模块ContentsWitchingModule 2 VLAN 14客户端IP地址11.8.200.66 255.255.255.224别名11.8.200.65 255.255.255.224!VLAN 114服务器IP地址11.8.200.66 255.255.255.224路线173.73.248.0 255.255.248.0网关11.8.200.80!探测INTERNET icmp地址11.8.200.33 interval 5 !探测LAN ICMP地址11.8.200.97间隔5!探针Web TCP间隔10!!!ServerFarm DMZ_Internet没有NAT服务器没有NAT客户端预测器哈希地址目的地Real 11.8.200.75 Inservice Real 11.8.200.76 Inservice Real 11.8.200.77 Inservice Probe Internet!ServerFarm DMZ_LAN没有NAT服务器没有NAT客户端预测器哈希地址目的地Real 11.8.200.75 Inservice Real 11.8.200.76 Inservice Real 11.8.200.77 Inservice Probe Lan!ServerFarm Web Nat Server没有NAT Client Real 173.73.248.121 Inservice Real 173.73.248.122 Inservice Real 173.73.73.73.248.123 Inservice Probe Web!serverfarm OUT_FW_CSM no nat server no nat client predictor forward ! ! vserver DMZ_INTERNET virtual 0.0.0.0 0.0.0.0 any vlan 114 serverfarm DMZ_INTERNET replicate csrp sticky replicate csrp connection persistent rebalance inservice ! vserver DMZ_LAN virtual 11.0.0.0 255.0.0.0 any vlan 114 serverfarm DMZ_LAN replicate csrp sticky replicate csrp connection persistent rebalance inservice ! vserver WEB-80 virtual 173.73.248.120 tcp www serverfarm WEB replicate csrp sticky replicate csrp connection persistent rebalance inservice ! vserver WEB-443 virtual 173.73.248.120 tcp https serverfarm WEB sticky 240 replicate csrp sticky replicate csrp connection persistent rebalance inservice ! vserver OUT_FW_CSM virtual 173.73.248.0 255.255.248.0 any vlan 14 serverfarm OUT_FW_CSM replicate csrp sticky replicate csrp connection persistent rebalance inservice !
催化剂6509层3配置
下面是Catalyst 6509上的Layer 3配置。接口VLAN 114是CSM与MSFC连接的接口。VLAN 248是MSFC上存在的服务器VLAN。由于MSFC的默认网关是CSM,所有从服务器到INET或LAN段的流量都要经过CSM。
interface Vlan114 ip address 11.8.200.81 255.255.255.224 no ip redirect standby 3 ip 11.8.200.80 standby 3 priority 105 standby 3 preempt !interface Vlan248 ip address 173.73.248.2 255.255.255.0 no ip redirect standby 1 ip 173.73.248.1 standby 1 priority 105 standby 1 preempt !interface Vlan249 ip address 173.73.249.2 255.255.255.0 no ip redirect standby 2 ip 173.73.249.1 standby 2 priority 105 standby 2 preempt !IP default-gateway 11.8.200.65 IP无类IP路由0.0.0.0 0.0.0.0 11.8.200.65
LAN段的配置详细信息
下面几节提供了局域网段CSM和Catalyst 6500的详细配置。这是连接数据中心和公司网络的部分。雷竞技电脑网站
CSM配置
下面是局域网段使用的CSM配置。注意,在下面的配置中,空闲超时增加到3小时。这确保了从LAN到DMZ的用户会话不会被CSM删除,即使用户空闲时间长达10,800秒。CSM默认空闲超时时间为1小时。在DMZ CSM配置中也需要进行类似的空闲超时调整。
module ContentSwitchingModule 2 vlan 15 client ip address 11.8.200.98 255.255.255.224别名11.8.200.97 255.255.255.224 !Vlan 115服务器IP地址11.8.200.98 255.255.255.224路由11.0.0.0网关11.8.200.102 !探测INTERNET icmp地址11.8.200.33 interval 5 !探测DMZ icmp地址11.8.200.65 interval 5 !serverfarm LAN_DMZ no nat server no nat client predictor hash address source real 11.8.200.107 inservice real 11.8.200.108 inservice real 11.8.200.109 inservice probe DMZ !serverfarm LAN_INTERNET no nat server no nat client predictor hash address destination real 11.8.200.107 inservice real 11.8.200.108 inservice real 11.8.200.109 inservice probe INTERNET !serverfarm OUT_FW_CSM no nat server no nat client predictor forward !vserver LAN_DMZ_V1 virtual 173.73.248.0 255.255.248.0 any vlan 115空闲10800 serverfarm LAN_DMZ复制csrp sticky复制csrp连接persistent rebalance inservice !vserver LAN_DMZ_V2 virtual 11.8.200.64 255.255.255.224 any vlan 115空闲10800 serverfarm LAN_DMZ复制csrp sticky复制csrp连接persistent rebalance inservice !vserver LAN_INTERNET virtual 0.0.0.0 0.0.0.0 any vlan 115 serverfarm LAN_INTERNET复制csrp sticky复制csrp连接persistent rebalance inservice ! vserver LAN_INTERNET_2 virtual 11.8.200.224 255.255.255.224 any vlan 115 serverfarm LAN_INTERNET replicate csrp sticky replicate csrp connection persistent rebalance inservice ! vserver OUT_FW_CSM virtual 11.0.0.0 255.0.0.0 any vlan 15 serverfarm OUT_FW_CSM replicate csrp sticky replicate csrp connection persistent rebalance inservice !
催化剂6509层3配置
下面是Catalyst 6509上的Layer 3配置。接口VLAN 115是CSM与MSFC连接的接口。VLAN 200用于连接MSFC和企业内部路由器。
接口VLAN115 IP地址11.8.200.103 255.255.255.224无IP重定向待机1 IP 11.8.200.102待机1优先级105待机1抢占备用1 Track VLAN200!接口VLAN200 IP地址11.8.200.130 255.255.255.224无IP重定向待机2 IP 11.8.200.129备用2优先级105待机2抢占备用2轨道VLAN115!IP默认网关11.8.200.97 IP无级IP路线0.0.0.0 0.0.0.0 11.8.200.97 IP路线11.0.0.0 255.0.0.0 11.8.200.135 IP路线11.8.200.32 255.255.97 IP路线11.8.200.64 255.200.64 255.25.200.64 255.25.255.22411.8.200.97 IP路线11.8.200.224 255.255.255.224 11.8.200.97
测试和验证
如前所述,对于所使用的套接字数量、TCP或UDP连接雷竞技电脑网站的持续时间、每个会话中的活动(按每秒的包数计算)、空闲超时等等,每个数据中心环境都是唯一的。因此,使用特定的应用程序测试和验证FWLB和SLB环境至关重要。
以下是一些关键的测试用例,您应该在新部署或主要或小型基础架构更改之后验证 - 包括CSM或防火墙代码升级。
通过确保所有探针都正常工作来验证防火墙路径
各路段之间的交通流量验证;即INET、DMZ和LAN
LAN和DMZ之间的主动和被动FTP的验证
HTTP和HTTPS服务器内容检索
到后端数据库或内部服务器的服务器发起的会话
服务器发起的备份或数据复制会话
应用程序守护程序失败并由CSM检测
主CSM故障,测量恢复时间
主催化剂6509失效,测定恢复时间
总结
本章介绍了FWLB概念,技术,产品和实施细节。本章涵盖了FWLB背后的动机,提供了不同的防火墙的概述,并解释了如何加载每个类型的平衡。
为了将FWLB的所有概念与CSM平台的角度来说,本章还提供了一个案例研究。本案例研究专注于使用CSM将余量防火墙加载三个安全段的实际解决方案的部署方案。已经提供了CSM配置并解释为将读者介绍给CLI。
第6章“透明和代理缓存负载均衡”,介绍缓存术语,技术和方法,以及Catalyst 6500上的CSM在CASM上的完整案例研究。
版权所有©2007培生教育。保留所有权利。