지정 모드 컨피그레이션의 CSM에서 VPN 로드 밸런싱 예

다운로드 옵션

  • PDF     (209.7 KB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (104.0 KB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (135.6 KB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2005년 11월 30일
문서 ID:63390

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 CSM(Content Switching Module)에서 VPN 로드 밸런싱을 위한 샘플 컨피그레이션을 제공합니다.VPN 로드 밸런싱은 VPN Concentrator 또는 VPN 헤드엔드 디바이스 집합을 따라 VPN 세션을 지능적으로 배포하는 메커니즘입니다.VPN 로드 밸런싱은 다음과 같은 이유로 구현됩니다.

  • VPN 디바이스의 성능 또는 확장성 제한을 극복합니다.예를 들어, 초당 패킷, 초당 연결 및 처리량

  • 이중화 제공(단일 장애 지점 제거)

사전 요구 사항

요구 사항

이 구성을 시도하기 전에 다음 요구 사항을 충족해야 합니다.

  • 헤드엔드 디바이스에서 RRI(Reverse Route Injection)를 구현하여 스포크의 라우팅 정보를 자동으로 전파합니다.

  • 동일한 서브넷을 공유하려면 VLAN 61 및 51을 활성화합니다.

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

  • Cisco Catalyst 6500(CSM 포함)

  • Cisco 2621 Router

  • Cisco 7206

  • Cisco 7206VXR

  • Cisco 7204VXR

  • Cisco 7140

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참고하십시오.

구성

이 섹션에는 이 문서에서 설명하는 기능을 구성하기 위한 정보가 표시됩니다.

참고: 명령 조회 도구(등록된 고객만 해당)를 사용하여 이 섹션에 사용된 명령에 대한 자세한 내용을 확인하십시오.

네트워크 다이어그램

이 문서에서는 다음 네트워크 설정을 사용합니다.

vpnlb-csm-directed.gif

구성

이 문서에서는 다음 구성을 사용합니다.

CSM 컨피그레이션

다음 단계를 완료하십시오.

  1. 헤드엔드 디바이스에서 RRI를 구현하여 스포크의 라우팅 정보를 자동으로 전파합니다.

    참고: VLAN 61과 VLAN 51은 동일한 서브넷을 공유합니다.

  2. VLAN 클라이언트 및 VLAN 서버를 정의합니다.

  3. IPSec 서버의 상태를 확인하는 데 사용되는 프로브를 정의합니다.

    
!--- The CSM is located in slot 4.

module ContentSwitchingModule 4
 vlan 51 client
  ip address 172.21.51.244 255.255.255.240
!
 vlan 61 server
  ip address 172.21.51.244 255.255.255.240
!
 probe ICMP_PROBE icmp
  interval 5
  retries 2
!

  4. 실제 IPSec 서버로 서버 팜을 정의합니다.

  5. 장애 조치 제거를 구성하여 데드 서버에 속하는 연결을 플러시합니다.

  6. 고정 정책을 정의합니다.

    
!--- Serverfarm VPN_IOS and real server members.

serverfarm VPN_IOS
  nat server
  no nat client

!--- Set the behavior of connections when the real servers have failed.

  failaction purge
  real 172.21.51.242
   inservice
  real 172.21.51.247
   inservice
  probe ICMP_PROBE
!
 !--- Ensure that connections from the same client match the same server !--- load balancing (SLB) policy. !--- Use the same real server on subsequent connections; issue the !--- sticky command.

 sticky 5 netmask 255.255.255.255 timeout 60
!
policy VPNIOS
  sticky-group 5
  serverfarm VPN_IOS
!

  7. 트래픽 플로우당 하나씩 VServers를 정의합니다.

    
!--- Virtual server VPN_IOS_ESP.

vserver VPN_IOS_ESP

 !--- The virtual server IP address is specified.

  virtual 172.21.51.253 50
 !--- Persistence rebalance is used for HTTP 1.1, to rebalance the connection !--- to a new server using the load balancing policy.

  persistent rebalance  
 !--- Associate the load balancing policy with the VPNIOS virtual server.

  slb-policy VPNIOS
  inservice
!
 vserver VPN_IOS_IKE
  virtual 172.21.51.253 udp 500
  persistent rebalance
  slb-policy VPNIOS
  inservice
!

헤드 엔드 라우터 컨피그레이션 - 7206VXR 

crypto isakmp policy 10
 authentication pre-share
crypto isakmp key cisco123 address 0.0.0.0
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac
crypto mib ipsec flowmib history tunnel size 200
crypto mib ipsec flowmib history failure size 200
!
crypto dynamic-map mydyn 10
 set transform-set myset
 reverse-route
!
crypto map mymap 10 ipsec-isakmp dynamic mydyn
!
interface FastEthernet0/0
ip address 172.21.51.247 255.255.255.240
crypto map mymap
!
interface FastEthernet2/0
 ip address 10.1.1.6 255.255.255.0

router eigrp 1
 redistribute static
 network 10.0.0.0
 no auto-summary
 no eigrp log-neighbor-changes
!
ip default-gateway 172.21.51.241
ip classless
ip route 0.0.0.0 0.0.0.0 172.21.51.241
no ip http server
!

