ACE: 冗長構成の基本設定

yushimaz · ‎2010-08-05

ACE が down すると、配下にある server 全てに接続できなくなってしまいます。冗長構成にすることで、server との通信が全断することを避けることができます。

下記設定を行うことで、ACE で冗長構成を実現することができます。

# ft (fault tolerant) 設定

1) ft interface の設定

2) ft peer の設定

3) ft group の設定

# その他の (active/standby で異なる情報を持つ必要がある) 設定

1) host name/peer host name の設定

2) ip address/peer ip address/alias の設定

ACE は ft group が up になった時点で、active/standby を決定し、active の設定を standby に反映しようとします。 ACE は default で preempt が enable のため、priority の高い ACE が active になります。そのため、active にしたい ACE を先に設定し、priority を高く設定しておくことをお勧めします。そうすることで standby ACE で行わなければいけない設定を減らすことができます。

下記は、Cat6k 上に 2 枚の ACE module を install し試験しています。

# Active ACE の設定

ACE20a/Admin# sh run

Generating configuration....

peer hostname ACE20b

hostname ACE20a

boot system image:c6ace-t1k9-mz.A2_3_1.bin

access-list all line 8 extended permit ip any any

rserver host sv1

ip address 192.168.72.11

inservice

rserver host sv2

ip address 192.168.72.12

inservice

serverfarm host sf

rserver sv1

inservice

rserver sv2

inservice

class-map match-all vip

2 match virtual-address 192.168.71.100 any

policy-map type loadbalance first-match lb

class class-default

serverfarm sf

policy-map multi-match client-vips

class vip

loadbalance vip inservice

loadbalance policy lb

loadbalance vip icmp-reply

access-group input all

interface vlan 771

ip address 192.168.71.251 255.255.255.0

alias 192.168.71.250 255.255.255.0

peer ip address 192.168.71.252 255.255.255.0

service-policy input client-vips

no shutdown

interface vlan 772

ip address 192.168.72.251 255.255.255.0

alias 192.168.72.250 255.255.255.0

peer ip address 192.168.72.252 255.255.255.0

no shutdown

ft interface vlan 773

ip address 192.168.73.251 255.255.255.0

peer ip address 192.168.73.252 255.255.255.0

no shutdown

ft peer 1

heartbeat interval 300

heartbeat count 10

ft-interface vlan 773

ft group 1

peer 1

priority 110

associate-context Admin

inservice

# standby ACE の設定

ACE20-slot6/Admin# conf t

Enter configuration commands, one per line. End with CNTL/Z.

ACE20-slot6/Admin(config)# ft interface vlan 773

!___ ft interface の設定

ACE20-slot6/Admin(config-ft-intf)# ip add 192.168.73.252 255.255.255.0

ACE20-slot6/Admin(config-ft-intf)# peer ip address 192.168.73.251 255.255.255.0

ACE20-slot6/Admin(config-ft-intf)# no sh

ACE20-slot6/Admin(config-ft-intf)# ft peer 1

!___ ft peer の設定

ACE20-slot6/Admin(config-ft-peer)# ft-interface vlan 773

ACE20-slot6/Admin(config-ft-peer)# ft gro 1

!___ ft group の設定

ACE20-slot6/Admin(config-ft-group)# peer 1

ACE20-slot6/Admin(config-ft-group)# associate-context Admin

ACE20-slot6/Admin(config-ft-group)# inservice

!___ inservice を設定し、ft group が up になると active/standby を決定します

NOTE: Configuration mode has been disabled on all sessions

!___ active/standby の sync 中は、同期情報がおかしくならないよう設定できなくなります。

ACE20B-yushimaz-slot6/Admin(config-ft-group)# end

ACE20B-yushimaz-slot6/Admin#

ACE20b/Admin#

!___ sync 後、設定が反映されます。(active で設定した peer hostname に変更されています。)

NOTE: Processing has started for applied config

NOTE: Processing has finished for applied config

ACE20b/Admin# conf t

Configuration mode is currently disabled

!___ active の設定が反映されるため、standby ACE では設定を変更することができません。

ACE20b/Admin# sh run

!___ show command は実行可能です。

Generating configuration....

