Configurando o Balanceamento de Carga em

Propaganda
Configurando o Balanceamento de Carga em Concentradores VPN
3000
Índice
Introdução
Pré-requisitos
Requisitos
Componentes Utilizados
Convenções
Principais definições
Diagrama de Rede
Endereços
Restrições
Configuração
Atribuição de endereço IP:
Configuração do filtro
Configuração de cluster
Monitoramento
Teste a característica da função de balanceamento de carga
Troubleshooting
Informações Relacionadas
Introdução
A função de balanceamento de carga é a capacidade para ter os Cisco VPN 3000 Client compartilhados através das unidades múltiplas sem a
intervenção de usuário. Assegura-se de que o endereço IP público esteja altamente disponível aos usuários. Por exemplo, se o Cisco VPN 3000
Concentrator que presta serviços de manutenção ao endereço IP público falha, um outro VPN 3000 concentrator no conjunto supõe o endereço IP
público. Igualmente permite que a Segurança não-IP (PPTP e L2TP) e os clientes de IPSec não-Cisco conectem ao VPN 3000 concentrator na
maneira existente, embora estes clientes VPN não sejam função de balanceamento de carga ou apoiado pelo failover de sessão seguro.
Nota: O Virtual Router Redundancy Protocol (VRRP) e a função de balanceamento de carga são mutuamente exclusivos de um outro. O VRRP
não pode ser permitido quando a função de balanceamento de carga for permitida e vice-versa.
Pré-requisitos
Requisitos
Este documento supõe:
Você tem endereços IP atribuídos em seus VPN 3000 concentratores (em ambas as interfaces públicas e privadas).
O IPsec é configurado nos VPN 3000 concentratores para o usuário VPN. Refira o IPsec com o cliente VPN ao exemplo de configuração
do VPN 3000 concentrator para uma configuração de exemplo se o IPsec não é configurado.
Os usuários VPN podem conectar individualmente a todos os VPN 3000 concentratores com o uso de seu endereço IP público atribuído.
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
Versões 3.0 e mais recentes do Cliente de Software de VPN 3000
Versões de Software VPN 3000 Concentrator 3.0 e superior
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos
utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o
impacto potencial de qualquer comando.
Convenções
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
Principais definições
Esta tabela define as palavras-chave associadas com os VPN 3000 concentratores e a função de balanceamento de carga.
Palavraschave
Definição
Em um cluster virtual, os Concentradores VPN 3000 funcionam
juntos como uma única entidade. O conjunto é sabido por um
endereço IP de Um ou Mais Servidores Cisco ICM NT ao espaço
exterior do cliente VPN. Este endereço IP de Um ou Mais Servidores
Cluster virtual
Cisco ICM NT virtual não é amarrado a um dispositivo específico no
conjunto VPN mas é prestado serviços de manutenção pelo virtual
cluster master. O endereço IP de Um ou Mais Servidores Cisco ICM
NT virtual tem que ser um endereço roteável.
Agente de
Cluster
Virtual
(VCA)
O VCA é adicionado ao código VPN3000 a fim controlar a função de
balanceamento de carga nos VPN 3000 concentratores. As alterações
mínimas foram feitas ao código IPSec a fim segurar o endereço IP de
Um ou Mais Servidores Cisco ICM NT do cluster virtual.
Carregar
informações
O mestre mantém a informação de carga de todos os VPN 3000
concentratores secundários no conjunto. Cada secundário envia a
informação de carga na troca da mensagem da manutenção de
atividade ao mestre. A carga é calculada como uma porcentagem das
sessões ativas atuais divididas pelo máximo permitido de conexões
configuradas.
Diagrama de Rede
Endereços
Esta tabela mostra endereços públicos e privados para VPN 3000 concentratores.
VPN 3000
Concentrator
Privado
Interface
Máscara de
sub-rede
Público
Interface
Máscara de
sub-rede
3005
10.32.1.129 255.255.128.0
172.18.124.129 255.255.255.0
3030
10.32.1.130 255.255.128.0
172.18.124.130 255.255.255.0
3060
10.32.1.131 255.255.128.0
172.18.124.131 255.255.255.0
Restrições
Estas limitações aplicam-se à função de balanceamento de carga em VPN 3000 concentratores:
A função de balanceamento de carga pode somente ocorrer com conexões do IPSec VPN Cliente-à-LAN da versão Cisco 3.x (ou mais
tarde). Uns clientes VPN mais adiantados podem ainda conectar a seu endereço IP de Um ou Mais Servidores Cisco ICM NT da porta do
alvo Ethernet2 (público) dentro do conjunto.
