© British Telecommunications plc

ACE Training

Noviembre 2013
NOC Fibercorp
© British Telecommunications plc

Objetivos
•El objetivo del curso es explicar los conceptos basicos de
configuracion y funcionamiento de los modulos ACE que
actualmente estan dando servicio en el Datacenter.

•Las explicaciones incluiran ejemplos concretos de uso actual
mostrando topologia, configuracion y tips de manejo.

•La asimilacion de esta informacion permitira a los operadores
ejecutar ABM de servicios basicos en las ACE, y realizar los
troubleshooting necesarios para el analisis y resolucion de casos.

© British Telecommunications plc

Agenda
ACE Overview
– Que es un modulo ACE?
– Features y Recuros
– Flujo de Trafico
– Modos de implementacion
– Trafico L3
– Trafico L2
• ACE Administracion
– Switch Supervisor
– Contextos
– Redundancia
•ACE Configuracion
– Interfaces
– Rservers
– Serverfarms
– Load-Balancing Policies
– Probes
– ACE Stickiness
•Tareas Comunes
– Agregar / Quitar rserver de una serverfarm
– Ver el estado de conexiones
– Verifica Stickiness

© British Telecommunications plc

Que es un modulo ACE?
- Procesamiento de trafico en capa 3-7
- Virtualizacion en contextos
- Balanceo de conexiones
- Soporte para conexiones SSL
© British Telecommunications plc

Features
• Throughput 4, 8, or 16 Gbps
• Compression throughput 4 or 6 Gbps (using
GZIP or Deflate)
• Virtual contexts 250
• SSL throughput 6 Gbps
• SSL TPS Up to 30,000 TPS using 1024-bit keys
• Maximum number of Layer 4 connections per
second 500,000 complete transactions sustained
rate
• Maximum number of Layer 7 connections per
second 200,000 complete transactions sustained
rate
• Concurrent connections 4 million
© British Telecommunications plc

ACE Connection Handling
• ACE can handle a maximum of 4 million concurrent
connections
• Will continually monitor all connections to check
whether the connection has closed, and resources
can be freed and made available for new connections

• TCP is normally simple – watch for FIN or RST
• Impossible to tell for UDP, or “broken” TCP
connections

© British Telecommunications plc

ACE Connection Handling
ACE idle timers
• TCP default = 1 hour
• UDP default = 2 minutes
• ICMP default = 2 seconds

DNS, RADIUS etc LB may need to reduce the timeout so the
connection entry does not stay up unnecessarily
With default timers 33K DNS requests per second will utilise 100%
of connections (within 2 minutes)

Use connection “parameter map” to change the setting
Value = 0 to 4294967294 seconds (136 years )
Set timeout to zero to disable the timeout (connection will stay up
for ever)

© British Telecommunications plc

Recursos
ACE30SW1/Admin# sh license status

Licensed Feature Count
------------------------------------ -----
SSL transactions per second 30000
Virtualized contexts 250
Module bandwidth in Gbps 4.0
Compression Performance in Mbps 6000
ACE30SW1/Admin# sh resource usage summary
Allocation
Resource Current Peak Min Max Denied
-------------------------------------------------------------------------------
Context: Summary
conc-connections 327171 8882360 2960064 7999900 0
mgmt-connections 12 5526 37064 99900 0
proxy-connections 27 268 387972 1048572 0
xlates 0 0 387972 1048572 0
bandwidth 109464592 850096911 187037504 622500000 0
throughput 109123536 837016303 185787504 498750000 0
mgmt-traffic rate 341056 13080608 1250000 123750000 0
connection rate 154945 416379 222064 599900 0
ssl-connections rate 0 18 11100 30000 0
mac-miss rate 0 1684 740 2000 0
inspect-conn rate 0 0 88800 240000 0
http-comp rate 0 0 290979840 786432000 0
to-cp-ipcp rate 0 13 1852 5000 0
acl-memory 265584 286528 29081648 78608304 0
Actual Min: 0
sticky 5840 10330 1551892 4194304 0
Actual Min: 0
regexp 52 52 387973 1048576 0
Actual Min: 0
syslog buffer 4194304 4194304 1551360 4194304 0
syslog rate 3 18 37000 100000 0
© British Telecommunications plc

Flujo de Trafico
• El flujo de trafico para el balanceo de conexiones
opera L2/L3/L4

© British Telecommunications plc

TCP Connection
Server
Client
SYN
SYN_ACK
ACK
Data
ACK
Data
More Data
ACK
FIN
ACK
ACK
FIN
Initialize
Use
Close
© British Telecommunications plc

Flujo de Trafico
© British Telecommunications plc

Flujo de Trafico
© British Telecommunications plc

Flujo de Trafico
© British Telecommunications plc

Layer 3 & Layer 4 Load-balancing
• L3 & L4 information is present in the first packet of
the flow:
Source IP address
Destination IP address
IP Protocol
Protocol ports

• Load-balancing can be made on first packet of a flow
© British Telecommunications plc

Layer 3/4 Flow Setup
SYN
SYN
Identifies VIP (matches class-map)
Selects Server Farm
Makes Load Balancing Decision
© British Telecommunications plc

Layer 3/4 Flow Setup
SYN
SYN_ACK
ACK
Data
SYN
Identifies VIP (matches class-map)
Selects Server Farm
Makes Load Balancing Decision
© British Telecommunications plc

Modos de configuracion
• Modo Bridge: Los servidores tiene como Default
Gateway el mismo router de upstream.
© British Telecommunications plc

