Presentation is loading. Please wait.

Presentation is loading. Please wait.

DataCenter Cisco FWSM / ACE Service Module Design & Deploy Guide Version 1.0 2007-07-12 Cisco Systems Korea Solution S.E Team S.E 최 우 형 (whchoi@cisco.com)

Similar presentations


Presentation on theme: "DataCenter Cisco FWSM / ACE Service Module Design & Deploy Guide Version 1.0 2007-07-12 Cisco Systems Korea Solution S.E Team S.E 최 우 형 (whchoi@cisco.com)"— Presentation transcript:

1 DataCenter Cisco FWSM / ACE Service Module Design & Deploy Guide Version 1.0
Cisco Systems Korea Solution S.E Team S.E 최 우 형

2 Agenda FWSM / ACE Design I – FWSM Routed Mode / ACE Transparent Mode
초간단 ACE Loadbalancing Test 방법 FWSM / ACE Design II - FWSM Transparent Mode / ACE Routed Mode FWSM / ACE Design III - FWSM Multi Pair Bridged Mode / ACE Routed Mode ACE DSR FWSM / ACE Design IV - ACE기반의 FWSM 10G FLB Design Agenda Presentation_ID © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 2

3 FWSM/ACE Design I FWSM Routed Mode & ACE Transparent Mode

4 FWSM Routed & ACE Bridge
2.254 1.254 F1/48, V2 F1/48, V1 OSPF Area0 /1 V22 V22 Out: Trunk V20,21,22,99,198,199 In: V21 V21 BVI V20 VIP V20 RSTP F9/1 F9/1 B Server A Server B

5 FWSM Routed & ACE Transparent Design Key Point
B V20 V21 V22 F1/48, V1 F1/48, V2 2.254 1.254 Server A Server B F9/1 OSPF Area0 RSTP Out: In: VIP BVI Trunk V20,21,22,99,198,199 /1 Routed TP 1 Server VIP의 보안성 강화 FWSM Static NAT IP vs ACE VIP와 Mapping을 통한 보안 강화 2 Design의 유연성 강화 FWSM의 Same Security interface 기능을 통해, 다양한 서브넷 구성 가능 -ACE의 경우 기본 5개의 Virtual Context가 제공되므로, FWSM의 Virtual context가 부족할 경우, Same Security 기능을 통해 대체 효과 3 Firewall을 기존에 사용할 경우 유리 - 기 사용중인 Firewall에 Routed 모드로 사용중이거나, NAT를 사용 중일 경우 Migration 에 유리

6 FWSM Routed & ACE Transparent Config Sup720
Supervisor 기본 Config Sup720 구성 ACE 구성 svclc multiple-vlan-interfaces svclc module 6 vlan-group 3,4 svclc vlan-group  ACE,FWSM에서 사용되고 있는 Inside,Outside,Client,Server Vlan 설정 svclc vlan-group 4 99,198,199  ACE Failover Tracking Vlan을 위한 Vlan 99, FWSM Failover,Stateful FO를 위한 Vlan 198,199 설정 FWSM 구성 firewall multiple-vlan-interfaces firewall module 7 vlan-group 3,4

7 FWSM Routed & ACE Transparent Config Sup720
Cat6500-A STP 구성 spanning-tree mode rapid-pvst spanning-tree vlan 20 root primary Spanning-tree vlan 21 root primary  Vlan 20 에 대해 강제로 Primary 지정 Cat6500-B STP 구성 spanning-tree vlan 20 root secondary Spanning-tree vlan 21 root secondary  Vlan 20 에 대해 강제로 Secondary 지정 B V20 V21 V22 F9/1 RSTP Out: In: VIP BVI Trunk V20,21,22,99, 198,199 Tip !!! Service Module을 Transparent Mode로 동작 시킬 경우에는 빠른 우회경로 확보가 필수이다. 따라서 Service Module이 BVI로 동작하는 Layer 2 구간에는 가장 빠른 Take Over를 위해 RSTP를 연동하여, 빠른 우회경로를 확보하는 것이 좋다. 또한 STP의 잦은 변경을 방지하기 위해 Active Cat 6500 은 항상 Root가 되도록 지정하는 것이 좋다.

8 FWSM Routed & ACE Bridge Config Sup720
HSRP 구성 Cat 6500-A interface Vlan22 ip address standby 3 ip standby 3 priority 200 standby 3 preempt Cat 6500-B V22 Trunk V20,21,22,99, 198,199 V22 Out: In: V21 V21 BVI V20 VIP V20 RSTP F9/1 F9/1 B Tip !!! MSFC와 FWSM 사이의 Internal HSRP 구성이므로, 물리적인 이슈로 인한 HSRP가 흔들릴 경우는 없다. 따라서 FWSM 모듈, Supervisor Engine 자체가 장애가 있지 않는 한 HSRP Interface Primary는 정해져 있다. 이 경우에는 되도록 Preempt를 지정해 두도록 한다.

9 FWSM Routed & ACE Transparent Config FWSM Virtual Context 구성
interface Vlan11 description =TP Mode - Inside= ! interface Vlan12 description =TP Mode - Outside= interface Vlan21 description =Routed Mode - Inside= interface Vlan22 description =Routed Mode - Outside= interface Vlan101 description =Admin - Inside= interface Vlan102 description =Admin - Outside= interface Vlan198 description LAN Failover Interface interface Vlan199 description STATE Failover Interface admin-context admin context admin allocate-interface Vlan101 allocate-interface Vlan102 config-url disk:/admin.cfg ! Admin VF(Virtual Firewall)을 위한 Interface 할당 Admin VF를 위한 Config 파일 저장 위치 지정 context A-Group allocate-interface Vlan11 allocate-interface Vlan12 config-url disk:/A-group.cfg A-Group VF를 위한 Interface 할당 A-Group VF를 위한 Config 파일 저장 위치 지정 context B-Group allocate-interface Vlan21 allocate-interface Vlan22 config-url disk:/B-group B-Group VF를 위한 Interface 할당 B-Group VF를 위한 Config 파일 저장 위치 지정

10 FWSM Routed & ACE Transparent Config FWSM F/O 구성
failover failover lan unit primary  FWSM Unit의 Primary or Secondary를 선언 failover lan interface faillink Vlan198  Failover Interface Vlan 198 선언 failover polltime unit msec 500 holdtime 3  Polling Time, Hold Time 선언 failover replication http  FO 발생시 HTTP 복제 선언 failover link statelink Vlan199  Stateful Failover Interface 선언 failover interface ip faillink standby  FO Interface IP address 선언 failover interface ip statelink standby  Stateful FO Interface IP Address 선언

11 FWSM Routed & ACE Transparent Config FWSM Basic Config
interface Vlan21 nameif inside security-level 100 ip address !  Inside Interface 구성 interface Vlan22 nameif outside security-level 0 ip address  Outside Interface 구성 access-list permit extended permit ip any any  ACL Rule 설정 access-group permit in interface inside access-group permit in interface outside  Interface별 ACL 할당 route outside  Outside routing 설정 icmp permit any inside icmp permit any outside V20 V21 V22 F9/1 Out: In: BVI

12 FWSM Routed & ACE Transparent Config ACE Virtual Partition 구성
context A_Group allocate-interface vlan 10-11 ! A_Group Context 선언 및 Interface Vlan 10,11 할당 context B_Group allocate-interface vlan 20-21  A_Group Context 선언 및 Interface Vlan 10,11 할당 ft interface vlan 99 ip address peer ip address no shutdown  ACE Failover Interface 지정 ft peer 1 heartbeat interval 100 heartbeat count 10 ft-interface vlan 99  ft Peer 간 heartbeat Interval과 counte 선언

13 FWSM Routed & ACE Transparent Config ACE FT - Failover Group 구성
ft group 1 peer 1 no preempt priority 200 associate-context Admin inservice  Ft group 별 priority 지정과 Context 선언 ft group 2 associate-context A_Group ft group 3 associate-context B_Group ft group #1 ft group #2 ft group #3 Tip !!! ft group별로 해당 Priority를 차등화 하여 구성할 경우 ACE Module 을 Loadsharing 하는 효과를 누릴 수 있으며, 디자인에 따라 Active/Active, Active/Standby 형태로 구성이 가능하다. 단, FWSM의 Active/Active 형태와는 다른 방식으로 동일 Context간 Session을 공유하여 Traffic이 동시에 흐르는 형태는 아니다.

14 FWSM Routed & ACE Transparent Config ACE FT - Failover Group 구성
ft interface vlan 99 ip address peer ip address no shutdown ft peer 1 heartbeat interval 100 heartbeat count 10 ft-interface vlan 99 heartbeat interval Millisecond 단위 Heartbeat count 10 Hearbeat count 숫자 위의 예제에서는 Heartbeat interval * Heartbeat count = 1Sec 가 된다. Ft interface Vlan 99 ft group #1 ft group #2 ft group #3

15 FWSM Routed & ACE Transparent Config ACE Basic Config – RealServer 구성
rserver host Server11 ip address inservice rserver host Server12 ip address

16 FWSM Routed & ACE Transparent Config ACE Basic Config – ServerFarm 구성
RealServer RealServer ServerFarm serverfarm host Web-Server rserver Server11 inservice rserver Server12

17 FWSM Routed & ACE Transparent Config ACE Basic Config – SLB Policy Map 구성
RealServer RealServer ServerFarm policy-map type loadbalance first-match SLB class class-default serverfarm Web-Server

18 FWSM Routed & ACE Transparent Config ACE Basic Config – Server VIP 구성
Class-map LB Policy map RealServer RealServer ServerFarm policy-map type loadbalance first-match SLB class class-default serverfarm Web-Server class-map match-all Web-Server-VIP 2 match virtual-address tcp eq www

19 FWSM Routed & ACE Transparent Config ACE Basic Config – L3/L4 Policy Map 구성
Class-map L3/L4 Policy map LB Policy map RealServer RealServer ServerFarm policy-map type loadbalance first-match SLB class class-default serverfarm Web-Server class-map match-all Web-Server-VIP match virtual-address tcp eq www policy-map multi-match match-www class Web-Server-VIP loadbalance vip inservice loadbalance policy SLB

20 Interface ACL & Service Policy 적용
FWSM Routed & ACE Transparent Config ACE Basic Config – L3/L4 Policy Map 구성 ACE Class-map L3/L4 Policy map LB Policy map RealServer Interface ACL & Service Policy 적용 RealServer ServerFarm policy-map type loadbalance first-match SLB class class-default serverfarm Web-Server class-map match-all Web-Server-VIP 2 match virtual-address tcp eq www policy-map multi-match match-www class Web-Server-VIP loadbalance vip inservice loadbalance policy SLB access-list anyone extended permit ip any any interface vlan 21 access-group input anyone service-policy input match-www

21 FWSM Routed & ACE Transparent Config ACE Basic Config – L7 RealServer 구성
rserver host Server11 ip address inservice rserver host Server12 ip address rserver host Server13 ip address inservice rserver host Server14 ip address

