VPN负载均衡在定向模式的CSM配置示例的
简介
本文档提供内容交换模块(CSM)上VPN负载均衡的示例配置。VPN负载均衡是一种机制,可以沿一组VPN集中器或VPN头端设备智能地分配VPN会话。实施VPN负载均衡的原因如下:
-
克服VPN设备的性能或可扩展性限制;例如,每秒数据包数、每秒连接数和吞吐量
-
提供冗余(消除单点故障)
先决条件
要求
尝试进行此配置之前,请确保满足以下要求:
-
在头端设备实施反向路由注入(RRI),以自动从辐条传播路由信息。
-
启用VLAN 61和51以共享同一子网。
使用的组件
本文档中的信息基于以下软件和硬件版本:
-
带CSM的Cisco Catalyst 6500
-
Cisco 2621 路由器
-
Cisco 7206
-
Cisco 7206VXR
-
思科7204VXR
-
Cisco 7140
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
规则
有关文档规则的详细信息,请参阅 Cisco 技术提示规则。
配置
本部分提供有关如何配置本文档所述功能的信息。
注意:使用命令查找工具(仅限注册客户)可获取有关本节中使用的命令的详细信息。
网络图
本文档使用以下网络设置:
配置
本文档使用以下配置:
CSM配置
请完成以下步骤:
-
在头端设备上实施RRI,以自动从分支传播路由信息。
注意:VLAN 61和VLAN 51共享同一子网。
-
定义VLAN客户端和VLAN服务器。
-
定义用于检查IPSec服务器运行状况的探测功能。
!--- The CSM is located in slot 4. module ContentSwitchingModule 4 vlan 51 client ip address 172.21.51.244 255.255.255.240 ! vlan 61 server ip address 172.21.51.244 255.255.255.240 ! probe ICMP_PROBE icmp interval 5 retries 2 !
-
使用实际IPSec服务器定义服务器群。
-
配置failaction purge,以刷新属于失效服务器的连接。
-
定义粘滞策略。
!--- Serverfarm VPN_IOS and real server members. serverfarm VPN_IOS nat server no nat client !--- Set the behavior of connections when the real servers have failed. failaction purge real 172.21.51.242 inservice real 172.21.51.247 inservice probe ICMP_PROBE ! !--- Ensure that connections from the same client match the same server !--- load balancing (SLB) policy. !--- Use the same real server on subsequent connections; issue the !--- sticky command. sticky 5 netmask 255.255.255.255 timeout 60 ! policy VPNIOS sticky-group 5 serverfarm VPN_IOS !
-
定义VServer,每个流量一个。
!--- Virtual server VPN_IOS_ESP. vserver VPN_IOS_ESP !--- The virtual server IP address is specified. virtual 172.21.51.253 50 !--- Persistence rebalance is used for HTTP 1.1, to rebalance the connection !--- to a new server using the load balancing policy. persistent rebalance !--- Associate the load balancing policy with the VPNIOS virtual server. slb-policy VPNIOS inservice ! vserver VPN_IOS_IKE virtual 172.21.51.253 udp 500 persistent rebalance slb-policy VPNIOS inservice !
头端路由器配置 — 7206VXR
crypto isakmp policy 10 authentication pre-share crypto isakmp key cisco123 address 0.0.0.0 ! crypto ipsec transform-set myset esp-3des esp-sha-hmac crypto mib ipsec flowmib history tunnel size 200 crypto mib ipsec flowmib history failure size 200 ! crypto dynamic-map mydyn 10 set transform-set myset reverse-route ! crypto map mymap 10 ipsec-isakmp dynamic mydyn ! interface FastEthernet0/0 ip address 172.21.51.247 255.255.255.240 crypto map mymap ! interface FastEthernet2/0 ip address 10.1.1.6 255.255.255.0 router eigrp 1 redistribute static network 10.0.0.0 no auto-summary no eigrp log-neighbor-changes ! ip default-gateway 172.21.51.241 ip classless ip route 0.0.0.0 0.0.0.0 172.21.51.241 no ip http server !
分支路由器配置 — 7206
crypto isakmp policy 10 authentication pre-share crypto isakmp key cisco123 address 172.21.51.253 ! crypto ipsec transform-set myset esp-3des esp-sha-hmac crypto mib ipsec flowmib history tunnel size 200 crypto mib ipsec flowmib history failure size 200 ! crypto map mymap 10 ipsec-isakmp set peer 172.21.51.253 set transform-set myset match address 101 ! interface Loopback0 ip address 10.3.3.3 255.255.255.0 ! interface Ethernet0/0 ip address 172.21.51.250 255.255.255.240 duplex auto crypto map mymap ! ip classless ip route 0.0.0.0 0.0.0.0 172.21.51.241 no ip http server ! access-list 101 permit ip 10.3.3.0 0.0.0.255 10.1.1.0 0.0.0.255 !
验证
使用本部分可确认配置能否正常运行。
命令输出解释程序(仅限注册用户)(OIT) 支持某些 show 命令。使用 OIT 可查看对 show 命令输出的分析。
-
发出show module csm all或show module contentSwitchingModule all命令;两个命令都会生成相同的信息。
show module contentSwitchingModule all vservers命令显示SLB虚拟服务器信息。
Cat6506-1-Native# show module contentSwitchingModule all vservers ---------------------- CSM in slot 4 ---------------------- slb vserver prot virtual vlan state conns --------------------------------------------------------------------------- VPN_IOS_ESP 50 172.21.51.253/32:0 ALL OPERATIONAL 2 VPN_IOS_IKE UDP 172.21.51.253/32:500 ALL OPERATIONAL 2
show module contentSwitchingModule all conns命令显示SLB连接信息。
Cat6506-1-Native# show module contentSwitchingModule all conns ---------------------- CSM in slot 4 ---------------------- prot vlan source destination state ---------------------------------------------------------------------- In UDP 51 172.21.51.250:500 172.21.51.253:500 ESTAB Out UDP 61 172.21.51.242:500 172.21.51.250:500 ESTAB In 50 51 172.21.51.251 172.21.51.253 ESTAB Out 50 61 172.21.51.247 172.21.51.251 ESTAB In 50 51 172.21.51.250 172.21.51.253 ESTAB Out 50 61 172.21.51.242 172.21.51.250 ESTAB In UDP 51 172.21.51.251:500 172.21.51.253:500 ESTAB Out UDP 61 172.21.51.247:500 172.21.51.251:500 ESTABshow module contentSwitchingModule all sticky命令显示SLB粘滞数据库。
Cat6506-1-Native# show module contentSwitchingModule all sticky ---------------------- CSM in slot 4 ---------------------- client IP: 172.21.51.250 real server: 172.21.51.242 connections: 0 group id: 5 timeout: 38 sticky type: netmask 255.255.255.255 client IP: 172.21.51.251 real server: 172.21.51.247 connections: 0 group id: 5 timeout: 40 sticky type: netmask 255.255.255.255
-
在路由器上发出show ip route命令。
2621VPN# show ip route !--- Output suppressed. 10.0.0.0/24 is subnetted, 3 subnets D EX 10.2.2.0 [170/30720] via 10.1.1.6, 00:13:57, FastEthernet0/0 D EX 10.3.3.0 [170/30720] via 10.1.1.5, 00:16:15, FastEthernet0/0 C 10.1.1.0 is directly connected, FastEthernet0/0 D*EX 0.0.0.0/0 [170/30720] via 10.1.1.5, 00:37:58, FastEthernet0/0 [170/30720] via 10.1.1.6, 00:37:58, FastEthernet0/0 2621VPN# 7206VXR# show ip route !--- Output suppressed. 172.21.0.0/28 is subnetted, 1 subnets C 172.21.51.240 is directly connected, FastEthernet0/0 10.0.0.0/24 is subnetted, 3 subnets S 10.2.2.0 [1/0] via 0.0.0.0, FastEthernet0/0 D EX 10.3.3.0 [170/30720] via 10.1.1.5, 00:16:45, FastEthernet2/0 C 10.1.1.0 is directly connected, FastEthernet2/0 S* 0.0.0.0/0 [1/0] via 172.21.51.241
故障排除
目前没有针对此配置的故障排除信息。
反馈