Modos de configuracion
• Modo Routed: Los servidores tiene como Default
Gateway a la ACE.
© British Telecommunications plc

Modos de configuracion
• Modo One-Arm: Los servidores tienen como Default
Gateway el router de upstream y estan en diferente
subnet que la ACE, quien usara NATs en el flujo.
© British Telecommunications plc

Modos de configuracion
• Modo Direct Server Return o Asimetrico: Los
servidores tiene como Default Gateway el router de
upstrem pero el trafico vuelve sin pasar por la ACE
© British Telecommunications plc

Trafico Layer 3
• En el modeo ROUTED, la ACE posee las caracteristicas de un router,
con interfaces SVI y una tabla de ruteo. Aun en caso de no haber
serverfarms, rservers o VIP declaradas, la ACE procesa el trafico como
cualquier router.

ACE30SW1/Clarin# sh ip int br
Interface IP-Address Status Protocol
vlan110 10.120.0.86 up up
vlan306 200.42.136.2 up up
vlan307 172.18.52.188 up up
vlan326 10.10.20.124 up up
vlan1200 10.120.9.164 up up

ACE30SW1/Clarin# sh ip route

Codes: H - host, I - interface
S - static, N - nat
A - need arp resolve, E - ecmp

Destination Gateway Interface Flags
------------------------------------------------------------------------
0.0.0.0 172.18.52.185 vlan307 S [0xc]
10.200.60.0/24 10.120.0.1 vlan110 S [0xc]
200.42.136.0/24 0.0.0.0 vlan306 IA [0x30]
10.200.40.0/24 10.120.0.1 vlan110 S [0xc]
10.200.41.0/24 10.120.0.1 vlan110 S [0xc]
10.120.0.0/24 0.0.0.0 vlan110 IA [0x30]
10.10.20.64/26 0.0.0.0 vlan326 IA [0x30]
172.18.52.184/29 0.0.0.0 vlan307 IA [0x30]
10.120.9.160/29 0.0.0.0 vlan1200 IA [0x30]
172.16.15.56/32 10.120.0.1 vlan110 S [0xc]
© British Telecommunications plc

Trafico Layer 2
• La ACE procesa trafico Layer 2 y posee una tabla ARP para
todos los rservers, interfaces y VIPs

ACE30SW1/Clarin# sh arp
================================================================================
IP ADDRESS MAC-ADDRESS Interface Type Encap NextArp(s) Status
================================================================================
10.120.0.1 00.26.ca.1f.e3.80 vlan110 GATEWAY 79 68 sec up
10.120.0.86 00.12.43.dc.77.05 vlan110 INTERFACE LOCAL _ up
10.120.0.88 58.bf.ea.be.ca.c0 vlan110 LEARNED 970 651 sec up
10.120.0.89 00.50.56.a4.01.6a vlan110 LEARNED 992 5653 sec up
10.120.0.98 e0.5f.b9.ab.4a.31 vlan110 LEARNED 975 13694 sec up
10.120.0.99 e0.5f.b9.ab.49.6f vlan110 LEARNED 976 13694 sec up
10.120.0.135 00.12.43.dc.6f.04 vlan110 LEARNED 973 3299 sec up
10.120.0.136 00.12.43.dc.73.05 vlan110 LEARNED 977 5193 sec up
200.42.136.1 00.0b.fc.fe.1b.05 vlan306 ALIAS LOCAL _ up
200.42.136.2 e0.5f.b9.a1.69.47 vlan306 INTERFACE LOCAL _ up
200.42.136.3 e0.5f.b9.a1.67.95 vlan306 LEARNED 856 273 sec up
200.42.136.82 00.0b.fc.fe.1b.05 vlan306 VSERVER LOCAL _ up
200.42.136.83 00.22.19.62.af.7c vlan306 RSERVER 85 21 sec up
200.42.136.84 00.22.19.63.19.75 vlan306 RSERVER 948 221 sec up
200.42.136.85 00.22.19.63.02.b9 vlan306 RSERVER 86 21 sec up
200.42.136.86 00.22.19.63.05.6e vlan306 RSERVER 788 38 sec up
200.42.136.87 00.22.19.63.1a.a9 vlan306 RSERVER 88 22 sec up
200.42.136.88 00.0b.fc.fe.1b.05 vlan306 VSERVER LOCAL _ up
© British Telecommunications plc

Agenda
ACE Overview
– Que es un modulo ACE?
– Features y Recuros
– Flujo de Trafico
– Modos de implementacion
– Trafico L3
– Trafico L2
• ACE Administracion
– Switch Supervisor
– Contextos
– Redundancia
•ACE Configuracion
– Interfaces
– Rservers
– Serverfarms
– Load-Balancing Policies
– Probes
– ACE Stickiness
•Tareas Comunes
– Agregar / Quitar rserver de una serverfarm
– Ver el estado de conexiones
– Verifica Stickiness

© British Telecommunications plc

Switch Supervisor
• Desde el switch supervisor se pueden listar todos los modulos
instalados y su numero de Serial Number para identificarlo
fisicamente.

RHH-HORNOS-VSS#sh module switch 1
Switch Number: 1 Role: Virtual Switch Active
---------------------- -----------------------------
Mod Ports Card Type Model Serial No.
--- ----- -------------------------------------- ------------------ -----------
1 48 CEF720 48 port 10/100/1000mb Ethernet WS-X6748-GE-TX SAL1404A0SY
2 24 CEF720 24 port 1000mb SFP WS-X6724-SFP SAL14028CXB
3 6 Firewall Module WS-SVC-FWM-1 SAD140400YX
4 1 Application Control Engine Module ACE20-MOD-K9 SAD140100E5
5 5 Supervisor Engine 720 10GE (Active) VS-S720-10G SAD121505ZB
6 1 Application Control Engine Module ACE30-MOD-K9 SAL1506723R
7 16 CEF720 16 port 10GE WS-X6716-10GE SAL140289Z9
8 16 CEF720 16 port 10GE WS-X6716-10GE SAL150140Q2
9 6 Firewall Module WS-SVC-FWM-1 SAL150568JR

Mod MAC addresses Hw Fw Sw Status
--- ---------------------------------- ------ ------------ ------------ -------
1 0026.990c.1db4 to 0026.990c.1de3 3.4 12.2(18r)S1 12.2(33)SXI4 Ok
2 8843.e133.cbb0 to 8843.e133.cbc7 4.3 12.2(18r)S1 12.2(33)SXI4 Ok
3 c47d.4fbe.38f0 to c47d.4fbe.38f7 4.5 7.2(1) 4.0(10) Ok
4 001f.6cbe.0f82 to 001f.6cbe.0f89 2.6 ace2t_main_d A2(3.6a) Ok
5 001e.4aab.1be8 to 001e.4aab.1bef 2.2 8.5(3) 12.2(33)SXI4 Ok
6 e05f.b9a1.6946 to e05f.b9a1.694d 1.0 ace2t_main_d A4(2.3) Ok
7 0026.cbb2.71a0 to 0026.cbb2.71af 1.1 12.2(18r)S1 12.2(33)SXI4 Ok
8 1cdf.0ffd.7ac8 to 1cdf.0ffd.7ad7 1.0 12.2(18r)S1 12.2(33)SXI4 Ok
9 f866.f2b1.bd18 to f866.f2b1.bd1f 4.5 7.2(1) 4.1(7) Ok

© British Telecommunications plc

Management desde Switch Supervisor
• Se pueden ejecutar comandos para booteo,
encendido y apagado del modulo.

RHH-HORNOS-VSS#hw-module switch 1 module 4 ?
boot Specify boot options for the module through Power Management Bus control register
reset Reset specified component
simulate Simulate options for the module

RHH-HORNOS-VSS#conf t
Enter configuration commands, one per line. End with CNTL/Z.
RHH-HORNOS-VSS(config)#power ?
cycle power cycle a module (deprecated)
enable module slot power control
redundancy-mode set power supply redundancy mode

Encendido
RHH-HORNOS-VSS(config)#power enable switch 1 module 4

Apagado
RHH-HORNOS-VSS(config)#no power enable switch 1 module 4

© British Telecommunications plc

Acceso desde Switch Supervisor
• Si bien los modulos ACE tienen habilitada la
adminitracion remota via SSH o telnet, habitualmente
los accedemos desde el switch supervisor

RHH-HORNOS-VSS#sh aliases | i ace
ace1 session switch 1 slot 4 processor 0
ace2 session switch 2 slot 4 processor 0
ace301 session switch 1 slot 6 processor 0
ace302 session switch 2 slot 6 processor 0

RHH-HORNOS-VSS#session switch 1 slot 4 processor 0
The default escape character is Ctrl-^, then x.
You can also type 'exit' at the remote prompt to end the session
Trying 127.0.0.40 ... Open

ACE-ACTIVE login:

• Processor “0” = Control Plane CPU for configuration
• Processor “1” = NP1
• Processor “2” = NP2




© British Telecommunications plc

Administracion de VLANs en la ACE
• Las VLAN necesarias para los servicios son
inyectadas a los modulos ACE
© British Telecommunications plc

Configurar VLANs en la ACE
– Creación de las VLAN
en el Switch.
– Agrupar las VLAN en un
VLAN Group.
– Asignar el VLAN Group
a una modulo.
vlan 7,2001-2003, 3502,3504

svclc multiple-vlan-interfaces
svclc module 1 vlan-group 1
svclc vlan-group 1 7,2001,2002
© British Telecommunications plc

Configurar VLANs en la ACE (cont)
– Creacion de las VLAN
en el Switch.
– Agrupar las VLAN en un
VLAN Group.
– Asignar el VLAN Group
a una modulo.

vlan 7,2001-2003, 3502,3504

svclc multiple-vlan-interfaces
svclc module 1 vlan-group 1
svclc vlan-group 1 7,2001,2002
© British Telecommunications plc

Configurar VLANs en la ACE (cont)
– Creacion de las VLAN
en el Switch.
– Agrupar las VLAN en un
VLAN Group.
– Asignar el VLAN Group
a una modulo.
vlan 7,2001-2003, 3502,3504

svclc multiple-vlan-interfaces
svclc module 1 vlan-group 1
svclc vlan-group 1 7,2001,2002
© British Telecommunications plc

Configurar VLANs en la ACE
• Ejemplo para el servicio CMD

clarin2-hornos#sh run | i svclc

svclc multiple-vlan-interfaces
svclc module 8 vlan-group 1
svclc vlan-group 1 110,631,632,649,669,670

clarin2-hornos#sh svclc vlan-group 1
Group Created by vlans
----- ---------- -----
1 ACE 110,631-632,649,669-670

clarin2-hornos#sh svclc module
Module Vlan-groups
------ -----------
08 1


© British Telecommunications plc

Configurar VLANs en la ACE
•Ejemplo AGEA - Clasificados

RHH-HORNOS-VSS#sh svclc vlan-group
Display vlan-groups created by both ACE module and FWSM commands

