Cisco 4700 シリーズ Application Control Engine Appliance クイック スタート ガイド

Transcription

1 Cisco 4700 シリーズ Application Control Engine Appliance クイックスタートガイド Cisco 4700 Series Application Control Engine Appliance Quick Start Guide ソフトウェアバージョン A3(2.2) 2009 年 4 月 Text Part Number:

2 注意 シスコ製品をご使用になる前に 安全上の注意 ( をご確認ください 本書は 米国シスコシステムズ発行ドキュメントの参考和訳です 米国サイト掲載ドキュメントとの差異が生じる場合があるため 正式な内容については米国サイトのドキュメントを参照ください また 契約等の記述については 弊社販売パートナー または 弊社担当者にご確認ください このマニュアルに記載されている仕様および製品に関する情報は 予告なしに変更されることがあります このマニュアルに記載されている表現 情報 および推奨事項は すべて正確であると考えていますが 明示的であれ黙示的であれ 一切の保証の責任を負わないものとします このマニュアルに記載されている製品の使用は すべてユーザ側の責任になります 対象製品のソフトウェアライセンスおよび限定保証は 製品に添付された Information Packet に記載されています 添付されていない場合には 代理店にご連絡ください The Cisco implementation of TCP header compression is an adaptation of a program developed by the University of California, Berkeley (UCB) as part of UCB's public domain version of the UNIX operating system.all rights reserved.copyright 1981, Regents of the University of California. ここに記載されている他のいかなる保証にもよらず 各社のすべてのマニュアルおよびソフトウェアは 障害も含めて 現状のまま として提供されます シスコシステムズおよびこれら各社は 商品性の保証 特定目的への準拠の保証 および権利を侵害しないことに関する保証 あるいは取引過程 使用 取引慣行によって発生する保証をはじめとする 明示されたまたは黙示された一切の保証の責任を負わないものとします いかなる場合においても シスコシステムズおよびその供給者は このマニュアルの使用または使用できないことによって発生する利益の損失やデータの損傷をはじめとする 間接的 派生的 偶発的 あるいは特殊な損害について あらゆる可能性がシスコシステムズまたはその供給者に知らされていても それらに対する責任を一切負わないものとします CCDE, CCENT, Cisco Eos, Cisco HealthPresence, the Cisco logo, Cisco Lumin, Cisco Nexus, Cisco StadiumVision, Cisco TelePresence, Cisco WebEx, DCE, and Welcome to the Human Network are trademarks; Changing the Way We Work, Live, Play, and Learn and Cisco Store are service marks; and Access Registrar, Aironet, AsyncOS, Bringing the Meeting To You, Catalyst, CCDA, CCDP, CCIE, CCIP, CCNA, CCNP, CCSP, CCVP, Cisco, the Cisco Certified Internetwork Expert logo, Cisco IOS, Cisco Press, Cisco Systems, Cisco Systems Capital, the Cisco Systems logo, Cisco Unity, Collaboration Without Limitation, EtherFast, EtherSwitch, Event Center, Fast Step, Follow Me Browsing, FormShare, GigaDrive, HomeLink, Internet Quotient, IOS, iphone, iquick Study, IronPort, the IronPort logo, LightStream, Linksys, MediaTone, MeetingPlace, MeetingPlace Chime Sound, MGX, Networkers, Networking Academy, Network Registrar, PCNow, PIX, PowerPanels, ProConnect, ScriptShare, SenderBase, SMARTnet, Spectrum Expert, StackWise, The Fastest Way to Increase Your Internet Quotient, TransPath, WebEx, and the WebEx logo are registered trademarks of Cisco Systems, Inc. and/or its affiliates in the United States and certain other countries. All other trademarks mentioned in this document or website are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (0812R) Copyright 2009 Cisco Systems, Inc. All rights reserved. Copyright 2009, シスコシステムズ合同会社. All rights reserved.

3 CONTENTS はじめに vii 対象読者 viii このマニュアルの使い方 viii 関連資料 ix 記号と表記法 xiii マニュアルの入手方法およびテクニカルサポート xiv CHAPTER 1 概要 1-1 ACE テクノロジー 1-2 ACE アプライアンスの設定 1-3 仮想コンテキストの作成 1-3 アクセスコントロールリストの設定 1-4 ロールベースアクセスコントロールの設定 1-4 仮想サーバの設定 1-5 ロードバランシングプレディクタの設定 1-6 スティッキ性を使用したサーバ持続性の設定 1-7 SSL セキュリティの設定 1-8 ヘルスプローブを使用したヘルスモニタリングの設定 1-8 CHAPTER 2 ACE アプライアンスの設定 2-1 概要 2-1 ACE のコンソール接続の確立 2-4 iii

4 Contents セットアップスクリプトを使用して管理接続をイネーブルにするには 2-8 ACE へのホスト名の割り当て 2-12 Device Manager GUI を使用した ACE アプライアンスの設定 2-12 ACE へのログイン つ目のギガビットイーサネットインターフェイスポートの設定 つ目のギガビットイーサネットインターフェイスポートの設定 2-20 CLI を使用した ACE アプライアンスの設定 2-22 ACE へのログイン つ目のギガビットイーサネットポートの設定 つ目のギガビットイーサネットポートの VLAN への割り当て 2-24 ACE への管理 VLAN インターフェイスの設定 つ目のギガビットイーサネットインターフェイスポートの設定 つ目のギガビットイーサネットインターフェイスポートの設定 2-28 ACE へのリモート管理アクセスの設定 2-28 Telnet セッションによる ACE へのアクセス 2-31 CHAPTER 3 仮想コンテキストの作成 3-1 概要 3-1 Device Manager GUI を使用した仮想コンテキストの作成 3-3 リソースクラスの作成 3-4 仮想コンテキストの作成 3-7 クライアント側 VLAN インターフェイスの設定 3-11 サーバ側 VLAN インターフェイスの設定 3-14 CLI を使用した仮想コンテキストの作成 3-19 リソースクラスの設定 3-19 iv

5 Contents 仮想コンテキストの作成 3-20 ユーザコンテキストの管理 VLAN インターフェイスの設定 3-21 ユーザコンテキストへのリモート管理アクセスの設定 3-22 クライアント側 VLAN インターフェイスの設定 3-24 サーバ側 VLAN インターフェイスの設定 3-25 CHAPTER 4 アクセスコントロールリストの設定 4-1 概要 4-1 Device Manager GUI を使用した ACL の設定 4-3 CLI を使用した ACL の設定 4-8 CHAPTER 5 ロールベースアクセスコントロールの設定 5-1 概要 5-1 Device Manager GUI を使用した RBAC の設定 5-5 CLI を使用した RBAC の設定 5-9 CHAPTER 6 サーバロードバランシングの設定 6-1 概要 6-1 Device Manager GUI を使用したレイヤ 7 サーバロードバランシングの設定 6-3 CLI を使用したレイヤ 7 サーバロードバランシングの設定 6-9 実サーバの設定 6-9 サーバファームの作成 6-10 仮想サーバのトラフィックポリシーの作成 6-12 CHAPTER 7 ロードバランシングプレディクタの設定 7-1 概要 7-1 Device Manager GUI を使用したハッシュヘッダープレディクタの設定 7-3 v

6 Contents CLI を使用したハッシュヘッダープレディクタの設定 7-4 CHAPTER 8 スティッキ性を使用したサーバ持続性の設定 8-1 概要 8-1 Device Manager GUI を使用した HTTP cookie のスティッキ性の設定 8-5 CLI を使用した HTTP cookie のスティッキ性の設定 8-7 CHAPTER 9 SSL セキュリティの設定 9-1 概要 9-1 SSL 終了の設定 9-5 Device Manager GUI を使用した ACE への SSL 終了の設定 9-6 CLI を使用した ACE への SSL 終了の設定 9-14 CHAPTER 10 ヘルスプローブを使用したヘルスモニタリングの設定 10-1 概要 10-1 Device Manager GUI を使用した HTTP ヘルスプローブの設定 10-3 CLI を使用した HTTP ヘルスプローブの設定 10-7 I NDEX vi

7 はじめに このマニュアルの構成は 次のとおりです Cisco 4700 シリーズ Application Control Engine (ACE) アプライアンスの主な機能の概要 トラフィックおよび基本的なロードバランシングを可能にするための ACE の初期設定手順 さまざまなスケーラビリティおよびセキュリティ機能を提供するための ACE の設定手順 ドキュメンテーションセットから情報を検索するための参考資料 この はじめに の主な構成は次のとおりです 対象読者 このマニュアルの使い方 関連資料 記号と表記法 マニュアルの入手方法およびテクニカルサポート vii

8 はじめに 対象読者 このマニュアルは 次のような ACE を設定する責任を持つ 訓練を受けた認定サービス技術者を対象としています Web マスター システム管理者 システムオペレータ このマニュアルの使い方 このマニュアルは次のように構成されています 章 第 1 章 概要 第 2 章 ACE アプライアンスの設定 第 3 章 仮想コンテキストの作成 第 4 章 アクセスコントロールリストの設定 第 5 章 ロールベースアクセスコントロールの設定 第 6 章 サーバロードバランシングの設定 第 7 章 ロードバランシングプレディクタの設定 第 8 章 スティッキ性を使用したサーバ持続性の設定 説明 ACE の主な機能の概要を説明します トラフィックの通過やリモートアクセスを可能にするための ACE の初期設定手順について説明します より効率的な操作のために ACE を仮想コンテキストにパーティションする手順について説明します ネットワークの安全性を確保するために ACE にアクセスコントロールリストを設定する手順について説明します 限定された操作の実行およびネットワークのサブセットへのアクセス権限を持つユーザを設定する手順を説明します 基本的なサーバロードバランシングを可能にするための ACE の設定手順を説明します サーバのロードバランシングで使用される定義済みのプレディクタを選択する手順を説明します スティッキ性を使用して クライアントからの要求に対するサーバ持続性を設定する手順について説明します viii

9 はじめに 章第 9 章 SSL セキュリティの設定 第 10 章 ヘルスプローブを使用したヘルスモニタリングの設定 説明 ネットワークに対する SSL セキュリティを設定する手順を説明します ヘルスプローブを使用して サーバヘルスモニタリングを設定する手順を説明します すでに ACE アプライアンスを熟知している場合 基本的なサーバロードバランシングを実現するためにデバイスをすばやくセットアップするには 次の章で説明する設定手順を実行してください 第 2 章 ACE アプライアンスの設定 第 3 章 仮想コンテキストの作成 第 6 章 サーバロードバランシングの設定 残りの章では ACE のその他の機能について詳しく説明します 関連資料 ACE には このマニュアル以外に 次のマニュアルがあります マニュアルのタイトル Release Note for the Cisco 4700 Series Application Control Engine Appliance Cisco 4710 Application Control Engine Appliance Hardware Installation Guide 説明 ACE アプライアンスの操作上の考慮事項 警告 および Command-Line Interface(CLI; コマンドラインインターフェイス ) コマンドについて説明します ACE アプライアンスをインストールする方法について説明します ix

10 はじめに マニュアルのタイトル Cisco 4700 Series Application Control Engine Appliance Device Manager GUI Configuration Guide 説明 Device Manager GUI を使用して ACE を設定する方法と この GUI で使用されるアトリビュートに関する詳細について説明します Cisco 4700 Series Application Control Engine Appliance Command Reference Cisco 4700 Series Application Control Engine Appliance Administration Guide Cisco 4700 Series Application Control Engine Appliance Virtualization Configuration Guide 構文 オプション 関連コマンドなど CLI コマンドのアルファベット順のリストおよび説明をモード別に記載しています ACE で次の管理タスクを実行する方法について説明します ACE のセットアップ リモートアクセスの確立 ソフトウェアライセンスの管理 クラスマップおよびポリシーマップの設定 ACE ソフトウェアの管理 簡易ネットワーク管理プロトコル (SNMP) の設定 冗長性の設定 XML インターフェイスの設定 ACE ソフトウェアのアップグレード単一のコンテキストまたは複数のコンテキストで ACE を操作する方法 およびロールベースアクセスコントロールを設定する方法について説明します x

11 はじめに マニュアルのタイトル Cisco 4700 Series Application Control Engine Appliance Routing and Bridging Configuration Guide Cisco 4700 Series Application Control Engine Appliance Server Load-Balancing Configuration Guide Cisco 4700 Series Application Control Engine Appliance Security Configuration Guide 説明 ACE に次のルーティングおよびブリッジングタスクを設定する方法について説明します VLAN インターフェイス ルーティング ブリッジング Dynamic Host Configuration Protocol (DHCP) ACE に次のサーバロードバランシングタスクを設定する方法について説明します 実サーバおよびサーバファーム サーバファーム内の実サーバへのトラフィックをロードバランシングするためのクラスマップおよびポリシーマップ サーバヘルスモニタリング ( プローブ ) スティッキ性 ファイアウォール負荷分散 TCL スクリプト ACE の次のセキュリティ設定タスクを実行する方法について説明します Access Control List(ACL; アクセスコントロールリスト ) Terminal Access Controller Access Control System Plus(TACACS+) Remote Authentication Dial-In User Service (RADIUS) または Lightweight Directory Access Protocol(LDAP) サーバを使用したユーザ認証およびアカウンティング アプリケーションプロトコルおよび HTTP ディープパケットインスペクション TCP/IP の正規化および終了パラメータ Network Address Translation(NAT; ネットワークアドレス変換 ) xi

12 はじめに マニュアルのタイトル Cisco 4700 Series Application Control Engine Appliance SSL Configuration Guide Cisco 4700 Series Application Control Engine Appliance System Message Guide Cisco CSM-to-ACE Conversion Tool User Guide Cisco CSS-to-ACE Conversion Tool User Guide 説明 ACE で次の SSL タスクを設定する方法について説明します SSL 証明書および鍵 SSL 開始 SSL 終了 エンドツーエンド SSL ACE でシステムメッセージロギングを設定する方法について説明します このマニュアルでは ACE によって生成されるシステムログ (syslog) メッセージの一覧およびその内容についても説明します Cisco Content Switching Module(CSM; コンテントスイッチングモジュール ) の実行設定ファイルまたはスタートアップ設定ファイルを ACE に移行するための CSM-to-ACE 変換ツールの使用方法について説明します Cisco Content Services Switch(CSS) の実行設定ファイルまたはスタートアップ設定ファイルを ACE に移行するための CSS-to-ACE 変換ツールの使用方法について説明します xii

13 はじめに 記号と表記法 このマニュアルでは 次の表記法を使用しています 表記法 太字 イタリック体 説明 コマンド コマンドオプション およびキーワードは太字で示しています また 太字は段落内のコマンドも表しています ユーザが値を指定する引数は イタリック体で示しています [ ] 角カッコの中の要素は 省略可能です { x y z } 必ずどれか 1 つを選択しなければならない必須キーワードは 波カッコで囲み 縦棒で区切って示しています [ x y z ] どれか 1 つを選択できる省略可能なキーワードは 角カッコで囲み 縦棒で区切って示しています ストリング引用符を付けない一組の文字 ストリングの前後には引用符を使用しません 引用符を使用すると その引用符も含めてストリングとみなされます screen フォントシステムが表示する端末セッションおよび情報は screen フォントで示しています 太字の screen フォントイタリック体の screen フォント ^ コマンドラインにユーザが入力しなければならない情報は 太字の screen フォントで示しています ユーザが値を指定する引数は イタリック体の screen フォントで示しています ^ 記号は Ctrl キーを表します たとえば 画面に表示される ^D というキーの組み合わせは Ctrl キーを押しながら D キーを押すことを意味します < > パスワードのように出力されない文字は かぎカッコ (< >) で囲んで示しています xiii

14 はじめに 1. 番号付きリストは リストの項目の順番が重要であることを示しています a. アルファベット順リストは リストの 2 番目の項目の順番が重要であることを示しています 個条書きリストは リストにおけるトピックの順番は重要ではないことを示しています インデントされたリストは リストにおけるサブトピックの順番は重要ではないことを示しています ( 注 ) は 次のように表しています ( 注 ) 注釈 です 役立つ情報や このマニュアル以外の参照資料などを紹介しています 注意は 次のように表しています 注意 要注意 の意味です 機器の損傷またはデータ損失を予防するための注意事項が記述されています マニュアルの入手方法およびテクニカルサポート マニュアルの入手方法 テクニカルサポート その他の有用な情報について 次の URL で 毎月更新される What's New in Cisco Product Documentation を参照してください シスコの新規および改訂版の技術マニュアルの一覧が示されています xiv

15 CHAPTER1 概要 Cisco 4700 シリーズ Application Control Engine (ACE) アプライアンスは サーバロードバランシング ネットワークトラフィック制御 サービス冗長性 リソース管理 暗号化およびセキュリティ アプリケーションアクセラレーションおよび最適化のこれらすべてを単一のネットワークアプライアンスで実行します この章では 次に示すトピックの概要を示します ACE テクノロジー ACE アプライアンスの設定 仮想コンテキストの作成 アクセスコントロールリストの設定 ロールベースアクセスコントロールの設定 仮想サーバの設定 ロードバランシングプレディクタの設定 スティッキ性を使用したサーバ持続性の設定 SSL セキュリティの設定 ヘルスプローブを使用したヘルスモニタリングの設定 1-1

16 ACE テクノロジー 第 1 章 概要 ACE テクノロジー サーバロードバランシングは 1 台のサーバの作業を複数のサーバに分散することで アプリケーションおよびサービスのアベイラビリティ スケーラビリティ セキュリティをサポートします ACE アプライアンスにサーバロードバランシングを設定すると ACE は Web ページやファイルなどのクライアント要求を受け取るサーバを選択します ACE は 選択されたサーバまたはネットワーク全体に過負荷を与えずに クライアント要求に最も効果的に対応できるサーバを選択します 表 1-1 に デバイスおよびネットワークサービスの両方のレベルで アベイラビリティ スケーラビリティ セキュリティをネットワークに提供する ACE テクノロジーを示します 表 1-1 ACE テクノロジー レベル アベイラビリティ スケーラビリティ セキュリティ デバイス デバイス設定 仮想コンテキスト アクセスコントロール リスト ネットワークサービス 仮想サーバ ヘルスプローブ ロールベースアクセスコントロール SSL ロードバランシングプレディクタ スティッキ性を使用したサーバ持続性 アクセスコントロールリスト ロールベースアクセスコントロール デバイスレベルでは ACE は 次のことをサポートすることで 優れたネットワークアベイラビリティを提供します デバイスの冗長性 :ACE のハイアベイラビリティサポートにより ピア ACE デバイスを設定できるため 一方の ACE が動作不能になっても もう一方の ACE がすぐに処理を引き継ぐことができます スケーラビリティ :1 台の ACE デバイスを独立した仮想デバイスにパーティショニングして それぞれに独自のリソースを割り当てることで バーチャライゼーションをサポートします セキュリティ : 特定のクライアントからのアクセスまたは特定のネットワークリソースへのアクセスを制限する アクセスコントロールリストをサポートします 1-2

