Cервисы организации сетевого доступа к приложениям : Коммутаторы контент-сервисов Cisco серии CSS 11500

Пример конфигурации SSL серверной части CSS 11500

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Коммутатор служб контента (CSS) 11500 поддерживает внутренние модули ускорения защиты на уровне сокетов (SSL), которые могут использоваться для расшифровки клиентского трафика с целью более эффективного приятия решений о выравнивании нагрузки (интерфейсная часть оконечной обработки SSL/SSL). Использование CSS для разгрузки серверов от функций SSL значительно увеличивает производительность сервера и позволяет лучше распределять трафик по обслуживающим приложениям. CSS 11500 может зашифровывать завершенные соединения SSL обратно и передавать зашифрованный поток данных обслуживающим SSL-серверам (обслуживающая часть SSL). Это необходимо для сред, требующих защищенного соединения клиента с сервером и развитых средств выравнивания нагрузки на серверной стороне, например с использованием идентификаторов cookie для поддержания непрерывности сеанса. Интегрированные средства SSL позволяют CSS принимать решения с учетом видов контента, гарантируя передачу данных корректному приложению при поддержании шифрования данных во всей сети.

Этот документ описывает трафик SSL от клиента к CSS и к SSL - серверу бэкэнда. Этот документ предоставляет конфигурации и другие сценарии реализации.

Предварительные условия

Требования

Прежде чем использовать эту конфигурацию, убедитесь, что выполняются эти требования:

  • базовые понятия Уровня защищенных сокетов / Transport Layer Security (SSL/TLS)

  • базовая настройка CSS

  • обратитесь к ключам Web-серверов и сертификатам от существующих Web-серверов SSL

  • авторизация изменить конфигурацию SSL на серверах

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Сборка Версии WebNS 7.20 206

  • CSS 11506

  • Verisign на сертификате сайта

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Родственные продукты

Эта конфигурация может также использоваться со следующими версиями программного/аппаратного обеспечения:

  • CSS 11501 со встроенным SSL или CSS 11503/506 с установленным модулем SSL CSS5-SSL-K9.

  • Версия 7.20 программного обеспечения webns и выше.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Технические рекомендации Cisco. Условные обозначения.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание: Дополнительные сведения о командах, используемых в данном документе, можно получить с помощью средства поиска команд (только для зарегистрированных клиентов).

Схема сети

В этом документе использованы параметры данной сети:

/image/gif/paws/47390/backend_ssl.jpg

Конфигурации

В данном документе используется следующая конфигурация:

  • (NWS-5-9) CSS 11506

Трафик от клиента прибывает и поражает переднее правило содержания. Это правило является портом 443. Это правило тогда балансирует нагрузку трафика к сервисному ssl_front. Этот сервис тогда ссылается на Список SSL прокси.

Список SSL прокси определяет согласование SSL с клиентом и устанавливает безопасный сеанс SSL между CSS и клиентом. Конфигурация определяет IP-адрес SSL прокси, секретный ключ и цепочечное / одиночный сертификат для использования. Это также определяет правило содержимого открытого текста, что вы переходите к соответствию.

Упомянутое правило содержимого является содержанием назад. Вследствие того, что эти данные находятся теперь в открытом тексте, вы видите Заголовки HTTP. Для поддержания sticky к серверу, используйте Cookie-файлы ArrowPoint. CSS тогда принимает решение распределения нагрузки на основе Cookie-файла ArrowPoint, если клиент уже получил один или через базовый алгоритм балансировки нагрузки, если они не имеют. В этом случае коммутатор с балансировкой нагрузки к сервисному backend1.

Запрос тогда отправлен к сервисному backend1. Этот сервис настроен как тип ssl-accel-backend. Здесь нет никакого физического сервера.

Список SSL прокси упомянут снова, и от конфигурации, вы видите конфигурацию конечного сервера. Эта конфигурация подобна расшифровке SSL на фронтэнде, но в реверсе. Можно взять открытый текст и преобразовать его в SSL. Можно также определить шифр для использования в сообщении приветствия клиента.

Запрос является передаваемым зашифрованному физическому серверу.

