學(xué)習(xí)啦 > 學(xué)習(xí)電腦 > 網(wǎng)絡(luò)知識(shí) > 路由器 > 路由器設(shè)置 > cisco思科 > 思科如何配置ACE

思科如何配置ACE

時(shí)間: 權(quán)威724 分享

思科如何配置ACE

  思科依靠自身的技術(shù)和對(duì)網(wǎng)絡(luò)經(jīng)濟(jì)模式的深刻理解,成為了網(wǎng)絡(luò)應(yīng)用的成功實(shí)踐者之一,那么你知道思科如何配置ACE嗎?下面是學(xué)習(xí)啦小編整理的一些關(guān)于思科如何配置ACE的相關(guān)資料,供你參考。

  思科配置ACE的方法:

  1、 建立VLAN 而不開啟三層SVI接口(此處略)

  2、 配置VLAN Group組

  svclc vlan-group 50 40, 41,60,100,400,500,1000 Vlan-Group組號(hào) 50 對(duì)應(yīng)的VLAN40, 41,60,100,400,500,1000

  3、配置VLAN Group映射到ACE模塊上

  svclc module 5 vlan-group 50

  3、 配置MSFC支持多個(gè)SVI接口并分配到ACE上。(可選命令)

  svclc multiple-vlan-interfaces

  登陸ACE模塊

  Router# session slot 5 processor 0 通過此命令來登陸到65或76系列設(shè)備上的ACE模塊

  switch login:

  Password:

  配置一個(gè)管理VLAN在ACE模塊上

  interface vlan 1000

  descripttion Management connectivity on VLAN 1000

  ip address 172.25.91.110 255.255.255.0 與65、76上MSFC上的SVI接口同一網(wǎng)段提供ACE與MSFC通信

  service-policy input REMOTE_MGMT_ALLOW_POLICY 遠(yuǎn)程登陸訪問策略(入向 input)

  配置一條缺省路由在ACE模塊上

  ip route 0.0.0.0 0.0.0.0 172.25.91.1 缺省路由指向MSFC

  配置一個(gè)管理登陸訪問策略

  1、ACE上配置遠(yuǎn)程管理流量,默認(rèn)是完全禁止的。

  先建立class-map來定義遠(yuǎn)程管理的流量類型:

  class-map type management match-any REMOTE_ACCESS 名字:REMOTE_ACCESS

  descripttion Remote access traffic match 增加描述

  10 match protocol telnet any 放開telnet,源地址是any

  20 match protocol ssh any 放開 ssh 源地址是any

  30 match protocol icmp any 放開icmp 源地址是any

  2、定義一個(gè)policy-map,來調(diào)用剛才定義的class-map.

  policy-map type management first-match REMOTE_MGMT_ALLOW_POLICY 名字:REMOTE_MGMT_ALLOW_POLICY

  class REMOTE_ACCESS 調(diào)用class-map 名字:REMOTE_ACCESS

  permit 動(dòng)作為允許

  注:也可以按照思科文檔上的實(shí)例去deny掉一個(gè)協(xié)議。

  The following example shows how to create a policy map that restricts an ICMP connection by the ACE:

  host1/Admin(config)# policy-map type management first-action ICMP_RESTRICT_POLICY

  host1/Admin(config-pmap-mgmt)# class ICMP-ALLOW_CLASS

  host1/Admin(config-pmap-mgmt-c)# deny

  3、在ACE上vlan interface的入方向(input方向)上調(diào)用這個(gè)policy-map

  interface vlan 215

  descripttion Server-Vlan-IOM 描述

  ip address 132.80.241.130 255.255.255.224 VLAN 215的IP地址

  alias 132.80.241.129 255.255.255.224 alias地址

  peer ip address 132.80.241.131 255.255.255.224 另一個(gè)65上的另一塊冗余的ACE

  no normalization

  no icmp-guard

  service-policy input REMOTE_MGMT_ALLOW_POLICY 接口input入向調(diào)用policy-map

  no shutdown

  配置一個(gè)虛擬ACE關(guān)聯(lián)

