2013-08-19 09:48 AM
シスコの技術サポートエンジニアへ質問して疑問を解決できる「エキスパートに質問」へようこそ!
ここでは、シスコのエキスパートからのアドバイスや最新の情報が得られる場として気軽に質問してみてください。
担当エキスパート: 島崎 裕次 (Yuji Shimazaki)
Cisco Japan TAC のカスタマーサポートエンジニアとして、 IOS 12.1/12.2 の頃の Router 全般を3年程担当した後、ロードバランサ製品のサポートを 8 年以上担当。
現 在は、ANM, ACE, CSM, CSS, SSLM, AVS, GSS, ACE XML Gateway, ACNS 等のコンテントネットワーキング製品全般を専門分野として担当しており、主に、ACE, CSM, CSS 等のロードバランサー製品のテクニカルサポートにおいて第一線で活躍している。
ディスカッション開催期間: 8月26日(月)~9月8日(日)
[質問の回答方法]
サポートコミュニティへCisco.comIDでログインすると、この説明の右下に「返信」ボタンが表示されます。クリックすると投稿欄が表示されますので、質問をご記入ください。最後に「メッセージの投稿」をクリックすると質問が送信され、完了となります。
もし1つの質疑応答が進行していても、他の新しい質問を同じスレッド内に投稿いただいて問題ありません。
この「エキスパートに質問」のディスカッションスレッドに届いた質問は担当のTACエキスパートが回答しますがすべての質問に返信できないかもしれません。
返信が得られずに開催期間が終了して残ってしまった質問については、サポートコミュニティ事務局が今回の技術カテゴリの通常のディスカッション フォーラムへ再掲載し、有用な情報の展開へとつなげていきます。
エキスパートから返信が得られた質問については、評価機能でその回答が適切であったかをエキスパートへぜひ伝えてください。
あなたからの質問だけでなく、他コミュニティのメンバーから寄せられた質問がどう発展したかをのぞきに、ぜひこのフォーラムへ再度訪問されることをお待ちしております!
[エキスパートからの回答について]
質 問の投稿から原則数日以内に回答できるよう努めます。内容によっては、検証や確認に時間がかかる場合もありますのでご了承ください。質問の内容 に よっては、エキスパートの担当範囲外の場合もございます。その際はサポートコミュニティ事務局、もしくは適切な担当から回答いたします。
ディスカッション期間を過ぎてからの投稿は、事務局より通常コミュニティへ投稿いただくようお願いさせていただくようになりますことも合わせてご理解ください。
2013-08-26 02:44 PM
ACEモジュール および ACE 4710 アプライアンスについて、
POP3s,IMAPs,SMTPs などの、メール系プロトコルのSSL復号化の対応状況
について教えてください。
主な方式は、いくつか種類があるかと思いますが、- over SSL
- over TLS - STARTTLS
現時点で対応しているのは、 over SSL のみの認識で合っておりますでしょうか。
また、サンプルコンフィグや設定例がございましたら、ご提示いただけますでしょうか。
2013-08-26 07:21 PM
ご認識の通り、対応しているのは、over SSL のみです。
CCO 上に pops/imaps/smtps の設定例は掲載されていなかったと思いますが、設定/動作は https の基本設定とほとんど同じため、https の設定例で使用している port# を pop/imap/smtp 用に修正すれば動作します。
ACE: SSL の基本設定 の port# をそれぞれ pop/imap/smtp 用に修正した設定例は下記になります。
---
serverfarm host pop
rserver s1 110
inservice
rserver s2 110
inservice
serverfarm host imap
rserver s1 143
inservice
rserver s2 143
inservice
serverfarm host smtp
rserver s1 25
inservice
rserver s2 25
inservice
ssl-proxy service ssl
key key.pem
cert cert.pem
class-map match-all vip-pops
2 match virtual-address [vip address] tcp eq 995
class-map match-all vip-imaps
2 match virtual-address [vip address] tcp eq 993
class-map match-all vip-smtps
2 match virtual-address [vip address] tcp eq 465
policy-map type loadbalance first-match pops
class class-default
serverfarm pop
policy-map type loadbalance first-match imaps
class class-default
serverfarm imap
policy-map type loadbalance first-match smtps
class class-default
serverfarm smtp
policy-map multi-match client-vips
class vip-pops
loadbalance vip inservice
loadbalance policy pops
