Catalyst 6500 シリーズ スイッチ SSL サービス モジュール コンフィギュレーション ノート
各動作モードの設定
各動作モードの設定
発行日;2012/02/05 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

各動作モードの設定

ポリシーベース ルーティングの設定

CSMの設定

VLAN

サーバ ファーム

仮想サーバ

スティッキー接続

各動作モードの設定

SSLサービス モジュールはスタンドアロン構成、またはContent Switching Module(CSM)と組み合わせた構成のいずれかで稼働します。スタンドアロン構成では、ポリシーベース ルーティングを使用して、セキュアなトラフィックをSSLサービス モジュールに転送します。CSMと組み合わせた構成では、SSLサービス モジュールには暗号化されたクライアント トラフィックのみが転送され、クリア テキスト トラフィックは実サーバに転送されます。

ここではスタンドアロン構成の場合、またはCSMと組み合わせる場合のSSLサービス モジュールの設定方法について説明します。

「ポリシーベース ルーティングの設定」

「CSMの設定」

図 5-1に、1台のCatalyst 6500シリーズ スイッチにSSLサービス モジュールおよびCSMを搭載したネットワーク トポロジーの例を示します。

図 5-1 ネットワーク レイアウト例 ― SSLサービス モジュールとCSMを組み合わせた場合

 

ポリシーベース ルーティングの設定

スタンドアロン構成では、ポリシーベース ルーティングを使用して、暗号化されたSSLトラフィックをSSLサービス モジュールに転送します。

SSLサービス モジュールにポリシーベース ルーティングを設定する場合は、次の注意事項に従ってください。

それぞれ異なるサブネットにクライアントおよびサーバを設定します。

スイッチに2つのVLAN(各サブネットに1つずつ)を設定します。

各VLANにIPインターフェイスを設定します。

SSLサービス モジュールのサーバ側VLANにIPインターフェイスを設定します。

トラフィックの各方向に対応する2つのフローが存在します。クライアントからサーバへのトラフィック フローは、クリア テキストまたは暗号化データとして送信されます(図 5-2を参照)。サーバからクライアントへのトラフィックは、すべてクリア テキストとして送信されます。ただし、サーバからクライアントへのトラフィックがクライアントに転送される前にSSLサービス モジュールで暗号化されるかどうかは送信元ポートによって異なります。

図 5-2 クライアントからサーバへのトラフィック フロー ― スタンドアロン構成

 

図 5-2では、クライアントはサーバにクリア テキスト トラフィックを送信します(フロー1)。スイッチは、クリア テキスト トラフィックをサーバに転送します(フロー2)。

クライアントは暗号化トラフィックをサーバ(ポート443)に送信します。ポリシーベース ルーティングがトラフィックを代行受信して、SSLサービス モジュールに転送します(フロー3)。SSLサービス モジュールはトラフィックを復号化して、ストリームをwell-knownポート(サーバ上で復号化トラフィックを待機するように設定されたポート)に転送します(フロー4)。

ポリシーベース ルーティングをイネーブルにする手順は、次のとおりです。

 

コマンド
目的

ステップ 1

Router(config)# ip access-list extended name

IP拡張アクセス リストを定義します。

ステップ 2

Router(config-ext-nacl)# permit tcp source source-wildcard operator port destination destination-wildcard operator port

名前付きアクセス リストに条件を指定します。


sourceおよびsource-wildcard、またはdestinationおよびdestination-wildcardが0.0.0.0
255.255.255.255の場合は、その短縮形としてanyキーワードを使用します。


 

ステップ 3

Router(config-ext-nacl)# route-map map-tag [ permit | deny ] [ sequence-number ]

パケットの出力先を制御するルート マップを定義します。


) このコマンドは、スイッチをルートマップ コンフィギュレーション モードにします。


 

ステップ 4

Router(config-route-map)# match ip address name

一致基準を指定します。送信元と、1つまたは複数の標準もしくは拡張アクセス リストで許可されている宛先IPアドレスとを照合します。

ステップ 5

Router(config-route-map)# set ip next-hop ip-address

パケットのルーティング先となるネクスト ホップを設定します(ネクスト ホップは隣接していなければなりません)。

ステップ 6

Router(config-route-map)# interface interface-type interface-number

インターフェイスを指定します。


) このコマンドは、スイッチをインターフェイス コンフィギュレーション モードにします。


 

ステップ 7

Router(config-if)# ip policy route-map map-tag

ポリシーベース ルーティングに使用するルート マップを特定します。


) 1つのインターフェイスには、route-mapタグを1つのみ設定できます。ただし、シーケンス番号が異なるルート マップ エントリはいくつでも設定できます。これらのエントリは、最初の一致が見つかるまで、シーケンス番号順に評価されます。一致が見つからない場合、パケットは通常どおりにルーティングされます。


 

CSMの設定


) CSMの設定方法の詳細については、次のURLにアクセスして『Catalyst 6500 Series Switch Content Switching Module Installation and Configuration Note』Release 3.1を参照してください。

http://www.cisco.com/univercd/cc/td/doc/product/lan/cat6000/cfgnotes/csm_3_1/index.htm


CSMは、レイヤ4~レイヤ7のパケット情報に基づいて、ネットワーク装置とサーバ ファーム間にハイパフォーマンスのServer Load Balancing(SLB;サーバ ロードバランシング)を実現します。

SSLサービス モジュールとCSMを組み合わせた構成では、SSLサービス モジュールには暗号化されたクライアント トラフィックのみが転送され、クリア テキスト トラフィックは実サーバに転送されます。

CSMはサーバ ファームの仮想IPアドレス(ポート443)宛てのトラフィックを解析し、宛先IPアドレスを変更しないでSSLサービス モジュールに転送します。構成内にSSLサービス モジュールが複数存在する場合、CSMはSSLサービス モジュール間でトラフィックを負荷分散します。SSLサービス モジュールはトラフィックを復号化して、新しいストリームをCSMに転送して戻します。SSLサービス モジュールは宛先IPアドレス(元のサーバ ファーム仮想IPアドレス)を変更しませんが、ポート変換は実行します。CSMはこの新しい仮想IPアドレスとポートの組み合わせを使用して、サーバ ファーム内のサーバ間でデータを分散させます(図 5-3を参照)。

図 5-3 クライアントからサーバへのトラフィック フロー ― SSLサービス モジュールとCSMを組み合わせた場合

 

図 5-3では、クリア テキスト トラフィックはクライアントから仮想IPアドレス、非SSLポート(80など)に送信されます(フロー1を参照)。CSMはサーバ ファーム内のサーバ間でクリア テキスト トラフィックを分散させます(フロー2)。

暗号化トラフィックは、クライアントから仮想IPアドレス、SSLポート(443)に送信されます(フロー3)。CSMは暗号化トラフィックをSSLサービス モジュールに転送します(フロー4)。複数のSSLサービス モジュールが存在する場合、CSMはSSLサービス モジュール間で暗号化トラフィックを分散させます。

SSLサービス モジュールはトラフィックを復号化して、仮想IPアドレスおよびCSMのポートに転送します(フロー5)。

CSMはサーバ ファーム内のサーバ間で復号化トラフィックを分散させます(フロー6)。

リターン パス上で、CSMはサーバがデータを伝送したポートをモニタする必要があります。このポートが標準のクリア テキスト ポート(80など)の場合、送信元アドレス以外のデータは変更されずにクライアントに転送されます。クリア テキスト フロー上にサーバNATが設定されている場合、送信元IPアドレスは仮想IPアドレスによって置き換えられます。

トラフィックの宛先が仮想IPアドレスおよびポート443である場合、CSMはこのフローをSSLサービス モジュールに転送します。SSLサービス モジュールはトラフィックを暗号化して、パケット ヘッダー上でポート変換を実行します。SSLサービス モジュールは、送信元ポート443(クライアントが暗号化トラフィックを最初に転送したSSLポート)を使用して、トラフィックをCSMに転送し、CSMがリバース パス トラフィックを処理できるようにします。

VLAN

通常のCSM運用と同様に、クライアントおよびサーバVLANは個別に設定する必要があります。CSMクライアントおよびサーバVLANが同じサブネット上にない場合、CSMはクライアントおよびサーバVLAN間のスイッチとして機能します。

CSMおよびSSLサービス モジュール間でトラフィックを転送できるようにするには、これらの間にVLANを1つ設定する必要があります(図 5-4を参照)。CSMおよびSSLサービス モジュールの間のすべてのフローは、このVLANを通過します。

図 5-4 SSLサービス モジュールとCSMの組み合わせ ― 3 VLANの設定

 

図 5-4のVLAN 4を通過するのは、クライアントとCSM仮想IPアドレスの間のクリア テキスト トラフィックおよび暗号化トラフィックです。

VLAN 2を通過するのは、サーバおよびクライアント間の次のタイプのトラフィックです。

クライアントおよびサーバ間のクリア テキスト トラフィック

クライアントから送信され、SSLサービス モジュールによって復号化されたトラフィック

サーバから送信され、SSLサービス モジュールで暗号化する必要があるトラフィック

VLAN 3を通過するのは、CSMおよびSSLサービス モジュール間の次のタイプのトラフィックです。

復号化する必要がある、暗号化されたクライアント トラフィック

サーバ ファームに転送する必要がある、復号化されたクライアント トラフィック

暗号化する必要がある、暗号化されていないサーバ トラフィック

クライアントに転送する必要がある暗号化されたサーバ トラフィック

CSMにVLANを設定する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

Router(config)# mod csm slot

CSMのスロットを指定します。

ステップ 2

Router(config-module-csm)# vlan vlan { client | server }

VLANをCSMのクライアントまたはサーバとして設定します。

ステップ 3

Router(config-slb-vlan-client)# ip address ip_addr netmask

VLAN上のインターフェイスのIPアドレスおよびネットマスクを設定します。

ステップ 4

Router(config-slb-vlan-client)# gateway ip_addr

ゲートウェイIPアドレスを設定します。

サーバ ファーム

SSLサービス モジュールをCSMと組み合わせて使用した場合、CSMは2つのタイプのサーバ ファームを参照します。1番めのサーバ ファームは、一連の実サーバで構成される従来のファームです。このサーバ ファームは、1つまたは複数の仮想サーバIPアドレスにマッピングされます。これらのサーバ宛てのトラフィック上で、サーバNATまたはクライアントNATを機能させるかどうかを選択できます。

2番めのタイプのサーバ ファームは、シャーシに搭載されたSSLサービス モジュールで構成されます。CSMは、これらのSSLサービス モジュールを実サーバとして参照し、これらのモジュール間でSSLトラフィックを分散させます。

CSMにサーバ ファームを設定する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

Router(config)# mod csm slot

CSMのスロットを指定します。

ステップ 2

Router(config-module-csm)# serverfarm server_farm

サーバ ファームの名前を設定します。

ステップ 3

Router(config-slb-sfarm)# no nat server

(任意)サーバNATをディセーブルにします。

ステップ 4

Router(config-slb-sfarm)# nat client natpool_name

(任意)クライアントNATをイネーブルにします。

ステップ 5

Router(config-slb-sfarm)# real ip_addr

サーバの実IPアドレスを設定します。

ステップ 6

Router(config-slb-real)# inservice

サーバ ファームを稼働させます。

仮想サーバ

CSMおよびSSLサービス モジュールを組み合わせた構成でサポートされるすべての実サーバ ファームで、3つのタイプの仮想サーバが必要となります。3タイプの仮想サーバの主な違いは、ポート番号です。クリア テキスト仮想サーバおよびSSL仮想サーバの仮想IPアドレスは同じです。復号化仮想サーバの仮想IPアドレスは、同じ場合と異なる場合があります。3つのタイプの仮想サーバを次に示します。