17 第 1 章 概要 ACE アプライアンスの設定 ネットワークサービスレベルでは ACE は 次の機能を提供します サービスのハイアベイラビリティ : 高性能サーバロードバランシングをサポートします これは 物理サーバおよびサーバファームでクライアント要求を分散して 暗黙的および明示的なヘルスプローブによりサーバおよびサーバファームレベルでのヘルスモニタリングを提供します スケーラビリティ : 高度なロードバランシングアルゴリズム ( プレディクタ ) を使用したバーチャライゼーションをサポートして ACE で設定された仮想デバイスにクライアント要求を分散します 各仮想デバイスは 複数の仮想サーバを含みます 各サーバは クライアント要求をいずれかのサーバファームに転送します 各サーバファームは 複数の物理サーバを含むことができます ACE は クライアント要求を数百または数千台の物理サーバに分散できますが サーバ持続性も保持できます 一部の e- コマースアプリケーションでは セッション内のすべてのクライアント要求は 同じ物理サーバに転送されるため 1 つのシッピングカートのすべてのアイテムは 1 台のサーバに含まれます サービスレベルセキュリティ :ACE とそのピアとの間で クライアントとサーバ間での安全なデータトランザクションを提供する Secure Sockets Layer(SSL) セッションを確立し保持します ACE アプライアンスの設定 ACE アプライアンスを設定するには 最初に ACE との接続を確立し 必要な初期デバイス設定を実行して アプリケーションネットワーキングサービスを提供できるように ACE を準備します 詳細については 第 2 章 ACE アプライアンスの設定 を参照してください 仮想コンテキストの作成 次に ACE デバイスを複数の仮想コンテキストにパーティショニングし それぞれに独自のリソースを割り当てます 詳細については 第 3 章 仮想コンテキストの作成 を参照してください 1-3

18 アクセスコントロールリストの設定 第 1 章 概要 アクセスコントロールリストの設定 ネットワークリソースへのアクセスを制御して 必要なトラフィックだけが通過し 適切なユーザだけが必要なネットワークリソースにアクセスできるようにします Access Control List(ACL; アクセスコントロールリスト ) を使用し 特定の IP アドレスまたはネットワーク全体との間でのトラフィックを許可または拒否することで ネットワークのセキュリティを確保します ACL は 接続を許可する各インターフェイスに対して設定する必要があります このようにしない場合 ACE は そのインターフェイスのすべてのトラフィックを拒否します ACL は 送信元 IP アドレス 宛先 IP アドレス プロトコル ポート またはプロトコル固有のパラメータの条件を指定した 一連の ACL 許可または拒否エントリで構成されます 各エントリは エントリ内に指定されたネットワークの一部に対して受信および送信ネットワークトラフィックを許可または拒否します このマニュアルでは デバイスレベルでの ACL の設定例を提供します ( 第 4 章 アクセスコントロールリストの設定 を参照してください ) ネットワークサービスレベルで ACL を設定する方法について またはより詳細なアクセスコントロールセキュリティの設定方法については Cisco 4700 Series Application Control Engine Appliance Security Configuration Guide を参照してください ロールベースアクセスコントロールの設定 Role-Based Access Control(RBAC; ロールベースアクセスコントロール ) を介して 各ユーザが使用できるコマンドおよびリソースを定義することで 大規模で複雑なネットワークのセキュリティを管理できます RBAC は ユーザがアクセスできるドメインでの物理または仮想リソースを定義することで デバイスおよびネットワークサービスの両方のレベルでのネットワークセキュリティをサポートします 詳細については 第 5 章 ロールベースアクセスコントロールの設定 を参照してください 1-4

19 第 1 章 概要 仮想サーバの設定 仮想サーバの設定 Web サイトへの Web トラフィックを代行受信し ロードバランシングのために 複数の実サーバ ( 物理サーバ ) が単一サーバとして扱われるように 仮想サーバを設定できます 表 1-2 に ACE が仮想コンテキスト 仮想サーバ サーバファームおよび実サーバでスケーラビリティをどのようにサポートしているかを示します 表 1-2 ACE スケーラビリティ 実サーバ A1 サーバファーム A 実サーバ A2... 仮想サーバ A 実サーバ An 実サーバ a1 仮想コンテキスト 1 バックアップサーバファーム a 実サーバ a2... 実サーバ an 実サーバ B1 ACE 仮想サーバ B サーバファーム B 実サーバ B2... 実サーバ Bn 実サーバ C1 仮想サーバ C サーバファーム C 実サーバ C2... 仮想コンテキスト 2 実サーバ Cn 実サーバ D1 仮想サーバ D サーバファーム D 実サーバ D2... 実サーバ Dn

20 ロードバランシングプレディクタの設定 第 1 章 概要 ACE を複数の仮想コンテキストにパーティショニングし それぞれにポリシー インターフェイスおよびリソースの独自のセットを持たせることができます 仮想サーバは サーバファーム内の実サーバ上で稼動する物理リソースに結合されます 実サーバは ネットワークにある実際の物理サーバに関連します 実サーバは クライアントサービスを提供するように設定するか バックアップサーバとして設定できます 関連する実サーバは サーバファームにまとめられます 多くの場合 サーバファーム内のサーバには同じコンテンツ ( ミラー化されたコンテンツと呼ばれる ) が格納されているため 1 つのサーバが動作しなくなると 別のサーバがただちちにその機能を引き継ぎます ミラー化されたコンテンツにより 要求が増加する期間に 複数のサーバで負荷を共有できます 詳細については 第 6 章 サーバロードバランシングの設定 を参照してください ロードバランシングプレディクタの設定 着信クライアント要求をサーバファーム内のサーバに分散するには IP アドレスおよびポート情報を使用して プレディクタと呼ばれるロードバランシング規則を定義します アプリケーションサービスを求めるクライアント要求がある場合 ACE は サーバやサーバファーム全体に過負荷を与えずに できるだけ短時間に クライアント要求に対応できるサーバを選択することで サーバロードバランシングを実行します 一部の洗練されたプレディクタでは サーバの負荷 応答時間 またはアベイラビリティなどの要因が考慮され 各アプリケーションの特徴に合わせてロードバランシングを調整できます 詳細については 第 7 章 ロードバランシングプレディクタの設定 を参照してください 1-6

21 第 1 章 概要 スティッキ性を使用したサーバ持続性の設定 スティッキ性を使用したサーバ持続性の設定 1 つのセッション中 同じクライアントが 複数の同時 TCP または IP 接続 あるいは後続の複数の TCP または IP 接続を同一サーバとの間で維持できるように ACE を設定できます セッションは クライアントとサーバの間での 一定期間 ( 数分から数時間まで ) における連続した対話として定義されます シスコでは このサーバ持続性機能をスティッキ性と呼んでいます 多くのネットワークアプリケーションでは お客様固有の情報を複数のサーバ要求間で持続して保存する必要があります この一般的な例として e- コマースサイトで使用されるショッピングカートがあります スティッキ性は サーバロードバランシングを使用している場合 バックエンドサーバで 以前の要求時に別のサーバで生成された情報が必要となったときに問題となることがあります 1-7

22 SSL セキュリティの設定 第 1 章 概要 そのため ACE は サーバロードバランシングをどのように設定したかに応じて 使用するロードバランシング方式を判断してから 適切なサーバにクライアントを固定します ACE は クライアントが特定のサーバにすでに固定されていると判断した場合 ロードバランシング基準に関係なく ACE は それ以降のクライアント要求をそのサーバに送信します クライアントが特定のサーバに固定されていないと判断した場合 ACE はその要求に通常のロードバランシング規則を適用します プレディクタとスティッキ性を組み合わせることで トランザクション処理の持続性とともに スケーラビリティ アベイラビリティおよびパフォーマンスをアプリケーションに提供します 詳細については 第 8 章 スティッキ性を使用したサーバ持続性の設定 を参照してください SSL セキュリティの設定 Public Key Infrastructure(PKI; 公開鍵インフラストラクチャ ) の認証 暗号化およびデータ整合性に SSL セキュリティプロトコルを使用します ACE での SSL 設定は ACE とそのピア間で SSL セッションを確立および保守して ACE が SSL トラフィックでそのロードバランシングタスクを実行できるようにします これらの SSL 機能には サーバ認証 秘密鍵および公開鍵生成 証明書管理 データパケット暗号化および復号化が含まれます 詳細については 第 9 章 SSL セキュリティの設定 を参照してください ヘルスプローブを使用したヘルスモニタリングの設定 アプリケーションサービスは アベイラビリティおよびパフォーマンスを確保するためにモニタリングを必要とします ヘルスプローブを作成することで サーバおよびサーバファームのヘルスおよびパフォーマンスを追跡するように ACE を設定できます 作成する各ヘルスプローブには 複数の実サーバまたはサーバファームを割り当てることができます ACE ヘルスモニタリングを有効にすると アプライアンスは メッセージを定期的にサーバに送信して サーバステータスを判別します ACE は サーバの応答を検証して クライアントがそのサーバにアクセスできることを確認しま 1-8

23 第 1 章 概要 ヘルスプローブを使用したヘルスモニタリングの設定 す ACE は サーバの応答を使用して サーバを稼動または非稼動にできます また ACE は サーバファームのサーバのヘルスを使用して 信頼できるロードバランシング決定を行うこともできます 詳細については 第 10 章 ヘルスプローブを使用したヘルスモニタリングの設定 を参照してください 1-9

24 ヘルスプローブを使用したヘルスモニタリングの設定 第 1 章 概要 1-10

25 CHAPTER2 ACE アプライアンスの設定 この章では Cisco 4700 シリーズ Application Control Engine (ACE) アプライアンスの設定について説明します この章の主な構成は次のとおりです 概要 ACE のコンソール接続の確立 セットアップスクリプトを使用して管理接続をイネーブルにするには ACE へのホスト名の割り当て Device Manager GUI を使用した ACE アプライアンスの設定 CLI を使用した ACE アプライアンスの設定 概要 この章を読むと サーバロードバランシングを設定するために 管理デバイスとの通信に必要なネットワークパラメータを使って ACE アプライアンスを設定する方法の基本を理解できます Command-Line Interface(CLI; コマンドラインインターフェイス ) を使用して初期設定を行った後で Device Manager GUI を使用して この章で説明する手順をすべて実行します このセクションで説明する手順を実行する前に Cisco 4710 Application Control Engine Appliance Hardware Installation Guide で説明されている ACE の設置に関する指示に必ず目を通してください 2-1

26 概要 第 2 章 ACE アプライアンスの設定 ACE の設定には 次の基本的な手順が関係しています ステップ 1 ステップ 2 ステップ 3 ステップ 4 ステップ 5 ACE のコンソール接続を確立します ギガビットイーサネットポートを通じた ACE への管理接続をイネーブルにします ACE にログインします クライアント側接続のために 2 つ目のギガビットイーサネットポートを設定します サーバ側接続のために 3 つ目のギガビットイーサネットポートを設定します この章では 図 2-1 にあるネットワーク設定の例を使用して ACE アプライアンスを設定する方法について説明します 図 2-1 ネットワーク設定の例 VLAN IP VLAN IP GigabitEthernet # 2 VLAN 400 GigabitEthernet # 1 VLAN 1000 GigabitEthernet # 3 VLAN 500 Web IP VC VC_web Web IP ACE host VLAN IP Web IP Web IP VLAN IP

27 第 2 章 ACE アプライアンスの設定 概要 この例では次のように設定されています VLAN 1000 は 1 つ目のギガビットイーサネットポートに割り当てられ 管理コンテキストとユーザコンテキストの両方で 管理トラフィックのために使用されます ( 注 ) バーチャル LAN(VLAN) は コンピュータネットワークの論理区域の 1 つで VLAN 内では すべてのデバイスが受信できるように情報を送信できます VLAN では 交換回線ネットワークをセグメント化し ある VLAN にあるデバイスが 別の VLAN にあるデバイスからの情報パケットを受信できないようにすることができます VLAN 400 は 2 つ目のギガビットイーサネットポートに割り当てられ クライアント側トラフィックのために使用されます VLAN 500 は 3 つ目のギガビットイーサネットポートに割り当てられ サーバ側トラフィックのために使用されます これら 3 つのギガビットイーサネットポートはいずれもトランクされません 管理コンテキストでは 管理 VLAN インターフェイスは VLAN 1000 と IP アドレス を使用して設定されます ユーザコンテキスト VC_web では 管理 VLAN インターフェイスは VLAN 1000 と IP アドレス を使用して設定されます ユーザコンテキスト VC_web では クライアント側 VLAN インターフェイスは VLAN 400 と IP アドレス を使用して設定されます ユーザコンテキスト VC_web では サーバ側 VLAN インターフェイスは VLAN 500 と IP アドレス を使用して設定されます クライアント要求のロードバランシングのために ACE は 4 つの Web サーバを使用できます 2-3

28 ACE のコンソール接続の確立 第 2 章 ACE アプライアンスの設定 ACE のコンソール接続の確立 ACE の背面パネルには コンソールポートとして動作する標準の RS-232 シリアルポートが 1 つあります ACE と端末 ( または 端末ソフトウェアを持つ PC) の間で直接 シリアル接続を確立するには このコンソールポートにシリアルケーブルを接続します 内蔵のシリアルポートには 9 ピンメス型 D シェルコネクタを使用できます ACE を端末または PC に接続するには ヌルモデムストレート型ケーブルを使用します ACE アプライアンスにコンソールケーブルを接続する手順については Cisco 4710 Application Control Engine Appliance Hardware Installation Guide を参照してください ACE アプライアンスには物理イーサネットインターフェイスポートが 4 つあります すべての VLAN はこれらのポートに割り当てられます 4 つのイーサネットポートは サーバ PC ルータ その他の装置を ACE に接続するための物理接続を提供します 4 つのイーサネットポートは 10 Mbps 100 Mbps または 1000 Mbps のネットワークに接続するためのインターフェイスを提供するように設定できます VLAN の割り当て後 ACE が異なる VLAN に対して異なるネットワーク機能を提供できるように 対応する VLAN インターフェイスを設定できます ( 注 ) コンソールポート経由では 管理コンテキストにだけ直接アクセスできます 他のコンテキストにアクセスするには イーサネットポート上の Telnet または SSH セッションを使用します コンソール接続を確立すると 任意の端末通信アプリケーションを使用して ACE の CLI にアクセスできるようになります ( 注 ) アプライアンスの電源が入っていない場合は ACE の前面にある電源ボタンを押して ブート処理を開始します 詳細については Cisco 4710 Application Control Engine Appliance Hardware Installation Guide を参照してください 2-4

29 第 2 章 ACE アプライアンスの設定 ACE のコンソール接続の確立 次のステップに従って HyperTerminal for Windows を使用して ACE CLI にアクセスします ステップ 1 ハイパーターミナルを起動します [Connection Description] ウィンドウが表示されます ( 図 2-2) 図 2-2 ハイパーターミナル :Connection Description ステップ 2 [Name] フィールドに 接続の名前を入力します ステップ 3 [OK] をクリックします [Connect To] ウィンドウが表示されます ( 図 2-3) 2-5

30 ACE のコンソール接続の確立 第 2 章 ACE アプライアンスの設定 図 2-3 ハイパーターミナル :Connect To ステップ 4 [Connect using] ドロップダウンリストで デバイスを接続する COM ポートを選択します ステップ 5 [OK] をクリックします [Port Properties] ウィンドウが表示されます ( 図 2-4) 2-6

31 第 2 章 ACE アプライアンスの設定 ACE のコンソール接続の確立 図 2-4 ハイパーターミナル :Port Properties ステップ 6 ステップ 7 次のように ポートのプロパティを設定します [Bits per second] = 9600 [Data bits] = 8 [Parity] = なし [Stop bits] = 1 [Flow control] = なし [OK] をクリックして接続します 2-7

32 セットアップスクリプトを使用して管理接続をイネーブルにするには 第 2 章 ACE アプライアンスの設定 セットアップスクリプトを使用して管理接続をイネーブルにするには 初めて ACE を起動したときに ACE がスタートアップ設定ファイルを検出できなかった場合 セットアップスクリプトに従って ギガビットイーサネットポートの 1 つを通じ ACE に管理 VLAN を設定し Device Manager GUI に接続することができます セットアップスクリプトを実行すると 図 2-5 にあるように 管理 VLAN が指定されたギガビットイーサネットポートに割り当てられ ACE に VLAN インターフェイスが設定されます 図 2-5 セットアップスクリプト実行後の設定 VLAN IP GigabitEthernet # 1 VLAN 1000 Web Web ACE host Web Web 次のステップに従って セットアップスクリプトを使用して ACE を設定します ステップ 1 ログインプロンプトでログイン名 admin とパスワードを入力して ACE にログインします デフォルトのユーザ名とパスワードは admin です 例を示します Starting sysmgr processes.. Please wait...done!!! switch login: admin Password: admin 2-8

33 第 2 章 ACE アプライアンスの設定 セットアップスクリプトを使用して管理接続をイネーブルにするには ステップ 2 [Enter the new password for "admin":] プロンプトで デフォルトの Admin パスワードを変更します デフォルトの Admin パスワードを変更しない場合 ACE ソフトウェアをアップグレードした後で ACE にログインするには コンソールポートを使用する以外の方法はありません Enter the new password for admin : xxxxx Confirm the new password for admin : xxxxx admin user password successfully changed. ステップ 3 [Enter the new password for "www":] プロンプトで デフォルトの www user パスワードを変更します デフォルトの www user パスワードを変更しない場合 www user はディセーブルになり デフォルトの www user パスワードを変更しない限り Extensible Markup Language(XML; 拡張マークアップ言語 ) を使用して ACE をリモート設定することはできなくなります Enter the new password for www : xxxxx Confirm the new password for www : xxxxx www user password successfully changed. This script will perform the configuration necessary for a user to manage the ACE Appliance using the ACE Device Manager. The management port is a designated Ethernet port which has access to the same network as your management tools including the ACE Device Manager. You will be prompted for the Port Number, IP Address, Netmask and Default Route (optional). Enter ctrl-c at any time to quit the script 注意 この時点で Device Manager GUI と CLI のどちらを使用して ACE を設定するかを検討する必要があります トランキングネットワークが設定されている場合 または VLAN 1000 を使用している場合 次のセットアップスクリプトはスキップして CLI を使用した ACE アプライアンスの設定 で CLI を使用してください ステップ 4 [Would you like to enter the basic configuration dialog?(yes/no)] プロンプトで Enter キーを押して セットアップを続行します セットアップをスキップして CLI に直接アクセスするには no と入力します Would you like to enter the basic configuration dialog? (yes/no) [y]: 2-9

