Catalyst 6500 シリーズ スイッチ CSM-S インストレーション コンフィギュレーション ノート Software Release 2.1(1)
製品概要
製品概要
発行日;2012/01/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

製品概要

機能

前面パネル

LED

RJ-45コネクタ

SSLコネクタ

CSM-SコマンドおよびSSLSMコマンドの相違点

ソフトウェア バージョンの情報

設定の制約事項

CSM-S動作の概要

SSLを統合したCSM-Sの動作

クライアント側の設定によるトラフィック フロー

サーバ側の設定によるトラフィック フロー

バックエンド サーバとしてのCSMの設定

バックエンド サーバとしての実サーバの設定

製品概要

このマニュアルは、次のモジュールをサポートします。

製品番号:WS-X6066-SLB-S-K9

Catalyst 6500シリーズContent Switching Module with SSL(CSM-S)は、高性能なServer Load Balancing(SLB)にSecure Socket Layer(SSL)オフロードを組み合わせています。CSM-Sは、サーバ ファイアウォール、キャッシュ、Virtual Private Network(VPN;仮想私設網)終端装置およびその他のネットワーク装置のグループ間でレイヤ3~7の情報を使用して、クライアント要求を分散するのに使用できます。CSM-Sは、またCSM-Sが優れたロードバランシングを実行しながら、安全なエンドツーエンドの暗号化を確保することができるSSL暗号化トラフィックを終了および開始できます。


SSLドータカードは、SSLトランザクションを高速化するCSM-SのSSL終端ドータカードについて言及します。


図1-1に、クライアントとサーバ ファーム間のCSM-Sを介したトラフィック フローの概要を示します。サーバ ファームは、ロードバランスの対象装置からなるグループです。サーバ ファームを仮想サーバにすることによって、ネットワークのスケーラビリティとサービス アベイラビリティが向上します。仮想サーバのアベイラビリティに影響を与えることなく、いつでも新しいサーバを追加したり、故障したサーバまたは既存のサーバを除去したりできます。

図1-1 CSM-Sトラフィック フローの概要

 

クライアントをCSM-Sに接続するには、仮想サーバのVirtual IP(VIP;仮想IP)アドレスに要求を送ります。クライアントが仮想サーバへの接続を開始すると、CSM-Sは設定されたロードバランシング アルゴリズムおよびポリシー(アクセス ルール)に基づいて、接続用の実サーバ(サーバ ファームに割り当てられる物理装置)を選択します。ポリシーでは、クライアント接続の送り先を定義することによってトラフィックを管理します。

SSLによって暗号化された要求が届いた場合に、正しい実サーバを選択するために、CSM-Sが復号化を実行し、最終的にレイヤ7のルールをクリア テキスト要求に適用するように設定できます。実サーバを選択するのにレイヤ7情報が必要な場合にだけ、復号化が行われます。エンドツーエンド暗号化が必要な場合、実サーバの選択が行われたあとにCSM-Sが接続要求を再び暗号化します。この処理によって、実サーバへの要求が暗号化形式のままになります。

固定(sticky)接続は、送信元IPアドレス、送信元IPサブネット、Cookie、およびSSLを使用して、同じクライアントからの複数の接続を同じ実サーバに stick (固定する)ことによって、またはHTTPリダイレクト メッセージを使用してこれらの接続をリダイレクトすることによって、個々のサーバへのトラフィックを制限します。

ここでは、CSM-Sについて説明します。

「機能」

「前面パネル」

「CSM-SコマンドおよびSSLSMコマンドの相違点」

「ソフトウェア バージョンの情報」

「設定の制約事項」

「CSM-S動作の概要」

「SSLを統合したCSM-Sの動作」

機能

今回のソフトウェア リリースには、旧CSMリリースからのSSL(CSM-S)機能をサポートするフィーチャ セットが含まれます。ここでは、表形式で次のフィーチャ セットを示します。

表1-1 に、今回のリリースでの新しいCSM機能を示します。

 

表1-1 新しいCSMフィーチャ セットの説明

今回のリリースの新機能
説明

HTTPヘッダー スティッキ

HTTPヘッダーの内容(Mobile Station ISDN Number
[MSISDN]、サービス キー、セッションIDなど)に基づいて、固定処理を実行するようにCSMを設定できます。

設定の同期化

フォールト トレラントVLAN(仮想LAN)上のアクティブCSMおよびスタンバイCSM間の設定の同期化をサポートします。

インターフェイスおよびクリティカル デバイスのフェールオーバー トラッキング

Hot Standby Router Protocol(HSRP)グループ、物理インターフェイス、およびゲートウェイの状態を追跡できます。

Private VLAN(PVLAN;プライベートVLAN)

