Services de mise en réseau d'applications : Commutateurs de services de contenu de la gamme Cisco CSS 11500

Exemple de configuration SSL principale CSS 11500

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Le Commutateur de services de contenu (CSS) 11500 prend en charge les modules internes d'accélération Secure Socket Layer (SSL), qui peuvent être utilisés pour déchiffrer le trafic de client pour de meilleures décisions d'équilibrage de charge (arrêt frontal SSL/SSL). En se servant du CSS pour décharger le SSL des serveurs, il est possible d'augmenter considérablement le rendement des serveurs et de permettre une meilleure distribution du trafic vers les applications d'arrière-plan. Le CSS 11500 peut rechiffrer les connexions SSL interrompues et diriger le trafic chiffré vers les serveurs SSL d'arrière-plan (SSL d'arrière-plan). Cette opération est nécessaire pour les environnements nécessitant une communication sécurisée entre le client et le serveur ainsi qu'un équilibrage avancé de la charge des serveurs, notamment lors de l'utilisation de cookies pour assurer la persistance de session. Les capacités intégrées SSL permettent au CSS de prendre des décisions en fonction du contenu afin de s'assurer que les données sont envoyées à la bonne application tout en maintenant le chiffrement des données sur l'ensemble du réseau.

Ce document décrit la circulation SSL du client au CSS et au serveur principal SSL. Ce document fournit des configurations et de différents scénarios d'implémentation.

Conditions préalables

Conditions requises

Avant de tenter cette configuration, assurez-vous que vous répondez à ces exigences :

  • concepts de base de Secure Socket Layer/de Transport Layer Security (SSL/TLS)

  • installation de base du CSS

  • accès aux clés de web server et Certificats des serveurs Web existants SSL

  • autorisation de changer la configuration SSL sur vos serveurs

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Construction 206 de version 7.20 de WebNS

  • CSS 11506

  • Verisign sur le certificat de site

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Produits connexes

Cette configuration peut également être utilisée avec les versions de matériel et de logiciel suivantes :

  • CSS 11501 avec le SSL incorporé ou CSS 11503/506 avec un module SSL CSS5-SSL-K9 installé.

  • Version de logiciel 7.20 de WebNS et en haut.

Conventions

Pour plus d'informations sur les conventions de documents, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Configurez

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Remarque: Pour obtenir des informations supplémentaires sur les commandes utilisées dans ce document, utilisez l'Outil de recherche de commande (clients enregistrés seulement).

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

/image/gif/paws/47390/backend_ssl.jpg

Configurations

Ce document utilise la configuration suivante :

  • CSS 11506 (NWS-5-9)

Le trafic du client est livré et frappe la règle avant satisfaite. Cette règle est le port 443. Cette règle équilibrent la charge alors le trafic au ssl_front de service. Ce service met en référence alors la liste de proxy SSL.

La liste de proxy SSL définit la négociation SSL avec le client et établit une session sécurisée SSL entre le CSS et le client. La configuration définit l'adresse IP de proxy SSL, la clé privée, et enchaînés/choisissent le certificat pour les utiliser. Il définit également la règle de contenu des textes clairs que vous allez frapper.

La règle de contenu visée est dos de contenu. Étant donné que ces données sont maintenant en texte clair, vous pouvez voir les en-têtes de HTTP. Afin de mettre à jour le stickyness à un serveur, Témoins d'Arrowpoint d'utilisation. Le CSS fait alors une décision fondée d'Équilibrage de charge sur le Témoin d'Arrowpoint si le client a déjà reçu un ou par l'intermédiaire de l'algorithme sous-jacent d'Équilibrage de charge s'ils n'ont pas. Dans ce cas, le commutateur est chargement équilibré pour entretenir backend1.

La demande est alors envoyée d'entretenir backend1. Ce service est configuré comme SSL-accel-backend de type. Il n'y a aucun serveur physique ici.

La liste de proxy SSL est mentionnée de nouveau, et de la configuration, vous pouvez voir la configuration de backend-serveur. Cette configuration est très semblable au déchiffrement SSL sur le frontal mais dans l'inverse. Vous pouvez prendre le texte clair et le convertir en SSL. Vous pouvez également définir un chiffrement pour utiliser dans le client bonjour.

La demande est envoyé au serveur physique chiffré.

CSS 11506 (NWS-5-9)
nws-5-2# sh run
 !Generated on 01/09/2004 01:16:00
 !Active version: sg0720206
 configure
 !*************************** GLOBAL ***************************
   cdp run 

 ssl associate rsakey privatekey myprivatekey 
 ssl associate cert certificate mynewcert.pem 


!--- Define the SSL certificate and key files to use for the Web site 
!--- These are for the client to SSL module connection.


 ip route 0.0.0.0 0.0.0.0 10.66.86.17 1 


 !************************* INTERFACE *************************
 interface 3/1
 bridge vlan 41 

 !************************** CIRCUIT **************************
 circuit VLAN1

 ip address 10.1.1.1 255.255.255.0

 circuit VLAN41

 ip address 10.66.86.29 255.255.255.240 

 !*********************** SSL PROXY LIST ***********************
 ssl-proxy-list my_secure_site 
 ssl-server 1 
 ssl-server 1 rsakey privatekey 
 ssl-server 1 rsacert certificate 
 ssl-server 1 cipher rsa-with-rc4-128-md5 10.1.1.10 81 
 ssl-server 1 vip address 10.66.86.28


!--- SSL server configuration. This is for the client to the SSL
!--- module connection.


 backend-server 10

 
!--- Backend SSL configuration. These specify the parameters for 
!--- the connection from the CSS to the backend servers. 


 backend-server 10 ip address 10.1.1.20 
 backend-server 10 port 81 


!--- This defines the clear text IP and port that are 
!--- used to encrypt data headed for the backend servers.

 backend-server 10 server-ip 10.1.1.20 
 backend-server 10 server-port 8003


!--- This is the physical server. As there is no server-port
!--- configured, the default 443 will be used.


 backend-server 10 cipher rsa-export-with-rc4-40-md5 


!--- The CSS behaves as a client. Specify what SSL cipher 
!--- you are going to present to the backend server in the SSL 
!--- handshake client hello packet.


 backend-server 20 
 backend-server 20 ip address 10.1.1.21 
 backend-server 20 port 81 
 backend-server 20 server-ip 10.1.1.21 
 backend-server 20 server-port 8003
   backend-server 20 cipher rsa-export-with-rc4-40-md5 

 backend-server 30 
 backend-server 30 ip address 10.1.1.22 
 backend-server 30 port 81 
 backend-server 30 server-ip 10.1.1.22
 backend-server 30 server-port 8003 
 backend-server 30 cipher rsa-export-with-rc4-40-md5 
 active 

 !************************** SERVICE **************************

 service ssl_front 
 slot 6 
 type ssl-accel 
 keepalive type none 
 add ssl-proxy-list my_secure_site 
 active 

 service backend1 
 ip address 10.1.1.20 
 type ssl-accel-backend 
 port 81
 add ssl-proxy-list my_secure_site 
 keepalive port 8003 
 keepalive type ssl 
 protocol tcp 
 active 

 service backend2 
 ip address 10.1.1.21 
 type ssl-accel-backend 
 port 81
 keepalive port 8003 
 add ssl-proxy-list my_secure_site 
 keepalive type ssl 
 protocol tcp 
 active 

 service backend3 
 ip address 10.1.1.22 
 protocol tcp 
 port 81
 keepalive port 8003 
 keepalive type ssl 
 type ssl-accel-backend 
 add ssl-proxy-list my_secure_site 
 active 


 !*************************** OWNER ***************************
 owner my_secure_site

 content back 
 protocol tcp 
 port 81
 url "/*" 
 vip address 10.1.1.10 
 add service backend1 
 add service backend2 
 add service backend3 
 advanced-balance arrowpoint-cookie 
 active 

 content front 
 protocol tcp 
 vip address 10.66.86.28 
 application ssl 
 add service ssl_front 
 port 443 
 active 

Vérifiez et dépannez

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration. La colonne gauche est une liste du cycle de vie d'une session. La colonne de droite est une liste des commandes show et des outils qui peuvent être utilisés pour vérifier l'état de chaque partie du cycle de vie.

Cycle de vie logique Commandes/techniques (exemples ci-dessous)
Client Tracé de renifleur de la machine cliente. Recherchez la prise de contact de manière du TCP 3 et le client SSL bonjour et serveur bonjour.
Avant de règle de contenu règle d'exposition — Recherchez la règle en tant qu'en étant actif. Essayez de cingler l'adresse de VIP de la règle ; ceci devrait répondre. Prenez un tracé de renifleur sur le lien se connectant au CSS sur le côté client.
Entretenez le ssl_front résumé de show service — Assurez-vous que le service est actif. ssl_front de show service — Assurez-vous que le service est actif et le my_secure_site de proxy SSL est répertorié et active. Vérifiez pour voir si toutes les connexions locales incrémentent.
My_secure_site de liste de proxy SSL SSL-proxy-liste d'exposition — Assurez-vous que l'état est en activité. le show ssl - my_secure_site de proxy-liste — fournit les informations de configuration. statistiques de show ssl — Assurez-vous qu'il n'y a aucune incrémentation des erreurs. Voyez l'exemple ci-dessous. écoulements de show ssl — Affiche les circulations du courant.
Dos de règle de contenu règle d'exposition — Recherchez la règle en tant qu'en étant actif.
Services backend1 ou backend2 ou backend3 résumé de show service — Assurez-vous que le service est actif. nom de service de show service — Assurez-vous qu'au moins un service est actif et le my_secure_site de proxy SSL est répertorié et active. Vérifiez pour voir si toutes les connexions locales incrémentent.
My_secure_site de liste de proxy SSL SSL-proxy-liste d'exposition — Assurez-vous que l'état est en activité. le show ssl - my_secure_site de proxy-liste — fournit les informations de configuration. statistiques de show ssl — Assurez-vous qu'il n'y a aucune incrémentation des erreurs. Voyez l'exemple ci-dessous. écoulements de show ssl — Affiche les circulations du courant.
Serveur Tracé de renifleur de la machine cliente. Recherchez la prise de contact de manière du TCP 3 et le client SSL bonjour et serveur bonjour. Vérifiez si le serveur écoute sur le SSL. Émettez le netstat de port - une commande pour Windows, et le netstat - l commande pour Unix/machines Linux.

Des exemples vérifiez et de commande de dépannage

Cette section fournit l'information de dépannage concernant les commandes répertoriées dans le cycle de vie ci-dessus et ce qui à rechercher dans chaque commande. Des sections en gras devraient être vérifiées si elles affichent un état différent.

affichez la règle

Name:                    back   Owner:          my_secure_site
State:    Active   Type:                    HTTP
Balance:          Round Robin   Failover:                  N/A
Persistence:          Enabled   Param-Bypass:         Disabled
Session Redundancy:  Disabled
IP Redundancy:    Not Redundant
L3:         10.1.1.10   


!--- Theses lines indicate the configuration of the rule.


L4:         TCP/81
Url:        /*          


!--- This indicates a Layer 7 rule, where the CSS spoofs the
!--- connection.

Redirect: ""
TCP RST client if service unreachable: Disabled
Rule Services:
 1: backend1-Alive 

>>>>>>>>

Name:                   front   Owner:          my_secure_site
State:                 Active   Type:       SSL
Balance:          Round Robin   Failover:                  N/A
Persistence:          Enabled   Param-Bypass:         Disabled
Session Redundancy:  Disabled
IP Redundancy:    Not Redundant
L3:         10.66.86.28  


!--- Theses lines indicate the configuration of the rule.

L4:         TCP/443
Url:                             


!--- There is no configuration, so this is a Layer 4 rule.

Redirect: ""
TCP RST client if service unreachable: Disabled
Rule Services:
 1: ssl_front-Alive 

résumé de show service

Service Name                     State     Conn  Weight  Avg   State
                                                         Load  Transitions

backend1                         Alive         0      1     2            9
backend2                         Down          0      1   255            0
backend3                         Down          0      1   255            0
ssl_front                        Alive         0      1     2            4

ssl_front SH de service

Name: ssl_front         Index: 4     
  Type: Ssl-Accel        State: Alive
  Rule ( 0.0.0.0  ANY  ANY )
  Session Redundancy: Disabled
  SSL-Accel slot: 6    


 !--- Make sure this is the slot where the SSL module is installed.

  Session Cache Size: 10000 
  Redirect Domain:  
  Redirect String:  
  Keepalive: (NONE   5   3   5 )
  Last Clearing of Stats Counters: 01/28/2004 22:29:34
  Mtu:                       1500        State Transitions:            4


 !--- Connection counters should be increasing.

  Total Local Connections:   576         Total Backup Connections:     0
  Current Local Connections: 0           Current Backup Connections:   0
  Total Connections:         576         Max Connections:              65534
  Total Reused Conns:        0         
  Weight:                    1           Load:                         2
  DFP:                       Disable     

  
SSL Proxy Lists:
   1: my_secure_site-Active

affichez la SSL-proxy-liste

Ssl-Proxy-List Table Entries (1 Entries)
    1) Name:  my_secure_site
       State:  Active
       

!--- The number of services pointing to the SSL proxy list. This 
!--- includes the back-end services as well.