Nota: O Balanceamento de carga pode ainda trabalhar se ambos os concentradores VPN não têm a mesma versão de software carregada
neles.
O endereço IP do cluster virtual de VPN, a porta do Protocolo de datagrama de usuário (UDP) e o segredo compartilhado devem ser
idênticos em todos os dispositivos no cluster virtual.
Todos os dispositivos no cluster virtual devem estar nas mesmas sub-redes de IP públicas e privadas.
É necessário aplicar um filtro nas interfaces pública e privada. Os padrões são:
filtro privado na interface privada
filtro público na interface pública
Configuração
Atribuição de endereço IP:
Certifique-se de que os endereços IP foram configurados nas interfaces pública e privada e se você pode acessar a Internet a partir do seu VPN
3000 Concentrator.
Configuração do filtro
Para que a função de balanceamento de carga trabalhe corretamente, você precisa de adicionar uma regra nova em seus filtros atuais para o VCA.
Nota: O filtro privado tem à revelia uma “licença toda a” regra. Consequentemente, a adição das regras VCA-específicas a este filtro não pôde
ser necessária).
A fim adicionar isto, o configuração > gerenciamento de política > gerenciamento de tráfego seleto > atribui regras para filtrar.
Então, adicionar o VCA dentro e o VCA para fora em seu filtro.
Configuração de cluster
A fim configurar a função de balanceamento de carga, selecione o Configuration > System > o Balanceamento de carga, e configurar estes
parâmetros:
Endereço IP do cluster virtual VPN
Porta UDP do cluster virtual VPN
Criptografia
Segredo do segredo compartilhado de IPsec
Verificar segredo compartilhado
Ativação de balanceamento de carga
Prioridade
Endereço IP atribuído por NAT
Endereço IP do cluster virtual VPN
Incorpore o único endereço IP de Um ou Mais Servidores Cisco ICM NT que representa o cluster virtual inteiro. Escolha um endereço IP de Um
ou Mais Servidores Cisco ICM NT que esteja dentro da escala pública do endereço de sub-rede compartilhada por todos os VPN 3000
concentratores no cluster virtual. Neste exemplo, 172.18.124.254 é usado como o endereço virtual. Certifique-se de que você usa o mesmo
endereço virtual em todos os VPN 3000 concentratores.
Porta UDP do cluster virtual VPN
A porta do cluster virtual UDP VPN é o número de porta UDP que o VCA usa para sua comunicação entre VPN 3000 concentratores. Se um
outro aplicativo usa esta porta, entre no número de porta que do destino de UDP você quer se usar para a função de balanceamento de carga. A
porta padrão é 9023. Certifique-se de que você usa a mesma porta UDP em todos os VPN 3000 concentratores.
Criptografia
Você pode cifrar uma comunicação de VCA no ambiente da função de balanceamento de carga. Os VPN 3000 concentratores no cluster virtual
podem comunicar-se através dos túneis de LAN para LAN com o uso do IPsec. A fim assegurar-se de que toda a informação de equilíbrio de
carga comunicada entre os VPN 3000 concentratores esteja cifrada, verifique a criptografia. Note que este parâmetro é opcional. Contudo, se
permitido, melhora a função de balanceamento de carga nos VPN 3000 concentratores. Se você usa esta opção, assegure-se de que todos os VPN
3000 concentratores usem a criptografia em seu ambiente.
Segredo do segredo compartilhado de IPsec
A opção de segredo compartilhado de IPsec está disponível somente se você verifica a opção de criptografia. Incorpore o segredo do segredo
compartilhado de IPsec para o cluster virtual. O segredo compartilhado é uma senha comum que autentica os membros do cluster virtual. O IPsec
usa o segredo compartilhado enquanto uma chave pré-compartilhada a fim estabelecer túneis seguros entre o cluster virtual espreita. No exemplo
neste documento, "cisco123" é usado como a chave pré-compartilhada. Certifique-se de que você incorpora a mesma chave em todos os VPN
3000 concentratores.
Verificar segredo compartilhado
Reenter o segredo do segredo compartilhado de IPsec.