CSMでPVLANを使用可能にします。

部分的なサーバ ファーム フェールオーバー

プライマリ サーバ ファームで部分的に障害が発生した場合にCSMがバックアップ サーバ ファームにフェールオーバーするように、バックアップ サーバ ファームの設定時にスレッシュホールド値を定義できます。

サーバ プローブ失敗ステートの改善

プローブに失敗したサーバを復旧するのに必要な再試行回数を指定できます。

実名オプション

エンティティに関する詳細を指定できます。このオプションは、プローブ、vserver、VLAN、およびサーバファームの各モードに適用できます。

Network Address Translation(NAT;ネットワーク アドレス変換)設定の拡張

送信元NAT(NATクライアント)設定のルールをポリシー レベルに提供します。

無限アイドル タイムアウト

接続を無期限でオープンのまま維持できます。

VIPの依存関係

複数のVIPを一括してリンクし、指定されたVIPが停止するとそれに依存するVIPも自動的に停止させることができます。

ポリシーの順序

特定のポリシーにプライオリティ値を割り当てることができます。

最大解析長に達した場合の動作の変更

CSMは、最大解析長の接続要求をデフォルト ポリシーにロード バランシングします。

スロー スタートの改善

スロースタート タイマー値が期限切れになるか、またはconn_countが他の実サーバのconn_countと等しくなるまで、実サーバをスロースタート モードにしておくことができます。

非セキュア ルータ モード

VIPにヒットしない非SYNパケットに加え、SYNパケットをルーティングするために環境変数が拡張されました。

vserverの制限数の増加

特定のVIPで設定可能な仮想サーバ数を128から1000に増加しました。

表1-2 に、以前のリリースで使用可能なCSM機能を示します。

 

表1-2 CSMフィーチャ セットの説明

機能
サポート対象ハードウェア

MSFC2が搭載されたSupervisor Engine 2

サポート対象プロトコル

TCPロードバランシング

UDP一般IPプロトコル ロードバランシング

FTP(ファイル転送プロトコル)およびReal Time Streaming Protocol(RTSP)に関する特殊なアプリケーション レイヤ サポート

Server Application State Protocol(SASP)

レイヤ7機能

完全正規表現照合

URL、Cookieスイッチング、一般HTTPヘッダー解析、HTTPメソッド解析

その他の機能

VIP接続のウォーターマーク

バックアップ(ソーリー サーバ)およびサーバ ファーム

ヘルス プローブ用のオプション ポート

IP再組み立て

TCLスクリプト

XMLコンフィギュレーション インターフェイス

SNMP(簡易ネットワーク管理プロトコル)

Global Server Load Balancing(GSLB;グローバル サーバ ロードバランシング) ― ライセンスが必要です。

リソース使用状況の表示

設定可能なアイドルおよび保留接続タイムアウト

単一方向フローのアイドル タイムアウト

SSLロードバランシングのSSLサービス モジュール(SSLM)統合

実サーバ名

すべてのタイプのフロー(TCP、UDP、およびIP)に関するTCP接続の冗長性

フォールト トレラント show コマンドの拡張

IOS SLB FWLBの相互運用(IPリバーススティッキ)

同一シャーシに複数のCSM

同一シャーシでのCSMおよびIOS-SLB機能の同時使用

設定可能なHTTP 1.1の連続機能(同一サーバにすべてのGETが作成される、または複数のサーバにバランシングされる)

全面的に設定可能なNAT

サーバ開始型接続

ルート ヘルス導入

ロードバランシング アルゴリズム

ラウンドロビン

Weighted Round-Robin(WRR;重み付きラウンドロビン)

最小接続

重み付き最小接続

URLハッシュ

送信元IPハッシュ(設定可能なマスク)

宛先IPハッシュ(設定可能なマスク)

送信元および宛先IPハッシュ(設定可能なマスク)

サポート対象ロードバランシング

SLB(TCP、UDP、または総称IPプロトコル)

ファイアウォール ロードバランシング

Domain Name System(DNS;ドメイン ネーム システム)ロードバランシング

ステルス ファイアウォール ロードバランシング

トランスペアレント キャッシュ リダイレクト

リバース プロキシ キャッシュ

SSLオフロード

VPN-IPSecロードバランシング

一般的なIP装置とプロトコル

スティッキ性

設定可能なオフセットおよび長さを持つCookie sticky

SSL ID

送信元IP(設定可能なマスク)

HTTPリダイレクト

冗長性

stickyステート

完全ステートフル フェールオーバー(接続の冗長性)

ヘルス チェック

HTTP

Internet Control Message Protocol(ICMP)

