Serviços de rede de aplicativos : Switches de serviços de conteúdo Cisco CSS 11500 Series

Exemplo da configuração SSL de backend CSS11500

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

O Content Services Switch (CSS) 11500 é compatível com os módulos de aceleração para Secure Socket Layer (SSL), que podem ser usados para descriptografar o tráfego do cliente para a tomada de melhores decisões relativas ao balanceamento de carga (terminação SSL/SSL front-end). Usar o CSS para poupar o SSL dos servidores aumenta significativamente o desempenho do servidor e permite que o tráfego seja distribuído melhor para aplicações backend. O CSS 11500 pode criptografar novamente as conexões SSL encerradas e enviar o tráfego criptografado aos servidores SSL back-end (back-end SSL). Isto é necessário para os ambientes que exigem comunicação segura entre cliente e servidor e balanceamento de carga avançado no servidor, como a utilização de cookies para manter a persistência de sessão. As funções integradas do SSL permitem que o CSS tome decisões cientes para garantir que os dados sejam enviados à aplicação correta e mantenha a criptografia de dados em toda a rede.

Este documento descreve o fluxo de tráfego SSL do cliente ao CSS e ao servidor SSL no final do processo. Este documento fornece configurações e hipóteses de implementação diferentes.

Pré-requisitos

Requisitos

Antes de tentar esta configuração, verifique se estes requisitos são atendidos:

  • conceitos básicos de Secure Socket Layer/Transport Layer Security (SSL/TLS)

  • instalação básica do CSS

  • acesso às chaves dos servidores de Web e Certificados dos servidores de Web existentes SSL

  • autorização mudar a configuração de SSL em seus server

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Construção 206 da versão webns 7.20

  • CSS11506

  • Verisign no certificado do local

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Produtos Relacionados

Esta configuração também pode ser utilizada com estas versões de hardware e software:

  • CSS11501 com SSL inerente ou CSS 11503/506 com um módulo SSL CSS5-SSL-K9 instalado.

  • Versão 7.20 e mais recente do software webns.

Convenções

Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Para localizar informações adicionais sobre os comandos usados neste documento, utilize a Ferramenta Command Lookup (somente clientes registrados).

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

/image/gif/paws/47390/backend_ssl.jpg

Configurações

Este documento utiliza esta configuração:

  • CSS11506 (NWS-5-9)

Trafique do cliente vem e bate a regra dianteira satisfeita. Esta regra é a porta 443. Esta regra carrega então equilíbrios o tráfego ao ssl_front do serviço. Este serviço provê então a lista do proxy SSL.

A lista do proxy SSL define a negociação de SSL com o cliente e estabelece uma sessão de SSL segura entre o CSS e o cliente. A configuração define o endereço IP de Um ou Mais Servidores Cisco ICM NT do proxy SSL, a chave privada, e certificado acorrentado/único para usar-se. Igualmente define a regra de conteúdo do texto claro que você está indo bater.

A regra de conteúdo referida é parte traseira do índice. Devido ao fato de que estes dados estão agora no texto claro, você pode ver os cabeçalhos HTTP. A fim manter o stickyness (aderência) a um server, use cookies arrowpoint. O CSS faz então uma decisão do Balanceamento de carga baseada na cookie arrowpoint se o cliente tem recebido já um ou através do algoritmo subjacente do Balanceamento de carga se não têm. Neste caso, o interruptor é carga equilibrada para prestar serviços de manutenção ao backend1.

O pedido é enviado então prestar serviços de manutenção ao backend1. Este serviço é configurado como um tipo SSL-accel-backend. Não há nenhum servidor físico aqui.

A lista do proxy SSL é referida outra vez, e da configuração, você pode ver a configuração de servidor backend. Esta configuração é muito similar à decriptografia de SSL na parte frontal mas no reverso. Você pode tomar o texto claro e convertê-lo ao SSL. Você pode igualmente definir uma cifra para usar-se nos hellos do cliente.

O pedido é enviado ao servidor físico cifrado.

