Serviços de rede de aplicativos : Switches de serviços de conteúdo Cisco CSS 11500 Series

Configurando o Produtos e os aplicativos de web CSS 11xxx converter uma sessão do HTTP ao SSL e ficar colado

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento fornece uma configuração de exemplo para o Produtos e aplicativos de web CSS 11xxx a fim manter um cliente colado ao mesmo server, se você usa o HTTP ou o SSL.

Pré-requisitos

Requisitos

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

  • Compreenda os princípios do HTTP e do SSL.

  • Tenha o conhecimento sobre o Produtos e os aplicativos de web CSS 11xxx.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Liberação de software webns 5.00 de Cisco e mais atrasado

  • Todos os Content Services Switch do 11xxx Series de Cisco CSS

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

Muitos sites mandam clientes entrar em seu local com a ajuda da porta 80 do Hypertext Transfer Protocol (HTTP), mas querem os clientes à transição ao protocolo do Secure Socket Layer (SSL) durante a sessão para transações seguras. Está aqui uma maneira de manter um cliente colado ao mesmo server, se você usa o HTTP ou o SSL.

O tráfego de HTTP dos pedidos do cliente destinado ao IP virtual (VIP). O interruptor faz uma decisão do equilíbrio da carga. Neste documento, o tráfego vai ao S1 do server. O cliente é colado então ao S1 do server baseado em um dos métodos do avanço-equilíbrio, tais como o Sticky-srip, o Sticky-srcip-dstport, e os Cookie. Refira configurar parâmetros difíciis para regras de conteúdo para mais informação.

Durante a sessão do cliente, a transição está feita à porta 443 SSL quando o cliente seleciona um link na página que reorienta aos https. Faz com que uma nova regra de conteúdo seja acertada, e o cliente pode ter balanceamento de cargo em outro servidor. Porque o tráfego é agora os https cifrados (SSL/TLS), o CSS não pode verificar acima da camada 4 (o número de porta de TCP) para ver se há os Cookie, URL etc., porque os pedidos são cifrados quando a informação passa o CSS. A fim impedir a ocorrência desta edição, configurar o HREF de reorientação em cada server para apontar de volta aos https no mesmo endereço público dos server, não o endereço VIP, como mostrado aqui:

<A HREF="https://servers_own_ip_address/path"> secure site </A>

Se seus server estão em um espaço de endereço privado, configurar regras de conteúdo SSL para cada server com um HREF em cada server esses pontos às regras de conteúdo VIP SSL.

Você pode igualmente precisar de fazer algumas alterações às configurações dos aplicativos de web no S1 dos server e em s2 fixados.

Igualmente uma regra de conteúdo com um grupo da configuração difícil às cookies de balanceamento avançado exige todos os clientes permitir Cookie em seu navegador.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Configurações

Este documento utiliza esta configuração:

  • CSS11XXX com WebNS 5.00 e mais atrasado - Configuração running

CSS11XXX com WebNS 5.00 e mais atrasado - Configuração running
!Generated on 10/10/2001 18:12:17
 !Active version: ap0500015s
  configure
 !************************** SERVICE************************** 
  service s1
     ip address 10.10.1.101
     active
  service s2
     ip address 10.10.1.102
     active 
 !*************************** OWNER***************************
  owner cookie-ssl
     content layer5cookie
        vip address 10.10.1.66
        protocol tcp
        port 80
        url "/*"
        advanced-balance arrowpoint-cookie
        
!--- Specify a port in the content rule to use this option.
        !--- Port 80 traffic is used here. 
        !--- All clients must enable cookies on their browser.


        add service s1

        add service s2

        active 
     content s1-ssl
        vip address 10.10.1.88
        protocol tcp
        port 443
        application ssl
        add service s1
        active
     content s2-ssl
        vip address 10.10.1.99
        protocol tcp
        port 443
        
        application ssl
        add service s2
        active

 
!--- Use this HREF on server S1 where switching from http to https:


   <A HREF="https://10.10.1.101/applicationpath1/"> secure site s1 </A>

 
!--- Use this HREF on server S2 where switching from http to https:

   <A HREF="https://10.10.1.102/applicationpath2"> secure site s2 </A>

 
!--- In the example, the addresses for servers s1 and s2 must be 
 !--- reachable from the client. If this is not the case, you must add a 
 !--- content rule for each server with a unique publicly routable VIP
 !--- address and one service for each SSL server, as shown here:


     content s1-ssl
         vip address 10.10.1.88
         protocol tcp port 443
         application ssl
         add service s1
         active  

     content s2-ssl
          vip address 10.10.1.99
          protocol tcp port 443
          application ssl
          add service s2
          active


!--- Use this HREF on server s1 where the switch from http to https occurs:

      <A HREF=https://10.10.1.88/applicationpath1/> secure site s1 </A>  

!--- Use this HREF on server s2 where the switch from http to https occurs:  

      <A HREF=https://10.10.1.99/applicationpath2> secure site s2 </A>

Verificar

No momento, não há procedimento de verificação disponível para esta configuração.

Troubleshooting

Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 16202