Telnet

TCP

FTP

SMTP

DNS

戻りエラー コード チェック

帯域内ヘルス チェック

ユーザ定義によるTCLスクリプト

管理

SNMPトラップ

SNMPおよびMIB(管理情報ベース)フルサポート

リモートのCSM設定用のXMLインターフェイス

バックエンド暗号化のサポート

ワークグループ マネージャのサポート

Server Application State Protocol(SASP)

表1-3 に、今回のリリースのCSM-S機能を示します。

 

表1-3 CSM-Sフィーチャ セットの説明

機能
サポート対象ハードウェア

MSFC2が搭載されたSupervisor Engine 2

サポート対象ソフトウェア

Cisco IOS Software Release 12.2(18)SXD(Supervisor Engine 2およびMSFC2で稼働)

SSL機能

SSL開始

SSL version 2.0(SSLv2)転送

URLリライト

HTTPヘッダー挿入

ワイルドカード プロキシ

ハンドシェイク プロトコル

SSL 3.0

SSL 3.1/TLS 1.0

SSL 2.0(ClientHelloのみサポート)

セッション再利用

セッション再ネゴシエーション

セッション タイムアウト

対称アルゴリズム

ARC4

DES

3DES

非対称アルゴリズム

RSA

ハッシュ アルゴリズム

MD5

SHA1

暗号スイート

SSL_RSA_WITH_RC4_128_MD5

SSL_RSA_WITH_RC4_128_SHA

SSL_RSA_WITH_DES_CSC_SHA

SSL_RSA_WITH_3DES_EDE_CBC_SHA

公開鍵基盤

最大2048ビットの証明書用のRSA鍵ペア生成

CSM-Sフラッシュ メモリ デバイスに鍵を安全に保存

クライアントおよびサーバ タイプのプロキシ サービスの証明書登録

鍵および証明書のインポートおよびエクスポート(PKCS12およびPEM)

鍵および証明書のインポートおよびエクスポート メカニズムを使用したスタンバイCSM-Sでの鍵および証明書の複製

手動による鍵のアーカイブ、回復、およびバックアップ

CLI(コマンドライン インターフェイス)を使用した鍵および証明書の更新

期限切れの鍵および証明書の適正な書き替え

証明書の自動登録および自動更新

カット アンド ペーストまたはTrivial File Transfer Protocol(TFTP;簡易ファイル転送プロトコル)による認証局証明書のインポート

最大8レベルの証明書チェーンの認証局

自己署名証明書の生成

PKCS10 CSRファイルのカット アンド ペーストまたはTFTPを使用した手動の証明書登録

ピア(クライアントおよびサーバ)の証明書認証

ピア(クライアントおよびサーバ)の証明書

証明書セキュリティの属性ベース アクセス制御リスト

Certificate Revocation List(CRL;証明書失効リスト)

証明書の期限切れ警告

TCP終端

RFC 1323

接続エージング

接続レート

NAT1/PAT2

クライアントおよびサーバ

冗長性

CSM-Sモジュールがスタンバイ状態である場合は、SSLサービスにアクセスできません。

冗長構成にするためには、2つのCSMまたは2つのCSM-Sのどちらかを使用する必要があります。サポート対象の冗長構成にCSMとCSM-Sを混在させることはできません。

ハイ アベイラビリティ

障害検知(SLBヘルス モニタリング方式)

モジュールレベルの冗長性(ステートレス)

サービス性

パスワードの回復

統計情報およびアカウンティング

プロキシ サービスごとの、SSL接続試行回数の合計

プロキシ サービスごとの、正常に確立されたSSL接続数の合計

プロキシ サービスごとの、失敗したSSL接続数の合計

プロキシ サービスごとの、SSL警告エラー数の合計

プロキシ サービスごとの、SSL再開セッション数の合計

プロキシ サービスごとの、暗号化および復号化されたパケット/バイト数の合計

1秒、1分、および5分あたりのCPU利用率に関するトラフィック レートで表示される統計情報、およびSSL固有のカウンタ

1.NAT = Network Address Translation:ネットワーク アドレス変換

2.PAT = Port Address Translation:ポート アドレス変換

前面パネル

図1-2に、CSM-Sの前面パネルを示します。

図1-2 CSMの前面パネル

 


) RJ-45コネクタは着脱式プレートで覆われています。



) CSM-S証明書管理ポートに直接接続して、SSLドータカードの初期設定を行う必要があります。この初期設定の完了後は、Secure Shell(SSH;セキュア シェル)またはTelnet接続を行い、さらに詳細にモジュールを設定できます。「SSLドータカードの初期設定」を参照してください。


LED

CSM-Sの電源が入ると、各種ハードウェア コンポーネントが初期化され、スーパバイザ エンジンとの通信が行われます。STATUS LEDは、スーパバイザ エンジンの動作と初期化の結果を示します。通常の初期化シーケンスの間に、STATUS LEDは消灯状態からレッド、オレンジ、グリーンへと変化します。SSLドータカードのCRYPTO LEDは、今回のリリースでは使用されません。


) スーパバイザ エンジンのLEDの詳細については、『Catalyst 6500 Series Switch Module Installation Guide』を参照してください。


表1-4 に、STATUS LEDの動作を示します。

 

表1-4 CSMのLED

LED
説明

STATUS

消灯

モジュールはスーパバイザ エンジンからの電力供給を待機しています。

モジュールはオンラインではありません。

モジュールに電力が供給されていません。次の原因が考えられます。

CSM-Sに電力が供給されていない。

モジュール温度が制限値を超えている3

レッド

スーパバイザ エンジンによるリセットでモジュールが解放され、起動中です。

ブート コードの実行に失敗した場合、LEDは起動後もレッドのままです。

オレンジ

モジュールがハードウェアを初期化中、またはスーパバイザ エンジンと通信中です。

初期化シーケンス中にエラーが発生しました。

モジュールは起動時にField Programmable Gate Array(FPGA)をダウンロードできませんでしたが、初期化シーケンスを続行し、スーパバイザ エンジンからモジュール オンライン ステータスを得ます。

モジュールはスーパバイザ エンジンからモジュール オンライン ステータスを得ていません。この問題は、CSM-Sに発行された外部ループバック テストでスーパバイザ エンジンがエラーを検出した場合に発生します。

グリーン

モジュールは動作可能です。スーパバイザ エンジンからモジュールにモジュール オンライン ステータスが与えられています。

グリーン
から
オレンジ

スーパバイザ エンジンのCLI 4でset module disable modコマンドを使用した結果、モジュールがディセーブルになっています。

CRYPTO

なし

使用されません。今後のリリース用に確保されています。

3.CSM-Sの4つの各センサーの温度を表示するには、show environment temperature modコマンドを入力します。

4.CLI = コマンドライン インターフェイス

RJ-45コネクタ

着脱式プレートで覆われたRJ-45コネクタを使用して、管理ステーションまたはテスト装置を接続します。このコネクタはフィールド エンジニアがテストを行ったり、ダンプ情報を取得したりするために使用します。

SSLコネクタ

証明書管理ポート コネクタは、SSL証明書管理に使用され、初期設定でSSLドータカードに接続する必要がある場合に利用できます。この初期設定の完了後は、SSLドータカードにSSHまたはTelnet接続を行い、さらに詳細にモジュールを設定できます。詳細については、『 Catalyst 6500 Series Content Switching Module with SSL Installation and Configuration Note 』のChapter 5を参照してください。

CSM-SコマンドおよびSSLSMコマンドの相違点

ここでは、SSL Services Module(SSLSM)およびCSM-Sコマンド機能の相違点について説明します。SSLサービス モジュール ソフトウェアの次のコマンドおよび機能は、CSM-Sでは利用できません。

debug ssl-proxy pc コマンド

スタンドアロン モードでHSRPを使用したステートレス冗長機能

ssl-proxyサービス コンフィギュレーション モードの virtual ipaddr ... コマンドには、 secondary キーワードが必要になります。 secondary キーワードを使用せずにこのコマンドが設定すると、トラフィックのフローが失敗します。

次に、例を示します。

'virtual ipaddr 90.1.1.1 protocol tcp port 443' is NOT supported.
'virtual ipaddr 90.1.1.1 protocol tcp port 443 secondary' is supported.
 

SSLサービス モジュールのゲートウェイ転送機能は、CSM-Sでは機能しません。この機能はSSLサービス モジュールで使用され、SSLサービス モジュールにより多くのトラフィックが流れるようにします。

次に、例を示します。

ssl-proxy vlan 2
ipaddr 190.1.1.142 255.255.255.0
gateway 190.1.1.100 forward
 

SSLドータカードはCSMのVIPが行う接続に対するパケットだけを受信するので、この機能はCSM-Sでは機能しません。この機能はSSLサービス モジュールで使用され、SSLサービス モジュールにより多くのトラフィックが流れるようにします。

ソフトウェア バージョンの情報

CSM-Sは、CSMとSSLサービス モジュールを組み合わせたものです。バージョン番号は、3つの部分で構成されます。

CSM-Sバージョン番号

CSMバージョン番号

SSLサービス モジュール バージョン番号

バージョン番号の形式は、次のようになります。

< CSM-Sバージョン > < CSMバージョン > < SSLサービス モジュール バージョン >

たとえば、CSM-Sの最初のソフトウェア リリースは次のように表示されます。

1.1(1) 4.1(3) 2.1(2

) 次の例では、バージョン番号が太字のテキストで強調されます。利用できるshow versionコマンドは2つあります。show versionコマンドは、スーパバイザ エンジンCLIおよびSSLドータカードCLIから利用できます。



tech-support processor 0コマンドは、CSMソフトウェア バージョン番号を表示します。
show moduleコマンドは、CSMとSSLが一緒になったソフトウェア バージョン番号を表示します。


次のような方法で、ソフトウェアのバージョン番号を表示できます。

ここでは、CSMバージョンを表示するために、スーパバイザ エンジンからテクニカル サポート情報を表示する例を示します。

Router# show module csm 4 tech-support processor 0
Software version: 4.1(3)
 

スーパバイザ エンジンから show module コマンドを使用する場合、次のようになります。

Router# show module
Mod Ports Card Type Model Serial No.
--- ----- -------------------------------------- ------------------ -----------
1 2 Catalyst 6000 supervisor 2 (Active) WS-X6K-SUP2-2GE SAD055104SU
2 2 Catalyst 6000 supervisor 2 (Hot) WS-X6K-SUP2-2GE SAL0702BJKF
3 3 MWAM Module WS-SVC-MWAM-1 SAD071602TZ
4 3 MWAM Module WS-SVC-MWAM-1 SAD071602UT
5 3 MWAM Module WS-SVC-MWAM-1 SAD07200176
7 0 Switching Fabric Module-136 (Active) WS-X6500-SFM2 SAL06355FRR
8 48 48 port 10/100 mb RJ-45 ethernet WS-X6248-RJ-45 SAD03080474
9 3 MWAM Module WS-SVC-MWAM-1 SAD0649019F
11 0 CSM with SSL WS-X6066-SLB-S-K9 SAD07380300
12 0 SLB Application Processor Complex WS-X6066-SLB-APC SAD061801NA
13 1 SSL daughter card WS-SVC-SSL-1 SAD070303G2
 
Mod MAC addresses Hw Fw Sw Status
--- ---------------------------------- ------ ------------ ------------ -------
1 0001.6415.ab56 to 0001.6415.ab57 3.2 7.1(1) 12.2(TETONS_ Ok
2 0006.d65c.5c78 to 0006.d65c.5c79 4.1 7.1(1) 12.2(TETONS_ Ok
3 0003.feab.9738 to 0003.feab.973f 2.0 7.2(1) 2.1(0.3b) Ok
4 0002.fcbe.8500 to 0002.fcbe.8507 2.0 7.2(1) 2.1(0.3b) Ok
5 0003.feab.80c8 to 0003.feab.80cf 2.0 7.2(1) 2.1(0.1b) Ok
7 0001.0002.0003 to 0001.0002.0003 1.2 6.1(3) 8.3(0.63)TET Ok
8 0060.09ff.f5c0 to 0060.09ff.f5ef 0.701 4.2(0.24)VAI 8.3(0.63)TET Ok
9 0005.9a3b.9de8 to 0005.9a3b.9def 0.304 7.2(1) 1.0(0.1) Ok
11 0003.feac.a958 to 0003.feac.a95f 1.7 1.1(1) Ok
12 00d0.d32f.03f8 to 00d0.d32f.03ff 1.5 3.1(6) Ok
13 0040.0bf0.1c04 to 0040.0bf0.1c0b 1.2 7.2(1) 2.1(0.59) Ok
 

次に、SSLドータカードCLIからSSLプロキシ バージョンを表示する例を示します。

ssl-proxy> show ssl-proxy version
Cisco Internetwork Operating System Software
IOS (tm) SVCSSL Software (SVCSSL-K9Y9-M), Version 12.2(14.6)SHK(0.28) INTERIM TEST SOFTWARE
Copyright (c) 1986-2004 by cisco Systems, Inc.
Compiled Tue 04-May-04 11:05 by integ
Image text-base: 0x00400078, data-base: 0x00B04000
 
ROM: System Bootstrap, Version 12.2(15)YS1 RELEASE SOFTWARE
 
ssl-proxy uptime is 0 minutes
System returned to ROM by power-on
System image file is "tftp://255.255.255.255/unknown"
AP Version 1.1(1) 4.1(1) 2.1(1)
 

設定の制約事項

SSLドータカードによって処理されるSSLフローは、CSMによってのみ処理されるフローです。SSLドータカードは、CSMによってロードバランシングされないフローをオフロードできません。

SSLドータカードに設定されるすべてのVLANは、CSMにも設定される必要があります。CSMに設定されていない場合、そのVLANに対するトラフィックはSSLドータカードに届きません。


) CSMおよびSSLドータカード間では、設定の確認が行われません。CSM部分の設定だけが終了すると、SSLドータカードがまだ設定されていなくてもローカル実サーバが動作可能な状態で表示されます。ローカル実サーバのステータスは、常に動作可能な状態になります。これらの実サーバはドータカードに設定されるので、常に利用できる状態とみなされます。


