CISCO ACE篇.docx
《CISCO ACE篇.docx》由会员分享,可在线阅读,更多相关《CISCO ACE篇.docx(27页珍藏版)》请在冰点文库上搜索。
CISCOACE篇
CISCOACE篇
(一)——ACE概述
1、ACE概述:
CiscoACE4710设备是新一代应用交换机的代表,能够显著地改善数据中心内各种应用的可用性,增强应用的安全性,并提升应用的访问速度。
ACE能够使企业在应用交付方面实现四个主要IT目标:
提高应用的可用性:
采用了一组智能第4层负载均衡和第7层内容交换技术,并集成了领先的加速和安全功能。
主要设计特点是,使用虚拟化架构和基于角色的管理,理顺在应用推广、扩展、加速和保护方面的各项操作,并降低其成本。
使用了最好的应用交换算法,以及高度可用的系统软件和硬件。
加速应用性能:
能够支持高度灵活的应用流量管理,卸载SSL加密和解密处理及管理TCP会话等CPU密集型任务,因而能显著提高服务器的效率。
保护数据中心和应用:
借助其独特的虚拟化功能,CiscoACE4710使IT能够从一台CiscoACE设备预见并传递多种应用,从而为数据中心带来更强的可扩展性,以支持数据中心的应用拓展。
减少服务器、负载均衡器和数据中心防为墙,实现数据中心整合:
CiscoACE平台是数据中心内服务器和应用的最后一道防线,能够执行深层数据包检测,阻止恶意攻击。
集成式防火墙使IT专家能够全面保护数据中心内的关键应用,支持数据中心整合。
将应用的高性能与一整套先进的应用交付特性结合在一起,从而极大地提高了IT效率,降低总体拥有成本(TCO)。
2、ACE布置模式:
路由模式:
在客户端和服务器端VLAN位于不同子网时CiscoACE可以对通信进行路由,ACE作为client的网关;
桥接模式:
当客户端和服务器端在同一子网时CiscoACE可以对同性进行桥接,网关指向coreswitch;
单臂模式:
也称非对称服务器标准化(ASN),CiscoACE可以通过负载均衡,将初始请求从客户端转移至实际服务器,但服务器可以绕过CiscoACE直接对客户端作出响应。
CiscoACE可以对客户端发出的请求进行负载均衡并转发给真实的服务器,而服务器可以不经过ACE直接对客户端作出响应。
网关指向coreswitch。
3、ACE的应用:
ACE的应用主要使用http、https、telnet、icmp、snmp、实时流协议(RSTP)和域名系统(dns)等协议,实现了多种内容交换,并使用了完全常规参数表达(regex),包括URL、cookies、方法、标头,主机标头和消息。
例如:
URL、cookie、请求方法、包头、主机头和message等,从而实现了丰富的内容交换功能。
支持针对虚拟服务器和真实服务器的关键策略,例如被迫关闭强制关机、备用服务器备份和服务器群集、顺利的故障切换、连接限制、流量限制和重定向。
将服务质量(QoS)与依据第4层或第7层匹配客户端请求设置服务类型(ToS)和差别化服务代码点(DSCP)的功能集成在一起。
利用4层或7层匹配功能针对每一个用户端请求,都设定服务类型(ToS)和差别化服务代码点(DSCP),并将这两项功能和现有的服务质量(QoS)进行整合提供卓越的设备负载均衡能力,支持对DNS、高速缓存、透明高速缓存、状态化防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)、VPN和SSLVPN等设备进行负载均衡。
4、ACE的调试:
ACE的调试是一项相对复杂的任务,一般需要专业的人员进行调试,但我们只要认真学了以后,我们就是专家啦!