クリア テキスト仮想サーバ ― クライアントから送信されたすべてのクリア テキスト トラフィックの宛先です。通常、このトラフィックの宛先はポート80です。CSMは、この仮想サーバに送信されたトラフィックをサーバ ファーム内の実サーバに直接分散させます。SSLサービス モジュールはクリア テキスト仮想サーバに含まれません。

SSL仮想サーバ ― クライアントからサーバに送信されるすべてのSSL暗号化トラフィックの宛先です。このトラフィックの宛先はポート443です。CSMは、このタイプのトラフィックをSSLサービス モジュールに転送して復号化します。

復号化仮想サーバ ― SSLサービス モジュールがクライアントからのSSLトラフィックを復号化したあと、トラフィックはCSMに転送されて戻され、復号化仮想サーバに送信されます。CSMは、このトラフィックをサーバ ファーム内の実サーバに分散させます。この処理は、クリア テキスト仮想サーバ宛てのトラフィックの場合と同様です。この復号化仮想サーバに関連付けられたポートは、SSLサービス モジュールによって復号化されたトラフィックを待機するように設定された実サーバのポートと一致しなければなりません。

CSMに仮想サーバを設定する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

Router(config)# mod csm slot

CSMのスロットを指定します。

ステップ 2

Router(config-module-csm)# vserver vserver

仮想サーバの名前を設定します。

ステップ 3

Router(config-slb-vserver)# virtual ip_address tcp port

仮想サーバのIPアドレス、プロトコル、およびポートを設定します。

ステップ 4

Router(config-slb-vserver)# serverfarm server_farm

宛先サーバ ファームを設定します。

ステップ 5

Router(config-slb-vserver)# vlan vlan

指定された仮想サーバ宛のトラフィックのうち、CSMが許可するトラフィックの送信元VLANを指定します。


) セキュリティ上の理由から、このコマンドは復号化仮想サーバの場合に必須です。


 

ステップ 6

Router(config-slb-vserver)# inservice

仮想サーバを稼働させます。

スティッキー接続


) SSLスティッキー機能を設定するには、CSMでCSMソフトウェアRelease 3.1(1a)以降を稼働させる必要があります。


CSMおよびSSLサービス モジュールを組み合わせた構成において、複数のSSLサービス モジュールが1台のCSMに接続されている場合は、CSM上にSSLスティッキー機能を設定します。これにより、CSMは特定のクライアントからのトラフィックを常に同じSSLサービス モジュールに転送できます。

クライアントおよびSSLサービス モジュール間の接続ごとに、32バイトSSLセッションIDが作成されます。SSLスティッキー機能が設定されている場合、CSMはSSLセッションIDの特定の部分(SSLサービス モジュールのMACアドレス)を参照して、SSLサービス モジュール間でSSLトラフィックを分散させます。


) セッションIDを再ネゴシエーションした場合も、SSLサービス モジュールのMACアドレスは、常にSSLセッションIDのバイト位置21~26を占めます。


CSMにスティッキー接続を設定する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

Router(config)# mod csm mod

CSMのスロットを指定します。

ステップ 2

Router(config-module-csm)# sticky group ssl

スティッキー グループIDを設定します。

ステップ 3

Router(config-module-csm)# vserver vserver

仮想サーバにグループIDを割り当てます。

ステップ 4

Router(config-slb-vserver)# sticky group timeout time

接続をスティッキーにしておく時間を分単位で指定します。

ステップ 5

Router(config-slb-vserver)# ssl-sticky offset 20 length 6

SSL IDにおけるSSLサービス モジュール MACアドレスの位置を指定します。