Cisco インターフェイスとモジュール : Cisco Catalyst 6500 シリーズ SSL サービス モジュール

ブリッジ モード CSM を搭載した SSL モジュールの設定例

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、Secure Socket Layer Module(SSLM)を使用して HTTPS トラフィックを処理し、コンテンツ スイッチ モジュール(CSM)を使用して復号化されたトラフィックのロード バランシングを行うための設定例を示します。

この例では、CSM はブリッジモードで設定されます。 クライアント VLAN およびサーバVLAN は同じ IP アドレスを共有します。 同じ仮想 IP アドレスはまた CSM と SSLM で設定されます。 これはこの資料の以降を見る特別な注意を必要とします。

はじめに

要件

設定を開始する前にこれらの必要条件を満たしていることを確認して下さい:

  • SSL モジュールはコンソール または Telnet でアクセス可能です。

使用するコンポーネント

このドキュメントの情報は、次のハードウェアとソフトウェアのバージョンに基づくものです。

  • CSM バージョン 3.x または それ 以上

  • SSL モジュール バージョン 2.1

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

これは下記のようにネットワークダイアグラムに基づいてトラフィックパスの説明です:

  1. ポート 443 の vserver IP アドレス 192.168.21.246 への HTTPS 接続はクライアント 192.168.11.41 によって開かれます。

  2. トラフィックは VLAN 50 の CSM への MSFC によって転送されます。

  3. トラフィックは CSM vserver SSL 21 を(設定を参照して下さい)見つけ、SSL モジュールの間でバランスをとられるロードです(この場合、1 だけ)。 MAC アドレスだけ修正されます; IP アドレスは変更されません。

  4. SSL モジュールはクライアントからの HTTPS 要求を復号化し、ポート 80 の CSM VIP 192.168.21.246 の HTTP接続を開きます。

  5. CSM ロードはサーバの 1 つへのこの接続のバランスをとります。

  6. サーバレスポンスは CSM に送られます。

  7. CSM は SSLM への応答を転送します。

  8. SSLM はサーバからのトラフィックを暗号化し、クライアントに CSM によってそれを転送します。

ネットワーク構成図

このドキュメントでは、次のネットワーク構成を使用しています。

/image/gif/paws/59741/csm_ssl_transparent.jpg

設定

このドキュメントでは次の設定を使用しています。

msfc1#show running-config
Building configuration...
 .


!--- On the MSFC, you need to configure the VLANs that are
!--- used by the SSL module. This automatically sets up the 
!--- trunk between the Cat6k and the SSLM.

ssl-proxy module 1 allowed-vlan 60,499-501


!--- This is the CSM configuration.

module ContentSwitchingModule 4 
 vlan 50 client


!--- This is the VLAN between MSFC and CSM. This VLAN is bridged 
!--- by the CSM with the server VLAN 500.

  ip address 192.168.20.97 255.255.254.0
  gateway 192.168.21.97
!
 vlan 500 server
  ip address 192.168.20.97 255.255.254.0
!
 vlan 60 server


!--- This is the VLAN between CSM and SSLM.

  ip address 192.168.60.1 255.255.255.0
  alias 192.168.60.254 255.255.255.0
!
 serverfarm MYLINUX


!--- These are the HTTP servers.

  nat server


!--- A NAT server is required to translate the VIP address to the 
!--- server IP address.

  no nat client
  real 192.168.21.3
   inservice
  real 192.168.21.4
   inservice
!
serverfarm SSLACC


!--- This is the SSL module serverfarm. You can list more than one module 
!--- here.

  no nat server


!--- You do not want to NAT the server IP address because the SSLM uses 
!--- the same VIP as the CSM.

  no nat client
  real 192.168.60.2
   inservice


!--- This is the SSLM interface IP address.

!
 vserver SSL21


!--- The vserver handles the HTTPS traffic from the client.

  virtual 192.168.21.246 tcp https
  vlan 50


!--- The vlan 50 command limits the access to this VIP
!--- to traffic coming from the MSFC vlan 50.

  serverfarm SSLACC


!--- You need to link the SSL modules to this vserver.

  no persistent rebalance


!--- HTTPS traffic cannot be rebalanced due to encryption.

  inservice
!     
 vserver WWW21


!--- The vserver handles HTTP traffic from VLAN 60.
!--- This is the decrypted traffic forwarded by the SSLM.

  virtual 192.168.21.246 tcp www


!--- You can reuse the same VIP address, but a different TCP port.

  vlan 60
  serverfarm MYLINUX


!--- You can link the servers to this VIP.

  persistent rebalance


!--- Persistent rebalance is possible for HTTP traffic.

  inservice
!
interface Vlan499


!--- This is the MSFC interface to the clients.

 ip address 192.168.11.97 255.255.254.0
!
interface Vlan50


!--- This is the MSFC interface to the CSM.

 ip address 192.168.21.97 255.255.254.0
!

これは SSLM 設定です:

ssl-proxy#sho run
Building configuration...