       Services Associated:  4  

affichez le my_secure_site de SSL-proxy-liste

- Ssl-proxy-list Entries for list my_secure_site -

Number of SSL-Servers:  1 
   Ssl-Server 1 -
     
     Vip address: 10.66.86.28
     Vip port:  443
     RSA Certificate:  certificate  
     

     !--- This is the certificate file associated for the SSL site.

     RSA Keypair:      privatekey   
     

     !--- This is the private key file associated for the SSL site.

     DSA Certificate:  none
     DSA Keypair:      none
     DH Param:         none
     Session Cache Timeout:         300     SSL Version:  SSL and TLS
     Re-handshake Timeout:          0       Re-handshake Data:            0
     Virtual TCP Inactivity TO:     240     Server TCP Inactivity TO:     240
     Virtual TCP Syn Timeout:       30      Server TCP Syn Timeout:       30
     Virtual TCP Nagle Algorithm:   enable  Server TCP Nagle Algorithm:   enable
     TCP Receive Buffer:            32768   TCP Transmit Buffer:          65536
     SSL Shutdown Procedure:        normal 

     Cipher Suite(s)               Weight     Port     Server
     ---------------               ------     ----     ------
     rsa-with-rc4-128-md5             1       81       10.1.1.10

    

    !--- This is the cipher suite used in the server SSL hello back to the client.
    !--- The clear text IP address and port of the decypted traffic.


     URL Rewrite Rule(s) - None
         
Number of Ssl Proxy backend-servers:  3 
   Backend-server 10 -


!--- This is the back-end server clear text IP and port.

     
     IP address: 10.1.1.20
     Port:  81
     

!--- This is the back-end server SSL server IP and port.

     
     Server IP address: 10.1.1.20
     Server port:  8003
     Session Cache Timeout:        300     SSL Version:  SSL and TLS
     Re-handshake Timeout:         0       Re-handshake Data:            0
     Virtual TCP Inactivity TO:    240     Server TCP Inactivity TO:     240
     Virtual TCP Syn Timeout:      30      Server TCP Syn Timeout:       30
     Virtual TCP Nagle Algorithm:  enable  Server TCP Nagle Algorithm:   enable
     TCP Receive Buffer:           32768   TCP Transmit Buffer:          65536

     Cipher Suite(s)               Weight    
     ---------------               ------    
     rsa-export-with-rc4-40-md5       1      

    
 
!--- This is the cipher suite used in the client hello to the SSL server.
!--- In this case, the SSL module is encypting the traffic and acting as 
!--- a client.


   Backend-server 20 -
     IP address: 10.1.1.21
     Port:  81
     Server IP address: 10.1.1.21
     Server port:  8003
     Session Cache Timeout:        300     SSL Version:  SSL and TLS
     Re-handshake Timeout:         0       Re-handshake Data:            0
     Virtual TCP Inactivity TO:    240     Server TCP Inactivity TO:     240
     Virtual TCP Syn Timeout:      30      Server TCP Syn Timeout:       30
     Virtual TCP Nagle Algorithm:  enable  Server TCP Nagle Algorithm:   enable
     TCP Receive Buffer:           32768   TCP Transmit Buffer:          65536

     Cipher Suite(s)               Weight    
     ---------------               ------    
     rsa-export-with-rc4-40-md5       1      

   Backend-server 30 -
     IP address: 10.1.1.22
     Port:  81
     Server IP address: 10.1.1.22
     Server port:  8003
     Session Cache Timeout:        300     SSL Version:  SSL and TLS
     Re-handshake Timeout:         0       Re-handshake Data:            0
     Virtual TCP Inactivity TO:    240     Server TCP Inactivity TO:     240
     Virtual TCP Syn Timeout:      30      Server TCP Syn Timeout:       30
     Virtual TCP Nagle Algorithm:  enable  Server TCP Nagle Algorithm:   enable
     TCP Receive Buffer:           32768   TCP Transmit Buffer:          65536

     Cipher Suite(s)               Weight    
     ---------------               ------    
     rsa-export-with-rc4-40-md5       1      

statistiques de show ssl

SSL Acceleration Statistics
Component: SSL Proxy Server   Slot: 6
     Count        Description
---------------   -----------
            
            576   Handshake started for incoming SSL connections
            576   Handshake completed for incoming SSL connections


!--- These are the SSL handshake statistics for the client to CSS connection.

            
            560   Handshake started for outgoing SSL connections
            560   Handshake completed for outgoing SSL connections


!--- These are the SSL handshake stats for the CSS to backend servers.