34 セットアップスクリプトを使用して管理接続をイネーブルにするには 第 2 章 ACE アプライアンスの設定 ( 注 ) ACE では セットアップスクリプトでの各質問に対するデフォルトの応答は [ ] で囲まれています 設定プロンプトに対してデフォルトの応答をそのまま使用するには Enter キーを押します ステップ 5 ステップ 6 ステップ 7 管理 VLAN 通信を実行するために Enter キーを押してポート 1 を選択します Enter the Ethernet port number to be used as the management port (1-4):? [1]: 管理 VLAN インターフェイスに IP アドレスを割り当てるために と入力します Enter the management port IP Address (n.n.n.n): [ ]: 管理 VLAN インターフェイスについては Enter キーを押して デフォルトサブネットマスクをそのまま使用します Enter the management port Netmask(n.n.n.n): [ ]: ステップ 8 ゲートウェイルータの IP アドレス ( このルートにおける次のホップアドレス ) を割り当てるために と入力します Enter the default route next hop IP Address (n.n.n.n) or <enter> to skip this step: ステップ 9 入力した値を確認します Summary of entered values: Management Port: 1 Ip address Netmask: Default Route: ステップ 10 d と入力して 設定の詳細を見直します Submit the configuration including security settings to the ACE Appliance? (yes/no/details): [y]: d interface gigabitethernet 1/3 switchport access vlan 1000 no shut access-list ALL extended permit ip any any class-map type management match-any remote_access match protocol xml-https any 2-10

35 第 2 章 ACE アプライアンスの設定 セットアップスクリプトを使用して管理接続をイネーブルにするには match protocol dm-telnet any match protocol icmp any match protocol telnet any match protocol ssh any match protocol http any match protocol https any match protocol snmp any policy-map type management first-match remote_mgmt_allow_policy class remote_access permit interface vlan 1000 ip address access-group input ALL service-policy input remote_mgmt_allow_policy no shutdown ssh key rsa ip route ステップ 11 ステップ 12 この設定を確定するには Enter(Yes の意味 ) キーを押します それ以外の場合は n と入力します Submit the configuration including security settings to the ACE Appliance? (yes/no/details): [y]: Enter キーを押して 設定を確定すると 次のメッセージが表示されます Configuration successfully applied. You can now manage this ACE Appliance by entering the url ' into a web browser to access the Device Manager GUI. セットアップスクリプトが完成すると コマンドプロンプトが表示されます switch/admin# ギガビットイーサネットポート ポートモード および管理 VLAN の指定後 セットアップスクリプトにより 次のデフォルト設定が自動的に適用されます 指定されたイーサネットポートに管理 VLAN が割り当てられます その他のホストアドレスを起源とする IP トラフィックを可能にする拡張 IP アクセスリスト 管理プロトコル HTTP HTTPS ICMP SSH Telnet および XML-HTTPS のためにトラフィック分類が作成されます HTTPS は Device Manager GUI との接続専用です VLAN インターフェイスは ACE で設定されています 2-11

36 ACE へのホスト名の割り当て 第 2 章 ACE アプライアンスの設定 ACE へのホスト名の割り当て ホスト名は コマンドラインプロンプトおよびデフォルトの設定ファイル名の一部として使用されます 複数のデバイスに対するセッションを確立する場合 ホスト名により コマンドの入力先 ACE を追跡しやすくなります ACE のデフォルトのホスト名は switch です たとえば ACE のホスト名を switch から host1 に変更するには 次のように入力します switch/admin# Config switch/admin(config)# hostname host1 新しいホスト名を使ったプロンプトが表示されます host1/admin(config)# Device Manager GUI を使用した ACE アプライアンスの設定 ACE アプライアンスは Device Manager GUI または CLI を使用してセットアップできます この章では GUI を使用して ACE を設定する方法について 次のトピックに分けて説明します ACE へのログイン 2 つ目のギガビットイーサネットインターフェイスポートの設定 3 つ目のギガビットイーサネットインターフェイスポートの設定 2-12

37 第 2 章 ACE アプライアンスの設定 Device Manager GUI を使用した ACE アプライアンスの設定 ACE へのログイン ACE Device Manager GUI には Web ベースインターフェイスを通じてアクセスできます 次のステップに従って Device Manager にログインします ステップ 1 ステップ 2 Web ブラウザのアドレスフィールドに ACE のセキュア HTTPS アドレスまたはホスト名を入力して ACE Device Manager にナビゲートします 前述の図 2-1 の例では 次のように入力します シスコシステムズからの署名入り証明書を承認 ( 信頼 ) し インストールするには プロンプトに対して [Yes] をクリックします Device Manager にログインするたびに署名入り証明書の認証を行わなくても済むようにするには この証明書を承認します Device Manager GUI の [Login] ウィンドウが表示されます ( 図 2-6) ( 注 ) この製品は定期的に更新されるため このマニュアルに記載されている図と 実行しているソフトウェアバージョンで表示されるウィンドウには多少の差があります 2-13

38 Device Manager GUI を使用した ACE アプライアンスの設定 第 2 章 ACE アプライアンスの設定 図 2-6 Device Manager GUI の [Login] ウィンドウ ステップ 3 ステップ 4 ステップ 5 [User Name] フィールドに admin ユーザアカウントを表す admin を入力します [Password] フィールドに セットアップスクリプトを使用して管理接続をイネーブルにするには のステップ 2 で入力した新しいパスワードを入力します [Login] をクリックします 表示されるデフォルトウィンドウは 図 2-7 にあるとおり 管理コンテキストのリストが表示された [Virtual Contexts] ウィンドウです 2-14

39 第 2 章 ACE アプライアンスの設定 Device Manager GUI を使用した ACE アプライアンスの設定 図 2-7 [Virtual Contexts] ペイン ( 管理コンテキスト ) 2-15

40 Device Manager GUI を使用した ACE アプライアンスの設定 第 2 章 ACE アプライアンスの設定 2 つ目のギガビットイーサネットインターフェイスポートの設定 クライアントへの接続のために 2 つ目のギガビットイーサネットインターフェイスポートを設定できます 設定例では 図 2-8 にあるとおり ギガビットイーサネットインターフェイスポート 2 を設定します ( この図では以前行われた設定はグレー表示されています ) 図 2-8 クライアントへの接続のために 2 つ目のギガビットイーサネットインターフェイスポートを設定 VLAN IP GigabitEthernet # 1 VLAN 1000 Web Web ACE host Web GigabitEthernet # 2 VLAN 400 Web 次のステップに従って 2 つ目のギガビットイーサネットポートを設定します ステップ 1 [Config] > [Virtual Contexts] > [Network] > [GigabitEthernet] を選択します [GigabitEthernet Interfaces] ペインが表示されます ( 図 2-9) ( 注 ) 管理コンテキストで認証されているユーザだけがギガビットイーサネットインターフェイスポートを設定できます 2-16

41 第 2 章 ACE アプライアンスの設定 Device Manager GUI を使用した ACE アプライアンスの設定 図 2-9 [GigabitEthernet Interfaces] ペイン :gigabitethernet 1/2 [View/Edit] ステップ 2 [GigabitEthernet Interfaces] ペインで [gigabitethernet 1/2] を選択してから [Edit] をクリックして このポートに対するアトリビュートを定義します ( 図 2-9) [Physical Interfaces] ウィンドウが表示されます ( 図 2-10) 2-17

42 Device Manager GUI を使用した ACE アプライアンスの設定 第 2 章 ACE アプライアンスの設定 図 2-10 [Physical Interfaces] ウィンドウ :gigabitethernet 1/2 ステップ 3 ポート 2 について 次のアトリビュートを入力します 残りのアトリビュートは空白 またはデフォルト値のままにしておきます [Description]:Client-side [Admin Status]:Up [Speed]:Auto [Port Operation Mode]:Switch Port [Switch Port Type]:Access [Access VLAN]:

43 第 2 章 ACE アプライアンスの設定 Device Manager GUI を使用した ACE アプライアンスの設定 ステップ 4 [Deploy Now] をクリックして この設定を保存し [GigabitEthernet Interfaces] ペインに戻ります ( 図 2-11) 図 2-11 イーサネットポート 2 が設定されている [GigabitEthernet Interfaces] ペイン 2-19

44 Device Manager GUI を使用した ACE アプライアンスの設定 第 2 章 ACE アプライアンスの設定 3 つ目のギガビットイーサネットインターフェイスポートの設定 サーバへの接続のために 3 つ目のギガビットイーサネットインターフェイスポートを設定できます 設定例では 図 2-12 にあるとおり ギガビットイーサネットインターフェイスポート 3 を設定します ( この図では以前行われた設定はグレー表示されています ) 図 2-12 サーバへの接続のために 3 つ目のギガビットイーサネットインターフェイスポートを設定 VLAN IP GigabitEthernet # 2 VLAN 400 GigabitEthernet # 1 VLAN 1000 GigabitEthernet # 3 VLAN 500 Web Web ACE host Web Web 次のステップに従って 3 つ目のギガビットイーサネットポートを設定します ステップ 1 ステップ 2 [GigabitEthernet Interfaces] ペインで [gigabitethernet 1/3] を選択してから [Edit] をクリックして このポートに対するアトリビュートを定義します [GigabitEthernet Interfaces] ウィンドウが表示されます ( 図 2-10) ポート 3 について 次のアトリビュートを入力します 残りのアトリビュートは空白 またはデフォルト値のままにしておきます [Description]:Server-side [Admin Status]:Up [Speed]:Auto [Port Operation Mode]:Switch Port 2-20

45 第 2 章 ACE アプライアンスの設定 Device Manager GUI を使用した ACE アプライアンスの設定 ステップ 3 [Switch Port type]:access [Access VLAN]:500 [Deploy Now] をクリックして この設定を保存し [GigabitEthernet Interfaces] ペインに戻ります ( 図 2-13) 図 2-13 イーサネットポート 3 が設定されている [GigabitEthernet Interfaces] ペイン 2-21

46 CLI を使用した ACE アプライアンスの設定 第 2 章 ACE アプライアンスの設定 CLI を使用した ACE アプライアンスの設定 ACE アプライアンスは Device Manager GUI または CLI を使用してセットアップできます この章では CLI を使用して ACE を設定する方法について 次のトピックに分けて説明します ACE へのログイン 1 つ目のギガビットイーサネットポートの設定 1 つ目のギガビットイーサネットポートの VLAN への割り当て ACE への管理 VLAN インターフェイスの設定 2 つ目のギガビットイーサネットインターフェイスポートの設定 3 つ目のギガビットイーサネットインターフェイスポートの設定 ACE へのリモート管理アクセスの設定 Telnet セッションによる ACE へのアクセス ACE へのログイン ACE と端末または PC の間に直接シリアル接続を確立した後で ( セクション ACE のコンソール接続の確立 を参照 ) CLI を使用して ACE を設定できます セットアップスクリプトから [Would you like to enter the basic configuration dialog?(yes/no):] プロンプトが表示された場合は no と入力して CLI にアクセスします 次のステップに従って ACE にログインします ステップ 1 ログインプロンプトで admin と入力します [Password] には セットアップスクリプトを使用して管理接続をイネーブルにするには セクションのステップ 2 で入力した新しいパスワードを入力します host1 login: admin Password: xxxxx 次のプロンプトが表示されたら ACE の CLI を使用できます host1/admin# 2-22

47 第 2 章 ACE アプライアンスの設定 CLI を使用した ACE アプライアンスの設定 ステップ 2 現行のセッションのタイムアウトを防止するには [terminal session-timeout] を 0 に設定します デフォルトでは ACE のセッションは アクティビティの行われない状態が 5 分間続くと自動的にログアウトされます host1/admin# terminal session-timeout 0 host1/admin# 1 つ目のギガビットイーサネットポートの設定 ACE 管理トラフィックのために ギガビットイーサネットインターフェイスポートを設定できます 設定例では ギガビットイーサネットインターフェイスポート 1 を設定します 次のステップに従って 1 つ目のギガビットイーサネットポートを設定します ステップ 1 設定モードで interface gigabitethernet slot_number/port_number コマンドを使用して ACE 上でレイヤ 2 ギガビットイーサネットポートを構成します ( 注 ) slot_number には 当該イーサネットポートを搭載している ACE の物理スロットを指定します ACE アプライアンスの現行のリリースでは この選択肢は常に 1 です ギガビットイーサネットポート 1 を設定し インターフェイス設定モードに入るには 次のように入力します host1/admin# config host1/admin(config)# interface gigabitethernet 1/1 host1/admin(config-if)# ステップ 2 ステップ 3 インターフェイス設定モードで no shutdown コマンドを使用して ギガビットイーサネットポートを有効にします 稼動中のギガビットイーサネットポートをディセーブルにするには shutdown コマンドを使用します イネーブルにするには no shutdown コマンドを使用します host1/admin(config-if)# no shutdown do コマンドと show interface コマンドを組み合わせ インターフェイスの設定を表示します host1/admin(config-if)# do show interface vlan

48 CLI を使用した ACE アプライアンスの設定 第 2 章 ACE アプライアンスの設定 1 つ目のギガビットイーサネットポートの VLAN への割り当て ギガビットイーサネットポートを設定したら 次にこのポートを VLAN に割り当てます 設定例では 図 2-14 にあるとおり ギガビットイーサネットポートを VLAN 1000 に割り当てます ( この図では以前行われた設定はグレー表示されています ) 図 つ目のギガビットイーサネットポートの VLAN への割り当て GigabitEthernet # 1 VLAN 1000 Web Web ACE host1 Web Web 次のステップに従って このポートを VLAN に割り当てます ステップ 1 インターフェイス設定モードで switchport trunk allowed vlan vlan_list コマンドを使用して 1 つ以上の VLAN 番号をギガビットイーサネットポートに割り当てます vlan_list 引数には次のいずれかを指定します VLAN 番号 1 つ 先頭の VLAN 番号と末尾の VLAN 番号 ( 番号と番号の間はハイフンで区切ります ) カンマで区切られた個々の VLAN 番号 2-24

49 第 2 章 ACE アプライアンスの設定 CLI を使用した ACE アプライアンスの設定 有効な値は 1 ~ 4094 です vlan_list 引数に指定したハイフンで区切った範囲やカンマで区切られた番号のリストにはスペースは入力できません ( 注 ) 1 つの VLAN 番号に対して関連付けられるギガビットイーサネットポートは 1 つだけです イーサネットポート 1 に現在設定されている VLAN のリストに VLAN 1000 を追加するには 次のように入力します host1/admin(config)# interface gigabitethernet 1/1 host1/admin(config-if)# switchport access allowed vlan 1000 ステップ 2 インターフェイス設定モードで no shutdown コマンドを使用して 指定したレイヤ 2 ギガビットイーサネットポートに対する VLAN アクセスを有効にします host1/admin(config-if)# no shutdown host1/admin(config-if)# exit host1/admin(config)# ACE への管理 VLAN インターフェイスの設定 ACE に管理接続を提供するには ACE で VLAN インターフェイスに IP アドレスを提供します 設定例では 図 2-15 にあるとおり VLAN 1000 に IP アドレス およびサブネットマスク を割り当てます ( この図では以前行われた設定はグレー表示されています ) 2-25

50 CLI を使用した ACE アプライアンスの設定 第 2 章 ACE アプライアンスの設定 図 2-15 ACE への管理 VLAN インターフェイスの設定 VLAN IP GigabitEthernet # 1 VLAN 1000 Web Web ACE host1 Web Web 次のステップに従って ACE で VLAN インターフェイスを設定します ステップ 1 VLAN 1000 のインターフェイス設定モードに入ります host1/admin(config)# interface vlan 1000 host1/admin(config-if)# ステップ 2 管理接続のために VLAN インターフェイスに対して IP アドレス およびサブネットマスク を割り当てます host1/admin(config-if)# ip address ステップ 3 ステップ 4 ステップ 5 ( 任意 ) インターフェイスの説明を入力します host1/admin(config-if)# description Management connectivity on VLAN 1000 VLAN インターフェイスをイネーブルにします host1/admin(config-if)# no shutdown VLAN 1000 の設定を表示します host1/admin(config-if)# do show interface vlan

51 第 2 章 ACE アプライアンスの設定 CLI を使用した ACE アプライアンスの設定 ステップ 6 ステップ 7 ping コマンドを使用して ネットワーク接続を確認します このコマンドにより ACE から echo メッセージを送信することで リモートのホストやサーバとの接続を確認できます host1/admin(config-if)# do ping インターフェイス設定モードを終了します host1/admin(config-if)# exit host1/admin(config)# 2 つ目のギガビットイーサネットインターフェイスポートの設定 クライアントへの接続のために 2 つ目のギガビットイーサネットインターフェイスポートを設定できます 設定例では 図 2-8 にあるとおり ギガビットイーサネットインターフェイスポート 2 を設定します 次のステップに従って 2 つ目のギガビットイーサネットインターフェイスポートを設定します ステップ 1 ステップ 2 イーサネットポート 2 に現在設定されている VLAN のリストに VLAN 400 を追加します host1/admin(config)# interface gigabitethernet 1/2 host1/admin(config-if)# switchport access vlan 400 ギガビットイーサネットポートをイネーブルにします host1/admin(config-if)# no shutdown host1/admin(config-if)# exit host1/admin(config)# 2-27

52 CLI を使用した ACE アプライアンスの設定 第 2 章 ACE アプライアンスの設定 3 つ目のギガビットイーサネットインターフェイスポートの設定 サーバへの接続のために 3 つ目のギガビットイーサネットインターフェイスポートを設定できます 設定例では 図 2-12 にあるとおり ギガビットイーサネットインターフェイスポート 3 を設定します 次のステップに従って 3 つ目のギガビットイーサネットインターフェイスポートを設定します ステップ 1 ステップ 2 イーサネットポート 3 に現在設定されている VLAN のリストに VLAN 500 を追加します host1/admin(config)# interface gigabitethernet 1/3 host1/admin(config-if)# switchport access allowed vlan 500 イーサネットポートをイネーブルにします host1/admin(config-if)# no shutdown host1/admin(config-if)# exit host1/admin(config)# ACE へのリモート管理アクセスの設定 イーサネットポートを介して ACE へリモートアクセスするには ACE で受信可能なネットワーク管理トラフィックを特定するトラフィックポリシーを作成する必要があります 次のステップに従って ACE へのリモート管理アクセスを設定します ステップ 1 ステップ 2 すべてのトラフィックに一致する管理タイプクラスマップ REMOTE_ACCESS を作成します host1/admin(config)# class-map type management match-any REMOTE_ACCESS host1/admin(config-cmap-mgmt)# ( 任意 ) クラスマップの説明を入力します host1/admin(config-cmap-mgmt)# description Remote access traffic match 2-28

53 第 2 章 ACE アプライアンスの設定 CLI を使用した ACE アプライアンスの設定 ステップ 3 ステップ 4 ステップ 5 ステップ 6 ステップ 7 ステップ 8 ステップ 9 すべての送信元アドレスに対して SSH Telnet および ICMP の各プロトコルに基づくトラフィックを許可するために 照合プロトコルを設定します host1/admin(config-cmap-mgmt)# match protocol ssh any host1/admin(config-cmap-mgmt)# match protocol telnet any host1/admin(config-cmap-mgmt)# match protocol icmp any host1/admin(config-cmap-mgmt)# exit host1/admin(config)# ACE インターフェイス宛てのトラフィックに対して REMOTE_MGMT_ALLOW_POLICY ポリシーマップを作成します host1/admin(config)# policy-map type management first-match REMOTE_MGMT_ALLOW_POLICY host1/admin(config-pmap-mgmt)# 前の手順で作成した REMOTE_ACCESS クラスマップをこのポリシーに適用します host1/admin(config-pmap-mgmt)# class REMOTE_ACCESS host1/admin(config-pmap-mgmt-c)# ACE に対して 設定したクラスマップ管理プロトコルの受信を許可します host1/admin(config-pmap-mgmt-c)# permit host1/admin(config-pmap-mgmt-c)# exit host1/admin(config-pmap-mgmt)# exit host1/admin(config)# ポリシーマップを適用する VLAN のインターフェイス設定モードに入ります host1/admin(config)# interface vlan 1000 host1/admin(config-if)# REMOTE_MGMT_ALLOW_POLICY ポリシーマップをそのインターフェイスに適用します host1/admin(config-if)# service-policy input REMOTE_MGMT_ALLOW_POLICY そのインターフェイスに適用された REMOTE_MGMT_ALLOW_POLICY ポリシーを表示します host1/admin(config-if)# do show service-policy REMOTE_MGMT_ALLOW_POLICY Status : ACTIVE Interface: vlan 1000 service-policy: REMOTE_MGMT_ALLOW_POLICY 2-29

54 CLI を使用した ACE アプライアンスの設定 第 2 章 ACE アプライアンスの設定 ステップ 10 変更内容を 実行設定からスタートアップ設定にコピーして保存します host1/admin(config-if)# do copy running-config startup-config Generating configuration... running config of context VC_web saved host1/admin(config-if)# exit host1/admin(config)# exit ステップ 11 実行設定を表示します host1/admin(config)# do show running-config Generating configuration... class-map type management match-any REMOTE_ACCESS description Remote access traffic match 2 match protocol telnet any 3 match protocol ssh any 4 match protocol icmp any policy-map type management first-match REMOTE_MGMT_ALLOW_POLICY class REMOTE_ACCESS permit interface vlan 1000 description Management connectivity on VLAN 1000 ip address service-policy input REMOTE_MGMT_ALLOW_POLICY no shutdown interface vlan 400 description client connectivity on VLAN 400 ip address no shutdown 2-30

55 第 2 章 ACE アプライアンスの設定 CLI を使用した ACE アプライアンスの設定 Telnet セッションによる ACE へのアクセス 前項の設定を完了すると イーサネットポートを介して そのポートの IP アドレスを入力することにより Telnet で ACE にアクセスできるようになります 次のステップに従って Telnet を介して ACE にアクセスします ステップ 1 リモートホストから ACE に対して Telnet セッションを開始します たとえば VLAN の IP アドレス から ACE にアクセスするには 次のように入力します remote_host# telnet Trying Open ステップ 2 ステップ 3 プロンプトが表示されたら ACE にログインします ユーザ名として admin を入力します パスワードには セットアップスクリプトを使用して管理接続をイネーブルにするには セクションのステップ 2 で入力した新しいパスワードを入力します host1 login: admin Password: xxxxx Telnet セッションを表示します host1/admin# show telnet この章では ACE Device Manager または CLI を使用して リモート管理インターフェイスを介したサーバロードバランシング設定タスクを実行するために ACE アプライアンスを設定しました 次に サーバロードバランシングのためのユーザコンテキストを作成します 2-31

56 CLI を使用した ACE アプライアンスの設定 第 2 章 ACE アプライアンスの設定 2-32

57 仮想コンテキストの作成 CHAPTER3 この章では Cisco 4700 シリーズ Application Control Engine (ACE) アプライアンスの仮想コンテキストを作成する方法について説明します この章の構成は 次のとおりです 概要 Device Manager GUI を使用した仮想コンテキストの作成 CLI を使用した仮想コンテキストの作成 概要 この章を読むと ACE アプライアンスのバーチャライゼーションについての基礎を理解し 操作を効率化するために ACE を複数の仮想デバイスまたは Virtual Context(VC; 仮想コンテキスト ) にパーティショニングできるようになります バーチャライゼーションにより 単一の ACE が複数の仮想デバイスにパーティショニングされ それぞれが個別に設定および管理される独立した ACE アプライアンスとして機能する 仮想環境を作成できます バーチャライゼーションをセットアップするには 次の設定ステップを実行します 仮想コンテキストのリソース割り当てを設定する 仮想コンテキストを作成する 仮想コンテキストへのアクセスを設定する 3-1

58 概要 第 3 章 仮想コンテキストの作成 ネットワークを介した Web トラフィックのユーザコンテキスト VC_web による 仮想環境の例は このマニュアル全体で使用されます このユーザコンテキストは カスタムリソースクラス RS_web に関連付けられます この章では 仮想コンテキストを作成します これ以降の章では 仮想コンテキスト内で仮想サーバを作成します 仮想サーバは サーバファームおよび実サーバに関連付けられます このセットアップ例を表 3-1 に示します 表 3-1 仮想コンテキストの例 仮想コンテキスト 仮想サーバ サーバファーム 実サーバ VC_web VS_web SF_web RS_web1 RS_web2 RS_web3 RS_web4 ACE にバーチャライゼーションを設定する前に 仮想コンテキスト Admin およびユーザコンテキスト リソースクラスなどいくつかの概念について理解しておいてください ACE バーチャライゼーションでは 仮想コンテキストと呼ばれる 仮想環境を作成できます この環境では 単一の ACE が それぞれが個別に設定および管理される 複数の仮想デバイスとして機能しているように見えます 仮想コンテキストでは 緊密で効率的にシステムリソース ACE ユーザ およびお客様に提供するサービスを管理することができます デフォルトでは ACE は 最高で 5 つのユーザコンテキストを定義できる Admin コンテキストを最初に提供します ( 追加ライセンスにより 最高で 20 のコンテキストを定義できます ) システム管理者には Admin コンテキストおよびすべてのユーザコンテキストを設定および管理できる システム管理者としての完全なアクセス権が与えられます 各コンテキストには 特定のコンテキストだけのアクセスを提供する独自の管理者およびログインメカニズムを定義できます コンソールまたは Telnet を使用して ACE にログインすると Admin コンテキストで認証されます 3-2

59 第 3 章 仮想コンテキストの作成 Device Manager GUI を使用した仮想コンテキストの作成 バーチャライゼーションでは 複数のコンテキストを作成できますが 物理的には 並列接続数など リソースが限定された 単一の ACE を使用しています この制限に対処するには ACE は 各仮想コンテキストの物理的な ACE リソースへのアクセスを管理できるリソースクラスを提供します リソースクラスは 特定のコンテキストに対して ACE のリソース全体のどの部分が 最小または最大で割り当てられるかを定義します 1 つのリソースクラスには 1 つ以上のコンテキストを割り当てることができます ACE には Admin コンテキストのデフォルトのリソースクラスが事前に設定されています このデフォルトのリソースクラスは 作成するすべての仮想コンテキストに適用されます このデフォルトのリソースクラスでは すべての仮想コンテキストによる すべてのリソースへの最大 100% のアクセスが可能になります リソースが最大限使用されている場合 ACE は 他の仮想コンテキストからそのリソースに対する それ以降の要求を拒否します リソースのオーバースクライブを回避して リソースアベイラビリティを複数の仮想コンテキストで共有できるように保証するには カスタムリソースクラスを作成して 定義する仮想コンテキストにこれらを関連付けます Device Manager GUI を使用した仮想コンテキストの作成 この項では ACE Device Manager ユーザインターフェイスを使用してサーバロードバランシングの仮想コンテキストを作成および設定する方法について説明します また 次の内容についても説明します リソースクラスの作成 仮想コンテキストの作成 クライアント側 VLAN インターフェイスの設定 サーバ側 VLAN インターフェイスの設定 3-3

60 Device Manager GUI を使用した仮想コンテキストの作成 第 3 章 仮想コンテキストの作成 リソースクラスの作成 次のステップに従って リソースクラスを作成します ステップ 1 [Config] > [Virtual Contexts] > [System] > [Resource Classes] を選択します [Resource Classes] ペインが表示されます 図 3-1 [Resource Classes] ペイン [Add] ステップ 2 [Add] をクリックします [New Resource Class] ウィンドウが表示されます ( 図 3-2) 3-4

61 第 3 章 仮想コンテキストの作成 Device Manager GUI を使用した仮想コンテキストの作成 図 3-2 [New Resource Class] ウィンドウ ステップ 3 ステップ 4 次の Resource Class アトリビュートを入力します 残りのアトリビュートは空白 またはデフォルト値のままにしておきます [Name]:RC_web [Default] [Min]:10 [Default] [Max]:Unlimited [Deploy Now] をクリックします 新しく追加されたリソースクラスを含む [Resource Classes] ペインが表示されます ( 図 3-3) 3-5

62 Device Manager GUI を使用した仮想コンテキストの作成 第 3 章 仮想コンテキストの作成 図 3-3 新しいリソースクラスが追加された [Resource Classes] ペイン 3-6

63 第 3 章 仮想コンテキストの作成 Device Manager GUI を使用した仮想コンテキストの作成 仮想コンテキストの作成 サーバロードバランシングのためにユーザコンテキストを作成できます ここでは 設定例に対して 図 3-4( 以前の設定はグレーで表示されています ) に示すように ユーザコンテキスト VC_web を作成し VLAN 1000 への管理 VLAN インターフェイスを設定します 図 3-4 ユーザコンテキストの作成 VLAN IP VLAN IP GigabitEthernet # 2 VLAN 400 GigabitEthernet # 1 VLAN 1000 GigabitEthernet # 3 VLAN 500 Web VC VC_web Web ACE host Web Web

64 Device Manager GUI を使用した仮想コンテキストの作成 第 3 章 仮想コンテキストの作成 次のステップに従って 仮想コンテキストを作成します ステップ 1 [Config] > [Virtual Contexts] を選択します [All Virtual Contexts] ペインが表示されます ( 図 3-5) 図 3-5 [All Virtual Contexts] ペイン ステップ 2 [Add] をクリックします [New Virtual Context] ウィンドウが表示されます ( 図 3-6) 3-8

65 第 3 章 仮想コンテキストの作成 Device Manager GUI を使用した仮想コンテキストの作成 図 3-6 [New Virtual Context] ウィンドウ ステップ 3 次の仮想コンテキストアトリビュートを入力します 残りのアトリビュートは空白 またはデフォルト値のままにしておきます [Name]:VC_web [Resource Class]:RC_web [Allocate-Interface VLANs]: ( これらの VLAN により コンテキストは 関連付けられたトラフィックを受信できます ) [Description]: マーケティング Web サイトの仮想コンテキスト [Policy Name]:Management [Management VLAN]:1000( この VLAN は コンテキストのリモート管理を許可します ) [Management IP]: ( この IP アドレスは コンテキストのリモート管理を許可します ) [Management Netmask]:

66 Device Manager GUI を使用した仮想コンテキストの作成 第 3 章 仮想コンテキストの作成 ステップ 4 [Protocols to Allow]:SNMP( またはこの仮想コンテキストを許可する任意のプロトコル ) [Default Gateway IP]: [Deploy Now] をクリックして このコンテキストを適用します 次に [Virtual Contexts] を選択します ウィンドウが更新され [All Virtual Contexts] ペインに新しい仮想コンテキストがリストされます ( 図 3-7) 図 3-7 VC_web 追加後の [All Virtual Contexts] ペイン 3-10

67 第 3 章 仮想コンテキストの作成 Device Manager GUI を使用した仮想コンテキストの作成 クライアント側 VLAN インターフェイスの設定 この段階で クライアントトラフィックの送信先アドレスである クライアント側 VLAN インターフェイスを設定できます ここでは 設定例に対して VLAN 400 を設定します ( 図 3-8) 図 3-8 クライアント側 VLAN インターフェイスの設定 VLAN IP VLAN IP GigabitEthernet # 2 VLAN 400 GigabitEthernet # 1 VLAN 1000 GigabitEthernet # 3 VLAN 500 Web VC VC_web Web ACE host VLAN IP Web Web 次のステップに従って クライアント側 VLAN インターフェイスを設定します ステップ 1 ステップ 2 仮想コンテキストドロップダウンリストから [VC_web] を選択します [Config] > [Virtual Contexts] > [Network] > [VLAN Interfaces] を選択します [VLAN Interfaces] ペインが表示されます ( 図 3-9) 3-11

68 Device Manager GUI を使用した仮想コンテキストの作成 第 3 章 仮想コンテキストの作成 図 3-9 [VLAN Interfaces] ペイン ステップ 3 [Add] をクリックして 新しい VLAN インターフェイスを追加します [VLAN Interfaces] ウィンドウが表示されます ( 図 3-10) 3-12

69 第 3 章 仮想コンテキストの作成 Device Manager GUI を使用した仮想コンテキストの作成 図 3-10 [VLAN Interfaces] ウィンドウ :VLAN 400 ステップ 4 ステップ 5 次の VLAN アトリビュートを入力します 残りのアトリビュートは空白 またはデフォルト値のままにしておきます [VLAN]:400 [Description]:Client-side VLAN interface [IP Address]: [Netmask]: [Admin Status]:Up [Deploy Now] をクリックして このエントリを保存します [VLAN Interfaces] を選択して [VLAN Interfaces] ペインに戻ります ( 図 3-11) 3-13

70 Device Manager GUI を使用した仮想コンテキストの作成 第 3 章 仮想コンテキストの作成 図 つの VLAN が設定された [VLAN Interface] ペイン サーバ側 VLAN インターフェイスの設定 この時点で トラフィックの送信先アドレスである サーバ側 VLAN インターフェイスを設定できます ここでは 設定例に対して VLAN 500 および VALN の NAT プールを設定します ( 図 3-12) ( 注 ) NAT( ネットワークアドレス変換 ) の目的は IP アドレスの簡素化と節約です NAT によって 未登録 IP アドレスを使用するプライベート IP ネットワークをインターネットに接続できます ACE がネットワーク全体で 1 つのアドレスだけを外部に公開するように ACE の NAT プールを設定します このプールは そのアドレスの背後にある内部ネットワーク全体を隠蔽するため セキュリティとアドレス節約の両方が実現します 3-14

71 第 3 章 仮想コンテキストの作成 Device Manager GUI を使用した仮想コンテキストの作成 図 3-12 サーバ側 VLAN インターフェイスの設定 VLAN IP VLAN IP GigabitEthernet # 2 VLAN 400 GigabitEthernet # 1 VLAN 1000 GigabitEthernet # 3 VLAN 500 Web VC VC_web Web ACE Web host Web VLAN VLAN IP IP NAT 1 ( /104) 次のステップに従って VLAN インターフェイスを設定します ステップ 1 ステップ 2 ステップ 3 ステップ 4 ステップ 5 仮想コンテキストドロップダウンリストで [VC_web] が選択されていることを確認します [Config] > [Virtual Contexts] > [Network] > [VLAN Interfaces] を選択します [VLAN Interfaces] ペインが表示されます ( 図 3-11) [Add] をクリックして 新しい VLAN インターフェイスを追加します [VLAN Interfaces] ウィンドウが表示されます ( 図 3-10) 次の VLAN アトリビュートを入力します 残りのアトリビュートは空白 またはデフォルト値のままにしておきます [VLAN]:500 [Description]:Server-side VLAN interface [IP Address]: [Netmask]: [Admin Status]:Up [Deploy Now] をクリックして このエントリを保存します [VLAN Interfaces] を選択して [VLAN Interfaces] ペインに戻ります 3-15

72 Device Manager GUI を使用した仮想コンテキストの作成 第 3 章 仮想コンテキストの作成 ステップ 6 VLAN 500 の行を選択し [NAT Pool] タブを選択します [NAT Pool] ペインが表示されます ( 図 3-13) 図 3-13 [NAT Pool] ペイン 3-16

73 第 3 章 仮想コンテキストの作成 Device Manager GUI を使用した仮想コンテキストの作成 ステップ 7 [Add] をクリックして 新しい NAT プールを追加します [NAT Pool] ペインが表示されます ( 図 3-14) 図 3-14 NAT プールの設定 ステップ 8 次の NAT プールアトリビュートを入力します 残りのアトリビュートは空白 またはデフォルト値のままにしておきます [NAT Id]:1 [Start IP Address]: [End IP Address]: [Netmask]:

74 Device Manager GUI を使用した仮想コンテキストの作成 第 3 章 仮想コンテキストの作成 ステップ 9 ウィンドウ下部の [Deploy Now] をクリックし エントリを保存して [NAT Pool] ペインに戻ります ( 図 3-15) 図 3-15 NAT プールが設定された [NAT Pool] ペイン 3-18

75 第 3 章 仮想コンテキストの作成 CLI を使用した仮想コンテキストの作成 CLI を使用した仮想コンテキストの作成 コマンドラインインターフェイスを使用して 仮想コンテキストを作成できます ここでは 次の内容について説明します リソースクラスの設定 仮想コンテキストの作成 ユーザコンテキストの管理 VLAN インターフェイスの設定 ユーザコンテキストへのリモート管理アクセスの設定 クライアント側 VLAN インターフェイスの設定 サーバ側 VLAN インターフェイスの設定 リソースクラスの設定 次のステップに従って リソースクラスを設定します ステップ 1 コンソールを使用して システム管理者として ACE にログインします たとえば 次のコマンドをコマンドプロンプトで入力します Telnet プロンプトで admin と入力します 次に 第 2 章 セットアップスクリプトを使用して管理接続をイネーブルにするには のステップ 2 で入力した新しいパスワードを入力します host1 login: admin Password: xxxxx ステップ 2 ステップ 3 設定モードに入ります host1/admin# config host1/admin(config)# リソースクラスを設定して コンテキストのリソースを ACE で使用できる全体的なリソースの 10% に制限して 設定モードを終了します host1/admin(config)# resource-class RS_web host1/admin(config-resource)# limit-resource all minimum 10 maximum unlimited host1/admin(config-resource)# exit host1/admin(config)# 3-19

76 CLI を使用した仮想コンテキストの作成 第 3 章 仮想コンテキストの作成 仮想コンテキストの作成 次のステップに従って 仮想コンテキストを作成します ステップ 1 ステップ 2 ステップ 3 ステップ 4 ステップ 5 ステップ 6 新しいコンテキストを作成します host1/admin(config)# context VC_web host1/admin(config-context)# コンテキストが自身に分類されたトラフィックを受信できるように 既存の 3 つの VLAN にコンテキストを関連付けます host1/admin(config-context)# allocate-interface vlan 1000 host1/admin(config-context)# allocate-interface vlan 400 host1/admin(config-context)# allocate-interface vlan 500 前の項 リソースクラスの設定 で作成したリソースクラスをコンテキストに関連付けます host1/admin(config-context)# member RC_web ステップ 1 で作成した VC_web コンテキストに変更して 設定モードを終了します host1/admin(config-context)# do changeto VC_web host1/vc_web(config)# exit host1/vc_web# 仮想コンテキスト設定を表示します host1/vc_web# show running-config context リソースクラス設定を表示します host1/vc_web# show running-config resource-class 3-20

