Cервисы организации сетевого доступа к приложениям : Cisco LocalDirector серии 400

Настройка HTTP для перенаправления HTTPS на Cisco LocalDirector

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


LocalDirector больше не продается. Сошлитесь на бюллетени Cisco LocalDirector серии 400 для получения дополнительной информации.


Содержание


Введение

В этом документе объяснено, как конфигурировать переадресацию HTTP (небезопасный узел) в HTTPS (безопасный узел) в локальном управляющем узле Cisco. Обратите внимание на то, что ограничения в конфигурации данного примера.

Перед началом работы

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Технические рекомендации Cisco. Условные обозначения.

Предварительные условия

Для данного документа отсутствуют предварительные условия.

Используемые компоненты

Сведения, содержащиеся в данном документе, относятся к следующим версиям программного и аппаратного обеспечения.

  • LocalDirector 416

  • Программное обеспечение LocalDirector, выпуск 4.2.1

  • Обозреватель Microsoft Internet Explorer 5.5

  • Netscape Communicator 4.7

Сведения, представленные в этом документе, были получены от устройств в специфической лабораторной среде. Все устройства, используемые в этом документе, были запущены с чистой конфигурацией (конфигурацией по умолчанию). При работе с реальной сетью необходимо полностью осознавать возможные результаты использования всех команд.

Схема сети

В данном документе используется сеть, изображенная на следующей схеме.

http2https-01.gif

Важная информация

Существует известная проблема хранения сеанса, связанного с одним физическим реальным сервером после того, как сеанс будет настройкой на HTTP (открытый) транспорт и позже перемещенный в HTTPS (безопасный) транспортный протокол. В этом случае перенаправление HTTP должно быть настройкой на прикладном уровне. Сервер может передать перенаправление (или 302 или HREF, встроенный в саму фактическую веб-страницу) к HTTP, таким образом, никакое распределение нагрузки не имеет место в LocalDirector.

Другое возможное решение должно было бы переключиться к HTTPS раньше и выполнить зашифрованное открытие сеанса. Это предпочтено также для шифрования имени пользователя и пароля входа в систему. При хранении целого сеанса, работающего через HTTPS sticky общего назначения может гарантировать, что тот же сервер будет использоваться для клиента.

Второе решение и конфигурация описаны в этом документе. Трафик HTTP ограничен для первого контакта с сайтом (клиент может ввести простое название сайта к строке адреса). При достижении LocalDirector браузер получает 302 сообщения перенаправления с настроенным URL, включая метку HTTPS, таким образом, существует завершенное название сервера для достижения. Сеанс (на прикладном уровне) создан из начала с защищенного сервера (реальные серверы не обрабатывают HTTP вообще). Сеанс продолжает уникальное имя сервера, таким образом, это всегда достигает того же.

Падение, резервная копия, и команды ссылки, как показано в примере, необходимо для решения проблемы закладки, когда пользователь сохраняет URL с одним именем сервера и возвращается позже, когда сервер не работает. Настроенный сервер резервного копирования будет служить сеансу. Если вы ожидаете иметь часть сеанса (на прикладном уровне) обрабатываемый через HTTP, то нет никакой возможности на LocalDirector (или никакое другое сетевое устройство) для соединения Подключения HTTPS с любым из существующих ранее соединений HTTP. Единственный обычно используемый параметр может быть IP - адресом источника. Когда вы рассматриваете HTTP прокси, но прямые Подключения HTTPS, IP - адрес источника становится неприменимым. Вся информация, хранившая в URL или Заголовке HTTP (таком как cookie), зашифрована, таким образом не доступный.

Единственное решение в этом случае состоит в том, что само приложение использует определенное имя сервера при коммутации к HTTPS. Как выполнение приложения на реальном сервере, и генерирует URL HTTPS, это - единственное место, где может быть решена проблема. Сервер просто передает URL, направленный к самому серверу. С помощью команды резервного копирования можно решить проблему закладки, как выше. Недостаток обоих решений является потребностью в других сертификатах Протокола SSL в обоих реальных серверах. Количество серверов HTTP/HTTPS не ограничено, и LocalDirector остается балансировать начальные запросы сеанса. После того, как сеанс установлен, однако, клиенты обращаются к одному серверу только.

