موازنة حمل VPN على CSM في مثال تكوين الوضع الموجه
المحتويات
المقدمة
يزود هذا وثيقة عينة تشكيل ل VPN تحميل موازنة على VPN تحويل وحدة نمطية (CSM). موازنة حمل الشبكة الخاصة الظاهرية (VPN) هي آلية تقوم بتوزيع جلسات الشبكة الخاصة الظاهرية (VPN) بشكل ذكي على طول مجموعة من مكثفات الشبكة الخاصة الظاهرية (VPN) أو أجهزة الطرف الرئيسي للشبكة الخاصة الظاهرية (VPN). يتم تنفيذ موازنة حمل VPN لهذه الأسباب:
-
للتغلب على القيود المتعلقة بالأداء أو قابلية التطوير التي تواجهها أجهزة الشبكة الخاصة الظاهرية (VPN)، على سبيل المثال، الحزم في الثانية والاتصالات في الثانية والإنتاجية
-
لتوفير التكرار (إزالة نقطة فشل واحدة)
المتطلبات الأساسية
المتطلبات
تأكد من استيفاء المتطلبات التالية قبل أن تحاول إجراء هذا التكوين:
-
تنفيذ إدخال المسار العكسي (RRI) على الأجهزة الطرفية الرئيسية، لنشر معلومات التوجيه من الفروع تلقائيا.
-
مكنت VLAN 61 و 51 أن يتشارك ال نفسه subnet.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
-
Cisco Catalyst 6500 مع CSM
-
موجّه Cisco 2621
-
Cisco 7206
-
Cisco 7206VXR
-
Cisco 7204VXR
-
Cisco 7140
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
الاصطلاحات
راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.
التكوين
في هذا القسم، تُقدّم لك معلومات تكوين الميزات الموضحة في هذا المستند.
ملاحظة: أستخدم أداة بحث الأوامر (للعملاء المسجلين فقط) للحصول على مزيد من المعلومات حول الأوامر المستخدمة في هذا القسم.
الرسم التخطيطي للشبكة
يستخدم هذا المستند إعداد الشبكة التالي:
التكوينات
يستخدم هذا المستند التكوينات التالية:
تكوين CSM
أكمل الخطوات التالية:
-
قم بتطبيق RRI على الأجهزة الطرفية الرئيسية، لنشر معلومات التوجيه من الخوادم تلقائيا.
ملاحظة: تتشارك شبكة VLAN 61 وشبكة VLAN 51 في الشبكة الفرعية نفسها.
-
عينت ال VLAN زبون وال VLAN نادل.
-
حدد التحقيق المستخدم للتحقق من صحة خوادم IPSec.
!--- The CSM is located in slot 4. module ContentSwitchingModule 4 vlan 51 client ip address 172.21.51.244 255.255.255.240 ! vlan 61 server ip address 172.21.51.244 255.255.255.240 ! probe ICMP_PROBE icmp interval 5 retries 2 !
-
حدد ServerFarm باستخدام خوادم IPSec الحقيقية.
-
قم بتكوين عملية إزالة الأعطال، لمسح الاتصالات التي تنتمي إلى الخوادم غير الصحيحة.
-
تعريف النهج اللاصق.
!--- Serverfarm VPN_IOS and real server members. serverfarm VPN_IOS nat server no nat client !--- Set the behavior of connections when the real servers have failed. failaction purge real 172.21.51.242 inservice real 172.21.51.247 inservice probe ICMP_PROBE ! !--- Ensure that connections from the same client match the same server !--- load balancing (SLB) policy. !--- Use the same real server on subsequent connections; issue the !--- sticky command. sticky 5 netmask 255.255.255.255 timeout 60 ! policy VPNIOS sticky-group 5 serverfarm VPN_IOS !
-
قم بتحديد VServers، واحد لكل تدفق حركة مرور.
!--- Virtual server VPN_IOS_ESP. vserver VPN_IOS_ESP !--- The virtual server IP address is specified. virtual 172.21.51.253 50 !--- Persistence rebalance is used for HTTP 1.1, to rebalance the connection !--- to a new server using the load balancing policy. persistent rebalance !--- Associate the load balancing policy with the VPNIOS virtual server. slb-policy VPNIOS inservice ! vserver VPN_IOS_IKE virtual 172.21.51.253 udp 500 persistent rebalance slb-policy VPNIOS inservice !
تكوين الموجه الطرفي - 7206VXR
crypto isakmp policy 10 authentication pre-share crypto isakmp key cisco123 address 0.0.0.0 ! crypto ipsec transform-set myset esp-3des esp-sha-hmac crypto mib ipsec flowmib history tunnel size 200 crypto mib ipsec flowmib history failure size 200 ! crypto dynamic-map mydyn 10 set transform-set myset reverse-route ! crypto map mymap 10 ipsec-isakmp dynamic mydyn ! interface FastEthernet0/0 ip address 172.21.51.247 255.255.255.240 crypto map mymap ! interface FastEthernet2/0 ip address 10.1.1.6 255.255.255.0 router eigrp 1 redistribute static network 10.0.0.0 no auto-summary no eigrp log-neighbor-changes ! ip default-gateway 172.21.51.241 ip classless ip route 0.0.0.0 0.0.0.0 172.21.51.241 no ip http server !
