Cisco インターフェイスとモジュール : ???? ?????

隻腕プロキシ モードのための SCA ファームへの SSL ロード バランスを実現するための CSM の設定

2008 年 8 月 26 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2005 年 11 月 30 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      表記法
設定
      ネットワーク ダイアグラム
      設定例
確認
トラブルシューティング
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

このドキュメントでは、Content Switching Module(CSM; コンテント スイッチング モジュール)で Secure Socket Layer(SSL)トラフィックを Secure Content Accelerator(SCA; セキュア コンテンツ アクセラレータ)のファームにロード バランスする設定例を紹介しています。この設定は、1 ポート モードの接続と非透過プロキシ モードで動作する SCA 用のものです。

非透過モードでは、SCA は送信元に SCA の IP アドレスを使用して、Web サーバへのプレーン テキスト接続を行います。

注:SCA と Web サーバの間では 2 つの異なる VLAN/IP サブネットワークが使用されます。1 つのサブネットワークはすべての SCA 用であり、もう 1 つのサブネットはすべての Web サーバ用です。両方のファームを同じレイヤ 2(L2)ドメインに配置する場合は、送信元 Network Address Translation(NAT; ネットワーク アドレス変換)が必要になります。送信元 NAT を使用すると、パケットが CSM に返され、Catalyst ハードウェアがパケットの L2 スイッチングのみを単純に行わなくなることが保証されます。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントの情報は、次の VLAN/サブネットワークに基づくものです。

  • クライアント側:バーチャル IP(VIP)およびアップストリーム ルータ(Multilayer Switch Feature Card [MSFC; マルチレイヤ スイッチ フィーチャ カード])

  • スロット 5 に CSM を装着した Catalyst 6500/6000

  • サーバ側 1:Web サーバ(複数)

  • サーバ側 2:SCA(複数)

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

このセクションでは、このドキュメントで説明する機能を設定するための情報を提供しています。

注:このドキュメントで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

ネットワーク ダイアグラム

このドキュメントでは、次のネットワーク構成を使用しています。

oap_26341-a.gif

設定例

このドキュメントでは、次の設定を使用しています。

  • Catalyst 6000/CSM スロット 5

  • SCA 1

  • SCA 2

Catalyst 6000/CSM スロット 5


!--- これは非透過 SSL ロード バランス用の設定です。

Cat6k# show running-config | begin Module 5
module ContentSwitchingModule 5
 vlan 6 client
  ip address 10.10.10.200 255.255.255.0
  gateway 10.10.10.1

!--- これはクライアント側の CSM の IP アドレスと
!--- CSM アップストリーム ゲートウェイ(MSFC)です。

!
 vlan 4 server
  ip address 192.168.1.1 255.255.255.0

!--- これは SCA サーバ ファーム VLAN での CSM の IP アドレスです。
!--- SCA はこの IP アドレスをデフォルト ゲートウェイとして使用します。

!
 vlan 10 server
  ip address 192.168.2.1 255.255.255.0

!--- これは Web サーバ ファーム VLAN での CSM の IP アドレスです。
!--- Web サーバはこの IP アドレスをデフォルト ゲートウェイとして使用します。

!
 static drop
  real 192.168.2.0 255.255.255.0

!--- これにより、接続が VIP と一致する場合を除き、Web サーバから開始された
!--- すべての新規接続が廃棄されます。

!
 serverfarm SCA443
  nat server

!--- 接続がこのサーバ ファームに宛てられている場合、
!--- SCA 選択の IP アドレスによって
!--- 宛先 IP アドレスが置き換えられます。

  no nat client
  real 192.168.1.250 443
   inservice
  real 192.168.1.251 443
   inservice

!--- 両方の SCA の設定は、このサーバ ファームへの
!--- 接続の送信で、宛先ポートが 443 に変換されるようになって
!--- います。この例では、VIP はポート 443 をリスニングしているので、
!--- 変換は行われません。

!--- これは、次のサーバ ファーム SCA444 では異なります。

!
 serverfarm SCA444
  nat server
  no nat client
  real 192.168.1.250 444
   inservice
  real 192.168.1.251 444
   inservice

!--- このサーバ ファームの選択では、いずれかの SCA への接続に対して
!--- 修正が行われます。
!--- 宛先 IP がいずれかの SCA の IP と一致するように変更され(NAT サーバ)、
!--- 宛先ポートが 444 になります。

!
 serverfarm WEBFARM
  nat server
  no nat client
  real 192.168.2.10 80
   inservice
  real 192.168.2.11 80

!--- ポート 81 inservice から変換するためにポート 80 を指定します。
!--- (SCA の設定に従い、SCA はポート 81 で通信します。)   
!--- これは標準の Web サーバ ファームです。

!
 sticky 10 ssl timeout 60
 sticky 20 ssl timeout 60

!--- これにより、SSL ID を持つ 2 つの独立した固定(Sticky)グループが
!--- 基準として作成されます。
!--- タイムアウトは 60 秒です。

!
 vserver TESTSITE1
  virtual 10.10.10.10 tcp https
  serverfarm SCA443
  sticky 60 group 10
  persistent rebalance
  inservice

!--- 最初のサイト(www.testsite1.com)の vserver は
!--- ポート 443 で 10.10.10.10 をリスニングします。
!--- 接続は宛先ポートの変更なしで SCA に
!--- 到達します。(サーバ ファーム SCA443 の設定を参照してください。)

!
 vserver TESTSITE2
  virtual 10.10.10.20 tcp https
  serverfarm SCA444
  sticky 60 group 20
  persistent rebalance
  inservice

!--- 2 番目のサイト(www.testsite2.com)の vserver は
!--- ポート 443 で 10.10.10.10 をリスニングします。
!--- 接続は SCA に到達し、宛先ポートを
!--- 444 に変更します。(サーバ ファーム SCA444 の設定を参照してください。)

!
 vserver WEB-DECRYPT
  virtual 10.10.10.100 tcp 81
  serverfarm WEBFARM
  persistent rebalance
  inservice
!

!--- これは、プレーン テキスト接続用の vserver です。
!--- この vserver はポート 81 で SCA からの接続を受信します。

!--- この vserver の設定では VLAN が指定されていないので、
!--- この vserver はクライアント側からの直接接続も
!--- 受け付けます。
!--- この VIP の直接クライアント アクセスを防止するには、
!--- VLAN 4 オプションを使用できます。

!--- この VIP を SCA サブネットワークに配置することもできます。その場合、
!--- クライアントにはそのサブネットワークへのルートがありません。
!--- (クライアントにルートが備わるのは、
!--- アップストリーム ルータにスタティック ルートが設定されている
!--- 場合だけです。)


SCA 1


!--- これで SCA は 1 ポート非透過モードに設定されます。 

sca1# show run 
# 
# Cisco CSCA Device Configuration File 
# 
# Written:      Sun Feb  6 01:46:35 2106 
# Inxcfg:       version 2.3 build 200108071342 
# Device Type:  CSS-SCA 
# Device Id:    S/N 119cd6 
# Device OS:    MaxOS version 2.5.1 build 200108071341 by Dan L. Reading 

### Device ### 

mode one-port 
ip address 192.168.1.250 netmask 255.255.255.0 
hostname sca1 
password enable 
"2431245A572441713173717748626D734B35516B794F64336A51652F" 
no ip domain-name 
no rdate-server 
timezone "MST7MDT" 
no rip 
ip route 0.0.0.0 0.0.0.0 192.168.1.1 metric 1 

### Interfaces ### 

interface network 
  auto 
end 
interface server 
  auto 
end 

### Remote Management ### 

no remote-management access-list 
remote-management enable 

### SNMP Subsystem ### 

no snmp 
telnet enable 
no telnet access-list 
web-mgmt enable 
no web-mgmt access-list 

### SSL Subsystem ### 

ssl 
  server test1 create 
    ip address 10.10.10.100 
    sslport 443 
    remoteport 81 
    key default 
    cert default 
    secpolicy default 
    cachesize 20 
    no transparent 
  end 
  server test2 create 
    ip address 10.10.10.100 
    sslport 444 
    remoteport 81 
    key default 
    cert default 
    secpolicy default 
    cachesize 20 
    no transparent 
  end 
end 
sca1#