Ativação de balanceamento de carga
Verifique a função de balanceamento de carga permitem a caixa de incluir o VPN 3000 concentrator no cluster virtual. Se você desabilita este
parâmetro, a seguir a função de balanceamento de carga está desabilitada neste VPN 3000 concentrator particular.
Prioridade
Incorpore uma prioridade para o VPN 3000 concentrator dentro do cluster virtual. A prioridade é um número de 1 ao 10 que indica a
probabilidade deste dispositivo que assenta bem no virtual cluster master ou na partida ou se um mestre existente falha. Quando mais alto você
definir a prioridade (10), maior será a probabilidade desse dispositivo se tornar o mestre virtual cluster. Se seu cluster virtual inclui modelos
diferentes dos VPN 3000 concentratores, recomenda-se que você escolhe o dispositivo com a grande potencialidade de carga ser o virtual cluster
master. Por este motivo, os padrões da prioridade são dependente de hardware (veja esta tabela).
Modelo do VPN Concentrator
Prioridade
3005
1
3015
3
3030
5
3060
7
3080
9
Se os seus clusters virtuais são compostos de dispositivos idênticos (por exemplo, se todos os dispositivos no cluster virtual forem Concentrador
de VPN 3060s), configure para 10 a prioridade de cada dispositivo. Quando todos os dispositivos idênticos são ajustados à prioridade mais alta,
encurta o intervalo de tempo que você precisa a fim selecionar o virtual cluster master.
Se os dispositivos no cluster virtual são postos acima em horas diferentes, o primeiro dispositivo a ser posto acima de supõe o papel do virtual
cluster master. Porque cada cluster virtual exige um mestre, cada dispositivo no cluster virtual verifica na ligação inicial a fim assegurar-se de que
o conjunto tenha um mestre virtual. Se nenhum existe, tomadas desse dispositivo no papel. Os dispositivos puseram acima e adicionaram ao
conjunto transformam-se mais tarde dispositivos secundários.
Se todos os dispositivos do agrupamento virtual forem ativados simultaneamente, o dispositivo com a configuração de prioridade mais alta se
tornará o mestre do agrupamento virtual. Se dois ou mais dispositivos no cluster virtual forem ligados simultaneamente e ambos tiverem a
configuração de prioridade máxima, aquele com endereço IP mais baixo passará a ser o mestre de cluster virtual.
Uma vez que o cluster virtual está estabelecido e se opera, se o VPN 3000 concentrator que guarda o papel do virtual cluster master falha, o
dispositivo secundário com o ajuste o mais prioritário toma sobre. Se dois ou mais dispositivos do cluster virtual tiverem a configuração de
prioridade mais alta, o que tiver o endereço IP menor se torna o cluster virtual principal.
Endereço IP atribuído por NAT
Se os VPN 3000 concentratores são atrás de um Firewall que use o Network Address Translation (NAT), a seguir especifique o endereço IP de
Um ou Mais Servidores Cisco ICM NT NAT aqui. Neste exemplo, os VPN 3000 concentratores não são atrás de nenhum dispositivo NAT. Se
este é o caso, a seguir entre em 0.0.0.0. (configuração padrão).
Este screen shot é tomado do concentrador VPN de 172.18.124.130.
Este screen shot é tomado do concentrador VPN de 172.18.124.131.
Monitoramento
A fim monitorar a característica da função de balanceamento de carga no lado do VPN 3000 concentrator, selecione a monitoração > as
estatísticas > o Balanceamento de carga, e certifique-se de que todos os VPN 3000 concentratores de participação estão alistados como pares.
No concentrador VPN de 172.18.124.129, você vê 172.18.124.130 e 172.18.124.131 como os pares. Note que 172.18.124.131 é o concentrador
VPN mestre.
No concentrador VPN de 172.18.124.130, você vê 172.18.124.129 e 172.18.124.131 como os pares.
No concentrador VPN de 172.18.124.131, você vê 172.18.124.129 e 172.18.124.130 como os pares. O papel é alistado como o mestre para o
concentrador VPN de 172.18.124.131.
Se você Enable Encryption sob a janela de configuração do Balanceamento de carga, você vê os túneis VCA/IPsec com seu par quando você
selecionar o monitoramento > sessões.
Este screen shot é tomado do concentrador VPN de 172.18.124.129.
