CISCO ACE篇.docx

CISCO ACE篇.docx

《CISCO ACE篇.docx》由会员分享，可在线阅读，更多相关《CISCO ACE篇.docx（27页珍藏版）》请在冰点文库上搜索。

CISCOACE篇

CISCOACE篇

（一）——ACE概述

1、ACE概述：

CiscoACE4710设备是新一代应用交换机的代表，能够显著地改善数据中心内各种应用的可用性，增强应用的安全性，并提升应用的访问速度。

ACE能够使企业在应用交付方面实现四个主要IT目标：

提高应用的可用性：

采用了一组智能第4层负载均衡和第7层内容交换技术，并集成了领先的加速和安全功能。

主要设计特点是，使用虚拟化架构和基于角色的管理，理顺在应用推广、扩展、加速和保护方面的各项操作，并降低其成本。

使用了最好的应用交换算法，以及高度可用的系统软件和硬件。

加速应用性能：

能够支持高度灵活的应用流量管理，卸载SSL加密和解密处理及管理TCP会话等CPU密集型任务，因而能显著提高服务器的效率。

保护数据中心和应用：

借助其独特的虚拟化功能，CiscoACE4710使IT能够从一台CiscoACE设备预见并传递多种应用，从而为数据中心带来更强的可扩展性，以支持数据中心的应用拓展。

减少服务器、负载均衡器和数据中心防为墙，实现数据中心整合：

CiscoACE平台是数据中心内服务器和应用的最后一道防线，能够执行深层数据包检测，阻止恶意攻击。

集成式防火墙使IT专家能够全面保护数据中心内的关键应用，支持数据中心整合。

将应用的高性能与一整套先进的应用交付特性结合在一起，从而极大地提高了IT效率，降低总体拥有成本（TCO）。

2、ACE布置模式：

路由模式：

在客户端和服务器端VLAN位于不同子网时CiscoACE可以对通信进行路由，ACE作为client的网关；

桥接模式：

当客户端和服务器端在同一子网时CiscoACE可以对同性进行桥接,网关指向coreswitch；

单臂模式：

也称非对称服务器标准化（ASN），CiscoACE可以通过负载均衡，将初始请求从客户端转移至实际服务器，但服务器可以绕过CiscoACE直接对客户端作出响应。

CiscoACE可以对客户端发出的请求进行负载均衡并转发给真实的服务器，而服务器可以不经过ACE直接对客户端作出响应。

网关指向coreswitch。

3、ACE的应用：

ACE的应用主要使用http、https、telnet、icmp、snmp、实时流协议（RSTP）和域名系统（dns）等协议，实现了多种内容交换，并使用了完全常规参数表达（regex）,包括URL、cookies、方法、标头，主机标头和消息。

例如：

URL、cookie、请求方法、包头、主机头和message等，从而实现了丰富的内容交换功能。

支持针对虚拟服务器和真实服务器的关键策略，例如被迫关闭强制关机、备用服务器备份和服务器群集、顺利的故障切换、连接限制、流量限制和重定向。

将服务质量（QoS）与依据第4层或第7层匹配客户端请求设置服务类型（ToS）和差别化服务代码点（DSCP）的功能集成在一起。

利用4层或7层匹配功能针对每一个用户端请求，都设定服务类型（ToS）和差别化服务代码点（DSCP），并将这两项功能和现有的服务质量（QoS）进行整合提供卓越的设备负载均衡能力，支持对DNS、高速缓存、透明高速缓存、状态化防火墙、入侵检测系统（IDS）、入侵防御系统（IPS）、VPN和SSLVPN等设备进行负载均衡。

4、ACE的调试：

ACE的调试是一项相对复杂的任务，一般需要专业的人员进行调试，但我们只要认真学了以后，我们就是专家啦！

CISCOACE篇

（二）——ACE路由模式

2011-05-2418:

38:

21|分类：

ACE|标签：

|字号大中小订阅

ACE有三种布置模式：

路由模式，桥接模式和单臂模式。

路由模式，在客户端和服务器端VLAN位于不同子网时CiscoACE可以对通信进行路由，ACE作为client的网关。

实验拓扑：

ACE基本配置：

配置vlan:

ACE_4710/Admin（config）#intgi1/1

ACE_4710/Admin（config-if）#swtrallvlan1-100

ACE_4710/Admin（config-if）#descoutside

ACE_4710/Admin（config-if）#intgi1/2

ACE_4710/Admin（config-if）#swtrallvlan101-200

ACE_4710/Admin（config-if）#descinside

ACE_4710/Admin（config-if）#intgi1/3

ACE_4710/Admin（config-if）#swtrallvlan300

ACE_4710/Admin（config-if）#descmanACE_4710/Admin

ACE_4710/Admin（config-if）#nosh

ACE_4710/Admin（config-if）#exit

配置vlan管理地址：

ACE_4710/Admin（config）#intvlan100

ACE_4710/Admin（config-if）#nosh

ACE_4710/Admin（config-if）#intvlan200

ACE_4710/Admin（config-if）#nosh

ACE_4710/Admin（config-if）#intvlan300

ACE_4710/Admin（config-if）#nosh

配置默认路由：

ACE_4710/Admin（config）#iproute

ACE_4710/Admin（config）#class-maptymamatch-anymana

ACE_4710/Admin（config-cmap-mgmt）#matproicmpany

ACE_4710/Admin（config-cmap-mgmt）#matprohttpany

ACE_4710/Admin（config-cmap-mgmt）#matprohttpsany

ACE_4710/Admin（config-cmap-mgmt）#exit

ACE_4710/Admin（config）#policy-maptymanagementfirst-matchmanaper-feature

ACE_4710/Admin（config-pmap-mamt）#classmana

ACE_4710/Admin（config-pmap-mamt-c）#permit

ACE_4710/Admin（config-pmap-mamt-c）#exit

ACE_4710/Admin（config-pmap-mamt）#exit

ACE_4710/Admin（config）#intvlan100

ACE_4710/Admin（config-if）#service-policyinputmana

ACE_4710/Admin（config-if）#intvlan200

ACE_4710/Admin（config-if）#service-policyinputmana

ACE_4710/Admin（config-if）#intvlan300

ACE_4710/Admin（config-if）#service-policyinputmana

ACE_4710/Admin（config）#doshowipro

路由器基本配置：

ROUTER:

Router#

交换机基本配置

配置trunk:

Switch（config）#intfa0/9

Switch（config-if）#switchportmodetrunk

Switch（config-if）#switchporttrunkencapsulationdot1q

Switch（config）#intfa0/17

Switch（config-if）#switchportmodetrunk

Switch（config-if）#switchporttrunkencapsulationdot1q

Switch（config）#intfa0/23

Switch（config-if）#switchportmodetrunk

Switch（config-if）#switchporttrunkencapsulationdot1q

查看端口状态：

Switch（config）#doshowrunintfa0/9

Switch（config-if）#doshowrunintfa0/17

Switch（config-if）#doshowrunintfa0/23

建立与ACE相对应的VLAN：

Switch（config-if）#exit

Switch（config）#showvlanbr

Switch（config）#vlan100

Switch（config-vlan）#vlan200

Switch（config-vlan）#vlan300

Switch（config-vlan）#exit

配置vlan地址：

Switch（config）#intvlan100

Switch（config-if）#intvlan200

Switch（config-if）#intvlan300

Switch（config-if）#exit

配置静态路由

将服务器连接交换机的端口加入vlan

Switch（config-if）#intfa0/13

Switch（config-if）#swaccvlan200

Switch（config-if）#intfa0/19

Switch（config-if）#swaccvlan200

测试是否连通：

ACE负载

配置realserver:

ACE_4710/Admin#configt

ACE_4710/Admin（config）#rservernamepc1

ACE_4710/Admin（config-rserver-host）#inservice

ACE_4710/Admin（config-rserver-host）#ip

ACE_4710/Admin（config-rserver-host）#rservernamepc2

ACE_4710/Admin（config-rserver-host）#inservice

配置serverfarm:

ACE_4710/Admin（config）#serverfarmfarm

ACE_4710/Admin（config-sfarm-host）#rserverpc1

ACE_4710/Admin（config-sfarm-host-rs）#inservice

ACE_4710/Admin（config-sfarm-host-rs）#exit

ACE_4710/Admin（config-sfarm-host）#rserverpc2

ACE_4710/Admin（config-sfarm-host-rs）#inservice

ACE_4710/Admin（config-sfarm-host-rs）#exit

配置class-map:

ACE_4710/Admin（config）#class-maptypeVIP

ACE_4710/Admin（config-cmap）#matchvirtual-address172.16.5.100tcpeqwww

ACE_4710/Admin（config-cmap）#exit

配置policy-map:

ACE_4710/Admin（config）#poliey-maptypeloadbalancefirst-matchLB

ACE_4710/Admin（config-pamp-lb-c）#classclass-default

ACE_4710/Admin（config-pamp-lb-c）#serverfarmfarm

ACE_4710/Admin（config-pamp-lb-c）#exit

ACE_4710/Admin（config-pamp-lb）#exit

ACE_4710/Admin（config）#policy-mapmulti-matchpolice

ACE_4710/Admin（config-pamp）#classVIP

ACE_4710/Admin（config-pamp-c）#loadbalancepoliceLB

ACE_4710/Admin（config-pamp-c）#loadbalanceVIPinservice

ACE_4710/Admin（config-pamp-c）#exit

ApplythePolicy-map:

ACE_4710/Admin（config-if）#intvlan100

ACE_4710/Admin（config-if）#service-policyinputpolice

ACE_4710/Admin（config-if）#access-groupinputcisco

配置访问控制列表：

ACE_4710/Admin（config）#access-listciscoexpertcpanyanyeqwww

配置NAT：

ACE_4710/Admin（config）#class-mapNAT

ACE_4710/Admin（config-cmap）#matchsource-address192

ACE_4710/Admin（config-cmap）#exit

ACE_4710/Admin（config）#policy-mapmulti-matchNAT

ACE_4710/Admin（config-cmap）#classNAT

ACE_4710/Admin（config-cmap-c）#natstatic172.16.5.101255.255.255.255clan100

ACE_4710/Admin（config-cmap-c）#exit

ACE_4710/Admin（config-cmap）#classNAT2

ACE_4710/Admin（config-cmap）#exit

ACE_4710/Admin（config）#policy-mapmulti-matchNAT

ACE_4710/Admin（config）#natsta172.16.5.

ACE_4710/Admin（config-cmap-c）#exit

ACE_4710/Admin（config）#intvlan200

ACE_4710/Admin（config）#service-polieyintputNAT

showrun:

switch/Admin#shrun

Generatingconfiguration....

bootsystemimage:

c4710ace-mz.A3_2_4.bin

boot0a.bin

interfacegigabitEthernet1/1

descriptionoutside

switchporttrunkallowedvlan1-100

noshutdown

interfacegigabitEthernet1/2

descriptioninside

switchporttrunkallowedvlan101-200

noshutdown

interfacegigabitEthernet1/3

descriptionman

switchporttrunkallowedvlan300

noshutdown

interfacegigabitEthernet1/4

shutdown

access-listciscoline8extendedpermittcpanyanyeqwww

rserverhostpc1

ipaddress192.168.100.7

inservice

rserverhostpc2

ipaddress192.168.100.8

inservice

serverfarmhostfarm

rserverpc1

inservice

rserverpc2

inservice

class-mapmatch-allNAT

2matchsource-address192.168.100.7255.255.255.255

class-mapmatch-allNAT2

2matchsource-address192.168.100.8255.255.255.255

class-mapmatch-allVIP

2matchvirtual-address172.16.5.100tcpeqwww

class-maptypemanagementmatch-anymana

2matchprotocolicmpany

3matchprotocolhttpany

4matchprotocolhttpsany

5matchprotocoltelnetany

policy-maptypemanagementfirst-matchmana

classmana

permit

policy-maptypeloadbalancefirst-matchLB

classclass-default

serverfarmfarm

policy-mapmulti-matchNAT

classNAT

natstatic172.16.5.101netmask255.255.255.255vlan100

classNAT2

natstatic172.16.5.102netmask255.255.255.255vlan100

policy-mapmulti-matchpolice

classVIP

loadbalancevipinservice

loadbalancepolicyLB

interfacevlan100

ipaddress172.16.5.2255.255.255.0

access-groupinputcisco

service-policyinputmana

service-policyinputpolice

noshutdown

interfacevlan200

ipaddress192.168.100.1255.255.255.0

access-groupinputcisco

service-policyinputmana

service-policyinputNAT

noshutdown

interfacevlan300

ipaddress172.16.100.1255.255.255.0

access-groupinputcisco

service-policyinputmana

noshutdown

iproute

usernameadminpassword5$1$PsF96z9m$UxEgWiRsv9YIPhstoL7pc.roleAdmindomain

default-domain

usernamewwwpassword5$1$.TuZPVop$MdVtkf9pZt69AGKe2y2Wg0roleAdmindomainde

fault-domain

思科应用控制引擎（ACE）4710设备

产品概述

Cisco?

ACE4710设备是新一代应用交换机的代表，它能够显著地改善数据中心内各种应用的可用性，增强应用的安全性，并提升应用的访问速度。

CiscoACE4710设备能够使企业在应用交付方面实现四个主要IT目标：

∙提高应用的可用性

∙加速应用性能

∙保护数据中心和应用

∙减少服务器、负载均衡器和数据中心防火墙，实现数据中心整合

CiscoACE4710能够实现这些目标，因为它采用了一组智能第4层负载均衡和第7层内容交换技术，并集成了领先的加速和安全功能。

CiscoACE4710的主要设计特点是，使用虚拟化架构和基于角色的管理，理顺在应用推广、扩展、加速和保护方面的各项操作，并降低其成本。

为提高应用可用性，CiscoACE4710使用了最好的应用交换算法，以及高度可用的系统软件和硬件。

CiscoACE4710能够通过全新的加速功能为最终用户提供极高的生产率，使响应时间加快300%。

另外，借助其独特的虚拟化功能，CiscoACE4710使IT能够从一台CiscoACE设备预见并传递多种应用，从而为数据中心带来更强的可扩展性，以支持数据中心的应用拓展。

由于CiscoACE4710能够支持高度灵活的应用流量管理，卸载SSL加密和解密处理及管理TCP会话等CPU密集型任务，因而能显著提高服务器的效率。

CiscoACE平台是数据中心内服务器和应用的最后一道防线，能够执行深层数据包检测，阻止恶意攻击。

集成式防火墙使IT专家能够全面保护数据中心内的关键应用，支持数据中心整合（见图1）。

图1CiscoACE网络集成

CiscoACE4710将应用的高性能与一整套先进的应用交付特性结合在一起，从而极大地提高了IT效率，降低总体拥有成本（TCO）。

CiscoACE4710设备如图2所示。

图2CiscoACE4710

特性与优势

CiscoACE4710的特性与优势如表1所示。

表1特性与优势

特性

优势

应用的可用性

应用交换

CiscoACE4710代表了新一代服务器负载均衡和应用交换设备，能够在一个强大的系统中以高度集成的形式提供必要应用服务功能。

它能够支持服务器负载均衡和应用交换的全国部功能，同时基于可定制第4-7层规则的提供了精细的流量控制。

它整合了新一代负载均衡引擎，支持TCP、UDP、HTTP、HTTPS、Telnet实时流协议（RTSP）和域名系统（DNS）等协议

实现了多种内容交换功能，并使用了完全常规参数表达（regex），包括URL、Cookies、方法、标头、主机标头和消息。

在参数表达上借助了完整的政策表达式（regex），例如：

URL、cookie、请求方法、包头、主机头和message等，从而实现了丰富的内容交换功能。

支持针对虚拟服务器和真实服务器的关键策略，例如被迫关闭强制关机、备用服务器备份和服务器群集、顺利的故障切换、连接限制、流量限制和重定向。

将服务质量（QoS）与依据第4层或第7层匹配客户端请求设置