思科如何配置ACE
思科如何配置ACE
思科依靠自身的技術和對網(wǎng)絡經(jīng)濟模式的深刻理解,成為了網(wǎng)絡應用的成功實踐者之一,那么你知道思科如何配置ACE嗎?下面是學習啦小編整理的一些關于思科如何配置ACE的相關資料,供你參考。
思科配置ACE的方法:
1、 建立VLAN 而不開啟三層SVI接口(此處略)
2、 配置VLAN Group組
svclc vlan-group 50 40, 41,60,100,400,500,1000 Vlan-Group組號 50 對應的VLAN40, 41,60,100,400,500,1000
3、配置VLAN Group映射到ACE模塊上
svclc module 5 vlan-group 50
3、 配置MSFC支持多個SVI接口并分配到ACE上。(可選命令)
svclc multiple-vlan-interfaces
登陸ACE模塊
Router# session slot 5 processor 0 通過此命令來登陸到65或76系列設備上的ACE模塊
switch login:
Password:
配置一個管理VLAN在ACE模塊上
interface vlan 1000
descripttion Management connectivity on VLAN 1000
ip address 172.25.91.110 255.255.255.0 與65、76上MSFC上的SVI接口同一網(wǎng)段提供ACE與MSFC通信
service-policy input REMOTE_MGMT_ALLOW_POLICY 遠程登陸訪問策略(入向 input)
配置一條缺省路由在ACE模塊上
ip route 0.0.0.0 0.0.0.0 172.25.91.1 缺省路由指向MSFC
配置一個管理登陸訪問策略
1、ACE上配置遠程管理流量,默認是完全禁止的。
先建立class-map來定義遠程管理的流量類型:
class-map type management match-any REMOTE_ACCESS 名字:REMOTE_ACCESS
descripttion Remote access traffic match 增加描述
10 match protocol telnet any 放開telnet,源地址是any
20 match protocol ssh any 放開 ssh 源地址是any
30 match protocol icmp any 放開icmp 源地址是any
2、定義一個policy-map,來調(diào)用剛才定義的class-map.
policy-map type management first-match REMOTE_MGMT_ALLOW_POLICY 名字:REMOTE_MGMT_ALLOW_POLICY
class REMOTE_ACCESS 調(diào)用class-map 名字:REMOTE_ACCESS
permit 動作為允許
注:也可以按照思科文檔上的實例去deny掉一個協(xié)議。
The following example shows how to create a policy map that restricts an ICMP connection by the ACE:
host1/Admin(config)# policy-map type management first-action ICMP_RESTRICT_POLICY
host1/Admin(config-pmap-mgmt)# class ICMP-ALLOW_CLASS
host1/Admin(config-pmap-mgmt-c)# deny
3、在ACE上vlan interface的入方向(input方向)上調(diào)用這個policy-map
interface vlan 215
descripttion Server-Vlan-IOM 描述
ip address 132.80.241.130 255.255.255.224 VLAN 215的IP地址
alias 132.80.241.129 255.255.255.224 alias地址
peer ip address 132.80.241.131 255.255.255.224 另一個65上的另一塊冗余的ACE
no normalization
no icmp-guard
service-policy input REMOTE_MGMT_ALLOW_POLICY 接口input入向調(diào)用policy-map
no shutdown
配置一個虛擬ACE關聯(lián)
Admin/Context配置:
resource-class RC_WEB 資源分類,避免虛擬ACE占用管理ACE資源
limit-resource all minimum 10.00 maximum equal-to-min 限制使用全部資源的10%
創(chuàng)建一個虛擬關聯(lián),并指派VLAN 到虛擬關聯(lián)中。
context VC_WEB
allocate-interface vlan 60
allocate-interface vlan 400
allocate-interface vlan 500
allocate-interface vlan 1000
member RC_WEB
VC_WEB/Context配置:
host1/Admin# changeto VC_WEB
VC_WEB/Admin# show running-config
Generating configuration…
class-map type management match-any REMOTE_ACCESS
descripttion Remote access traffic match
2 match protocol ssh any
3 match protocol telnet any
4 match protocol icmp any
policy-map type management first-match REMOTE_MGMT_ALLOW_POLICY
class REMOTE_ACCESS
permit
service-policy input REMOTE_MGMT_ALLOW_POLICY
interface vlan 400
descripttion Client connectivity on VLAN 400
ip address 10.10.40.1 255.255.255.0
no shutdown
interface vlan 500
descripttion Server connectivity on VLAN 500
ip address 10.10.50.1 255.255.255.0
no shutdown
ip route 0.0.0.0 0.0.0.0 172.25.91.1
配置一個訪問控制列表
注:以下是思科文檔上的說明
You must configure an ACL on each interface that you want to permit connections. Otherwise, the ACE will deny all traffic on the interface.
access-list INBOUND line 8 extended permit ip any any 創(chuàng)建ACL允許進入ACE的IP流量
interface vlan 400
descripttion Client connectivity on VLAN 400
ip address 10.10.40.1 255.255.255.0
access-group input INBOUND 應用到入向Client VLAN
配置四層交換負載均衡部分
創(chuàng)建一個RealServer
Configuring Real Servers
配置步驟:
創(chuàng)建一個realserver
rserver host RS_WEB1 RealServer 的名字 RS_WEB1
descripttion content server web-one 描述
ip address 10.10.50.10 realserver真實主機的IP地址
inservice 激活
可建立多臺realserver,例如:RS_WEB2、RS_WEB3、RS_WEB4、RS_WEB5等等,并且分配給真是服務器IP地址后激活。
創(chuàng)建一個ServerFarm
Creates a real server named RS_WEB1 as type host (the default)。
配置步驟:
serverfarm host SF_WEB ServerFarm的名字 SF_WEB
rserver RS_WEB1 80 針對這個主機的協(xié)議,如果不跟 eq 則表示所有端口與協(xié)議。
inservice 激活
rserver RS_WEB2 80 第二臺真實主機加入這個ServerFarm
inservice 救活
可在一個ServerFarm中增加多臺RealServer真實主機,使得提供同一服務的主機隸屬于這個Farm中,作為一個集群。
看過文章“思科如何配置ACE"的人還看了: