Интерфейсы и модули Cisco : Сервисный модуль SSL Cisco Catalyst серии 6500

Пример настройки модуля SSL с CSM в режиме моста

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв


Содержание


Введение

Этот документ предоставляет пример конфигурации для обработки Трафика HTTPS с Модулем уровня защищенных сокетов (SSLM) и распределением нагрузки дешифрованного трафика с Модулем коммутатора контента (CSM).

В данном примере CSM настроен в мостовом режиме. Клиентская VLAN и сервер виртуальной локальной сети совместно используют тот же IP-адрес. Тот же виртуальный IP - адрес также настроен на CSM и на SSLM. Это требует некоторого особого внимания, которое вы видите позже в этом документе.

Перед началом работы

Требования

Прежде, чем делать попытку этой конфигурации, гарантируйте соответствие этим требованиям:

  • Модуль SSL доступен через консоль или Telnet.

Используемые компоненты

Сведения в документе приведены на основе данных версий аппаратного и программного обеспечения.

  • Версия CSM 3.x или выше

  • Версия модуля SSL 2.1

Условные обозначения

Дополнительные сведения об условных обозначениях в документах см. в Условные обозначения технических терминов Cisco.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Это - описание пути трафика на основе схемы сети ниже:

  1. Подключение HTTPS открыто клиентом 192.168.11.41 к IP-адресу vserver 192.168.21.246 на порту 443.

  2. Трафик передан MSFC к CSM на VLAN 50.

  3. Трафик поражает виртуальный сервер CSM SSL 21 (см. конфигурацию), и с балансировкой нагрузки между модулем SSL (в этом случае, только один). Только MAC-адреса модифицируются; IP-адреса не изменены.

  4. Модуль SSL дешифрует Запрос HTTPS от клиента и открывает соединение HTTP с VIP CSM 192.168.21.246 на порту 80.

  5. CSM балансирует нагрузку этого соединения с одним из серверов.

  6. Ответ сервера передается CSM.

  7. CSM вперед ответ на SSLM.

  8. SSLM шифрует трафик от сервера, и вперед этого клиенту через CSM.

Схема сети

В этом документе использованы параметры данной сети

/image/gif/paws/59741/csm_ssl_transparent.jpg

Конфигурации

В данном документе используется следующая конфигурация:

msfc1#show running-config
Building configuration...
 .


!--- On the MSFC, you need to configure the VLANs that are
!--- used by the SSL module. This automatically sets up the 
!--- trunk between the Cat6k and the SSLM.

ssl-proxy module 1 allowed-vlan 60,499-501


!--- This is the CSM configuration.

module ContentSwitchingModule 4 
 vlan 50 client


!--- This is the VLAN between MSFC and CSM. This VLAN is bridged 
!--- by the CSM with the server VLAN 500.

  ip address 192.168.20.97 255.255.254.0
  gateway 192.168.21.97
!
 vlan 500 server
  ip address 192.168.20.97 255.255.254.0
!
 vlan 60 server


!--- This is the VLAN between CSM and SSLM.

  ip address 192.168.60.1 255.255.255.0
  alias 192.168.60.254 255.255.255.0
!
 serverfarm MYLINUX


!--- These are the HTTP servers.

  nat server


!--- A NAT server is required to translate the VIP address to the 
!--- server IP address.

  no nat client
  real 192.168.21.3
   inservice
  real 192.168.21.4
   inservice
!
serverfarm SSLACC


!--- This is the SSL module serverfarm. You can list more than one module 
!--- here.

  no nat server


!--- You do not want to NAT the server IP address because the SSLM uses 
!--- the same VIP as the CSM.

  no nat client
  real 192.168.60.2
   inservice


!--- This is the SSLM interface IP address.

!
 vserver SSL21


!--- The vserver handles the HTTPS traffic from the client.

  virtual 192.168.21.246 tcp https
  vlan 50


!--- The vlan 50 command limits the access to this VIP
!--- to traffic coming from the MSFC vlan 50.

  serverfarm SSLACC


!--- You need to link the SSL modules to this vserver.

  no persistent rebalance


!--- HTTPS traffic cannot be rebalanced due to encryption.

  inservice
!     
 vserver WWW21


!--- The vserver handles HTTP traffic from VLAN 60.
!--- This is the decrypted traffic forwarded by the SSLM.

  virtual 192.168.21.246 tcp www


!--- You can reuse the same VIP address, but a different TCP port.

  vlan 60
  serverfarm MYLINUX


!--- You can link the servers to this VIP.

  persistent rebalance


!--- Persistent rebalance is possible for HTTP traffic.

  inservice
!
interface Vlan499


!--- This is the MSFC interface to the clients.

 ip address 192.168.11.97 255.255.254.0
!
interface Vlan50


!--- This is the MSFC interface to the CSM.

 ip address 192.168.21.97 255.255.254.0
!

Это - конфигурация SSLM:

ssl-proxy#sho run
Building configuration...