Group Created by vlans
----- ---------- -----
1 FWSM 101,110,955
2 FWSM 99,115,213-216,220,323,709,750,800-818,821,850,915,917-918,957,966,972-
976,1960,1962-1972,1975-1981,1984-1985,1987-1988,2008,2012,2015-2016,2018,2600
3 ACE 100
4 FWSM 300,303,309,312,315,325,327-328,663,913,916,1201-1203
5 FWSM 200-209,221-223,225-229,301,304,310,313,316,910,912,914,950,954,1994
6 FWSM 210,302,305,311,314,317-318,911
7 FWSM 80,212,306,326,951,958,1200,2500-2503
8 FWSM 81,308
9 FWSM 197,321,350,352-354,851-870,1800-1803,1805-1806,1809,1974
10 FWSM 320,351,2000-2001,2017
11 FWSM 319,707,2002,2107
12 ACE 307
15 ACE 2049

RHH-HORNOS-VSS#sh svclc switch 1 module 4 vlan-group
Module Vlan-groups
------ -----------
04 1,3,4,5,10,11,15

RHH-HORNOS-VSS#sh firewall switch 1 module 3 vlan-group
Module Vlan-groups
------ -----------
03 1,2,5,6,9,10

v301 v300 v302
Group 5 Group 4 Group 6
© British Telecommunications plc

Contextos
© British Telecommunications plc

Creacion de Contextos
• Podemos listar las VLAN que son pasadas desde el
Switch Supervisor
• Luego esas VLAN son asignadas a los contextos
para ser usadas.
bncmnace02/Admin# show vlan
Vlans configured on SUP for this module
vlan7 vlan2001-2003

bncmnace02/Admin#config
Enter configuration commands, one per line. End with CNTL/Z.
bncmnace02/Admin(config)# context development
bncmnace02/Admin(config-context)# allocate-interface vlan 7
bncmnace02/Admin(config-context)# allocate-interface vlan 2001-2003
bncmnace02/Admin(config-context)# exit
bncmnace02/Admin(config)# exit
© British Telecommunications plc

Ejemplo de Contextos
ACE-ACTIVE/Admin# sh vlans
Vlans configured on SUP for this module
vlan100-101 vlan110 vlan200-209 vlan221-223 vlan225-229 vlan300-301 vlan303-304
vlan309-310 vlan312-313 vlan315-316 vlan319-320 vlan325 vlan327-vlan351 vlan707
vlan910 vlan912-914 vlan916 vlan950 vlan954-955 vlan1201-1203 vlan1994 vlan2000-2002
vlan2017 vlan2049 vlan2107

ACE-ACTIVE/Admin# sh context CLASIFICADOS

Name: CLASIFICADOS , Id: 1
Config count: 480
Description: Contexto para AGEA-Clasificados
Resource-class: CLASIFICADOS
Vlans: Vlan110, Vlan300-301, Vlan325, Vlan1201


ACE-ACTIVE/Admin# sh run
Generating configuration....

context CLASIFICADOS
description Contexto para AGEA-Clasificados
allocate-interface vlan 110
allocate-interface vlan 300-301
allocate-interface vlan 325
allocate-interface vlan 1201

© British Telecommunications plc

Acceso a los Contextos
ACE-ACTIVE/Admin# changeto CLASIFICADOS
ACE-ACTIVE/CLASIFICADOS#
Acceso al
contexto
Desde el contexto Admin…
… tambien se puede acceder via telnet/SSH a
la interfaz de MGMT si esta fue creada y dados
los permisos
© British Telecommunications plc

Redundancia
• Dos ACE forman un cluster redundante
• Se requiere solo una VLAN para la comunicacion Fault
Tolerance (FT) entre las ACE
• Los modulos pueden estan en el mismo o en diferente Chassis
• Ambos modulos pueden estar activos al mismo tiempo,
procesando trafico para algunos contextos y de backup para
otros (stateful redundancy)
Ejemplo:
2 modulos ACE
4 Grupos FT
4 Contextos Virtuales
© British Telecommunications plc

Redundancia
• La VLAN Fault-Tolerance (/30) comunica los packetes FT:
heart-beats, sincronizacion de la configuracion y el estado de
conexiones
• La sincronizacion de la configuracion (bulk & incremental) y la
replicacion del estado de conexiones esta habilitada por default
• Los archivos SSL (keys y certificados) no son replicados
• Parecido al HSRP, a cada contexto le es asignada una
prioridad, y aquel con mayor prioridad pasa a ser Master
• Normalmente se recomienda el uso de preemt para volcar el
trafico automaticamente a una ACE recuperada de una falla.
• Es posible sobresuscribir recursos en ambas ACE (modo
active/active). Sin embargo la falla de una de las ACE (o de su
uplink/downlink) reducira la capacidad por la mitad
© British Telecommunications plc

Redundancia
ACE-ACTIVE/IECO# sh ft group brief
FT Group ID: 6 My State:FSM_FT_STATE_STANDBY_HOT Peer State:FSM_FT_STATE_ACTIVE
Context Name: IECO Context Id: 5 Running Cfg Sync Status: Successful

ACE-ACTIVE/Admin# sh run
Generating configuration....