Как конфигурировать переадресацию HTTP в HTTPS в локальном управляющем узле Cisco

Выполните следующие действия для настройки на Local Director перенаправления HTTP на HTTPS:

  1. Создайте портовое виртуальное IP (VIP) адрес и введите его в Систему доменных имен (DNS). Например: :

    virtual 172.18.124.209:80:0:tcp is
    
  2. Создайте прямой адрес IP (DIP) для каждого реального сервера, который будет принимать вызовы для этого адреса VIP. Используйте дополнительный IP-адрес в первой части оператора, такой как в придерживающемся:

    direct-ip 172.18.124.211:443:0:tcp 172.18.124.206:443:0:tcp is
    direct-ip 172.18.124.212:443:0:tcp 172.18.124.207:443:0:tcp is
    

    Система создаст следующее:

    real 172.18.124.206:443:0:tcp is
    real 172.18.124.207:443:0:tcp is
     
    bind 172.18.124.211:443:0:tcp 172.18.124.206:443:0:tcp
    bind 172.18.124.212:443:0:tcp 172.18.124.207:443:0:tcp
    

    Примечание: Для портовых или определяемых портом VIP, DIPS и реальных IP - адресов, дополнительный IP-адрес необходим для каждого реального сервера для учета длительных исходящих соединений к реальным IP - адресам. Этот дополнительный адрес также применяется для безопасных VIP-адресов, если отброшенные TCP-пакеты (RST), которые не должны быть перенаправлены или сбалансированы, отправляются на порты. Вызовы, направленные к адресам DIP их истинным адресом, были бы позволены при использовании других IP-адресов для действительного адреса DIP.

  3. Создайте перенаправление URL для каждого реального сервера. Эти URL - то, где клиент будет перенаправлен, когда будет поражен адрес VIP. Например: :

    url s2 https://www.mysecureserver.com 302
    url s1 https://www.yoursecureserver.com 302
    
  4. Создайте команду резервного копирования для каждого DIP-адреса для обычного VIP-адреса, чтобы разрешить потенциальные проблемы электронных закладок. Если клиент делает закладку для URL прямого IP-адреса (DIP), и этот прямой IP-адрес (реальный сервер) недоступен (FAILED), то используется резервная команда для повторного вызова виртуального IP-адреса (VIP).

    backup 172.18.124.211:443:0:tcp 172.18.124.212:443:0:tcp
    backup 172.18.124.212:443:0:tcp 172.18.124.211:443:0:tcp
    

    Примечание: Вы не можете резервировать TCP/443 с TCP/80, поэтому, у вас есть две опции:

    • Резервируйте адрес DIP с другим адресом DIP, или в полной сетке sytle (каждый адрес DIP имеет резервную копию к любому адресу DIP).

    • Выполните резервирование DIP-адреса с помощью адреса VIP/443, привязанного к адресу real/443.

  5. Присвойте адрес VIP каждой команде URL. Например: :

    bind 172.18.124.209:80:0:tcp s1
    bind 172.18.124.209:80:0:tcp s2
    
  6. Создайте команду связи для каждого URL к первой части адреса DIP.

    В результате создается связь между адресом DIP и URL-адресами, связанными с этим псевдонимом. Соединение гарантирует, что локальный управляющий узел не станет перенаправлять клиентов на недоступные DIP-адреса, каждый из которых однозначно сопоставлен с реальным сервером. При ошибке адреса DIP не следует перенаправлять на URL, который в этом случае передаст вызов по ошибочному адресу DIP.

    link s2 172.18.124.211:443:0:tcp
    link s1 172.18.124.212:443:0:tcp
    

Проверка.

В данном разделе содержатся сведения о проверке работы конфигурации.

Некоторые команды show поддерживаются Средством интерпретации выходных данных(только зарегистрированные клиенты), которое позволяет просматривать аналитику выходных данных команды show.

  • show version - показывает версию программного обеспечения, используемого для Local Director.

  • show configuration - отображает текущую конфигурацию Local Director.

  • show dip - Соединения DIP Показов.

  • show real – показывает статистику и состояния реальных серверов.

  • show statistics - отображает статистические данные реальных и виртуальных серверов.

  • show syslog - отображает сообщения журнала на сервере syslog.

  • show url – отображает сведения о подключении адресам URLs.

