•Increase application availability.

•Accelerate application performance.

•Secure the data center and critical business applications.

•Facilitate data center consolidation through the use of fewer servers, load balancers, and firewalls.

CISCO ACE (Application Control Engine)

ARQUITECTURA CISCO ACE

• Rendimiento = 16 Gbps.• 4 modulos por chasis = 64 Gbps.•Chasis = Sw 6500 o R7600

ARQUITECTURA CISCO ACE

Figure 1. ACE Module Architecture

ARQUITECTURA CISCO ACE

•Como ACE no tiene puertos externos los paquetes entran a traves del SFI (Switch Fabric Interface).

•Las 2 principales areas funcionales son:

Control Plane y Data Plane.

CISCO ACE – CONTROL PLANE

• Es usado para configurar el ACE y para administración del tráfico syslogs, ARP, DHC, etc. • Se debe configurar una interface de administración y habilitar el accceso remoto.• Es responsible de las sgtes funciones:

Device management and control Configuration management (CLI or XML interface) Server health monitoring syslogs SNMP Address Resolution Protocol (ARP) DHCP relay Redundancy (also known as high availability or fault tolerance) Access control list (ACL) compilation

CISCO ACE – DATA PLANE

• Es responsable de la distribución y procesamiento de paquetes y conexiones

CISCO ACE – DATA PLANE

The DP is responsible for the following ACE functions: Access control lists (ACLs) Connection management TCP termination Network address translation (NAT) SSL processing (termination, initiation, encryption, and decryption) Regular expression matching Load balancing and forwarding Application protocol inspection The DP consists of the following functional areas: Classification distribution engine (CDE) Network processors (NPs) SSL Crypto Module Daughter card interfaces (for future feature expansion)

CISCO ACE – Classification and Distribution Engine (CDE)

• Es el controlador del tráfico del ACE, su principal propósito es forward packetes que recibe del SFI hacia los 2 network processor (NP). Este actúa como el punto central de contacto entre todos los principales subsistemas dentro del ACE.• CDE añade una especial cabecera conocida como IMPH en cada paquete antes de ser enviado.• La cabecera IMPH es de 18 bytes. Los campos del IMPH pueden incluir notificación de un checksum error, capa 3 o capa 4.

CISCO ACE - Network Processors

• The ACE tiene 2 Network Processors (NP1 y NP2) que ejecutan la mayoria de procesamiento de paquetes dentro del ACE. Todo el trafico que entra al ACE debería pasar por uno o ambos NP despues de haber sido fowardeado por CDE.• Cada NP puede ejecutar 8 hilos o procesos simultanemente

CISCO ACE - SSL Crypto Module

• The SSL Crypto Module es el responsable SSL record layer processing. Este procesamiento incluye encriptación y desencriptación de datos para el flujo SSL

CISCO ACE - Administración de Recursos

• Tu puedes asignar recursos del sistema a múltiples contextos creando y definiendo uno o mas clases de recursos, y luego asociar los contextos con la clase de recurso.• Tópicos:

ACE resource Planning.Creating a Resource Class for Resource Management. Allocating Resources within a Resource Class.Changing the Resource Allocation of a Resource Class.

CISCO ACE - ACE resource Planning

• Cuando tu asignas recursos por primera vez a un virtual contexto, debes asignar los requerimientos mínimos. ACE protege los recursos que están en uso, decrementando los recursos del contexto que no son usados en tiempo real.• Se recomienda no exceder el 60-80 % de la capacidad del ACE, para lograr este objetivo se debe crear una clase con el 20-40 % de la capacidad del ACE y configure un contexto virtual dedicado solamente a utilizar este recurso.

CISCO ACE - Creating a Resource Class for Resource Management

• Tu puedes crear un resource class asignando y administrando recursos del sistemas para uno o mas contextos virtuales. ACE soporta un máximo de 100 resource class.

ACE_module5/Admin(config)# resource-class RC1 ACE_module5/Admin(config-resource)

CISCO ACE - Allocating Resources within a Resource Class

• Tu puedes asignar todos los recursos o individuales recursos a todos los contextos de un resource class. Por ejemplo para asignar el 20% de todos los recursos a todos los contextos de un resource class:

(config-resource)# limit-resource all minimum 20% maximum equal-to-min

CISCO ACE – Virtual Partition

Physical Device

Context 1Admin

ContextContext

Definition

Resource Allocation

Managementstation

Context 2 Context 250

AAA

CISCO ACE

CISCO ACE - Redundancy

• cisco ACE module ofrece 3 tipos de redundancia:1. InterChasis. 2. IntraChasis.3. Inter-Virtual Devices.

CISCO ACE

CISCO ACE

•VLAN 400 is assigned to the second Gigabit Ethernet port and is used for client-side traffic. •VLAN 500 is assigned to the third Gigabit Ethernet port and is used for server-side traffic. •None of the three Gigabit Ethernet ports used are trunked. •A management VLAN interface is configured for the Admin context with VLAN 1000 and IP address 172.25.91.110. •A management VLAN interface is configured for the user context VC_web with VLAN 1000 and IP address 172.25.91.111. •A client-side VLAN interface is configured for the user context VC_web with VLAN 400 and IP address 10.10.40.10. •A server-side VLAN interface is configured for the user context VC_web with VLAN 500 and IP address 10.10.50.1. •Four web servers are available to the ACE for load-balancing client requests.

CISCO ACE