| Oracle Application Serverエンタープライズ・デプロイメント・ガイド 10gリリース2(10.1.2) B15816-05 |
|
 戻る |
 次へ |
この付録では、一般的に使用されるロード・バランサのサンプル構成を紹介します。この付録は次の項で構成されています。
第A.2項「F5 Big IP Application Switch(ソフトウェア・バージョン4.5 PTF.5)」
第A.4項「Foundry Server Iron v08.1.00cT24」
第A.5項「Nortel Alteon 2424 SSL(ソフトウェア・バージョン20.2.2.1)」
第A.6項「SynApps 7.50.05を使用するRadware Web Server Director NP」
この項では、ネットワーク構成の要素、およびOracle Application Serverコンポーネントの操作における考慮事項を明確にします。図A-1に、テスト・ネットワークの構成、そのサブネットおよびネットワーク内部のOracle Application Serverコンポーネントの配置を示します。
テスト・ネットワークは、ハードウェアとOracle Application Serverコンポーネントを配置するために、次のような複数のサブネットで構成されます。
インターネット
シミュレートしたパブリック・ネットワーク。
ファイアウォールとロード・バランサ間の転送ネットワーク
ボーダー・ファイアウォールとロード・バランサの外部インタフェースの間にあるネットワーク。
DMZ層またはWeb層
OracleAS Single Sign-On中間層がこの層にインストールされます。このサブネットには、次の2つのゲートウェイがあります。
ロード・バランサの内部インタフェース
データ層に対するファイアウォール・インタフェース
データ層
Oracle Application Server Infrastructureインスタンスがこの層にインストールされます。これは保護されたネットワークです。
テスト構成には、次のハードウェアが使用されます。
次のいずれかのロード・バランサ(オラクル社でのテストではF5 Big IPを使用)
F5 Big IP Application Switch(ソフトウェア・バージョン4.5 PTF.5)
Foundry Server Iron v08.1.00cT24
OracleAS PortalおよびOracleAS Wirelessでは、サーバー/サーバー通信が使用されます。このことは、OracleAS PortalまたはOracleAS Wirelessのインスタンスが、仮想IPアドレス(VIP)に対してHTTPリクエストまたはHTTPSリクエストを送信でき、そのリクエストが送信元、またはWeb層にある同種のインスタンスに返されることが可能でなければならないことを意味します。OracleAS PortalがOracleAS Web Cacheに対して行う無効化リクエストは、同様の方法で処理する必要があります。
この項では、一般的な言葉で通信について説明し、それを実現するネットワーク構成を明確にします。特定のロード・バランサの具体的な構成手順は、そのロード・バランサの項を参照してください。
OracleAS PortalのParallel Page Engineは、中間層のOracle Application Serverインスタンスからそのインスタンスに返すループバック(サーバー/サーバー)リクエストを生成します。OracleAS Portalで高可用性を実現するには、これらのループバック・リクエストが、個々のOracle Application Server中間層インスタンスではなく、ロード・バランサによって受信される必要があります。
Parallel Page Engineリクエストがロード・バランサ上のVIPにルーティングされた後は、Parallel Page Engineリクエストのソース・アドレスにNetwork Address Translation(NAT)を使用して、ルーティングが正しく行われるようにする必要があります。Parallel Page EngineリクエストのソースIPアドレスにNATを使用しない場合は、ホストがクライアントに直接応答することになります。クライアントはVIPからのレスポンスを想定しているため、結果として、このセッションは中断されます。図A-2に、ロード・バランサによるリクエスト処理後のアドレス変換を示します。
図A-2 OracleAS Portal Parallel Page Engineにおけるネットワーク・アドレス変換
OracleAS WirelessはOracleAS Single Sign-Onに対してリクエストを行います(OracleAS Single Sign-Onは、OracleAS WirelessとともにWeb層に配置されている必要があります)。OracleAS Wirelessで高可用性を実現するには、これらのリクエストがロード・バランサによって受信される必要があります。また、OracleAS Single Sign-OnインスタンスとOracleAS Portalインスタンスが同じサブネットにあるため、これらのリクエストはNATによっても処理される必要があります。
図A-3に、OracleAS PortalインスタンスからOracleAS Single Sign-Onのロード・バランサへのリクエストを示します。
図A-3 OracleAS Single Sign-Onサーバーのロード・バランサへのリクエストのルーティング
また、OracleAS PortalはOracleAS Web Cacheに対して無効化リクエストを行います。無効化処理を正常に実行するには、Web層のOracleAS Web Cacheインスタンスと通信できるVIPに対して、OracleAS Portalリポジトリからポート9401で通信できるようにする必要があります。ネットワークのルーティング構成によっては、これらのリクエストに対してNATを使用し、データ層での必要に応じて送信ポートをオープンする必要が生じる場合があります。
この項では、Oracle Application Server 10g リリース2(10.1.2)のアプリケーション・サーバーで、Big IP Application Switchロード・バランサをテストする際に必要なネットワーク構成について説明します。
Big IP構成では、次のサブネットを使用しました。
外部: 192.168.200.0/24(DMZ2)
内部: 192.168.0.0/24(DMZ1)
次の2つのインタフェースを作成しました。
1.1 192.168.200.5/24(外部)
1.2 192.168.0.1/24(内部)
|
注意: ポート1.2の構成では、Secure Network Address Translation(SNAT)自動マップも有効化されています。 |
図A-1「テスト・ネットワークの構成」に示すように、中間層インストールおよびOracleAS Single Sign-Onサーバーで使用したサーバーは次のとおりです。
pdln-mid1.pdx.com
pdln-mid2.pdx.com
pdln-sso1.pdx.com(Identity Management、OracleAS Single Sign-On中間層)
pdln-sso2.pdx.com(Identity Management、OracleAS Single Sign-On中間層)
次のプールを作成しました。
プール1: HTTP
pdln-mid1.pdx.com(ポート7777)
pdln-mid2.pdx.com(ポート7777)
SNATを有効化
プール2: OracleAS Single Sign-On
pdln-sso1.pdx.com(ポート7777)
pdln-sso2.pdx.com(ポート7777)
SNATを有効化
永続再バランス
プール3: OracleAS Web Cacheの無効化
pdln-mid1.pdx.com(ポート9401)
pdln-mid2.pdx.com(ポート9401)
SNATを有効化
次のロード・バランシング方法を使用しました。
中間層: ラウンド・ロビンと基本的なHTTPヘルス・チェック
Identity Management: 最少接続とOracleAS Single Sign-Onヘルス・チェック(社内)
この項で説明するように、Oracle Application Serverの各コンポーネントに対してヘルス・モニターを作成できます。
中間層では複数のコンポーネントが実行されるため、各コンポーネントの監視方法としてはHTTP GET /が最適です。また、OracleAS PortalおよびOracleAS Wirelessのステータス・ページを使用して、カスタマイズしたヘルス・チェックを作成できます。
OracleAS Web Cacheの無効化メッセージには、ヘルス・モニターが必要です。これらのメッセージの監視には、HTTP LOGINを使用します。
2種類のホスト(sso-linuxとlinux)を使用していたため、それぞれ独自の証明書を持つ2つのプロキシを作成しました。
プロキシ1
タイプ: SSL
IP:ポート: 192.168.200.10:443(linux.pdx.com)
接続先ホスト: 192.168.200.10:80(linux.pdx.com)
(ここに証明書情報)
プロキシ2
タイプ: SSL
IP:ポート: 192.168.200.11:443(sso-linux.pdx.com)
接続先ホスト: 192.168.200.11:80(sso-linux.pdx.com)
(ここに証明書情報)
これらのプロキシは、Big IPの内部SSLアクセラレータでHTTPSセッションを復号化して、そのHTTPトラフィックをVIPに返します。
中間層からのParallel Page Engineリクエストの処理にロード・バランサを使用するには、VLANの自己IPアドレスおよび中間層プールにSecure Network Address Translation(SNAT)を設定する必要があります。これを行うには、この項で説明する手順に従います。
ネットワーク構成で、内部インタフェースの自己IPに対してSNAT自動マップを確認します。
中間層プール構成で、SNATが有効でNATが無効になっていることを確認します。
次のコマンドを発行します。
b vlan internal snat automap enable
このコマンドで、internalは内部インタフェースのIPアドレスです。
いずれかの中間層からポート80のVIPアドレスに対して、HEADリクエストを使用したtelnetコマンドを発行して、構成をテストします。次に例を示します。
telnet 192.168.200.10 80
HEAD
次のようなレスポンスが返されます。
Date: Wed, 02 Jun 2004 15:08:25 GMT
Allow: GET, HEAD
Server: OracleAS-Web-Cache-10g/10.1.2.0.0
Content-Type: text/html
Content-Length: 100
Cache-Control: public
無効化リクエスト用に作成したプールでSNATが有効化されていることを確認します。無効化リクエストが正常にルーティングされるようにするため、ファイアウォールに静的ルートを作成することが必要になる場合もあります(中間層がデータベースへの異なるルートを持つ場合があるため、これは必須です)。
SSLを使用し、Parallel Page Engineリクエストと無効化リクエストをロード・バランサやSSLアクセラレータ経由でルーティングする場合は、信頼できるサイトの証明書をインポートする必要があります。これを行うには、『Oracle Application Server Portal構成ガイド』の「信頼できるサイトの証明書の追加」の手順に従います。
前述の各項で説明した構成は、OracleAS Wirelessにも当てはまります。唯一異なる点として、中間層がOracleAS Single Sign-OnプールのIPアドレスを認識すること、およびクライアントを認証するためにリクエストをそのプールにルーティングできることが必要です。SSLを使用する場合は、認証局とサイトの証明書をOracleAS Wireless構成にインポートすることも必要です。手順については、『Oracle Application Server Wireless管理者ガイド』を参照してください。
この項では、Oracle Application Server 10g リリース2(10.1.2)のアプリケーション・サーバーで、Cisco CSM 3.1(2)ロード・バランサをテストする際に必要なネットワーク構成について説明します。
Cisco CSM 3.1(2)構成では、次のサブネットを使用しました。
外部: 192.168.200.0/24(DMZ2)
内部: 192.168.0.0/24(DMZ1)
図A-1「テスト・ネットワークの構成」に示すように、中間層インストールおよびOracleAS Single Sign-Onサーバーで使用したサーバーは次のとおりです。
pdln-mid1.pdx.com
pdln-mid2.pdx.com
pdln-sso1.pdx.com(Identity Management、OracleAS Single Sign-On中間層)
pdln-sso2.pdx.com(Identity Management、OracleAS Single Sign-On中間層)
次のVLANを作成しました。
VLAN 2: クライアント
VLAN 200: サーバー(Web層)
VLAN 400: サーバー(SSL)
次のサーバー・ファームを作成しました。
HTTPS_POOL(SSLアクセラレータへのリダイレクション)
NATが有効なサーバー
NATが無効なクライアント
Real 192.168.100.10
LINUX_FARM
NATが有効なサーバー
NATが無効なクライアント
Real 192.168.0.104 7777
Real 192.168.0.105 7777
LINUX_FARM2
NATが有効なサーバー
NATが有効なクライアントSOURCENAT(Parallel Page Engineリクエスト用)
Real 192.168.0.104 7777
Real 192.168.0.105 7777
SSO_FARM
NATが有効なサーバー
NATが無効なクライアント
Real 192.168.0.101 7777
SSO_FARM2
NATが有効なサーバー
NATが有効なクライアントSOURCENAT
Real 192.168.0.101
SSO_SSL-A(SSLアクセラレータへのリダイレクション)
NATが有効なサーバー
NATが無効なクライアント
Real 192.168.100.11
WC_INVAL(Web Cacheの無効化)
NATが有効なサーバー
NATが有効なクライアントWEBCACHE(無効化リクエストのNAT用)
Real 192.168.0.101 9401
Real 192.168.0.105 9401
この項では、Cisco CSM 3.1(2)構成での仮想サーバーについて説明します。
HTTPS_POOL(SSLアクセラレータへのリダイレクト)
Virtual 192.168.200.10 tcp https
Serverfarm HTTPS_POOL
Sticky 120 group 4
永続再バランスなし
HTTP_POOL(サーバーへのHTTPダイレクト)
Virtual 192.168.200.11 tcp https
VLAN 2
Serverfarm LINUX_FARM
Sticky 120 group 2
Idle 7200
永続再バランス
SSO3(SSLアクセラレータへのSSLリダイレクション)
Virtual 192.168.200.11 tcp https
VLAN 2
Serverfarm SSO_SSL-A
永続再バランス
sticky 2 netmask 255.255.255.255 timeout 120
sticky 3 ssl timeout 120
sticky 4 netmask 255.255.255.255 timeout 120
HTTP_POOL3(SSLアクセラレータVLANから中間層へのリクエストの受入れ)
Virtual 192.168.200.10 tcp www
VLAN 400
Serverfarm LINUX_FARM
永続再バランス
SSO(SSLアクセラレータVLANからSSOサーバーへのHTTPリクエストの受入れ)
Virtual 192.168.200.11 tcp https
VLAN 400
Serverfarm SSO_FARM
Idle 7200
永続再バランス
HTTP-2(Parallel Page Engineループバック用のサーバーVLANからのリクエストの受入れ)
Virtual 192.168.200.10 tcp www
VLAN 200
Serverfarm LINUX_FARM2
永続再バランス
OracleAS Single Sign-Onを使用したワイヤレス認証ができるようにするには、中間層VLANに次の仮想サーバーを作成して、OracleAS Portal中間層からOracleAS Single Sign-OnサーバーのVIPへの通信ができるようにする必要があります。
SSO2
Virtual 192.168.200.11 tcp https
VLAN 200
Serverfarm SSO_FARM2
永続再バランス
OracleAS Web Cacheの無効化には、次の仮想サーバーが必要です。
WEBCACHE_INVAL
Virtual 192.168.200.10 tcp 9401
VLAN 200
Serverfarm WC_INVAL
永続再バランス
中間層からParallel Page Engine通信を確認する手順は次のとおりです。
いずれかの中間層からポート80のVIPアドレスに対して、HEADリクエストを使用したtelnetコマンドを発行して、構成をテストします。次に例を示します。
telnet 192.168.200.10 80
HEAD
次のようなレスポンスが返されます。
Date: Wed, 02 Jun 2004 15:08:25 GMT
Allow: GET, HEAD
Server: OracleAS-Web-Cache-10g/10.1.2.0.0
Content-Type: text/html
Content-Length: 100
Cache-Control: public
|
注意: Infrastructureデータベースからの無効化通信にも同じテストを実行できます。これらのリクエストに構文エラーが発生しても、前述の情報がレスポンスに含まれていれば、通信は正常に機能します。 |
Current configuration : 8198 bytes ! ! Last configuration change at 01:03:50 PDT Tue May 18 2004 ! NVRAM config last updated at 01:03:52 PDT Tue May 18 2004 ! version 12.1 service timestamps debug datetime show-timezone service timestamps log datetime show-timezone no service password-encryption ! hostname pd-cat6k ! boot buffersize 522200 boot system slot0:c6sup22-jsv-mz.121-8a.EX boot bootldr bootflash:c6msfc2-boot-mz.121-8a.E5.bin enable secret 5 $1$u2be$MClIIqnBVnmCaNTtAMxLI/ ! clock timezone PST -8 clock summer-time PDT recurring clock calendar-valid redundancy main-cpu auto-sync standard diagnostic level complete ip subnet-zero ! ! no ip domain-lookup ! no mls ip multicast aggregate no mls ip multicast non-rpf cef mls qos statistics-export interval 300 mls qos statistics-export delimiter | module ContentSwitchingModule 3 vlan 2 client ip address 192.168.200.5 255.255.255.0 gateway 192.168.200.1 ! vlan 200 server ip address 192.168.0.1 255.255.255.0 ! vlan 400 server ip address 192.168.100.1 255.255.255.0 !! natpool WEBCACHE 192.168.200.125 192.168.200.125 netmask 255.255.255.0 natpool SOURCENAT 192.168.200.100 192.168.200.100 netmask 255.255.255.0 ! serverfarm HTTPS_POOL nat server no nat client real 192.168.100.10 inservice ! serverfarm LINUX_FARM nat server no nat client real 192.168.0.104 7777 inservice real 192.168.0.105 7777 inservice ! serverfarm LINUX_FARM2 nat server nat client SOURCENAT real 192.168.0.104 7777 inservice real 192.168.0.105 7777 inservice ! serverfarm SSO_FARM nat server no nat client real 192.168.0.100 7777 no inservice real 192.168.0.101 7777 inservice ! serverfarm SSO_FARM2 nat server nat client SOURCENAT real 192.168.0.101 7777 inservice ! serverfarm SSO_SSL-A nat server no nat client real 192.168.100.11 inservice ! serverfarm WC_INVAL nat server nat client WEBCACHE real 192.168.0.104 9401 inservice real 192.168.0.105 9401 inservice ! sticky 2 netmask 255.255.255.255 timeout 120 sticky 3 ssl timeout 120 sticky 4 netmask 255.255.255.255 timeout 120 ! vserver HTTP-2 virtual 192.168.200.10 tcp www vlan 200 serverfarm LINUX_FARM2 persistent rebalance inservice ! vserver HTTPS_POOL virtual 192.168.200.10 tcp https serverfarm HTTPS_POOL sticky 120 group 4 idle 7200 no persistent rebalance inservice ! vserver HTTP_POOL virtual 192.168.200.10 tcp www vlan 2 serverfarm LINUX_FARM sticky 120 group 4 idle 7200 persistent rebalance inservice ! vserver HTTP_POOL3 virtual 192.168.200.10 tcp www vlan 400 serverfarm LINUX_FARM persistent rebalance inservice ! vserver SSO virtual 192.168.200.11 tcp www vlan 400 serverfarm SSO_FARM idle 7200 persistent rebalance inservice ! vserver SSO2 virtual 192.168.200.11 tcp https vlan 200 serverfarm SSO_FARM2 persistent rebalance inservice ! vserver SSO3 virtual 192.168.200.11 tcp https vlan 2 serverfarm SSO_SSL-A persistent rebalance inservice ! vserver WEBCACHE_INVAL virtual 192.168.200.10 tcp 9401 vlan 200 serverfarm WC_INVAL persistent rebalance inservice ! ! ! ! interface GigabitEthernet1/1 no ip address shutdown ! interface GigabitEthernet1/2 no ip address shutdown ! interface FastEthernet2/1 (Management Interface) ip address 138.1.33.105 255.255.255.128 duplex full speed 100 ! interface FastEthernet2/2 no ip address duplex full speed 100 switchport switchport access vlan 2 switchport mode access ! interface FastEthernet2/3 no ip address duplex full speed 100 switchport switchport access vlan 200 switchport mode access ! interface FastEthernet2/4 no ip address duplex full speed 100 switchport switchport access vlan 400 switchport mode access ! interface FastEthernet2/5 no ip address duplex full speed 100 switchport switchport access vlan 400 switchport mode access ! interface FastEthernet2/6 no ip address duplex full speed 100 switchport switchport access vlan 400 switchport mode