学习啦 > 学习电脑 > 网络知识 > 路由器 > 路由器设置 > cisco思科 > 思科如何配置ACE

思科如何配置ACE

时间: 权威724 分享

思科如何配置ACE

  思科依靠自身的技术和对网络经济模式的深刻理解,成为了网络应用的成功实践者之一,那么你知道思科如何配置ACE吗?下面是学习啦小编整理的一些关于思科如何配置ACE的相关资料,供你参考。

  思科配置ACE的方法:

  1、 建立VLAN 而不开启三层SVI接口(此处略)

  2、 配置VLAN Group组

  svclc vlan-group 50 40, 41,60,100,400,500,1000 Vlan-Group组号 50 对应的VLAN40, 41,60,100,400,500,1000

  3、配置VLAN Group映射到ACE模块上

  svclc module 5 vlan-group 50

  3、 配置MSFC支持多个SVI接口并分配到ACE上。(可选命令)

  svclc multiple-vlan-interfaces

  登陆ACE模块

  Router# session slot 5 processor 0 通过此命令来登陆到65或76系列设备上的ACE模块

  switch login:

  Password:

  配置一个管理VLAN在ACE模块上

  interface vlan 1000

  descripttion Management connectivity on VLAN 1000

  ip address 172.25.91.110 255.255.255.0 与65、76上MSFC上的SVI接口同一网段提供ACE与MSFC通信

  service-policy input REMOTE_MGMT_ALLOW_POLICY 远程登陆访问策略(入向 input)

  配置一条缺省路由在ACE模块上

  ip route 0.0.0.0 0.0.0.0 172.25.91.1 缺省路由指向MSFC

  配置一个管理登陆访问策略

  1、ACE上配置远程管理流量,默认是完全禁止的。

  先建立class-map来定义远程管理的流量类型:

  class-map type management match-any REMOTE_ACCESS 名字:REMOTE_ACCESS

  descripttion Remote access traffic match 增加描述

  10 match protocol telnet any 放开telnet,源地址是any

  20 match protocol ssh any 放开 ssh 源地址是any

  30 match protocol icmp any 放开icmp 源地址是any

  2、定义一个policy-map,来调用刚才定义的class-map.

  policy-map type management first-match REMOTE_MGMT_ALLOW_POLICY 名字:REMOTE_MGMT_ALLOW_POLICY

  class REMOTE_ACCESS 调用class-map 名字:REMOTE_ACCESS

  permit 动作为允许

  注:也可以按照思科文档上的实例去deny掉一个协议。

  The following example shows how to create a policy map that restricts an ICMP connection by the ACE:

  host1/Admin(config)# policy-map type management first-action ICMP_RESTRICT_POLICY

  host1/Admin(config-pmap-mgmt)# class ICMP-ALLOW_CLASS

  host1/Admin(config-pmap-mgmt-c)# deny

  3、在ACE上vlan interface的入方向(input方向)上调用这个policy-map

  interface vlan 215

  descripttion Server-Vlan-IOM 描述

  ip address 132.80.241.130 255.255.255.224 VLAN 215的IP地址

  alias 132.80.241.129 255.255.255.224 alias地址

  peer ip address 132.80.241.131 255.255.255.224 另一个65上的另一块冗余的ACE

  no normalization

  no icmp-guard

  service-policy input REMOTE_MGMT_ALLOW_POLICY 接口input入向调用policy-map

  no shutdown

  配置一个虚拟ACE关联

  Admin/Context配置:

  resource-class RC_WEB 资源分类,避免虚拟ACE占用管理ACE资源

  limit-resource all minimum 10.00 maximum equal-to-min 限制使用全部资源的10%

  创建一个虚拟关联,并指派VLAN 到虚拟关联中。

  context VC_WEB

  allocate-interface vlan 60

  allocate-interface vlan 400

  allocate-interface vlan 500

  allocate-interface vlan 1000

  member RC_WEB

  VC_WEB/Context配置:

  host1/Admin# changeto VC_WEB

  VC_WEB/Admin# show running-config

  Generating configuration…

  class-map type management match-any REMOTE_ACCESS

  descripttion Remote access traffic match

  2 match protocol ssh any

  3 match protocol telnet any

  4 match protocol icmp any

  policy-map type management first-match REMOTE_MGMT_ALLOW_POLICY

  class REMOTE_ACCESS

  permit

  service-policy input REMOTE_MGMT_ALLOW_POLICY

  interface vlan 400

  descripttion Client connectivity on VLAN 400

  ip address 10.10.40.1 255.255.255.0

  no shutdown

  interface vlan 500

  descripttion Server connectivity on VLAN 500

  ip address 10.10.50.1 255.255.255.0

  no shutdown

  ip route 0.0.0.0 0.0.0.0 172.25.91.1

  配置一个访问控制列表

  注:以下是思科文档上的说明

  You must configure an ACL on each interface that you want to permit connections. Otherwise, the ACE will deny all traffic on the interface.

  access-list INBOUND line 8 extended permit ip any any 创建ACL允许进入ACE的IP流量

  interface vlan 400

  descripttion Client connectivity on VLAN 400

  ip address 10.10.40.1 255.255.255.0

  access-group input INBOUND 应用到入向Client VLAN

  配置四层交换负载均衡部分

  创建一个RealServer

  Configuring Real Servers

  配置步骤:

  创建一个realserver

  rserver host RS_WEB1 RealServer 的名字 RS_WEB1

  descripttion content server web-one 描述

  ip address 10.10.50.10 realserver真实主机的IP地址

  inservice 激活

  可建立多台realserver,例如:RS_WEB2、RS_WEB3、RS_WEB4、RS_WEB5等等,并且分配给真是服务器IP地址后激活。

  创建一个ServerFarm

  Creates a real server named RS_WEB1 as type host (the default)。

  配置步骤:

  serverfarm host SF_WEB ServerFarm的名字 SF_WEB

  rserver RS_WEB1 80 针对这个主机的协议,如果不跟 eq 则表示所有端口与协议。

  inservice 激活

  rserver RS_WEB2 80 第二台真实主机加入这个ServerFarm

  inservice 救活

  可在一个ServerFarm中增加多台RealServer真实主机,使得提供同一服务的主机隶属于这个Farm中,作为一个集群。

  看过文章“思科如何配置ACE"的人还看了:

  1.思科配置常见问题及其解决方法

  2.思科路由器控制端口连接图解

  3.利用Cisco的ISO命令检测以太网端口故障

  4.Cisco路由器交换机防火墙配置命令详解

  5.如何修改思科路由器端口

  6.cisco 端口限速

  7.思科路由器的控制口接口的连接及做法

  8.CISCO路由器的配置与调试

  9.教你如何设置Cisco路由器安全

  10.cisco 4506端口限速

554460