loadbalance vip icmp-reply
ssl-proxy server ssl
class vip-imaps
loadbalance vip inservice
loadbalance policy imaps
loadbalance vip icmp-reply
ssl-proxy server ssl
class vip-smtps
loadbalance vip inservice
loadbalance policy smtps
loadbalance vip icmp-reply
ssl-proxy server ssl
2013-08-26 07:55 PM
迅速なご回答ありがとうございます。
設定例についてもありがとうございました。
2013-08-29 04:19 PM
xlateテーブルの確認方法をご教示ください。
nat-pool 1 172.27.68.87 172.27.68.87 netmask 255.255.255.255 pat
このような設定でPATを行っております。patオプションを付けていない時には
show xlate コマンドで教示されたテーブルがpatに変更後表示されなくなってしまいました。
2013-08-30 06:45 PM
その通信は、connection 確立後すぐに切断される通信ではないでしょうか?
timeout xlate の default 値は 3 時間のため、nat の場合、entry が 3 時間保持されますが、pat の場合、connection 切断と共に entry が削除されるような実装になっています。
そのため、すぐに connection を切断するような通信の場合、'show xlate' の出力がないように見えます。
A4 や A5 を使用しているのであれば、すぐに entry から削除されるため出力が見えないだけかと思います。
ACE4710a-yushimaz/Admin# sh run | i xlate
Generating configuration....
timeout xlate 60 <<== 試験時間の都合上、60 秒で entry が消えるようにしています。
ACE4710a-yushimaz/Admin# sh run int | b 778
Generating configuration....
interface vlan 778
ip address 192.168.78.201 255.255.255.0
alias 192.168.78.200 255.255.255.0
peer ip address 192.168.78.202 255.255.255.0
no shutdown
ACE4710a-yushimaz/Admin# conf t
Enter configuration commands, one per line. End with CNTL/Z.
ACE4710a-yushimaz/Admin(config)# int vl 778
ACE4710a-yushimaz/Admin(config-if)# nat-pool 1 192.168.78.100 netmask 255.255.255.255 <<== nat の設定
ACE4710a-yushimaz/Admin(config-if)#
ACE4710a-yushimaz/Admin(config-if)# do sh conn pro tcp
conn-id np dir proto vlan source destination state
----------+--+---+-----+----+---------------------+---------------------+------+
240 1 in TCP 900 192.168.90.1:41296 192.168.90.2:2000 ESTAB
313 1 out TCP 900 192.168.90.2:2000 192.168.90.1:41296 ESTAB
264315 1 in TCP 777 192.168.77.41:34377 192.168.77.100:80 ESTAB <<== connection を確立
277450 1 out TCP 778 192.168.78.41:80 192.168.78.100:34377 ESTAB <<== snat されていることを確認
ACE4710a-yushimaz/Admin(config-if)#
ACE4710a-yushimaz/Admin(config-if)# do sh xlate
NAT from vlan777:192.168.77.41 to vlan778:192.168.78.100 count:1 <<== entry が生成されていることを確認。
ACE4710a-yushimaz/Admin(config-if)#
ACE4710a-yushimaz/Admin(config-if)# do sh clo
Fri Aug 30 12:22:56 JST 2013
ACE4710a-yushimaz/Admin(config-if)# do sh conn pro tcp
conn-id np dir proto vlan source destination state
----------+--+---+-----+----+---------------------+---------------------+------+
240 1 in TCP 900 192.168.90.1:41296 192.168.90.2:2000 ESTAB