22 FWSM Routed & ACE Transparent Config ACE Basic Config – L7 ServerFarm 구성
RealServer ACE RealServer serverfarm host Web-Server rserver Server11 inservice rserver Server12 serverfarm host URL-Server rserver Server13 inservice rserver Server14

23 FWSM Routed & ACE Transparent Config ACE Basic Config – L7 SLB Policy Map 구성
RealServer Class-map L3/L4 Policy map LB Policy map ACE RealServer Class-map policy-map type loadbalance first-match SLB predictor roundrobin class class-default serverfarm Web-Server class-map match-all Web-Server-VIP 2 match virtual-address tcp eq www policy-map multi-match match-www class Web-Server-VIP loadbalance vip inservice loadbalance policy SLB class-map type http loadbalance match-any URL_contents 2 match http url .*\.php

24 FWSM Routed & ACE Transparent Config ACE Basic Config – L7 SLB Policy Map 구성
RealServer LB Policy map ACE Class-map Class-map L3/L4 Policy map LB Policy map RealServer policy-map type loadbalance first-match SLB predictor roundrobin class class-default serverfarm Web-Server class URL_contenst serverfarm URL-Server class-map match-all Web-Server-VIP 2 match virtual-address tcp eq www policy-map multi-match match-www class Web-Server-VIP loadbalance vip inservice loadbalance policy SLB class-map type http loadbalance match-any URL_contents 2 match http url .*\.php

25 FWSM Routed & ACE Transparent Config ACE Basic Config – Health Monitoring(Probe) #1
RealServer ACE Probe-A Probe-B RealServer probe http html-probe request method get url /index.html expect status probe icmp icmp-probe rserver host Server11 ip address probe html-probe inservice rserver host Server12 ip address inservice serverfarm host Web-Server probe icmp-probe rserver Server11 inservice rserver Server12

26 Serverfarm Web-Server
FWSM Routed & ACE Transparent Config ACE Basic Config – Health Monitoring(Probe) #2 Serverfarm Web-Server Icmp probe rserver host Server11 ip address probe html-probe inservice rserver host Server12 ip address inservice serverfarm host Web-Server probe icmp-probe rserver Server11 rserver Server12 rserver S11 rserver S12 HTTP probe Tip !!! 구성 예제와 같이 real server S11 에 별도의 HTTP Probe를 지정하고, real server S11 이 속하게 되는 Serverfam Web-Server에 ICMP-Probe를 지정하게 되는 경우에는, rserver S11 은 icmp-probe, http-probe 어느 하나라도 Fail이 발생할 경우에 Server의 Service에서 제거 된다. 따라서 매우 중요한 Real Service는 두개 이상의 Probe를 지정해 두는 것도 하나의 Tip 이 될 수 있다.

27 FWSM Routed & ACE Transparent Config ACE Basic Config – Health Monitoring(Probe) #3
CE/B_Group# sh probe probe : html-probe type : HTTP, state : ACTIVE port : address : addr type : - interval : pass intvl : pass count : 3 fail count: recv timeout: 10 probe results probe association probed-address probes failed passed health rserver : Server11 SUCCESS probe : icmp-probe type : ICMP, state : ACTIVE port : address : addr type : - serverfarm : Web-Server real : Server11[0] SUCCESS real : Server12[0] SUCCESS

28 FWSM Routed & ACE Transparent Config ACE Basic Config – Health Monitoring(Probe) #4
1 probe <probe-type> <probe-name> description < description > port <port-number> interval <sec> faildetect <retry-count> passdetect interval <sec> passdetect count <number> receive <receive-timeout> probe <probe-type> <probe-name> dns, echo, finger, ftp, http, https,icmp ,imap, pop, radius, probe, scripted, smtp ,tcp, telnet, udp 다양한 Protocol 별 Probe 기능과 Script 기반의 Probe 기능을 지원하고 있음. 2 port <port-number> TCP/UDP 의 특정 서비스 포트에 대해 Probe를 지정할 수 있음

29 FWSM Routed & ACE Transparent Config ACE Basic Config – Health Monitoring(Probe) #5
3 probe <probe-type> <probe-name> description < description > port <port-number> interval <sec> faildetect <retry-count> passdetect interval <sec> passdetect count <number> receive <receive-timeout> probe icmp icmp-probe description ICMP-Probe interval 2 faildetect 10 passdetect interval 2 passdetect count 5 receive 1 Interval Interval은 Probe를 주기적으로 Check하는 시간을 의미한다. 예제의 경우에는 2초에 한번씩 Check. faildetect faildetect Count는 Probe Check 시 특정 Count에 Fail이 Count 되면 Server, real Server를 Fail 로 간주하게 된다. 예제의 경우에는 10번의 Fail이 Count되면, Fail로 처리하겠다는 의미 Receive ACE가 Probe 를 해당 Server에 보내고 기다리는 시간을 의미한다. 예제에서는 1초간 기다리겠다는 의미이다. Tip !!! 구성 예제의 결과를 보면 결국 Fail 되는 총시간은 interval * faildetect * receive 가 된다. 따라서 위의 세개의 값을 세밀하게 계산하여, Fail Server를 선택하는 것이 매우 중요하다.

30 FWSM Routed & ACE Transparent Config ACE Basic Config – Health Monitoring(Probe) #6
4 probe <probe-type> <probe-name> description < description > port <port-number> interval <sec> faildetect <retry-count> passdetect interval <sec> passdetect count <number> receive <receive-timeout> probe icmp icmp-probe description ICMP-Probe interval 2 faildetect 10 passdetect interval 2 passdetect count 5 receive 1 passdetect interval Server 가 Fail 된 후 복구 되기 위해, 주기적으로 다시 Probe를 보내는 주기를 의미한다. 예제에서는 2초에 한번씩 Probe를 보내게 된다. Passdetect count Server 가 Fail 된 후 복구되기 위한 성공적인 Probe Count를 의미한다. 예제에서는 5개의 성공 Probe 결과를 받았을 때 서비스를 재개 하겠다는 의미 Tip !!! 구성 예제의 결과를 보면 결국 Server가 Fail된 후 정상 복구 된다고 하더라도, intervla * count가 되므로, 정상 복구 후 10Sec 이후에 실제 정상 서비스가 된다는 의미 이다.

31 FWSM Routed & ACE Transparent Config ACE Basic Config – Health Monitoring(Probe) #7
ACE/B_Group# sh probe icmp-probe probe : icmp-probe type : ICMP, state : ACTIVE port : address : addr type : - interval : pass intvl : pass count : 5 fail count: recv timeout: 1 probe results probe association probed-address probes failed passed health rserver : Server11 SUCCESS rserver : Server12 SUCCESS serverfarm : Web-Server real : Server11[0] real : Server12[0]

32 FWSM Routed & ACE Transparent Config ACE Basic Config – Health Monitoring(Probe) #8
ACE/B_Group# sh probe icmp-probe detail probe : icmp-probe type : ICMP, state : ACTIVE description : ICMP-Probe port : address : addr type : - interval : pass intvl : pass count : 5 fail count: recv timeout: 1 probe results probe association probed-address probes failed passed health rserver : Server11 SUCCESS Socket state : CLOSED No. Passed states : No. Failed states : 1 No. Probes skipped : Last status code : 0 No. Out of Sockets : No. Internal error: 0 Last disconnect err : - Last probe time : Fri Jul 6 14:28: Last fail time : Fri Jul 6 14:19: Last active time : Fri Jul 6 14:26: 이하 생략….

33 FWSM Routed & ACE Transparent Config ACE Basic Config – Transparent 구성
RealServer Bridge BVI V21 V20 RealServer ServerFarm access-list bpdu ethertype permit bpdu  STP Loop 방지를 위해 BPDU를 통과 시키도록 구성 interface vlan 21 bridge-group 1 access-group input bpdu access-group input anyone service-policy input p-mgmt service-policy input match-www no shutdown interface vlan 20 bridge-group 1 access-group input bpdu access-group input anyone no shutdown interface bvi 1 ip address peer ip address

34 FWSM Routed & ACE Transparent Config ACE Basic Config – Management Policy 구성
Class-map L3/L4 Policy map RealServer RealServer ServerFarm class-map type management match-any c-mgmt 2 match protocol icmp any 3 match protocol telnet any 4 match protocol ssh any policy-map type management first-match p-mgmt class c-mgmt permit interface vlan 21 description B_Group_Client_Vlan service-policy input p-mgmt

35 FWSM Routed & ACE Transparent Config ACE Monitoring – Basic
ACE Basic Review DC_BB-A#sh asic-version slot 6 Module in slot 6 has 2 type(s) of ASICs ASIC Name Count Version HYPERION (5.0) SSA (8.0) FWSM DC_BB-A#sh asic-version slot 7 Module in slot 7 has 2 type(s) of ASICs ASIC Name Count Version PINNACLE (4.2) MEDUSA (2.0) ACE는 기존 FWSM,CSM과 같이 Multi Gigabit Etherchannel을 쓰는 방식이 아니라, single 10G Interface가 접속되어 있는 형태이다. DC_BB-A#sh interfaces tenGigabitEthernet 6/1 status Port Name Status Vlan Duplex Speed Type Te6/ connected trunk full 10G MultiService Module DC_BB-A#sh interfaces tenGigabitEthernet 6/1 counters Port InOctets InUcastPkts InMcastPkts InBcastPkts Te6/ Port OutOctets OutUcastPkts OutMcastPkts OutBcastPkts Te6/

36 FWSM Routed & ACE Transparent Config ACE Monitoring – svclc
DC_BB-A#show svclc vlan-group Display vlan-groups created by both ACE module and FWSM commands Group Created by vlans ACE ACE ACE ACE , DC_BB-A#show svclc module Module Vlan-groups 06 1,2,3,4 DC_BB-A#show interfaces tenGigabitEthernet 6/1 trunk Port Mode Encapsulation Status Native vlan Te6/ on q trunking Port Vlans allowed on trunk Te6/ ,20-22,99-102, Port Vlans allowed and active in management domain Port Vlans in spanning tree forwarding state and not pruned

37 FWSM Routed & ACE Transparent Config ACE Monitoring – ARP Table
ACE/B_Group# sh arp Context B_Group ================================================================================ IP ADDRESS MAC-ADDRESS Interface Type Encap NextArp(s) Status c6.c vlan20 RSERVER sec up d b1.20 vlan20 RSERVER sec up vlan21 LEARNED sec up f.23.be.fe.00 vlan21 GATEWAY sec up b.fc.fe.1b.03 vlan21 VSERVER LOCAL _ up d9.01 bvi INTERFACE LOCAL _ up bvi RSERVER dn bvi RSERVER dn

38 FWSM Routed & ACE Transparent Config ACE Monitoring – Routing Table
ACE/B_Group# sh ip route Routing Table for Context B_Group (RouteId 2) Codes: H - host, I - interface S - static, N - nat A - need arp resolve, E - ecmp Destination Gateway Interface Flags vlan S / bvi IA Total route entries = 2

39 FWSM Routed & ACE Transparent Config ACE Monitoring – Real Server Monitoring
ACE/B_Group# sh rserver Server11 rserver : Server11, type: HOST state : OPERATIONAL connections real weight state current total serverfarm: Web-Server : OPERATIONAL == Real Server 접속 불가 == ACE/B_Group# sh rserver Server13 rserver : Server13, type: HOST state : ARP_FAILED connections real weight state current total serverfarm: URL-Server : ARP_FAILED 0

40 FWSM Routed & ACE Transparent Config ACE Monitoring – Service Policy Monitoring
ACE/B_Group# sh service-policy match-www detail Status : ACTIVE Description: - Interface: vlan 21 service-policy: match-www class: Web-Server-VIP VIP Address: Port: eq 80 loadbalance: L7 loadbalance policy: SLB VIP Route Metric : 77 VIP Route Advertise : DISABLED VIP ICMP Reply : DISABLED VIP State: INSERVICE curr conns : , hit count : 27 dropped conns : 0 client pkt count : , client byte count: 1040 server pkt count : , server byte count: 0 L7 Loadbalance policy : SLB class/match : URL_contents LB action : serverfarm: URL-Server hit count : 0 dropped conns : 0 class/match : class-default serverfarm: Web-Server

41 FWSM Routed & ACE Transparent Failover Scenario
1 Server Switch Primary Link 단절 Session State 유지 Ping Losss 1개 이내. RSTP에 의해 msec 단위 Take Over 2.254 1.254 F1/48, V2 F1/48, V1 Fast OSPF Area0 4 /1 2 ACE Primary 장애 Session State 유지 Ping Losss 1개 이내. ACE FT 기법을 통한 msec 단위 Take Over 구성 가능 V22 V22 Out: Trunk V20,21,22,99,198,199 3 In: V21 V21 BVI 2 V20 VIP V20 3 RSTP FWSM 장애 Session State 유지 Ping Losss 1개 이내. FWSM Stateful F/O 기법을 통한 msec 단위 Take Over 구성 가능 F9/1 F9/1 1 B Server A Server B

42 FWSM Routed & ACE Transparent Failover Scenario
4 Primary 6500 장애 또는 Router Uplink 단절 Session State 유지 또는 빠른 우회 경로 확보 Ping Losss 1개 이내. Fast OSPF 구현을 통한 빠른 우회경로 확보 2.254 1.254 F1/48, V2 F1/48, V1 Fast OSPF Area0 4 /1 V22 V22 Out: Trunk V20,21,22,99,198,199 3 In: OSPF Tuning ip ospf dead-interval minimal hello-multiplier 20 router os 1 timers throttle spf timers throttle lsa all V21 V21 BVI 2 V20 VIP V20 RSTP F9/1 F9/1 1 B Server A Server B

43 초간단~~ Load balancing Test 방법

44 How to Test Scenario Test Topology & Freeware Tool kit
ServerFarm ACE FWSM RealServer Bridge BVI V21 V20 WAS RealServer VIP21.21 유용한 Web Stress Tool Kit MS Web Application Stress Download URL RealServer Test용 아파치 서버

45 How to Test Scenario Freeware Tool kit - WAS
Web Server IP Address or Domain Name Verb , Path 지정

46 How to Test Scenario Freeware Tool kit - WAS
Stress 에 대한 환경 설정 구성

47 How to Test Scenario Freeware Tool kit – 간단한 Web Server 구동
Apache 서버 및 통계를 보기 위한 MySQL 실행 Apache 서버 및 통계를 보기 위한 MySQL 실행

48 How to Test Scenario 간단한 Web Server 구동
간단한 ACE Web 페이지 구동 접속통계페이지 연결

49 How to Test Scenario Realserver Stress 및 LB 확인

50 How to Test Scenario Realserver Stress 및 LB 확인
ACE/B_Group# sh conn total current connections : 296 conn-id np dir proto vlan source destination state in TCP : : ESTAB out TCP : : ESTAB in TCP : : ESTAB out TCP : : ESTAB in TCP : : ESTAB out TCP : : ESTAB in TCP : : ESTAB out TCP : : ESTAB in TCP : : ESTAB out TCP : : ESTAB in TCP : : ESTAB out TCP : : ESTAB in TCP : : ESTAB out TCP : : ESTAB in TCP : : ESTAB out TCP : : ESTAB in TCP : : ESTAB out TCP : : ESTAB in TCP : : ESTAB 이하 생략…

51 How to Test Scenario Realserver Stress 및 LB 확인
ACE/B_Group# sh serverfarm Web-Server serverfarm : Web-Server, type: HOST total rservers : 2 connections real weight state current total rserver: Server11 : OPERATIONAL rserver: Server12 : OPERATIONAL ACE/B_Group# sh rserver Server12 rserver : Server12, type: HOST state : OPERATIONAL serverfarm: Web-Server : OPERATIONAL

52 FWSM/ACE Design II FWSM Transparent Mode & ACE Routed Mode

53 FWSM Transparent & ACE Routed
B V10 V11 V12 F1/48, V1 F1/48, V2 2.254 1.254 Server A Server B F9/1 OSPF Area0 RSTP Clent: Server VIP BVI Trunk V20,21,22,99,198,199 /1

54 FWSM Transparent & ACE Routed Design Key Point
B V10 V11 V12 F1/48, V1 F1/48, V2 2.254 1.254 Server A Server B F9/1 OSPF Area0 RSTP Clent: Server VIP BVI Trunk V20,21,22,99,198,199 /1 TP Routed 1 Easy Migration FWSM 은 TP모드로 사용 중이므로, IP or 물리적인 Design 변경이 적음. 2 Design의 유연성 강화 FWSM의 Multipair Bridge 기능을 통해, 다양한 서브넷 구성 가능 -ACE의 경우 기본 5개의 Virtual Context가 제공되므로, FWSM의 Virtual context가 부족할 경우, Multi Pair Bridge Mode 통해 대체 효과 3 L4 Switch를 기존에 사용 중일 경우 유리 - 대부분 L4 Switch를 사용 중일 경우 Routed Mode로 운용 중이므로, 기존의 IP Address 체계를 그대로 유지하여 Migration 할 경우 매우 유리

55 FWSM Transparent & ACE Routed Sup720
svclc multiple-vlan-interfaces svclc module 6 vlan-group 2,4 svclc vlan-group  ACE,FWSM에서 사용되고 있는 Inside,Outside,Client,Server Vlan 설정 svclc vlan-group 4 99,198,199  ACE Failover Tracking Vlan을 위한 Vlan 99, FWSM Failover,Stateful FO를 위한 Vlan 198,199 설정 FWSM 구성 firewall multiple-vlan-interfaces firewall module 7 vlan-group 2,4

56 FWSM Transparent & ACE Routed Sup720
HSRP 구성 Cat 6500-A interface Vlan12 ip address standby 2 ip standby 2 priority 200 standby 2 preempt Cat 6500-B ip address B V10 V11 V12 F9/1 RSTP VIP Trunk V20,21,22,99, 198,199 Clent: Server BVI MSFC와 FWSM/ACE 사이의 Internal HSRP 구성이므로, 물리적인 이슈로 인한 HSRP가 흔들릴 경우는 없다. 따라서 FWSM 모듈, Supervisor Engine 자체가 장애가 있지 않는 한 HSRP Interface Primary는 정해져 있다. 이 경우에는 되도록 Preempt를 지정해 두도록 한다.

57 FWSM Transparent & ACE Routed FWSM Virtual Context 구성
interface Vlan11 description =TP Mode - Inside= ! interface Vlan12 description =TP Mode - Outside= interface Vlan21 description =Routed Mode - Inside= interface Vlan22 description =Routed Mode - Outside= interface Vlan101 description =Admin - Inside= interface Vlan102 description =Admin - Outside= interface Vlan198 description LAN Failover Interface interface Vlan199 description STATE Failover Interface admin-context admin context admin allocate-interface Vlan101 allocate-interface Vlan102 config-url disk:/admin.cfg ! Admin VF(Virtual Firewall)을 위한 Interface 할당 Admin VF를 위한 Config 파일 저장 위치 지정 context A-Group allocate-interface Vlan11 allocate-interface Vlan12 config-url disk:/A-group.cfg A-Group VF를 위한 Interface 할당 A-Group VF를 위한 Config 파일 저장 위치 지정 context B-Group allocate-interface Vlan21 allocate-interface Vlan22 config-url disk:/B-group B-Group VF를 위한 Interface 할당 B-Group VF를 위한 Config 파일 저장 위치 지정

58 FWSM Transparent & ACE Routed FWSM F/O 구성
failover failover lan unit primary  FWSM Unit의 Primary or Secondary를 선언 failover lan interface faillink Vlan198  Failover Interface Vlan 198 선언 failover polltime unit msec 500 holdtime 3  Polling Time, Hold Time 선언 failover replication http  FO 발생시 HTTP 복제 선언 failover link statelink Vlan199  Stateful Failover Interface 선언 failover interface ip faillink standby  FO Interface IP address 선언 failover interface ip statelink standby  Stateful FO Interface IP Address 선언

59 FWSM Transparent & ACE Routed FWSM Basic Config
interface Vlan11 nameif inside security-level 100 bridge-group 1 !  Inside Interface 구성 interface Vlan12 nameif outside security-level 0 bridge-group 1 !  Outside Interface 구성 access-list permit extended permit ip any any access-list bpdu ethertype permit bpdu  ACL Rule 설정 / Bridge Mode 이므로 BPDU를 허가 access-group bpdu in interface inside access-group permit in interface inside access-group bpdu in interface outside access-group permit in interface outside !  Interface별 ACL 할당 route outside 이하 생략… V12 BVI Clent: V11 Server V10 F9/1

60 FWSM Transparent & ACE Routed ACE Virtual Partition 구성
context A_Group allocate-interface vlan 10-11 ! A_Group Context 선언 및 Interface Vlan 10,11 할당 context B_Group allocate-interface vlan 20-21  A_Group Context 선언 및 Interface Vlan 10,11 할당 ft interface vlan 99 ip address peer ip address no shutdown  ACE Failover Interface 지정 ft peer 1 heartbeat interval 100 heartbeat count 10 ft-interface vlan 99  ft Peer 간 heartbeat Interval과 counte 선언

61 FWSM Transparent & ACE Routed ACE FT - Failover Group 구성
ft group 1 peer 1 no preempt priority 200 associate-context Admin inservice  Ft group 별 priority 지정과 Context 선언 ft group 2 associate-context A_Group ft group 3 associate-context B_Group ft group #1 ft group #2 ft group #3 Tip !!! ft group별로 해당 Priority를 차등화 하여 구성할 경우 ACE Module 을 Loadsharing 하는 효과를 누릴 수 있으며, 디자인에 따라 Active/Active, Active/Standby 형태로 구성이 가능하다. 단, FWSM의 Active/Active 형태와는 다른 방식으로 동일 Context간 Session을 공유하여 Traffic이 동시에 흐르는 형태는 아니다.

