网络应用服务 : Cisco LocalDirector 400 系列

在 Cisco LocalDirector 上配置 HTTP 到 HTTPS 的重定向

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈


LocalDirector当前已终止销售。请参见Cisco LocalDirector 400 系列公告了解更多信息。


目录


简介

本文解释如何配置HTTP (不安全的站点)到在Cisco本地控制器的HTTPS (安全站点)重定向。请注意限制在此配置示例方面。

开始使用前

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

先决条件

本文档没有任何特定的前提条件。

使用的组件

本文档中的信息基于以下软件和硬件版本。

  • LocalDirector 416

  • LocalDirector软件版本4.2.1

  • Microsoft Internet Explorer 5.5

  • Netscape Communicator 4.7

本文档中的信息都是基于特定实验室环境中的设备创建的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您是在真实网络上操作,请确保您在使用任何命令前已经了解其潜在影响。

网络图

本文档使用下图所示的网络设置。

http2https-01.gif

重要信息

有保持会话区域一著名的问题到一个物理真实服务器,在会话在HTTP (请打开)后传输和以后设置移动向HTTPS (请巩固)传输协议。在这种情况下,应该设置HTTP重定向在应用级。服务器能发送重定向(302或在实际网页嵌入的HREF)到HTTP,因此负载均衡在LocalDirector不发生。

另一个可能的解决方案将快换成HTTPS,并且执行加密的会话开端。这为加密登录用户名和密码也更喜欢。如果通过HTTPS保持全部的会话运行,通用的粘贴能保证同一个服务器将使用客户端。

第二解决方案和配置在本文描述。HTTP数据流对与站点的第一个联系人被限制(客户端能键入简单站点名称到地址栏)。当到达LocalDirector时,浏览器收到与URL的一个302重定向消息配置,包括HTTPS标记,那么那里是到达的服务器的完整名称。会话(在应用级)用安全服务器从开始建立(真实服务器根本不处理HTTP)。Tthe会话继续唯一服务器名,因此总是到达同样。

垂度备份链路命令,如示例所显示,是需要的解决书签问题,当用户保存URL与一个服务器名时并且返回以后,当服务器发生故障时。已配置的备份服务器将服务会话。如果期望有通过HTTP (在应用级)被处理的会话的部分,则没有在)可能性连接对的HTTPS连接的LocalDirector (或其他网络设备的任何事先存在的HTTP连接。唯一的常用的参数可以是源IP地址。源IP地址变为不可用,当您考虑HTTP代理时,但是直接HTTPS连接。在URL或HTTP报头存储的所有信息(例如Cookie)加密,因而不可访问。

唯一的解决方案在这种情况下是应用程序使用特定服务器名,当交换对HTTPS时。因为应用程序在真实服务器运行,并且生成HTTPS URL,它是问题可以解决的唯一的地方。服务器发送URL处理对服务器。在backup命令帮助下,您能解决书签问题,如上所述。两解决方案缺点是对另外安全套接字层SSL证书的需要在两个真实服务器。HTTP/HTTPS服务器数量没有被限制,并且LocalDirector保持平衡初始会话请求。在会话建立,然而后,客户端参考仅一个服务器。

如何配置HTTP到在Cisco本地控制器的HTTPS的重定向

请使用以下步骤配置HTTP到在LocalDirector的HTTPS的重定向:

  1. 创建绑定端口的虚拟IP (VIP)地址并且输入它在域名系统(DNS)。例如:

    virtual 172.18.124.209:80:0:tcp is
    
  2. 创建将接受呼叫请求此VIP地址的每个真实服务器的direct IP (DIP)地址。请使用一个额外的IP地址在语句的第一部分,例如在以下:

    direct-ip 172.18.124.211:443:0:tcp 172.18.124.206:443:0:tcp is
    direct-ip 172.18.124.212:443:0:tcp 172.18.124.207:443:0:tcp is
    

    系统将创建以下:

    real 172.18.124.206:443:0:tcp is
    real 172.18.124.207:443:0:tcp is
     
    bind 172.18.124.211:443:0:tcp 172.18.124.206:443:0:tcp
    bind 172.18.124.212:443:0:tcp 172.18.124.207:443:0:tcp
    

    注意: 对于端口范围或端口特定的VIP, DIP和实际IP地址,一个另外的IP地址是需要的为了每个真实服务器能允许对实际IP地址的继续出站连接。并且,此其它地址允许安全VIP地址,如果任何TCP重置(RST)数据包为不将负载平衡或重定向的端口被发送。呼叫被指向对DIP地址由他们的真的地址将允许,当曾经其他IP地址虚拟时DIP的地址的。

  3. 创建每个真实服务器的URL重定向。这些URL是客户端将重定向的地方,当VIP地址点击时。例如:

    url s2 https://www.mysecureserver.com 302
    url s1 https://www.yoursecureserver.com 302
    
  4. 创建一backup命令对普通的VIP地址的每个DIP地址的解决潜在的书签问题。如果客户端按书签DIP地址的URL,并且该DIP地址(真实服务器)不可用(失败),则backup命令用于再呼叫VIP地址。

    backup 172.18.124.211:443:0:tcp 172.18.124.212:443:0:tcp
    backup 172.18.124.212:443:0:tcp 172.18.124.211:443:0:tcp
    

    注意: 您不能备份与TCP/80的一TCP/443,因此,您有两个选项:

    • 备份一个DIP地址与另一个DIP地址,或者在全网状样式(每个DIP地址有一个备份对其他DIP地址)。

    • 备份一定对real/443与VIP/443的一个DIP地址。

  5. 绑定vip address to each url命令。例如:

    bind 172.18.124.209:80:0:tcp s1
    bind 172.18.124.209:80:0:tcp s2
    
  6. 创建一link命令每个URL的对DIP地址的第一部分。

    这创建在DIP地址和URL之间的一个关联关联与该昵称。链路保证LocalDirector不重定向客户端对一个失败的DIP地址,用真实服务器是被映射的一对一的。如果DIP地址发生故障,请勿重定向对将发送呼叫对失败的DIP地址的URL。

    link s2 172.18.124.211:443:0:tcp
    link s1 172.18.124.212:443:0:tcp
    

验证

本部分所提供的信息可用于确认您的配置是否正常工作。

命令输出解释程序工具仅限注册用户)支持某些 show 命令,使用此工具可以查看对 show 命令输出的分析。

  • show version -显示LocalDirector运行的软件版本。

  • show configuration -显示在LocalDirector的当前运行的配置。

  • show dip -显示DIP配对。

  • show real -显示真实服务器的统计信息和状态。

  • show statistics -显示实时和虚拟服务器统计信息。

  • show syslog -显示日志消息到系统日志服务器。

  • show url -显示连接信息对URL。

下列是输出show version命令

localdirector#show version
LocalDirector 416 Version 4.2.1

下列是输出show configuration命令

localdirector#show configuration
Building configuration...
: Saved
: LocalDirector 416 Version 4.2.1
syslog output 23.7
no syslog console
enable password 000000000000000000000000000000 encrypted
hostname localdirector
no shutdown ethernet 0
no shutdown ethernet 1
shutdown ethernet 2
interface ethernet 0 auto
interface ethernet 1 auto
interface ethernet 2 auto
mtu 0 1500
mtu 1 1500
mtu 2 1500
multiring all
no secure 0
no secure 1
no secure 2
no ping-allow 0
no ping-allow 1
no ping-allow 2
ip address 172.18.124.210 255.255.255.0
route 0.0.0.0 0.0.0.0 172.18.124.1 1
arp timeout 30
no rip passive
rip version 1
failover ip address 0.0.0.0
no failover
failover hellotime 30
password 636973636f004661696c6f766572204e encrypted
snmp-server enable traps
snmp-server community public
no snmp-server contact
no snmp-server location
virtual 172.18.124.209:80:0:tcp is
real 172.18.124.206:443:0:tcp is
real 172.18.124.207:443:0:tcp is
direct-ip 172.18.124.211:443:0:tcp 172.18.124.206:443:0:tcp is
direct-ip 172.18.124.212:443:0:tcp 172.18.124.207:443:0:tcp is
url s2 https://www.mysecureserver.com 302
url s1 https://www.yoursecureserver.com 302
backup 172.18.124.211:443:0:tcp 172.18.124.212:443:0:tcp
backup 172.18.124.212:443:0:tcp 172.18.124.211:443:0:tcp
bind 172.18.124.211:443:0:tcp 172.18.124.206:443:0:tcp
bind 172.18.124.212:443:0:tcp 172.18.124.207:443:0:tcp
bind 172.18.124.209:80:0:tcp s1
bind 172.18.124.209:80:0:tcp s2
link s2 172.18.124.211:443:0:tcp
link s1 172.18.124.212:443:0:tcp
: end
[OK]

下列是输出show dip命令

localdirector#show dip
Direct IPs:
 
Virtual Real Conns State Predictor Slowstart
172.18.124.211:443:0:tcp 172.18.124.206:443:0:tcp 0 IS leastconns roundrobin*
172.18.124.212:443:0:tcp 172.18.124.207:443:0:tcp 0 IS leastconns roundrobin*

下列是输出show real命令

localdirector#show real
Real Machines:
 
No Answer TCP Reset DataIn
Machine Connect State Thresh Reassigns Reassigns Conns
(DIP) 172.18.124.206:443:0:tcp 1 IS 8 0 0 0
(DIP) 172.18.124.207:443:0:tcp 1 IS 8 0 0 0

下列是输出show statistics命令

localdirector#show statistics
Real Machine(s) Bytes Packets Connections
(DIP) 172.18.124.206:443:0:tcp 480 8 1
(DIP) 172.18.124.207:443:0:tcp 240 4 1
 
Virtual Machine(s) Bytes Packets Connections
(DIP) 172.18.124.211:443:0:tcp 480 8 1
(DIP) 172.18.124.212:443:0:tcp 240 4 1
172.18.124.209:80:0:tcp 10215 80 6

下列是输出show syslog命令

OUTPUT ON (23.7)
CONSOLE ON
<189> July 2 13:07:40 LD-NOTICE Begin Configuration: reading from terminal
<189> July 2 13:07:45 LD-NOTICE End Configuration: OK
<186> July 2 13:08:00 LD-CRIT Switching '172.18.124.209:80:0:tcp' 
from 'slowstart' to 'leastconns'
<186> July 2 13:10:25 LD-CRIT Switching '172.18.124.211:443:0:tcp' 
from 'slowstart' to 'leastconns'
<186> July 2 13:10:41 LD-CRIT Switching '172.18.124.212:443:0:tcp' 
from 'slowstart' to 'leastconns'
localdirector#

下列是输出show url命令

localdirector#show url
Urls:
 
Id Connect Rcode State Url
s2 2 302 IS https://www.mysecureserver.com
s1 2 302 IS https://www.yoursecureserver.com

故障排除

目前没有针对此配置的故障排除信息。


相关信息


Document ID: 44124