Spoke 라우터 컨피그레이션 - 7206 

crypto isakmp policy 10
 authentication pre-share
crypto isakmp key cisco123 address 172.21.51.253
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac
crypto mib ipsec flowmib history tunnel size 200
crypto mib ipsec flowmib history failure size 200
!
crypto map mymap 10 ipsec-isakmp
 set peer 172.21.51.253
 set transform-set myset
 match address 101
!
interface Loopback0
 ip address 10.3.3.3 255.255.255.0
!
interface Ethernet0/0
 ip address 172.21.51.250 255.255.255.240
 duplex auto
 crypto map mymap
!
ip classless
ip route 0.0.0.0 0.0.0.0 172.21.51.241
no ip http server
!
access-list 101 permit ip 10.3.3.0 0.0.0.255 10.1.1.0 0.0.0.255
!

다음을 확인합니다.

이 섹션을 사용하여 컨피그레이션이 제대로 작동하는지 확인합니다.

Output Interpreter 도구(등록된 고객만 해당)(OIT)는 특정 show 명령을 지원합니다.OIT를 사용하여 show 명령 출력의 분석을 봅니다.

  • show module csm all 또는 show module contentSwitchingModule all 명령 실행합니다.두 명령 모두 동일한 정보를 생성합니다.

    show module contentSwitchingModule all vservers 명령은 SLB 가상 서버 정보를 표시합니다.

    Cat6506-1-Native# show module contentSwitchingModule all vservers

---------------------- CSM in slot 4 ----------------------

slb vserver      prot     virtual              vlan    state       conns
---------------------------------------------------------------------------
VPN_IOS_ESP      50     172.21.51.253/32:0      ALL   OPERATIONAL   2
VPN_IOS_IKE      UDP   172.21.51.253/32:500     ALL   OPERATIONAL   2

    show module contentSwitchingModule all conns 명령은 SLB 연결 정보를 표시합니다.

    Cat6506-1-Native# show module contentSwitchingModule all conns

---------------------- CSM in slot 4 ----------------------

    prot vlan source                destination           state
----------------------------------------------------------------------
In  UDP  51   172.21.51.250:500     172.21.51.253:500     ESTAB
Out UDP  61   172.21.51.242:500     172.21.51.250:500     ESTAB

In  50   51   172.21.51.251         172.21.51.253         ESTAB
Out 50   61   172.21.51.247         172.21.51.251         ESTAB

In  50   51   172.21.51.250         172.21.51.253         ESTAB
Out 50   61   172.21.51.242         172.21.51.250         ESTAB

In  UDP  51   172.21.51.251:500     172.21.51.253:500     ESTAB
Out UDP  61   172.21.51.247:500     172.21.51.251:500     ESTAB

    show module contentSwitchingModule all sticky 명령은 SLB 스티커 데이터베이스를 표시합니다.

    Cat6506-1-Native# show module contentSwitchingModule all sticky

---------------------- CSM in slot 4 ----------------------
client IP:    172.21.51.250
real server:  172.21.51.242
connections:  0
group id:     5
timeout:      38
sticky type:  netmask 255.255.255.255

client IP:    172.21.51.251
real server:  172.21.51.247
connections:  0
group id:     5
timeout:      40
sticky type:  netmask 255.255.255.255

  • 라우터에서 show ip route 명령을 실행합니다.

    2621VPN# show ip route

!--- Output suppressed.

     10.0.0.0/24 is subnetted, 3 subnets
D EX    10.2.2.0 [170/30720] via 10.1.1.6, 00:13:57, FastEthernet0/0
D EX    10.3.3.0 [170/30720] via 10.1.1.5, 00:16:15, FastEthernet0/0
C       10.1.1.0 is directly connected, FastEthernet0/0
D*EX 0.0.0.0/0 [170/30720] via 10.1.1.5, 00:37:58, FastEthernet0/0
               [170/30720] via 10.1.1.6, 00:37:58, FastEthernet0/0
2621VPN#

7206VXR# show ip route

!--- Output suppressed.

    172.21.0.0/28 is subnetted, 1 subnets
C       172.21.51.240 is directly connected, FastEthernet0/0
     10.0.0.0/24 is subnetted, 3 subnets
S       10.2.2.0 [1/0] via 0.0.0.0, FastEthernet0/0
D EX    10.3.3.0 [170/30720] via 10.1.1.5, 00:16:45, FastEthernet2/0
C       10.1.1.0 is directly connected, FastEthernet2/0
S*   0.0.0.0/0 [1/0] via 172.21.51.241

문제 해결

현재 이 컨피그레이션에 사용할 수 있는 특정 문제 해결 정보가 없습니다.

관련 정보

이 문서가 도움이 되셨습니까?

Feedback피드백

지원 문의

이 문서가 적용되는 제품