77 第 3 章 仮想コンテキストの作成 CLI を使用した仮想コンテキストの作成 ユーザコンテキストの管理 VLAN インターフェイスの設定 図 3-4 に示すように IP アドレスを VLAN インターフェイスに割り当て 管理接続をユーザコンテキストに提供できます 次のステップに従って 管理 VLAN インターフェイスを設定します ステップ 1 ステップ 2 ステップ 3 ステップ 4 ステップ 5 ステップ 6 VC_web の VLAN 1000 のインターフェイス設定モードに入ります host1/vc_web# config host1/vc_web(config)# interface vlan 1000 host1/vc_web(config -if)# IP アドレス およびサブネットマスク を 管理接続の VLAN インターフェイスに割り当てます host1/vc_web(config-if)# ip address VLAN インターフェイスをイネーブルにします host1/vc_web(config-if)# no shutdown VLAN 1000 がアクティブであることを示します host1/vc_web(config-if)# do show interface vlan 1000 ネットワーク接続を確認します host1/vc_web(config-if)# do ping ARP テーブルを表示します ( 注 ) Address Resolution Protocol(ARP; アドレス解決プロトコル ) では ACE は Media Access Control(MAC; メディアアクセス制御 ) 情報への IP マッピングを管理および学習し パケットを転送および送信できます host1/vc_web(config-if)# do show arp ステップ 7 設定モードを終了します host1/vc_web(config-if)# exit host1/vc_web(config)# exit host1/vc_web# 3-21

78 CLI を使用した仮想コンテキストの作成 第 3 章 仮想コンテキストの作成 ユーザコンテキストへのリモート管理アクセスの設定 イーサネットポートを介してユーザコンテキストへリモートアクセスするには ACE で受信可能なネットワーク管理トラフィックを特定するトラフィックポリシーを作成する必要があります 次のステップに従って リモート管理アクセスを設定します ステップ 1 ステップ 2 ステップ 3 ステップ 4 ステップ 5 すべてのトラフィックと一致する REMOTE_ACCESS という名前の管理タイプクラスマップを作成します host1/vc_web# config host1/vc_web(config)# class-map type management match-any REMOTE_ACCESS host1/vc_web(config-cmap-mgmt)# ( 任意 ) クラスマップの説明を入力します host1/vc_web(config-cmap-mgmt)# description Remote access traffic match すべての送信元アドレスに対して SSH Telnet および ICMP の各プロトコルに基づくトラフィックを許可するために 照合プロトコルを設定します host1/vc_web(config-cmap-mgmt)# match protocol ssh any host1/vc_web(config-cmap-mgmt)# match protocol telnet any host1/vc_web(config-cmap-mgmt)# match protocol icmp any host1/vc_web(config-cmap-mgmt)# exit host1/vc_web(config)# ACE インターフェイス宛てのトラフィックに対して REMOTE_MGMT_ALLOW_POLICY ポリシーマップを作成します host1/vc_web(config)# policy-map type management first-match REMOTE_MGMT_ALLOW_POLICY host1/vc_web(config-pmap-mgmt)# REMOTE_ACCESS クラスマップをこのポリシーに適用します host1/vc_web(config-pmap-mgmt)# class REMOTE_ACCESS host1/vc_web(config-pmap-mgmt-c)# 3-22

79 第 3 章 仮想コンテキストの作成 CLI を使用した仮想コンテキストの作成 ステップ 6 ステップ 7 ステップ 8 ステップ 9 ステップ 10 ACE に対して 設定したクラスマップ管理プロトコルの受信を許可します host1/vc_web(config-pmap-mgmt-c)# permit host1/vc_web(config-pmap-mgmt-c)# exit host1/vc_web(config-pmap-mgmt)# exit host1/vc_web(config)# ポリシーマップを適用する VLAN のインターフェイス設定モードに入ります host1/vc_web(config)# interface vlan 1000 host1/vc_web(config-if)# REMOTE_MGMT_ALLOW_POLICY ポリシーマップをそのインターフェイスに適用します host1/vc_web(config-if)# service-policy input REMOTE_MGMT_ALLOW_POLICY そのインターフェイスに適用された REMOTE_MGMT_ALLOW_POLICY ポリシーを表示します host1/vc_web(config-if)# do show service-policy REMOTE_MGMT_ALLOW_POLICY 変更内容を 実行設定からスタートアップ設定にコピーします host1/vc_web(config-if)# do copy running-config startup-config Generating configuration... running config of context VC_web saved host1/vc_web(config-if)# exit host1/vc_web(config)# exit ステップ 11 実行設定を表示します host1/vc_web(config)# do show running-config 3-23

80 CLI を使用した仮想コンテキストの作成 第 3 章 仮想コンテキストの作成 クライアント側 VLAN インターフェイスの設定 この時点で 図 3-8 に示すように クライアントトラフィックの送信先アドレスである クライアント側 VLAN インターフェイスを設定できます 次のステップに従って クライアント側 VLAN インターフェイスを設定します ステップ 1 ステップ 2 ステップ 3 ステップ 4 ステップ 5 ステップ 6 ステップ 7 VLAN 400 のインターフェイス設定モードに入ります host1/vc_web(config)# interface vlan 400 host1/vc_web(config -if)# IP アドレス およびサブネットマスク を クライアント接続の VLAN インターフェイスに割り当てます host1/vc_web(config-if)# ip address ( 任意 ) インターフェイスの説明を入力します host1/vc_web(config-if)# description Client connectivity on VLAN 400 VLAN インターフェイスをイネーブルにします host1/vc_web(config-if)# no shutdown VLAN 400 がアクティブであることを示します host1/vc_web(config-if)# do show interface vlan 400 ARP テーブルを表示します host1/vc_web(config-if)# do show arp 設定モードを終了します host1/vc_web(config-if)# exit host1/vc_web(config)# exit host1/vc_web# 3-24

81 第 3 章 仮想コンテキストの作成 CLI を使用した仮想コンテキストの作成 サーバ側 VLAN インターフェイスの設定 次に 図 3-12 に示すように サーバトラフィックの送信先アドレスである サーバ側 VLAN インターフェイスを設定できます 次のステップに従って サーバ側 VLAN インターフェイスを設定します ステップ 1 ステップ 2 ステップ 3 ステップ 4 ステップ 5 ステップ 6 ステップ 7 ステップ 8 VLAN 500 のインターフェイス設定モードに入ります host1/vc_web# config host1/vc_web(config)# interface vlan 500 host1/vc_web(config -if)# IP アドレス およびサブネットマスク を サーバ側接続の VLAN インターフェイスに割り当てます host1/vc_web(config-if)# ip address ( 任意 ) インターフェイスの説明を入力します host1/vc_web(config-if)# description Server connectivity on VLAN 500 VLAN インターフェイスをイネーブルにします host1/vc_web(config-if)# no shutdown NAT プールを設定します host1/vc_web(config-if)# nat-pool netmask VLAN 500 がアクティブであることを示します host1/vc_web(config-if)# do show interface vlan 500 ARP テーブルを表示します host1/vc_web(config-if)# do show arp 設定モードを終了します host1/vc_web(config-if)# exit host1/vc_web(config)# exit host1/vc_web# 3-25

82 CLI を使用した仮想コンテキストの作成 第 3 章 仮想コンテキストの作成 この章では ACE を Admin コンテキストおよびユーザコンテキスト VC_web にパーティショニングしました 現在 各仮想コンテキストは その目的に適したリソースクラスに関連付けられています また 管理 VLAN インターフェイス およびユーザコンテキストへのクライアント / サーバ VLAN インターフェイスも設定しました 次の章では アクセスコントロールリストを設定して ネットワークのセキュリティを確保します 3-26

83 CHAPTER4 アクセスコントロールリストの設定 この章では Cisco 4700 シリーズ Application Control Engine (ACE) アプライアンスの Access Control List(ACL; アクセスコントロールリスト ) の設定方法について説明します この章の構成は 次のとおりです 概要 Device Manager GUI を使用した ACL の設定 CLI を使用した ACL の設定 概要 この章を読むと ACE でアクセスコントロールリストを設定してネットワークのセキュリティを確立する方法についての基礎を理解できます ACL を ACE アプライアンスで使用して 特定の IP アドレスまたはネットワーク全体に対するトラフィックを許可または拒否できます たとえば 回線上のすべての電子メールトラフィックを許可するものの Telnet トラフィックをブロックするようなこともできます また ACL を使用して あるクライアントにネットワークの一部へのアクセスを許可して 他のクライアントが同じ領域にアクセスできないようにすることもできます ACL は 接続を許可する各インターフェイスに対して設定する必要があります このようにしない場合 ACE は そのインターフェイスのすべてのトラフィックを拒否します ACL は 送信元 IP アドレス 宛先 IP アドレス プロトコル ポート またはプロトコル固有のパラメータの条件を指定した許可または拒否エ 4-1

84 概要 第 4 章 アクセスコントロールリストの設定 ントリである 一連の ACL エントリで構成されます 各エントリは エントリ内に指定されたネットワークの一部に対して受信および送信ネットワークトラフィックを許可または拒否します ACL エントリの順序は 重要です ACE は 接続を受け入れるか 拒否するかを決定する場合 エントリがリストされている順序で 各 ACL エントリに対してパケットをテストし 一致を検出すると エントリのチェックを停止します たとえば 明示的にすべてのトラフィックを許可する ACL を先頭としてエントリを作成する場合 ACE は ACL の他のすべてのエントリをスキップします すべての ACL エントリの終わりには暗黙的な全拒否エントリが存在するため 接続を許可するすべてのインターフェイスにエントリを含める必要があります このようにしない場合 ACE アプライアンスは そのインターフェイスのすべてのトラフィックを拒否します アプリケーションによっては パケットが ACE を通過する際 そのデータに特別な処理をする必要があります ACE は プロトコル動作を検証し 通過しようとする不要なトラフィックや悪意のあるトラフィックを特定します トラフィックポリシーの仕様に基づいて ACE は アプリケーションプロトコル検査を実行して パケットを受信または拒否し アプリケーションやサービスを安全に使用できるよう保証します 特定のトラフィックまたはリソースを許可または拒否するように ACL を設定する方法の詳細については Cisco 4700 Application Control Engine Series Appliance Security Configuration Guide を参照してください ACL を設定する基本ステップは次のとおりです ACL を作成する 少なくとも 1 つの ACL エントリを ACL に追加する ACL をインターフェイスに割り当てる ACL を設定するには ACE Device Manager ユーザインターフェイス (GUI) または Command-Line Interface(CLI; コマンドラインインターフェイス ) のいずれかを使用できます 4-2

85 第 4 章 アクセスコントロールリストの設定 Device Manager GUI を使用した ACL の設定 Device Manager GUI を使用した ACL の設定 次のステップに従い ACEDevice Manager GUI を使用して ACL を設定します ステップ 1 ステップ 2 [VC_web] を選択します [Config] > [Virtual Contexts] > [Security] > [ACLs] を選択します ACL テーブルが表示され 既存の ACL がリストされます ( 図 4-1) 図 4-1 ACL テーブル ステップ 3 [Add] をクリックして ACL を作成します [New Access List] 設定画面が表示されます ( 図 4-2) 4-3

86 Device Manager GUI を使用した ACL の設定 第 4 章 アクセスコントロールリストの設定 図 4-2 [New Access List] 設定画面 ステップ 4 次の ACL プロパティを入力します 残りのプロパティは空白 またはデフォルト値のままにしておきます [Name]:ACL_permit_all [Type]:Extended [Extended]:IP トラフィックのネットワークアクセスを制御します [EtherType]: 非 IP トラフィックのネットワークアクセスを制御します 4-4

87 第 4 章 アクセスコントロールリストの設定 Device Manager GUI を使用した ACL の設定 ステップ 5 次のアトリビュートを持つ ACL エントリを作成します 残りのアトリビュートは空白 またはデフォルト値のままにしておきます [Line Number]:1 ( 注 ) 追加の ACL エントリを後で挿入しやすくするため など 連続しない回線番号を入力できます ステップ 6 ステップ 7 ステップ 8 ステップ 9 ステップ 10 [Action]:Permit [Protocol/Service Object Group]:Protocol IP (Any) [Source Network]:Any [Destination Network]:Any [Add To Table] をクリックして 1 つ以上の ACL エントリをテーブルに追加します [Deploy] をクリックして この ACL 設定を仮想コンテキストに適用します [Network] > [VLAN Interfaces] を選択します [VLAN Interfaces] ペインが表示されます [Access Group] タブを選択します [Access Group] ペインで [Add] をクリックします ( 図 4-3) [New Access Group] ペインが表示されます 4-5

88 Device Manager GUI を使用した ACL の設定 第 4 章 アクセスコントロールリストの設定 図 4-3 ACL のインターフェイスへの追加 ステップ 11 ACL エントリが [ACL Name] ドロップダウンリストで選択されていることを確認します 次に [Deploy Now] をクリックして デフォルトをそのまま使用し ACL をインターフェイスに追加します ACL が [Access Group] ペインに追加されます ( 図 4-4) 4-6

89 第 4 章 アクセスコントロールリストの設定 Device Manager GUI を使用した ACL の設定 図 4-4 ACL のインターフェイスへの追加 4-7

90 CLI を使用した ACL の設定 第 4 章 アクセスコントロールリストの設定 CLI を使用した ACL の設定 次のステップに従って Command-Line Interface(CLI) を使用して ACL を設定できます ステップ 1 ステップ 2 ステップ 3 ステップ 4 ステップ 5 CLI プロンプトをチェックし 目的のコンテキストで操作が行われていることを確認します 必要な場合 正しいコンテキストに変更します host1/admin# changeto VC_web host1/vc_web# 設定モードに入ります host1/vc_web# Config host1/vc_web(config)# ACL を作成します host1/vc_web(config)# access-list INBOUND extended permit ip any any ACL をインターフェイスに適用します host1/vc_web(config)# interface vlan 400 host1/vc_web(config-if)# access-group input INBOUND host1/vc_web(config-if)# exit ACL 設定情報を表示します host1/vc_web(config)# exit host1/vc_web# show running-config access-list この章では ネットワークへのすべてのトラフィックを許可する ACL エントリを作成しました 次の章では ネットワークリソースの位置で ACE 管理機能のサブセットを実行できるユーザを作成します 4-8

91 CHAPTER5 ロールベースアクセスコントロールの設定 この章では Cisco 4700 シリーズ Application Control Engine (ACE) アプライアンスにロールベースアクセスコントロール (RBAC) を設定する方法について説明します この章の構成は 次のとおりです 概要 Device Manager GUI を使用した RBAC の設定 CLI を使用した RBAC の設定 概要 この章を読むと ACE アプライアンスが RBAC を使用してどのようにセキュリティ管理を提供しているか およびネットワークのサブセットへのアクセス権限を持つサーバ保守ユーザを設定するにはどうすればいいかを基本的に理解できます 巨大なネットワークの管理における最大の難問の 1 つは セキュリティ管理の複雑さです ACE アプライアンスを使用することにより RBAC を通じて 各ユーザが使用できるコマンドおよびリソースを判断することができます RBAC では ユーザはドメインとロールに関連付けられています ドメインは実サーバや仮想サーバなどの物理ネットワークリソースと仮想ネットワークリソースの集まりです 5-1

92 概要 第 5 章 ロールベースアクセスコントロールの設定 ユーザが入力できるコマンドや 特定のコンテキストでユーザが実行できるアクションなど ユーザの権限はユーザロールによって決まります ACE には 事前定義された多数のロールが用意されています さらに 管理者はどのような場合でも 新規ロールを定義できます ACE には 次のロールが事前定義されています これらを削除したり 修正したりすることはできません Admin: 管理コンテキストで作成された場合 ユーザは ACE 全体のすべてのコンテキスト ドメイン ロール ユーザ リソース およびオブジェクトに完全にアクセスでき それらを制御できます ユーザコンテキストで作成された場合 ユーザは そのコンテキスト内のすべてのポリシー ロール ドメイン サーバファーム 実サーバなどのオブジェクトに完全にアクセスでき それらを制御できます Network Admin: 次の機能に対し 完全にアクセスでき それらを制御できます インターフェイス ルーティング 接続パラメータ ネットワークアドレス変換 (NAT) VIP コピー設定 changeto コマンド exec コマンド Network-Monitor:show コマンドすべて および changeto コマンド exec コマンドにアクセスできます これは username コマンドを使用してユーザに明示的にロールを割り当てなかった場合のデフォルトロールです Security-Admin: コンテキストで次のセキュリティ関連機能に対し 完全にアクセスでき それらを制御できます Access Control List(ACL; アクセスコントロールリスト ) アプリケーションインスペクション 接続パラメータ インターフェイス 認証およびアカウンティング (AAA) 5-2

93 第 5 章 ロールベースアクセスコントロールの設定 概要 NAT コピー設定 changeto コマンド exec コマンド Server-Appln-Maintenance: 次の機能に対し 完全にアクセスでき それらを制御できます 実サーバ サーバファーム ロードバランシング コピー設定 changeto コマンド exec コマンド Server-Maintenance: 次の機能に対し 実サーバメンテナンス モニタリング およびデバッグを実行できます 実サーバ : 修正権限 サーバファーム : デバッグ権限 VIP: デバッグ権限 プローブ : デバッグ権限 ロードバランシング : デバッグ権限 changeto コマンド : 作成権限 exec コマンド : 作成権限 SLB-Admin: コンテキストで次の ACE 機能に対し 完全にアクセスでき それらを制御できます 実サーバ サーバファーム VIP プローブ ロードバランシング ( レイヤ 3/4 およびレイヤ 7) NAT 5-3

94 概要 第 5 章 ロールベースアクセスコントロールの設定 インターフェイス コピー設定 changeto コマンド exec コマンド SSL-Admin:SSL 機能をすべて管理できます SSL: 作成権限 PKI: 作成権限 インターフェイス : 修正権限 コピー設定 : 作成権限 changeto コマンド : 作成権限 exec コマンド 次のようにして RBAC を通じて ユーザを作成し 権限を割り当てることができます ステップ 1 ステップ 2 ドメインを作成し このドメインのネットワークリソースを選択します ユーザを作成し このユーザに次の項目を関連付けます ロール ( 事前定義されたロール またはカスタムロール ) ドメイン この章では ドメインとユーザの作成方法 およびこのユーザに事前定義されたロールと新規ドメインを関連付ける方法について説明します 事前定義されたロール およびカスタムロールの定義方法の詳細については Cisco 4700 Series Application Control Engine Appliance Virtualization Configuration Guide を参照してください ドメインとユーザの作成には ACE Device Manager GUI または Command-Line Interface(CLI; コマンドラインインターフェイス ) を使用できます 5-4