CSM-S動作の概要

特定のVLANの設定の場合、クライアントおよびサーバは、レイヤ2およびレイヤ3テクノロジーを使用して、CSM-Sを介して通信します(図1-3を参照)。単純なSLBでは、クライアントはクライアント側VLANに、サーバはサーバ側VLANに接続します。サーバおよびクライアントは異なるサブネット上に配置できます。レイヤ3ホップで1つまたは複数離れた位置にサーバを配置し、ルータを介してCSM-Sに接続することもできます。

クライアントはモジュールのVIPアドレスのいずれかに要求を送信します。CSM-Sはこの要求を応じることのできるサーバに転送します。サーバはさらに、CSM-Sに応答を転送し、CSM-Sがクライアントにその応答を転送します。

クライアント側およびサーバ側VLANが同じサブネット上にある場合は、CSM-Sをシングル サブネット(ブリッジ)モードで設定することができます。詳細については、「シングル サブネット(ブリッジ)モードの設定」を参照してください。

クライアント側およびサーバ側VLANが異なるサブネット上にある場合は、セキュア(ルータ)モードで動作するようにCSM-Sを設定できます。詳細については、「セキュア(ルータ)モードの設定」を参照してください。

冗長CSM-Sモジュールを使用して、セキュア(ルータ)モードまたはシングル サブネット(ブリッジ)モードのどちらでもフォールトトレラント構成を設定できます。詳細については、「フォールトトレランスの設定」を参照してください。

複数のVLANを使用して、シングル サブネット(ブリッジ)モードおよびセキュア(ルータ)モードを同じCSM-Sで共存させることができます。

図1-3 CSM-Sおよびサーバ

 

図1-4では、CSM-S環境のクライアントとサーバ間でトラフィックが送信される仕組みについて説明します。

図1-4 クライアントとサーバ間のトラフィック フロー

 


図1-4の番号は、次の作業の番号と対応しています。


URLを入力して情報を要求した場合、トラフィック フローは次のようになります。

1. URLを入力します(図1-4の例では、www.example.com)。

2. クライアントはDNSサーバにアクセスして、URLに関連付けられているIPアドレスを検索します。

3. DNSサーバはVIPのIPアドレスをクライアントに送信します。

4. クライアントはそのIPアドレス(CSM-S VIP)を使用して、HTTP要求をCSM-Sに送信します。

5. CSMはURLと要求を受信し、ロードバランス上の決定を行い、サーバを選択します。

たとえば、図1-4では、CSM-Sはwww.example.comサーバ プールからサーバ(Xサーバ)を選択し、そのVIPアドレスをXサーバのアドレスで置き換えて(directedモード)、トラフィックをXサーバに転送します。NATサーバ オプションがディセーブルの場合、VIPアドレスは変わりません(dispatchモード)。

6. CSM-SはNATを実行し、最終的にTCPシーケンス番号変換を行います。

SSLを統合したCSM-Sの動作

CSM-Sは、内蔵ドータカードで統合的なSSLのサポートを行うCSMであるので、ロードバランシングとSSLモジュールとの通信は、CSM-Sに対してローカルです。CSM-Sの構成は、CSMとSSLサービス モジュールの組み合わせになります。図1-5を参照してください。


) 仮想サーバがSSL処理に設定されており、モジュール上にVLANが設定されている場合にだけ、SSLサービスを利用することができます。


ドータカード間のすべてのパケットは、CSMを介してルーティングされます。

CSMハードウェアおよびSSLドータカードは疎結合ですが、CSMはローカルに接続されていることを認識した特別な実サーバとしてSSLドータカードを扱います。

図1-5 CSM-Sのハードウェア構成

 

ドータカードは、Cisco IOS Software Release 12.2(18)SXDがサポートするSSL Release 2.1を含むSSLリリースまでのSSLソフトウェア機能を実行します。CSM-Sのサポート対象機能のリストについては、「機能」を参照してください。

ソフトウェアはCSMおよびSSLドータカードの両方で独立して稼働します。CSM-Sソフトウェアを使用すると、SSLを設定し、ドータカード間のフローを処理できます。Cisco IOSソフトウェアは、Public Key Infrastructure(PKI;公開鍵インフラストラクチャ)をイネーブルにし、CSM-SがSSLデータ フローを処理するために証明書および鍵をロードおよび生成し、SSLソフトウェアを設定できるようにします。

SSL機能を設定するには、証明書管理ポートからドータカードにアクセスする必要があります。CSM-Sベースボードには、ドータカードの起動要求に応じて、IPアドレスおよびロードするSSLイメージを含む起動情報を提供するBOOTPサーバが含まれます。