62 FWSM Transparent & ACE Routed ACE FT - Failover Group 구성
ft interface vlan 99 ip address peer ip address no shutdown ft peer 1 heartbeat interval 100 heartbeat count 10 ft-interface vlan 99 heartbeat interval Millisecond 단위 Heartbeat count 10 Hearbeat count 숫자 위의 예제에서는 Heartbeat interval * Heartbeat count = 1Sec 가 된다. Ft interface Vlan 99 ft group #1 ft group #2 ft group #3

63 FWSM Transparent & ACE Routed ACE Basic Config – RealServer 구성
rserver host Server11 ip address inservice rserver host Server12 ip address

64 FWSM Transparent & ACE Routed ACE Basic Config – ServerFarm 구성
RealServer RealServer ServerFarm serverfarm host Web-Server rserver Server11 inservice rserver Server12

65 FWSM Transparent & ACE Routed ACE Basic Config – SLB Policy Map 구성
RealServer RealServer ServerFarm policy-map type loadbalance first-match SLB predictor roundrobin class class-default serverfarm Web-Server

66 FWSM Transparent & ACE Routed ACE Basic Config – Server VIP 구성
Class-map LB Policy map RealServer RealServer ServerFarm policy-map type loadbalance first-match p-slb class class-default serverfarm HTTP-Server class-map match-all Web-Server-VIP 2 match virtual-address tcp eq www

67 FWSM Transparent & ACE Routed ACE Basic Config – L3/L4 Policy Map 구성
Class-map L3/L4 Policy map LB Policy map RealServer RealServer ServerFarm policy-map type loadbalance first-match slb class class-default serverfarm HTTP-Server class-map match-all Web-Server-VIP 2 match virtual-address tcp eq www policy-map multi-match match-www class Web-Server-VIP loadbalance vip inservice loadbalance policy SLB

68 FWSM Transparent & ACE Routed ACE Basic Config – L3/L4 Policy Map 구성
Class-map L3/L4 Policy map LB Policy map RealServer Interface ACL & Service Policy 적용 RealServer ServerFarm policy-map type loadbalance first-match SLB class class-default serverfarm HTTP-Server class-map match-all Web-Server-VIP 2 match virtual-address tcp eq www policy-map multi-match match-www class Web-Server-VIP loadbalance vip inservice loadbalance policy SLB access-list anyone extended permit ip any any interface vlan 11 access-group input anyone service-policy input match-www

69 FWSM Transparent & ACE Routed ACE Basic Config – L7 RealServer 구성
rserver host Server11 ip address inservice rserver host Server12 ip address rserver host Server13 ip address inservice rserver host Server14 ip address

70 FWSM Transparent & ACE Routed ACE Basic Config – L7 ServerFarm 구성
RealServer ACE RealServer serverfarm host Web-Server predictor roundrobin rserver Server11 inservice rserver Server12 serverfarm host URL-Server rserver Server13 inservice rserver Server14

71 FWSM Transparent & ACE Routed ACE Basic Config – L7 SLB Policy Map 구성
RealServer Class-map L3/L4 Policy map LB Policy map ACE RealServer Class-map policy-map type loadbalance first-match SLB class class-default serverfarm HTTP-Server class-map match-all Web-Server-VIP 2 match virtual-address tcp eq www policy-map multi-match match-www class Web-Server-VIP loadbalance vip inservice loadbalance policy SLB class-map type http loadbalance match-any URL_contents 2 match http url .*\.php

72 FWSM Transparent & ACE Routed ACE Basic Config – L7 SLB Policy Map 구성
RealServer LB Policy map ACE Class-map Class-map L3/L4 Policy map LB Policy map RealServer policy-map type loadbalance first-match SLB class class-default serverfarm HTTP-Server class URL_contenst serverfarm URL-Server class-map match-all Web-Server-VIP 2 match virtual-address tcp eq www policy-map multi-match match-www class Web-Server-VIP loadbalance vip inservice loadbalance policy SLB class-map type http loadbalance match-any URL_contents 2 match http url .*\.php

73 FWSM Transparent & ACE Routed ACE Basic Config – Health Monitoring(Probe) #1
RealServer ACE Probe-A Probe-B RealServer probe http http-probe request method get url /index.html expect status probe icmp icmp-probe rserver host Server11 ip address probe http-probe inservice rserver host Server12 ip address inservice serverfarm host Web-Server probe icmp-probe rserver Server11 inservice rserver Server12

74 Serverfarm Web-Server
FWSM Transparent & ACE Routed ACE Basic Config – Health Monitoring(Probe) #2 Serverfarm Web-Server Icmp probe rserver host Server11 ip address probe html-probe inservice rserver host Server12 ip address inservice serverfarm host Web-Server probe icmp-probe rserver Server11 rserver Server12 rserver S11 rserver S12 HTTP probe Tip !!! 구성 예제와 같이 real server S11 에 별도의 HTTP Probe를 지정하고, real server S11 이 속하게 되는 Serverfam Web-Server에 ICMP-Probe를 지정하게 되는 경우에는, rserver S11 은 icmp-probe, http-probe 어느 하나라도 Fail이 발생할 경우에 Server의 Service에서 제거 된다. 따라서 매우 중요한 Real Service는 두개 이상의 Probe를 지정해 두는 것도 하나의 Tip 이 될 수 있다.

75 FWSM Transparent & ACE Routed ACE Basic Config – Health Monitoring(Probe) #3
ACE/A_Group# sh probe probe : http-probe type : HTTP, state : ACTIVE port : address : addr type : - interval : pass intvl : pass count : 5 fail count: recv timeout: 1 probe results probe association probed-address probes failed passed health rserver : S11 SUCCESS probe : icmp-probe type : ICMP, state : ACTIVE port : address : addr type : - serverfarm : Web-Server real : S11[0] SUCCESS real : S12[0] SUCCESS

76 FWSM Transparent & ACE Routed ACE Basic Config – Health Monitoring(Probe) #4
1 probe <probe-type> <probe-name> description < description > port <port-number> interval <sec> faildetect <retry-count> passdetect interval <sec> passdetect count <number> receive <receive-timeout> probe <probe-type> <probe-name> dns, echo, finger, ftp, http, https,icmp ,imap, pop, radius, probe, scripted, smtp ,tcp, telnet, udp 다양한 Protocol 별 Probe 기능과 Script 기반의 Probe 기능을 지원하고 있음. 2 port <port-number> TCP/UDP 의 특정 서비스 포트에 대해 Probe를 지정할 수 있음

77 FWSM Transparent & ACE Routed ACE Basic Config – Health Monitoring(Probe) #5
3 probe <probe-type> <probe-name> description < description > port <port-number> interval <sec> faildetect <retry-count> passdetect interval <sec> passdetect count <number> receive <receive-timeout> probe icmp icmp-probe description ICMP-Probe interval 2 faildetect 10 passdetect interval 2 passdetect count 5 receive 1 Interval Interval은 Probe를 주기적으로 Check하는 시간을 의미한다. 예제의 경우에는 2초에 한번씩 Check. faildetect faildetect Count는 Probe Check 시 특정 Count에 Fail이 Count 되면 Server, real Server를 Fail 로 간주하게 된다. 예제의 경우에는 10번의 Fail이 Count되면, Fail로 처리하겠다는 의미 Receive ACE가 Probe 를 해당 Server에 보내고 기다리는 시간을 의미한다. 예제에서는 1초간 기다리겠다는 의미이다. Tip !!! 구성 예제의 결과를 보면 결국 Fail 되는 총시간은 interval * faildetect * receive 가 된다. 따라서 위의 세개의 값을 세밀하게 계산하여, Fail Server를 선택하는 것이 매우 중요하다.

78 FWSM Transparent & ACE Routed ACE Basic Config – Health Monitoring(Probe) #6
4 probe <probe-type> <probe-name> description < description > port <port-number> interval <sec> faildetect <retry-count> passdetect interval <sec> passdetect count <number> receive <receive-timeout> probe icmp icmp-probe description ICMP-Probe interval 2 faildetect 10 passdetect interval 2 passdetect count 5 receive 1 passdetect interval Server 가 Fail 된 후 복구 되기 위해, 주기적으로 다시 Probe를 보내는 주기를 의미한다. 예제에서는 2초에 한번씩 Probe를 보내게 된다. Passdetect count Server 가 Fail 된 후 복구되기 위한 성공적인 Probe Count를 의미한다. 예제에서는 5개의 성공 Probe 결과를 받았을 때 서비스를 재개 하겠다는 의미 Tip !!! 구성 예제의 결과를 보면 결국 Server가 Fail된 후 정상 복구 된다고 하더라도, intervla * count가 되므로, 정상 복구 후 10Sec 이후에 실제 정상 서비스가 된다는 의미 이다.

79 FWSM Transparent & ACE Routed ACE Basic Config – Health Monitoring(Probe) #7
ACE/A_Group# sh probe icmp-probe probe : icmp-probe type : ICMP, state : ACTIVE port : address : addr type : - interval : pass intvl : pass count : 5 fail count: recv timeout: 1 probe results probe association probed-address probes failed passed health serverfarm : Web-Server real : S11[0] SUCCESS real : S12[0] SUCCESS

80 FWSM Transparent & ACE Routed ACE Basic Config – Health Monitoring(Probe) #8
ACE/A_Group# sh probe icmp-probe detail probe : icmp-probe type : ICMP, state : ACTIVE description : ICMP-Probe port : address : addr type : - interval : pass intvl : pass count : 5 fail count: recv timeout: 1 probe results probe association probed-address probes failed passed health serverfarm : Web-Server real : S11[0] SUCCESS Socket state : CLOSED No. Passed states : No. Failed states : 0 No. Probes skipped : Last status code : 0 No. Out of Sockets : No. Internal error: 0 Last disconnect err : - Last probe time : Sat Jul 7 09:11: Last fail time : Never Last active time : Sat Jul 7 09:07: 이하 생략….

81 FWSM Transparent & ACE Routed ACE Basic Config – ACE Routed 구성/FWSM Bridge 구성
Bridge BVI RealServer V12 V11 V10 RealServer ServerFarm interface vlan 10 description "Server Vlan" ip address alias peer ip address service-policy input mgmt no shutdown interface vlan 11 ip address alias peer ip address access-group input anyone service-policy input match-www service-policy input mgmt no shutdown Tip !!! Alias 명령을 통해 , ACE는 마치 HSRP 구성처럼 Virtual G.W IP address를 소유하게 된다. 즉, Realserver의 G.W는 Primary,Secondary가 공통으로 가지고 있는 Alias IP 가 된다.

82 FWSM Transparent & ACE Routed ACE Basic Config – ACE Routed 구성/FWSM Bridge 구성
Bridge BVI RealServer V12 V11 V10 RealServer ServerFarm interface Vlan11 nameif inside bridge-group 1 security-level 100 interface Vlan12 nameif outside bridge-group 1 security-level 0 ! interface BVI1 ip address Tip !!! Bridge Mode 구성은 FWSM/ACE와 동일한 구조를 가지고 있다. 다만 Bridge Mode 구성시에는 STP Issue에 대한 Design을 사전에 반드시 점검하여야 한다.