95 第 5 章 ロールベースアクセスコントロールの設定 Device Manager GUI を使用した RBAC の設定 Device Manager GUI を使用した RBAC の設定 この手順では GUI を使用して 第 3 章 仮想コンテキストの作成 で作成したユーザコンテキストを含むドメインを作成してから これらのサーバを管理するためのサーバ保守ユーザ user1 を作成します 次のステップに従って GUI を使用し この RBAC セットアップを行います ステップ 1 ステップ 2 [VC_web] を選択します [Admin] > [Role-Based Access Control] > [Domains] を選択します [Domains] ペインが表示されます ( 図 5-1) 図 5-1 [Domains] ペイン 5-5

96 Device Manager GUI を使用した RBAC の設定 第 5 章 ロールベースアクセスコントロールの設定 ステップ 3 [Add] をクリックして新しいドメインを追加します 新しい [Domain] ウィンドウが表示されます ( 図 5-2) 図 5-2 [Domains] ウィンドウ ステップ 4 ステップ 5 ステップ 6 ステップ 7 [Name] に Domain1 と入力します [All Objects] チェックボックスをオンにします [Deploy Now] をクリックします コンテキスト VC_web にすべてのオブジェクトを含むドメインが作成されます ユーザを作成するために [Role-Based Access Control] > [Users] を選択します [Users] ペインが表示されます ( 図 5-3) 5-6

97 第 5 章 ロールベースアクセスコントロールの設定 Device Manager GUI を使用した RBAC の設定 図 5-3 [Users] ペイン ステップ 8 [Add] をクリックします [Users] ウィンドウが表示されます ( 図 5-4) 5-7

98 Device Manager GUI を使用した RBAC の設定 第 5 章 ロールベースアクセスコントロールの設定 図 5-4 [Users] ウィンドウ ステップ 9 ステップ 10 ステップ 11 ステップ 12 次のユーザアトリビュートを入力します 残りのアトリビュートは空白 またはデフォルト値のままにしておきます [Name]:user1 [Password]:MYPASSWORD [Confirm]:MYPASSWORD [Role]:Server-Maintenance [Domain1] を選択し 右矢印ボタンをクリックします Domain1 が [Available] リストから [Selected] リストに移動されます [default-domain] を選択し 左矢印ボタンをクリックします default-domain が [Selected] リストから削除されます [Deploy Now] をクリックして 新しいユーザ user1 にロール Server-Maintenance とドメイン Domain1 を関連付けます この新しいユーザが [Users] ペインに追加されます ( 図 5-5) 5-8

99 第 5 章 ロールベースアクセスコントロールの設定 CLI を使用した RBAC の設定 図 5-5 user1 が追加された [Users] ペイン CLI を使用した RBAC の設定 次のステップに従って CLI を使用し RBAC を設定します ステップ 1 ステップ 2 CLI プロンプトをチェックし 目的のコンテキストで操作が行われていることを確認します 必要に応じて 正しいコンテキストに変更します host1/admin# changeto VC_web host1/vc_web# 設定モードに入ります host1/vc_web# Config host1/vc_web(config)# 5-9

100 CLI を使用した RBAC の設定 第 5 章 ロールベースアクセスコントロールの設定 ステップ 3 ステップ 4 ステップ 5 このコンテキストに対応したドメインを作成します host1/vc_web(config)# domain Domain1 host1/vc_web(config-domain)# VC_web コンテキストのオブジェクトをすべて このドメインに割り当てます host1/vc_web(config-domain)# add-object all host1/vc_web(config-domain)# exit host1/vc_web(config)# 新しいユーザ user1 を設定し このユーザに 定義済みロール TECHNICIAN とドメイン Domain1 を割り当てます host1/vc_web(config)# username user1 password 5 MYPASSWORD role TECHNICIAN domain Domain1 ( 注 ) パスワードに対するパラメータ 5 は MD5 ハッシュ強化暗号化パスワードに対するパラメータです クリアテキストパスワードの場合は 0 を使用します host1/vc_web(config)# exit ステップ 6 ユーザおよびドメインの設定を表示します host1/vc_web# show running-config role host1/vc_web# show running-config domain この章では ネットワークのサブセットで限定された機能を実行するためのユーザを作成しました 次に サーバロードバランシングのための仮想サーバを作成します 5-10

101 CHAPTER6 サーバロードバランシングの設定 この章では Cisco 4700 シリーズ Application Control Engine (ACE) アプライアンスでサーバロードバランシングを設定する方法について説明します この章の構成は 次のとおりです 概要 Device Manager GUI を使用したレイヤ 7 サーバロードバランシングの設定 CLI を使用したレイヤ 7 サーバロードバランシングの設定 概要 この章を読むと ACE アプライアンスにより提供される基本的なサーバロードバランシング機能を理解できます また レイヤ 7 ロードバランシングを目的とする仮想サーバの設定もできるようになります クライアントが Web サービスを要求すると ロードバランシングデバイスにより 要求の送信先サーバが決定されます たとえば クライアント要求は Web ページを求める HTTP GET またはファイルのダウンロードを求める FTP GET から構成することができます ACE はサーバロードバランサとして クライアント要求に対応できるサーバを サーバにもサーバファーム全体にも過負荷を与えずに できるだけ短時間に選択します ACE は仮想サーバを使用して Web サイトへの Web トラフィックを代行受信します 仮想サーバにより 複数の実サーバはロードバランシングを目的とした 1 つのサーバに見えるようになります 仮想サーバはバーチャル IP(VIP) とも呼ばれ IP アドレス 使用されるプロトコル (UDP TEC など ) およびポートアドレスにより定義されます 6-1

102 概要 第 6 章 サーバロードバランシングの設定 サーバファームにグループ化された複数のサーバは 各仮想サーバに割り当てられ ACE アプライアンスにより これらの間でロードバランシングが行われます 実サーバは HTTP や XML コンテンツの配信などのサービスをクライアントに提供するための専用サーバです サーバファームは同じコンテンツを保持し データセンター内で物理的に同一の場所に設置されます 次のステップに従って サーバロードバランシングのために ACE を設定します ステップ 1 ステップ 2 ステップ 3 ステップ 4 仮想サーバを作成します 実サーバを設定し このサーバをサーバファームと関連付けます このサーバファームを先ほどの仮想サーバに割り当てます 設定を展開します この章では 図 6-1 にあるネットワークの設定例に基づき Device Manager GUI または Command-Line Interface(CLI; コマンドラインインターフェイス ) を使った仮想サーバの設定方法について説明します 図 6-1 サーバロードバランシングの設定例 VLAN 400 IP VLAN 500 IP RS_web1 IP VIP VIP_web RS_web2 IP RS_web3 IP VC_web RS_web4 IP ACE host1 SF_web 6-2

103 第 6 章 サーバロードバランシングの設定 Device Manager GUI を使用したレイヤ 7 サーバロードバランシングの設定 この例では次のように設定されています VLAN 400 からのクライアントトラフィックを VLAN 500 のアプリケーションサーバに送信するために 仮想サーバ VS_web の作成には仮想 IP アドレス が使用されています サーバファーム SF_web には 4 台の実サーバがグループ化されています この仮想サーバはラウンドロビンプレディクタを使用して サーバファーム内の実サーバの 1 つに向け クライアント要求を転送します Device Manager GUI を使用したレイヤ 7 サーバロードバランシングの設定 次のステップに従って Device Manager GUI を使用し レイヤ 7 サーバロードバランシングを設定します ステップ 1 [Load Balancing] > [Virtual Servers] を選択します [Virtual Servers] ペインが表示されます ( 図 6-2) ユーザコンテキスト [VC_web] を選択します 6-3

104 第 6 章 Device Manager GUI を使用したレイヤ 7 サーバロードバランシングの設定 サーバロードバランシングの設定 図 6-2 [Virtual Servers] ペイン ステップ 2 [Add] をクリックして新しい仮想サーバを追加します [Virtual Server] 設定ウィンドウが表示されます ( 図 6-3) 6-4

105 第 6 章 サーバロードバランシングの設定 Device Manager GUI を使用したレイヤ 7 サーバロードバランシングの設定 図 6-3 [Virtual Server] 設定ウィンドウのプロパティ ステップ 3 デフォルトでは [Basic View] 設定オプションが選択され [Properties] セクションが表示されます [Properties] に次の仮想サーバアトリビュートを入力します 残りのアトリビュートは空白 またはデフォルト値のままにしておきます [Virtual Server Name]:VIP_web [Virtual IP Address]: ( 注 ) Web サイト (URL) でターゲットされたクライアント要求は Domain Name System(DNS; ドメインネームシステム ) に従って IP アドレスに変換されます 仮想サーバに割り当てられた仮想 IP アドレスは クライアント要求のサービス提供元 Web サイトの URL に対応する IP アドレスです [Transport Protocol]:TCP [Application Protocol]:HTTP 6-5

106 第 6 章 Device Manager GUI を使用したレイヤ 7 サーバロードバランシングの設定 サーバロードバランシングの設定 ステップ 4 ステップ 5 ステップ 6 ステップ 7 [Port]:80 [VLAN]:400 [Default L7 Load-Balancing Action] セクションの [Primary Action] ドロップダウンリストから [Load Balance] を選択します [Server Farm] ドロップダウンリストから [*New*] を選択し 新規サーバファームを設定します 次のサーバファームアトリビュートを入力します 残りのアトリビュートは空白 またはデフォルト値のままにしておきます [Name]:SF_web [Type]:Host [Predictor]:Round Robin [Add] をクリックして [Real Servers] ペインに新しいエントリを追加します [Real Servers] ペインに新しいエントリが表示されます ( 図 6-4) 図 6-4 [Virtual Server] 設定ウィンドウの [Real Servers] ペイン 6-6

107 第 6 章 サーバロードバランシングの設定 Device Manager GUI を使用したレイヤ 7 サーバロードバランシングの設定 ステップ 8 設定する 1 つ目の実サーバについて 次のアトリビュートを入力します 残りのアトリビュートは空白 またはデフォルト値のままにしておきます [Name]:RS_web1 [IP Address]: [Port]:80 [Weight]:8 [State]:In Service [OK] をクリックして 1 つ目の実サーバのアトリビュートを保存します ( 注 ) ヘルスプローブの設定方法については 第 10 章 ヘルスプローブを使用したヘルスモニタリングの設定 を参照してください ステップ 9 次の実サーバ名および対応する IP アドレスを使用して ステップ 7 と 8 を繰り返し [Real Servers] ペインにさらに 3 つのエントリを追加します 残りのアトリビュートはデフォルト値のままにしておきます RS_web2 については 次のように入力します [Name]:RS_web2 [IP Address]: [Port]:80 RS_web3 については 次のように入力します [Name]:RS_web3 [IP Address]: [Port]:80 RS_web4 については 次のように入力します [Name]:RS_web4 [IP Address]: [Port]:80 6-7

108 第 6 章 Device Manager GUI を使用したレイヤ 7 サーバロードバランシングの設定 サーバロードバランシングの設定 ステップ 10 ウィンドウ下部にある [Deploy Now] をクリックして 仮想サーバに対する設定を保存します [Virtual Servers] ペインが再度表示されます ( 図 6-5) 新しく設定された仮想サーバはこのペインに表示されますが Inservice ステートです つまり この仮想サーバは サーバロードバランシングの宛先として使用されています 図 6-5 作成した仮想サーバが表示されている [Virtual Servers] ペイン 6-8

109 第 6 章 サーバロードバランシングの設定 CLI を使用したレイヤ 7 サーバロードバランシングの設定 CLI を使用したレイヤ 7 サーバロードバランシングの設定 コマンドラインインターフェイス (CLI) を使用して レイヤ 7 サーバロードバランシングを設定することができます ここでは 次の内容について説明します 実サーバの設定 サーバファームの作成 仮想サーバのトラフィックポリシーの作成 実サーバの設定 次のステップに従って CLI を使用し ACE に実サーバを設定します ステップ 1 ステップ 2 CLI プロンプトをチェックし 目的のコンテキストで操作が行われていることを確認します 必要に応じて 正しいコンテキストに変更します host1/admin# changeto VC_web host1/vc_web# 設定モードに入ります host1/vc_web# config ステップ 3 タイプホストとして実サーバ RS_web1 を作成します ( デフォルト ) host1/vc_web(config)# rserver RS_web1 host1/vc_web(config-rserver-host)# ステップ 4 ステップ 5 ステップ 6 実サーバの説明を入力します host1/vc_web(config-rserver-host)# description content server web-one この実サーバに IP アドレス を割り当てます host1/vc_web(config-rserver-host)# ip address 実サーバをアクティブにし 設定モードを終了します host1/vc_web(config-rserver-host)# inservice host1/vc_web(config-rserver-host)# exit host1/vc_web(config)# 6-9

110 CLI を使用したレイヤ 7 サーバロードバランシングの設定 第 6 章 サーバロードバランシングの設定 ステップ 7 ステップ 8 次の実サーバ名 説明 および IP アドレスを使用して ステップ 3 ~ 6 を繰り返し さらに 3 台の実サーバを追加します RS_web2 については 次のように入力します [Name]:RS_web2 [Description]:content server web-two [IP Address]: RS_web3 については 次のように入力します [Name]:RS_web3 [Description]:content server web-three [IP Address]: RS_web4 については 次のように入力します [Name]:RS_web4 [Description]:content server web-four [IP Address]: 実サーバの設定を表示します host1/vc_web(config)# do show running-config rserver サーバファームの作成 実サーバを作成および構成したら サーバファームを作成し 実サーバと関連付けます 次のステップに従って サーバファームを作成します ステップ 1 ステップ 2 SF_web という名前でタイプホスト ( デフォルト ) のサーバファームを作成します host1/vc_web(config)# serverfarm SF_web host1/vc_web(config-sfarm-host)# ポート 80 を介して 実サーバ RS_web1 をサーバファームに関連付けます host1/vc_web(config-sfarm-host)# rserver RS_web1 80 host1/vc_web(config-sfarm-host-rs)# 6-10

111 第 6 章 サーバロードバランシングの設定 CLI を使用したレイヤ 7 サーバロードバランシングの設定 ステップ 3 サーバファーム内で実サーバをアクティブにし 設定モードを終了します host1/vc_web(config-sfarm-host-rs)# inservice host1/vc_web(config-sfarm-host-rs)# exit host1/vc_web(config-sfarm-host)# ( 注 ) サーバファーム内の実サーバに接続要求を送信するには まず その実サーバをアクティブにする必要があります そうしないと ACE はそのサーバが稼動中ではないと見なし そのサーバファームはクライアントからの要求に対する受信または応答処理を実行できません ステップ 4 ステップ 5 ステップ 6 ステップ 7 同様に 実サーバ RS_web2 RS_web3 および RS_web4 を SF_web サーバファームと関連付けます host1/vc_web(config-sfarm-host)# rserver RS_web2 80 host1/vc_web(config-sfarm-host-rs)# inservice host1/vc_web(config-sfarm-host-rs)# exit host1/vc_web(config-sfarm-host)# rserver RS_web3 80 host1/vc_web(config-sfarm-host-rs)# inservice host1/vc_web(config-sfarm-host-rs)# exit host1/vc_web(config-sfarm-host)# rserver RS_web4 80 host1/vc_web(config-sfarm-host-rs)# inservice host1/vc_web(config-sfarm-host-rs)# exit サーバファーム設定モードを終了します host1/vc_web(config-sfarm-host)# exit host1/vc_web(config)# これらの実サーバの情報を表示し ネットワーク接続がまだ確立されていなくても 実サーバが動作可能と表示されていることを確認します host1/vc_web(config)# do show rserver RS_web1 host1/vc_web(config)# do show rserver RS_web2 host1/vc_web(config)# do show rserver RS_web3 host1/vc_web(config)# do show rserver RS_web4 ACE がどのように ARP テーブルに実サーバのデータを入力しているかを表示します host1/vc_web(config)# do show arp 6-11

112 CLI を使用したレイヤ 7 サーバロードバランシングの設定 第 6 章 サーバロードバランシングの設定 仮想サーバのトラフィックポリシーの作成 次のステップに従って ACE で仮想サーバのトラフィックポリシーを作成します ステップ 1 クラスマップの各エントリを先頭から順番にマッチングしてロードバランシングを行うレイヤ 7 サーバロードバランシングポリシーマップ PM_LB を作成します host1/vc_web(config)# policy-map type loadbalance first-match PM_LB host1/vc_web(config-pmap-lb)# ( 注 ) ACE は 一連のフローマッチング基準 ( トラフィック分類 ) を指定するために クラスマップを使用します ACE は 分類されたインバウンドトラフィックに適用される一連のアクション ( 機能 ) を定義するために ポリシーマップを使用します ステップ 2 ステップ 3 ステップ 4 ステップ 5 単純なロードバランシングポリシーでは ACE にデフォルトのクラスマップを割り当てます デフォルトのクラスマップには すべてのトラフィック分類に一致する暗黙の match any 文が含まれています host1/vc_web(config-pmap-lb)# class class-default host1/vc_web(config-pmap-lb-c)# サーバファーム SF_web をレイヤ 7 サーバロードバランシングポリシーマップに追加し 設定モードを終了します host1/vc_web(config-pmap-lb-c)# serverfarm SF_web host1/vc_web(config-pmap-c)# exit host1/vc_web(config-pmap)# exit host1/vc_web(config)# レイヤ 3 およびレイヤ 4 ロードバランシングクラスマップ VS_web を作成します host1/vc_web(config)# class-map VS_web host1/vc_web(config-cmap)# 任意の IP プロトコルの IP アドレス に一致する match 文を定義し 設定モードを終了します host1/vc_web(config-cmap)# match virtual-address tcp eq

113 第 6 章 サーバロードバランシングの設定 CLI を使用したレイヤ 7 サーバロードバランシングの設定 host1/vc_web(config-cmap)# exit host1/vc_web(config)# ステップ 6 ステップ 7 ステップ 8 ステップ 9 ステップ 10 ステップ 11 ステップ 12 ステップ 13 レイヤ 3 とレイヤ 4 の複数マッチポリシーマップを作成し 分類された着信要求をロードバランシングポリシーマップに振り向けます host1/vc_web(config)# policy-map multi-match PM_multi_match host1/vc_web(config-pmap)# レイヤ 3 およびレイヤ 4 クラスマップ VS_web をこのポリシーマップに関連付けます host1/vc_web(config-pmap)# class VS_web host1/vc_web(config-pmap-c)# レイヤ 7 ロードバランシングポリシーマップ PM_LB をレイヤ 3 およびレイヤ 4 ポリシーマップに関連付けます host1/vc_web(config-pmap-c)# loadbalance policy PM_LB host1/vc_web(config-pmap-lb-c)# ロードバランシング操作について VIP をイネーブルにし 設定モードを終了します host1/vc_web(config-pmap-lb-c)# loadbalance vip inservice host1/vc_web(config-pmap-c)# exit host1/vc_web(config-pmap)# exit host1/vc_web(config)# 複数マッチポリシーマップの適用先インターフェイスにアクセスします host1/vc_web(config)# interface vlan 400 host1/vc_web(config-if)# 複数マッチポリシーマップ PM_multi_match を適用します host1/vc_web(config-if)# service-policy input PM_multi_match host1/vc_web(config-if)# exit host1/vc_web(config)# 実行設定をスタートアップ設定にコピーして保存します host1/vc_web(config)# do copy running-config startup-config PM_multi_match ポリシーマップのサービスポリシー状態を表示します host1/vc_web(config)# do show service-policy PM_multi_match 6-13