Teste a característica da função de balanceamento de carga
Nota: Endereços virtuais não podem ser colocados em ping.
O mestre tenta sempre ter menos carga enquanto é carregado com uma carga adicional, inerente. O mestre mantém todas as sessões de LAN a
LAN administrativas, calcula toda carga restante do membro de grânulos, e trata todo o cliente VPN reorienta.
Em um conjunto recentemente configurado, de funcionamento, o mestre tem aproximadamente uma carga de 1 por cento antes que todas as
conexões estejam estabelecidas. Consequentemente, o mestre reorienta VPN 3000 concentratores alternativos das conexões até que seu
porcentagem de carga esteja mais alto do que o porcentagem de carga no mestre. Por exemplo, se você tem dois 3030 dispositivos em um estado
“inativo”, o mestre tem uma carga de 1 por cento, e o secundário é dado 30 conexões (carga de 2 por cento dos por cento) antes que o mestre
aceite conexões.
A fim verificar que o mestre aceita conexões, você pode abaixar o número máximo de conexão (configuração > sistema > geral > sessões)
artificialmente a um número baixo a fim aumentar rapidamente a carga colocada no VPN 3000 concentrator alternativo.
A fim testar a característica da função de balanceamento de carga, configurar o cliente VPN para conectar ao endereço IP de Um ou Mais
Servidores Cisco ICM NT virtual (172.18.124.254 neste caso). O mestre desvia o túnel de IPsec a um dos VPN 3000 concentratores secundários
que conhece aproximadamente. Se você monitora a sessão no concentrador VPN de 172.18.124.129, aceitou o túnel do cliente VPN.
Este screen shot é tomado do concentrador VPN de 172.18.124.129. A carga neste VPN 3000 concentrator é 1 por cento (conexões atual/conexão
máxima = 1/100 = 1%).
Neste screen shot, a carga no concentrador VPN mestre (172.18.124.131) é 0 por cento, a carga em 172.18.124.129 é 1 por cento, e a carga para
172.18.124.130 é 0 por cento.
Troubleshooting
Problema
Solução
A criptografia é
permitida, mas
você não vê
qualquer coisa
sob o
monitoramento
> sessões para
túneis
IPsec/VCA.
Certifique-se de que a criptografia está permitida em todos os
VPN 3000 concentratores que participam na função de
balanceamento de carga. Igualmente certifique-se de que o segredo
do segredo compartilhado de IPsec está correto em todos os VPN
3000 concentratores.
Assegure-se de que você possa sibilar os outros VPN 3000
concentratores (interfaces públicas e privadas). Se você estiver
pronto para efetuar ping, verifique os filtros e se as regras VCA in
e VCA out estão habilitadas neles. A fim verificar que, se você
permite a classe LBSSF no VPN 3000 concentrator com
O
balanceamento
de carga está
habilitado, mas
você não vê
nenhum peer em
Monitoring >
Statistics >
Load-Balancing.
severidade de registrar o grupo a 1-8, você deve ver estas
mensagens em seus logs:
32198 10/19/2001 10:08:05.260 SEV=8 LBSSF/25 RPT=42577
LBSSF received KEEPALIVE request from [10.32.1.130]
32199 10/19/2001 10:08:05.260 SEV=8 LBSSF/24 RPT=42573
LBSSF sent KEEPALIVE response to [10.32.1.130]
32200 10/19/2001 10:08:05.890 SEV=8 LBSSF/25 RPT=42578
LBSSF received KEEPALIVE request from [10.32.1.129]
32201 10/19/2001 10:08:05.890 SEV=8 LBSSF/24 RPT=42574
LBSSF sent KEEPALIVE response to [10.32.1.129]
32202 10/19/2001 10:08:06.260 SEV=8 LBSSF/25 RPT=42579
LBSSF received KEEPALIVE request from [10.32.1.130]
32203 10/19/2001 10:08:06.260 SEV=8 LBSSF/24 RPT=42575
LBSSF sent KEEPALIVE response to [10.32.1.130]
Informações Relacionadas
Notas Técnicas de Troubleshooting
© 1992-2015 Cisco Systems Inc. Todos os direitos reservados.
Data da Geração do PDF: 12 Agosto 2015
http://www.cisco.com/cisco/web/support/BR/104/1042/1042422_ld_bl_vpn3000_7602.html
Download