CISCOACE篇
(二)——ACE路由模式
2011-05-2418:
38:
21|分类:
ACE|标签:
|字号大中小订阅
ACE有三种布置模式:
路由模式,桥接模式和单臂模式。
路由模式,在客户端和服务器端VLAN位于不同子网时CiscoACE可以对通信进行路由,ACE作为client的网关。
实验拓扑:
ACE基本配置:
配置vlan:
ACE_4710/Admin(config)#intgi1/1
ACE_4710/Admin(config-if)#swtrallvlan1-100
ACE_4710/Admin(config-if)#descoutside
ACE_4710/Admin(config-if)#intgi1/2
ACE_4710/Admin(config-if)#swtrallvlan101-200
ACE_4710/Admin(config-if)#descinside
ACE_4710/Admin(config-if)#intgi1/3
ACE_4710/Admin(config-if)#swtrallvlan300
ACE_4710/Admin(config-if)#descmanACE_4710/Admin
ACE_4710/Admin(config-if)#nosh
ACE_4710/Admin(config-if)#exit
配置vlan管理地址:
ACE_4710/Admin(config)#intvlan100
ACE_4710/Admin(config-if)#nosh
ACE_4710/Admin(config-if)#intvlan200
ACE_4710/Admin(config-if)#nosh
ACE_4710/Admin(config-if)#intvlan300
ACE_4710/Admin(config-if)#nosh
配置默认路由:
ACE_4710/Admin(config)#iproute
ACE_4710/Admin(config)#class-maptymamatch-anymana
ACE_4710/Admin(config-cmap-mgmt)#matproicmpany
ACE_4710/Admin(config-cmap-mgmt)#matprohttpany
ACE_4710/Admin(config-cmap-mgmt)#matprohttpsany
ACE_4710/Admin(config-cmap-mgmt)#exit
ACE_4710/Admin(config)#policy-maptymanagementfirst-matchmanaper-feature
ACE_4710/Admin(config-pmap-mamt)#classmana
ACE_4710/Admin(config-pmap-mamt-c)#permit
ACE_4710/Admin(config-pmap-mamt-c)#exit
ACE_4710/Admin(config-pmap-mamt)#exit
ACE_4710/Admin(config)#intvlan100
ACE_4710/Admin(config-if)#service-policyinputmana
ACE_4710/Admin(config-if)#intvlan200
ACE_4710/Admin(config-if)#service-policyinputmana
ACE_4710/Admin(config-if)#intvlan300
ACE_4710/Admin(config-if)#service-policyinputmana
ACE_4710/Admin(config)#doshowipro
路由器基本配置:
ROUTER:
Router#
交换机基本配置
配置trunk:
Switch(config)#intfa0/9
Switch(config-if)#switchportmodetrunk
Switch(config-if)#switchporttrunkencapsulationdot1q
Switch(config)#intfa0/17
Switch(config-if)#switchportmodetrunk
Switch(config-if)#switchporttrunkencapsulationdot1q
Switch(config)#intfa0/23
Switch(config-if)#switchportmodetrunk
Switch(config-if)#switchporttrunkencapsulationdot1q
查看端口状态:
Switch(config)#doshowrunintfa0/9
Switch(config-if)#doshowrunintfa0/17
Switch(config-if)#doshowrunintfa0/23
建立与ACE相对应的VLAN:
Switch(config-if)#exit
Switch(config)#showvlanbr
Switch(config)#vlan100
Switch(config-vlan)#vlan200
Switch(config-vlan)#vlan300
Switch(config-vlan)#exit
配置vlan地址:
Switch(config)#intvlan100
Switch(config-if)#intvlan200
Switch(config-if)#intvlan300
Switch(config-if)#exit
配置静态路由
将服务器连接交换机的端口加入vlan
Switch(config-if)#intfa0/13
Switch(config-if)#swaccvlan200
Switch(config-if)#intfa0/19
Switch(config-if)#swaccvlan200
测试是否连通:
ACE负载
配置realserver:
ACE_4710/Admin#configt
ACE_4710/Admin(config)#rservernamepc1
ACE_4710/Admin(config-rserver-host)#inservice
ACE_4710/Admin(config-rserver-host)#ip
ACE_4710/Admin(config-rserver-host)#rservernamepc2
ACE_4710/Admin(config-rserver-host)#inservice
配置serverfarm:
ACE_4710/Admin(config)#serverfarmfarm
ACE_4710/Admin(config-sfarm-host)#rserverpc1
ACE_4710/Admin(config-sfarm-host-rs)#inservice
ACE_4710/Admin(config-sfarm-host-rs)#exit
ACE_4710/Admin(config-sfarm-host)#rserverpc2
ACE_4710/Admin(config-sfarm-host-rs)#inservice
ACE_4710/Admin(config-sfarm-host-rs)#exit
配置class-map:
ACE_4710/Admin(config)#class-maptypeVIP
ACE_4710/Admin(config-cmap)#matchvirtual-address172.16.5.100tcpeqwww
ACE_4710/Admin(config-cmap)#exit
配置policy-map:
ACE_4710/Admin(config)#poliey-maptypeloadbalancefirst-matchLB
ACE_4710/Admin(config-pamp-lb-c)#classclass-default
ACE_4710/Admin(config-pamp-lb-c)#serverfarmfarm
ACE_4710/Admin(config-pamp-lb-c)#exit
ACE_4710/Admin(config-pamp-lb)#exit
ACE_4710/Admin(config)#policy-mapmulti-matchpolice
ACE_4710/Admin(config-pamp)#classVIP
ACE_4710/Admin(config-pamp-c)#loadbalancepoliceLB
ACE_4710/Admin(config-pamp-c)#loadbalanceVIPinservice
ACE_4710/Admin(config-pamp-c)#exit
ApplythePolicy-map:
ACE_4710/Admin(config-if)#intvlan100
ACE_4710/Admin(config-if)#service-policyinputpolice
ACE_4710/Admin(config-if)#access-groupinputcisco
配置访问控制列表:
ACE_4710/Admin(config)#access-listciscoexpertcpanyanyeqwww
配置NAT:
ACE_4710/Admin(config)#class-mapNAT
ACE_4710/Admin(config-cmap)#matchsource-address192
ACE_4710/Admin(config-cmap)#exit
ACE_4710/Admin(config)#policy-mapmulti-matchNAT
ACE_4710/Admin(config-cmap)#classNAT
ACE_4710/Admin(config-cmap-c)#natstatic172.16.5.101255.255.255.255clan100
ACE_4710/Admin(config-cmap-c)#exit
ACE_4710/Admin(config-cmap)#classNAT2
ACE_4710/Admin(config-cmap)#exit
ACE_4710/Admin(config)#policy-mapmulti-matchNAT
ACE_4710/Admin(config)#natsta172.16.5.
ACE_4710/Admin(config-cmap-c)#exit
ACE_4710/Admin(config)#intvlan200
ACE_4710/Admin(config)#service-polieyintputNAT
showrun:
switch/Admin#shrun
Generatingconfiguration....
bootsystemimage:
c4710ace-mz.A3_2_4.bin
boot0a.bin
interfacegigabitEthernet1/1
descriptionoutside
switchporttrunkallowedvlan1-100
noshutdown
interfacegigabitEthernet1/2
descriptioninside
switchporttrunkallowedvlan101-200
noshutdown
interfacegigabitEthernet1/3
descriptionman
switchporttrunkallowedvlan300
noshutdown
interfacegigabitEthernet1/4
shutdown
access-listciscoline8extendedpermittcpanyanyeqwww
rserverhostpc1
ipaddress192.168.100.7
inservice
rserverhostpc2
ipaddress192.168.100.8
inservice
serverfarmhostfarm
rserverpc1
inservice
rserverpc2
inservice
class-mapmatch-allNAT
2matchsource-address192.168.100.7255.255.255.255
class-mapmatch-allNAT2
2matchsource-address192.168.100.8255.255.255.255
class-mapmatch-allVIP
2matchvirtual-address172.16.5.100tcpeqwww
class-maptypemanagementmatch-anymana
2matchprotocolicmpany
3matchprotocolhttpany
4matchprotocolhttpsany
5matchprotocoltelnetany
policy-maptypemanagementfirst-matchmana
classmana
permit
policy-maptypeloadbalancefirst-matchLB
classclass-default
serverfarmfarm
policy-mapmulti-matchNAT
classNAT
natstatic172.16.5.101netmask255.255.255.255vlan100
classNAT2
natstatic172.16.5.102netmask255.255.255.255vlan100
policy-mapmulti-matchpolice
classVIP
loadbalancevipinservice
loadbalancepolicyLB
interfacevlan100
ipaddress172.16.5.2255.255.255.0
access-groupinputcisco
service-policyinputmana
service-policyinputpolice
noshutdown
interfacevlan200
ipaddress192.168.100.1255.255.255.0
access-groupinputcisco
service-policyinputmana
service-policyinputNAT
noshutdown
interfacevlan300
ipaddress172.16.100.1255.255.255.0
access-groupinputcisco
service-policyinputmana
noshutdown
iproute
usernameadminpassword5$1$PsF96z9m$UxEgWiRsv9YIPhstoL7pc.roleAdmindomain
default-domain
usernamewwwpassword5$1$.TuZPVop$MdVtkf9pZt69AGKe2y2Wg0roleAdmindomainde
fault-domain
思科应用控制引擎(ACE)4710设备
产品概述
Cisco?