...

ft interface vlan 100
ip address 10.1.1.1 255.255.255.252
peer ip address 10.1.1.2 255.255.255.252
no shutdown

ft peer 1
heartbeat interval 1000
heartbeat count 10
ft-interface vlan 100
ft group 1
peer 1
no preempt
priority 120
associate-context Admin
inservice

...

ft group 2
peer 1
priority 120
associate-context CLASIFICADOS
inservice
ft group 3
peer 1
priority 120
associate-context GRANDT
inservice

...
© British Telecommunications plc

Redundancia
• La ACE permite configurar
objetos de tracking para
comprobar que la
comunicacion de red hacia el
exterior (uplink y downlink)
esta viva.

ACE-ACTIVE/IECO# sh run
Generating configuration....

ft track host GATEWAY
track-host 172.18.52.217
peer track-host 172.18.52.217
peer probe GATEWAY
probe GATEWAY
priority 40
peer priority 40
ft track interface INTERF-SERVERS
track-interface vlan 312
peer track-interface vlan 312
priority 40
peer priority 40
ft track interface INTERF-UPLINK
track-interface vlan 313
peer track-interface vlan 313
priority 40
peer priority 40

ACE-ACTIVE/IECO# sh ft track status

FT Group : 6
Status : in-service
Maintenance mode : MAINT_MODE_OFF
My State :
FSM_FT_STATE_STANDBY_HOT
My Config Priority : 100
My Net Priority : 100
My Preempt : Enabled
Context Name : IECO
Context Id : 5
Track Name : INTERF-UPLINK
Track type : TRACK_INTF
Vlan Id : 313
State : TRACK_UP

Track Name : INTERF-SERVERS
Track type : TRACK_INTF
Vlan Id : 312
State : TRACK_UP

Track Name : GATEWAY
Track type : TRACK_HOST
Host IP Address : 172.18.52.217
State : TRACK_UP

Probe name : GATEWAY
State : TRACK_UP
© British Telecommunications plc

Agenda
ACE Overview
– Que es un modulo ACE?
– Features y Recuros
– Flujo de Trafico
– Modos de implementacion
– Trafico L3
– Trafico L2
• ACE Administracion
– Switch Supervisor
– Contextos
– Redundancia
•ACE Configuracion
– Interfaces
– Rservers
– Serverfarms
– Load-Balancing Policies
– Probes
– ACE Stickiness
•Tareas Comunes
– Agregar / Quitar rserver de una serverfarm
– Ver el estado de conexiones
– Verifica Stickiness

© British Telecommunications plc

ACE Interfaces
• La ACE actua como un Firewall
– Por default, el trafico no esta permitido ya sea a
traves o hacia la ACE

• Se requiere una ACL del tipo “management” para
el trafico dirigido a la ACE

• Se requiere una ACL para el trafico que pasa a
traves de la ACE
© British Telecommunications plc

ACE Interfaces
• Las ACL pueden estar aplicadas sobre una interfaz o a nivel global (sobre todas
las interfaces)

ACE-ACTIVE/CLASIFICADOS# sh run
Generating configuration....

access-list ROUTED line 5 extended permit ip any any

interface vlan 300
description SFARM-VLAN
ip address 200.42.93.240 255.255.255.192
alias 200.42.93.193 255.255.255.192
peer ip address 200.42.93.241 255.255.255.192
access-group input ROUTED
access-group output ROUTED

ACE30SW1/Clarin# sh run
Generating configuration....

access-list ROUTED line 5 extended permit ip any any

access-group input ROUTED
© British Telecommunications plc

Rservers
• Los Real Servers (rserver) son los servidores fisicos dedicados que se
usaran para agruparlos en las distintas serverfarms. Estos servidores
proveen servicios a los clientes, tales como HTTP, streaming, FTP, etc.
Los rserver se configuran dandoles un nombre y direccion IP.
• A los rservers se les puede aplicar parametros tales como descripcion,
peso (weight) y limites de uso (conn-limit, rate-limit)

ACE-ACTIVE/CLASIFICADOS# sh run
Generating configuration....

rserver host PROXYSRV1
ip address 200.42.93.196
description accounting
conn-limit max 2000000 min
weight 4
inservice


ACE-ACTIVE/CLASIFICADOS# sh rserver SQUIDL3-1

rserver : SQUIDL3-1, type: HOST
state : OPERATIONAL (verified by arp response)
---------------------------------
----------connections-----------
real weight state current total
---+---------------------+------+------------+----------+--------------------
serverfarm: DAUTOS-SFARM
10.10.20.11:0 8 OPERATIONAL 6810 25325575
serverfarm: TEST-DEAUTOS-DRP-L3
10.10.20.11:0 8 OPERATIONAL 0 0
© British Telecommunications plc

Serverfarms
• Las Serverfarms son grupos de Rservers que poseen el
mismo contenido y normalmente estan en la misma ubicación
fisica dentro de un Datacenter. Los sitios web a menudo se
componen de grupos de servidores en una serverfarm. El
software de balanceo distribuye las conexiones de los usuarios
entre los distintos Rservers basandose en las politicas de
clasificacion de trafico, disponibilidad de servidores, acho de
banda, y otros factores. Si un servidor deja de funcionar, habra
otro que puede tomar su lugar y continuar proveyendo el mismo
contenido a los usuarios que lo solicitan.