83 FWSM Transparent & ACE Routed ACE Basic Config – Management Policy 구성
Class-map L3/L4 Policy map RealServer RealServer ServerFarm class-map type management match-any mgmt 2 match protocol icmp any 3 match protocol telnet any 4 match protocol ssh any policy-map type management first-match mgmt class c-mgmt permit interface vlan 11 service-policy input p-mgmt interface vlan 10  RealServer가 G.W로 icmp를 허용하기 위해서, 허용한다.

84 FWSM Transparent & ACE Routed ACE Monitoring – Basic
ACE Basic Review DC_BB-A#sh asic-version slot 6 Module in slot 6 has 2 type(s) of ASICs ASIC Name Count Version HYPERION (5.0) SSA (8.0) FWSM DC_BB-A#sh asic-version slot 7 Module in slot 7 has 2 type(s) of ASICs ASIC Name Count Version PINNACLE (4.2) MEDUSA (2.0) ACE는 기존 FWSM,CSM과 같이 Multi Gigabit Etherchannel을 쓰는 방식이 아니라, single 10G Interface가 접속되어 있는 형태이다. DC_BB-A#sh interfaces tenGigabitEthernet 6/1 status Port Name Status Vlan Duplex Speed Type Te6/ connected trunk full 10G MultiService Module DC_BB-A#sh interfaces tenGigabitEthernet 6/1 counters Port InOctets InUcastPkts InMcastPkts InBcastPkts Te6/ Port OutOctets OutUcastPkts OutMcastPkts OutBcastPkts Te6/

85 FWSM Transparent & ACE Routed ACE Monitoring – svclc
DC_BB-A#show svclc vlan-group Display vlan-groups created by both ACE module and FWSM commands Group Created by vlans ACE ACE ACE ACE , DC_BB-A#show svclc module Module Vlan-groups 06 1,2,3,4 DC_BB-A#show interfaces tenGigabitEthernet 6/1 trunk Port Mode Encapsulation Status Native vlan Te6/ on q trunking Port Vlans allowed on trunk Te6/ ,20-22,99-102, Port Vlans allowed and active in management domain Port Vlans in spanning tree forwarding state and not pruned

86 FWSM Transparent & ACE Routed ACE Monitoring – ARP Table
ACE/A_Group# sh arp Context A_Group ================================================================================ IP ADDRESS MAC-ADDRESS Interface Type Encap NextArp(s) Status b.fc.fe.1b.02 vlan10 ALIAS LOCAL _ up d9.01 vlan10 INTERFACE LOCAL _ up c6.c vlan10 RSERVER sec up d b1.20 vlan10 RSERVER sec up vlan10 RSERVER dn vlan10 RSERVER dn d0.00.b vlan11 LEARNED sec up e.d6.e4.8c.00 vlan11 LEARNED sec up c.07.ac.02 vlan11 GATEWAY sec up b.fc.fe.1b.02 vlan11 ALIAS LOCAL _ up d9.01 vlan11 INTERFACE LOCAL _ up b.fc.fe.1b.02 vlan11 VSERVER LOCAL _ up Total arp entries 12

87 FWSM Transparent & ACE Routed ACE Monitoring – Routing Table
Routing Table for Context A_Group (RouteId 1) Codes: H - host, I - interface S - static, N - nat A - need arp resolve, E - ecmp Destination Gateway Interface Flags vlan S / vlan IA / vlan IA Total route entries = 3

88 FWSM Transparent & ACE Routed ACE Monitoring – Real Server Monitoring
ACE/A_Group# sh rserver S11 rserver : S11, type: HOST state : OPERATIONAL connections real weight state current total serverfarm: Web-Server : OPERATIONAL == Real Server 접속 불가 == ACE/A_Group# sh rserver S12 rserver : S12, type: HOST state : OPERATIONAL connections real weight state current total serverfarm: Web-Server : PROBE-FAILED

89 FWSM Transparent & ACE Routed ACE Monitoring – Service Policy Monitoring
ACE/A_Group# sh service-policy match-www detail Status : ACTIVE Description: - Interface: vlan 11 service-policy: match-www class: Web-Server-VIP VIP Address: Port: eq 80 loadbalance: L7 loadbalance policy: SLB VIP Route Metric : 77 VIP Route Advertise : DISABLED VIP ICMP Reply : ENABLED VIP State: INSERVICE curr conns : , hit count : 4 dropped conns : 0 client pkt count : 170 , client byte count: 34199 server pkt count : 171 , server byte count:26224 L7 Loadbalance policy : SLB class/match : URL_Contents LB action : serverfarm: URL-Server hit count : 0 dropped conns : 0 class/match : class-default serverfarm: Web-Server hit count : 4

90 FWSM Transparent & ACE Routed Failover Scenario
1 Server Switch Primary Link 단절 Session State 유지 Ping Losss 1개 이내. RSTP에 의해 msec 단위 Take Over 2.254 1.254 F1/48, V2 F1/48, V1 OSPF Area0 4 /1 2 ACE Primary 장애 Session State 유지 Ping Losss 1개 이내. ACE FT 기법을 통한 msec 단위 Take Over 구성 가능 V12 V12 BVI Trunk V20,21,22,99,198,199 3 Clent: V11 V11 2 Server V10 VIP V10 RSTP 3 FWSM 장애 Session State 유지 Ping Losss 1개 이내. FWSM Stateful F/O 기법을 통한 msec 단위 Take Over 구성 가능 F9/1 1 F9/1 Server A Server B

91 FWSM Transparent & ACE Routed Failover Scenario
4 Primary 6500 장애 또는 Router Uplink 단절 Session State 유지 또는 빠른 우회 경로 확보 Ping Losss 1개 이내. Fast OSPF 구현을 통한 빠른 우회경로 확보 2.254 1.254 F1/48, V2 F1/48, V1 OSPF Area0 4 /1 V12 V12 BVI Trunk V20,21,22,99,198,199 3 OSPF Tuning ip ospf dead-interval minimal hello-multiplier 20 router os 1 timers throttle spf timers throttle lsa all Clent: V11 V11 2 Server V10 VIP V10 RSTP F9/1 1 F9/1 Server A Server B

92 FWSM/ACE Design III FWSM Multi pair Bridge & ACE Routed Mode

93 FWSM MultiPair Bridge & ACE Routed Mode Design Key Point
F1/48, V1 F1/48, V2 2.254 1.254 V21 V22 Server A Server B F9/1 OSPF Area0 RSTP Clent: Server VIP VIP BVI Trunk V20,21,22,40,41,42,,99,198,199 /1 V20 V41 V42 V40 F9/2 BVI Clent:

94 FWSM MultiPair Bridge & ACE Routed Mode Design Key Point
1 Easy Migration FWSM 은 TP모드로 사용 중이므로, IP or 물리적인 Design 변경이 적음. B F1/48, V1 F1/48, V2 2.254 1.254 V21 V22 Server A Server B F9/1 OSPF Area0 RSTP Clent: Server VIP VIP BVI Trunk V20,21,22,40,41,42,,99,198,199 /1 V20 V41 V42 V40 F9/2 BVI Clent: 2 Design의 유연성 강화 FWSM의 Multipair Bridge 기능을 통해, 다양한 서브넷 구성 가능 -ACE의 경우 기본 5개의 Virtual Context가 제공되므로, FWSM의 Virtual context가 부족할 경우, Multi Pair Bridge Mode 통해 대체 효과 3 ACE 5개의 기본 Virtual Context를 최대한 사용 가능 - ACE의 Virtual Context 5개와 연동되는 Firewall의 Virtual Context 3개에 대한 부족분을 Multipair Bridge를 사용하여 확장 가능

95 FWSM MultiPair Bridge & ACE Routed Mode Design Key Point
Outside 1 ~8 Outside 1 ~8 Outside 1 ~8 FWSM Admin Context A Context B Inside 1 ~8 Inside 1 ~8 Inside 1 ~8 FWSM MultiPair Bridge Mode는 최대 8개의 Inside / Ouside 를 구성할 수 있는 유연성 높은 구성 방법이다. ACE와 연동 할 경우, ACE가 가지고 있는 최대 Virtual Context를 연동하여, FWSM의 부족한 Virtual Context를 채울 수 있다. 실제 Admin Context와 두개의 추가 기본 Context를 모두 MultiPair Bridge Mode로 구성할 경우, 32개의 In/Outside Interface를 구성할 수 있다.

96 FWSM MultiPair Bridge & ACE Routed Mode Sup720
svclc multiple-vlan-interfaces svclc module 6 vlan-group 2,4,40 svclc vlan-group svclc vlan-group  ACE,FWSM에서 사용되고 있는 Inside,Outside,Client,Server Vlan 설정 svclc vlan-group 4 99,198,199  ACE Failover Tracking Vlan을 위한 Vlan 99, FWSM Failover,Stateful FO를 위한 Vlan 198,199 설정 FWSM 구성 firewall multiple-vlan-interfaces firewall module 7 vlan-group 2,4,40

97 FWSM MultiPair Bridge & ACE Routed Mode Sup720
HSRP 구성 Cat 6500-A interface Vlan42 ip address standby 41 ip standby 41 priority 200 standby 41 preempt interface Vlan22 ip address standby 3 ip standby 3 priority 200 standby 3 preempt 2.254 1.254 F1/48, V2 F1/48, V1 OSPF Area0 /1 V22 V42 V22 V42 BVI BVI V21 V41 V21 V41 Clent: Trunk V20,21,22,40,41,42,,99,198,199 Clent: Server Server V20 V40 V20 V40 FWSM 이 MultiPair 구성으로 동작하므로, FWSM에서는 다중 Bridge Group 이 생성 된다. 따라서 MSFC는 FWSM에서 구성된 BVI와 연결되는 Interface Vlan을 다중으로 구성하고, HSRP Interface 속성 지정을 한다. 마찬가지로 Preempt 지정을 통해 내부 Link가 흔들리는 일이 없도록 한다.

98 FWSM MultiPair Bridge & ACE Routed Mode FWSM Virtual Context 구성
interface Vlan21 ! interface Vlan22 interface Vlan41 interface Vlan42 interface Vlan198 description LAN Failover Interface interface Vlan199 description STATE Failover Interface admin-context admin context admin allocate-interface Vlan101 allocate-interface Vlan102 config-url disk:/admin.cfg ! Admin VF(Virtual Firewall)을 위한 Interface 할당 Admin VF를 위한 Config 파일 저장 위치 지정 context B-G allocate-interface Vlan21 allocate-interface Vlan22 allocate-interface Vlan41 allocate-interface Vlan42 config-url disk:/B-G.cfg! A-Group VF를 위한 Interface 할당 A-Group VF를 위한 Config 파일 저장 위치 지정 Multi pair Vlan 에 속하게 되는 Vlan들이 하나의 Context에 모두 속하게 된다.