Current configuration : 23095 bytes
!
version 12.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname ssl-proxy
!
logging queue-limit 100
enable password ww
!
spd headroom 512
ip subnet-zero
ip tftp source-interface Ethernet0/0.499
ip domain name cisco.com
!
!
ssl-proxy service ssl21  
 virtual ipaddr 192.168.21.246 protocol tcp port 443 secondary


!--- The keyword secondary is necessary since the VIP address
!--- is not part of any VLAN configured on the SSLM.

 server ipaddr 192.168.60.254 protocol tcp port 80


!--- The server IP address is the alias IP address of the CSM.

 certificate rsa general-purpose trustpoint stefano
 no nat server


!--- You need to disable server NAT; this is traffic that is forwarded back
!--- to the CSM MAC address with the VIP address as the destination.

 trusted-ca ca-servidor-pool
 inservice
ssl-proxy vlan 60 
 ipaddr 192.168.60.2 255.255.255.0
 gateway 192.168.60.254
!
crypto ca trustpoint stefano
 crl optional
 rsakeypair stefano
!
crypto ca certificate chain stefano
 certificate 02
 certificate ca 00
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.60.254
no ip http server
no ip http secure-server
!
!         
no cdp run
!
line con 0
 exec-timeout 0 0
line 1 3
 no exec
 transport input all
 flowcontrol software
line vty 0 4
 password ww
 login
!
end

確認

このセクションでは、設定が正常に動作しているかどうかを確認する際に役立つ情報を提供しています。

  • show mod csm X vserver ネーム名前 detail —問題トラフィックが vserver を見つけることを確認するこのコマンド。 パケットが両方向 クライアント および サーバから受信されることを確かめて下さい。 ヒットを見ない場合、VIP を ping することを試みて下さい。 VIP ステータスが正常に動作していることを確かめて下さい。 サーバ パケットを見ない場合、CSM と SSLM 間の接続をチェックして下さい。

    msfc1#sho mod csm 4 vser name ssl21 det
    SSL21, type = SLB, state = OPERATIONAL, v_index = 21
      virtual = 192.168.21.246/32:443 bidir, TCP, service = NONE, advertise = FALSE
      idle = 3600, replicate csrp = none, vlan = 50, pending = 30, layer 4
      max parse len = 2000, persist rebalance = TRUE
      ssl sticky offset = 0, length = 32
      conns = 0, total conns = 2
      Default policy:
        server farm = SSLACC, backup = <not assigned>
        sticky: timer = 0, subnet = 0.0.0.0, group id = 0
      Policy          Tot matches  Client pkts  Server pkts
      -----------------------------------------------------
      (default)       2            18           12   
    msfc1#sho mod csm 4 vser name www21 det
    WWW21, type = SLB, state = OPERATIONAL, v_index = 22
      virtual = 192.168.21.246/32:80 bidir, TCP, service = NONE, advertise = FALSE
      idle = 3600, replicate csrp = none, vlan = 60, pending = 30, layer 4
      max parse len = 2000, persist rebalance = TRUE
      ssl sticky offset = 0, length = 32
      conns = 0, total conns = 2
      Default policy:
        server farm = MYLINUX, backup = <not assigned>
        sticky: timer = 0, subnet = 0.0.0.0, group id = 0
      Policy          Tot matches  Client pkts  Server pkts
      -----------------------------------------------------
      (default)       2            11           7    
  • show mod csm X conns は detail —パケットがクライアント および サーバから見られることを確認するためにこのコマンドを発行します。 サーバからのパケットを見る失敗はサーバに間違ったデフォルト ゲートウェイがあり、トラフィックがリターンパスの CSM をバイパスしていること示す値である可能性があります。

    このコマンドは CSM に接続があることを確認します。 この例では、クライアント 192.168.11.41 が TCPポート 1741 からの VLAN 50 の VIP 192.168.21.246:443 への接続を開いたことがわかります。 このトラフィックは IP アドレスと転送されました SSLM に(no nat server および no nat client)変更されなかった。 SSLM は vserver www21 にクライアントに代わって HTTP接続を開き、CSM ロードはサーバ 192.168.21.4 への接続のバランスをとりました。

    msfc1#sho mod csm 4 conn det
    
        prot vlan source                destination           state       
    ----------------------------------------------------------------------
    In  TCP  50   192.168.11.41:1741      ESTAB       
    Out TCP  60   192.168.21.246:443    192.168.11.41:1741    ESTAB       
        vs = SSL21, ftp = No, csrp = False
    
    In  TCP  60   192.168.11.41:1741    192.168.21.246:80     ESTAB       
    Out TCP  500  192.168.21.4:80       192.168.11.41:1741    ESTAB       
        vs = WWW21, ftp = No, csrp = False
    
  • ssl プロキシがサービス name —この SSL モジュールコマンド非常に重要であることを示して下さい。 このコマンドは SSL プロキシ サービスのステータスを提供したものです。 Admin およびオペレーション ステータスが両方であることを確かめて下さい。

    ssl-proxy#show ssl-proxy service ssl21 
    Service id: 3, bound_service_id: 259
    Virtual IP: 192.168.21.246, port: 443 (secondary configured)
    Server IP: 192.168.60.254, port: 80
    Certificate authority pool: ca-servidor-pool 
      CA pool complete 
    rsa-general-purpose certificate trustpoint: stefano 
      Certificate chain for new connections:
        Certificate:
           Key Label: stefano, 1024-bit, not exportable
           Key Timestamp: 13:52:23 UTC Apr 27 2004
           Serial Number: 02
        Root CA Certificate:
           Serial Number: 00
      Certificate chain complete 
    
    Admin Status: up
    Operation Status: up
    

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 59741