キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
告知

JTAC-Mid-Career-Recruitment-2021.3

 MayCL_topbanner.JPG

 

3404
閲覧回数
0
いいね!
8
返信
CiscoJapanModerator
Rising star

アプリケーション ネットワーキング サービス(ロードバランサ)について

シスコの技術サポートエンジニアへ質問して疑問を解決できる「エキスパートに質問」へようこそ!

ここでは、シスコのエキスパートからのアドバイスや最新の情報が得られる場として気軽に質問してみてください。

担当エキスパート:「島崎 裕次 (シマザキ ユウジ)」

ディスカッション開催期間:2012年1月9日~2012年1月29日

[エキスパート紹介]

Cisco Japan TAC のカスタマーサポートエンジニアとして、 IOS 12.1/12.2 の頃の Router 全般を3年程担当した後、ロードバランサ製品のサポートを 7 年以上担当している実力のあるエンジニアです。

現在は、ANM, ACE, CSM, CSS, SSLM, AVS, GSS, ACE XML Gateway, ACNS 等のコンテントネットワーキング製品全般を専門分野として担当しており、主に、ACE, CSM, CSS 等のロードバランサー製品のテクニカルサポートにおいて第一線で活躍しているエンジニアです。



[質問の投稿方法]

サポートコミュニティへCisco.comIDでログインすると、この説明の右下に「返信」ボタンが表示されます。クリックすると投稿欄が表示されますので、質問をご記入ください。最後に「メッセージの投稿」をクリックすると質問が送信され、完了となります。

もし1つの質疑応答が進行していても、他の新しい質問を同じスレッド内に投稿いただいて問題ありません。
この「エキスパートに質問」のディスカッションスレッドに届いた質問は担当のTACエキスパートが回答しますがすべての質問に返信できないかもしれません。
返信が得られずに開催期間が終了して残ってしまった質問については、サポートコミュニティ事務局が通常のディスカッション フォーラムへ再掲載し、有用な情報の展開へとつなげていきます。

エキスパートから返信が得られた質問については、評価機能でその回答が適切であったかをエキスパートへぜひ伝えてください。

あなたからの質問だけでなく、他コミュニティのメンバーから寄せられた質問の展開を確認するためにも、ぜひこのフォーラムへ再度訪問されることをお待ちしております!

8件の返信8
tkqatech1
Beginner

お世話になっています。

ACEについて、質問させてください。

ACEではFTP load balancingをサポートしていますか?

Active/Passiveで設定などに違いはありますか?

よろしくお願い致します。

下記 URL に記載されている通り、ipv4 環境において FTP loadbalancing を support しています。

ipv6 はそのうち support する予定です。

--

Table 1. Features and Benefits

Cisco ACE can natively load-balance the following protocols in an IPv4 environment:

HTTP/HTTPS, FTP, DNS, ICMP, SIP, RTSP, Extended RTSP, LDAP, RADIUS, SCCP and Microsoft RDP.

In an IPv6 environment, it can natively load-balance HTTP, HTTPS and SSL protocols.

http://www.cisco.com/en/US/partner/prod/collateral/contnetw/ps5719/ps7027/Data_Sheet_Cisco_ACE_4710.html

--

一般的な使用環境では、inspect ftp を設定するだけでよく、特に、active mode か passive mode かを意識する必要はありません。

設定の有無に関する動作の違いについては、下記をご参照ください。

https://supportforums.cisco.com/docs/DOC-12250

CCO では、下記 pdf の p111 以降に詳細な説明があります。

http://www.cisco.com/en/US/partner/prod/collateral/modules/ps2706/ps6906/training_ace-npi-session2.pdf

下記 docwiki には、Routed mode/Bridged mode/One-Arm 構成における設定例が記載されているので、設定例を知りたいだけであれば、上記 CCO よりも読みやすいと思いますので合わせてご参照ください。

http://docwiki.cisco.com/wiki/Category:Data_Center_Application_Services_Configuration_Examples

回答ありがとうございました。

また、色々とドキュメントを提示していただきありがとうございました、

こちらも合わせて確認させていただきます。

nutty.sound
Beginner

初めて質問をさせて頂きます。

ACEで設定する実サーバはNAT設定などを行わなくても、

アクセスリストとルーティング設定次第で実IPのままクライアントとの

通信(From/toいずれも)がデフォルトで可能なのでしょうか?

今まで実サーバの実IPとクライアント間でへ通信を行う場合には、

ACE側でNAT設定が必要と認識していたのですが、実際確認したところ

疎通が取れてしまったため、仕様について改めて確認をしたいと考えています。

以上、よろしくお願いします。

結論から申し上げますと、acl が permit され、routing 可能な状態であれば、client - server 間で

通信可能です。

例えば、下記のような (rserver や serverfarm の設定が全くない簡単な) 構成/設定で通信可能です。

# 構成

client(192.168.77.1) -- [vlan777] -- ACE -- [vlan778] -- server(192.168.78.1)

# 設定

ACE4710a-yushimaz/c3# sh run

Generating configuration....