access ! interface FastEthernet2/7 no ip address duplex full speed 100 switchport switchport access vlan 400 switchport mode access ! interface FastEthernet2/8 no ip address duplex full speed 100 switchport switchport access vlan 400 switchport mode access ! interface FastEthernet2/9 no ip address duplex full speed 100 switchport switchport access vlan 400 switchport mode access ! interface FastEthernet2/10 no ip address duplex full speed 100 switchport switchport access vlan 400 switchport mode access ! interface FastEthernet2/11 no ip address duplex full speed 100 switchport switchport access vlan 200 switchport mode access ! interface FastEthernet2/12 no ip address duplex full speed 100 switchport switchport access vlan 200 switchport mode access ! interface FastEthernet2/13 no ip address duplex full speed 100 switchport switchport access vlan 200 switchport mode access ! interface FastEthernet2/14 no ip address duplex full speed 100 switchport switchport access vlan 200 switchport mode access ! interface Vlan1 no ip address shutdown ! ! interface Vlan200 no ip address ! ip default-gateway 138.1.34.229 ip classless no ip http server ! ! tftp-server slot0:c6slb-apc.2-1-1.bin ! line con 0 line vty 0 4 password welcome login transport input lat pad mop telnet rlogin udptn nasi ! end pd-cat6k#
この項では、Oracle Application Server 10g リリース2(10.1.2)のアプリケーション・サーバーで、Foundry Server Iron v08.1.00cT24ロード・バランサをテストする際に必要なネットワーク構成について説明します。
Foundry Server Iron v08.1.00cT24構成では、次のサブネットを使用しました。
外部: 192.168.200.0/24(DMZ2)
内部: 192.168.0.0/24(DMZ1)
図A-1「テスト・ネットワークの構成」に示すように、中間層インストールおよびOracleAS Single Sign-Onサーバーで使用したサーバーは次のとおりです。
pdln-mid1.pdx.com
pdln-mid2.pdx.com
pdln-cache1.pdx.com(Identity Management、OracleAS Single Sign-On中間層)
pdln-cache2.pdx.com(Identity Management、OracleAS Single Sign-On中間層)
Server103 192.168.0.105(pdln.mid1上のOracleAS Portal)
ソース-NAT
ポート7777
ポート9401
Server102 192.168.0.104(pdln-mid2上のOracleAS Portal)
ソース-NAT
ポート7777
ポート9401
Server101 192.168.200.101(pdln-cache1上のIdentity ManagementおよびOracleAS Single Sign-On中間層)
ポート7777
中間層からParallel Page Engine通信を確認する手順は次のとおりです。
いずれかの中間層からポート80のVIPアドレスに対して、HEADリクエストを使用したtelnetコマンドを発行して、構成をテストします。次に例を示します。
telnet 192.168.200.10 80
HEAD
次のようなレスポンスが返されます。
Date: Wed, 02 Jun 2004 15:08:25 GMT
Allow: GET, HEAD
Server: OracleAS-Web-Cache-10g/10.1.2.0.0
Content-Type: text/html
Content-Length: 100
Cache-Control: public
|
注意: Infrastructureデータベースからの無効化通信にも同じテストを実行できます。これらのリクエストに構文エラーが発生しても、前述の情報がレスポンスに含まれていれば、通信は正常に機能します。 |
無効化が正常に行われるには、OracleAS Web Cacheがインストールされている実サーバーそれぞれで、クライアントNATを有効にする必要があります。無効化リクエストが正常にルーティングされるようにするため、ファイアウォールに静的ルートを作成することが必要になる場合もあります。
SSLを使用し、Parallel Page Engineリクエストと無効化リクエストをロード・バランサやSSLアクセラレータ経由でルーティングする場合は、信頼できるサイトの証明書をインポートする必要があります。これを行うには、『Oracle Application Server Portal構成ガイド』の「信頼できるサイトの証明書の追加」の手順に従います。
前述の各項で説明した構成は、OracleAS Wirelessにも当てはまります。唯一異なる点として、中間層がOracleAS Single Sign-OnプールのIPアドレスを認識すること、およびクライアントを認証するためにリクエストをそのプールにルーティングできることが必要です。SSLを使用する場合は、認証局とサイトの証明書をOracleAS Wireless構成にインポートすることも必要です。手順については、『Oracle Application Server Wireless管理者ガイド』を参照してください。
ver 08.1.00cT24 ! module 1 bi-0-port-wsm-management-module module 2 bi-8-port-gig-copper-module module 4 bi-24-port-copper-module ! global-protocol-vlan ! ! ! ! ! server real server103 192.168.0.105 source-nat port 7777 port 9401 ! server real server102 192.168.0.104 source-nat port 7777 port 9401 port 7778 ! server real server101 192.168.0.101 source-nat port 7777 ! server cache-name ssl_10 192.168.100.10 port http port http no-health-check port http url "HEAD /" port ssl port ssl no-health-check ! server cache-name ssl_11 192.168.100.11 port http port http no-health-check port http url "HEAD /" port ssl port ssl no-health-check ! server real server100 192.168.0.100 source-nat port 7777 ! ! server virtual 200_10 192.168.200.10 sym-priority 254 port http port http spoofing port 9401 port 7778 port ssl sticky bind http server102 7777 server103 7777 bind 9401 server102 9401 server103 9401 bind ssl ssl_10 ssl ! server virtual 200_11 192.168.200.11 sym-priority 