Cisco Interfaces and Modules : Módulo de serviços SSL Cisco Catalyst 6500 Series

Módulo SSL com um CS no exemplo de configuração do modo de Bridge

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento fornece uma configuração de exemplo segurando o tráfego HTTPS com um módulo de Secure Socket Layer (SSLM) e o Balanceamento de carga o tráfego decifrado um módulo content switch (CS).

Neste exemplo, o CS é configurado no modo de Bridge. O cliente VLAN e o vlan do servidor compartilham do mesmo endereço IP de Um ou Mais Servidores Cisco ICM NT. O mesmo endereço IP de Um ou Mais Servidores Cisco ICM NT virtual é configurado igualmente no CS e no SSLM. Isto exige alguma atenção especial, que você vê mais tarde neste documento.

Antes de Começar

Requisitos

Antes de tentar esta configuração, assegure-se de por favor que você cumpra estas exigências:

  • O módulo SSL é acessível através do console OU Telnet.

Componentes Utilizados

A informação neste documento é baseada nestes versão de hardware e software.

  • Versão de CSM 3.x ou mais altamente

  • 2.1 da versão de módulo de SSL

Convenções

Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Esta é uma descrição do caminho de tráfego baseado no diagrama da rede abaixo:

  1. A conexão de HTTPS é aberta pelo cliente 192.168.11.41 ao endereço IP 192.168.21.246 do vserver na porta 443.

  2. O tráfego é enviado pelo MSFC ao CS em 50 pés VLAN.

  3. O tráfego bate o CSM vserver SSL 21 (veja a configuração), e é carga equilibrada entre o módulo SSL (neste caso, somente um). Somente os endereços MAC são alterados; os endereços IP de Um ou Mais Servidores Cisco ICM NT não são mudados.

  4. O módulo SSL decifra o pedido HTTPS do cliente e abre uma conexão de HTTP com o CS VIP 192.168.21.246 na porta 80.

  5. A carga CS equilibra esta conexão a um dos server.

  6. A resposta de servidor é enviada ao CS.

  7. O CS para a frente a resposta ao SSLM.

  8. O SSLM cifra-o o tráfego do server, e para a frente ao cliente com o CS.

Diagrama de Rede

Este documento usa esta instalação de rede

/image/gif/paws/59741/csm_ssl_transparent.jpg

Configurações

Este documento utiliza esta configuração:

msfc1#show running-config
Building configuration...
 .


!--- On the MSFC, you need to configure the VLANs that are
!--- used by the SSL module. This automatically sets up the 
!--- trunk between the Cat6k and the SSLM.

ssl-proxy module 1 allowed-vlan 60,499-501


!--- This is the CSM configuration.

module ContentSwitchingModule 4 
 vlan 50 client


!--- This is the VLAN between MSFC and CSM. This VLAN is bridged 
!--- by the CSM with the server VLAN 500.

  ip address 192.168.20.97 255.255.254.0
  gateway 192.168.21.97
!
 vlan 500 server
  ip address 192.168.20.97 255.255.254.0
!
 vlan 60 server


!--- This is the VLAN between CSM and SSLM.

  ip address 192.168.60.1 255.255.255.0
  alias 192.168.60.254 255.255.255.0
!
 serverfarm MYLINUX


!--- These are the HTTP servers.

  nat server


!--- A NAT server is required to translate the VIP address to the 
!--- server IP address.

  no nat client
  real 192.168.21.3
   inservice
  real 192.168.21.4
   inservice
!
serverfarm SSLACC


!--- This is the SSL module serverfarm. You can list more than one module 
!--- here.

  no nat server


!--- You do not want to NAT the server IP address because the SSLM uses 
!--- the same VIP as the CSM.

  no nat client
  real 192.168.60.2
   inservice


!--- This is the SSLM interface IP address.

!
 vserver SSL21


!--- The vserver handles the HTTPS traffic from the client.

  virtual 192.168.21.246 tcp https
  vlan 50


!--- The vlan 50 command limits the access to this VIP
!--- to traffic coming from the MSFC vlan 50.

  serverfarm SSLACC


!--- You need to link the SSL modules to this vserver.

  no persistent rebalance


!--- HTTPS traffic cannot be rebalanced due to encryption.

  inservice
!     
 vserver WWW21


!--- The vserver handles HTTP traffic from VLAN 60.
!--- This is the decrypted traffic forwarded by the SSLM.

  virtual 192.168.21.246 tcp www


!--- You can reuse the same VIP address, but a different TCP port.

  vlan 60
  serverfarm MYLINUX


!--- You can link the servers to this VIP.

  persistent rebalance


!--- Persistent rebalance is possible for HTTP traffic.

  inservice
!
interface Vlan499


!--- This is the MSFC interface to the clients.

 ip address 192.168.11.97 255.255.254.0
!
interface Vlan50


!--- This is the MSFC interface to the CSM.

 ip address 192.168.21.97 255.255.254.0
!

Esta é a configuração SSLM:

ssl-proxy#sho run
Building configuration...