(NWS-5-9) CSS 11506
nws-5-2# sh run
 !Generated on 01/09/2004 01:16:00
 !Active version: sg0720206
 configure
 !*************************** GLOBAL ***************************
   cdp run 

 ssl associate rsakey privatekey myprivatekey 
 ssl associate cert certificate mynewcert.pem 


!--- Define the SSL certificate and key files to use for the Web site 
!--- These are for the client to SSL module connection.


 ip route 0.0.0.0 0.0.0.0 10.66.86.17 1 


 !************************* INTERFACE *************************
 interface 3/1
 bridge vlan 41 

 !************************** CIRCUIT **************************
 circuit VLAN1

 ip address 10.1.1.1 255.255.255.0

 circuit VLAN41

 ip address 10.66.86.29 255.255.255.240 

 !*********************** SSL PROXY LIST ***********************
 ssl-proxy-list my_secure_site 
 ssl-server 1 
 ssl-server 1 rsakey privatekey 
 ssl-server 1 rsacert certificate 
 ssl-server 1 cipher rsa-with-rc4-128-md5 10.1.1.10 81 
 ssl-server 1 vip address 10.66.86.28


!--- SSL server configuration. This is for the client to the SSL
!--- module connection.


 backend-server 10

 
!--- Backend SSL configuration. These specify the parameters for 
!--- the connection from the CSS to the backend servers. 


 backend-server 10 ip address 10.1.1.20 
 backend-server 10 port 81 


!--- This defines the clear text IP and port that are 
!--- used to encrypt data headed for the backend servers.

 backend-server 10 server-ip 10.1.1.20 
 backend-server 10 server-port 8003


!--- This is the physical server. As there is no server-port
!--- configured, the default 443 will be used.


 backend-server 10 cipher rsa-export-with-rc4-40-md5 


!--- The CSS behaves as a client. Specify what SSL cipher 
!--- you are going to present to the backend server in the SSL 
!--- handshake client hello packet.


 backend-server 20 
 backend-server 20 ip address 10.1.1.21 
 backend-server 20 port 81 
 backend-server 20 server-ip 10.1.1.21 
 backend-server 20 server-port 8003
   backend-server 20 cipher rsa-export-with-rc4-40-md5 

 backend-server 30 
 backend-server 30 ip address 10.1.1.22 
 backend-server 30 port 81 
 backend-server 30 server-ip 10.1.1.22
 backend-server 30 server-port 8003 
 backend-server 30 cipher rsa-export-with-rc4-40-md5 
 active 

 !************************** SERVICE **************************

 service ssl_front 
 slot 6 
 type ssl-accel 
 keepalive type none 
 add ssl-proxy-list my_secure_site 
 active 

 service backend1 
 ip address 10.1.1.20 
 type ssl-accel-backend 
 port 81
 add ssl-proxy-list my_secure_site 
 keepalive port 8003 
 keepalive type ssl 
 protocol tcp 
 active 

 service backend2 
 ip address 10.1.1.21 
 type ssl-accel-backend 
 port 81
 keepalive port 8003 
 add ssl-proxy-list my_secure_site 
 keepalive type ssl 
 protocol tcp 
 active 

 service backend3 
 ip address 10.1.1.22 
 protocol tcp 
 port 81
 keepalive port 8003 
 keepalive type ssl 
 type ssl-accel-backend 
 add ssl-proxy-list my_secure_site 
 active 


 !*************************** OWNER ***************************
 owner my_secure_site

 content back 
 protocol tcp 
 port 81
 url "/*" 
 vip address 10.1.1.10 
 add service backend1 
 add service backend2 
 add service backend3 
 advanced-balance arrowpoint-cookie 
 active 

 content front 
 protocol tcp 
 vip address 10.66.86.28 
 application ssl 
 add service ssl_front 
 port 443 
 active 

Проверка и устранение неполадок

В этом разделе описывается процесс устранения неполадок конфигурации. Левый столбец является распечаткой жизненного цикла сеанса. Правый столбец является распечаткой команд показа и программных средств, которые могут использоваться для проверки состояния каждой части жизненного цикла.