254 port http port http spoofing port ssl sticky bind http server100 7777 bind ssl ssl_11 ssl ! server vip-group 1 vip 192.168.200.10 vip 192.168.200.11 server cache-group 1 cache-name ssl_10 cache-name ssl_11 ! ! vlan 1 name DEFAULT-VLAN by port ! vlan 4092 name internal by port untagged ethe 2/5 to 2/8 ethe 4/13 to 4/18 ethe 4/23 to 4/24 router-interface ve 1 ! vlan 4093 name external by port untagged ethe 2/1 to 2/4 ethe 4/1 to 4/12 router-interface ve 2 ! vlan 4095 name SSL by port untagged ethe 4/19 to 4/21 router-interface ve 3 ! ! hostname ServerIron_1 ip default-network 192.168.200.1/24 ip l4-policy 1 cache tcp 0 global ip l4-policy 2 cache tcp ssl global ip route 0.0.0.0 0.0.0.0 192.168.200.1 ip route 192.168.2.0 255.255.255.0 192.168.0.200 ! username twillard password ..... router vrrp snmp-server community ..... rw ! interface ethernet 2/1 confirm-port-up 6 ! interface ethernet 2/2 confirm-port-up 6 ! interface ethernet 2/3 confirm-port-up 6 ! interface ethernet 2/4 confirm-port-up 6 ! interface ethernet 2/5 confirm-port-up 6 ! interface ethernet 2/6 confirm-port-up 6 ! interface ethernet 2/7 confirm-port-up 6 ! interface ethernet 2/8 confirm-port-up 6 ! interface ethernet 4/1 speed-duplex 100-full ! interface ethernet 4/13 speed-duplex 100-full ! interface ve 1 ip address 192.168.0.1 255.255.255.0 ip vrrp vrid 1 owner advertise backup ip-address 192.168.0.1 vip-group 1 track-port ve 2 activate ! interface ve 2 ip address 192.168.200.5 255.255.255.0 ip vrrp vrid 2 owner advertise backup ip-address 192.168.200.5 track-port ve 1 activate ! interface ve 3 ip address 192.168.100.1 255.255.255.0 ip vrrp vrid 3 owner advertise backup ip-address 192.168.100.1 track-port ve 1 activate ! ! ! ! end
この項では、Oracle Application Server 10g リリース2(10.1.2)のアプリケーション・サーバーで、Nortel Alteon 2424 SSL(ソフトウェア・バージョン20.2.2.1)ロード・バランサをテストする際に必要なネットワーク構成について説明します。
Foundry Server Iron v08.1.00cT24構成では、次のサブネットを使用しました。
外部: 192.168.200.0/24(DMZ2)
内部: 192.168.0.0/24(DMZ1)
図A-1「テスト・ネットワークの構成」に示すように、中間層インストールおよびOracleAS Single Sign-Onサーバーで使用したサーバーは次のとおりです。
pdln-mid1.pdx.com
pdln-mid2.pdx.com
pdln-sso1.pdx.com(Identity Management、OracleAS Single Sign-On中間層)
pdln-sso2.pdx.com(Identity Management、OracleAS Single Sign-On中間層)
ロード・バランサで負荷を分散する中間層ごとに、実サーバーのエントリを作成する必要があります。表A-2に、テスト構成で使用するサーバーを一覧表示します。
表A-2に示した各サーバーは、表A-3に示すグループに所属する必要があります。各グループには同種のインスタンスが含まれる点に注意してください。たとえば、グループ1にはOracleAS Portalインスタンス、グループ4にはIdentity Managementインスタンスが含まれます。グループ5にはSSLアクセラレータのみが含まれます。
この項では、この構成で使用する仮想IPアドレスについて説明します。
仮想IPアドレス1は、サブネットの外部インタフェース上にあるアドレス192.168.200.10を使用して、ポート80(HTTP)をリスニングするように設定します。グループ1はこの仮想アドレスにバインドされ、リモート・ポート7777(OracleAS Web Cacheのリスニング・ポート)も設定されています。Pbindは、クライアントに対するスティッキー性の維持に使用されます。この使用例ではOracleAS Web Cacheを使用するため、ロード・バランサでは実際のセッション・バインディングが不要です。
仮想IPアドレス4はOracleAS Single Sign-On用で、サブネットの外部インタフェース上にあるアドレス192.168.200.11を使用して、ポート80(SSL通信では443に設定可)をリスニングするように設定します。グループ4は、この仮想サーバーとリモート・ポート7777にバインドされます。OracleAS Single Sign-Onリクエストに対するセッション・バインディングは不要で、このインスタンスのクライアントIPが選択されています。
OracleAS Portal Parallel Page Engineと無効化を正常に動作させるには、ロード・バランサの内部ポートまたはサーバー・ポートでプロキシを有効化する必要があります。これによって、内部サーバーによって生成されるすべてのリクエストに対して、(PIPアドレスとの)NATが実行されます。
PIP構成: プロキシで使用するPIPアドレスを構成します。次に例を示します。
/c/slb/pip<#>xxx.xxx.xxx.xxx
この例のxが並んだ箇所をPIPアドレスに置き換えます。PIPアドレスは、サーバーと同じサブネット上にある必要があります。
ポート構成:
ポート1(外部): クライアント有効、プロキシ有効
ポート2(内部サーバー): クライアント有効、プロキシ有効、サーバー有効
ポート3〜8: クライアント有効
無効化が正常に行われるには、OracleAS Web Cacheがインストールされている実サーバーそれぞれで、クライアントNATを有効にする必要があります。無効化リクエストが正常にルーティングされるようにするため、ファイアウォールに静的ルートを作成することが必要になる場合もあります。
SSLを使用し、Parallel Page Engineリクエストと無効化リクエストをロード・バランサやSSLアクセラレータ経由でルーティングする場合は、信頼できるサイトの証明書をインポートする必要があります。これを行うには、『Oracle Application Server Portal構成ガイド』の「信頼できるサイトの証明書の追加」の手順に従います。
前述の各項で説明した構成は、OracleAS Wirelessにも当てはまります。唯一異なる点として、中間層がOracleAS Single Sign-OnプールのIPアドレスを認識すること、およびクライアントを認証するためにリクエストをそのプールにルーティングできることが必要です。SSLを使用する場合は、認証局とサイトの証明書をOracleAS Wireless構成にインポートすることも必要です。手順については、『Oracle Application Server Wireless管理者ガイド』を参照してください。
script start "Alteon Application Switch 2424-SSL" 4 /**** DO NOT EDIT THIS LINE!