114 CLI を使用したレイヤ 7 サーバロードバランシングの設定 第 6 章 サーバロードバランシングの設定 この章では ロードバランシング HTTP トラフィック用の仮想サーバを設定しました 次の章では クライアント要求を適切な実サーバに転送するための ロードバランシングプレディクタを設定します 6-14

115 CHAPTER7 ロードバランシングプレディクタの設定 この章では Cisco 4700 シリーズ Application Control Engine (ACE) アプライアンスでのロードバランシングプレディクタの設定方法について説明します この章の構成は 次のとおりです 概要 Device Manager GUI を使用したハッシュヘッダープレディクタの設定 CLI を使用したハッシュヘッダープレディクタの設定 概要 この章を読むと ACE アプライアンスがプレディクタを使用してクライアント要求の実サーバをどのように選択するかについて および例としてハッシュヘッダープレディクタの設定方法についての基礎を理解できます Web サービスを求めるクライアント要求がある場合 ACE は 個々のサーバやサーバファームに過負荷を与えずに できるだけ短時間に クライアント要求に対応できるサーバを選択します ACE は プレディクタを使用して ロードバランシング選択を行います プレディクタを設定する場合 サービスを求めるクライアント要求に対応できる最適な実サーバを選択するときに ACE により実行される 一連のチェックと計算を定義します 7-1

116 概要 第 7 章 ロードバランシングプレディクタの設定 各サーバファームに対して ACE が適切なサーバを選択できるように いくつかのプレディクタタイプのいずれかを設定できます 一般的なプレディクタタイプには次の 2 種類があります ラウンドロビン : 重みが付けられたサーバ容量に基づいて 実サーバのリストからサーバを選択します 重みは サーバファームの他のサーバに対する接続キャパシティに基づいて 各実サーバに割り当てることができます 大きい重み値を持つサーバは 小さい重み値を持つサーバに比べて 受け取る接続数も比例的に多くなります たとえば 重みが 5 のサーバは 重みが 1 のサーバで受け取られる 1 接続あたり 5 接続を受け取ります これは重み付けラウンドロビンとも呼ばれ デフォルトのプレディクタです ハッシュヘッダー :HTTP ヘッダー名に基づいたハッシュ値を使用してサーバを選択します ACE でサポートされるプレディクタタイプの完全なリストについて およびそれらの設定方法については Cisco 4700 Series Application Control Engine Appliance Administration Guide を参照してください サーバロードバランシングプレディクタは 次のステップで設定できます ステップ 1 ステップ 2 ステップ 3 サーバファームを選択します プレディクタタイプとそのパラメータを選択します 設定を展開します この章では 図 6-1 に示されている 第 6 章 サーバロードバランシングの設定 で作成されたサーバファームのハッシュヘッダープレディクタを設定する方法について説明します ACE Device Manager GUI または Command-Line Interface(CLI; コマンドラインインターフェイス ) のいずれかを使用できます 7-2

117 第 7 章 ロードバランシングプレディクタの設定 Device Manager GUI を使用したハッシュヘッダープレディクタの設定 Device Manager GUI を使用したハッシュヘッダープレディクタの設定 次のステップに従い ACE Device Manager GUI を使用してハッシュヘッダープレディクタを設定できます ステップ 1 ステップ 2 [Config] > [Virtual Contexts] を選択します コンテキスト [VC_web] を選択します [Load Balancing] > [Server Farms] を選択します [Server Farms] ペインが表示されます ( 図 7-1) 図 7-1 プレディクタの設定 ステップ 3 ステップ 4 ステップ 5 [SF_web] を選択します [Predictor] タブを選択します プレディクタの [Type] で [Hash_Header] を選択します 7-3

118 CLI を使用したハッシュヘッダープレディクタの設定 第 7 章 ロードバランシングプレディクタの設定 ステップ 6 ステップ 7 [Header Name] で [Accept] を選択します [Deploy Now] をクリックして ハッシュヘッダープレディクタをサーバファーム SF_web に割り当てます CLI を使用したハッシュヘッダープレディクタの設定 次のステップに従い CLI を使用してハッシュヘッダープレディクタを設定できます ステップ 1 ステップ 2 ステップ 3 ステップ 4 CLI プロンプトをチェックし 目的のコンテキストで操作が行われていることを確認します 必要に応じて 正しいコンテキストに変更します host1/admin# changeto VC_web host1/vc_web# SF_web の設定モードに入ります host1/vc_web# config host1/vc_web(config)# serverfarm SF_web host1/vc_web(config-sfarm-host)# ハッシュヘッダープレディクタを設定します host1/vc_web(config-sfarm-host)# predictor hash header Accept プレディクタ設定情報を表示します host1/vc_web(config-sfarm-host)# exit host1/vc_web(config)# exit host1/vc_web# show running-config serverfarm この章では サーバロードバランシングにハッシュヘッダープレディクタを設定しました 次の章では スティッキ性機能を使用して サーバの持続性を設定します 7-4

119 CHAPTER8 スティッキ性を使用したサーバ持続性の設定 この章では Cisco 4700 シリーズ Application Control Engine (ACE) アプライアンスでスティッキ性を使ってサーバ持続性を設定する方法について説明します この章の構成は 次のとおりです 概要 Device Manager GUI を使用した HTTP cookie のスティッキ性の設定 CLI を使用した HTTP cookie のスティッキ性の設定 概要 この章を読むと ACE アプライアンスがスティッキ性を使用してどのようにサーバ持続性を提供しているか および HTTP cookie のスティッキ性を設定するにはどうすればいいかを基本的に理解できます e- コマースサイトを訪問するお客様は 通常 まず最初にサイトをブラウズします サイトのアプリケーションによっては 初期接続の確立後にクライアントが 1 つのサーバに固定されることが必要な場合もあれば ショッピングカートを構築したときなど クライアントがトランザクションの作成を開始したときに初めて サーバの固定が必要とされる場合もあります たとえば クライアントがショッピングカートに品物を入れてからは そのクライアントのすべての要求が同じ実サーバに送信され すべての品が 1 つのサーバ上の 1 つのショッピングカートに入るようにすることが重要です お客様のショッピングカートのインスタンスは通常 複数のサーバに重複しているのではなく 特定の Web サーバ上にあります 8-1

120 概要 第 8 章 スティッキ性を使用したサーバ持続性の設定 同一の実サーバに誘導されるクライアント要求のシーケンスを必要とするタイプのアプリケーションは e- コマースアプリケーションだけではありません バンキングアプリケーションやオンライン取引 FTP や HTTP によるファイル転送など クライアントの情報を維持するような Web アプリケーションはスティッキ性を必要とする可能性があります 1 つのセッション中 同じクライアントが 複数の同時 TCP または IP 接続 あるいは後続の複数の TCP または IP 接続を同一サーバとの間で維持できるように ACE を構成できます ACE におけるこのセッションの持続機能をスティッキ性といいます セッションとは クライアントとサーバの間の一定期間 ( 数分から数時間まで ) における連続したトランザクションです ACE は 設定済みのサーバロードバランシングポリシーに応じて 使用するロードバランシング方式を判断してから 適切なサーバにクライアントを固定します ACE は クライアントが特定のサーバにすでに固定されていると判断した場合 ロードバランシング基準に関係なく そのクライアントの要求をそのサーバに送信します クライアントが特定のサーバに固定されていないと判断した場合 ACE はその要求に通常のロードバランシング規則を適用します 特定のクライアントがどのように特定の Web サーバに固定されるか およびアプリケーションはどのようにクライアントやクライアントのグループを区別しているかを判断するために ACE では次のスティッキ方式がサポートされています 発信元または宛先 IP アドレス : スティッキ性については 発信元 IP アドレス 宛先 IP アドレス またはこの両方を使用して IP ネットワークマスクに基づいて個々のクライアントとその要求を一意に識別することができます ただし 企業やサービスプロバイダーがメガプロキシ ( 無料の匿名 Web プロキシサーバ ) を使用してインターネットへのクライアント接続を確立している場合 送信元 IP アドレスは 要求の真の送信元として信頼できるインジケータにはなりません このような場合は セッションの持続性を確実にするためにその他のスティッキ方式を使用します 8-2

121 第 8 章 スティッキ性を使用したサーバ持続性の設定 概要 Cookie: クライアントの cookies によって ACE に接続するクライアント およびコンテンツ提供サーバに接続するクライアントを一意に識別できます cookie は HTTP ヘッダー内の小さなデータ構造です サーバはこれを使用して クライアントがその情報を保存するようにという要求とともに Web クライアントにデータを送信します この情報には ユーザがショッピングカートに追加した項目や 選択した旅行日などが含まれることがあります ACE は コンテンツ要求を検証し そのコンテンツがスティッキ状態であると判断すると そのコンテンツ要求の cookie または URL を調べます ACE は cookie または URL 内の情報を使用して 該当するサーバにコンテンツ要求を転送します Hypertext Transfer Protocol(HTTP; ハイパーテキスト転送プロトコル ) ヘッダー :HTTP ヘッダーの一意の部分に基づいてスティッキ性を提供するためのヘッダーオフセットを指定することができます この e- コマースアプリケーションは これらのメソッドのどれが特定の e- コマースアプリケーションに適しているかを指示します ACE では スティッキ性アトリビュートのためにスティッキ性グループが使用されます このようなアトリビュートには スティッキ方式 タイムアウト 複製 および特定のスティッキ方式に関連するアトリビュートが含まれます スティッキ接続を追跡するために ACE では スティッキグループ スティッキ方式 スティッキ接続 および実サーバに関する情報を持つスティッキテーブルが使用されます ACE は設定可能なタイムアウトメカニズムによってスティッキテーブルのエントリをエージングアウトします エントリがタイムアウトになると そのエントリは再利用できる状態になります 接続率が高ければ スティッキエントリがタイムアウトになる前にエージングアウトされることもあります このような場合 ACE は有効期限に最も近いエントリを再利用します スティッキテーブル内のエントリはダイナミック ( 必要に応じて ACE が生成 ) またはスタティック ( 設定済み ) のいずれかです スタティックスティッキエントリを作成すると ACE はスティッキテーブル内に即座にそのエントリを置きます これは設定から削除されるまで スティッキデータベースにそのまま残ります 次のステップに従って スティッキ性を設定します ステップ 1 ステップ 2 スティッキ性のためにリソースが割り当てられていることを確認します スティッキグループを作成します 8-3

122 概要 第 8 章 スティッキ性を使用したサーバ持続性の設定 ステップ 3 ステップ 4 このスティッキグループを 仮想サーバのレイヤ 7 サーバロードバランシングアクションに関連付けます 設定を展開します 図 8-1 は サーバロードバランシング環境で クライアントからの要求が あるセッションの実サーバ RS_web4 に固定されていることを図に表したものです 図 8-1 サーバに固定されているクライアント要求 VLAN 400 IP VLAN 500 IP RS_web1 IP VIP VIP_web RS_web2 IP RS_web3 IP VC_web RS_web4 IP ACE host1 SF_web この章では HTTP cookie スティッキ方式を使用してスティッキ性を設定する方法について説明します IP アドレスと HTTP ヘッダー方式を使用してスティッキ性を設定する方法については Cisco 4700 Series Application Control Engine Appliance Server Load-Balancing Configuration Guide を参照してください 8-4

123 第 8 章 スティッキ性を使用したサーバ持続性の設定 Device Manager GUI を使用した HTTP cookie のスティッキ性の設定 Device Manager GUI を使用した HTTP cookie のスティッキ性の設定 次のステップに従って GUI を使用し この HTTP cookie のスティッキ性を設定します ステップ 1 ステップ 2 スティッキグループを設定するコンテキストが リソースをスティッキ機能に割り当てるようなリソースクラスに関連付けられていることを確認します 第 3 章の リソースクラスの作成 セクションを参照してください [Load Balancing] > [Stickiness] を選択します [Stickiness] ペインが表示されます ( 図 8-2) 図 8-2 [Stickiness] ペイン ステップ 3 [VC_web] コンテキストを選択します 8-5

124 第 8 章 Device Manager GUI を使用した HTTP cookie のスティッキ性の設定 スティッキ性を使用したサーバ持続性の設定 ステップ 4 [Add] をクリックして 新しいスティッキグループを追加します [Stickiness] 設定ウィンドウが表示されます ( 図 8-3) 図 8-3 [Stickiness] 設定ウィンドウ ステップ 5 ステップ 6 新しいスティッキグループについて 次のアトリビュートを入力します 残りのアトリビュートは空白 またはデフォルト値のままにしておきます [Group Name]:StickyGroup1 [Type]:HTTP Cookie [Cookie Name]:Cookie1 [Sticky Server Farm]:SF_web [Deploy Now] をクリックして [Stickiness] ペインに新しいスティッキグループを追加します 8-6

125 第 8 章 スティッキ性を使用したサーバ持続性の設定 CLI を使用した HTTP cookie のスティッキ性の設定 CLI を使用した HTTP cookie のスティッキ性の設定 次のステップに従って Command-Line Interface(CLI; コマンドラインインターフェイス ) を使用し この HTTP cookie のスティッキ性を設定します ステップ 1 ステップ 2 ステップ 3 ステップ 4 ステップ 5 ステップ 6 CLI プロンプトをチェックし 目的のコンテキストで操作が行われていることを確認します 必要に応じて 正しいコンテキストに変更します host1/admin# changeto VC_web host1/vc_web# 設定モードに入ります host1/vc_web# config host1/vc_web(config)# HTTP cookie タイプのスティッキグループを作成し cookie 設定モードに入ります host1/vc_web(config)# sticky http-cookie Cookie1 StickyGroup1 host1/vc_web(config-sticky-cookie)# HTTP cookie スティッキ性に対するタイムアウトを設定します host1/vc_web(config-sticky-cookie)# timeout 1440 このスティッキグループにサーバファームを関連付け 設定モードを終了します host1/vc_web(config-sticky-cookie)# serverfarm SF_web host1/vc_web(config-sticky-cookie)# exit host1/vc_web(config)# exit host1/vc_web# HTTP cookie 設定を表示します host1/vc_web# show running-config sticky この章では HTTP-cookie 方式を使用して スティッキグループを設定しました 次の章では SSL セキュリティを設定します 8-7

126 CLI を使用した HTTP cookie のスティッキ性の設定 第 8 章 スティッキ性を使用したサーバ持続性の設定 8-8

127 SSL セキュリティの設定 CHAPTER9 この章では Cisco 4700 シリーズ Application Control Engine (ACE) アプライアンスで SSL を設定する方法について説明します この章の構成は 次のとおりです 概要 SSL 終了の設定 Device Manager GUI を使用した ACE への SSL 終了の設定 CLI を使用した ACE への SSL 終了の設定 概要 この章を読むと ACE アプライアンスがネットワークに SSL セキュリティをどのように提供するか および ACE が SSL サーバとして機能する SSL 終了の設定方法についての基礎を理解できます ACE での SSL 設定は ACE と別のデバイスとの間に SSL セッションを確立および保持します また クライアントとサーバ間での安全なデータトランザクションを提供します SSL は 認証 暗号化 Public Key Infrastructure(PKI; 公開鍵インフラストラクチャ ) でのデータ整合性 デバイス間での安全な情報交換を確立するポリシーおよびプロシージャのセットを提供します SSL では データは トランザクションの 2 つのエンドポイントだけで認識されている 1 つ以上の対称キーを使用して暗号化されます 鍵交換では 一方のデバイスが 対称キーを生成し これをもう一方のデバイスに転送する前に非対称暗号化スキームを使用して暗号化します 9-1

128 概要 第 9 章 SSL セキュリティの設定 非対称暗号化では 各デバイスに 公開鍵と秘密鍵で構成される固有なキーペアが必要になります 秘密鍵は メッセージを交換するパーティ間だけで認識されている暗号化 / 復号化鍵です 公開鍵は いくつかの指定認証局により 暗号鍵として提供される値です この暗号化鍵は 公開鍵から派生する秘密鍵と組み合わせて メッセージおよびデジタル署名を効果的に暗号化するために使用できます 2 つの鍵は数学的に関連付けられます 公開鍵 / 秘密鍵を使用して暗号化されるデータは 対応する秘密鍵 / 公開鍵を使用した場合だけ復号化できます SSL は デジタル証明書を使用することで クライアントおよびサーバ認証を簡素化します デジタル証明書とは サーバの ID をクライアントに証明する またはオプションでクライアントの ID をサーバに証明するデジタル識別の一形式のことです 証明書は 識別情報が正しく そこに組み込まれている公開鍵がクライアントまたはサーバに属することを保証します Certificate Authority(CA; 認証局 ) は PKI でデジタル証明書を発行します CA は 認証を検証するために証明書に署名する信頼できる認証局です 証明書の発行元として CA は その秘密鍵を使用して 証明書に署名します 証明書を受け取ると クライアントは 発行元の公開鍵を使用し 証明書シグニチャを復号化および検証して 証明書が権限のある機関により実際に発行され署名されていることを保証します 証明書および対応するキーペアがない場合 ACE を使用し キーペアおよび Certificate Signing Request(CSR; 証明書署名要求 ) を生成して CA からの証明書を適用できます CA は CSR に署名し 認証したデジタル証明書を返します ACE は インポート エクスポート および各コンテキスト内でさまざまな証明書やキーペアファイルを管理するその他の管理機能をサポートします クライアントおよびサーバは SSL ハンドシェイクプロトコルを使用して 2 つのデバイス間で SSL セッションを確立します ハンドシェイク時に クライアントおよびサーバは 安全なセッション中に使用する SSL パラメータをネゴシエートします SSL ハンドシェイク時に ACE は SSL プロキシサービスを使用します このサービスには SSL セッションパラメータ RSA キーペア 照合証明書の設定が含まれています ACE は SSL セッションパラメータを SSL プロキシサービスに適用します SSL パラメータマップを作成すると 同じ SSL セッションパラメータを異なるプロキシサービスに適用できます SSL セッションパラメータには タイムアウト 終了時プロトコル動作 および SSL バージョン (SSL 3 または Transport Layer Security(TLS; トランスポートレイヤセキュリティ )1 あるいはその両方 ) が含まれます これらのパラメータの詳細については Cisco 4700 Series Application Control Engine Appliance SSL Configuration Guide を参照してください 9-2

