Cisco ACE 应用控制引擎测试测试与方案v1.docx

Cisco ACE 应用控制引擎测试测试与方案v1.docx

《Cisco ACE 应用控制引擎测试测试与方案v1.docx》由会员分享，可在线阅读，更多相关《Cisco ACE 应用控制引擎测试测试与方案v1.docx（10页珍藏版）》请在冰豆网上搜索。

CiscoACE应用控制引擎测试测试与方案v1

XXX银行研发中心

CiscoACE应用控制引擎测试

测试方案

（Ver1）

（文档编号：

）

文档版本信息

版本号

发布日期

作者/修改者

描述/修改记录

修改原因

文件名

V1

1.系统概述4

1.1概述4

1.2思科ACE技术简介4

2.测试环境概述6

2.1网络拓扑结构6

2.2测试需新增设备8

2.3设备配置8

2.4测试回退10

3.测试内容11

3.1测试方法11

3.2测试内容11

1.

系统概述

1.1概述

XXX银行研发中心内有众多服务器承担各类研发任务。

在没有负载均衡设备的情况下经常会出现某台服务器很“繁忙”，而其他服务器很“清闲”的情况。

这样就不能合理的应用现有资源，将设备最大化利用，同时由于服务器繁忙对于用户的应用需求也就做不到及时的处理。

使用CiscoACE设备可以做到根据服务器的现有负载等情况，为用户选择最优的服务器为其服务。

从而不论从服务器的负载方面还是对用户响应及时性方面来说都能够很好的解决。

1.2思科ACE技术简介

Cisco应用控制引擎（ApplicationControlEngine,ACE），可以为后台应用服务器提供高性能表现和最高级别的控制体系和安全保护。

ACE将替代思科的现有CSM业务模块，主要针对大型企业和电信用户的服务器集群环境，可以有效地对重要应用数据的传送进行优化和简化，同时具备良好的性价比。

ACE提供了如下的性能和功能：

（1）ACE提供四到七层数据包的内容交换和负载均衡功能，为服务器机群提供虚拟地址和端口。

ACE在插入Catalyst6500后，交换机上的所有端口即可成为四到七层层交换端口。

ACE与Catalyst6509数据总线和交换矩阵都有连接，最高带宽为16Gbps,每秒连接数为345,000个。

（2）通过卸载服务器底层通讯及SSL负载，优化基于HTML/XML的应用，提高服务器业务响应能力，改善应用性能。

（3）ACE具备资源分配和隔离功能。

在一个物理模块中，ACE可以划分为多个独立的分区，每一个分区都可以分配给一个应用或者一个用户使用。

另外，每一个分区都支持层次化的管理模式，提供了资源管理的灵活性和安全性。

ACE支持基于角色的访问控制（role-basedaccesscontrol）,所有的用户都被分配了相应的角色（role）,每个角色在分区内被允许执行相关的命令集。

例如系统管理员角色（systemadminrole）可以执行ACE所有的命令而应用程序管理员角色（applicationadminrole）只能执行和后台应用及内容交换的命令等。

（4）ACE具有强大的安全功能，可以有效地保护后台的应用程序免受恶意攻击。

主要的技术包括：

HTTP深层包检测、双向动态、静态和基于策略的地址转换（NAT/PAT），访问控制列表、TCP包头验证、TCP连接状态监控等。

（5）ACE支持多层次的冗余性，对关键业务提供最高等级的可用性保护。

ACE是目前业界唯一可以实现以下三种高可用性保护的四到七层交换机：

●机箱间冗余---两台机箱间的ACE板卡可互为冗余保护

●板卡间冗余---同一机箱内的多个ACE板卡可互为冗余保护

●虚拟分区前冗余–同一ACE板卡内的不同虚拟分区之前可互为保护

ACE的冗余保护对动态的连接进行保护，保证当主业务板卡故障时业务连接仍然得以保持。

（6）硬件加速方式的协议控制，对常见协议提供有效的检查、过滤和绑定。

这些协议包括HTTP,RTSP,DNS,等。

硬件方式实现ACL和NAT功能，最多支持一百万个NAT转换表项。

ACE的技术优势：

●超高的表现性能

ACE是目前业界处理性能最高的四到七层交换系统，在与主流的F5交换机比较时，超出其最高配置交换机的3倍以上。

ACE背板交换速率最高达到16Gbps,并发连结数400万，每秒可维持近35万个4层连接，14.5万七层连接。

●丰富的业务功能和安全特性

ACE可以对所有的TCP或UDP协议的数据包以每连接为基础进行负载分担。

对HTTP,FTP等主要协议可实现7层基础上的负载分担。

在下一代软件升级后，ACE可以通过编程方式对所有7层协议进行负载分担的实现。

ACE具备强大全面的安全性能，可以部分地承担防火墙模块的任务。

●有效的可扩展性

作为与业务和上层应用紧密相关的服务模块，其业务功能处于不断的发展和增加过程中，因此需要进行不断地升级。

ACE提供两种业务升级方式：

软件IOS升级和子卡升级方式。

在ACE板卡内部有两个插卡接口，可以通过插入更新的子卡来硬件实现对新业务功能的支持。

●灵活的资源调配

与防火墙模块的虚拟防火墙功能类似，ACE具备虚拟分区功能，最多可以划分250个分区（下一版本支持500个分区）。

每个分区的配置和地址空间独立，带宽等资源可以灵活地在各个分区中进行调配，适宜在数据中心环境中为不同的用户群进行分配

●灵活的速率和虚拟分区设置

ACE与背板的连接速率为16Gbps.但是如果用户暂时无需这么高的连接速率，可以选择4Gbps或者8Gbps许可，这样可以有效地降低投资。

另外ACE缺省配置5个虚拟分区，如果用户需要扩展，可以通过购买license的方式进行软件升级

2.测试环境概述

2.1网络拓扑结构

测试环境拓扑图如下：

上图为XXX银行研发中心的网络情况，本次测试部署如下：

⏹CiscoACE将接到和服务器相同（也可不同，看实际情况）的接入层交换上，接入层交换机接ACE的端口使用trunk模式。

⏹接入层交换机接服务器的端口使用access模式，并在接入层交换机上新建一个vlan20（根据实际情况可更改为一个未使用的vlan），并将服务器加入到新加的vlan内。

⏹在CiscoACE上建立两个vlan，一个是原来服务器所在的vlan10（假定的vlan，根据实际配置的vlan更改），另外一个是新建的vlan20。

将这两个vlan做桥接，建立一个BVI接口，并给BVI接口配置一个和服务器同网段且未使用的IP地址。

这样不论是client访问服务器还是服务器主动访问外面都需要由ACE做桥接。

从而达到跟服务器相关的所有流量都可以被ACE知道。

⏹服务器的ip地址和网关等信息不需要更改（即SW1和SW2上做HSRP虚拟出来的vlan10的地址），ACE上将增加一条默认路由指向SW1和SW2做HSRP虚拟出来的vlan10的地址。

⏹在ACE定于VIP，定义服务器组和相应的策略。

⏹其他的非测试服务器继续保留在原有的vlan10内，这样就不会影响他们的正常工作。

所以最好是两台测试服务器在同一台交换机上，这样涉及的网络设备就会很少。

2.2测试需新增设备

●交换机使用研发中心现有研发环境中使用的的交换机。

●CiscoACE4710一台由Cisco提供。

2.3设备配置

●SW1和SW2作为核心设备不需要做任何配置。

●SW3:

假设SW3的fa0/1接ACE，fa0/2和fa0/3分别接server1和server2（实际实施时根据实际情况使用接口）

SW3配置如下：

SW3#configterm

SW3（config）#vlan20（测试新增的vlan）

SW3（config）#interfacef0/1（ACE所在接口）

SW3（config-if）#switchportmodetrunk

SW3（config）#interfacerangf0/2,f0/3（server所在接口）

SW3（config-if）#switchportmodeaccess

SW3（config-if）#switchportaccessvlan20

ACE配置如下：

ACE（config）#interfacevlan10（和核心通讯的vlan）

ACE（config-if）#description“ClientSide”

ACE（config-if）#bridge-group3

ACE（config-if）#noshutdown

ACE（config-if）#interfacevlan20（服务器新加入的vlan）

ACE（config-if）#description"ServerSide"

ACE（config-if）#bridge-group3

ACE（config-if）#noshutdown

ACE（config-if）#interfacebvi3

ACE（config-if）#ipaddress168.3.20.X255.255.255.0

ACE（config-if）#description"client-serverbridgegroup"

ACE（config-if）#noshutdown

以上配置保证了vlan10和vlan20之间的通讯，vlan20的服务器可以通过桥接的方式访问到外面网络。

ACE（config）#access-listeveryoneextendedpermitipanyany

ACE（config）#access-listeveryoneextendedpermiticmpanyany

建立一个允许client发起的连接的ACL列表

ACE（config）#rserverlnx1

ACE（config-rserver-host）#ipadd168.3.20.5

ACE（config-rserver-host）#inservice

ACE（config-rserver-host）#rserverlnx2

ACE（config-rserver-host）#ipadd168.3.20.134

ACE（config-rserver-host）#inservice

定义需要做负载均衡的server组

ACE（config）#serverfarm

ACE（config-sfarm-host）#rserverlnx1

ACE（config-sfarm-host-rs）#inservice

ACE（config-sfarm-host-rs）#rserverlnx2

ACE（config-sfarm-host-rs）#inservice

定义一个名为的serverfarm并将前面建定义的服务器加入到这个serverfarm中

ACE（config）#class-mapslb-vip

ACE（config-cmap）#matchvirtual-address168.3.20.Xtcpeqftp

定义VIP

ACE（config）#policy-maptypeloadbalancehttpfirst-matchslb-logic

ACE（config-pmap-lb）#classclass-default

ACE（config-pmap-lb-c）#serverfarm

ACE（config）#class-maptypematch-anybadcommands

ACE（config-cmap）#matchrequest-methodput

ACE（config-cmap）#matchrequest-methoddele

ACE（config-cmap）#matchrequest-methodrmd

使用class-map匹配不希望用户使用的命令

ACE（config）#policy-maptypeinspectcheck-commands

ACE（config-pmap-）#classbadcommands

ACE（config-pmap-）#deny

使用policy-map丢弃不允许使用的命令

ACE（config）#policy-maptypemanagementfirst-matchremote-access

ACE（config-pmap）#classremote-access

ACE（config-pmap-c）#permit

ACE（config）#policy-mapmulti-matchclient-vips

ACE（config-pmap）#classslb-vip

ACE（config-pmap-c）#loadbalancepolicyslb-logic

ACE（config-pmap-c）#loadbalancevipinservice

ACE（config-pmap-c）#inspectpolicycheck-commands

使用policy-map嵌套定义对各类流量的相应操作

ACE（config）#interfacevlan10

ACE（config-if）#access-groupinputeveryone

ACE（config-if）#service-policyinputclient-vip

ACE（config）#interfacevlan20

ACE（config-if）#service-policyinputremote-access

分别在两个SVI上应用策略

ACE（config）#iproute0.0.0.00.0.0.0168.3.20.X

定义默认路由

2.4测试回退

因为本次测试只是在接入层交换机上增加了一个vlan和将两台测试服务器加入到这个新的vlan内，不会影响网络的整体变化，因此只会涉及到接入层交换机SW3的配置回退。

在相关设备上回退操作只需要将接服务器和ACE的端口划入原vlan10内，并将新增加的vlan20删除即可。

SW3回退配置：

SW3#configterm

SW3（config）#interfacef0/1（ACE所在接口）

SW3（config-if）#switchportmodeaccess

SW3（config-if）#switchportaccessvlan10

SW3（config）#interfacerangf0/2,f0/3（server所在接口）

SW3（config-if）#switchportmodeaccess

SW3（config-if）#switchportaccessvlan10

SW3（config）#novlan20

3.测试内容

3.1测试方法

测试分使用VIP地址登录和使用实际服务器地址登录测试。

可以在两台FTP服务器上放置两个不同名字的WORD文档，在使用FTP登录后，可以根据这两个文档的名字知道登录到是那台服务器。

3.2测试内容

1、分别使用实际地址登录168.3.20.5和168.3.20.134

看两次登录的结果是否正确

2、使用VIP168.3.20.X登录

看第一台client和第二台client登录的是否是两台不同的服务器

3、在ACE上使用相关的show命令查看信息

ACE#showarp

ACE#showacl

ACE#showservice-policyclient-vips

ACE#showservice-policyclient-vipsdetail

ACE#showserverfarm

ACE#showrserver

ACE#showstats