Servicios de redes de aplicaciones : Switches de servicios de contenido Cisco CSS de la serie 11500

Ejemplo de la configuración SSL de extremo posterior CSS11500

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Content Services Switch (CSS) 11500 soporta módulos de aceleración internos de Secure Socket Layer (SSL), que se pueden utilizar para descifrar el tráfico cliente para mejorar las decisiones de balanceo de carga (SSL de front-end/Terminación SSL). El uso de CSS para descargar SSL de los servidores aumenta significativamente el rendimiento del servidor y permite que el tráfico se distribuya mejor a las aplicaciones backend. El CSS11500 puede cifrar de nuevo las conexiones terminadas SSL y enviar el tráfico cifrado a los servidores SSL backend (SSL backend). Esto es necesario para entornos que necesiten comunicaciones seguras del cliente al servidor y balanceo de cargar de servidor avanzado, como cuando se utilizan cookies para mantener la persistencia de sesión. Las capacidades SSL integradas permiten que CSS tome decisiones con reconocimiento del contenido para garantizar que los datos se envíen a la aplicación correcta, al tiempo que se mantiene el cifrado de datos a través de la red.

Este documento describe el flujo de tráfico SSL del cliente al CSS y al servidor SSL final. Este documento proporciona las configuraciones y diversas situaciones de implementación.

prerrequisitos

Requisitos

Antes de utilizar esta configuración, asegúrese de que cumple con estos requisitos:

  • conceptos básicos de Secure Socket Layer/Transport Layer Security (SSL/TLS)

  • configuración básica del CSS

  • acceso a las claves de los servidores Web y Certificados de los servidores Web existentes SSL

  • autorización de cambiar la configuración de SSL en sus servidores

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Estructura 206 de la WebNS versión 7.20

  • CSS11506

  • Verisign en el certificado del sitio

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Productos Relacionados

Esta configuración también se puede utilizar con las siguientes versiones de hardware y software:

  • CSS11501 con SSL o CSS incorporado 11503/506 con un módulo SSL CSS5-SSL-K9 instalado.

  • Versión de software 7.20 de WebNS y arriba.

Convenciones

Para obtener más información sobre las convenciones del documento, consulte las Convenciones de Consejos Técnicos de Cisco.

Configurar

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Para obtener información adicional sobre los comandos que se utilizan en este documento, use la Command Lookup Tool (solo para clientes registrados).

Diagrama de la red

En este documento, se utiliza esta configuración de red:

/image/gif/paws/47390/backend_ssl.jpg

Configuraciones

Este documento usa esta configuración:

  • CSS11506 (NWS-5-9)

Trafique del cliente viene y golpea la regla delantera contenta. Esta regla es el puerto 443. Esta regla entonces carga las balanzas el tráfico al ssl_front del servicio. Este servicio entonces se refiere a la lista del proxy SSL.

La lista del proxy SSL define la negociación SSL con el cliente y establece a una sesión SSL segura entre el CSS y el cliente. La configuración define la dirección IP del proxy SSL, la clave privada, y el certificado encadenado/solo para utilizar. También define la regla de contenido del texto claro que usted va a golpear.

La regla de contenido referida está contenta detrás. Debido al hecho de que estos datos ahora estén en el texto claro, usted puede ver los encabezados HTTP. Para mantener el stickyness a un servidor, utilice las cookies ArrowPoint. El CSS entonces toma una decisión del Equilibrio de carga basada en la cookie ArrowPoint si el cliente ha recibido ya uno o vía el algoritmo subyacente del Equilibrio de carga si no tienen. En este caso, el Switch es carga equilibrada para mantener el backend1.

La petición entonces se envía de mantener el backend1. Este servicio se configura como tipo SSL-accel-backend. No hay servidor físico aquí.

La lista del proxy SSL se refiere otra vez, y de la configuración, usted puede ver la configuración de servidor de extremo posterior. Esta configuración es muy similar al descifrado SSL en el extremo frontal pero en el revés. Usted puede tomar el texto claro y convertirlo al SSL. Usted puede también definir una cifra para utilizar en los saludos del cliente.

La petición es enviado al servidor físico cifrada.