) CSM-Sを初めて起動すると、時間が1970年1月1日から開始します。CSMとSSLドータカード(CSM-Sシステム)がアップの状態になると、スイッチ スーパバイザ エンジンの時間に同期します。


初起動時の時間の同期化条件によって証明書の期限が切れたことを示すSyslogメッセージがSSLドータカードのコンソールに表示される場合があります。スーパバイザ エンジンからクロックの同期化が行われると(Syslogメッセージの生成後、数秒以内に行われる)、CSM-Sがトラフィックを送れるようになります。

CSM-Sがトラフィックを送れるかどうかを判別するには、Router# show module csm slot # status コマンドを使用します。

show module csm slot # status コマンドを入力すると、2つのタイプのSyslogメッセージが表示されます。

1. モジュールがトラフィックを送ることができる場合は、次のメッセージが表示されます。

SLB Module is online in slot 4.
Configuration Download state: COMPLETE, SUCCESS
 

2. モジュールがトラフィックを送ることができない場合は、次のメッセージが表示されます。

SLB Module is offline.
Requires CSM module version 3.1.
 

CSM-Sの実行時の起動シーケンスは、次のとおりです。

1. CSM-Sが起動します。

2. CSM-Sがドータカードをリセットします。ドータカードがメモリ テストを実行します。

3. メモリ テストが完了すると、ドータカードのROMMONがBOOTP要求をCSM-Sに送信します。

4. CSM-Sは、MAC(メディア アクセス制御)アドレス、EOBC IPアドレス、およびドータカードのランタイム イメージをロードするフラッシュ ロケーションを含むBOOTP応答を送信します。

5. SSL Cisco IOSランタイムが開始すると、SSLコンソールがアクティブになります。

6. SSLソフトウェアは、CSMに時間要求を送信します。

7. CSM-Sは、オンライン状態にできることをスイッチ スーパバイザ エンジンに伝えます。

クライアント側の設定によるトラフィック フロー

図1-6では、ポート443でクライアントのトラフィックを受け入れるように、レイヤ4仮想サーバをCSMに設定する必要があります。この仮想サーバに関連付けられたサーバ ファームには、仮想サーバと同じVIPアドレスが設定され、ローカルとしてマーキングされる必要があります。仮想サーバをローカルとしてマーキングすることは、このサーバがSSLドータカード上にあることをCSMに示します。トラフィックをドータカードに正常に転送するために、テーブルが更新されます。

図1-6 CSM-Sのクライアント側の構成

 


図1-6の番号は、次の作業の番号と対応しています。


クライアント側の設定によるトラフィック フローは、次のとおりです。

1. クライアントのSYNフレームがCSMで受信され、SSL仮想サーバに一致すると、CSMはレイヤ4仮想サーバと同じように処理します。

2. 宛先の決定によって、この接続の後続のすべてのクライアント トラフィックがSSLドータカードに送られるように内部のCSMテーブルが設定されます。ドータカードからクライアントにトラフィックを送り返すために、リバース タプルも設定されます。SYNパケットが、処理するためにSSLドータカードに送られます。

3. SSLドータカードは、SYNフレームを処理し、接続用の内部テーブルを設定します。次に、SSLドータカードはSYN/ACKでクライアントに応答します。

4. SYN/ACKは、CSMによって受信され、リバース タプルで処理されます。次に、SYN/ACKがクライアントVLAN経由でクライアントに伝送されます。

次に、クライアント側のCSMの設定例を示します。

vlan 420 client
ip address 192.168.15.109 255.255.255.0
!
serverfarm SSL
nat server
no nat client
real 192.168.15.100 local
inservice
!
vserver V-SSL
virtual 192.168.15.200 tcp https
serverfarm SSL
persistent rebalance
inservice
 

次に、クライアント側のSSLドータカードの設定例を示します。

ssl-proxy service server_proxy
virtual ipaddr 192.168.15.100 protocol tcp port 443 secondary
server ipaddr 192.168.15.200 protocol tcp port 80
certificate rsa general-purpose trustpoint tier1_tp
inservice
ssl-proxy vlan 420
ipaddr 192.168.15.108 255.255.255.0
 

サーバ側の設定によるトラフィック フロー

SSLドータカードがSSL接続を終了する場合、SSLドータカードは要求に対応するバックエンド サーバへの接続を確立する必要があります。サーバは、ネットワーク内の実サーバ、またはCSMに設定された仮想サーバのどちらでも構いません。


) CSMおよびSSLドータカード間では、設定の確認が行われません。CSMとSSLドータカードが正しく設定されていることを確認し、SSLドータカードがレイヤ7のロードバランシング用にCSMの仮想サーバを使用できるようにする必要があります。