99 FWSM MultiPair Bridge & ACE Routed Mode FWSM F/O 구성
failover failover lan unit primary  FWSM Unit의 Primary or Secondary를 선언 failover lan interface faillink Vlan198  Failover Interface Vlan 198 선언 failover polltime unit msec 500 holdtime 3  Polling Time, Hold Time 선언 failover replication http  FO 발생시 HTTP 복제 선언 failover link statelink Vlan199  Stateful Failover Interface 선언 failover interface ip faillink standby  FO Interface IP address 선언 failover interface ip statelink standby  Stateful FO Interface IP Address 선언

100 FWSM MultiPair Bridge & ACE Routed Mode FWSM Basic Config
interface Vlan21 nameif inside1 bridge-group 1 security-level 100 ! interface Vlan22 nameif outside1 security-level 0 interface Vlan41 nameif inside2 bridge-group 2 interface Vlan42 nameif outside2 F1/48, V2 V21 V22 Clent: Server BVI V20 V41 V42 V40

101 FWSM MultiPair Bridge & ACE Routed Mode FWSM Basic Config
interface BVI1 ip address standby ! interface BVI2 ip address standby icmp permit any inside1 icmp permit any outside1 icmp permit any inside2 icmp permit any outside2 access-group bpdu in interface inside1 access-group permit in interface inside1 access-group bpdu in interface outside1 access-group permit in interface outside1 access-group bpdu in interface inside2 access-group permit in interface inside2 access-group bpdu in interface outside2 access-group permit in interface outside2 F1/48, V2 V21 V22 Clent: Server BVI V20 V41 V42 V40

102 FWSM MultiPair Bridge & ACE Routed Mode ACE Virtual Partition 구성
context B-Group allocate-interface vlan 20-21 ! B_Group Context 선언 및 Interface Vlan 20,21 할당 context C-Group allocate-interface vlan 40-41!  C_Group Context 선언 및 Interface Vlan 40,41 할당 ft interface vlan 99 ip address peer ip address no shutdown  ACE Failover Interface 지정 ft peer 1 heartbeat interval 100 heartbeat count 10 ft-interface vlan 99  ft Peer 간 heartbeat Interval과 counte 선언

103 FWSM MultiPair Bridge & ACE Routed Mode ACE FT - Failover Group 구성
ft group 3 peer 1 no preempt priority 200 associate-context B-Group inservice  Ft group 별 priority 지정과 Context 선언 ft group 4 associate-context C-Group inservice ft group #1 ft group #2 ft group #3 Tip !!! ft group별로 해당 Priority를 차등화 하여 구성할 경우 ACE Module 을 Loadsharing 하는 효과를 누릴 수 있으며, 디자인에 따라 Active/Active, Active/Standby 형태로 구성이 가능하다. 단, FWSM의 Active/Active 형태와는 다른 방식으로 동일 Context간 Session을 공유하여 Traffic이 동시에 흐르는 형태는 아니다.

104 FWSM Transparent & ACE Routed ACE FT - Failover Group 구성
ft interface vlan 99 ip address peer ip address no shutdown ft peer 1 heartbeat interval 100 heartbeat count 10 ft-interface vlan 99 heartbeat interval Millisecond 단위 Heartbeat count 10 Hearbeat count 숫자 위의 예제에서는 Heartbeat interval * Heartbeat count = 1Sec 가 된다. Ft interface Vlan 99 ft group #1 ft group #2 ft group #3

105 FWSM Transparent & ACE Routed ACE Basic Config – RealServer 구성
rserver host Server11 ip address inservice rserver host Server12 ip address

106 FWSM Transparent & ACE Routed ACE Basic Config – ServerFarm 구성
RealServer RealServer ServerFarm serverfarm host Web-Server probe ICMP-PROBE rserver Server11 inservice rserver Server12

107 FWSM Transparent & ACE Routed ACE Basic Config – SLB Policy Map 구성
RealServer RealServer ServerFarm policy-map type loadbalance first-match SLB class class-default serverfarm Web-Server

108 FWSM Transparent & ACE Routed ACE Basic Config – Server VIP 구성
Class-map LB Policy map RealServer RealServer ServerFarm policy-map type loadbalance first-match SLB class class-default serverfarm Web-Server class-map match-all Web-VIP-21 2 match virtual-address tcp eq www

109 FWSM Transparent & ACE Routed ACE Basic Config – L3/L4 Policy Map 구성
Class-map L3/L4 Policy map LB Policy map RealServer RealServer ServerFarm policy-map type loadbalance first-match SLB class class-default serverfarm Web-Server class-map match-all Web-VIP-21 2 match virtual-address tcp eq www policy-map multi-match match-www class Web-Server-VIP loadbalance vip inservice loadbalance policy SLB

110 FWSM Transparent & ACE Routed ACE Basic Config – L3/L4 Policy Map 구성
Class-map L3/L4 Policy map LB Policy map RealServer Interface ACL & Service Policy 적용 RealServer ServerFarm policy-map type loadbalance first-match SLB class class-default serverfarm Web-Server class-map match-all Web-VIP-21 2 match virtual-address tcp eq www policy-map multi-match match-www class Web-Server-VIP loadbalance vip inservice loadbalance policy SLB access-list anyone extended permit ip any any interface vlan 11 access-group input anyone service-policy input match-www

111 FWSM Transparent & ACE Routed ACE Basic Config – L7 RealServer 구성
rserver host Server11 ip address inservice rserver host Server12 ip address rserver host Server13 ip address inservice rserver host Server14 ip address

112 FWSM Transparent & ACE Routed ACE Basic Config – L7 ServerFarm 구성
RealServer ACE RealServer serverfarm host Web-Server predictor roundrobin rserver Server11 inservice rserver Server12 serverfarm host URL-Server rserver Server13 inservice rserver Server14

113 FWSM Transparent & ACE Routed ACE Basic Config – Management Policy 구성
Class-map L3/L4 Policy map RealServer RealServer ServerFarm class-map type management match-any mgmt 2 match protocol icmp any 3 match protocol telnet any 4 match protocol ssh any policy-map type management first-match mgmt class c-mgmt permit interface vlan 21 service-policy input p-mgmt interface vlan 20  RealServer가 G.W로 icmp를 허용하기 위해서, 허용한다.

114 FWSM Transparent & ACE Routed Failover Scenario
B F1/48, V1 F1/48, V2 2.254 1.254 V21 V22 Server A Server B F9/1 OSPF Area0 RSTP Clent: Server VIP VIP BVI Trunk V20,21,22,40,41,42,,99,198,199 /1 V20 V41 V42 V40 F9/2 BVI Clent: 1 Server Switch Primary Link 단절 Session State 유지 Ping Losss 1개 이내. RSTP에 의해 msec 단위 Take Over 4 2 ACE Primary 장애 Session State 유지 Ping Losss 1개 이내. ACE FT 기법을 통한 msec 단위 Take Over 구성 가능 3 2 3 1 FWSM 장애 Session State 유지 Ping Losss 1개 이내. FWSM Stateful F/O 기법을 통한 msec 단위 Take Over 구성 가능

115 FWSM Transparent & ACE Routed Failover Scenario
B F1/48, V1 F1/48, V2 2.254 1.254 V21 V22 Server A Server B F9/1 OSPF Area0 RSTP Clent: Server VIP VIP BVI Trunk V20,21,22,40,41,42,,99,198,199 /1 V20 V41 V42 V40 F9/2 BVI Clent: 4 Primary 6500 장애 또는 Router Uplink 단절 Session State 유지 또는 빠른 우회 경로 확보 Ping Losss 1개 이내. Fast OSPF 구현을 통한 빠른 우회경로 확보 4 3 OSPF Tuning ip ospf dead-interval minimal hello-multiplier 20 router os 1 timers throttle spf timers throttle lsa all 2 1

116 ACE DSR Mode

117 ACE DSR Mode 2.254 1.254 F1/48, V2 F1/48, V1 OSPF Area0 /1 Trunk V20,21,22,99,198,199 V50 V50 Server VIP RSTP F9/1 F9/1 B Server A eht1 : Eth1: Server B Eth1:

118 ACE DSR Mode 동작원리 1 2 3 Supervisor 에서 Static Routing
F1/48, V1 1.254 V10 Server A Eth1 : Eth1: Server VIP Defualt G.W 변경 1 Supervisor 에서 Static Routing VIP의 목적지를 Server Vlan G.W 로 Static Routing 강제 설정 2 ACE에서는 별도의 Client Side가 존재하지 않음 Virtual IP만 설정 Real Server에서는 Virtual Interface를 설정하고, Default G.W는 MSFC가 되도록 한다. 3 성능 향상 & 보안 취약 모든 Connection을 관리하지 않아도 되는 장점 보안에 대한 장점은 전혀 없음 상단에 FWSM과 연계할 경우에도 TCP Flow에 대한 문제점 발생 가능성이 높음 FWSM 3.2에서 Flow별 TCP State Bypass 기능올 통해 통과 할 수 있음

119 ACE DSR Mode Sup720 Sup720 구성 ACE 구성 svclc multiple-vlan-interfaces
svclc module 6 vlan-group 4,6 svclc vlan-group 6 50 ACE 에서 사용될 Server Vlan 설정 svclc vlan-group 4 99 ACE Failover Tracking Vlan을 위한 Vlan 99 ip route  DSR VIP로 직접 Static Routing 처리

120 ACE DSR Mode DSR Basic Config
F1/48, V1 1.254 V10 Server A Eth1 : Eth1: Server VIP Defualt G.W 변경 rserver host S11 ip address probe http-probe inservice rserver host S12 ip address serverfarm host Web-Server transparent  Transparent 기능을 통해 DSR을 구현 , NAT 사용하지 않음 rserver S11 rserver S12 class-map match-all Web-Server-VIP 3 match virtual-address any  VIP 가 Real Server의 Virtual Interface가 된다.

121 ACE DSR Mode DSR Basic Config
F1/48, V1 1.254 V10 Server A Eth1 : Eth1: Server VIP Defualt G.W 변경 policy-map multi-match match-www class Web-Server-VIP loadbalance vip inservice loadbalance policy SLB loadbalance vip icmp-reply interface vlan 50 description "Server Vlan" ip address alias peer ip address no normalization access-group input anyone service-policy input mgmt service-policy input match-www no shutdown ip route  Default 가 반드시 MSFC Vlan으로 향해야 한다. VIP

122 ACE DSR Mode DSR Basic Config
F1/48, V1 1.254 V10 Server A Eth1 : Eth1: Server VIP Defualt G.W 변경 probe icmp icmp-probe interval 2 passdetect interval 2 passdetect count 10 receive 2 serverfarm host DSR-Server transparent predictor leastconns probe icmp-probe rserver S11 inservice rserver S12 inservice.