CSS11506 (NWS-5-9)
nws-5-2# sh run
 !Generated on 01/09/2004 01:16:00
 !Active version: sg0720206
 configure
 !*************************** GLOBAL ***************************
   cdp run 

 ssl associate rsakey privatekey myprivatekey 
 ssl associate cert certificate mynewcert.pem 


!--- Define the SSL certificate and key files to use for the Web site 
!--- These are for the client to SSL module connection.


 ip route 0.0.0.0 0.0.0.0 10.66.86.17 1 


 !************************* INTERFACE *************************
 interface 3/1
 bridge vlan 41 

 !************************** CIRCUIT **************************
 circuit VLAN1

 ip address 10.1.1.1 255.255.255.0

 circuit VLAN41

 ip address 10.66.86.29 255.255.255.240 

 !*********************** SSL PROXY LIST ***********************
 ssl-proxy-list my_secure_site 
 ssl-server 1 
 ssl-server 1 rsakey privatekey 
 ssl-server 1 rsacert certificate 
 ssl-server 1 cipher rsa-with-rc4-128-md5 10.1.1.10 81 
 ssl-server 1 vip address 10.66.86.28


!--- SSL server configuration. This is for the client to the SSL
!--- module connection.


 backend-server 10

 
!--- Backend SSL configuration. These specify the parameters for 
!--- the connection from the CSS to the backend servers. 


 backend-server 10 ip address 10.1.1.20 
 backend-server 10 port 81 


!--- This defines the clear text IP and port that are 
!--- used to encrypt data headed for the backend servers.

 backend-server 10 server-ip 10.1.1.20 
 backend-server 10 server-port 8003


!--- This is the physical server. As there is no server-port
!--- configured, the default 443 will be used.


 backend-server 10 cipher rsa-export-with-rc4-40-md5 


!--- The CSS behaves as a client. Specify what SSL cipher 
!--- you are going to present to the backend server in the SSL 
!--- handshake client hello packet.


 backend-server 20 
 backend-server 20 ip address 10.1.1.21 
 backend-server 20 port 81 
 backend-server 20 server-ip 10.1.1.21 
 backend-server 20 server-port 8003
   backend-server 20 cipher rsa-export-with-rc4-40-md5 

 backend-server 30 
 backend-server 30 ip address 10.1.1.22 
 backend-server 30 port 81 
 backend-server 30 server-ip 10.1.1.22
 backend-server 30 server-port 8003 
 backend-server 30 cipher rsa-export-with-rc4-40-md5 
 active 

 !************************** SERVICE **************************

 service ssl_front 
 slot 6 
 type ssl-accel 
 keepalive type none 
 add ssl-proxy-list my_secure_site 
 active 

 service backend1 
 ip address 10.1.1.20 
 type ssl-accel-backend 
 port 81
 add ssl-proxy-list my_secure_site 
 keepalive port 8003 
 keepalive type ssl 
 protocol tcp 
 active 

 service backend2 
 ip address 10.1.1.21 
 type ssl-accel-backend 
 port 81
 keepalive port 8003 
 add ssl-proxy-list my_secure_site 
 keepalive type ssl 
 protocol tcp 
 active 

 service backend3 
 ip address 10.1.1.22 
 protocol tcp 
 port 81
 keepalive port 8003 
 keepalive type ssl 
 type ssl-accel-backend 
 add ssl-proxy-list my_secure_site 
 active 


 !*************************** OWNER ***************************
 owner my_secure_site

 content back 
 protocol tcp 
 port 81
 url "/*" 
 vip address 10.1.1.10 
 add service backend1 
 add service backend2 
 add service backend3 
 advanced-balance arrowpoint-cookie 
 active 

 content front 
 protocol tcp 
 vip address 10.66.86.28 
 application ssl 
 add service ssl_front 
 port 443 
 active 

Verificación y resolución de problemas

En esta sección encontrará información que puede utilizar para solucionar problemas de configuración. La columna izquierda es un anuncio del ciclo vital de una sesión. La columna derecha es un anuncio de los comandos show y de las herramientas que pueden ser utilizados para marcar el estado de cada parte del ciclo vital.

Ciclo vital lógico Comandos/técnicas (ejemplos abajo)
Cliente Traza de sniffer de la máquina del cliente. Busque el way handshake TCP 3 y los saludos al cliente SSL y los saludos del servidor.
Frente de la regla de contenido regla de la demostración — Busque la regla como siendo activo. Intente hacer ping el direccionamiento VIP de la regla; esto debe responder. Tome una traza de sniffer en el link que conecta con el CSS en el lado del cliente.
Mantenga el ssl_front muestre el resumen del servicio — Aseegurese el servicio está vivo. muestre el ssl_front del servicio — Aseegurese el servicio está vivo y el my_secure_site del proxy SSL es mencionado y activo. Marque para ver si las conexiones locales totales están incrementando.
My_secure_site de la lista del proxy SSL lista SSL del proxy de la demostración — Aseegurese el estado es activo. muestre el my_secure_site de la lista SSL del proxy — Proporciona la información de la configuración. muestre las estadísticas SSL — Aseegurese allí no son el ningún incrementar de los errores. Vea el ejemplo abajo. muestre los flujos SSL — Visualiza los flujos actuales.
Parte posterior de la regla de contenido regla de la demostración — Busque la regla como siendo activo.
Backend1 de los servicios o backend2 o backend3 muestre el resumen del servicio — Aseegurese el servicio está vivo. muestre el nombre del servicio del servicio — Aseegurese que por lo menos un servicio está vivo y el my_secure_site del proxy SSL es mencionado y activo. Marque para ver si las conexiones locales totales están incrementando.
My_secure_site de la lista del proxy SSL lista SSL del proxy de la demostración — Aseegurese el estado es activo. muestre el my_secure_site de la lista SSL del proxy — Proporciona la información de la configuración. muestre las estadísticas SSL — Aseegurese allí no son el ningún incrementar de los errores. Vea el ejemplo abajo. muestre los flujos SSL — Visualiza los flujos actuales.
Servidor Traza de sniffer de la máquina del cliente. Busque el way handshake TCP 3 y los saludos al cliente SSL y los saludos del servidor. Marque si el servidor está escuchando en el SSL. Publique el comando port netstat -a para Windows, y el comando netstat -l para las máquinas de Unix/de Linux.

Verifique y los ejemplos del comando de Troubleshooting

Esta sección proporciona la información de Troubleshooting relevante a los comandos enumerados en el ciclo vital antedicho y qué a buscar en cada comando. Las secciones en negrita deben ser marcadas si muestran un diverso estado.

‘mostrar regla’

Name:                    back   Owner:          my_secure_site
State:    Active   Type:                    HTTP
Balance:          Round Robin   Failover:                  N/A
Persistence:          Enabled   Param-Bypass:         Disabled
Session Redundancy:  Disabled
IP Redundancy:    Not Redundant
L3:         10.1.1.10   


!--- Theses lines indicate the configuration of the rule.


L4:         TCP/81
Url:        /*          


!--- This indicates a Layer 7 rule, where the CSS spoofs the
!--- connection.

Redirect: ""
TCP RST client if service unreachable: Disabled
Rule Services:
 1: backend1-Alive 

>>>>>>>>

Name:                   front   Owner:          my_secure_site
State:                 Active   Type:       SSL
Balance:          Round Robin   Failover:                  N/A
Persistence:          Enabled   Param-Bypass:         Disabled
Session Redundancy:  Disabled
IP Redundancy:    Not Redundant
L3:         10.66.86.28  


!--- Theses lines indicate the configuration of the rule.

L4:         TCP/443
Url:                             


!--- There is no configuration, so this is a Layer 4 rule.

Redirect: ""
TCP RST client if service unreachable: Disabled
Rule Services:
 1: ssl_front-Alive 

show service summary

Service Name                     State     Conn  Weight  Avg   State
                                                         Load  Transitions

backend1                         Alive         0      1     2            9
backend2                         Down          0      1   255            0
backend3                         Down          0      1   255            0
ssl_front                        Alive         0      1     2            4

ssl_front sh del servicio

Name: ssl_front         Index: 4     
  Type: Ssl-Accel        State: Alive
  Rule ( 0.0.0.0  ANY  ANY )
  Session Redundancy: Disabled
  SSL-Accel slot: 6    


 !--- Make sure this is the slot where the SSL module is installed.

  Session Cache Size: 10000 
  Redirect Domain:  
  Redirect String:  
  Keepalive: (NONE   5   3   5 )
  Last Clearing of Stats Counters: 01/28/2004 22:29:34
  Mtu:                       1500        State Transitions:            4


 !--- Connection counters should be increasing.

  Total Local Connections:   576         Total Backup Connections:     0
  Current Local Connections: 0           Current Backup Connections:   0
  Total Connections:         576         Max Connections:              65534
  Total Reused Conns:        0         
  Weight:                    1           Load:                         2
  DFP:                       Disable     

  
SSL Proxy Lists:
   1: my_secure_site-Active

muestre la lista SSL del proxy

Ssl-Proxy-List Table Entries (1 Entries)
    1) Name:  my_secure_site
       State:  Active
       

!--- The number of services pointing to the SSL proxy list. This 
!--- includes the back-end services as well.

