アプリケーション ネットワーキング サービス : Cisco LocalDirector 400 シリーズ

Cisco LocalDirector での HTTP から HTTPS へのリダイレクションの設定

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2003 年 7 月 25 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


LocalDirector はすでに販売終了となっています。 詳細は、Cisco LocalDirector 400 シリーズの速報を参照してください。


目次


概要

この文書では、Cisco LocalDirector で、Hypertext Transfer Protocol(HTTP :セキュリティを備えていないサイト)から Secure Hypertext Transfer Protocol(HTTPS; セキュリティを備えたサイト)へのリダイレクションを設定する方法について説明します。 この設定例には、制限事項があることに注意してください。

はじめに

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

前提条件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • ラボ環境にあり、設定項目に変更のない(デフォルト設定の)LocalDirector 416

  • LocalDirector ソフトウェア リリース 4.2.1

  • Microsoft Internet Explorer 5.5

  • Netscape Communicator 4.7

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

ネットワーク図

このドキュメントでは次の図に示すネットワーク構成を使用しています。

http2https-01.gif

重要な情報

セッションが HTTPS (セキュア)転送 プロトコルに移動される HTTP (開いて下さい)転送する およびそれ以降で設定された後セッションを 1 つの物理的 な 実サーバに抑制しておくよく知られている な問題があります。 この場合、HTTP リダイレクションは水平なアプリケーションで設定する必要があります。 サーバは HTTP にリダイレクト(302 または実際の Webページ自体で組み込まれる HREF)を送信できます従ってロード バランシングはローカルディレクターで起こりません。

もう一つの可能 な 解決策は HTTPS へすぐに切り替えることで暗号化されたセッション開始を行います。 これはログオン ユーザ名 および パスワードを暗号化するためにまた好まれます。 全セッションを HTTPS によって動作させ続ける場合一般的 な スティッキは同じサーバがクライアントのために使用されるようにすることができます。

第 2 ソリューションおよび設定はこの資料に説明があります。 HTTPトラフィックはサイトが付いている最初連絡先に制限されます(クライアントはアドレスバーに簡単なサイト 名を入力できます)。 ローカルディレクターに達するとき、ブラウザは、HTTPS タグを含んで URL が設定されている 302 リダイレクト メッセージをそうそこにです達するべきサーバの完全な名前受け取ります。 セッションはセキュアサーバと(水平なアプリケーションで)最初から構築されます(実サーバは HTTP をまったく処理しません)。 セッションはユニークなサーバ名に続きます、従って同じに常に達しています。

サーバがダウンしているときユーザが 1 つのサーバ名を用いる URL を保存するで、以降を戻しますときすくいバックアップおよび link コマンドは、例に示すように、必要ブックマーク問題を解決するために。 設定されたバックアップサーバはセッションを動作します。 HTTP によって処理されるセッションの一部が(水平なアプリケーションで)あると期待する場合既存 HTTP 接続の何れかへの HTTPS 接続をリンクするローカルディレクター(または他のどのネットワークデバイス)にも可能性がありません。 唯一の広く使われたパラメータはソース IP アドレスである場合もあります。 ソース IP アドレスは HTTP プロキシを考慮する、直接 HTTPS 接続になりますとき使用不可能な。 従って URL か HTTP ヘッダで保存されている情報すべては(クッキーのような)、アクセス可能暗号化されます。

唯一のソリューションはこの場合 HTTPS に切り替えるときアプリケーション自体が特定のサーバ名を使用することです。 実サーバのアプリケーションの実行が、および HTTPS URL を、それである問題が解決することができる唯一のインポート生成するので。 サーバはサーバに指示される URL 自体を単に送信 します。 backup コマンドの助けによって、上でとしてブックマーク問題を、解決できます。 両方のソリューションの短所は両方の実サーバの異なる Secure Socket Layer (SSL) 認証のための必要です。 HTTP/HTTPS サーバの数は限られてし、ローカルディレクターは残りま最初のセッション 要求のバランスをとります。 セッションが、しかし設定された後、クライアントは 1 サーバだけを参照します。