© British Telecommunications plc

Serverfarms

ACE-ACTIVE/CLASIFICADOS# sh run
Generating configuration....

serverfarm host BUSCAINMUEBLE-SFARM
predictor leastconns slowstart 30
probe PORT-WWW-BUSCAINMUEBLE
rserver INM-SQUID-L3-01
inservice
rserver INM-SQUID-L3-02
inservice
rserver PROXYSRV1
inservice
rserver PROXYSRV2
rserver PROXYSRV5
inservice

ACE-ACTIVE/CLASIFICADOS# sh serverfarm BUSCAINMUEBLE-SFARM
serverfarm : BUSCAINMUEBLE-SFARM, type: HOST
total rservers : 5
---------------------------------
----------connections-----------
real weight state current total failures
---+---------------------+------+------------+----------+----------+---------
rserver: INM-SQUID-L3-01
10.10.20.21:0 4 OPERATIONAL 235 221 0
rserver: INM-SQUID-L3-02
10.10.20.22:0 4 OPERATIONAL 227 341 0
rserver: PROXYSRV1
200.42.93.196:0 4 PROBE-FAILED 0 0 0
rserver: PROXYSRV2
200.42.93.197:0 4 OUTOFSERVICE 0 0 0
rserver: PROXYSRV5
200.42.93.223:0 4 OPERATIONAL 269 126 1
© British Telecommunications plc

Serverfarms
Parametros Adicionales

Predictor: Se configura el motodo mediante el cual la ACE toma las decisiones de balanceo
hash Configure 'hash' Predictor algorithms
least-bandwidth Configure 'least bandwidth' Predictor algorithm
least-loaded Configure 'least loaded' predictor algorithm
leastconns Configure 'least conns' Predictor algorithm
response Configure 'response' Predictor algorithm
roundrobin Configure 'round robin' Predictor algorithm (default)

conn-limit: Se establece un maximo de conexiones para ese rserver
Weight: Se utiliza para establecer una relacion de pesos entre los rserver

serverfarm host BUSCAINMUEBLE-SFARM
predictor leastconns slowstart 30
probe PORT-WWW-BUSCAINMUEBLE
rserver INM-SQUID-L3-01
inservice
rserver INM-SQUID-L3-02
inservice
rserver PROXYSRV1
weight 10
inservice
rserver PROXYSRV2
rserver PROXYSRV5
conn-limit max 8000 min 6000
inservice

© British Telecommunications plc

Configuracion Load-Balancing
1. Crear un class-map L3/L4 donde se define el criterio de
matcheo (VIP - puerto)
2. Crear la policy-map de balanceo donde se definen las
acciones a realizar sobre dicho trafico (sticky – serverfarm)
3. Crear una policy-map multi-match donde se agrupan los
class-maps L3/L4 y las policy-maps de balanceo
4. Activar la policy-map multimatch para que procese el trafico
ya sea sobre una interfaz o globalmente
class-map C1
match <criteria>
policy-map type loadbalance P1
<action>
interface vlanX
service-policy input MMP1
policy-map multi-match MMP1
match C1
policy P1
match C2
policy P2
© British Telecommunications plc

ACE Layer 3 Policy
•La direccion IP destino del paquete entrante debe
matchear la direccion VIP del class map
•Cualquier protocolo (TCP/UDP)
•Cualquier port
ACE Layer 4 Policy
•La direccion IP destino del paquete entrante debe
matchear la direccion VIP del class map
• Match del Protocolo
• Match del Puerto

© British Telecommunications plc

Configuracion Load-Balancing
Balanceo por VIP + Puerto

class-map match-any DAUTOS
2 match virtual-address 200.42.93.225 tcp eq www

policy-map type loadbalance first-match DAUTOS
class class-default
serverfarm DAUTOS-SFARM

policy-map multi-match BALANCEO
class DAUTOS
loadbalance vip inservice
loadbalance policy DAUTOS
loadbalance vip icmp-reply

service-policy input BALANCEO

Balanceo por VIP

class-map match-any SARM_THF
2 match virtual-address 10.111.255.67 any

policy-map type loadbalance first-match SARM_THF
class class-default
serverfarm SARM_THF

policy-map multi-match BALANCEO
class SARM_THF
loadbalance vip inservice
loadbalance policy SARM_THF
loadbalance vip icmp-reply

service-policy input BALANCEO
© British Telecommunications plc

Probes

• Para detectar fallas y tomar decisiones de balanceo confiables, se puede
configurar la ACE para verificar el estado de los servidores y de las serverfarms
enviando periodicamente health-probes.

• Los probes se configuran en la ACE para realizar conexiones activas y
explicitamente enviar trafico a los servidores. Luego la ACE evalua la respuesta
del servidor para determinar el estado de salud del mismo.

• Cuando la ACE determina el estado de salid de un servidor, el resultado puede
ser alguno de los siguientes:
- Passed : El servidor devolvio una respuesta valida
- Failed : El servidor fallo en proveer una respuesta valida dentro de una
cantidad de intentos o tiempo especificados

• Cuando un servidor falla al responder un probe, la ACE saca al servidor de la
linea de balanceo para evitar que los usuarios accedan al servidor con fallas.