Current configuration : 23095 bytes
!
version 12.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname ssl-proxy
!
logging queue-limit 100
enable password ww
!
spd headroom 512
ip subnet-zero
ip tftp source-interface Ethernet0/0.499
ip domain name cisco.com
!
!
ssl-proxy service ssl21  
 virtual ipaddr 192.168.21.246 protocol tcp port 443 secondary


!--- The keyword secondary is necessary since the VIP address
!--- is not part of any VLAN configured on the SSLM.

 server ipaddr 192.168.60.254 protocol tcp port 80


!--- The server IP address is the alias IP address of the CSM.

 certificate rsa general-purpose trustpoint stefano
 no nat server


!--- You need to disable server NAT; this is traffic that is forwarded back
!--- to the CSM MAC address with the VIP address as the destination.

 trusted-ca ca-servidor-pool
 inservice
ssl-proxy vlan 60 
 ipaddr 192.168.60.2 255.255.255.0
 gateway 192.168.60.254
!
crypto ca trustpoint stefano
 crl optional
 rsakeypair stefano
!
crypto ca certificate chain stefano
 certificate 02
 certificate ca 00
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.60.254
no ip http server
no ip http secure-server
!
!         
no cdp run
!
line con 0
 exec-timeout 0 0
line 1 3
 no exec
 transport input all
 flowcontrol software
line vty 0 4
 password ww
 login
!
end

Проверка.

В данном разделе содержатся сведения о проверке работы конфигурации.

  • покажите mod csm X vserver, подробность name name — выполняет эту команду, чтобы проверить, что трафик поражает vserver. Удостоверьтесь, что пакеты получены от клиента и сервера обоих направлений. Если вы не видите соответствий, попытайтесь пропинговать VIP. Удостоверьтесь, что состоянием VIP является OPERATIONAL. Если вы не видите пакеты сервера, проверьте подключение между CSM и SSLM.

    msfc1#sho mod csm 4 vser name ssl21 det
    SSL21, type = SLB, state = OPERATIONAL, v_index = 21
      virtual = 192.168.21.246/32:443 bidir, TCP, service = NONE, advertise = FALSE
      idle = 3600, replicate csrp = none, vlan = 50, pending = 30, layer 4
      max parse len = 2000, persist rebalance = TRUE
      ssl sticky offset = 0, length = 32
      conns = 0, total conns = 2
      Default policy:
        server farm = SSLACC, backup = <not assigned>
        sticky: timer = 0, subnet = 0.0.0.0, group id = 0
      Policy          Tot matches  Client pkts  Server pkts
      -----------------------------------------------------
      (default)       2            18           12   
    msfc1#sho mod csm 4 vser name www21 det
    WWW21, type = SLB, state = OPERATIONAL, v_index = 22
      virtual = 192.168.21.246/32:80 bidir, TCP, service = NONE, advertise = FALSE
      idle = 3600, replicate csrp = none, vlan = 60, pending = 30, layer 4
      max parse len = 2000, persist rebalance = TRUE
      ssl sticky offset = 0, length = 32
      conns = 0, total conns = 2
      Default policy:
        server farm = MYLINUX, backup = <not assigned>
        sticky: timer = 0, subnet = 0.0.0.0, group id = 0
      Policy          Tot matches  Client pkts  Server pkts
      -----------------------------------------------------
      (default)       2            11           7    
  • покажите, что mod csm X ведет подробность — выполняют эту команду, чтобы проверить, что пакеты замечены по клиенту и серверу. Сбой для наблюдения пакетов от сервера мог быть индикацией, что сервер имеет неправильный шлюз по умолчанию, и трафик обходит CSM на адресе возврата.

    Эта команда проверяет, что существуют соединения на CSM. В данном примере вы видите, что клиент 192.168.11.41 открыл соединение от порта TCP 1741 к VIP 192.168.21.246:443 на VLAN 50. Этот трафик был передан с IP-адресом, который не был изменен (никакой туземный сервер и никакой клиент NAT) к SSLM. SSLM открыл соединение HTTP от имени клиента к vserver www21, и CSM сбалансировал нагрузку соединения с сервером 192.168.21.4.

    msfc1#sho mod csm 4 conn det
    
        prot vlan source                destination           state       
    ----------------------------------------------------------------------
    In  TCP  50   192.168.11.41:1741      ESTAB       
    Out TCP  60   192.168.21.246:443    192.168.11.41:1741    ESTAB       
        vs = SSL21, ftp = No, csrp = False
    
    In  TCP  60   192.168.11.41:1741    192.168.21.246:80     ESTAB       
    Out TCP  500  192.168.21.4:80       192.168.11.41:1741    ESTAB       
        vs = WWW21, ftp = No, csrp = False
    
  • покажите имя сервиса ssl-proxy — эта команда модуля SSL очень важна. Эта команда предоставляет статус сервиса SSL - прокси. Удостоверьтесь, что Admin и Operation Status оба.

    ssl-proxy#show ssl-proxy service ssl21 
    Service id: 3, bound_service_id: 259
    Virtual IP: 192.168.21.246, port: 443 (secondary configured)
    Server IP: 192.168.60.254, port: 80
    Certificate authority pool: ca-servidor-pool 
      CA pool complete 
    rsa-general-purpose certificate trustpoint: stefano 
      Certificate chain for new connections:
        Certificate:
           Key Label: stefano, 1024-bit, not exportable
           Key Timestamp: 13:52:23 UTC Apr 27 2004
           Serial Number: 02
        Root CA Certificate:
           Serial Number: 00
      Certificate chain complete 
    
    Admin Status: up
    Operation Status: up
    

Устранение неполадок

Для этой конфигурации в настоящее время нет сведений об устранении проблем.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения