがレイヤ2に隣接していない場合に便利です。
複数のデフォルト ゲートウェイがサポートされています。ただしCSMが未知の宛先にルーティングを決定する必要がある場合、CSM は干渉も制御もされることなく、無作為にゲートウェイを 1 つ選択するという状況を作成します。この動作を制御するには、次の項で説明されているプレディクタ転送オプションを使用します。
CSM が、ルーティングを決定する必要があるのは、次の 3 つの状況のときです。
このとき、CSM はこの接続用の戻りトラフィックの送信先を決定する必要があります。他の装置とは異なり CSM はルートのルックアップを実行しませんが、最初の接続パケットを受信した場所からの送信元 MAC アドレスを記憶します。この接続の戻りトラフィックは、送信元 MAC アドレスに送り返されます。また、この動作はアップストリーム ルータ間の冗長プロトコル(HSRPなど)と連動しています。
サーバはCSMをデフォルト ゲートウェイと決めて、接続を開始します。
• サーバ ファームが、プレディクタ転送オプションで設定されている場合( 第 5 章「実サーバおよびサーバ ファームの設定」 を参照)。このプレディクタはCSMに接続のロードバランシングではなく、ルーティングするように指示します。
ゲートウェイが複数ある場合、ゲートウェイで設定されたサーバ ファームを固有の実サーバとして使用して、最初の2つの状況を簡略化することができます。「サーバを送信元とする VIP への接続用の送信元 NAT の設定」を参照してください。
CSM は、ロードバランシング装置の保護、および CSM 自体を DoS 攻撃から保護するために、さまざまな機能を実装しています。これらの機能の多くは、CSM により制御され着信トラフィック量を調整しているため、ユーザが設定することはできません。
(注) SYN CookieはCookieの同期化とは異なる機能なので、混同しないでください。ここでは、SYN Cookie 機能についてのみ説明します。
保留接続数が設定可能なスレッシュホールドを超えると、CSM は SYN Cookie 機能を使用して、生成されたシーケンス番号ですべての接続ステート情報の暗号化を開始します。その結果、CSM は TCP 接続の保留(完全に確立されていない)にフロー ステートを消費できないようなります。この動作はハードウェアに完全に実装されているので、SYN 攻撃から保護しています。
この機能は仮想サーバ単位で設定可能で、秒単位で指定された設定タイムアウト時間内に適切に確立されていない接続をタイムアウトにすることができます。
この機能は仮想サーバ単位で設定可能で、接続が確立されてから、タイマーで設定されたインターバル時間内にトラフィックを渡さなかった場合、タイムアウトにすることができます。
レイヤ7ロードバランシングにTCP終端を必要としない接続もあります。これらの実サーバとの接続をロードバランシングする前に、すべての着信TCP接続を終了するように任意の仮想サーバに設定することができます。この設定により、レイヤ4ロードバランシング環境にあるすべてのCSM DoS機能を利用できるようになります。