• Un probe puede ser de diferentes tipos, incluyendo TCP, UDP, ICMP, Telnet y
HTTP. Tambien se pueden configurar scripts usando el lenguaje de scripting
TCL
© British Telecommunications plc

Probes
probe icmp GATEWAY (Nombre y tipo de probe)
interval 4 (cada cuanto se ejecuta)
passdetect interval 8 (cada cuanto se ejecuta estando FAILED)
passdetect count 2 (cuantos OK debe tener antes de volver a ponerlo en linea)

probe http PORT-WWW-ARGENPROP
interval 6
passdetect interval 12
passdetect count 2
request method head (el request HTTP solo pide el header de la pagina)
expect status 200 200 (La respuesta HTTP que se espera es 200 HTTP OK)
header Host header-value www.argenprop.com (el request http se hace para el dominio indicado)

probe http PORT-WWW-GET-DEAUTOS
interval 30
passdetect interval 60
passdetect count 1
request method get url /test/index.html (request HTTP pide la pagina entera para ese URL)
expect status 200 200
header Host header-value www.deautos.com

© British Telecommunications plc

Probes
Un probe puede aplicarse de diferentes formas:

• En un rserver : El probe se ejecuta solo sobre ese rserver. En
caso de falla el server sera sacado de linea de TODAS las
serverfarms donde este configurado
• En una serverfarm: El probe se ejecuta sobre todos los rserver
de esa serverfarm. En caso de falla se saca de linea al rserver
en falla solo para esa serverfarm
• En un rserver de una serverfarm: El probe se ejecuta solo en el
rserver aplicado de esa serverfarm. En caso de falla se saca de
linea al server solo de esa serverfarm
• Los probes pueden aplicarse de formas combinada y multiple.
Con solo fallar un probe el rserver sera sacado de linea
© British Telecommunications plc

Probes
rserver host DAUTOSSRV3
ip address 200.42.93.233
probe PORT-WWW-HEAD
inservice

serverfarm host DAUTOS-SFARM-MICUENTA
predictor leastconns slowstart 30
probe PORT-WWW-HEADER-DEAUTOS
rserver DAUTOSSRV3
inservice
rserver IIS1L3-1
inservice
rserver IIS1L3-2
inservice

serverfarm host DAUTOS-SFARM-MICUENTA
predictor leastconns slowstart 30
probe PORT-WWW-HEADER-DEAUTOS
rserver DAUTOSSRV3
probe PORT-WWW-HEAD
inservice
rserver IIS1L3-1
inservice
rserver IIS1L3-2
inservice


© British Telecommunications plc

Probes
• Con el comando “show probe nombre detail” se pueden ver los parámetros y el estado
completo del probe, incluyendo la ultima vez que fallo y el motivo.

ACE-ACTIVE/CLASIFICADOS# sh probe PORT-WWW-HEADER-DEAUTOS detail

probe : PORT-WWW-HEADER-DEAUTOS
type : HTTP
state : ACTIVE
description :
----------------------------------------------
port : 80 address : 0.0.0.0 addr type : -
interval : 10 pass intvl : 12 pass count : 2
fail count: 3 recv timeout: 10
http method : GET
http url : /
conn termination : GRACEFUL
expect offset : 0 , open timeout : 10
regex cache-len : 0
expect regex : -
send data : -
--------------------- probe results --------------------
probe association probed-address probes failed passed health
------------------- ---------------+----------+----------+----------+-------
serverfarm : DAUTOS-SFARM-MICUENTA
real : DAUTOSSRV3[0]
200.42.93.233 168261 1217 167044 FAILED

Socket state : CLOSED
No. Passed states : 13 No. Failed states : 13
No. Probes skipped : 35 Last status code : 404
No. Out of Sockets : 0 No. Internal error: 0
Last disconnect err : Received invalid status code
Last probe time : Wed Sep 25 14:37:01 2013
Last fail time : Wed Sep 25 14:04:14 2013
Last active time : Mon Sep 23 14:57:45 2013
© British Telecommunications plc

ACE Stickiness
• Es requerida cuando se necesita que sesiones multiples del
mismo usuario (concurrentes o subsecuentes), sean enviadas
al mismo rserver.

• Muchas aplicaciones funcionan haciendo que el cliente inicie
multiples conexiones Ej. Sesiones HTTP de una pagina web

• Sin sticky, si la ACE esta configurada para balanceo por round-
robin, least-connn etc, entonces las conexiones del mismo
cliente probablemente seran enviadas a distintos rservers.

• Estando activo el modo sticky, al ingresar una nueva conexion y
no habiendo una entrada en la tabla sticky, entonces el
predictor configurado en la serverfarm es usado para elegir a
que rserver se envia la conexion. En este punto, se crea una
entrada en la tabla sticky, y puede ser usada luego para las
conexiones subsecuentes (hasta que la entrada se borre por
time-out)
© British Telecommunications plc

Source IP Stickiness
• Ventajas
– Simple de configurar y hacer troubleshooting

• Desventajas
– Los proxy servers que pudieran haber en el camino
haciendo NAT, mostraran una sola ip de origen para
muchas conexiones. El resultado sera que todos esos
usuarios seran enviado al mismo rserver
– Esos mismos mega proxies podrian cambiar de IP de
momento a otro dejando muchas coneixones
inconsistentes.