313 1 out TCP 900 192.168.90.2:2000 192.168.90.1:41296 ESTAB
<<== connection を切断し、connection table に entry がないことを確認。
ACE4710a-yushimaz/Admin(config-if)#
ACE4710a-yushimaz/Admin(config-if)# do sh xlate
NAT from vlan777:192.168.77.41 to vlan778:192.168.78.100 count:0 <<== xlate entry は存在する。
ACE4710a-yushimaz/Admin(config-if)#
ACE4710a-yushimaz/Admin(config-if)# do sh clo
Fri Aug 30 12:24:15 JST 2013
ACE4710a-yushimaz/Admin(config-if)# do sh xlate
<<== 60 秒以上経つと entry は消去される。
ACE4710a-yushimaz/Admin(config-if)#
ACE4710a-yushimaz/Admin(config-if)# no nat-pool 1 192.168.78.100 netmask 255.255.255.255
ACE4710a-yushimaz/Admin(config-if)# nat-pool 1 192.168.78.100 netmask 255.255.25
5.255 pat <<== pat に設定変更
ACE4710a-yushimaz/Admin(config-if)#
ACE4710a-yushimaz/Admin(config-if)# do sh conn pro tcp
conn-id np dir proto vlan source destination state
----------+--+---+-----+----+---------------------+---------------------+------+
240 1 in TCP 900 192.168.90.1:41296 192.168.90.2:2000 ESTAB
313 1 out TCP 900 192.168.90.2:2000 192.168.90.1:41296 ESTAB
278666 1 in TCP 777 192.168.77.41:34378 192.168.77.100:80 ESTAB <<==
278677 1 out TCP 778 192.168.78.41:80 192.168.78.100:1025 ESTAB <<== pat されていることを確認。
ACE4710a-yushimaz/Admin(config-if)# do sh xlate
TCP PAT from vlan777:192.168.77.41/34378 to vlan778:192.168.78.100/1025 <<== connection がある場合、entry があることを確認。
ACE4710a-yushimaz/Admin(config-if)#
ACE4710a-yushimaz/Admin(config-if)# do sh clo
Fri Aug 30 12:25:38 JST 2013
ACE4710a-yushimaz/Admin(config-if)# do sh conn pro tcp
conn-id np dir proto vlan source destination state
----------+--+---+-----+----+---------------------+---------------------+------+
240 1 in TCP 900 192.168.90.1:41296 192.168.90.2:2000 ESTAB
313 1 out TCP 900 192.168.90.2:2000 192.168.90.1:41296 ESTAB
ACE4710a-yushimaz/Admin(config-if)#
ACE4710a-yushimaz/Admin(config-if)# do sh xlate
ACE4710a-yushimaz/Admin(config-if)# <<== connection を切断すると、60 秒経つ前でも消去される。
ACE4710a-yushimaz/Admin(config-if)# do sh clo
Fri Aug 30 12:25:53 JST 2013
ACE4710a-yushimaz/Admin(config-if)#
2013-08-30 07:26 PM
ご回答ありがとうございました。
ご推測の通り、すぐにコネクションが切れる通信です。
「timeout xlate の default 値は 3 時間のため、nat の場合、entry が 3 時間保持されますが、pat の場合、connection 切断と共に entry が削除されるような実装になっています。」
NATとPATとでは、entryが消えるタイミングが違うのですね。
そのためshow xlateコマンドを叩いたタイミングではコネクションが無いため表示されなかったのだと思います。
実装通りの動作をしていると思います。
ありがとうございました。
エキスパートの回答、ステップバイステップガイド、最新のトピックなどお気に入りのアイデアを見つけたら、あとで参照できるように保存しましょう。
コミュニティは初めてですか?これらのヒントを活用してスタートしましょう。 コミュニティの活用方法 新メンバーガイド
下記より関連するコンテンツにアクセスできます