       Services Associated:  4  

muestre el my_secure_site de la lista SSL del proxy

- Ssl-proxy-list Entries for list my_secure_site -

Number of SSL-Servers:  1 
   Ssl-Server 1 -
     
     Vip address: 10.66.86.28
     Vip port:  443
     RSA Certificate:  certificate  
     

     !--- This is the certificate file associated for the SSL site.

     RSA Keypair:      privatekey   
     

     !--- This is the private key file associated for the SSL site.

     DSA Certificate:  none
     DSA Keypair:      none
     DH Param:         none
     Session Cache Timeout:         300     SSL Version:  SSL and TLS
     Re-handshake Timeout:          0       Re-handshake Data:            0
     Virtual TCP Inactivity TO:     240     Server TCP Inactivity TO:     240
     Virtual TCP Syn Timeout:       30      Server TCP Syn Timeout:       30
     Virtual TCP Nagle Algorithm:   enable  Server TCP Nagle Algorithm:   enable
     TCP Receive Buffer:            32768   TCP Transmit Buffer:          65536
     SSL Shutdown Procedure:        normal 

     Cipher Suite(s)               Weight     Port     Server
     ---------------               ------     ----     ------
     rsa-with-rc4-128-md5             1       81       10.1.1.10

    

    !--- This is the cipher suite used in the server SSL hello back to the client.
    !--- The clear text IP address and port of the decypted traffic.


     URL Rewrite Rule(s) - None
         
Number of Ssl Proxy backend-servers:  3 
   Backend-server 10 -


!--- This is the back-end server clear text IP and port.

     
     IP address: 10.1.1.20
     Port:  81
     

!--- This is the back-end server SSL server IP and port.

     
     Server IP address: 10.1.1.20
     Server port:  8003
     Session Cache Timeout:        300     SSL Version:  SSL and TLS
     Re-handshake Timeout:         0       Re-handshake Data:            0
     Virtual TCP Inactivity TO:    240     Server TCP Inactivity TO:     240
     Virtual TCP Syn Timeout:      30      Server TCP Syn Timeout:       30
     Virtual TCP Nagle Algorithm:  enable  Server TCP Nagle Algorithm:   enable
     TCP Receive Buffer:           32768   TCP Transmit Buffer:          65536

     Cipher Suite(s)               Weight    
     ---------------               ------    
     rsa-export-with-rc4-40-md5       1      

    
 
!--- This is the cipher suite used in the client hello to the SSL server.
!--- In this case, the SSL module is encypting the traffic and acting as 
!--- a client.


   Backend-server 20 -
     IP address: 10.1.1.21
     Port:  81
     Server IP address: 10.1.1.21
     Server port:  8003
     Session Cache Timeout:        300     SSL Version:  SSL and TLS
     Re-handshake Timeout:         0       Re-handshake Data:            0
     Virtual TCP Inactivity TO:    240     Server TCP Inactivity TO:     240
     Virtual TCP Syn Timeout:      30      Server TCP Syn Timeout:       30
     Virtual TCP Nagle Algorithm:  enable  Server TCP Nagle Algorithm:   enable
     TCP Receive Buffer:           32768   TCP Transmit Buffer:          65536

     Cipher Suite(s)               Weight    
     ---------------               ------    
     rsa-export-with-rc4-40-md5       1      

   Backend-server 30 -
     IP address: 10.1.1.22
     Port:  81
     Server IP address: 10.1.1.22
     Server port:  8003
     Session Cache Timeout:        300     SSL Version:  SSL and TLS
     Re-handshake Timeout:         0       Re-handshake Data:            0
     Virtual TCP Inactivity TO:    240     Server TCP Inactivity TO:     240
     Virtual TCP Syn Timeout:      30      Server TCP Syn Timeout:       30
     Virtual TCP Nagle Algorithm:  enable  Server TCP Nagle Algorithm:   enable
     TCP Receive Buffer:           32768   TCP Transmit Buffer:          65536

     Cipher Suite(s)               Weight    
     ---------------               ------    
     rsa-export-with-rc4-40-md5       1      

muestre las estadísticas SSL

SSL Acceleration Statistics
Component: SSL Proxy Server   Slot: 6
     Count        Description
---------------   -----------
            
            576   Handshake started for incoming SSL connections
            576   Handshake completed for incoming SSL connections


!--- These are the SSL handshake statistics for the client to CSS connection.

            
            560   Handshake started for outgoing SSL connections
            560   Handshake completed for outgoing SSL connections


!--- These are the SSL handshake stats for the CSS to backend servers.