peer hostname ACE20a

hostname ACE20b

boot system image:c6ace-t1k9-mz.A2_3_1.bin

access-list all line 8 extended permit ip any any

rserver host sv1

!___ 元々設定されていなかった、rserver 等の設定は自動的に同期されています。

ip address 192.168.72.11

inservice

rserver host sv2

ip address 192.168.72.12

inservice

serverfarm host sf

rserver sv1

inservice

rserver sv2

inservice

class-map match-all vip

2 match virtual-address 192.168.71.100 any

policy-map type loadbalance first-match lb

class class-default

serverfarm sf

policy-map multi-match client-vips

class vip

loadbalance vip inservice

loadbalance policy lb

loadbalance vip icmp-reply

access-group input all

interface vlan 771

ip address 192.168.71.252 255.255.255.0

alias 192.168.71.250 255.255.255.0

peer ip address 192.168.71.251 255.255.255.0

service-policy input client-vips

no shutdown

interface vlan 772

ip address 192.168.72.252 255.255.255.0

alias 192.168.72.250 255.255.255.0

peer ip address 192.168.72.251 255.255.255.0

no shutdown

ft interface vlan 773

ip address 192.168.73.252 255.255.255.0

peer ip address 192.168.73.251 255.255.255.0

no shutdown

ft peer 1

heartbeat interval 300

heartbeat count 10

ft-interface vlan 773

ft group 1

peer 1

peer priority 110

associate-context Admin

inservice

Active/Standby は show ft group command で確認可能です。

ACE20a/Admin# sh ft group summary

FT Group : 1

Configured Status : in-service

Maintenance mode : MAINT_MODE_OFF

My State : FSM_FT_STATE_ACTIVE

My Config Priority : 110

My Net Priority : 110

My Preempt : Enabled

Peer State : FSM_FT_STATE_STANDBY_HOT

Peer Config Priority : 100

Peer Net Priority : 100

Peer Preempt : Enabled

Peer Id : 1

No. of Contexts : 1

ACE20a/Admin#

ACE20b/Admin# sh ft group summary

FT Group : 1

Configured Status : in-service

Maintenance mode : MAINT_MODE_OFF

My State : FSM_FT_STATE_STANDBY_HOT

My Config Priority : 100

My Net Priority : 100

My Preempt : Enabled

Peer State : FSM_FT_STATE_ACTIVE

Peer Config Priority : 110

Peer Net Priority : 110

Peer Preempt : Enabled

Peer Id : 1

No. of Contexts : 1

ACE20b/Admin#

ACE は default で running-config や startup-config を同期するだけではなく、connection 情報も同期します。そのため、failover が発生したとしても、(connection を切断することなく) 通信を継続することが可能です。

下記は http connection を 1 つ張った状態で active ACE を reload した時の出力になります。

# active ACE

ACE20a/Admin# sh conn

total current connections : 13

conn-id np dir proto vlan source destination state

----------+--+---+-----+----+---------------------+---------------------+------+

835 1 in UDP 773 192.168.73.252:50000 192.168.73.251:50002 --

-- - - -- -- -- -- --

836 1 in UDP 773 192.168.73.252:50100 192.168.73.251:50102 --

-- - - -- -- -- -- --

837 1 in UDP 773 192.168.73.252:50300 192.168.73.251:50302 --

-- - - -- -- -- -- --

838 1 in UDP 773 192.168.73.252:50300 192.168.73.251:50301 --

-- - - -- -- -- -- --

839 1 in UDP 773 192.168.73.252:50200 192.168.73.251:50202 --

-- - - -- -- -- -- --

110500 2 in UDP 773 192.168.73.252:50100 192.168.73.251:50101 --

-- - - -- -- -- -- --

110501 2 in UDP 773 192.168.73.252:50300 192.168.73.251:50302 --

-- - - -- -- -- -- --

110502 2 in UDP 773 192.168.73.252:50300 192.168.73.251:50301 --

-- - - -- -- -- -- --

110503 2 in UDP 773 192.168.73.252:50200 192.168.73.251:50201 --

-- - - -- -- -- -- --

110504 2 in TCP 773 192.168.73.251:32782 192.168.73.252:2000 ESTAB

110505 2 out TCP 773 192.168.73.252:2000 192.168.73.251:32782 ESTAB

110506 2 in TCP 771 192.168.71.11:57102 192.168.71.100:80 ESTAB

110507 2 out TCP 772 192.168.72.11:80 192.168.71.11:57102 ESTAB

ACE20a/Admin# relo

This command will reboot the system

Save configurations for all the contexts. Save? [yes/no]: [yes]

Generating configuration....

running config of context Admin saved

Perform system reload. [yes/no]: [yes]