Логический жизненный цикл Команды / Способы (примеры ниже)
Клиент Отслеживание средств прослушивания от клиентского компьютера. Ищите этапное установление связи TCP 3 и сообщение приветствия клиента SSL и приветствие сервера.
Передняя сторона Правила содержимого show rule Ищите правило, как являющееся активным. Попытайтесь пропинговать адрес VIP правила; это должно ответить. Возьмите отслеживание средств прослушивания на ссылке, соединяющейся с CSS на клиентской стороне.
Сервисный ssl_front сводка по команде show service Удостоверьтесь, что сервис жив. ssl_front show service — Удостоверяется, что сервис жив, и my_secure_site SSL прокси перечислен и активен. Проверьте, чтобы видеть, инкрементно увеличиваются ли общие подключения по локальной сети.
My_secure_site списка SSL прокси покажите, что ssl-proxy-list — Удостоверяется, что состоянием является Active. show ssl - my_secure_site списка прокси — Предоставляет сведения о конфигурации. show ssl statistics — Удостоверяется, что нет никаких ошибок при приращении. Посмотрите пример ниже. show ssl flows — Отображает электрические токи.
Правило содержимого назад show rule Ищите правило, как являющееся Активным.
Backend1 сервисов или backend2 или backend3 сводка по команде show service Удостоверьтесь, что сервис жив. имя сервиса show service — Удостоверяется, что по крайней мере один сервис жив, и my_secure_site SSL прокси перечислен и активен. Проверьте, чтобы видеть, инкрементно увеличиваются ли общие подключения по локальной сети.
My_secure_site списка SSL прокси покажите, что ssl-proxy-list — Удостоверяется, что состоянием является Active. show ssl - my_secure_site списка прокси — Предоставляет сведения о конфигурации. show ssl statistics — Удостоверяется, что нет никаких ошибок при приращении. Посмотрите пример ниже. show ssl flows — Отображает электрические токи.
Сервер Отслеживание средств прослушивания от клиентского компьютера. Ищите этапное установление связи TCP 3 и сообщение приветствия клиента SSL и приветствие сервера. Проверьте, слушает ли сервер на SSL. Выполните netstat порта-a команда для Windows и netstat-l команда для машин Unix/Linux.

Проверьте и примеры команды устранения проблем

Этот раздел предоставляет сведения об устранении проблем, относящиеся к командам, перечисленным в вышеупомянутом жизненном цикле и что искать в каждой команде. Выделенные полужирным шрифтом разделы должны быть проверены, если они показывают другое состояние.

show rule

Name:                    back   Owner:          my_secure_site
State:    Active   Type:                    HTTP
Balance:          Round Robin   Failover:                  N/A
Persistence:          Enabled   Param-Bypass:         Disabled
Session Redundancy:  Disabled
IP Redundancy:    Not Redundant
L3:         10.1.1.10   


!--- Theses lines indicate the configuration of the rule.


L4:         TCP/81
Url:        /*          


!--- This indicates a Layer 7 rule, where the CSS spoofs the
!--- connection.

Redirect: ""
TCP RST client if service unreachable: Disabled
Rule Services:
 1: backend1-Alive 

>>>>>>>>

Name:                   front   Owner:          my_secure_site
State:                 Active   Type:       SSL
Balance:          Round Robin   Failover:                  N/A
Persistence:          Enabled   Param-Bypass:         Disabled
Session Redundancy:  Disabled
IP Redundancy:    Not Redundant
L3:         10.66.86.28  


!--- Theses lines indicate the configuration of the rule.

L4:         TCP/443
Url:                             


!--- There is no configuration, so this is a Layer 4 rule.

Redirect: ""
TCP RST client if service unreachable: Disabled
Rule Services:
 1: ssl_front-Alive 

сводка по команде show service

Service Name                     State     Conn  Weight  Avg   State
                                                         Load  Transitions

backend1                         Alive         0      1     2            9
backend2                         Down          0      1   255            0
backend3                         Down          0      1   255            0
ssl_front                        Alive         0      1     2            4

ssl_front сервиса sh

Name: ssl_front         Index: 4     
  Type: Ssl-Accel        State: Alive
  Rule ( 0.0.0.0  ANY  ANY )
  Session Redundancy: Disabled
  SSL-Accel slot: 6    


 !--- Make sure this is the slot where the SSL module is installed.

  Session Cache Size: 10000 
  Redirect Domain:  
  Redirect String:  
  Keepalive: (NONE   5   3   5 )
  Last Clearing of Stats Counters: 01/28/2004 22:29:34
  Mtu:                       1500        State Transitions:            4


 !--- Connection counters should be increasing.

  Total Local Connections:   576         Total Backup Connections:     0
  Current Local Connections: 0           Current Backup Connections:   0
  Total Connections:         576         Max Connections:              65534
  Total Reused Conns:        0         
  Weight:                    1           Load:                         2
  DFP:                       Disable     

  
SSL Proxy Lists:
   1: my_secure_site-Active

покажите ssl-proxy-list

Ssl-Proxy-List Table Entries (1 Entries)
    1) Name:  my_secure_site
       State:  Active
       

!--- The number of services pointing to the SSL proxy list. This 
!--- includes the back-end services as well.

