探索思科ACE的配置指南

友情提示：本文共有 4047 个字，阅读大概需要 9 分钟。

思科ACE是应用控制引擎（Application Control Engine）的简称，是思科公司推出的一款用于应用交付的产品。它能够提供高性能、可靠的应用交付和负载均衡服务，同时支持灵活的配置和管理。配置ACE需要遵循一定的步骤和最佳实践，包括网络配置、负载均衡策略、安全策略等方面的设置。在配置ACE时，需要考虑网络拓扑、应用架构、性能需求等因素，以确保其能够最大化地提升应用性能和可用性。因此，深入了解ACE的功能和特性，并根据实际需求进行合理的配置和优化，对于提升应用交付效果至关重要。

思科依靠自身的技术和对网络经济模式的深刻理解，成为了网络应用的成功实践者之一，那么你知道思科如何配置ACE吗?下面是小编整理的一些关于思科如何配置ACE的相关资料，供你参考。

思科配置ACE的方法：

1、 建立VLAN 而不开启三层SVI接口(此处略)

2、 配置VLAN Group组

svclc vlan-group 50 40, 41,60,100,400,500,1000 Vlan-Group组号 50 对应的VLAN40, 41,60,100,400,500,1000

3、配置VLAN Group映射到ACE模块上

svclc module 5 vlan-group 50

3、 配置MSFC支持多个SVI接口并分配到ACE上。(可选命令)

svclc multiple-vlan-interfaces

登陆ACE模块

Router# session slot 5 processor 0 通过此命令来登陆到65或76系列设备上的ACE模块

switch login:

Password:

配置一个管理VLAN在ACE模块上

interface vlan 1000

descripttion Management connectivity on VLAN 1000

ip address 172.25.91.110 255.255.255.0 与65、76上MSFC上的SVI接口同一网段提供ACE与MSFC通信

service-policy input REMOTE_MGMT_ALLOW_POLICY 远程登陆访问策略(入向 input)

配置一条缺省路由在ACE模块上

ip route 0.0.0.0 0.0.0.0 172.25.91.1 缺省路由指向MSFC

配置一个管理登陆访问策略

1、ACE上配置远程管理流量，默认是完全禁止的。

先建立class-map来定义远程管理的流量类型：

class-map type management match-any REMOTE_ACCESS 名字：REMOTE_ACCESS

descripttion Remote access traffic match 增加描述

10 match protocol telnet any 放开telnet,源地址是any

20 match protocol ssh any 放开 ssh 源地址是any

30 match protocol icmp any 放开icmp 源地址是any

2、定义一个policy-map,来调用刚才定义的class-map.

policy-map type management first-match REMOTE_MGMT_ALLOW_POLICY 名字：REMOTE_MGMT_ALLOW_POLICY

class REMOTE_ACCESS 调用class-map 名字：REMOTE_ACCESS

permit 动作为允许

注：也可以按照思科文档上的实例去deny掉一个协议。

The following example shows how to create a policy map that restricts an ICMP connection by the ACE:

host1/Admin(config)# policy-map type management first-action ICMP_RESTRICT_POLICY

host1/Admin(config-pmap-mgmt)# class ICMP-ALLOW_CLASS

host1/Admin(config-pmap-mgmt-c)# deny

3、在ACE上vlan interface的入方向(input方向)上调用这个policy-map

interface vlan 215

descripttion Server-Vlan-IOM 描述

ip address 132.80.241.130 255.255.255.224 VLAN 215的IP地址

alias 132.80.241.129 255.255.255.224 alias地址

peer ip address 132.80.241.131 255.255.255.224 另一个65上的另一块冗余的ACE

no normalization

no icmp-guard

service-policy input REMOTE_MGMT_ALLOW_POLICY 接口input入向调用policy-map

no shutdown

配置一个虚拟ACE关联

Admin/Context配置：

resource-class RC_WEB 资源分类，避免虚拟ACE占用管理ACE资源

limit-resource all minimum 10.00 maximum equal-to-min 限制使用全部资源的10%

创建一个虚拟关联，并指派VLAN 到虚拟关联中。

context VC_WEB

allocate-interface vlan 60

allocate-interface vlan 400

allocate-interface vlan 500

allocate-interface vlan 1000

member RC_WEB

VC_WEB/Context配置：

host1/Admin# changeto VC_WEB

VC_WEB/Admin# show running-config

Generating configuration…

class-map type management match-any REMOTE_ACCESS

descripttion Remote access traffic match

2 match protocol ssh any

3 match protocol telnet any

4 match protocol icmp any

policy-map type management first-match REMOTE_MGMT_ALLOW_POLICY

class REMOTE_ACCESS

permit

service-policy input REMOTE_MGMT_ALLOW_POLICY

interface vlan 400

descripttion Client connectivity on VLAN 400

ip address 10.10.40.1 255.255.255.0

no shutdown

interface vlan 500

descripttion Server connectivity on VLAN 500

ip address 10.10.50.1 255.255.255.0

no shutdown

ip route 0.0.0.0 0.0.0.0 172.25.91.1

配置一个访问控制列表

注：以下是思科文档上的说明

You must configure an ACL on each interface that you want to permit connections. Otherwise, the ACE will deny all traffic on the interface.

access-list INBOUND line 8 extended permit ip any any 创建ACL允许进入ACE的IP流量

interface vlan 400

descripttion Client connectivity on VLAN 400

ip address 10.10.40.1 255.255.255.0

access-group input INBOUND 应用到入向Client VLAN

配置四层交换负载均衡部分

创建一个RealServer

Configuring Real Servers

配置步骤：

创建一个realserver

rserver host RS_WEB1 RealServer 的名字 RS_WEB1

descripttion content server web-one 描述

ip address 10.10.50.10 realserver真实主机的IP地址

inservice 激活

可建立多台realserver,例如：RS_WEB2、RS_WEB3、RS_WEB4、RS_WEB5等等，并且分配给真是服务器IP地址后激活。

创建一个ServerFarm

Creates a real server named RS_WEB1 as type host (the default)。

配置步骤：

serverfarm host SF_WEB ServerFarm的名字 SF_WEB

rserver RS_WEB1 80 针对这个主机的协议，如果不跟 eq 则表示所有端口与协议。

inservice 激活

rserver RS_WEB2 80 第二台真实主机加入这个ServerFarm

inservice 救活

可在一个ServerFarm中增加多台RealServer真实主机，使得提供同一服务的主机隶属于这个Farm中，作为一个集群。

看过文章“思科如何配置ACE"

收集不易，本文《探索思科ACE的配置指南》知识如果对你有帮助，请点赞收藏并留下你的评论。