129 第 9 章 SSL セキュリティの設定 概要 SSL セッションパラメータ SSL キーペアおよび証明書 トラフィック特性などの動作属性を定義することで SSL セッション中にクライアントまたはサーバとして機能するように ACE を設定できます トラフィック特性が 動作属性に指定されている設定と一致すると ACE は SSL プロキシサービスに関連付けられたアクションを実行します 図 9-1 に クライアントおよびサーバ間でのデータの暗号化および復号化に ACE が使用される SSL 終了 SSL 開始およびエンドツーエンド SSL の 3 種類の基本 SSL 設定を示します 図 9-1 ACE SSL 設定 ACE SSL ACE SSL ACE SSL ACE SSL 終了では ACE コンテキストは フロントエンドアプリケーションに設定されます ここでは ACE は クライアントと通信する SSL サーバとして機能します ACE およびクライアント間でのフローを定義すると ACE は 仮想 SSL サーバとして機能して Web ブラウザ ( クライアント ) および HTTP 接続 ( サーバ ) 間にセキュリティサービスを追加します すべてのインバウンド SSL フローは クライアントから始まり ACE で終わります 接続が終了したら ACE は クライアントからの暗号文 ( 暗号化された内容 ) を復号化し そのデータをクリアテキスト ( 暗号化されていない内容 ) として HTTP サーバに送信します ACE への SSL 終了の設定については SSL 終了の設定 の項を参照してください 9-3

130 概要 第 9 章 SSL セキュリティの設定 SSL 開始では ACE コンテキストは バックエンドアプリケーションに設定されます ここでは ACE は SSL サーバと通信するクライアントとして機能します ACE および SSL サーバ間でのフローを定義すると ACE は クライアントとして機能して SSL セッションを開始します SSL 開始では ACE は クライアントからクリアテキストを受け取り SSL サーバと SSL セッションを確立し クライアントおよび SSL サーバ接続を結合します ACE は クライアントから受け取るクリアテキストを暗号化して そのデータを暗号文として SSL サーバに送信します SSL サーバは SSL 終了 ( 仮想 SSL サーバ ) または実 SSL サーバ (Web サーバ ) のいずれかに設定された ACE にすることができます SSL サーバからのアウトバウンドフローでは ACE は サーバからの暗号文を復号化して クリアテキストをクライアントに返します ACE への SSL 開始の設定の詳細については Cisco 4700 Series Application Control Engine Appliance SSL Configuration Guide を参照してください エンドツーエンド SSL では ACE コンテキストには SSL 終了および SSL 開始の両方が設定されます アプリケーションで クライアントと ACE 間 および ACE と SSL サーバ間で安全な SSL チャネルを必要とする場合 ACE にエンドツーエンド SSL を設定します たとえば 銀行間の取引では 交換するすべての金融情報を保護するために エンドツーエンド SSL が必要です また エンドツーエンド SSL では ACE は ロードバランシングおよびセキュリティ情報をデータに挿入することもできます ACE は 受け取った暗号文を復号化して ロードバランシングおよびファイアウォール情報をクリアテキストに挿入します 次に ACE は このデータを再び暗号化して 指定された宛先に暗号文を渡します ACE へのエンドツーエンド SSL 開始の設定の詳細については Cisco 4700 Application Control Engine Series Appliance SSL Configuration Guide を参照してください 9-4

131 第 9 章 SSL セキュリティの設定 SSL 終了の設定 SSL 終了の設定 SSL 終了は SSL プロキシサーバとして動作する ACE がクライアントからの SSL 接続を終端し 続いて HTTP サーバと TCP 接続を確立するときに実行されます ACE は SSL 接続を終了すると クライアントからの暗号文を復号化し データをクリアテキストとして HTTP サーバに送信します 図 9-2 に ACE がクライアントとの SSL 接続を終端しているネットワーク接続を示します クライアントと ACE の間 : クライアントと SSL プロキシサーバとして機能する ACE 間との SSL 接続 ACE とサーバの間 :ACE と HTTP サーバとの間の TCP 接続 図 9-2 SSL 終了 SSL ACE ACE に SSL 動作を設定する前に 最初にサーバロードバランシングを設定してください ACE にサーバロードバランシングを設定するには 第 6 章 サーバロードバランシングの設定 を参照してください SSL 終了は クライアントからのインバウンドトラフィックフローに含まれる宛先 IP アドレスに基づいているため レイヤ 3 およびレイヤ 4 アプリケーションの 1 つです SSL 終了のポリシーマップを設定する場合 次の要素を関連付けます SSL セッションパラメータ 証明書 キーペアなどの SSL プロキシサービス インバンドトラフィックの宛先 IP アドレスが一致しなければならない仮想 SSL サーバ IP アドレス ( クラスマップ ) 一致する場合 ACE は クライアントとネゴシエートして SSL 接続を確立します 9-5

132 Device Manager GUI を使用した ACE への SSL 終了の設定 第 9 章 SSL セキュリティの設定 ACE に SSL 終了を設定するには 次のステップを実行します ステップ 1 ステップ 2 ステップ 3 ステップ 4 ステップ 5 ステップ 6 キーファイルにキーペアをインポートします インポートされたキーペアと一致する証明書をインポートします パラメータマップを設定します キーペア 証明書およびパラメータマップを使用して SSL プロキシサービスを設定します SSL プロキシサービスを使用して SSL 終了の仮想サーバを作成します 設定を展開します この章では Device Manager GUI または Command-Line Interface(CLI; コマンドラインインターフェイス ) のいずれかを使用して ACE に SSL 終了を設定する方法について説明します Device Manager GUI を使用した ACE への SSL 終了の設定 次のステップに従って Device Manager GUI を使用して ACE に SSL 終了を設定します ステップ 1 ステップ 2 ユーザコンテキスト [VC_web] を選択して [SSL] > [Setup Sequence] を選択します [Setup Sequence] ウィンドウが表示されます [Import SSL Key Pair] をクリックして キーファイルをインポートします [Import SSL Key Pair] ペインが [SSL Setup Sequence] ウィンドウ下部に表示されます ( 図 9-3) 9-6

133 第 9 章 SSL セキュリティの設定 Device Manager GUI を使用した ACE への SSL 終了の設定 図 9-3 [SSL Setup Sequence] ウィンドウ :[Import SSL Key Pair] ペイン ステップ 3 ステップ 4 ステップ 5 次のパラメータを入力します 残りのパラメータは空白 またはデフォルト値のままにしておきます [Protocol]:FTP [IP Address]: ( 有効にするには リモートキーファイルにアクセスできる IP アドレスを使用する必要があります ) [Remote File Name]:C: marketing.pem [Local File Name]:C: marketing.pem [User Name]:Admin [Password]:( 使用している FTP サーバのパスワード ) [Confirm]:( 使用している FTP サーバのパスワードを再入力 ) [Import] をクリックして キーファイルをインポートします [SSL Setup Sequence] ウィンドウで [Import Certificates] を選択します [Import Certificates] ペインが表示されます ( 図 9-4) 9-7

134 Device Manager GUI を使用した ACE への SSL 終了の設定 第 9 章 SSL セキュリティの設定 図 9-4 [SSL Setup Sequence] ウィンドウ :[Import Certificates] ペイン ステップ 6 ステップ 7 ステップ 8 次のパラメータを入力します 残りのパラメータは空白 またはデフォルト値のままにしておきます [Protocol]:FTP [IP Address]: ( 有効にするには 証明書ファイルにアクセスできる IP アドレスを使用する必要があります ) [Remote File Name]:C: marketing_cert.pem [Local File Name]:C: marketing_cert.pem [User Name]:Admin [Password]:( 使用している FTP サーバのパスワード ) [Confirm]:( 使用している FTP サーバのパスワードを再入力 ) [OK] をクリックして 証明書ファイルをインポートします [SSL] > [Parameter Maps] を選択します [Parameter Maps] ペインが表示されます ( 図 9-5) 9-8

135 第 9 章 SSL セキュリティの設定 Device Manager GUI を使用した ACE への SSL 終了の設定 図 9-5 [Parameter Maps] ペイン 9-9

136 Device Manager GUI を使用した ACE への SSL 終了の設定 第 9 章 SSL セキュリティの設定 ステップ 9 [Add] をクリックして パラメータマップを作成します [Parameter Map] ウィンドウが表示されます ( 図 9-6) 図 9-6 [Parameter Map] ウィンドウ ステップ 10 ステップ 11 [Name] フィールドに PM_SSL_termination を入力します 残りのパラメータは空白 またはデフォルト値のままにしておきます [Deploy Now] をクリックして ACE アプライアンスにパラメータマップを適用します [Parameter Map Cipher] ペインが表示されます ステップ 12 [Parameter Map Cipher] ペインの [Add] を選択します ( 図 9-6) ステップ 13 ステップ 14 デフォルト値をそのまま使用し [Parameter Map Cipher] ペインの [Deploy Now] をクリックして 暗号文をパラメータマップに追加します [SSL] > [Proxy Service] を選択して SSL プロキシサービスを作成します [Proxy Service] ペインが表示されます ( 図 9-7) 9-10

137 第 9 章 SSL セキュリティの設定 Device Manager GUI を使用した ACE への SSL 終了の設定 図 9-7 [Proxy Service ] ペイン 9-11

138 Device Manager GUI を使用した ACE への SSL 終了の設定 第 9 章 SSL セキュリティの設定 ステップ 15 [Add] をクリックして プロキシサービスを作成します [Proxy Service] ウィンドウが表示されます ( 図 9-8) 図 9-8 [Proxy Service] ウィンドウ ステップ 16 ステップ 17 ステップ 18 次のパラメータを入力します 残りのパラメータは空白 またはデフォルト値のままにしておきます [Name]:PS_SSL_termination [Keys]:( 以前にインポートしたキーファイルを選択してください ) [Certificates]:( 以前にインポートした証明書を選択してください ) [Parameter Maps]:PM_SSL_termination [Deploy Now] をクリックして ACE アプライアンスにプロキシサービスを適用します [Load Balancing] > [Virtual Servers] を選択して 仮想サーバに SSL 終了を設定します [Virtual Servers] ペインが表示されます 9-12

139 第 9 章 SSL セキュリティの設定 Device Manager GUI を使用した ACE への SSL 終了の設定 ステップ 19 [Add] をクリックして 仮想サーバを作成します [Add Virtual Server] ウィンドウが表示されます ( 図 9-9) 図 9-9 [Add Virtual Server on Virtual Context] ウィンドウ ステップ 20 次のパラメータを入力します 残りのパラメータは空白 またはデフォルト値のままにしておきます [Virtual Server Name]:VIP_SSL [Virtual IP Address]: [Transport Protocol]:TCP [Application Protocol]:HTTPS [Port]:443 [VLAN]:400 [Proxy Service Name]:PS_SSL_termination [Primary Action]:Load Balance 9-13

140 CLI を使用した ACE への SSL 終了の設定 第 9 章 SSL セキュリティの設定 ステップ 21 [Server Farm]:SF_web [Deploy Now] をクリックして ACE アプライアンスに仮想 SSL サーバを適用します CLI を使用した ACE への SSL 終了の設定 次のステップに従って CLI を使用して ACE に SSL 終了を設定します ステップ 1 ステップ 2 ステップ 3 CLI プロンプトをチェックし 目的のコンテキストで操作が行われていることを確認します 必要に応じて 正しいコンテキストに変更します host1/admin# changeto VC_web host1/vc_web# キーファイル marketing.pem を FTP サーバからインポートします host1/vc_web# crypto import ftp Admin /marketing.pem marketing.pem Password: **** Passive mode on. Hash mark printing on (1024 bytes/hash mark). # Successfully imported file from remote server. host1/vc_web# CA から受け取った証明書の証明書情報をコピーして marketing_cert.pem と呼ばれる証明書ファイルに貼り付けます host1/vc_web# crypto import terminal marketing_cert.pem Enter PEM formatted data ending with a blank line or quit on a line by itself BEGIN CERTIFICATE MIIC1DCCAj2gAwIBAgIDCCQAMA0GCSqGSIb3DQEBAgUAMIHEMQswCQYDVQQGEwJa QTEVMBMGA1UECBMMV2VzdGVybiBDYXBlMRIwEAYDVQQHEwlDYXBlIFRvd24xHTAb BgNVBAoTFFRoYXd0ZSBDb25zdWx0aW5nIGNjMSgwJgYDVQQLEx9DZXJ0aWZpY2F0 aw9uifnlcnzpy2vzierpdmlzaw9umrkwfwydvqqdexbuagf3dgugu2vydmvyienb MSYwJAYJKoZIhvcNAQkBFhdzZXJ2ZXItY2VydHNAdGhhd3RlLmNvbTAeFw0wMTA END CERTIFICATE ステップ 4 quit と入力して ファイルを閉じます 9-14

141 第 9 章 SSL セキュリティの設定 CLI を使用した ACE への SSL 終了の設定 quit host1/vc_web# ステップ 5 ステップ 6 ステップ 7 ステップ 8 ステップ 9 ステップ 10 ステップ 11 ステップ 12 証明書がキーペアと一致していることを確認してください host1/vc_web# crypto verify marketing.pem marketing_cert.pem keypair in marketing.pem matches certificate in marketing_cert.pem 設定モードに入り SSL 終了の設定を開始します host1/vc_web# config host1/vc_web(config)# SSL プロキシサービスを作成します host1/vc_web(config)# ssl-proxy service PS_SSL_termination host1/vc_web(config-ssl-proxy)# キーペアおよび対応する証明書を定義して SSL プロキシサービスを設定します host1/vc_web(config-ssl-proxy)# key marketing host1/vc_web(config-ssl-proxy)# cert marketing_cert host1/vc_web(config-ssl-proxy)# exit host1/vc_web(config)# レイヤ 3 およびレイヤ 4 クラスマップを作成して 入力トラフィック一致基準を設定します host1/vc_web(config)# class-map CM_SSL host1/vc_web(config-cmap)# match virtual-address tcp any host1/vc_web(config-cmap)# exit host1/vc_web(config)# ポリシーマップを作成して クラスマップ CM_SSL に関連付けます host1/vc_web(config)# policy-map multi-match PM_SSL host1/vc_web(config-pmap)# class CM_SSL host1/vc_web(config-pmap-c)# SSL プロキシサービス PS_SSL_termination をポリシーマップに関連付けます host1/vc_web(config-pmap-c)# ssl-proxy server PS_SSL_termination host1/vc_web(config-pmap-c)# exit host1/vc_web(config-pmap)# exit host1/vc_web(config)# ポリシーマップを VLAN 400 インターフェイスの入力トラフィックに適用します 9-15

142 CLI を使用した ACE への SSL 終了の設定 第 9 章 SSL セキュリティの設定 host1/vc_web(config)# interface vlan 400 host1/vc_web(config-if)# service-policy input PM_SSL ステップ 13 実行設定を表示して 追加した情報が正しく設定されているか確認します host1/vc_web(config-if)# do show running-config この章では 仮想サーバに SSL 終了を設定しました 次の章では サーバヘルスモニタリングを設定します 9-16

143 CHAPTER10 ヘルスプローブを使用したヘルスモニタリングの設定 この章では Cisco 4700 シリーズ Application Control Engine (ACE) アプライアンスでのヘルスプローブの設定方法について説明します この章の構成は 次のとおりです 概要 Device Manager GUI を使用した HTTP ヘルスプローブの設定 CLI を使用した HTTP ヘルスプローブの設定 概要 この章を読むと ACE アプライアンスが ヘルスプローブを使用してサーバヘルスモニタリングをどのようにサポートするか および HTTP ヘルスプローブの設定方法についての基礎を理解できます 障害を検出し 信頼できるロードバランシング決定を行うには ヘルスプローブ ( キープアライブと呼ばれることもあります ) を定期的に送信することで サーバおよびサーバファームのヘルスを追跡するように ACE アプライアンスを設定できます デフォルトでは ACE は サーバ障害を暗黙的にチェックします プローブを ACE で設定することで アクティブな接続を確立して トラフィックをサーバに明示的に送信することができます ACE は サーバの応答を評価して そのサーバのヘルスを判別します 10-1

144 概要 第 10 章 ヘルスプローブを使用したヘルスモニタリングの設定 ACE によるサーバのヘルスの判別結果は次のいずれかになります Passed: サーバは有効な応答を返しました Failed: サーバは 指定のリトライ回数内で ACE に有効な応答を返すことに失敗しました サーバがプローブの応答に失敗すると ACE は クライアントがそのサーバにアクセスできない原因となっているネットワーク問題が発生していないかチェックします ACE は サーバを非稼動状態にすることができます プローブは TCP UDP ICMP Telnet および HTTP など 数種類を使用できます TCL スクリプト言語を使用して スクリプト化されたプローブを設定することもできます プローブを設定するには 次のステップに従います ステップ 1 ステップ 2 プローブを作成して その名前 タイプ アトリビュートを指定します プローブに次のいずれかを割り当てます 実サーバ サーバファームに関連付けられている実サーバ サーバファーム内の 1 台の実サーバには 単一または複数のプローブを割り当てることができます サーバファーム サーバファームのすべての実サーバは プローブを受信します プローブは ACE Device Manager GUI または Command-Line Interface(CLI; コマンドラインインターフェイス ) のいずれかを使用して設定できます この章では HTTP プローブの設定方法について説明します その他のタイプのプローブを設定する方法については Cisco 4700 Series Application Control Engine Appliance Server Load-Balancing Configuration Guide を参照してください 10-2

145 第 10 章 ヘルスプローブを使用したヘルスモニタリングの設定 Device Manager GUI を使用した HTTP ヘルスプローブの設定 Device Manager GUI を使用した HTTP ヘルスプローブの設定 次のステップに従い ACE Device Manager GUI を使用して HTTP ヘルスプローブを設定できます ステップ 1 [Load Balancing] > [Health Monitoring] を選択します [Health Monitoring] ペインが表示されます ( 図 10-1) 図 10-1 [Health Monitoring] ペイン 10-3

146 第 10 章 Device Manager GUI を使用した HTTP ヘルスプローブの設定 ヘルスプローブを使用したヘルスモニタリングの設定 ステップ 2 [Add] をクリックして 新しいヘルスプローブを追加します [Health Monitoring] ウィンドウが表示されます ( 図 10-2) 図 10-2 [Health Monitoring] ウィンドウ ステップ 3 ステップ 4 ステップ 5 次のヘルスプローブアトリビュートを入力します 残りのアトリビュートは空白 またはデフォルト値のままにしておきます [Name]:HTTP_probe1 [Type]:HTTP [Probe Interval (Seconds)]:5 [Pass Detect Interval (Seconds)]:10 [Port]:80 [Deploy Now] をクリックして この設定を ACE アプライアンスに適用します [Load Balancing] > [Server Farms] を選択して ヘルスプローブとサーバファームを関連付けます [Server Farms] ペインが表示されます ( 図 10-3) 10-4

147 第 10 章 ヘルスプローブを使用したヘルスモニタリングの設定 Device Manager GUI を使用した HTTP ヘルスプローブの設定 図 10-3 [Server Farms] ペイン ステップ 6 サーバファーム [SF_web] を選択して [Edit] をクリックします [Server Farms] ウィンドウが表示されます ( 図 10-4) 10-5