       Services Associated:  4  

покажите my_secure_site ssl-proxy-list

- Ssl-proxy-list Entries for list my_secure_site -

Number of SSL-Servers:  1 
   Ssl-Server 1 -
     
     Vip address: 10.66.86.28
     Vip port:  443
     RSA Certificate:  certificate  
     

     !--- This is the certificate file associated for the SSL site.

     RSA Keypair:      privatekey   
     

     !--- This is the private key file associated for the SSL site.

     DSA Certificate:  none
     DSA Keypair:      none
     DH Param:         none
     Session Cache Timeout:         300     SSL Version:  SSL and TLS
     Re-handshake Timeout:          0       Re-handshake Data:            0
     Virtual TCP Inactivity TO:     240     Server TCP Inactivity TO:     240
     Virtual TCP Syn Timeout:       30      Server TCP Syn Timeout:       30
     Virtual TCP Nagle Algorithm:   enable  Server TCP Nagle Algorithm:   enable
     TCP Receive Buffer:            32768   TCP Transmit Buffer:          65536
     SSL Shutdown Procedure:        normal 

     Cipher Suite(s)               Weight     Port     Server
     ---------------               ------     ----     ------
     rsa-with-rc4-128-md5             1       81       10.1.1.10

    

    !--- This is the cipher suite used in the server SSL hello back to the client.
    !--- The clear text IP address and port of the decypted traffic.


     URL Rewrite Rule(s) - None
         
Number of Ssl Proxy backend-servers:  3 
   Backend-server 10 -


!--- This is the back-end server clear text IP and port.

     
     IP address: 10.1.1.20
     Port:  81
     

!--- This is the back-end server SSL server IP and port.

     
     Server IP address: 10.1.1.20
     Server port:  8003
     Session Cache Timeout:        300     SSL Version:  SSL and TLS
     Re-handshake Timeout:         0       Re-handshake Data:            0
     Virtual TCP Inactivity TO:    240     Server TCP Inactivity TO:     240
     Virtual TCP Syn Timeout:      30      Server TCP Syn Timeout:       30
     Virtual TCP Nagle Algorithm:  enable  Server TCP Nagle Algorithm:   enable
     TCP Receive Buffer:           32768   TCP Transmit Buffer:          65536

     Cipher Suite(s)               Weight    
     ---------------               ------    
     rsa-export-with-rc4-40-md5       1      

    
 
!--- This is the cipher suite used in the client hello to the SSL server.
!--- In this case, the SSL module is encypting the traffic and acting as 
!--- a client.


   Backend-server 20 -
     IP address: 10.1.1.21
     Port:  81
     Server IP address: 10.1.1.21
     Server port:  8003
     Session Cache Timeout:        300     SSL Version:  SSL and TLS
     Re-handshake Timeout:         0       Re-handshake Data:            0
     Virtual TCP Inactivity TO:    240     Server TCP Inactivity TO:     240
     Virtual TCP Syn Timeout:      30      Server TCP Syn Timeout:       30
     Virtual TCP Nagle Algorithm:  enable  Server TCP Nagle Algorithm:   enable
     TCP Receive Buffer:           32768   TCP Transmit Buffer:          65536

     Cipher Suite(s)               Weight    
     ---------------               ------    
     rsa-export-with-rc4-40-md5       1      

   Backend-server 30 -
     IP address: 10.1.1.22
     Port:  81
     Server IP address: 10.1.1.22
     Server port:  8003
     Session Cache Timeout:        300     SSL Version:  SSL and TLS
     Re-handshake Timeout:         0       Re-handshake Data:            0
     Virtual TCP Inactivity TO:    240     Server TCP Inactivity TO:     240
     Virtual TCP Syn Timeout:      30      Server TCP Syn Timeout:       30
     Virtual TCP Nagle Algorithm:  enable  Server TCP Nagle Algorithm:   enable
     TCP Receive Buffer:           32768   TCP Transmit Buffer:          65536

     Cipher Suite(s)               Weight    
     ---------------               ------    
     rsa-export-with-rc4-40-md5       1      

show ssl statistics

SSL Acceleration Statistics
Component: SSL Proxy Server   Slot: 6
     Count        Description
---------------   -----------
            
            576   Handshake started for incoming SSL connections
            576   Handshake completed for incoming SSL connections


!--- These are the SSL handshake statistics for the client to CSS connection.

            
            560   Handshake started for outgoing SSL connections
            560   Handshake completed for outgoing SSL connections


!--- These are the SSL handshake stats for the CSS to backend servers.