123 ACE DSR Mode How to DSR Test – Linux Virtual Interface 설정
F1/48, V1 1.254 V10 Server A Eth1 : Eth1: Server VIP Defualt G.W 변경 1. Linux System에서 Virtual Interface 설정 ifconfig eth1: netmask broadcast up ip link set eth1:1 arp off 2. 모든 Routing은 ACE의 Alias G.W가 아니라, MSFC Vlan G.W로 향하게 한다. route add gw -nr Krenel IP routing table Destination Gateway Genmask Flags MSS Window irtt Iface UGH eth1

124 ACE를 통한 10G FLB 구성 Standard Mode

125 ACE 기반의 FWSM FLB Design B 2.254 1.254 172.16.2.1 F1/48, V2
OSPF Area0 V33 / HSRP /1 ACE FLB Outside Client V33 / 33.1 Server V32 / 32.1 Trunk V30-34,99 Outside V32 / Outside V32 / Inside V31 / Inside V31 / ACE FLB Inside Client V31 / 31.1 Server V30 / 30.1 V30 / HSRP B F9/1 RSTP F9/1 Server A Server B

126 ACE 기반의 FWSM FLB Design Design Key Point
1 최적의 10G FLB 구현 가능 별도의 물리적인 복잡한 회선 구현 없이 Internal Link를 통해 10G 이상의 FLB Service 구현 가능 B F1/48, V1 F1/48, V2 2.254 1.254 Server A Server B F9/1 OSPF Area0 RSTP Trunk V30-34,99 /1 ACE FLB Outside ACE FLB Inside 2 디자인 확장성 높은 FLB 구현 가능 FWSM Virtual context와 ACE의 Virtual Partitioning 기능을 이용하여 여러 개의 FLB 서비스 구현 가능 3 안정성 극대화 다중 L2 Switch 구조를 제거 하고, 최적화된 RSTP,OSPF를 이용하여 빠른 우회 경로 확보 가능 Probe Point를 ACE Virtual Partitioning과 인접한 MSFC HSRP 포인트를 지정하여 더욱 신뢰도를 높임.

127 ACE 기반의 FWSM FLB Design Sup720
svclc multiple-vlan-interfaces svclc module 6 vlan-group 4,5 svclc vlan-group 4 99 svclc vlan-group FWSM 구성 firewall multiple-vlan-interfaces firewall module 7 vlan-group 5

128 ACE 기반의 FWSM FLB Design Sup720
HSRP 구성 Cat 6500-A interface Vlan30 description "ACE-Inside-In" ip vrf forwarding ACE-Inside-Server ip address standby 30 ip standby 30 priority 200 standby 30 preempt interface Vlan33 description "ACE-Outside-Out" ip address standby 33 ip standby 33 priority 200 standby 33 preempt F1/48, V1 F1/48, V2 Trunk V30-34,99 /1 ACE FLB Outside ACE FLB Inside FLB 구성을 위해서는 하나의 ACE 모듈에서 두개의 Virtual Context가 서로 뒤집혀 있는 형태로 구성되게 된다. 특히 중요한 것은 두개의 Virtual Context간에 연결된 MSFC 연결 구조이다. Direct connected 되어 있으므로, FLB로 인입된 Traffic이 MSFC를 직접 흐르지 않도록 PBR 또는 VRF를 사용하여 , FLB Flow에 대한 주의가 필요하겠다.

129 ACE 기반의 FWSM FLB Design FWSM Basic Config – FWSM#A
interface Vlan31 nameif inside security-level 100 ip address ! interface Vlan32 nameif outside security-level 0 ip address access-list permit extended permit ip any any ! icmp permit any outside icmp permit any inside access-group permit in interface outside access-group permit in interface inside route outside route inside F1/48, V1 FWSM은 FLB를 통해 운용 되므로, 모두 Active 이며 Failover 구조는 필요없다. 따라서 모두 Active로 운영될 FWSM 구성에 대해, IP Address 체계를 주의해서 구성한다.

130 ACE 기반의 FWSM FLB Design FWSM Basic Config – FWSM#B
interface Vlan31 nameif inside security-level 100 ip address ! interface Vlan32 nameif outside security-level 0 ip address access-list permit extended permit ip any any icmp permit any inside icmp permit any outside access-group permit in interface inside access-group permit in interface outside route inside route outside F1/48, V2 ACE FLB Outside ACE FLB Inside FWSM은 FLB를 통해 운용 되므로, 모두 Active 이며 Failover 구조는 필요없다. 따라서 모두 Active로 운영될 FWSM 구성에 대해, IP Address 체계를 주의해서 구성한다.

131 ACE 기반의 FWSM FLB Design ACE Virtual Partition 구성
context I-FLB allocate-interface vlan ! A_Group Context 선언 및 Interface Vlan 10,11 할당 context O-FLB allocate-interface vlan !  A_Group Context 선언 및 Interface Vlan 10,11 할당 ft interface vlan 99 ip address peer ip address no shutdown  ACE Failover Interface 지정 ft peer 1 heartbeat interval 100 heartbeat count 10 ft-interface vlan 99  ft Peer 간 heartbeat Interval과 counte 선언

132 ACE 기반의 FWSM FLB Design ACE FT - Failover Group 구성
ft group 4 peer 1 no preempt priority 200 associate-context O-FLB inservice  FLB Outside ACE FT 그룹 선언 ft group 5 associate-context I-FLB inservice  FLB Inside ACE FT 그룹 선언 ft group #1 ft group #2 ft group #3

133 ACE 기반의 FWSM FLB Design ACE FT - Failover Group 구성
ft interface vlan 99 ip address peer ip address no shutdown ft peer 1 heartbeat interval 100 heartbeat count 10 ft-interface vlan 99 heartbeat interval Millisecond 단위 Heartbeat count 10 Hearbeat count 숫자 위의 예제에서는 Heartbeat interval * Heartbeat count = 1Sec 가 된다. Ft interface Vlan 99 ft group #1 ft group #2 ft group #3

134 ACE 기반의 FWSM FLB Design ACE Outside Basic Config – RealServer 구성
rserver host FW253 ip address inservice rserver host FW254 ip address

135 ACE 기반의 FWSM FLB Design ACE Outside Basic Config – ServerFarm 구성
RealServer RealServer ServerFarm serverfarm host FLB-Out transparent predictor hash address rserver FW253 inservice rserver FW254 NAT 처리가 필요없으므로… Hash 기반의 FLB 처리

136 ACE 기반의 FWSM FLB Design ACE Outside Basic Config – SLB Policy Map 구성
RealServer RealServer ServerFarm policy-map type loadbalance first-match FLB-Policy class class-default serverfarm FLB-Out

137 ACE 기반의 FWSM FLB Design ACE Outside Basic Config – Server VIP 구성
Class-map LB Policy map RealServer RealServer ServerFarm policy-map type loadbalance first-match FLB-Policy class class-default serverfarm FLB-Out class-map match-any FLB-Out-VIP 2 match virtual-address any 3 match virtual-address any  FLB Outside 측 Subnet 선언

138 ACE 기반의 FWSM FLB Design ACE Outside Basic Config – L3/L4 Policy Map 구성
Class-map L3/L4 Policy map LB Policy map RealServer RealServer ServerFarm policy-map type loadbalance first-match FLB-Policy class class-default serverfarm FLB-Out class-map match-any FLB-Out-VIP 2 match virtual-address any 3 match virtual-address any policy-map multi-match FLB-MM-Policy class FLB-Out-VIP loadbalance vip inservice loadbalance policy FLB-Policy loadbalance vip icmp-reply

139 ACE 기반의 FWSM FLB Design ACE Outside Basic Config – L3/L4 Policy Map 구성
Class-map L3/L4 Policy map LB Policy map RealServer Interface ACL & Service Policy 적용 RealServer ServerFarm policy-map type loadbalance first-match FLB-Policy class class-default serverfarm FLB-Out class-map match-any FLB-Out-VIP 2 match virtual-address any 3 match virtual-address any policy-map multi-match FLB-MM-Policy class FLB-Out-VIP loadbalance vip inservice loadbalance policy FLB-Policy loadbalance vip icmp-reply access-list anyone line 8 extended permit ip any any

140 ACE 기반의 FWSM FLB Design ACE Outside Basic Config – L3/L4 Policy Map 구성
Class-map L3/L4 Policy map LB Policy map RealServer Interface ACL & Service Policy 적용 RealServer ServerFarm interface vlan 33 description =ACE-Out-Client= ip address alias peer ip address access-group input anyone access-group output anyone service-policy input mgmt service-policy input FLB-MM-Policy no shutdown interface vlan 32 description =ACE-Out-Server= ip address alias peer ip address mac-sticky enable access-group input anyone service-policy input mgmt ! ip route

141 ACE 기반의 FWSM FLB Design ACE Outside Basic Config – Health Monitoring(Probe) #1
RealServer ServerFarm ACE ACE Probe MSFC HSRP probe icmp I-FLB-MSFC ip address interval 2 faildetect 2 passdetect interval 2 passdetect count 5 receive 1 serverfarm host FLB-Out transparent predictor hash address probe I-FLB-MSFC rserver FW253 inservice rserver FW254

142 ACE 기반의 FWSM FLB Design ACE Outside Basic Config – Health Monitoring(Probe) #2
1 probe <probe-type> <probe-name> description < description > port <port-number> interval <sec> faildetect <retry-count> passdetect interval <sec> passdetect count <number> receive <receive-timeout> probe icmp I-FLB-MSFC description ICMP-Probe interval 2 faildetect 2 passdetect interval 2 passdetect count 5 receive 1 Interval Interval은 Probe를 주기적으로 Check하는 시간을 의미한다. 예제의 경우에는 2초에 한번씩 Check. faildetect faildetect Count는 Probe Check 시 특정 Count에 Fail이 Count 되면 Server, real Server를 Fail 로 간주하게 된다. 예제의 경우에는 2번의 Fail이 Count되면, Fail로 처리하겠다는 의미 Receive ACE가 Probe 를 해당 Server에 보내고 기다리는 시간을 의미한다. 예제에서는 1초간 기다리겠다는 의미이다. Tip !!! 구성 예제의 결과를 보면 결국 Fail 되는 총시간은 interval * faildetect * receive 가 된다. 따라서 위의 세개의 값을 세밀하게 계산하여, Fail Server를 선택하는 것이 매우 중요하다.

143 ACE 기반의 FWSM FLB Design ACE Outside Basic Config – Health Monitoring(Probe) #3
2 probe <probe-type> <probe-name> description < description > port <port-number> interval <sec> faildetect <retry-count> passdetect interval <sec> passdetect count <number> receive <receive-timeout> probe icmp I-FLB-MSFC description ICMP-Probe interval 2 faildetect 2 passdetect interval 2 passdetect count 5 receive 1 passdetect interval Server 가 Fail 된 후 복구 되기 위해, 주기적으로 다시 Probe를 보내는 주기를 의미한다. 예제에서는 2초에 한번씩 Probe를 보내게 된다. Passdetect count Server 가 Fail 된 후 복구되기 위한 성공적인 Probe Count를 의미한다. 예제에서는 5개의 성공 Probe 결과를 받았을 때 서비스를 재개 하겠다는 의미 Tip !!! 구성 예제의 결과를 보면 결국 Server가 Fail된 후 정상 복구 된다고 하더라도, intervla * count가 되므로, 정상 복구 후 10Sec 이후에 실제 정상 서비스가 된다는 의미 이다.