ACE4710设备是新一代应用交换机的代表,它能够显著地改善数据中心内各种应用的可用性,增强应用的安全性,并提升应用的访问速度。
CiscoACE4710设备能够使企业在应用交付方面实现四个主要IT目标:
∙提高应用的可用性
∙加速应用性能
∙保护数据中心和应用
∙减少服务器、负载均衡器和数据中心防火墙,实现数据中心整合
CiscoACE4710能够实现这些目标,因为它采用了一组智能第4层负载均衡和第7层内容交换技术,并集成了领先的加速和安全功能。
CiscoACE4710的主要设计特点是,使用虚拟化架构和基于角色的管理,理顺在应用推广、扩展、加速和保护方面的各项操作,并降低其成本。
为提高应用可用性,CiscoACE4710使用了最好的应用交换算法,以及高度可用的系统软件和硬件。
CiscoACE4710能够通过全新的加速功能为最终用户提供极高的生产率,使响应时间加快300%。
另外,借助其独特的虚拟化功能,CiscoACE4710使IT能够从一台CiscoACE设备预见并传递多种应用,从而为数据中心带来更强的可扩展性,以支持数据中心的应用拓展。
由于CiscoACE4710能够支持高度灵活的应用流量管理,卸载SSL加密和解密处理及管理TCP会话等CPU密集型任务,因而能显著提高服务器的效率。
CiscoACE平台是数据中心内服务器和应用的最后一道防线,能够执行深层数据包检测,阻止恶意攻击。
集成式防火墙使IT专家能够全面保护数据中心内的关键应用,支持数据中心整合(见图1)。
图1CiscoACE网络集成
CiscoACE4710将应用的高性能与一整套先进的应用交付特性结合在一起,从而极大地提高了IT效率,降低总体拥有成本(TCO)。
CiscoACE4710设备如图2所示。
图2CiscoACE4710
特性与优势
CiscoACE4710的特性与优势如表1所示。
表1特性与优势
特性
优势
应用的可用性
应用交换
CiscoACE4710代表了新一代服务器负载均衡和应用交换设备,能够在一个强大的系统中以高度集成的形式提供必要应用服务功能。
它能够支持服务器负载均衡和应用交换的全国部功能,同时基于可定制第4-7层规则的提供了精细的流量控制。
它整合了新一代负载均衡引擎,支持TCP、UDP、HTTP、HTTPS、Telnet实时流协议(RTSP)和域名系统(DNS)等协议
实现了多种内容交换功能,并使用了完全常规参数表达(regex),包括URL、Cookies、方法、标头、主机标头和消息。
在参数表达上借助了完整的政策表达式(regex),例如:
URL、cookie、请求方法、包头、主机头和message等,从而实现了丰富的内容交换功能。
支持针对虚拟服务器和真实服务器的关键策略,例如被迫关闭强制关机、备用服务器备份和服务器群集、顺利的故障切换、连接限制、流量限制和重定向。
将服务质量(QoS)与依据第4层或第7层匹配客户端请求设置