             
             12   Active SSL flows high water mark


!--- This is the maximum number of active SSL flows.


SSL Acceleration Statistics
Component: Crypto   Slot: 6
     Count        Description
---------------   -----------
             14   RSA Private
              3   RSA Public
              0   DH Shared
              0   DH Public
              0   DSA Sign
              0   DSA Verify
              0   SSL MAC
          7,515   TLS HMAC
              0   3DES
          7,918   ARC4
         69,876   HASH
              
              0   RSA Private Failed
              0   RSA Public Failed
              0   DH Shared Failed
              0   DH Public Failed
              0   DSA Sign Failed
              0   DSA Verify Failed
              0   SSL MAC Failed
              0   TLS HMAC Failed
              0   3DES Failed
              0   ARC4 Failed
              0   HASH Failed
              0   Hardware Device Not Found
              0   Hardware Device Timed Out
              0   Invalid Crypto Parameter
              0   Hardware Device Failed
              0   Hardware Device Busy
              0   Out Of Resources
              0   Cancelled -- Device Reset


!--- At this point, any errors need to be investigated.


SSL Acceleration Statistics
Component: SSL   Slot: 6
     Count        Description
---------------   -----------
             14   RSA Private Decrypt calls
              3   RSA Public Decrypt calls
              0   DH Compute key calls
              0   DH Generate key calls
              0   DSA Verify calls
              0   DSA Sign calls
         34,220   MD5 raw hash calls
         34,220   SHA1 raw hash calls
              0   3-DES calls
          7,918   RC4 calls
              0   SSL MAC(MD5) calls
              0   SSL MAC(SHA1) calls
          7,515   TLS MAC(MD5) calls
              0   TLS MAC(SHA1) calls
              0   Level 2 Alerts Received
            725   Level 1 Alerts Received
              0   Level 2 Alerts Sent
          1,134   Level 1 Alerts Sent
      
      1,200,211   SSL received bytes from TCP
      1,155,278   SSL transmitted bytes to TCP
      1,006,669   SSL received Application Data bytes
      1,970,856   SSL transmitted Application Data bytes
        124,497   SSL received non-application data bytes
        152,147   SSL transmitted non-application data bytes
  

!--- These are the traffic stats for the SSL module; they should be incrementing.

              0   RSA Private Decrypt failures
              0   MAC failures for packets received
              0   Re-handshake TimerAlloc failed
              0   Blocks SSL could not allocate
              0   Dup Blocks SSL could not allocate
              0   Too many blocks for Block2AccelFragmentArray
              0   Too many blocks in a SSL message

show ssl flows

SSL Acceleration Flows for slot 6
        Virtual  Port TCP Proxy Flows  Active SSL Flows  SSL Flows in Handshake
---------------  ---- ---------------  ----------------  ----------------------
    
    10.66.86.28   443               6                 2                       0
      10.1.1.20    81               6                 2                       0
      10.1.1.22    81               0                 0                       0
      10.1.1.21    81               0                 0                       0


!--- This is the number of active flows in the CSS. These can be difficult to see on a 
!--- box with little load.

backend1 show service

Name: backend1          Index: 1     
  
  Type: Ssl-Accel-Backend State: Alive
  Rule ( 10.1.1.20  TCP  81 )
  Session Redundancy: Disabled
  Redirect Domain:  
  Redirect String:  
  Keepalive: (SSL-8003   5   3   5 )
  Last Clearing of Stats Counters: 01/28/2004 22:29:34
  Mtu:                       1500        State Transitions:            9
  Total Local Connections:   689         Total Backup Connections:     0
  Current Local Connections: 0           Current Backup Connections:   0
  Total Connections:         689         Max Connections:              65534
  Total Reused Conns:        0         
  Weight:                    1           Load:                         2
  DFP:                       Disable     

  
SSL Proxy Lists:
   1: my_secure_site-Active

Сведения сервисов запроса TAC

Прежде, чем открыть запрос на обслуживание Центра технической поддержки (TAC), соберите эту информацию:

  1. Использование жизненного цикла выше, соберите все упомянутые команды и сгруппируйте их на шаг жизненного цикла.

  2. Предоставьте выходные данные команды script play showtech.

  3. Предоставьте подробную схему топологии.

  4. Предоставьте отслеживание средств прослушивания от клиентской стороны CSS и стороны сервера. Это является дополнительным, но может сократить время разрешения.

  5. При обеспечении отслеживания средств прослушивания определите IP-адрес клиентов.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 47390