  Admin/Context配置:

  resource-class RC_WEB 資源分類,避免虛擬ACE占用管理ACE資源

  limit-resource all minimum 10.00 maximum equal-to-min 限制使用全部資源的10%

  創(chuàng)建一個(gè)虛擬關(guān)聯(lián),并指派VLAN 到虛擬關(guān)聯(lián)中。

  context VC_WEB

  allocate-interface vlan 60

  allocate-interface vlan 400

  allocate-interface vlan 500

  allocate-interface vlan 1000

  member RC_WEB

  VC_WEB/Context配置:

  host1/Admin# changeto VC_WEB

  VC_WEB/Admin# show running-config

  Generating configuration…

  class-map type management match-any REMOTE_ACCESS

  descripttion Remote access traffic match

  2 match protocol ssh any

  3 match protocol telnet any

  4 match protocol icmp any

  policy-map type management first-match REMOTE_MGMT_ALLOW_POLICY

  class REMOTE_ACCESS

  permit

  service-policy input REMOTE_MGMT_ALLOW_POLICY

  interface vlan 400

  descripttion Client connectivity on VLAN 400

  ip address 10.10.40.1 255.255.255.0

  no shutdown

  interface vlan 500

  descripttion Server connectivity on VLAN 500

  ip address 10.10.50.1 255.255.255.0

  no shutdown

  ip route 0.0.0.0 0.0.0.0 172.25.91.1

  配置一個(gè)訪問控制列表

  注:以下是思科文檔上的說明

  You must configure an ACL on each interface that you want to permit connections. Otherwise, the ACE will deny all traffic on the interface.

  access-list INBOUND line 8 extended permit ip any any 創(chuàng)建ACL允許進(jìn)入ACE的IP流量

  interface vlan 400

  descripttion Client connectivity on VLAN 400

  ip address 10.10.40.1 255.255.255.0

  access-group input INBOUND 應(yīng)用到入向Client VLAN

  配置四層交換負(fù)載均衡部分

  創(chuàng)建一個(gè)RealServer

  Configuring Real Servers

  配置步驟:

  創(chuàng)建一個(gè)realserver

  rserver host RS_WEB1 RealServer 的名字 RS_WEB1

  descripttion content server web-one 描述

  ip address 10.10.50.10 realserver真實(shí)主機(jī)的IP地址

  inservice 激活

  可建立多臺(tái)realserver,例如:RS_WEB2、RS_WEB3、RS_WEB4、RS_WEB5等等,并且分配給真是服務(wù)器IP地址后激活。

  創(chuàng)建一個(gè)ServerFarm

  Creates a real server named RS_WEB1 as type host (the default)。

  配置步驟:

  serverfarm host SF_WEB ServerFarm的名字 SF_WEB

  rserver RS_WEB1 80 針對(duì)這個(gè)主機(jī)的協(xié)議,如果不跟 eq 則表示所有端口與協(xié)議。

  inservice 激活

  rserver RS_WEB2 80 第二臺(tái)真實(shí)主機(jī)加入這個(gè)ServerFarm

  inservice 救活

  可在一個(gè)ServerFarm中增加多臺(tái)RealServer真實(shí)主機(jī),使得提供同一服務(wù)的主機(jī)隸屬于這個(gè)Farm中,作為一個(gè)集群。

  看過文章“思科如何配置ACE"的人還看了:

  1.思科配置常見問題及其解決方法

  2.思科路由器控制端口連接圖解

  3.利用Cisco的ISO命令檢測(cè)以太網(wǎng)端口故障

  4.Cisco路由器交換機(jī)防火墻配置命令詳解

  5.如何修改思科路由器端口

  6.cisco 端口限速

  7.思科路由器的控制口接口的連接及做法

  8.CISCO路由器的配置與調(diào)試

  9.教你如何設(shè)置Cisco路由器安全

  10.cisco 4506端口限速

554460