Current configuration : 23095 bytes
!
version 12.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname ssl-proxy
!
logging queue-limit 100
enable password ww
!
spd headroom 512
ip subnet-zero
ip tftp source-interface Ethernet0/0.499
ip domain name cisco.com
!
!
ssl-proxy service ssl21  
 virtual ipaddr 192.168.21.246 protocol tcp port 443 secondary


!--- The keyword secondary is necessary since the VIP address
!--- is not part of any VLAN configured on the SSLM.

 server ipaddr 192.168.60.254 protocol tcp port 80


!--- The server IP address is the alias IP address of the CSM.

 certificate rsa general-purpose trustpoint stefano
 no nat server


!--- You need to disable server NAT; this is traffic that is forwarded back
!--- to the CSM MAC address with the VIP address as the destination.

 trusted-ca ca-servidor-pool
 inservice
ssl-proxy vlan 60 
 ipaddr 192.168.60.2 255.255.255.0
 gateway 192.168.60.254
!
crypto ca trustpoint stefano
 crl optional
 rsakeypair stefano
!
crypto ca certificate chain stefano
 certificate 02
 certificate ca 00
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.60.254
no ip http server
no ip http secure-server
!
!         
no cdp run
!
line con 0
 exec-timeout 0 0
line 1 3
 no exec
 transport input all
 flowcontrol software
line vty 0 4
 password ww
 login
!
end

Verificar

Esta seção fornece informações que você pode usar para confirmar se sua configuração está funcionando adequadamente.

  • mostre o detalhe do nome do nome do vserver modificação csm X — emita este comando verificar que o tráfego bate o vserver. Certifique-se que os pacotes estão recebidos do cliente e servidor do ambos sentidos. Se você não vê nenhuma batidas, tente sibilar o VIP. Certifique-se que o status VIP é OPERACIONAL. Se você não vê pacotes de servidor, verifique a Conectividade entre o CS e o SSLM.

    msfc1#sho mod csm 4 vser name ssl21 det
    SSL21, type = SLB, state = OPERATIONAL, v_index = 21
      virtual = 192.168.21.246/32:443 bidir, TCP, service = NONE, advertise = FALSE
      idle = 3600, replicate csrp = none, vlan = 50, pending = 30, layer 4
      max parse len = 2000, persist rebalance = TRUE
      ssl sticky offset = 0, length = 32
      conns = 0, total conns = 2
      Default policy:
        server farm = SSLACC, backup = <not assigned>
        sticky: timer = 0, subnet = 0.0.0.0, group id = 0
      Policy          Tot matches  Client pkts  Server pkts
      -----------------------------------------------------
      (default)       2            18           12   
    msfc1#sho mod csm 4 vser name www21 det
    WWW21, type = SLB, state = OPERATIONAL, v_index = 22
      virtual = 192.168.21.246/32:80 bidir, TCP, service = NONE, advertise = FALSE
      idle = 3600, replicate csrp = none, vlan = 60, pending = 30, layer 4
      max parse len = 2000, persist rebalance = TRUE
      ssl sticky offset = 0, length = 32
      conns = 0, total conns = 2
      Default policy:
        server farm = MYLINUX, backup = <not assigned>
        sticky: timer = 0, subnet = 0.0.0.0, group id = 0
      Policy          Tot matches  Client pkts  Server pkts
      -----------------------------------------------------
      (default)       2            11           7    
  • mostre o detalhe dos conns modificação csm X — emita este comando verificar que os pacotes estão vistos do cliente e servidor. A falha considerar pacotes do server poderia ser uma indicação que o server tem o gateway padrão errado, e o tráfego está contorneando o CS no caminho de retorno.

    Este comando verifica que há umas conexões no CS. Neste exemplo, você pode ver que o cliente 192.168.11.41 abriu uma conexão da porta TCP 1741 ao VIP 192.168.21.246:443 em 50 pés VLAN. Este tráfego foi enviado com um endereço IP de Um ou Mais Servidores Cisco ICM NT que não fosse mudado (nenhum server NAT e nenhum cliente nat) ao SSLM. O SSLM abriu uma conexão de HTTP em nome do cliente ao vserver www21, e a carga CS equilibrou a conexão ao server 192.168.21.4.

    msfc1#sho mod csm 4 conn det
    
        prot vlan source                destination           state       
    ----------------------------------------------------------------------
    In  TCP  50   192.168.11.41:1741      ESTAB       
    Out TCP  60   192.168.21.246:443    192.168.11.41:1741    ESTAB       
        vs = SSL21, ftp = No, csrp = False
    
    In  TCP  60   192.168.11.41:1741    192.168.21.246:80     ESTAB       
    Out TCP  500  192.168.21.4:80       192.168.11.41:1741    ESTAB       
        vs = WWW21, ftp = No, csrp = False
    
  • mostre o nome do serviço do proxy SSL — este comando do módulo SSL é muito importante. Este comando fornece o estado do serviço do proxy SSL. Certifique-se que os Admin e o status de operação são ambos acima.

    ssl-proxy#show ssl-proxy service ssl21 
    Service id: 3, bound_service_id: 259
    Virtual IP: 192.168.21.246, port: 443 (secondary configured)
    Server IP: 192.168.60.254, port: 80
    Certificate authority pool: ca-servidor-pool 
      CA pool complete 
    rsa-general-purpose certificate trustpoint: stefano 
      Certificate chain for new connections:
        Certificate:
           Key Label: stefano, 1024-bit, not exportable
           Key Timestamp: 13:52:23 UTC Apr 27 2004
           Serial Number: 02
        Root CA Certificate:
           Serial Number: 00
      Certificate chain complete 
    
    Admin Status: up
    Operation Status: up
    

Troubleshooting

Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 59741