ロードバランサーについて (Ask the Expert)

CiscoJapanModerator · ‎2013-08-19

シスコの技術サポートエンジニアへ質問して疑問を解決できる「エキスパートに質問」へようこそ！

ここでは、シスコのエキスパートからのアドバイスや最新の情報が得られる場として気軽に質問してみてください。

担当エキスパート: 島崎　裕次 (Yuji Shimazaki)

Cisco Japan TAC のカスタマーサポートエンジニアとして、 IOS 12.1/12.2 の頃の Router 全般を3年程担当した後、ロードバランサ製品のサポートを 8 年以上担当。

現在は、ANM, ACE, CSM, CSS, SSLM, AVS, GSS, ACE XML Gateway, ACNS 等のコンテントネットワーキング製品全般を専門分野として担当しており、主に、ACE, CSM, CSS 等のロードバランサー製品のテクニカルサポートにおいて第一線で活躍している。

ディスカッション開催期間: 8月26日（月）～9月8日（日）

[質問の回答方法]

サポートコミュニティへCisco.comIDでログインすると、この説明の右下に「返信」ボタンが表示されます。クリックすると投稿欄が表示されますので、質問をご記入ください。最後に「メッセージの投稿」をクリックすると質問が送信され、完了となります。

もし１つの質疑応答が進行していても、他の新しい質問を同じスレッド内に投稿いただいて問題ありません。
この「エキスパートに質問」のディスカッションスレッドに届いた質問は担当のTACエキスパートが回答しますがすべての質問に返信できないかもしれません。
返信が得られずに開催期間が終了して残ってしまった質問については、サポートコミュニティ事務局が今回の技術カテゴリの通常のディスカッションフォーラムへ再掲載し、有用な情報の展開へとつなげていきます。

エキスパートから返信が得られた質問については、評価機能でその回答が適切であったかをエキスパートへぜひ伝えてください。

あなたからの質問だけでなく、他コミュニティのメンバーから寄せられた質問がどう発展したかをのぞきに、ぜひこのフォーラムへ再度訪問されることをお待ちしております！

[エキスパートからの回答について]

質問の投稿から原則数日以内に回答できるよう努めます。内容によっては、検証や確認に時間がかかる場合もありますのでご了承ください。質問の内容によっては、エキスパートの担当範囲外の場合もございます。その際はサポートコミュニティ事務局、もしくは適切な担当から回答いたします。

ディスカッション期間を過ぎてからの投稿は、事務局より通常コミュニティへ投稿いただくようお願いさせていただくようになりますことも合わせてご理解ください。

torukimura · ‎2013-08-26

ACEモジュールおよび ACE 4710 アプライアンスについて、

POP3s,IMAPs,SMTPs などの、メール系プロトコルのSSL復号化の対応状況
について教えてください。

 
主な方式は、いくつか種類があるかと思いますが、
- over SSL
- over TLS
- STARTTLS

現時点で対応しているのは、 over SSL のみの認識で合っておりますでしょうか。

また、サンプルコンフィグや設定例がございましたら、ご提示いただけますでしょうか。

yushimaz · ‎2013-08-26

ご認識の通り、対応しているのは、over SSL のみです。

CCO 上に pops/imaps/smtps の設定例は掲載されていなかったと思いますが、設定/動作は https の基本設定とほとんど同じため、https の設定例で使用している port# を pop/imap/smtp 用に修正すれば動作します。

ACE: SSL の基本設定の port# をそれぞれ pop/imap/smtp 用に修正した設定例は下記になります。

---

serverfarm host pop

rserver s1 110

inservice

rserver s2 110

inservice

serverfarm host imap

rserver s1 143

inservice

rserver s2 143

inservice

serverfarm host smtp

rserver s1 25

inservice

rserver s2 25

inservice

ssl-proxy service ssl

key key.pem

cert cert.pem

class-map match-all vip-pops

2 match virtual-address [vip address] tcp eq 995

class-map match-all vip-imaps

2 match virtual-address [vip address] tcp eq 993

class-map match-all vip-smtps

2 match virtual-address [vip address] tcp eq 465

policy-map type loadbalance first-match pops

class class-default

serverfarm pop

policy-map type loadbalance first-match imaps

class class-default

serverfarm imap

policy-map type loadbalance first-match smtps

class class-default

serverfarm smtp

policy-map multi-match client-vips

class vip-pops

loadbalance vip inservice

loadbalance policy pops

loadbalance vip icmp-reply

ssl-proxy server ssl

class vip-imaps

loadbalance vip inservice

loadbalance policy imaps

loadbalance vip icmp-reply

ssl-proxy server ssl

class vip-smtps

loadbalance vip inservice

loadbalance policy smtps

loadbalance vip icmp-reply

ssl-proxy server ssl

torukimura · ‎2013-08-26

迅速なご回答ありがとうございます。

設定例についてもありがとうございました。

makoto.takasaki · ‎2013-08-29

xlateテーブルの確認方法をご教示ください。
nat-pool 1 172.27.68.87 172.27.68.87 netmask 255.255.255.255 pat
このような設定でPATを行っております。patオプションを付けていない時には
show xlate コマンドで教示されたテーブルがpatに変更後表示されなくなってしまいました。

yushimaz · ‎2013-08-30

その通信は、connection 確立後すぐに切断される通信ではないでしょうか？

timeout xlate の default 値は 3 時間のため、nat の場合、entry が 3 時間保持されますが、pat の場合、connection 切断と共に entry が削除されるような実装になっています。