ACE20a/Admin#

# standby ACE

ACE20b/Admin# sh conn

total current connections : 13

conn-id np dir proto vlan source destination state

----------+--+---+-----+----+---------------------+---------------------+------+

384900 1 in UDP 773 192.168.73.251:50002 192.168.73.252:50000 --

-- - - -- -- -- -- --

384901 1 in UDP 773 192.168.73.251:50102 192.168.73.252:50100 --

-- - - -- -- -- -- --

384902 1 in UDP 773 192.168.73.251:50302 192.168.73.252:50300 --

-- - - -- -- -- -- --

384903 1 in UDP 773 192.168.73.251:50301 192.168.73.252:50300 --

-- - - -- -- -- -- --

384904 1 in UDP 773 192.168.73.251:50202 192.168.73.252:50200 --

-- - - -- -- -- -- --

111703 2 in UDP 773 192.168.73.251:50101 192.168.73.252:50100 --

-- - - -- -- -- -- --

111704 2 in UDP 773 192.168.73.251:50302 192.168.73.252:50300 --

-- - - -- -- -- -- --

111705 2 in UDP 773 192.168.73.251:50301 192.168.73.252:50300 --

-- - - -- -- -- -- --

111706 2 in UDP 773 192.168.73.251:50201 192.168.73.252:50200 --

-- - - -- -- -- -- --

111707 2 in TCP 773 192.168.73.251:32782 192.168.73.252:2000 ESTAB

111708 2 out TCP 773 192.168.73.252:2000 192.168.73.251:32782 ESTAB

111709 2 in TCP 771 192.168.71.11:57102 192.168.71.100:80 ESTAB

111710 2 out TCP 772 192.168.72.11:80 192.168.71.11:57102 ESTAB

!___ active ACE の connection 情報を同期

ACE20b/Admin#

ACE20b/Admin# sh ft gr sum

FT Group : 1

Configured Status : in-service

Maintenance mode : MAINT_MODE_OFF

My State : FSM_FT_STATE_ACTIVE

!___ active ACE を reload したため standby ACE が active に

My Config Priority : 100

My Net Priority : 100

My Preempt : Enabled

Peer State : FSM_FT_STATE_UNKNOWN

!___ active ACE は reload 中のため、peer の状態は UNKNOWN に

Peer Config Priority : Unknown

Peer Net Priority : Unknown

Peer Preempt : Unknown

Peer Id : 1

No. of Contexts : 1

ACE20b/Admin#

ACE20b/Admin# sh conn

total current connections : 11

conn-id np dir proto vlan source destination state

----------+--+---+-----+----+---------------------+---------------------+------+

384900 1 in UDP 773 192.168.73.251:50002 192.168.73.252:50000 --

-- - - -- -- -- -- --

384901 1 in UDP 773 192.168.73.251:50102 192.168.73.252:50100 --

-- - - -- -- -- -- --

384902 1 in UDP 773 192.168.73.251:50302 192.168.73.252:50300 --

-- - - -- -- -- -- --

384903 1 in UDP 773 192.168.73.251:50301 192.168.73.252:50300 --

-- - - -- -- -- -- --

384904 1 in UDP 773 192.168.73.251:50202 192.168.73.252:50200 --

-- - - -- -- -- -- --

111703 2 in UDP 773 192.168.73.251:50101 192.168.73.252:50100 --

-- - - -- -- -- -- --

111704 2 in UDP 773 192.168.73.251:50302 192.168.73.252:50300 --

-- - - -- -- -- -- --

111705 2 in UDP 773 192.168.73.251:50301 192.168.73.252:50300 --

-- - - -- -- -- -- --

111706 2 in UDP 773 192.168.73.251:50201 192.168.73.252:50200 --

-- - - -- -- -- -- --

111709 2 in TCP 771 192.168.71.11:57102 192.168.71.100:80 ESTAB

111710 2 out TCP 772 192.168.72.11:80 192.168.71.11:57102 ESTAB

!___ この connection 情報を使用し、通信可能

ACE20b/Admin#

# client 出力

client:/# telnet 192.168.71.100 80

Trying 192.168.71.100...

Connected to 192.168.71.100.

Escape character is '^]'.

GET / HTTP/1.1

Host:a

HTTP/1.1 200 OK

Date: Fri, 30 Jul 2010 07:48:58 GMT

Server: Apache/1.3.34 (Debian)

Last-Modified: Sun, 11 Jul 2010 22:07:36 GMT

ETag: "2da7b5-4-4c3a40a8"

Accept-Ranges: bytes

Content-Length: 4

Content-Type: text/html; charset=iso-8859-1

sv1

!___ active ACE を reload

GET / HTTP/1.1

Host:a

HTTP/1.1 200 OK

Date: Fri, 30 Jul 2010 07:49:52 GMT

Server: Apache/1.3.34 (Debian)

Last-Modified: Sun, 11 Jul 2010 22:07:36 GMT

ETag: "2da7b5-4-4c3a40a8"

Accept-Ranges: bytes

Content-Length: 4

Content-Type: text/html; charset=iso-8859-1

sv1

!___ reload 後も継続して通信可能