Services de mise en réseau d'applications : Cisco LocalDirector de la gamme 400

Configuration de la redirection HTTP vers HTTPS sur Cisco LocalDirector

16 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


LocalDirector est maintenant fin de commercialisation. Référez-vous au pour en savoir plus de bulletins de Cisco LocalDirector de la gamme 400.


Contenu


Introduction

Ce document explique comment configurer le HTTP (site non-sécurisé) à la redirection HTTPS (site sécurisé) sur le Local Director de Cisco. Veuillez noter les limites en cet exemple de configuration.

Avant de commencer

Conventions

Pour plus d'informations sur les conventions des documents, référez-vous aux Conventions utilisées pour les conseils techniques de Cisco.

Conditions préalables

Aucune condition préalable spécifique n'est requise pour ce document.

Composants utilisés

Les informations dans ce document sont basées sur les versions de logiciel et de matériel ci-dessous.

  • Local Director 416

  • Version de logiciel 4.2.1 de Local Director

  • Microsoft Internet Explorer 5.5

  • Netscape Communicator 4.7

Les informations présentées dans ce document ont été créées à partir de périphériques dans un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si vous travaillez dans un réseau opérationnel, assurez-vous de bien comprendre l'impact potentiel de toute commande avant de l'utiliser.

Diagramme du réseau

Ce document utilise la configuration réseau indiquée dans le diagramme suivant :

http2https-01.gif

Les informations importantes

Il y a un problème réputé de garder une limite de session à un vrai serveur physique après que la session soit installée sur le transport de HTTP (ouvrez-vous) et plus tard déplacée au protocole de transport HTTPS (sécurisez). Dans ce cas, la redirection HTTP devrait être installée au niveau application. Le serveur peut envoyer une réorientation (des 302 ou un HREF encastré dans la page Web réelle elle-même) au HTTP, ainsi aucun Équilibrage de charge n'a lieu au Local Director.

Une autre solution possible serait de commuter à HTTPS plus tôt, et exécute l'ouverture de session chiffrée. Ceci est préféré également pour chiffrer le nom d'utilisateur et mot de passe de procédure de connexion. Si vous gardez l'exécution entière de session par l'intermédiaire de HTTPS, le Rémanent générique peut s'assurer que le même serveur sera utilisé pour un client.

La deuxièmes solution et configuration est décrite dans ce document. Le trafic http est limité au premier contact avec le site (le client peut introduire le nom du site simple à la barre d'adresses). En atteignant le Local Director, le navigateur reçoit des 302 réorientent le message avec l'URL configuré, y compris la balise HTTPS, tellement là est le nom complet du serveur à atteindre. La session (au niveau application) est établie du début avec le serveur sécurisé (les vrais serveurs ne manipulent pas le HTTP du tout). La session continue le seul nom du serveur, ainsi elle atteint toujours la même chose.

L'immersion, la sauvegarde, et les commandes de lien, suivant les indications de l'exemple, sont nécessaires pour résoudre le problème de signet quand un utilisateur enregistre un URL avec un nom du serveur et retournent plus tard quand le serveur est en panne. Le serveur de sauvegarde configuré servira la session. Si vous comptez avoir une partie de la session (au niveau application) manipulée par l'intermédiaire du HTTP, alors il n'y a aucune possibilité sur le Local Director (ou tout autre périphérique de réseau) pour joindre la connexion HTTPS aux connexions HTTP de préexistence l'unes des. Le seul paramètre utilisé généralement peut être l'adresse IP source. L'adresse IP source devient les connexions inutilisables quand vous considérez le proxy HTTP, mais directes HTTPS. Toute l'information enregistrée dans l'en-tête URL ou de HTTP (telle que des Témoins) est chiffrée, ainsi non accessible.

La seule solution est dans ce cas que l'application elle-même utilise le nom du serveur spécifique en commutant à HTTPS. Car l'application fonctionne sur le vrai serveur, et génère l'URL HTTPS, c'est le seul endroit où le problème peut être résolu. Le serveur envoie simplement un URL dirigé vers le serveur lui-même. Avec l'aide de la Commande BACKUP, vous pouvez résoudre le problème de signet, comme ci-dessus. Un inconvénient des deux solutions est un besoin de différents Certificats de Protocole SSL (Secure Socket Layer) dans des les deux vrais serveurs. Le nombre de serveurs HTTP/HTTPS n'est pas limité, et le Local Director reste équilibrant les demandes initiales de session. Après que la session soit établie, cependant, les clients se réfèrent à un serveur seulement.