/* Configuration dump taken 10:47:15 Thu Jun 3, 2004
/* Version 20.2.2.1, Base MAC address 00:01:81:2e:b8:50
/c/sys
http ena
/c/sslproc/
mip 192.168.100.15
rts ena
/c/port 1
pvid 2
/c/port 1/fast
speed 100
fctl none
mode full
auto off
/c/port 2
pvid 3
/c/port 2/fast
speed 100
fctl none
mode full
auto off
/c/port 3
pvid 2
/c/port 3/fast
speed 100
fctl both
mode full
auto on
/c/port 4
pvid 4
/c/port 4/fast
speed 100
fctl both
mode full
auto on
/c/port 5
pvid 4
/c/port 5/fast
speed 100
fctl both
mode full
auto on
/c/port 6
pvid 4
/c/port 6/fast
speed 100
fctl both
mode full
auto on
/c/port 7
pvid 4
/c/port 7/fast
speed 100
fctl both
mode full
auto on
/c/port 8
pvid 4
/c/port 8/fast
speed 100
fctl both
mode full
auto on
/c/port 9
tag ena
pvid 4
/c/port 9/fast
speed any
fctl both
mode full
auto on
/c/vlan 1
def 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28
/c/vlan 2
ena
name "Outside-Virtual"
def 1 3
/c/vlan 3
ena
name "DMZ"
def 2
/c/vlan 4
ena
name "SSL"
def 4 5 6 7 8 9
/c/vlan 99
ena
name "VLAN 99"
def 0
/c/stp 1/off
/c/stp 1/clear
/c/stp 1/add 1 2 3 4 99
/c/ip/if 1
ena
addr 192.168.200.5
vlan 2
/c/ip/if 2
ena
addr 192.168.0.1
vlan 3
/c/ip/if 3
ena
addr 192.168.100.1
vlan 4090
/c/ip/gw 1
ena
addr 192.168.200.1
retry 1
/c/ip/route
add 192.168.2.0 255.255.255.0 192.168.0.200 2
/c/slb
on
/c/slb/adv
direct ena
/c/slb/real 1
ena
rip 192.168.0.104
inter 15
retry 6
/c/slb/real 2
ena
rip 192.168.0.105
inter 15
retry 6
/c/slb/real 3
ena
rip 192.168.0.100
inter 15
retry 6
/c/slb/real 4
dis
rip 192.168.0.101
inter 15
retry 6
/c/slb/real 5
ena
rip 192.168.100.10
/c/slb/group 1
metric roundrobin
add 1
add 2
/c/slb/group 2
metric roundrobin
/c/slb/group 4
metric roundrobin
add 3
add 4
/c/slb/group 5
health sslh
add 5
/c/slb/pip/pip1 192.168.0.150
/c/slb/pip/pip2 192.168.0.151
/c/slb/pip/pip3 192.168.0.152
/c/slb/pip/pip4 192.168.0.153
/c/slb/port 1
client ena
proxy ena
/c/slb/port 2
client ena
server ena
proxy ena
/c/slb/port 3
client ena
/c/slb/port 4
client ena
/c/slb/port 5
client ena
/c/slb/port 6
client ena
/c/slb/port 7
client ena
/c/slb/port 8
client ena
/c/slb/virt 1
ena
vip 192.168.200.10
dname "linux.pdx.com"
/c/slb/virt 1/service http
group 1
rport 7777
pbind clientip
/c/slb/virt 1/service 9401
group 1
/c/slb/virt 4
ena
vip 192.168.200.11
dname "sso-linux.pdx.com"
/c/slb/virt 4/service http
group 4
rport 7777
pbind clientip
/c/slb/virt 2/service 443/pbind sslid
/c/slb/filt 5
ena
action redir
proto tcp
dport https
group 5
rport 0
vlan any
/c/slb/port 1
filt ena
add 5
/c/slb/port 2
filt ena
add 5
/
script end /**** DO NOT EDIT THIS LINE!
SSL Configuration:
SSL >> Configuration# dump
Dump private keys (yes/no) [no]: no
Collecting data, please wait...
/*
/*
/* Configuration dump taken Tue Aug 3 12:54:14 PDT 2004
/* Version 4.1.2.3
/*
/*
/*
/cfg/.
/cfg/ssl/.
/cfg/ssl/dns/.
cachesize 1000
retransmit 2s
count 3
ttl 3h
health 10s
hdown 2
hup 2
fallthrough off
/cfg/ssl/cert 1/.
name PDCQA-CA
cert
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
...
/cfg/ssl/cert 1/revoke/.
/cfg/ssl/cert 1/revoke/automatic/.
interval 1d
ena disabled
/cfg/ssl/cert 2/.
name linux.pdx.com
cert
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
...
/cfg/ssl/cert 2/revoke/.
/cfg/ssl/cert 2/revoke/automatic/.
interval 1d
ena disabled
/cfg/ssl/cert 4/.
name sso-linux.pdx.com
cert
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
...
/cfg/ssl/cert 4/revoke/.
/cfg/ssl/cert 4/revoke/automatic/.
interval 1d
ena disabled
/cfg/ssl/server 1/.
name linux.pdx.com
vip 192.168.200.10
port "443 (https)"
rip 0.0.0.0
rport "80 (http)"
type http
proxy off
ena enabled
/cfg/ssl/server 1/trace/.
/cfg/ssl/server 1/ssl/.
cert 2
cachesize 9400
cachettl 5m
cacerts 1
cachain 1
protocol ssl3
verify none
ciphers ALL@STRENGTH
ena enabled
/cfg/ssl/server 1/tcp/.
cwrite 15m
ckeep 15m
swrite 15m
sconnect 10s
csendbuf auto
crecbuf auto
ssendbuf auto
srecbuf 6000
/cfg/ssl/server 1/http/.
redirect on
sslheader on
addxfor off
addvia on
addxisd off
addfront off
addclicert off
addbeassl off
addbeacli off
addnostore off
cmsie shut
rhost off
maxrcount 40
maxline 8192
/cfg/ssl/server 1/http/rewrite/.
rewrite off
ciphers HIGH:MEDIUM
response iSD
URI "/cgi-bin/weakcipher"
/cfg/ssl/server 1/http/auth/.
mode basic
realm Xnet
proxy off
ena disabled
/cfg/ssl/server 1/dns/.
/cfg/ssl/server 1/adv/.
/cfg/ssl/server 1/adv/pool/.
timeout 15s
ena disabled
/cfg/ssl/server 1/adv/traflog/.
sysloghost 0.0.0.0
udpport 514
priority info
facility local4
ena disabled
/cfg/ssl/server 1/adv/standalone/.
ena disabled
/cfg/ssl/server 1/adv/standalone/iplist/.
/cfg/ssl/server 1/adv/loadbalancing/.
type all
persistence none
metric hash
health auto
interval 10s
ena disabled
/cfg/ssl/server 1/adv/loadbalancing/script/.
/cfg/ssl/server 1/adv/loadbalancing/remotessl/.
protocol ssl3
ciphers ALL
/cfg/ssl/server 1/adv/loadbalancing/remotessl/verify/.
verify none
/cfg/ssl/server 1/adv/sslconnect/.
protocol ssl3
ciphers EXP-RC4-MD5:ALL!DH
ena disabled
/cfg/ssl/server 1/adv/sslconnect/verify/.
verify none
/cfg/ssl/server 4/.
Name sso-linux.pdx.com
vip 192.168.200.11
port "443 (https)"
rip 0.0.0.0
rport "80 (http)"
type generic
proxy off
ena enabled
/cfg/ssl/server 4/trace/.
/cfg/ssl/server 4/ssl/.
cert 4
cachesize 9400
cachettl 5m
protocol ssl3
verify none
ciphers ALL@STRENGTH
ena enabled
/cfg/ssl/server 4/tcp/.
cwrite 15m
ckeep 15m
swrite 15m
sconnect 10s
csendbuf auto
crecbuf auto
ssendbuf auto
srecbuf 6000
/cfg/ssl/server 4/adv/.