Ниже приводится выходные данные команды Show version:

localdirector#show version
LocalDirector 416 Version 4.2.1

Ниже приведены выходные данные команды show configuration:

localdirector#show configuration
Building configuration...
: Saved
: LocalDirector 416 Version 4.2.1
syslog output 23.7
no syslog console
enable password 000000000000000000000000000000 encrypted
hostname localdirector
no shutdown ethernet 0
no shutdown ethernet 1
shutdown ethernet 2
interface ethernet 0 auto
interface ethernet 1 auto
interface ethernet 2 auto
mtu 0 1500
mtu 1 1500
mtu 2 1500
multiring all
no secure 0
no secure 1
no secure 2
no ping-allow 0
no ping-allow 1
no ping-allow 2
ip address 172.18.124.210 255.255.255.0
route 0.0.0.0 0.0.0.0 172.18.124.1 1
arp timeout 30
no rip passive
rip version 1
failover ip address 0.0.0.0
no failover
failover hellotime 30
password 636973636f004661696c6f766572204e encrypted
snmp-server enable traps
snmp-server community public
no snmp-server contact
no snmp-server location
virtual 172.18.124.209:80:0:tcp is
real 172.18.124.206:443:0:tcp is
real 172.18.124.207:443:0:tcp is
direct-ip 172.18.124.211:443:0:tcp 172.18.124.206:443:0:tcp is
direct-ip 172.18.124.212:443:0:tcp 172.18.124.207:443:0:tcp is
url s2 https://www.mysecureserver.com 302
url s1 https://www.yoursecureserver.com 302
backup 172.18.124.211:443:0:tcp 172.18.124.212:443:0:tcp
backup 172.18.124.212:443:0:tcp 172.18.124.211:443:0:tcp
bind 172.18.124.211:443:0:tcp 172.18.124.206:443:0:tcp
bind 172.18.124.212:443:0:tcp 172.18.124.207:443:0:tcp
bind 172.18.124.209:80:0:tcp s1
bind 172.18.124.209:80:0:tcp s2
link s2 172.18.124.211:443:0:tcp
link s1 172.18.124.212:443:0:tcp
: end
[OK]

Ниже приведен вывод команды show dip:

localdirector#show dip
Direct IPs:
 
Virtual Real Conns State Predictor Slowstart
172.18.124.211:443:0:tcp 172.18.124.206:443:0:tcp 0 IS leastconns roundrobin*
172.18.124.212:443:0:tcp 172.18.124.207:443:0:tcp 0 IS leastconns roundrobin*

Ниже приведены выходные данные команды show real:

localdirector#show real
Real Machines:
 
No Answer TCP Reset DataIn
Machine Connect State Thresh Reassigns Reassigns Conns
(DIP) 172.18.124.206:443:0:tcp 1 IS 8 0 0 0
(DIP) 172.18.124.207:443:0:tcp 1 IS 8 0 0 0

Ниже приведен пример выходных данных для команды show statistics:

localdirector#show statistics
Real Machine(s) Bytes Packets Connections
(DIP) 172.18.124.206:443:0:tcp 480 8 1
(DIP) 172.18.124.207:443:0:tcp 240 4 1
 
Virtual Machine(s) Bytes Packets Connections
(DIP) 172.18.124.211:443:0:tcp 480 8 1
(DIP) 172.18.124.212:443:0:tcp 240 4 1
172.18.124.209:80:0:tcp 10215 80 6

Ниже приводится выходные данные команды show syslog:

OUTPUT ON (23.7)
CONSOLE ON
<189> July 2 13:07:40 LD-NOTICE Begin Configuration: reading from terminal
<189> July 2 13:07:45 LD-NOTICE End Configuration: OK
<186> July 2 13:08:00 LD-CRIT Switching '172.18.124.209:80:0:tcp' 
from 'slowstart' to 'leastconns'
<186> July 2 13:10:25 LD-CRIT Switching '172.18.124.211:443:0:tcp' 
from 'slowstart' to 'leastconns'
<186> July 2 13:10:41 LD-CRIT Switching '172.18.124.212:443:0:tcp' 
from 'slowstart' to 'leastconns'
localdirector#

Ниже приведен пример выходных данных для команды show url:

localdirector#show url
Urls:
 
Id Connect Rcode State Url
s2 2 302 IS https://www.mysecureserver.com
s1 2 302 IS https://www.yoursecureserver.com

Устранение неполадок

Для этой конфигурации в настоящее время нет сведений об устранении проблем.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 44124