© British Telecommunications plc

ACE Stickiness
Es importante conocer el perfil de aplicacion y usuarios
antes de decidir si usar sticky y que metodo.
La ACE puede hacer sticky de lo siguiente:
•RADIUS attributes
•RTSP Header
•SIP Header
•SSL Session ID
•Source/Dest IP address
•Layer 4 Payload
•HTTP Content
•HTTP Cookie
•HTTP Header
© British Telecommunications plc

ACE Stickiness
Servicio con Sticky

sticky ip-netmask 255.255.255.224 address source EMPLEOSCL-STICKY
timeout 30
serverfarm EMPLEOSCL-SFARM

policy-map type loadbalance first-match EMPLEOSCL
class class-default
sticky-serverfarm EMPLEOSCL-STICKY

policy-map multi-match BALANCEO
class EMPLEOSCL
loadbalance vip inservice
loadbalance policy EMPLEOSCL
loadbalance vip icmp-reply

Servicio sin Sticky

policy-map type loadbalance first-match CALLEJEROS-POLICY
class class-default
serverfarm CALLEJEROS-SFARM

policy-map multi-match BALANCEO
class CALLEJEROS
loadbalance vip inservice
loadbalance policy CALLEJEROS-POLICY
loadbalance vip icmp-reply
© British Telecommunications plc

Agenda
ACE Overview
– Que es un modulo ACE?
– Features y Recuros
– Flujo de Trafico
– Modos de implementacion
– Trafico L3
– Trafico L2
• ACE Administracion
– Switch Supervisor
– Contextos
– Redundancia
•ACE Configuracion
– Interfaces
– Rservers
– Serverfarms
– Load-Balancing Policies
– Probes
– ACE Stickiness
•Tareas Comunes
– Agregar / Quitar rserver de una serverfarm
– Ver el estado de conexiones
– Verifica Stickiness

© British Telecommunications plc

Tareas Comunes
• Agregar / Quitar rserver de una serverfarm

ACE-BACKUP/IECO# conf t
Enter configuration commands, one per line. End with CNTL/Z.
ACE-BACKUP/IECO(config)# serverfarm Subscripciones.Agea
ACE-BACKUP/IECO(config-sfarm-host)# rserver AGSLX-WSSUSC2
ACE-BACKUP/IECO(config-sfarm-host-rs)# inservice

ACE-BACKUP/IECO# conf t
Enter configuration commands, one per line. End with CNTL/Z.
ACE-BACKUP/IECO(config)# serverfarm Subscripciones.Agea
ACE-BACKUP/IECO(config-sfarm-host)# rserver AGSLX-WSSUSC2
ACE-BACKUP/IECO(config-sfarm-host-rs)# no inservice

• El rserver puede configurarse agregandole un puerto de destino. De esta forma la ACE reescribira el puerto
de destino al hacer el balanceo. Si no ponemos nada se mantiene el puerto original del paquete

ACE-BACKUP/IECO# conf t
Enter configuration commands, one per line. End with CNTL/Z.
ACE-BACKUP/IECO(config)# serverfarm Webcall
ACE-BACKUP/IECO(config-sfarm-host)# rserver AGSLX-WSSUSC2 81
ACE-BACKUP/IECO(config-sfarm-host-rs)# inservice

ACE-BACKUP/IECO# conf t
Enter configuration commands, one per line. End with CNTL/Z.
ACE-BACKUP/IECO(config)# serverfarm Webcall
ACE-BACKUP/IECO(config-sfarm-host)# rserver AGSLX-WSSUSC2 81
ACE-BACKUP/IECO(config-sfarm-host-rs)# no inservice
© British Telecommunications plc

Tareas Comunes
• Ver el estado de conexiones para una serverfarm

ACE-BACKUP/IECO# sh serverfarm LaRazon
serverfarm : LaRazon, type: HOST
total rservers : 3
---------------------------------
----------connections-----------
real weight state current total failures
---+---------------------+------+------------+----------+----------+---------
rserver: ieco1
200.42.93.132:82 4 OPERATIONAL 996 15314701 258478
rserver: ieco2
200.42.93.133:82 4 OPERATIONAL 1011 15510684 263038
rserver: ieco3
200.42.93.134:82 4 OPERATIONAL 1045 18503012 260598

ACE-BACKUP/IECO# sh service-policy BALANCEO class-map LaRazon summary

service-policy: BALANCEO
Class VIP Prot Port VLAN State Curr Conns Hit Count Conns Drop
LaRazon 200.42.93.140 tcp eq 80 ALL IN-SRVC 3059 50113730 658336

• Ver el estado de conexiones para un contexto

ACE-BACKUP/IECO# sh resource usage resource conc-connections
Allocation
Resource Current Peak Min Max Denied
-------------------------------------------------------------------------------
Context: IECO
conc-connections 863314 1940994 3199960 3759954 0

© British Telecommunications plc

Tareas Comunes
• Verificar si una serverfarm tiene Sticky

ACE-BACKUP/IECO# sh service-policy BALANCEO class-map LaRazon detail

Status : ACTIVE
Description: -----------------------------------------
Context Global Policy:
service-policy: BALANCEO
class: LaRazon
VIP Address: Protocol: Port:
200.42.93.140 tcp eq 80
loadbalance:
L7 loadbalance policy: LaRazon
VIP Route Metric : 77
VIP Route Advertise : DISABLED
VIP ICMP Reply : ENABLED
VIP State: INSERVICE
curr conns : 3040 , hit count : 50117740
dropped conns : 658350
client pkt count : 1302797855, client byte count: 168853826508
server pkt count : 1896941966, server byte count: 2246401796704
conn-rate-limit : 0 , drop-count : 0
bandwidth-rate-limit : 0 , drop-count : 0
L7 Loadbalance policy : LaRazon
class/match : class-default
LB action: :
sticky group: LaRazon-sticky
primary serverfarm: LaRazon
state: UP
backup serverfarm : -
hit count : 50114660
dropped conns : 0

Sign up to vote on this title
UsefulNot useful