access-list all line 8 extended permit ip any any

access-group input all

interface vlan 777

  ip address 192.168.77.200 255.255.255.0

  alias 192.168.77.202 255.255.255.0

  peer ip address 192.168.77.201 255.255.255.0

  no shutdown

interface vlan 778

  ip address 192.168.78.200 255.255.255.0

  alias 192.168.78.202 255.255.255.0

  peer ip address 192.168.78.201 255.255.255.0

  no shutdown

ACE4710a-yushimaz/c3# sh ip fib | i 192 | ex DROP

192.168.77.0/24     vlan777                0   IA [0x30]

192.168.78.0/24     vlan778                0   IA [0x30]

127.1.0.192/32      vlan1                  9   H [0x3]

192.168.77.1/32     vlan777               34   H [0x3]

192.168.77.131/32   vlan777               11   H [0x3]

192.168.78.1/32     vlan778               38   H [0x3]

ACE4710a-yushimaz/c3#

# client 設定

root@client-1:/# netstat -rn

Kernel IP routing table

Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface

192.168.77.0    0.0.0.0         255.255.255.0   U         0 0          0 eth1

0.0.0.0         192.168.77.202  0.0.0.0         UG        0 0          0 eth1

# server 設定

root@server-1:/# netstat -rn

Kernel IP routing table

Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface

192.168.78.0    0.0.0.0         255.255.255.0   U         0 0          0 eth1

0.0.0.0         192.168.78.202  0.0.0.0         UG        0 0          0 eth1

ACE は、routing traffic の場合であっても、connection table に entry を生成します。

上記構成/設定で、client から直接 server に http access した場合、下記のような entry が作られます。

ACE4710a-yushimaz/c3# sh conn pro tcp

conn-id    np dir proto vlan source                destination           state

----------+--+---+-----+----+---------------------+---------------------+------+

359091     1  in  TCP   777  192.168.77.1:51719    192.168.78.1:80       ESTAB

359036     1  out TCP   778  192.168.78.1:80       192.168.77.1:51719    ESTAB

ACE4710a-yushimaz/c3#

普通の router であれば、syn packet や data packet の区別なく転送してくれますが、ACE の場合、

他の負荷分散通信同様、上記 connection entry を見て転送の有無を判断するので、router と同じ

感覚で使用した場合、予期せぬ通信断が発生する可能性があるのでご注意ください。 特に長時間

無通信状態となるような通信や、非対称経路の通信にはご注意ください。

また、下記に記載されている事例も、client - server 間通信を行った場合に比較的良く発生する事象

となりますのでご参照ください。

https://supportforums.cisco.com/docs/DOC-12600

回答ありがとうございます。

結論としては「ACL、Routing」が設定されていれば直接通信を

行うことは可能である旨了解しました。

尚、リンク先URLにあるような事象はお客様環境では

なかなか把握が難しいと思いますが、Recommendとしてはやはり、

SNAT設定を入れた方がよいのでしょうか?

あとVIP(負荷分散通信)と実サーバ宛てのに同一の通信が

無ければ予期せぬ通信断が発生する可能性はないのでしょうか?

※同一通信

例)SSH通信がVIP宛て、実サーバ宛てに両方発生する。

以上、よろしくお願いします。

>尚、リンク先URLにあるような事象はお客様環境では

>なかなか把握が難しいと思いますが、Recommendとしてはやはり、

>SNAT設定を入れた方がよいのでしょうか?

要件として、client - ACE vip と client - server という access が同時に発生するような

環境であれば、SNAT を設定することをお勧めします。

どちらかだけというのであれば、特に設定をする必要はないです。

>あとVIP(負荷分散通信)と実サーバ宛てのに同一の通信が

>無ければ予期せぬ通信断が発生する可能性はないのでしょうか?

>※同一通信

>例)SSH通信がVIP宛て、実サーバ宛てに両方発生する。

design によっては、ACE が redandant connection と判断し、drop することがあります。

例えば、下記のように、ACE server 間の経路が 2 つあり、client -> server の場合は、

client -> vlan777 -> ACE -> vlan778 -> server を使用し、戻りの通信が、server ->

vlan779 -> ACE -> vlan777 となるような場合に ACE は戻りの通信を drop してしまいます。

(理由は、先ほどの URL に記載されているのと同様です。)

                               + -- [vlan778] -- +

client -- [vlan777] -- ACE                server

                               + -- [vlan779] -- +

Drop[redundant connection] ではありませんが、無通信状態が続き idle timeout (tcp の

default は 60分) によって、connection 情報が、entry から削除されるような場合にも通信

断が発生します。 これは、routing traffic に限った注意点ではないのですが、loadbalancing

traffic については、ちゃんと考慮された設定になっているのに、routing traffic では考慮されて

いないということがよく見受けられるのでご注意ください。

早速の回答ありがとうございます。

戻りの通信で異なる経路(VLAN)を通る事は無いのでその点は大丈夫と考えていますが、

下記に記載頂いている点は確認が必要なため、考慮したうえで設計をしたいと思います。

> 要件として、client - ACE vip と client - server という access が同時に発生するような

> 環境であれば、SNAT を設定することをお勧めします。

> どちらかだけというのであれば、特に設定をする必要はないです。

以上、宜しくお願いします。