Comment configurer le HTTP à la redirection HTTPS sur le Local Director de Cisco

Employez les étapes suivantes pour configurer le HTTP à la redirection HTTPS sur le Local Director :

  1. Créez une adresse virtuelle IP de port-limite (VIP) et écrivez-la dans le Système de noms de domaine (DNS). Exemple :

    virtual 172.18.124.209:80:0:tcp is
    
  2. Créez une adresse directe IP (IMMERSION) pour chaque vrai serveur qui recevra des appels pour cette adresse de VIP. Utilisez une adresse IP supplémentaire dans la première partie de la déclaration, comme dans ce qui suit :

    direct-ip 172.18.124.211:443:0:tcp 172.18.124.206:443:0:tcp is
    direct-ip 172.18.124.212:443:0:tcp 172.18.124.207:443:0:tcp is
    

    Le système créera ce qui suit :

    real 172.18.124.206:443:0:tcp is
    real 172.18.124.207:443:0:tcp is
     
    bind 172.18.124.211:443:0:tcp 172.18.124.206:443:0:tcp
    bind 172.18.124.212:443:0:tcp 172.18.124.207:443:0:tcp
    

    Remarque: Pour des VIPs de port-limite ou de port-particularité, les IMMERSIONS, et les vraies adresses IP, une adresse IP supplémentaire est nécessaire pour que chaque vrai serveur tienne compte des connexions sortantes continues aux vraies adresses IP. En outre, cette adresse supplémentaire tient compte des adresses sûres de VIP si des paquets de la Réinitialisation TCP (RST) sont envoyés pour les ports qui ne sont pas d'être chargement-équilibrés ou sont réorientés. On permettrait des appels dirigés vers les adresses d'IMMERSION par leur adresse vraie tout en utilisant d'autres adresses IP pour les adresses d'IMMERSION virtuelles.

  3. Créez un URL réorientent pour chaque vrai serveur. Ces l'URLs sont où le client sera réorienté quand une adresse de VIP est frappée. Exemple :

    url s2 https://www.mysecureserver.com 302
    url s1 https://www.yoursecureserver.com 302
    
  4. Créez une Commande BACKUP pour chaque adresse d'IMMERSION à l'adresse commune de VIP de résoudre des problèmes bookmarking de potentiel. Si un client bookmarks l'URL d'une adresse d'IMMERSION et cette adresse d'IMMERSION (vrai serveur) est indisponible (MANQUÉ), alors la Commande BACKUP est utilisée d'appeler l'adresse de VIP de nouveau.

    backup 172.18.124.211:443:0:tcp 172.18.124.212:443:0:tcp
    backup 172.18.124.212:443:0:tcp 172.18.124.211:443:0:tcp
    

    Remarque: Vous ne pouvez pas de sauvegarde un TCP/443 avec un TCP/80, donc, vous avez deux options :

    • Sauvegarde une adresse d'IMMERSION avec une autre adresse d'IMMERSION, ou dans un sytle de maillage complet (chaque adresse d'IMMERSION a une sauvegarde à chaque autre adresse d'IMMERSION).

    • Sauvegarde une adresse d'IMMERSION avec un VIP/443 qui est lié au real/443.

  5. Liez l'adresse de VIP à chaque commande URL. Exemple :

    bind 172.18.124.209:80:0:tcp s1
    bind 172.18.124.209:80:0:tcp s2
    
  6. Créez une commande de lien pour chaque URL à la première partie de l'adresse d'IMMERSION.

    Ceci crée une association entre l'adresse d'IMMERSION et l'URLs associés avec ce surnom. Le lien s'assure que le Local Director ne réoriente pas des clients à une adresse défectueuse d'IMMERSION, qui est linéaire tracé avec un vrai serveur. Si une adresse d'IMMERSION échoue, ne font pas le redirect to l'URL qui enverrait un appel à l'adresse défectueuse d'IMMERSION.

    link s2 172.18.124.211:443:0:tcp
    link s1 172.18.124.212:443:0:tcp
    

Vérifiez

Cette section présente des informations que vous pouvez utiliser pour vous assurer que votre configuration fonctionne correctement.

Certaines commandes show sont prises en charge par l'Output Interpreter Tool (clients enregistrés uniquement), qui vous permet de voir une analyse de la sortie de la commande show.

  • show version - Affiche la version de logiciel que le Local Director exécute.

  • configuration d'exposition - Affiche la configuration en cours d'exécution sur le Local Director.

  • immersion d'exposition - Pairings d'IMMERSION d'affichages.

  • exposition vraie - Affiche des vrais les statistiques et les états serveurs.

  • statistiques d'exposition - Affiche statistiques les vraies et de serveur virtuel.