CSS11506 (NWS-5-9)
nws-5-2# sh run
 !Generated on 01/09/2004 01:16:00
 !Active version: sg0720206
 configure
 !*************************** GLOBAL ***************************
   cdp run 

 ssl associate rsakey privatekey myprivatekey 
 ssl associate cert certificate mynewcert.pem 


!--- Define the SSL certificate and key files to use for the Web site 
!--- These are for the client to SSL module connection.


 ip route 0.0.0.0 0.0.0.0 10.66.86.17 1 


 !************************* INTERFACE *************************
 interface 3/1
 bridge vlan 41 

 !************************** CIRCUIT **************************
 circuit VLAN1

 ip address 10.1.1.1 255.255.255.0

 circuit VLAN41

 ip address 10.66.86.29 255.255.255.240 

 !*********************** SSL PROXY LIST ***********************
 ssl-proxy-list my_secure_site 
 ssl-server 1 
 ssl-server 1 rsakey privatekey 
 ssl-server 1 rsacert certificate 
 ssl-server 1 cipher rsa-with-rc4-128-md5 10.1.1.10 81 
 ssl-server 1 vip address 10.66.86.28


!--- SSL server configuration. This is for the client to the SSL
!--- module connection.


 backend-server 10

 
!--- Backend SSL configuration. These specify the parameters for 
!--- the connection from the CSS to the backend servers. 


 backend-server 10 ip address 10.1.1.20 
 backend-server 10 port 81 


!--- This defines the clear text IP and port that are 
!--- used to encrypt data headed for the backend servers.

 backend-server 10 server-ip 10.1.1.20 
 backend-server 10 server-port 8003


!--- This is the physical server. As there is no server-port
!--- configured, the default 443 will be used.


 backend-server 10 cipher rsa-export-with-rc4-40-md5 


!--- The CSS behaves as a client. Specify what SSL cipher 
!--- you are going to present to the backend server in the SSL 
!--- handshake client hello packet.


 backend-server 20 
 backend-server 20 ip address 10.1.1.21 
 backend-server 20 port 81 
 backend-server 20 server-ip 10.1.1.21 
 backend-server 20 server-port 8003
   backend-server 20 cipher rsa-export-with-rc4-40-md5 

 backend-server 30 
 backend-server 30 ip address 10.1.1.22 
 backend-server 30 port 81 
 backend-server 30 server-ip 10.1.1.22
 backend-server 30 server-port 8003 
 backend-server 30 cipher rsa-export-with-rc4-40-md5 
 active 

 !************************** SERVICE **************************

 service ssl_front 
 slot 6 
 type ssl-accel 
 keepalive type none 
 add ssl-proxy-list my_secure_site 
 active 

 service backend1 
 ip address 10.1.1.20 
 type ssl-accel-backend 
 port 81
 add ssl-proxy-list my_secure_site 
 keepalive port 8003 
 keepalive type ssl 
 protocol tcp 
 active 

 service backend2 
 ip address 10.1.1.21 
 type ssl-accel-backend 
 port 81
 keepalive port 8003 
 add ssl-proxy-list my_secure_site 
 keepalive type ssl 
 protocol tcp 
 active 

 service backend3 
 ip address 10.1.1.22 
 protocol tcp 
 port 81
 keepalive port 8003 
 keepalive type ssl 
 type ssl-accel-backend 
 add ssl-proxy-list my_secure_site 
 active 


 !*************************** OWNER ***************************
 owner my_secure_site

 content back 
 protocol tcp 
 port 81
 url "/*" 
 vip address 10.1.1.10 
 add service backend1 
 add service backend2 
 add service backend3 
 advanced-balance arrowpoint-cookie 
 active 

 content front 
 protocol tcp 
 vip address 10.66.86.28 
 application ssl 
 add service ssl_front 
 port 443 
 active 

Verificar e solucionar problemas

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração. A coluna da mão esquerda é uma lista do ciclo de vida de uma sessão. A coluna à direita é uma lista dos comandos show e das ferramentas que podem ser usados para verificar parte do estado de cada um o ciclo de vida.