144 ACE 기반의 FWSM FLB Design ACE Outside Basic Config – Health Monitoring(Probe) 이해
FLB Probe Point 이해 OutSide ACE Probe Point는 Inside MSFC의 In HSRP VIP를 선언. Inside ACE Probe Point는 Outside MSFC의 Out HSRP VIP 선언. 왜 Probe IP를 HSRP 포인트를 주는가? FWSM 또는 Firewall의 Inside or OutSide만 장애가 발생할 경우 이상 동작이 발생할 수 있다. 따라서, ACE가 FLB 처리하는 Flow가 완벽하게 동작되는 지 확인이 가능한 Probe 첫 포인트가 되는 MSFC HSRP VIP를 Probe Point로 두는 것이 좋다. Out HSRP VIP ACE FLB Outside ACE FLB Inside In HSRP VIP

145 ACE 기반의 FWSM FLB Design ACE Outside Basic Config – Health Monitoring(Probe) 이해
== FireWall의 Inside 또는 Outside만 장애가 발생할 경우 == switch/A-FLB-OUT# sh probe probe : I-FLB-MSFC type : ICMP, state : ACTIVE port : address : addr type : TRANSPARENT interval : pass intvl : pass count : 5 fail count: recv timeout: 1 probe results probe association probed-address probes failed passed health serverfarm : FLB-Out real : FW253[0] SUCCESS real : FW254[0] FAILED  Probe Point가 HSRP VIP이므로 해당 경로가 되는 RealServer의 장애를 곧바로 인지하여, 더 이상 장애가 있는 FWSM 또는 방화벽 쪽으로 Packet을 보내지 않는다.

146 ACE 기반의 FWSM FLB Design ACE Outside Basic Config – Management Policy 구성
Class-map L3/L4 Policy map RealServer RealServer ServerFarm class-map type management match-any mgmt 2 match protocol icmp any 3 match protocol telnet any 4 match protocol ssh any policy-map type management first-match mgmt class c-mgmt permit interface vlan 32 description =ACE-Out-Server= service-policy input mgmt interface vlan 33 description =ACE-Out-Client= access-group input anyone service-policy input FLB-MM-Policy  RealServer가 G.W로 icmp를 허용하기 위해서, 허용한다.

147 ACE 기반의 FWSM FLB Design ACE Outside Monitoring – Real Server Monitoring
ACE/O-FLB# sh rserver rserver : FW253, type: HOST state : OPERATIONAL connections real weight state current total serverfarm: FLB-Out : OPERATIONAL rserver : FW254, type: HOST : OPERATIONAL

148 ACE 기반의 FWSM FLB Design ACE Inside Basic Config – RealServer 구성
rserver host FW253 ip address inservice rserver host FW254 ip address

149 ACE 기반의 FWSM FLB Design ACE Inside Basic Config – ServerFarm 구성
RealServer RealServer ServerFarm serverfarm host FLB-In transparent predictor hash address rserver FW253 inservice rserver FW254 NAT 처리가 필요없으므로… Hash 기반의 FLB 처리

150 ACE 기반의 FWSM FLB Design ACE Inside Basic Config – SLB Policy Map 구성
RealServer RealServer ServerFarm policy-map type loadbalance first-match FLB-Policy class class-default serverfarm FLB-In

151 ACE 기반의 FWSM FLB Design ACE Inside Basic Config – Server VIP 구성
LB Policy map Class-map RealServer RealServer ServerFarm policy-map type loadbalance first-match FLB-Policy class class-default serverfarm FLB-In class-map match-any FLB-In-VIP 2 match virtual-address any  FLB Inside 측 Subnet 선언

152 ACE 기반의 FWSM FLB Design ACE Inside Basic Config – L3/L4 Policy Map 구성
LB Policy map L3/L4 Policy map Class-map RealServer RealServer ServerFarm policy-map type loadbalance first-match FLB-Policy class class-default serverfarm FLB-In class-map match-any FLB-In-VIP 2 match virtual-address any policy-map multi-match FLB-MM-Policy class FLB-In-VIP loadbalance vip inservice loadbalance policy FLB-Policy loadbalance vip icmp-reply

153 ACE 기반의 FWSM FLB Design ACE Inside Basic Config – L3/L4 Policy Map 구성
LB Policy map L3/L4 Policy map Class-map RealServer RealServer Interface ACL & Service Policy 적용 ServerFarm policy-map type loadbalance first-match FLB-Policy class class-default serverfarm FLB-In class-map match-any FLB-In-VIP 2 match virtual-address any policy-map multi-match FLB-MM-Policy class FLB-In-VIP loadbalance vip inservice loadbalance policy FLB-Policy loadbalance vip icmp-reply access-list anyone line 8 extended permit ip any any

154 ACE 기반의 FWSM FLB Design ACE Inside Basic Config – L3/L4 Policy Map 구성
Class-map L3/L4 Policy map LB Policy map RealServer Interface ACL & Service Policy 적용 RealServer ServerFarm interface vlan 30 description =ACE-In-Client= ip address alias peer ip address access-group input anyone access-group output anyone service-policy input FLB-MM-Policy service-policy input mgmt no shutdown interface vlan 31 description =ACE-In-Server= ip address alias peer ip address mac-sticky enable access-group input anyone service-policy input mgmt ! ip route

155 ACE 기반의 FWSM FLB Design ACE Inside Basic Config – Health Monitoring(Probe) #1
RealServer ServerFarm ACE ACE Probe MSFC HSRP probe icmp O-FLB-MSFC ip address interval 2 faildetect 2 passdetect interval 2 passdetect count 5 receive 1 serverfarm host FLB-In transparent predictor hash address probe O-FLB-MSFC rserver FW253 inservice rserver FW254

156 ACE 기반의 FWSM FLB Design ACE Inside Basic Config – Health Monitoring(Probe) #2
1 probe <probe-type> <probe-name> description < description > port <port-number> interval <sec> faildetect <retry-count> passdetect interval <sec> passdetect count <number> receive <receive-timeout> probe icmp I-FLB-MSFC description ICMP-Probe interval 2 faildetect 2 passdetect interval 2 passdetect count 5 receive 1 Interval Interval은 Probe를 주기적으로 Check하는 시간을 의미한다. 예제의 경우에는 2초에 한번씩 Check. faildetect faildetect Count는 Probe Check 시 특정 Count에 Fail이 Count 되면 Server, real Server를 Fail 로 간주하게 된다. 예제의 경우에는 2번의 Fail이 Count되면, Fail로 처리하겠다는 의미 Receive ACE가 Probe 를 해당 Server에 보내고 기다리는 시간을 의미한다. 예제에서는 1초간 기다리겠다는 의미이다. Tip !!! 구성 예제의 결과를 보면 결국 Fail 되는 총시간은 interval * faildetect * receive 가 된다. 따라서 위의 세개의 값을 세밀하게 계산하여, Fail Server를 선택하는 것이 매우 중요하다.

157 ACE 기반의 FWSM FLB Design ACE Inside Basic Config – Health Monitoring(Probe) #3
2 probe <probe-type> <probe-name> description < description > port <port-number> interval <sec> faildetect <retry-count> passdetect interval <sec> passdetect count <number> receive <receive-timeout> probe icmp I-FLB-MSFC description ICMP-Probe interval 2 faildetect 2 passdetect interval 2 passdetect count 5 receive 1 passdetect interval Server 가 Fail 된 후 복구 되기 위해, 주기적으로 다시 Probe를 보내는 주기를 의미한다. 예제에서는 2초에 한번씩 Probe를 보내게 된다. Passdetect count Server 가 Fail 된 후 복구되기 위한 성공적인 Probe Count를 의미한다. 예제에서는 5개의 성공 Probe 결과를 받았을 때 서비스를 재개 하겠다는 의미 Tip !!! 구성 예제의 결과를 보면 결국 Server가 Fail된 후 정상 복구 된다고 하더라도, intervla * count가 되므로, 정상 복구 후 10Sec 이후에 실제 정상 서비스가 된다는 의미 이다.

158 ACE 기반의 FWSM FLB Design ACE Inside Basic Config – Management Policy 구성
L3/L4 Policy map Class-map RealServer RealServer ServerFarm class-map type management match-any mgmt 2 match protocol telnet any 3 match protocol icmp any policy-map type management first-match mgmt class mgmt permit interface vlan 30 description =ACE-In-Client= service-policy input mgmt no shutdown interface vlan 31 description =ACE-In-Server= no shutdown  RealServer가 G.W로 icmp를 허용하기 위해서, 허용한다.

159 ACE 기반의 FWSM FLB Design ACE Inside Monitoring – Real Server Monitoring
ACE/I-FLB# sh rserver rserver : FW253, type: HOST state : OPERATIONAL connections real weight state current total serverfarm: FLB-In : OPERATIONAL rserver : FW254, type: HOST : OPERATIONAL

160 ACE 기반의 FWSM FLB Design Failover Scenario
1 Server Switch Primary Link 단절 Session State 유지 Ping Losss 1개 이내. RSTP에 의해 msec 단위 Take Over 2.254 1.254 F1/48, V2 F1/48, V1 OSPF Area0 4 /1 ACE FLB Outside 2 2 ACE Primary(Inside or Outside) 장애 Session State 유지 Ping Losss 1개 이내. ACE FT 기법을 통한 msec 단위 Take Over 구성 가능 Trunk V30-34,99 3 ACE FLB Inside 2 3 FWSM 장애 두개이상의 FWSM이 구동하고 있으므로, 가동 중인 FWSM 쪽으로 우회 1 B F9/1 RSTP F9/1 Server A Server B

161 ACE 기반의 FWSM FLB Design Failover Scenario
4 Primary 6500 장애 또는 Router Uplink 단절 Session State 유지 또는 빠른 우회 경로 확보 Ping Losss 1개 이내. Fast OSPF 구현을 통한 빠른 우회경로 확보 2.254 1.254 F1/48, V2 F1/48, V1 OSPF Area0 4 /1 V12 V12 BVI Trunk V20,21,22,99,198,199 3 OSPF Tuning ip ospf dead-interval minimal hello-multiplier 20 router os 1 timers throttle spf timers throttle lsa all Clent: V11 V11 2 Server V10 VIP V10 RSTP F9/1 1 F9/1 Server A Server B

162


Download ppt "DataCenter Cisco FWSM / ACE Service Module Design & Deploy Guide Version 1.0 2007-07-12 Cisco Systems Korea Solution S.E Team S.E 최 우 형 (whchoi@cisco.com)"

Similar presentations


Ads by Google