SCA 2


!--- これで SCA は 1 ポート非透過モードに設定されます。

sca2# 
sca2# show run 
# 
# Cisco CSCA Device Configuration File 
# 
# Written:      Fri Feb 13 21:18:29 1970 
# Inxcfg:       version 2.3 build 200108071342 
# Device Type:  CSS-SCA 
# Device Id:    S/N 119ca2 
# Device OS:    MaxOS version 2.5.1 build 200108071341 by Dan L. Reading 

### Device ### 

mode one-port 
ip address 192.168.1.251 netmask 255.255.255.0 
hostname sca2 
password enable 
"2431245A572441713173717748626D734B35516B794F64336A51652F" 
no ip domain-name 
no rdate-server 
timezone "MST7MDT" 
no rip 
ip route 0.0.0.0 0.0.0.0 192.168.1.1 metric 1 

### Interfaces ### 

interface network 
  auto 
end 
interface server 
  auto 
end 

### Remote Management ### 

no remote-management access-list 
remote-management enable 

### SNMP Subsystem ### 

no snmp 
telnet enable 
no telnet access-list 
web-mgmt enable 
no web-mgmt access-list 

### SSL Subsystem ### 

ssl 
  server test1 create 
    ip address 10.10.10.100 
    sslport 443 
    remoteport 81 
    key default 
    cert default 
    secpolicy default 
    cachesize 20 
    no transparent 
  end 
  server test2 create 
    ip address 10.10.10.100 
    sslport 444 
    remoteport 81 
    key default 
    cert default 
    secpolicy default 
    cachesize 20 
    no transparent 
  end 
end 
sca2#

確認

このセクションでは、設定が正常に動作しているかどうかを確認する際に役立つ情報を示しています。

特定の show コマンドは、アウトプットインタープリタ登録ユーザ専用)でサポートされています。これにより、show コマンド出力の分析を表示できます。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。


!--- クライアントが www.testsite1.com への接続を開きます。

Cat6k# show module csm 5 vserver detail
TESTSITE1, state = OPERATIONAL, v_index = 10
  virtual = 10.10.10.10/32:443, TCP, service = NONE, advertise = FALSE
  idle = 3600, replicate csrp = none, vlan = ALL, pending = 0
  max parse len = 600, persist rebalance = TRUE
  conns = 1, total conns = 1
  Default policy:
    server farm = SCA443
    sticky: timer = 60, subnet = 0.0.0.0, group id = 10
  Policy           Tot Conn     Client pkts  Server pkts
  ------------------------------------------------------
  (default)        1            9            11

!--- ポート 443 へのクライアント接続は vserver TESTSITE1 にヒットし、
!--- SCA にロード バランスされます。

TESTSITE2, state = OPERATIONAL, v_index = 11
  virtual = 10.10.10.20/32:443, TCP, service = NONE, advertise = FALSE
  idle = 3600, replicate csrp = none, vlan = ALL, pending = 0
  max parse len = 600, persist rebalance = TRUE
  conns = 0, total conns = 0
  Default policy:
    server farm = SCA444
    sticky: timer = 60, subnet = 0.0.0.0, group id = 20
  Policy           Tot Conn     Client pkts  Server pkts
  ------------------------------------------------------
  (default)        0            0            0

WEB-DECRYPT, state = OPERATIONAL, v_index = 13
  virtual = 10.10.10.100/32:81, TCP, service = NONE, advertise = FALSE
  idle = 3600, replicate csrp = none, vlan = 4, pending = 0
  max parse len = 600, persist rebalance = TRUE
  conns = 1, total conns = 1
  Default policy:
    server farm = WEBFARM
    sticky: timer = 0, subnet = 0.0.0.0, group id = 0
  Policy           Tot Conn     Client pkts  Server pkts
  ------------------------------------------------------
  (default)        1            7            5

!--- SCA が 10.10.10.100 ポート 81 への接続を開きます。 
!--- これは Web サーバにロード バランスされます。

Cat6k# show module csm 5 conns detail

    prot vlan source                destination           state
----------------------------------------------------------------------
In  TCP  4    192.168.1.250:4376    10.10.10.100:81       ESTAB
Out TCP  10   192.168.2.11:81       192.168.1.250:4376    ESTAB
    vs = WEB-DECRYPT, ftp = No, csrp = False