そのため、すぐに connection を切断するような通信の場合、'show xlate' の出力がないように見えます。

A4 や A5 を使用しているのであれば、すぐに entry から削除されるため出力が見えないだけかと思います。

ACE4710a-yushimaz/Admin# sh run | i xlate
Generating configuration....
timeout xlate 60 <<== 試験時間の都合上、60 秒で entry が消えるようにしています。
ACE4710a-yushimaz/Admin# sh run int | b 778
Generating configuration....
interface vlan 778
ip address 192.168.78.201 255.255.255.0
alias 192.168.78.200 255.255.255.0
peer ip address 192.168.78.202 255.255.255.0
no shutdown

ACE4710a-yushimaz/Admin# conf t
Enter configuration commands, one per line. End with CNTL/Z.
ACE4710a-yushimaz/Admin(config)# int vl 778
ACE4710a-yushimaz/Admin(config-if)# nat-pool 1 192.168.78.100 netmask 255.255.255.255 <<== nat の設定
ACE4710a-yushimaz/Admin(config-if)#
ACE4710a-yushimaz/Admin(config-if)# do sh conn pro tcp

conn-id    np dir proto vlan source                destination           state
----------+--+---+-----+----+---------------------+---------------------+------+
240        1 in TCP   900 192.168.90.1:41296    192.168.90.2:2000     ESTAB
313        1 out TCP   900 192.168.90.2:2000     192.168.90.1:41296    ESTAB
264315     1 in TCP   777 192.168.77.41:34377   192.168.77.100:80     ESTAB <<== connection を確立
277450     1 out TCP   778 192.168.78.41:80      192.168.78.100:34377 ESTAB <<== snat されていることを確認
ACE4710a-yushimaz/Admin(config-if)#
ACE4710a-yushimaz/Admin(config-if)# do sh xlate
NAT from vlan777:192.168.77.41 to vlan778:192.168.78.100 count:1 <<== entry が生成されていることを確認。
ACE4710a-yushimaz/Admin(config-if)#
ACE4710a-yushimaz/Admin(config-if)# do sh clo
Fri Aug 30 12:22:56 JST 2013
ACE4710a-yushimaz/Admin(config-if)# do sh conn pro tcp

conn-id    np dir proto vlan source                destination           state
----------+--+---+-----+----+---------------------+---------------------+------+
240        1 in TCP   900 192.168.90.1:41296    192.168.90.2:2000     ESTAB
313        1 out TCP   900 192.168.90.2:2000     192.168.90.1:41296    ESTAB
<<== connection を切断し、connection table に entry がないことを確認。

ACE4710a-yushimaz/Admin(config-if)#
ACE4710a-yushimaz/Admin(config-if)# do sh xlate
NAT from vlan777:192.168.77.41 to vlan778:192.168.78.100 count:0 <<== xlate entry は存在する。
ACE4710a-yushimaz/Admin(config-if)#
ACE4710a-yushimaz/Admin(config-if)# do sh clo
Fri Aug 30 12:24:15 JST 2013
ACE4710a-yushimaz/Admin(config-if)# do sh xlate
<<== 60 秒以上経つと entry は消去される。

ACE4710a-yushimaz/Admin(config-if)#
ACE4710a-yushimaz/Admin(config-if)# no nat-pool 1 192.168.78.100 netmask 255.255.255.255
ACE4710a-yushimaz/Admin(config-if)# nat-pool 1 192.168.78.100 netmask 255.255.25
5.255 pat <<== pat に設定変更
ACE4710a-yushimaz/Admin(config-if)#
ACE4710a-yushimaz/Admin(config-if)# do sh conn pro tcp

conn-id    np dir proto vlan source                destination           state
----------+--+---+-----+----+---------------------+---------------------+------+
240        1 in TCP   900 192.168.90.1:41296    192.168.90.2:2000     ESTAB
313        1 out TCP   900 192.168.90.2:2000     192.168.90.1:41296    ESTAB
278666     1 in TCP   777 192.168.77.41:34378   192.168.77.100:80     ESTAB <<==
278677     1 out TCP   778 192.168.78.41:80      192.168.78.100:1025   ESTAB <<== pat されていることを確認。
ACE4710a-yushimaz/Admin(config-if)# do sh xlate
TCP PAT from vlan777:192.168.77.41/34378 to vlan778:192.168.78.100/1025 <<== connection がある場合、entry があることを確認。
ACE4710a-yushimaz/Admin(config-if)#
ACE4710a-yushimaz/Admin(config-if)# do sh clo
Fri Aug 30 12:25:38 JST 2013
ACE4710a-yushimaz/Admin(config-if)# do sh conn pro tcp

conn-id    np dir proto vlan source                destination           state
----------+--+---+-----+----+---------------------+---------------------+------+
240        1 in TCP   900 192.168.90.1:41296    192.168.90.2:2000     ESTAB
313        1 out TCP   900 192.168.90.2:2000     192.168.90.1:41296    ESTAB
ACE4710a-yushimaz/Admin(config-if)#
ACE4710a-yushimaz/Admin(config-if)# do sh xlate
ACE4710a-yushimaz/Admin(config-if)#   <<== connection を切断すると、60 秒経つ前でも消去される。
ACE4710a-yushimaz/Admin(config-if)# do sh clo
Fri Aug 30 12:25:53 JST 2013
ACE4710a-yushimaz/Admin(config-if)#

makoto.takasaki · ‎2013-08-30

ご回答ありがとうございました。

ご推測の通り、すぐにコネクションが切れる通信です。

「timeout xlate の default 値は 3 時間のため、nat の場合、entry が 3 時間保持されますが、pat の場合、connection 切断と共に entry が削除されるような実装になっています。」

NATとPATとでは、entryが消えるタイミングが違うのですね。

そのためshow xlateコマンドを叩いたタイミングではコネクションが無いため表示されなかったのだと思います。

実装通りの動作をしていると思います。

ありがとうございました。