Interfaces et modules Cisco : Module SSL Services de la gamme Cisco Catalyst 6500

Exemple de configuration d'un module SSL avec un module CSM en mode pont

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document fournit à une configuration d'échantillon pour traiter le trafic HTTPS en module de Secure Socket Layer (SSLM) et Équilibrage de charge le trafic déchiffré un module de commutation satisfait (CSM).

Dans cet exemple, le CSM est configuré en mode de passerelle. Le client VLAN et le serveur VLAN partagent la même adresse IP. La même adresse IP virtuelle est également configurée sur le CSM et sur le SSLM. Ceci exige une certaine particulière attention, que vous voyez plus tard dans ce document.

Avant de commencer

Conditions requises

Avant de tenter cette configuration, assurez-vous s'il vous plaît que vous répondez à ces exigences :

  • Le module SSL est accessible par l'intermédiaire de la console ou du telnet.

Composants utilisés

Les informations dans ce document sont basées sur des ces matériel et versions de logiciel.

  • Version 3.x ou ultérieures CSM

  • Version 2.1 de module SSL

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous aux Conventions relatives aux conseils techniques Cisco.

Configurez

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

C'est une description du chemin en fonction du trafic sur le schéma de réseau ci-dessous :

  1. La connexion HTTPS est ouverte par le client 192.168.11.41 à l'adresse IP 192.168.21.246 de vserver sur le port 443.

  2. Le trafic est expédié par le MSFC au CSM sur VLAN 50.

  3. Trafiquez les hit le SSL 21 de vserver CSM (voir la configuration), et êtes chargement équilibré entre le module SSL (dans ce cas, seulement un). Seulement des adresses MAC sont modifiées ; les adresses IP ne sont pas changées.

  4. Le module SSL déchiffre la demande HTTPS du client et ouvre une connexion HTTP avec le VIP 192.168.21.246 CSM sur le port 80.

  5. Le CSM équilibrent la charge cette connexion à un des serveurs.

  6. La réponse de serveur est envoyée au CSM.

  7. Le CSM en avant la réponse au SSLM.

  8. Le SSLM chiffre le trafic du serveur, et en avant lui au client par le CSM.

Diagramme du réseau

Ce document utilise cette configuration réseau

/image/gif/paws/59741/csm_ssl_transparent.jpg

Configurations

Ce document utilise la configuration suivante :

msfc1#show running-config
Building configuration...
 .


!--- On the MSFC, you need to configure the VLANs that are
!--- used by the SSL module. This automatically sets up the 
!--- trunk between the Cat6k and the SSLM.

ssl-proxy module 1 allowed-vlan 60,499-501


!--- This is the CSM configuration.

module ContentSwitchingModule 4 
 vlan 50 client


!--- This is the VLAN between MSFC and CSM. This VLAN is bridged 
!--- by the CSM with the server VLAN 500.

  ip address 192.168.20.97 255.255.254.0
  gateway 192.168.21.97
!
 vlan 500 server
  ip address 192.168.20.97 255.255.254.0
!
 vlan 60 server


!--- This is the VLAN between CSM and SSLM.

  ip address 192.168.60.1 255.255.255.0
  alias 192.168.60.254 255.255.255.0
!
 serverfarm MYLINUX


!--- These are the HTTP servers.

  nat server


!--- A NAT server is required to translate the VIP address to the 
!--- server IP address.

  no nat client
  real 192.168.21.3
   inservice
  real 192.168.21.4
   inservice
!
serverfarm SSLACC


!--- This is the SSL module serverfarm. You can list more than one module 
!--- here.

  no nat server


!--- You do not want to NAT the server IP address because the SSLM uses 
!--- the same VIP as the CSM.

  no nat client
  real 192.168.60.2
   inservice


!--- This is the SSLM interface IP address.

!
 vserver SSL21


!--- The vserver handles the HTTPS traffic from the client.

  virtual 192.168.21.246 tcp https
  vlan 50


!--- The vlan 50 command limits the access to this VIP
!--- to traffic coming from the MSFC vlan 50.

  serverfarm SSLACC


!--- You need to link the SSL modules to this vserver.

  no persistent rebalance


!--- HTTPS traffic cannot be rebalanced due to encryption.

  inservice
!     
 vserver WWW21


!--- The vserver handles HTTP traffic from VLAN 60.
!--- This is the decrypted traffic forwarded by the SSLM.

  virtual 192.168.21.246 tcp www


!--- You can reuse the same VIP address, but a different TCP port.

  vlan 60
  serverfarm MYLINUX


!--- You can link the servers to this VIP.

  persistent rebalance


!--- Persistent rebalance is possible for HTTP traffic.

  inservice
!
interface Vlan499


!--- This is the MSFC interface to the clients.

 ip address 192.168.11.97 255.255.254.0
!
interface Vlan50


!--- This is the MSFC interface to the CSM.

 ip address 192.168.21.97 255.255.254.0
!

C'est la configuration SSLM :

ssl-proxy#sho run
Building configuration...

Current configuration : 23095 bytes
!
version 12.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname ssl-proxy
!
logging queue-limit 100
enable password ww
!
spd headroom 512
ip subnet-zero
ip tftp source-interface Ethernet0/0.499
ip domain name cisco.com
!
!
ssl-proxy service ssl21  
 virtual ipaddr 192.168.21.246 protocol tcp port 443 secondary


!--- The keyword secondary is necessary since the VIP address
!--- is not part of any VLAN configured on the SSLM.

 server ipaddr 192.168.60.254 protocol tcp port 80


!--- The server IP address is the alias IP address of the CSM.

 certificate rsa general-purpose trustpoint stefano
 no nat server


!--- You need to disable server NAT; this is traffic that is forwarded back
!--- to the CSM MAC address with the VIP address as the destination.

 trusted-ca ca-servidor-pool
 inservice
ssl-proxy vlan 60 
 ipaddr 192.168.60.2 255.255.255.0
 gateway 192.168.60.254
!
crypto ca trustpoint stefano
 crl optional
 rsakeypair stefano
!
crypto ca certificate chain stefano
 certificate 02
 certificate ca 00
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.60.254
no ip http server
no ip http secure-server
!
!         
no cdp run
!
line con 0
 exec-timeout 0 0
line 1 3
 no exec
 transport input all
 flowcontrol software
line vty 0 4
 password ww
 login
!
end

Vérifiez

Cette section présente des informations que vous pouvez utiliser pour vous assurer que votre configuration fonctionne correctement.

  • affichez le détail de nom de nom de vserver modèle csm X — émettez cette commande de vérifier que le trafic frappe le vserver. Assurez-vous que des paquets sont reçus des les deux client et serveur de direction. Si vous ne voyez aucun hit, essayez de cingler le VIP. Assurez-vous que l'état de VIP est OPÉRATIONNEL. Si vous ne voyez pas des paquets de serveur, vérifiez la Connectivité entre le CSM et le SSLM.

    msfc1#sho mod csm 4 vser name ssl21 det
    SSL21, type = SLB, state = OPERATIONAL, v_index = 21
      virtual = 192.168.21.246/32:443 bidir, TCP, service = NONE, advertise = FALSE
      idle = 3600, replicate csrp = none, vlan = 50, pending = 30, layer 4
      max parse len = 2000, persist rebalance = TRUE
      ssl sticky offset = 0, length = 32
      conns = 0, total conns = 2
      Default policy:
        server farm = SSLACC, backup = <not assigned>
        sticky: timer = 0, subnet = 0.0.0.0, group id = 0
      Policy          Tot matches  Client pkts  Server pkts
      -----------------------------------------------------
      (default)       2            18           12   
    msfc1#sho mod csm 4 vser name www21 det
    WWW21, type = SLB, state = OPERATIONAL, v_index = 22
      virtual = 192.168.21.246/32:80 bidir, TCP, service = NONE, advertise = FALSE
      idle = 3600, replicate csrp = none, vlan = 60, pending = 30, layer 4
      max parse len = 2000, persist rebalance = TRUE
      ssl sticky offset = 0, length = 32
      conns = 0, total conns = 2
      Default policy:
        server farm = MYLINUX, backup = <not assigned>
        sticky: timer = 0, subnet = 0.0.0.0, group id = 0
      Policy          Tot matches  Client pkts  Server pkts
      -----------------------------------------------------
      (default)       2            11           7    
  • affichez le détail de conns modèle csm X — émettez cette commande de vérifier que des paquets sont vus du client et serveur. Le manque de voir des paquets du serveur pourrait être une indication que le serveur a la passerelle par défaut fausse, et le trafic saute le CSM sur le chemin de retour.

    Cette commande vérifie qu'il y a des connexions sur le CSM. Dans cet exemple, vous pouvez voir que le client 192.168.11.41 a ouvert une connexion du port TCP 1741 au VIP 192.168.21.246:443 sur VLAN 50. Ce trafic a été expédié avec une adresse IP qui n'a pas été changée (aucun serveur NAT et aucun client nat) au SSLM. Le SSLM a ouvert une connexion HTTP au nom du client au vserver www21, et le chargement CSM a équilibré la connexion au serveur 192.168.21.4.

    msfc1#sho mod csm 4 conn det
    
        prot vlan source                destination           state       
    ----------------------------------------------------------------------
    In  TCP  50   192.168.11.41:1741      ESTAB       
    Out TCP  60   192.168.21.246:443    192.168.11.41:1741    ESTAB       
        vs = SSL21, ftp = No, csrp = False
    
    In  TCP  60   192.168.11.41:1741    192.168.21.246:80     ESTAB       
    Out TCP  500  192.168.21.4:80       192.168.11.41:1741    ESTAB       
        vs = WWW21, ftp = No, csrp = False
    
  • affichez le nom de service de SSL-proxy — cette commande de module SSL est très importante. Cette commande fournit le statut du service de SSL-proxy. Assurez-vous que l'état d'admin et d'exécution sont tous deux en hausse.

    ssl-proxy#show ssl-proxy service ssl21 
    Service id: 3, bound_service_id: 259
    Virtual IP: 192.168.21.246, port: 443 (secondary configured)
    Server IP: 192.168.60.254, port: 80
    Certificate authority pool: ca-servidor-pool 
      CA pool complete 
    rsa-general-purpose certificate trustpoint: stefano 
      Certificate chain for new connections:
        Certificate:
           Key Label: stefano, 1024-bit, not exportable
           Key Timestamp: 13:52:23 UTC Apr 27 2004
           Serial Number: 02
        Root CA Certificate:
           Serial Number: 00
      Certificate chain complete 
    
    Admin Status: up
    Operation Status: up
    

Dépannez

Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 59741