!--- これにより、SCA から Web サーバへの接続の詳細が提供されます。
!--- 接続は VLAN 4(SCA VLAN)から開始され、
!--- 10.10.10.100 ポート 81 に宛てられています。
!--- これは透過モードの場合に起こる現象と異なります。
!--- この場合、SCA は SCA の IP アドレス 192.168.1.250 を使用して
!--- 接続を開きます。サーバでは元のクライアントの IP は
!--- 認識されません。

!--- 接続は VLAN 10(Web サーバ VLAN)に到達し、
!--- Web サーバ選択が行われます。(宛先 IP アドレスは、それに応じて
!--- 変更されます。ポートは変更されません。)

!--- サーバがポート 81 ではなくポート 80 をリスニングしている場合は、
!--- 宛先ポートの変換を設定できます。実際のサーバの宛先に
!--- ポートを追加します。


!--- 注:Out 回線では送信元と宛先が入れ替えられます。 
!--- 「Out」とは、CSM がその VLAN から受信するリターン トラフィック パケット
!--- のことを指します。

In  TCP  6    10.15.0.50:2324       10.10.10.10:443       ESTAB
Out TCP  4    192.168.1.250:443     10.15.0.50:2324       ESTAB
    vs = TESTSITE1, ftp = No, csrp = False

!--- これにより、クライアントから VIP への接続の詳細が提供されます。
!--- 接続は VLAN 6(クライアント VLAN)から開始され、
!--- 10.10.10.10 ポート 443 に宛てられています。

!--- 接続は VLAN 4(SCA VLAN)に到達し、
!--- SCA 選択が行われます。宛先 IP アドレスは、
!--- 10.10.10.10(VIP)から 192.168.1.250(SCA)に変更されます。 
!--- これはサーバ ファームにオプション NAT サーバがあるためです。
!--- これは非透過モードでは異なります。

!--- 同じクライアントが 2 番目の接続(今回は www.testsite2.com
!--- への接続)を開きます。

Cat6k#
Cat6k# show module csm 5 conns detail

    prot vlan source                destination           state
----------------------------------------------------------------------
In  TCP  4    192.168.1.250:4377    10.10.10.100:81       ESTAB
Out TCP  10   192.168.2.10:81       192.168.1.250:4377    ESTAB
    vs = WEB-DECRYPT, ftp = No, csrp = False

!--- この接続は SCA から VIP .100 に到達し、Web サーバ .10 に
!--- ロード バランスされます。

In  TCP  4    192.168.1.250:4376    10.10.10.100:81       ESTAB
Out TCP  10   192.168.2.11:81       192.168.1.250:4376    ESTAB
    vs = WEB-DECRYPT, ftp = No, csrp = False

!--- この接続は SCA から VIP .100 に到達し、Web サーバ .11 に
!--- ロード バランスされます。

In  TCP  6    10.15.0.50:2325       10.10.10.20:443       ESTAB
Out TCP  4    192.168.1.250:444     10.15.0.50:2325       ESTAB
    vs = TESTSITE2, ftp = No, csrp = False

!--- この接続はクライアントから VIP .20 に到達し、SCA 250 ポート 444 に
!--- ロード バランスされます。

In  TCP  6    10.15.0.50:2324       10.10.10.10:443       ESTAB
Out TCP  4    192.168.1.250:443     10.15.0.50:2324       ESTAB
    vs = TESTSITE1, ftp = No, csrp = False