Cisco LocalDirector で HTTP から HTTPS へのリダイレクションを設定する方法

LocalDirector で HTTP から HTTPS へのリダイレクションを設定するには、次の手順に従います。

  1. ポート バインド型の virtual IP(VIP; 仮想 IP)アドレスを作成し、これを Domain Name System(DNS; ドメイン ネーム システム)に入力します。 次に、例を示します。

    virtual 172.18.124.209:80:0:tcp is
    
  2. VIP アドレスへの呼び出しを受け入れる実サーバのそれぞれに対して direct IP(DIP; 直接 IP)アドレスを作成します。 次に示すように、文の最初の部分には追加の IP アドレスを使用します。

    direct-ip 172.18.124.211:443:0:tcp 172.18.124.206:443:0:tcp is
    direct-ip 172.18.124.212:443:0:tcp 172.18.124.207:443:0:tcp is
    

    システムは次のように作成します。

    real 172.18.124.206:443:0:tcp is
    real 172.18.124.207:443:0:tcp is
     
    bind 172.18.124.211:443:0:tcp 172.18.124.206:443:0:tcp
    bind 172.18.124.212:443:0:tcp 172.18.124.207:443:0:tcp
    

    ポートバインド型またはポート固有の VIP、DIPS、および実 IP アドレスの場合、その実 IP アドレスへの発信接続を継続できるように、実サーバごとにさらにもう 1 つの IP アドレスが必要です。 また、ロードバランスまたはリダイレクトされないポートに TCP リセット(RST)パケットが送られた場合、この追加アドレスによって VIP アドレスを安全にできます。 DIP アドレス宛ての呼び出しを行う場合は、DIP の仮想 IP アドレスも、実アドレスも使用できます。

  3. それぞれの実サーバに対して、URL リダイレクトを作成します。 これらの URL は、VIP アドレスが指定されたときの、クライアントのリダイレクト先です。 次に、例を示します。

    url s2 https://www.mysecureserver.com 302
    url s1 https://www.yoursecureserver.com 302
    
  4. 各 DIP アドレスに対して共通の VIP アドレス を指定する backup コマンドを作成し、ブックマークに関連して生じる問題を解決します。 クライアントがこの DIP アドレスの URL をブックマークしているとき、DIP アドレス(実サーバ)が使用不能(FAILED)であると、backup コマンドによって VIP アドレスが再度呼び出されます。

    backup 172.18.124.211:443:0:tcp 172.18.124.212:443:0:tcp
    backup 172.18.124.212:443:0:tcp 172.18.124.211:443:0:tcp
    

    TCP/80 は TCP/443 のバックアップとはなりません。したがって、2 つのオプションがあります。

    • 別の DIP アドレスを使用して DIP アドレスをバックアップする、またはフルメッシュ構造を使用(各 DIP アドレスが、他のすべての DIP アドレスのバックアップを保持)。

    • 実アドレス 443 にバインドされる VIP アドレス 443 を使用して DIP をバックアップする。

  5. VIP アドレスを各 URL コマンドにバインドします。 次に、例を示します。

    bind 172.18.124.209:80:0:tcp s1
    bind 172.18.124.209:80:0:tcp s2
    
  6. 各 URL から DIP アドレスの最初の部分への link コマンドを作成します。

    これにより、DIP アドレスとニックネームに関連付けられている URL との間の関係が構築されます。 このリンクを実行すると、LocalDirector によって、障害が発生した DIP アドレスにクライアントがリダイレクトされません。DIP アドレスは実サーバと 1 対 1 でマッピングされています。 ある DIP アドレスに障害が発生した場合、その DIP アドレスへの呼び出しを行う URL にリダイレクトしないでください。

    link s2 172.18.124.211:443:0:tcp
    link s1 172.18.124.212:443:0:tcp
    

確認

このセクションでは、設定が正常に動作しているかどうかを確認する際に役立つ情報を提供しています。

特定の show コマンドは、Output Interpreter Tool登録ユーザ専用)によってサポートされています。このツールを使用すると、show コマンド出力の分析を表示できます。