Ciclo de vida lógico Comandos/técnicas (exemplos abaixo)
Cliente Farejador de rastreamento da máquina cliente. Procure o reconhecimento de sentido TCP 3 e os hellos de cliente SSL e os servidores hello.
Parte dianteira da regra de conteúdo regra da mostra — Procure a regra como sendo ativo. Tente sibilar o endereço VIP da regra; isto deve responder. Tome um farejador de rastreamento no link que conecta ao CSS no lado do cliente.
Preste serviços de manutenção ao ssl_front mostre o sumário do serviço — Certifique-se que o serviço está vivo. mostre o ssl_front do serviço — Certifique-se que o serviço está vivo e a my_secure_site do proxy SSL é listada e ativa. Verifique para ver se as conexões local totais estão incrementando.
My_secure_site da lista do proxy SSL lista de proxy ssl da mostra — Certifique-se que o estado é ativo. mostre a my_secure_site da lista de proxy ssl — Fornece a informação de configuração. mostre estatísticas SSL — Certifique-se que não há nenhum incremento dos erros. Veja o exemplo abaixo. mostre fluxos SSL — Indica os fluxos atuais.
Parte traseira da regra de conteúdo regra da mostra — Procure a regra como sendo ativo.
Backend1 dos serviços ou backend2 ou backend3 mostre o sumário do serviço — Certifique-se que o serviço está vivo. mostre o nome do serviço do serviço — Certifique-se de que pelo menos um serviço está vivo e a my_secure_site do proxy SSL é listado e ativo. Verifique para ver se as conexões local totais estão incrementando.
My_secure_site da lista do proxy SSL lista de proxy ssl da mostra — Certifique-se que o estado é ativo. mostre a my_secure_site da lista de proxy ssl — Fornece a informação de configuração. mostre estatísticas SSL — Certifique-se que não há nenhum incremento dos erros. Veja o exemplo abaixo. mostre fluxos SSL — Indica os fluxos atuais.
Servidor Farejador de rastreamento da máquina cliente. Procure o reconhecimento de sentido TCP 3 e os hellos de cliente SSL e os servidores hello. Verifique se o server está escutando no SSL. Emita o comando port netstat -a para Windows, e o comando netstat -l para máquinas de Unix/Linux.

Exemplos verifique e do comando de Troubleshooting

Esta seção fornece a informação de Troubleshooting relevante aos comandos alistados no ciclo de vida acima e que a procurar em cada comando. As seções em negrito devem ser verificadas se mostram um estado diferente.

show rule

Name:                    back   Owner:          my_secure_site
State:    Active   Type:                    HTTP
Balance:          Round Robin   Failover:                  N/A
Persistence:          Enabled   Param-Bypass:         Disabled
Session Redundancy:  Disabled
IP Redundancy:    Not Redundant
L3:         10.1.1.10   


!--- Theses lines indicate the configuration of the rule.


L4:         TCP/81
Url:        /*          


!--- This indicates a Layer 7 rule, where the CSS spoofs the
!--- connection.

Redirect: ""
TCP RST client if service unreachable: Disabled
Rule Services:
 1: backend1-Alive 

>>>>>>>>

Name:                   front   Owner:          my_secure_site
State:                 Active   Type:       SSL
Balance:          Round Robin   Failover:                  N/A
Persistence:          Enabled   Param-Bypass:         Disabled
Session Redundancy:  Disabled
IP Redundancy:    Not Redundant
L3:         10.66.86.28  


!--- Theses lines indicate the configuration of the rule.

L4:         TCP/443
Url:                             


!--- There is no configuration, so this is a Layer 4 rule.

Redirect: ""
TCP RST client if service unreachable: Disabled
Rule Services:
 1: ssl_front-Alive 

show context summary

Service Name                     State     Conn  Weight  Avg   State
                                                         Load  Transitions

backend1                         Alive         0      1     2            9
backend2                         Down          0      1   255            0
backend3                         Down          0      1   255            0
ssl_front                        Alive         0      1     2            4

ssl_front sh do serviço

Name: ssl_front         Index: 4     
  Type: Ssl-Accel        State: Alive
  Rule ( 0.0.0.0  ANY  ANY )
  Session Redundancy: Disabled
  SSL-Accel slot: 6    


 !--- Make sure this is the slot where the SSL module is installed.

  Session Cache Size: 10000 
  Redirect Domain:  
  Redirect String:  
  Keepalive: (NONE   5   3   5 )
  Last Clearing of Stats Counters: 01/28/2004 22:29:34
  Mtu:                       1500        State Transitions:            4


 !--- Connection counters should be increasing.

  Total Local Connections:   576         Total Backup Connections:     0
  Current Local Connections: 0           Current Backup Connections:   0
  Total Connections:         576         Max Connections:              65534
  Total Reused Conns:        0         
  Weight:                    1           Load:                         2
  DFP:                       Disable     

  
SSL Proxy Lists:
   1: my_secure_site-Active

mostre a lista de proxy ssl

Ssl-Proxy-List Table Entries (1 Entries)
    1) Name:  my_secure_site
       State:  Active
       

!--- The number of services pointing to the SSL proxy list. This 
!--- includes the back-end services as well.

       Services Associated:  4  

mostre a my_secure_site da lista de proxy ssl

- Ssl-proxy-list Entries for list my_secure_site -

Number of SSL-Servers:  1 
   Ssl-Server 1 -
     
     Vip address: 10.66.86.28
     Vip port:  443
     RSA Certificate:  certificate  
     

     !--- This is the certificate file associated for the SSL site.