  • show syslog - Affiche des messages de log au serveur de Syslog.

  • URL d'exposition - Affiche les informations de connexion à l'URLs.

Ce qui suit est la sortie de la commande de show version :

localdirector#show version
LocalDirector 416 Version 4.2.1

Ce qui suit est la sortie de la commande de configuration d'exposition :

localdirector#show configuration
Building configuration...
: Saved
: LocalDirector 416 Version 4.2.1
syslog output 23.7
no syslog console
enable password 000000000000000000000000000000 encrypted
hostname localdirector
no shutdown ethernet 0
no shutdown ethernet 1
shutdown ethernet 2
interface ethernet 0 auto
interface ethernet 1 auto
interface ethernet 2 auto
mtu 0 1500
mtu 1 1500
mtu 2 1500
multiring all
no secure 0
no secure 1
no secure 2
no ping-allow 0
no ping-allow 1
no ping-allow 2
ip address 172.18.124.210 255.255.255.0
route 0.0.0.0 0.0.0.0 172.18.124.1 1
arp timeout 30
no rip passive
rip version 1
failover ip address 0.0.0.0
no failover
failover hellotime 30
password 636973636f004661696c6f766572204e encrypted
snmp-server enable traps
snmp-server community public
no snmp-server contact
no snmp-server location
virtual 172.18.124.209:80:0:tcp is
real 172.18.124.206:443:0:tcp is
real 172.18.124.207:443:0:tcp is
direct-ip 172.18.124.211:443:0:tcp 172.18.124.206:443:0:tcp is
direct-ip 172.18.124.212:443:0:tcp 172.18.124.207:443:0:tcp is
url s2 https://www.mysecureserver.com 302
url s1 https://www.yoursecureserver.com 302
backup 172.18.124.211:443:0:tcp 172.18.124.212:443:0:tcp
backup 172.18.124.212:443:0:tcp 172.18.124.211:443:0:tcp
bind 172.18.124.211:443:0:tcp 172.18.124.206:443:0:tcp
bind 172.18.124.212:443:0:tcp 172.18.124.207:443:0:tcp
bind 172.18.124.209:80:0:tcp s1
bind 172.18.124.209:80:0:tcp s2
link s2 172.18.124.211:443:0:tcp
link s1 172.18.124.212:443:0:tcp
: end
[OK]

Ce qui suit est la sortie de la commande d'immersion d'exposition :

localdirector#show dip
Direct IPs:
 
Virtual Real Conns State Predictor Slowstart
172.18.124.211:443:0:tcp 172.18.124.206:443:0:tcp 0 IS leastconns roundrobin*
172.18.124.212:443:0:tcp 172.18.124.207:443:0:tcp 0 IS leastconns roundrobin*

Ce qui suit est la sortie de la vraie commande d'exposition :

localdirector#show real
Real Machines:
 
No Answer TCP Reset DataIn
Machine Connect State Thresh Reassigns Reassigns Conns
(DIP) 172.18.124.206:443:0:tcp 1 IS 8 0 0 0
(DIP) 172.18.124.207:443:0:tcp 1 IS 8 0 0 0

Ce qui suit est la sortie de la commande de statistiques d'exposition :

localdirector#show statistics
Real Machine(s) Bytes Packets Connections
(DIP) 172.18.124.206:443:0:tcp 480 8 1
(DIP) 172.18.124.207:443:0:tcp 240 4 1
 
Virtual Machine(s) Bytes Packets Connections
(DIP) 172.18.124.211:443:0:tcp 480 8 1
(DIP) 172.18.124.212:443:0:tcp 240 4 1
172.18.124.209:80:0:tcp 10215 80 6

Ce qui suit est la sortie de la commande de show syslog :

OUTPUT ON (23.7)
CONSOLE ON
<189> July 2 13:07:40 LD-NOTICE Begin Configuration: reading from terminal
<189> July 2 13:07:45 LD-NOTICE End Configuration: OK
<186> July 2 13:08:00 LD-CRIT Switching '172.18.124.209:80:0:tcp' 
from 'slowstart' to 'leastconns'
<186> July 2 13:10:25 LD-CRIT Switching '172.18.124.211:443:0:tcp' 
from 'slowstart' to 'leastconns'
<186> July 2 13:10:41 LD-CRIT Switching '172.18.124.212:443:0:tcp' 
from 'slowstart' to 'leastconns'
localdirector#

Ce qui suit est la sortie de la commande URL d'exposition :

localdirector#show url
Urls:
 
Id Connect Rcode State Url
s2 2 302 IS https://www.mysecureserver.com
s1 2 302 IS https://www.yoursecureserver.com

Dépannez

Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 44124