تكوين الموجه الذي تم التحدث عنه - 7206
crypto isakmp policy 10 authentication pre-share crypto isakmp key cisco123 address 172.21.51.253 ! crypto ipsec transform-set myset esp-3des esp-sha-hmac crypto mib ipsec flowmib history tunnel size 200 crypto mib ipsec flowmib history failure size 200 ! crypto map mymap 10 ipsec-isakmp set peer 172.21.51.253 set transform-set myset match address 101 ! interface Loopback0 ip address 10.3.3.3 255.255.255.0 ! interface Ethernet0/0 ip address 172.21.51.250 255.255.255.240 duplex auto crypto map mymap ! ip classless ip route 0.0.0.0 0.0.0.0 172.21.51.241 no ip http server ! access-list 101 permit ip 10.3.3.0 0.0.0.255 10.1.1.0 0.0.0.255 !
التحقق من الصحة
استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.
تدعم أداة مترجم الإخراج (للعملاءالمسجلين فقط) بعض أوامر show. استخدم أداة مترجم الإخراج (OIT) لعرض تحليل مُخرَج الأمر show .
-
قم بإصدار الأمر show module csm all أو show module contentSwitchingModule all، ويقوم كلا الأمرين بإنشاء نفس المعلومات.
يعرض الأمر show module contentSwitchingModule all vservers معلومات خادم SLB الظاهري.
Cat6506-1-Native# show module contentSwitchingModule all vservers ---------------------- CSM in slot 4 ---------------------- slb vserver prot virtual vlan state conns --------------------------------------------------------------------------- VPN_IOS_ESP 50 172.21.51.253/32:0 ALL OPERATIONAL 2 VPN_IOS_IKE UDP 172.21.51.253/32:500 ALL OPERATIONAL 2
يعرض الأمر show module contentSwitchingModule all conns معلومات اتصال SLB.
Cat6506-1-Native# show module contentSwitchingModule all conns ---------------------- CSM in slot 4 ---------------------- prot vlan source destination state ---------------------------------------------------------------------- In UDP 51 172.21.51.250:500 172.21.51.253:500 ESTAB Out UDP 61 172.21.51.242:500 172.21.51.250:500 ESTAB In 50 51 172.21.51.251 172.21.51.253 ESTAB Out 50 61 172.21.51.247 172.21.51.251 ESTAB In 50 51 172.21.51.250 172.21.51.253 ESTAB Out 50 61 172.21.51.242 172.21.51.250 ESTAB In UDP 51 172.21.51.251:500 172.21.51.253:500 ESTAB Out UDP 61 172.21.51.247:500 172.21.51.251:500 ESTABيعرض الأمر show module contentSwitchingModule all sticky قاعدة بيانات SLB اللاصقة.
Cat6506-1-Native# show module contentSwitchingModule all sticky ---------------------- CSM in slot 4 ---------------------- client IP: 172.21.51.250 real server: 172.21.51.242 connections: 0 group id: 5 timeout: 38 sticky type: netmask 255.255.255.255 client IP: 172.21.51.251 real server: 172.21.51.247 connections: 0 group id: 5 timeout: 40 sticky type: netmask 255.255.255.255
-
قم بإصدار الأمر show ip route على الموجه.
2621VPN# show ip route !--- Output suppressed. 10.0.0.0/24 is subnetted, 3 subnets D EX 10.2.2.0 [170/30720] via 10.1.1.6, 00:13:57, FastEthernet0/0 D EX 10.3.3.0 [170/30720] via 10.1.1.5, 00:16:15, FastEthernet0/0 C 10.1.1.0 is directly connected, FastEthernet0/0 D*EX 0.0.0.0/0 [170/30720] via 10.1.1.5, 00:37:58, FastEthernet0/0 [170/30720] via 10.1.1.6, 00:37:58, FastEthernet0/0 2621VPN# 7206VXR# show ip route !--- Output suppressed. 172.21.0.0/28 is subnetted, 1 subnets C 172.21.51.240 is directly connected, FastEthernet0/0 10.0.0.0/24 is subnetted, 3 subnets S 10.2.2.0 [1/0] via 0.0.0.0, FastEthernet0/0 D EX 10.3.3.0 [170/30720] via 10.1.1.5, 00:16:45, FastEthernet2/0 C 10.1.1.0 is directly connected, FastEthernet2/0 S* 0.0.0.0/0 [1/0] via 172.21.51.241
استكشاف الأخطاء وإصلاحها
لا تتوفر حاليًا معلومات محددة لاستكشاف الأخطاء وإصلاحها لهذا التكوين.
التعليقات