/cfg/ssl/server 4/adv/standalone/.
ena disabled
/cfg/ssl/server 4/adv/standalone/iplist/.
/cfg/ssl/server 4/adv/loadbalancing/.
type all
persistence none
metric hash
health auto
interval 10s
ena disabled
/cfg/ssl/server 4/adv/loadbalancing/script/.
/cfg/ssl/server 4/adv/loadbalancing/remotessl/.
protocol ssl3
ciphers ALL
/cfg/ssl/server 4/adv/loadbalancing/remotessl/verify/.
verify none
/cfg/ssl/server 4/adv/sslconnect/.
protocol ssl3
ciphers EXP-RC4-MD5:ALL!DH
ena disabled
/cfg/ssl/server 4/adv/sslconnect/verify/.
verify none
/cfg/xnet/.
ttl 15m
log login
/cfg/sys/.
/cfg/sys/routes/.
/cfg/sys/time/.
tzone "America/Los_Angeles"
/cfg/sys/time/ntp/.
/cfg/sys/dns/.
/cfg/sys/syslog/.
/cfg/sys/cluster/.
mip 192.168.100.15
/cfg/sys/cluster/host 1/.
type master
ip 192.168.100.10
gateway 192.168.100.1
/cfg/sys/cluster/host 1/routes/.
/cfg/sys/cluster/host 1/interface 1/.
ip 192.168.100.10
netmask 255.255.255.0
vlanid 0
mode failover
primary 0
/cfg/sys/cluster/host 1/interface 1/ports/.
add 1
/cfg/sys/accesslist/.
/cfg/sys/adm/.
clitimeout 10m
telnet off
ssh off
/cfg/sys/adm/snmp/.
/cfg/sys/adm/snmp/snmpv2-mib/.
snmpEnableAuthenTraps disabled
/cfg/sys/adm/snmp/community/.
read public
trap trap
/cfg/sys/adm/audit/.
vendorid "1872 (alteon)"
vendortype 2
ena false
/cfg/sys/adm/audit/servers/.
/cfg/sys/adm/http/.
port 80
ena false
/cfg/sys/adm/https/.
port 443
ena false
/cfg/sys/user/.
expire 0
この項では、Oracle Application Server 10g リリース2(10.1.2)のアプリケーション・サーバーで、Radware Web Server Director NPロード・バランサをテストする際に必要なネットワーク構成について説明します。
Foundry Server Iron v08.1.00cT24構成では、次のサブネットを使用しました。
外部: 192.168.200.0/24(DMZ2)
内部: 192.168.0.0/24(DMZ1)
図A-1「テスト・ネットワークの構成」に示すように、中間層インストールおよびOracleAS Single Sign-Onサーバーで使用したサーバーは次のとおりです。
pdln-mid1.pdx.com
pdln-mid2.pdx.com
pdln-sso1.pdx.com(Identity Management、OracleAS Single Sign-On中間層)
pdln-sso2.pdx.com(Identity Management、OracleAS Single Sign-On中間層)
Radware Web Server Director NP構成では、次のサーバー・ファームを作成しました。
ファーム1: 192.168.0.150 HTTP
ファーム2: 192.168.0.151 OracleAS Web Cacheの無効化
ファーム3: 192.168.0.152 OracleAS Single Sign-On
ファーム4: 192.168.0.153 CT100 — linux.pdx.com
ファーム5: 192.168.0.154 CT100 — sso-linux.pdx.com
表A-5に、テスト構成で使用するサーバーを一覧表示します。
表A-5 サーバー
| ファーム・アドレス | サーバー・アドレス | 名前 | 多重サーバー・ポート |
|---|---|---|---|
|
192.168.0.150 |
192.168.0.104 |
pdln-mid2 |
7777 |
|
192.168.0.150 |
192.168.0.105 |
pdln-mid1 |
7777 |
|
192.168.0.151 |
192.168.0.104 |
pdln-mid2 |
7777 |
|
192.168.0.151 |
192.168.0.105 |
pdln-mid2 |
7777 |
|
192.168.0.152 |
192.168.0.100 |
pdln-sso1(OracleAS Single Sign-On) |
7777 |
|
192.168.0.152 |
192.168.0.101 |
pdln-sso2(OracleAS Single Sign-On) |
7777 |
|
192.168.0.153 |
192.168.100.10 |
CT100(linux.pdx.com) |
7777 |
|
192.168.0.154 |
CT100(sso-linux.pdx.com) |
7777 |
Radware Web Server Director NPでは、次の追加のサーバー構成が必要です。
クライアントNATを有効化します。「特定のNATアドレスを使用」にあるアドレスは絶対に指定しないでください。
使用するNATアドレス範囲を指定します。
NATのクライアント・アドレスを指定します。
192.168.0.104〜192.168.0.105(中間層)
192.168.2.100〜192.168.2.100(Infrastructureの無効化リクエスト)
サーバー構成で、クライアントNATを「有効化」に指定します。
表A-6に、Radware Web Server Director NP構成でのスーパー・ファームを一覧表示します。
表A-6 スーパー・ファーム
| IPアドレス | ポート番号 | ファーム・アドレス | 機能 |
|---|---|---|---|
|
192.168.200.10 |
80 |
192.168.0.150 |
linux.pdx.com HTTP |
|
192.168.200.10 |
443 |
192.168.0.153 |
linux.pdx.com HTTPS --> CT100 |
|
192.168.200.10 |
9401 |
192.168.0.151 |
無効化VIP |
|
192.168.200.11 |
80 |
192.168.0.152 |
OracleAS Single Sign-On HTTP |
|
192.168.200.11 |
443 |
192.168.0.154 |
OracleAS Single Sign-On HTTPS --> CT100 |
次のロード・バランシング方法を使用しました。
中間層: 循環方式とポート7777に対するHTTPヘルス・チェック
Identity Management: 循環方式とポート7777に対するHTTPヘルス・チェック
中間層からParallel Page Engine通信を確認する手順は次のとおりです。
いずれかの中間層からポート80のVIPアドレスに対して、HEADリクエストを使用したtelnetコマンドを発行して、構成をテストします。次に例を示します。
telnet 192.168.200.10 80
HEAD
次のようなレスポンスが返されます。
Date: Wed, 02 Jun 2004 15:08:25 GMT
Allow: GET, HEAD
Server: OracleAS-Web-Cache-10g/10.1.2.0.0
Content-Type: text/html
Content-Length: 100
Cache-Control: public
|
注意: Infrastructureデータベースからの無効化通信にも同じテストを実行できます。これらのリクエストに構文エラーが発生しても、前述の情報がレスポンスに含まれていれば、通信は正常に機能します。 |
無効化が正常に行われるには、OracleAS Web Cacheがインストールされている実サーバーそれぞれで、クライアントNATを有効にする必要があります。無効化リクエストが正常にルーティングされるようにするため、ファイアウォールに静的ルートを作成することが必要になる場合もあります。
SSLを使用し、Parallel Page Engineリクエストと無効化リクエストをロード・バランサやSSLアクセラレータ経由でルーティングする場合は、信頼できるサイトの証明書をインポートする必要があります。これを行うには、『Oracle Application Server Portal構成ガイド』の「信頼できるサイトの証明書の追加」の手順に従います。