  • show version コマンドは、LocalDirector で実行されているソフトウェアのバージョンを表示します。

  • show configuration コマンドは、LocalDirector の現在の設定を表示します。

  • show dip - DIP の組み合わせを表示します。

  • show real - 実サーバの統計情報と状態を表示します。

  • show statistics - 実サーバと仮想サーバの統計情報を表示します。

  • show syslog - syslog サーバに送られたログ メッセージを表示します。

  • show url : URL に関する接続情報を表示します。

show version コマンドの出力を次に示します。

localdirector#show version
LocalDirector 416 Version 4.2.1

show configuration コマンドの出力を次に示します。

localdirector#show configuration
Building configuration...
: Saved
: LocalDirector 416 Version 4.2.1
syslog output 23.7
no syslog console
enable password 000000000000000000000000000000 encrypted
hostname localdirector
no shutdown ethernet 0
no shutdown ethernet 1
shutdown ethernet 2
interface ethernet 0 auto
interface ethernet 1 auto
interface ethernet 2 auto
mtu 0 1500
mtu 1 1500
mtu 2 1500
multiring all
no secure 0
no secure 1
no secure 2
no ping-allow 0
no ping-allow 1
no ping-allow 2
ip address 172.18.124.210 255.255.255.0
route 0.0.0.0 0.0.0.0 172.18.124.1 1
arp timeout 30
no rip passive
rip version 1
failover ip address 0.0.0.0
no failover
failover hellotime 30
password 636973636f004661696c6f766572204e encrypted
snmp-server enable traps
snmp-server community public
no snmp-server contact
no snmp-server location
virtual 172.18.124.209:80:0:tcp is
real 172.18.124.206:443:0:tcp is
real 172.18.124.207:443:0:tcp is
direct-ip 172.18.124.211:443:0:tcp 172.18.124.206:443:0:tcp is
direct-ip 172.18.124.212:443:0:tcp 172.18.124.207:443:0:tcp is
url s2 https://www.mysecureserver.com 302
url s1 https://www.yoursecureserver.com 302
backup 172.18.124.211:443:0:tcp 172.18.124.212:443:0:tcp
backup 172.18.124.212:443:0:tcp 172.18.124.211:443:0:tcp
bind 172.18.124.211:443:0:tcp 172.18.124.206:443:0:tcp
bind 172.18.124.212:443:0:tcp 172.18.124.207:443:0:tcp
bind 172.18.124.209:80:0:tcp s1
bind 172.18.124.209:80:0:tcp s2
link s2 172.18.124.211:443:0:tcp
link s1 172.18.124.212:443:0:tcp
: end
[OK]

show dip コマンドの出力を次に示します。

localdirector#show dip
Direct IPs:
 
Virtual Real Conns State Predictor Slowstart
172.18.124.211:443:0:tcp 172.18.124.206:443:0:tcp 0 IS leastconns roundrobin*
172.18.124.212:443:0:tcp 172.18.124.207:443:0:tcp 0 IS leastconns roundrobin*

show real コマンドの出力を次に示します。

localdirector#show real
Real Machines:
 
No Answer TCP Reset DataIn
Machine Connect State Thresh Reassigns Reassigns Conns
(DIP) 172.18.124.206:443:0:tcp 1 IS 8 0 0 0
(DIP) 172.18.124.207:443:0:tcp 1 IS 8 0 0 0

show statistics コマンドの出力を次に示します。

localdirector#show statistics
Real Machine(s) Bytes Packets Connections
(DIP) 172.18.124.206:443:0:tcp 480 8 1
(DIP) 172.18.124.207:443:0:tcp 240 4 1
 
Virtual Machine(s) Bytes Packets Connections
(DIP) 172.18.124.211:443:0:tcp 480 8 1
(DIP) 172.18.124.212:443:0:tcp 240 4 1
172.18.124.209:80:0:tcp 10215 80 6

show syslog コマンドの出力を次に示します。

OUTPUT ON (23.7)
CONSOLE ON
<189> July 2 13:07:40 LD-NOTICE Begin Configuration: reading from terminal
<189> July 2 13:07:45 LD-NOTICE End Configuration: OK
<186> July 2 13:08:00 LD-CRIT Switching '172.18.124.209:80:0:tcp' 
from 'slowstart' to 'leastconns'
<186> July 2 13:10:25 LD-CRIT Switching '172.18.124.211:443:0:tcp' 
from 'slowstart' to 'leastconns'
<186> July 2 13:10:41 LD-CRIT Switching '172.18.124.212:443:0:tcp' 
from 'slowstart' to 'leastconns'
localdirector#

show url コマンドの出力を次に示します。

localdirector#show url
Urls:
 
Id Connect Rcode State Url
s2 2 302 IS https://www.mysecureserver.com
s1 2 302 IS https://www.yoursecureserver.com

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。


関連情報


Document ID: 44124