!--- この接続はクライアントから VIP .10 に到達し、SCA .250 ポート 443 に
!--- ロード バランスされます。

Cat6k#show module csm 5 real detail
192.168.2.10, WEBFARM, state = OPERATIONAL
  conns = 1, maxconns = 4294967295, minconns = 0
  weight = 8, weight(admin) = 8, metric = 0, remainder = 1
  total conns established = 1, total conn failures = 0
192.168.2.11, WEBFARM, state = OPERATIONAL
  conns = 1, maxconns = 4294967295, minconns = 0
  weight = 8, weight(admin) = 8, metric = 0, remainder = 1
  total conns established = 1, total conn failures = 0
192.168.1.250:443, SCA443, state = OPERATIONAL
  conns = 1, maxconns = 4294967295, minconns = 0
  weight = 8, weight(admin) = 8, metric = 0, remainder = 1
  total conns established = 1, total conn failures = 0
192.168.1.251:443, SCA443, state = OPERATIONAL
  conns = 0, maxconns = 4294967295, minconns = 0
  weight = 8, weight(admin) = 8, metric = 0, remainder = 0
  total conns established = 0, total conn failures = 0
192.168.1.250:444, SCA444, state = OPERATIONAL
  conns = 1, maxconns = 4294967295, minconns = 0
  weight = 8, weight(admin) = 8, metric = 0, remainder = 1
  total conns established = 1, total conn failures = 0
192.168.1.251:444, SCA444, state = OPERATIONAL
  conns = 0, maxconns = 4294967295, minconns = 0
  weight = 8, weight(admin) = 8, metric = 0, remainder = 0
  total conns established = 0, total conn failures = 0

!--- この出力は、各 Web サーバが接続を受けたことを
!--- 示しています。
!--- SCA .250 は 2 つの接続(ポート 443 への接続とポート 444 への接続)を
!--- 受けています。
!--- SCA .251 は、まだ 2 つしか接続が開かれていないため、接続を
!--- 受けていません。各サイトに対して 1 つが開かれています
!--- (10.10.10.10 と 10.10.10.20)。SCA の別のポート(443 または 444)が
!--- 各サイトを処理します。各サイトの最初の接続が
!--- 最初の SCA に到達します。
!--- 次の .10 または .20 への接続は、それぞれ .251、ポート 443、
!--- または 444 に到達します。
!--- これは SCA1 の出力です。


!--- 開かれている接続が 1 つあります。

sca1# show netstat
Pro State Recv-Q Send-Q Local Address         Remote Address       
R-Win S-Win
---------------------------------------------------------------------------
tcp ESTAB      0      0 192.168.1.250:443     10.15.0.50:2324      
33580 16529
tcp ESTAB      0      0 192.168.1.250:4376    10.10.10.100:81      
33304 17232
udp            0      0 *:4099                *:*                      
0     0
udp            0      0 *:4098                *:*                      
0     0
tcp LISTN      0      0 *:2932                *:*                      
0     0
udp            0      0 *:2932                *:*                      
0     0
udp            0      0 *:520                 *:*                      
0     0
udp            0      0 *:514                 *:*                      
0     0
tcp LISTN      0      0 *:444                 *:*                      
0     0
tcp LISTN      0      0 *:443                 *:*                  
32768     0
tcp LISTN      0      0 *:80                  *:*                      
0     0
tcp LISTN      0      0 *:23                  *:*                      
0     0
sca1#

!--- 開かれている接続が 2 つあります。

sca1# show netstat
Pro State Recv-Q Send-Q Local Address         Remote Address       
R-Win S-Win
---------------------------------------------------------------------------
tcp ESTAB      0      0 192.168.1.250:444     10.15.0.50:2325      
33580 16529
tcp ESTAB      0      0 192.168.1.250:443     10.15.0.50:2324      
33580 16529
tcp ESTAB      0      0 192.168.1.250:4377    10.10.10.100:81      
33304 17232
tcp ESTAB      0      0 192.168.1.250:4376    10.10.10.100:81      
33304 17232
udp            0      0 *:4099                *:*                      
0     0
udp            0      0 *:4098                *:*                      
0     0
tcp LISTN      0      0 *:2932                *:*                      
0     0
udp            0      0 *:2932                *:*                      
0     0
udp            0      0 *:520                 *:*                      
0     0
udp            0      0 *:514                 *:*                      
0     0
tcp LISTN      0      0 *:444                 *:*                  
32768     0
tcp LISTN      0      0 *:443                 *:*                  
32768     0
tcp LISTN      0      0 *:80                  *:*                      
0     0
tcp LISTN      0      0 *:23                  *:*                      
0     0
sca1#

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 26341