バックエンド サーバとしてのCSMの設定

図1-7に、バックエンド サーバがレイヤ7仮想サーバである場合の構成を示します。VS2の仮想サーバは、SSLドータカードのssl-proxyサーバ設定に一致するように設定されます。

図1-7 CSM-Sのサーバ側の構成(バックエンド サーバとしてCSMを設定する場合)

 


図1-7の番号は、次の作業の番号と対応しています。


サーバ側の設定によるトラフィック フロー(バックエンド サーバとしてCSMを設定する場合)は、次のとおりです。

1. SSLドータカードは、ssl-proxyサービスのターゲット アドレスにTCP SYNフレームを伝送します。

2. CSMは、VS-HTTPに送信されたSYNに対してSYN/ACKでクライアントIPアドレスに応答し、SYN/ACKがSSLドータカードに送信されます。

3. SSLドータカードは、CSM仮想サーバVS-HTTPにTCP ACKを送信して、TCPハンドシェイクを完了します。

4. SSLドータカードは、復号化されたHTTP GET要求をCSM仮想サーバVS-HTTPに送信します。CSMがこの要求を受信すると、CSMはこのCookie値を使用して、実際の実サーバを判別します。

5. CSMは、クライアントとして実サーバにTCP SYNを送信します。

6. 実サーバは、TCP SYN/ACKで応答します。

7. CSMは、システムのレイヤ5およびレイヤ7のフローに対して行う動作と同じ動作を継続します。

次に、サーバ側のCSMの設定例を示します。

vlan 421 server
ip address 192.168.17.109 255.255.255.0
!
serverfarm SLB
nat server
no nat client
real 192.168.17.13
inservice
!
vserver VS-HTTP
virtual 192.168.15.200 tcp www
serverfarm SLB
persistent rebalance
inservice
 

次に、サーバ側のSSLドータカードの設定例を示します。

ssl-proxy service server_proxy
virtual ipaddr 192.168.15.100 protocol tcp port 443 secondary
server ipaddr 192.168.15.200 protocol tcp port 80
certificate rsa general-purpose trustpoint tier1_tp
inservice

バックエンド サーバとしての実サーバの設定

バックエンド サーバとして実サーバを設定する場合、SSLドータカードには、ssl-proxyサーバ アドレスとして実サーバのIPアドレスが設定されます。トラフィックの送信元は実サーバとなり、CSMがSSLドータカードからのトラフィックを実サーバとの間でやりとりします。

図1-8に表示されるように、CSMには、プレディクタ転送オプションを設定したサーバ ファームを使用して、仮想サーバSSL-PRVSが設定されています。実サーバのIPアドレスにトラフィックを正常に転送するには、CSMは可能なすべての実サーバに対してAddress Resolution Protocol(ARP)を実行する必要があります。ARP解決が正しく実行されるには、サーバ ファームのSSL実サーバに可能なすべての実サーバのIPアドレスが含まれており、CSM上の仮想サーバに関連付けられないようにする必要があります。ヘルス プローブを実サーバに関連付けることもできます。

図1-8 CSM-Sのサーバ側の構成(バックエンド サーバとして実サーバを設定する場合)

 


図1-8の番号は、次の作業の番号と対応しています。


サーバ側の設定によるトラフィック フロー(バックエンド サーバとして実サーバを設定する場合)は、次のとおりです。

1. SSLドータカードがssl-proxyサービスのサーバ アドレスにTCP SYNフレームを伝送し、仮想サーバSSL-PRVSに照合するために、CSMでそのフレームが受信されます。

2. ロードバランシングの決定が行われ、プレディクタ転送のサーバ ファーム設定に基づいて、フレームがサーバに転送されます。サーバからのSSLドータカード宛てのトラフィックを取得するために、リバース タプルがプログラムされます。フレームがサーバVLAN経由で伝送されます。

3. サーバVLANでSYN/ACKフレームが受信されると、リバース タプル設定と照合し、SSLドータカードであるクライアントにフレームが送り返されます。

4. SYN/ACKがSSLドータカードに送信されます。

vlan 421 server
ip address 192.168.17.109 255.255.255.0
serverfarm SSLPF
nat server
no nat client
predictor forward
vserver SSL-PFVS
virtual 0.0.0.0 0.0.0.0 tcp 8888
vlan local
serverfarm SSLPF
persistent rebalance
inservice
 

次に、クライアント側とサーバ側のSSLドータカードの設定例を示します。

ssl-proxy service server_proxy
virtual ipaddr 192.168.15.100 protocol tcp port 443 secondary
server ipaddr 192.168.17.13 protocol tcp port 8888
certificate rsa general-purpose trustpoint tier1_tp
inservice
ssl-proxy vlan 420
ipaddr 192.168.15.108 255.255.255.0
ssl-proxy vlan 421
ipaddr 192.168.17.108 255.255.255.0