前述の各項で説明した構成は、OracleAS Wirelessにも当てはまります。唯一異なる点として、中間層がOracleAS Single Sign-OnプールのIPアドレスを認識すること、およびクライアントを認証するためにリクエストをそのプールにルーティングできることが必要です。SSLを使用する場合は、認証局とサイトの証明書をOracleAS Wireless構成にインポートすることも必要です。手順については、『Oracle Application Server Wireless管理者ガイド』を参照してください。
system config ! !Device Configuration !Date: 15-06-2004 21:44:33 !Device Description: Web Server Director NP with SynApps !Base MAC Address: 00:03:b2:0d:43:c0 !Software Version: 7.50.05 (build 49dee4) ! net route table cdbset 192.168.4.2 255.255.255.255 192.168.0.200 net route table cdbset 192.168.2.0 255.255.255.0 192.168.0.200 net route table cdbset 0.0.0.0 0.0.0.0 192.168.200.1 manage snmp community-table cdbset 0.0.0.0 public -ca super -st trapsEnable system tune bridge-fft-table cdbset 1024 system tune ip-fft-table cdbset 8192 system tune arp-table cdbset 1024 system tune client-table cdbset 16384 system tune routing-table cdbset 512 wsd farm table cdbset 192.168.0.151 WCACHE_INVAL -as enable wsd farm table cdbset 192.168.0.154 CT100-SSO -as enable -dm cyclic -cp 443 wsd farm table cdbset 192.168.0.154 CT100-SSO -as enable -dm cyclic -cp 443 wsd farm table cdbset 192.168.0.153 CT100 -as enable -dm cyclic -cp 443 wsd farm table cdbset 192.168.0.153 CT100 -as enable -dm cyclic -cp 443 wsd farm table cdbset 192.168.0.150 HTTP -as enable -dm cyclic -cp 7777 wsd farm table cdbset 192.168.0.150 HTTP -as enable -dm cyclic -cp 7777 wsd farm table cdbset 192.168.0.152 SSO -as enable -dm cyclic -cp 7777 wsd farm table cdbset 192.168.0.152 SSO -as enable -dm cyclic -cp 7777 wsd farm table cdbset 192.168.0.151 WCACHE_INVAL -as enable -dm cyclic wsd farm table cdbset 192.168.0.151 WCACHE_INVAL -as enable -dm cyclic wsd farm table cdbset 192.168.0.151 WCACHE_INVAL -as enable -dm cyclic wsd farm server table cdbset 192.168.0.154 192.168.100.11 ct100-sso wsd farm server table cdbset 192.168.0.153 192.168.100.10 CT100 wsd farm server table cdbset 192.168.0.150 192.168.0.105 pdln-mid1 wsd farm server table cdbset 192.168.0.150 192.168.0.104 pdln-mid2 wsd farm server table cdbset 192.168.0.152 192.168.0.100 pdln-cache1 wsd farm server table cdbset 192.168.0.151 192.168.0.105 pdln-mid1 wsd farm server table cdbset 192.168.0.151 192.168.0.104 pdln-mid2 wsd physical-server statistics cdbset pdln-cache1 wsd physical-server statistics cdbset pdln-mid2 wsd physical-server statistics cdbset ct100-sso wsd physical-server statistics cdbset CT100 wsd physical-server statistics cdbset pdln-mid1 wsd super-farm cdbset 192.168.200.11 443 192.168.0.154 wsd super-farm cdbset 192.168.200.10 443 192.168.0.153 wsd super-farm cdbset 192.168.200.11 80 192.168.0.152 wsd super-farm cdbset 192.168.200.10 80 192.168.0.150 wsd super-farm cdbset 192.168.200.10 9401 192.168.0.151 wsd nat server status cdbset disable system tune dynamic-proximity-table cdbset 4096 wsd farm connectivity-check httpcode cdbset 192.168.0.154 200 wsd farm connectivity-check httpcode cdbset 192.168.0.153 200 wsd farm connectivity-check httpcode cdbset 192.168.0.152 200 wsd farm connectivity-check httpcode cdbset 192.168.0.150 200 wsd farm connectivity-check httpcode cdbset 192.168.0.151 200 wsd nat server specific-nat-address cdbset 0.0.0.0 system tune url-table cdbset 256 system tune request-table cdbset 200 system tune ssl-id-table cdbset 1024 net next-hop-router cdbset 192.168.200.1 net next-hop-router cdbset 138.1.34.229 wsd farm nhr cdbset 0.0.0.0 -ip 192.168.200.1 wsd farm extended-params cdbset 192.168.0.150 net ip-interface cdbset 192.168.200.5 255.255.255.0 2 net ip-interface cdbset 192.168.100.1 255.255.255.0 16 net ip-interface cdbset 192.168.0.1 255.255.255.0 1 wsd nat client address-range cdbset 192.168.0.25 -t 192.168.0.25 wsd nat client range-to-nat cdbset 192.168.2.100 -t 192.168.2.155 wsd nat client range-to-nat cdbset 192.168.0.100 -t 192.168.0.105 wsd nat client status cdbset enable system tune nat-address-table cdbset 1 system tune nat-ports-table cdbset 64512 bwm modify policy cdbset Default -i 0 -dst any -src any bwm modify policy cdbset Default -i 0 -dst any -src any -dr oneway health-monitoring response-level-samples cdbset 0 manage user table cdbset radware -pw radware manage telnet status cdbset enable manage web status cdbset enable manage ssh status cdbset enable manage secure-web status cdbset enable net physical-interface cdbset 1 -s fe100 -d full -a on net physical-interface cdbset 2 -s fe100 -d full wsd#