             
             12   Active SSL flows high water mark


!--- This is the maximum number of active SSL flows.


SSL Acceleration Statistics
Component: Crypto   Slot: 6
     Count        Description
---------------   -----------
             14   RSA Private
              3   RSA Public
              0   DH Shared
              0   DH Public
              0   DSA Sign
              0   DSA Verify
              0   SSL MAC
          7,515   TLS HMAC
              0   3DES
          7,918   ARC4
         69,876   HASH
              
              0   RSA Private Failed
              0   RSA Public Failed
              0   DH Shared Failed
              0   DH Public Failed
              0   DSA Sign Failed
              0   DSA Verify Failed
              0   SSL MAC Failed
              0   TLS HMAC Failed
              0   3DES Failed
              0   ARC4 Failed
              0   HASH Failed
              0   Hardware Device Not Found
              0   Hardware Device Timed Out
              0   Invalid Crypto Parameter
              0   Hardware Device Failed
              0   Hardware Device Busy
              0   Out Of Resources
              0   Cancelled -- Device Reset


!--- At this point, any errors need to be investigated.


SSL Acceleration Statistics
Component: SSL   Slot: 6
     Count        Description
---------------   -----------
             14   RSA Private Decrypt calls
              3   RSA Public Decrypt calls
              0   DH Compute key calls
              0   DH Generate key calls
              0   DSA Verify calls
              0   DSA Sign calls
         34,220   MD5 raw hash calls
         34,220   SHA1 raw hash calls
              0   3-DES calls
          7,918   RC4 calls
              0   SSL MAC(MD5) calls
              0   SSL MAC(SHA1) calls
          7,515   TLS MAC(MD5) calls
              0   TLS MAC(SHA1) calls
              0   Level 2 Alerts Received
            725   Level 1 Alerts Received
              0   Level 2 Alerts Sent
          1,134   Level 1 Alerts Sent
      
      1,200,211   SSL received bytes from TCP
      1,155,278   SSL transmitted bytes to TCP
      1,006,669   SSL received Application Data bytes
      1,970,856   SSL transmitted Application Data bytes
        124,497   SSL received non-application data bytes
        152,147   SSL transmitted non-application data bytes
  

!--- These are the traffic stats for the SSL module; they should be incrementing.

              0   RSA Private Decrypt failures
              0   MAC failures for packets received
              0   Re-handshake TimerAlloc failed
              0   Blocks SSL could not allocate
              0   Dup Blocks SSL could not allocate
              0   Too many blocks for Block2AccelFragmentArray
              0   Too many blocks in a SSL message

écoulements de show ssl

SSL Acceleration Flows for slot 6
        Virtual  Port TCP Proxy Flows  Active SSL Flows  SSL Flows in Handshake
---------------  ---- ---------------  ----------------  ----------------------
    
    10.66.86.28   443               6                 2                       0
      10.1.1.20    81               6                 2                       0
      10.1.1.22    81               0                 0                       0
      10.1.1.21    81               0                 0                       0


!--- This is the number of active flows in the CSS. These can be difficult to see on a 
!--- box with little load.

show service backend1

Name: backend1          Index: 1     
  
  Type: Ssl-Accel-Backend State: Alive
  Rule ( 10.1.1.20  TCP  81 )
  Session Redundancy: Disabled
  Redirect Domain:  
  Redirect String:  
  Keepalive: (SSL-8003   5   3   5 )
  Last Clearing of Stats Counters: 01/28/2004 22:29:34
  Mtu:                       1500        State Transitions:            9
  Total Local Connections:   689         Total Backup Connections:     0
  Current Local Connections: 0           Current Backup Connections:   0
  Total Connections:         689         Max Connections:              65534
  Total Reused Conns:        0         
  Weight:                    1           Load:                         2
  DFP:                       Disable     

  
SSL Proxy Lists:
   1: my_secure_site-Active

Les informations de demande de service TAC

Avant d'ouvrir une demande de service du centre d'assistance technique (TAC), recueillez ces informations :

  1. Utilisant le cycle de vie ci-dessus, recueillez toutes les commandes mentionnées et groupez-les par étape de cycle de vie.

  2. Fournissez la sortie de commande de showtech de jeu de script.

  3. Fournissez un diagramme de topologie détaillé.

  4. Fournissez les tracés de renifleur du côté client du CSS et du côté serveur. C'est facultatif, mais peut raccourcir le temps de résolution.

  5. Si fournissant des tracés de renifleur, identifiez l'adresse IP des clients.


Informations connexes


Document ID: 47390