             
             12   Active SSL flows high water mark


!--- This is the maximum number of active SSL flows.


SSL Acceleration Statistics
Component: Crypto   Slot: 6
     Count        Description
---------------   -----------
             14   RSA Private
              3   RSA Public
              0   DH Shared
              0   DH Public
              0   DSA Sign
              0   DSA Verify
              0   SSL MAC
          7,515   TLS HMAC
              0   3DES
          7,918   ARC4
         69,876   HASH
              
              0   RSA Private Failed
              0   RSA Public Failed
              0   DH Shared Failed
              0   DH Public Failed
              0   DSA Sign Failed
              0   DSA Verify Failed
              0   SSL MAC Failed
              0   TLS HMAC Failed
              0   3DES Failed
              0   ARC4 Failed
              0   HASH Failed
              0   Hardware Device Not Found
              0   Hardware Device Timed Out
              0   Invalid Crypto Parameter
              0   Hardware Device Failed
              0   Hardware Device Busy
              0   Out Of Resources
              0   Cancelled -- Device Reset


!--- At this point, any errors need to be investigated.


SSL Acceleration Statistics
Component: SSL   Slot: 6
     Count        Description
---------------   -----------
             14   RSA Private Decrypt calls
              3   RSA Public Decrypt calls
              0   DH Compute key calls
              0   DH Generate key calls
              0   DSA Verify calls
              0   DSA Sign calls
         34,220   MD5 raw hash calls
         34,220   SHA1 raw hash calls
              0   3-DES calls
          7,918   RC4 calls
              0   SSL MAC(MD5) calls
              0   SSL MAC(SHA1) calls
          7,515   TLS MAC(MD5) calls
              0   TLS MAC(SHA1) calls
              0   Level 2 Alerts Received
            725   Level 1 Alerts Received
              0   Level 2 Alerts Sent
          1,134   Level 1 Alerts Sent
      
      1,200,211   SSL received bytes from TCP
      1,155,278   SSL transmitted bytes to TCP
      1,006,669   SSL received Application Data bytes
      1,970,856   SSL transmitted Application Data bytes
        124,497   SSL received non-application data bytes
        152,147   SSL transmitted non-application data bytes
  

!--- These are the traffic stats for the SSL module; they should be incrementing.

              0   RSA Private Decrypt failures
              0   MAC failures for packets received
              0   Re-handshake TimerAlloc failed
              0   Blocks SSL could not allocate
              0   Dup Blocks SSL could not allocate
              0   Too many blocks for Block2AccelFragmentArray
              0   Too many blocks in a SSL message

muestre los flujos SSL

SSL Acceleration Flows for slot 6
        Virtual  Port TCP Proxy Flows  Active SSL Flows  SSL Flows in Handshake
---------------  ---- ---------------  ----------------  ----------------------
    
    10.66.86.28   443               6                 2                       0
      10.1.1.20    81               6                 2                       0
      10.1.1.22    81               0                 0                       0
      10.1.1.21    81               0                 0                       0


!--- This is the number of active flows in the CSS. These can be difficult to see on a 
!--- box with little load.

muestre el backend1 del servicio

Name: backend1          Index: 1     
  
  Type: Ssl-Accel-Backend State: Alive
  Rule ( 10.1.1.20  TCP  81 )
  Session Redundancy: Disabled
  Redirect Domain:  
  Redirect String:  
  Keepalive: (SSL-8003   5   3   5 )
  Last Clearing of Stats Counters: 01/28/2004 22:29:34
  Mtu:                       1500        State Transitions:            9
  Total Local Connections:   689         Total Backup Connections:     0
  Current Local Connections: 0           Current Backup Connections:   0
  Total Connections:         689         Max Connections:              65534
  Total Reused Conns:        0         
  Weight:                    1           Load:                         2
  DFP:                       Disable     

  
SSL Proxy Lists:
   1: my_secure_site-Active

Información de solicitud de servicio TAC

Antes de abrir una solicitud de servicio del Centro de Asistencia Técnica (TAC), recopile esta información:

  1. Usando el ciclo vital arriba, recolecte todos los comandos mencionados y agrúpelos por el paso del ciclo vital.

  2. Proporcione la salida del comando script play showtech.

  3. Proporcione un Diagrama de topología detallado.

  4. Proporcione las trazas de sniffer del lado del cliente del CSS y del lado del servidor. Esto es opcional, pero puede acortar el tiempo de resolución.

  5. Si proporciona a las trazas de sniffer, identifique la dirección IP de los clientes.


Información Relacionada


Document ID: 47390