     RSA Keypair:      privatekey   
     

     !--- This is the private key file associated for the SSL site.

     DSA Certificate:  none
     DSA Keypair:      none
     DH Param:         none
     Session Cache Timeout:         300     SSL Version:  SSL and TLS
     Re-handshake Timeout:          0       Re-handshake Data:            0
     Virtual TCP Inactivity TO:     240     Server TCP Inactivity TO:     240
     Virtual TCP Syn Timeout:       30      Server TCP Syn Timeout:       30
     Virtual TCP Nagle Algorithm:   enable  Server TCP Nagle Algorithm:   enable
     TCP Receive Buffer:            32768   TCP Transmit Buffer:          65536
     SSL Shutdown Procedure:        normal 

     Cipher Suite(s)               Weight     Port     Server
     ---------------               ------     ----     ------
     rsa-with-rc4-128-md5             1       81       10.1.1.10

    

    !--- This is the cipher suite used in the server SSL hello back to the client.
    !--- The clear text IP address and port of the decypted traffic.


     URL Rewrite Rule(s) - None
         
Number of Ssl Proxy backend-servers:  3 
   Backend-server 10 -


!--- This is the back-end server clear text IP and port.

     
     IP address: 10.1.1.20
     Port:  81
     

!--- This is the back-end server SSL server IP and port.

     
     Server IP address: 10.1.1.20
     Server port:  8003
     Session Cache Timeout:        300     SSL Version:  SSL and TLS
     Re-handshake Timeout:         0       Re-handshake Data:            0
     Virtual TCP Inactivity TO:    240     Server TCP Inactivity TO:     240
     Virtual TCP Syn Timeout:      30      Server TCP Syn Timeout:       30
     Virtual TCP Nagle Algorithm:  enable  Server TCP Nagle Algorithm:   enable
     TCP Receive Buffer:           32768   TCP Transmit Buffer:          65536

     Cipher Suite(s)               Weight    
     ---------------               ------    
     rsa-export-with-rc4-40-md5       1      

    
 
!--- This is the cipher suite used in the client hello to the SSL server.
!--- In this case, the SSL module is encypting the traffic and acting as 
!--- a client.


   Backend-server 20 -
     IP address: 10.1.1.21
     Port:  81
     Server IP address: 10.1.1.21
     Server port:  8003
     Session Cache Timeout:        300     SSL Version:  SSL and TLS
     Re-handshake Timeout:         0       Re-handshake Data:            0
     Virtual TCP Inactivity TO:    240     Server TCP Inactivity TO:     240
     Virtual TCP Syn Timeout:      30      Server TCP Syn Timeout:       30
     Virtual TCP Nagle Algorithm:  enable  Server TCP Nagle Algorithm:   enable
     TCP Receive Buffer:           32768   TCP Transmit Buffer:          65536

     Cipher Suite(s)               Weight    
     ---------------               ------    
     rsa-export-with-rc4-40-md5       1      

   Backend-server 30 -
     IP address: 10.1.1.22
     Port:  81
     Server IP address: 10.1.1.22
     Server port:  8003
     Session Cache Timeout:        300     SSL Version:  SSL and TLS
     Re-handshake Timeout:         0       Re-handshake Data:            0
     Virtual TCP Inactivity TO:    240     Server TCP Inactivity TO:     240
     Virtual TCP Syn Timeout:      30      Server TCP Syn Timeout:       30
     Virtual TCP Nagle Algorithm:  enable  Server TCP Nagle Algorithm:   enable
     TCP Receive Buffer:           32768   TCP Transmit Buffer:          65536

     Cipher Suite(s)               Weight    
     ---------------               ------    
     rsa-export-with-rc4-40-md5       1      

mostre estatísticas SSL

SSL Acceleration Statistics
Component: SSL Proxy Server   Slot: 6
     Count        Description
---------------   -----------
            
            576   Handshake started for incoming SSL connections
            576   Handshake completed for incoming SSL connections


!--- These are the SSL handshake statistics for the client to CSS connection.

            
            560   Handshake started for outgoing SSL connections
            560   Handshake completed for outgoing SSL connections


!--- These are the SSL handshake stats for the CSS to backend servers.

             
             12   Active SSL flows high water mark


!--- This is the maximum number of active SSL flows.


SSL Acceleration Statistics
Component: Crypto   Slot: 6
     Count        Description
---------------   -----------
             14   RSA Private
              3   RSA Public
              0   DH Shared
              0   DH Public
              0   DSA Sign
              0   DSA Verify
              0   SSL MAC
          7,515   TLS HMAC
              0   3DES
          7,918   ARC4
         69,876   HASH
              
              0   RSA Private Failed
              0   RSA Public Failed
              0   DH Shared Failed
              0   DH Public Failed
              0   DSA Sign Failed
              0   DSA Verify Failed
              0   SSL MAC Failed
              0   TLS HMAC Failed
              0   3DES Failed
              0   ARC4 Failed
              0   HASH Failed
              0   Hardware Device Not Found
              0   Hardware Device Timed Out
              0   Invalid Crypto Parameter
              0   Hardware Device Failed
              0   Hardware Device Busy
              0   Out Of Resources
              0   Cancelled -- Device Reset


!--- At this point, any errors need to be investigated.


SSL Acceleration Statistics
Component: SSL   Slot: 6
     Count        Description
---------------   -----------
             14   RSA Private Decrypt calls
              3   RSA Public Decrypt calls
              0   DH Compute key calls
              0   DH Generate key calls
              0   DSA Verify calls
              0   DSA Sign calls
         34,220   MD5 raw hash calls
         34,220   SHA1 raw hash calls
              0   3-DES calls
          7,918   RC4 calls
              0   SSL MAC(MD5) calls
              0   SSL MAC(SHA1) calls
          7,515   TLS MAC(MD5) calls
              0   TLS MAC(SHA1) calls
              0   Level 2 Alerts Received
            725   Level 1 Alerts Received
              0   Level 2 Alerts Sent
          1,134   Level 1 Alerts Sent
      
      1,200,211   SSL received bytes from TCP
      1,155,278   SSL transmitted bytes to TCP
      1,006,669   SSL received Application Data bytes
      1,970,856   SSL transmitted Application Data bytes
        124,497   SSL received non-application data bytes
        152,147   SSL transmitted non-application data bytes
  

!--- These are the traffic stats for the SSL module; they should be incrementing.

              0   RSA Private Decrypt failures
              0   MAC failures for packets received
              0   Re-handshake TimerAlloc failed
              0   Blocks SSL could not allocate
              0   Dup Blocks SSL could not allocate
              0   Too many blocks for Block2AccelFragmentArray
              0   Too many blocks in a SSL message

mostre fluxos SSL

SSL Acceleration Flows for slot 6
        Virtual  Port TCP Proxy Flows  Active SSL Flows  SSL Flows in Handshake
---------------  ---- ---------------  ----------------  ----------------------
    
    10.66.86.28   443               6                 2                       0
      10.1.1.20    81               6                 2                       0
      10.1.1.22    81               0                 0                       0
      10.1.1.21    81               0                 0                       0


!--- This is the number of active flows in the CSS. These can be difficult to see on a 
!--- box with little load.

mostre o backend1 do serviço

Name: backend1          Index: 1     
  
  Type: Ssl-Accel-Backend State: Alive
  Rule ( 10.1.1.20  TCP  81 )
  Session Redundancy: Disabled
  Redirect Domain:  
  Redirect String:  
  Keepalive: (SSL-8003   5   3   5 )
  Last Clearing of Stats Counters: 01/28/2004 22:29:34
  Mtu:                       1500        State Transitions:            9
  Total Local Connections:   689         Total Backup Connections:     0
  Current Local Connections: 0           Current Backup Connections:   0
  Total Connections:         689         Max Connections:              65534
  Total Reused Conns:        0         
  Weight:                    1           Load:                         2
  DFP:                       Disable     

  
SSL Proxy Lists:
   1: my_secure_site-Active

O TAC presta serviços de manutenção à informação do pedido

Antes de abrir um centro de assistência técnica (TAC) preste serviços de manutenção ao pedido, recolhem esta informação:

  1. Usando o ciclo de vida acima, recolha todos os comandos mencionados e agrupe-os pela etapa do ciclo de vida.

  2. Forneça a saída do comando script play showtech.

  3. Forneça um diagrama de topologia detalhado.

  4. Forneça farejadores de rastreamento do lado do cliente do CSS e do lado de servidor. Isto é opcional, mas pode encurtar o tempo de resolução.

  5. Se fornecendo farejadores de rastreamento, identifique o endereço IP de Um ou Mais Servidores Cisco ICM NT dos clientes.


Informações Relacionadas


Document ID: 47390