Ssl-proxy vlan 99 ipaddr 10.1.99.3 255.255.255.0 gateway 10.1.99.1 admin Ssl-proxy vlan 20 ipaddr 10.1.10.10 255.255.255.0 gateway 10.1.10.1 Ssl-proxy service ssl- terminal virtual ipaddr 10.1.10.100 protocol TCP port 443 secondary server ipaddr 10.1.10.1 protocol TCP port 80 no NAT server certificate rsa mycontent-trustpoint certs-key inservice
这里有一些注意事项,以帮助您理解示例11-8中的配置。
这SSL-Proxy服务命令创建名为“ssl- terminal”的虚拟服务器。子卡上的虚拟服务器的功能与内容交换机上的功能相同。必须为虚拟服务器分配相同的IP地址和端口。当SSL代理接收到与虚拟服务器匹配的报文时,会对报文进行解密,然后使用报文解密器将报文发送到所配置的实服务器服务器命令只是其默认网关(即CSM-S IP地址10.1.10.1)。如果有多个CSM-SS,则会使用它们添加它们服务器命令。
由于这是一个分派模式配置,您应该使用没有NAT服务器命令;否则,该请求将被从VIP指定为CSM的IP地址。
指定要分配给服务的RSA证书证书RSA.命令。此示例使用示例11-6中导入的“MyContent-TrustPoint”证书。
由于SSL子卡处于桥接模式,并且与CSM-S配置了相同的虚拟IP,所以它从MSFC接收到与CSM-S相同的ARP请求。这中学关键字阻止SSL子卡响应这些ARP请求。
在CSM上配置URL和标题重写
为了使SSL子卡能够插入HTTP头来通知服务器SSL子卡正在代理连接,可以在SSL子卡上创建HTTP头策略。例11-9演示了如何创建HTTP头策略并将其分配给SSL代理服务。
例11-9创建HTTP标题策略
Ssl-proxy policy http-header insert-session-info session Ssl-proxy service ssl- terminal virtual ipaddr 10.1.10.100 protocol TCP port 443 secondary server ipaddr 10.1.10.1 protocol TCP port 80 no NAT server certificate rsa mycontent-trustpoint certs-key policy http-header insert-session-info inservice
与CSS SSL子卡类似,如果您的服务器将HTTP 300系列重定向到客户端,则应将CSM-S配置为在“位置:”标题中重写“http://”引用。要检查“位置:”标题并用SSL子卡上的“HTTPS://”替换“http://”,可以使用示例11-10中的配置。
例11-10创建HTTP URL重写策略
SSL-Proxy策略URL-REWRITE REWRITE-REDIRECTS URL * .cisco.com URL http://www.cisco.* url http://www.cisco.com SSLPORT 444 URL http://www.cisco.com SSLPORT 444Clearport 81 SSL-Proxy Service SSL-Termination虚拟IPADDR 10.1.10.100协议TCP端口443辅助服务器IPADDR 10.1.10.1协议TCP端口80否NAT服务器证书RSA MyContent-TrustPoint Certs-密钥策略URL-Rewrite Rewrite-Rerewice
防火墙负载均衡
防火墙可以通过使用防火墙负载平衡(FWLB)技术来实现思科内容切换的性能优势。虽然大多数防火墙通过支持待机单元的状态故障转移可以固有地缩放,但是可以使用CSS或CSM的多个主动防火墙跨多个主动防火墙提高性能。
CSS防火墙负载平衡
要控制穿越一组防火墙的双向流量,必须将该组夹在两个css中。css通过防火墙分发请求,并通过防火墙维护连接状态。内容交换机使用状态智能地将包从现有连接交换到同一防火墙。图由说明如何将防火墙夹在两个css之间。
CSS防火墙负载平衡
笔记 -您可以通过在防火墙组内部和外部安装两个CSSS来提供CSS冗余,并配置您在第10章中学到的高度可用功能。这样,您避免使用两个故障与所示的CSSS图由。
在图由,考虑从Internet传入的TCP SYN段:
CSS A根据服务器负载均衡策略(如轮循、源地址和目的地址散列)决定将请求切换到哪个防火墙。
CSS A在它的状态表中为请求创建一个连接项。
所选的防火墙处理请求,在其连接表中创建连接表项,并将TCP SYN段转发给CSS B。
CSS B只需将数据包转发到目标:如果目标是虚拟服务器,请求根据为服务器场指定的规则加载到服务器;否则,使用Content Switch的路由表路由数据包。
CSS B还在其连接表中创建连接条目。
服务器处理请求并将TCP SYN-ACK响应发送回CSS B.
CSS B根据IP和TCP标题中的信息在响应中的信息查找连接,并使用SYN-ACK更新连接状态。
CSS B根据连接表中已有的表项,将报文转发到相应的防火墙。
防火墙使用SYN-ACK数据包更新其状态并将其转发给CSS A.
CSS A按照正常路由将请求路由到Internet,并更新其连接状态。
然后,客户机的ACK在与原始SYN段相同的路径上完成TCP的完全握手。
配置FWLB略微不同于配置标准服务器负载平衡(SLB),因为流量没有注定到防火墙,而是对防火墙后面的服务。要在CSS上配置防火墙,请使用命令:
IP防火墙索引local_firewall_address remote_firewall_address remote_switch_address
您必须在两个CSS上配置相同的索引值。要将路由添加到要在防火墙上加载余额的后端服务器,请使用命令:
IP路线ip_address子网_mask.防火墙指数距离
例11-11给出了FWLB的拓扑配置示例图由。
例11-11CSS FWLB.
CSS IP防火墙1 10.1.10.2 10.1.20.2 10.1.20.1 IP路由10.1.30.0/24防火墙1 IP防火墙2 10.1.10.3 10.1.20.3 10.1.20.1 IP路线10.1.30.0/24防火墙2接口E1桥VLAN 10接口E2桥VLAN 10电路VLAN 10 IP地址10.1.10.1 2555.255.255.0 CSS B IP防火墙1 10.1.20.2 10.1.10.2 10.1.10.1 IP路由0.0.0.0/0防火墙1 IP防火墙2 10.1.20.3 10.1.10.3 10.1.10.1IP路由0.0.0.0/0防火墙2接口E1桥VLAN 20接口E2桥VLAN 20接口E3桥VLAN 30电路VLAN 20 IP地址10.1.20.1 255.255.255.0电路VLAN 30 IP地址10.1.30.1 255255.255.0
笔记 -在过去几年中,防火墙的性能有了显著的提高。内容开关的功能必须至少比要均衡的防火墙强大X倍,其中X是要均衡的防火墙数量。虽然CSS支持FWLB,但由于CSM在带宽和流程处理能力方面优于CSS,所以更适合部署新的FWLB。此外,CSS不支持Active-FTP的反向sticky,这将在下一节中学习。
CSM防火墙负载均衡
随着您将快速学习的,在路由器模式下使用CSM,您需要通过它来传递的虚拟服务器。结果,配置通常比CSS的配置更复杂,但可以更加灵活。例如,CSM使您可以配置复杂的设计,包括单CSM FWLB和隐形防火墙负载平衡,这是CSS不可能的。
图剩下的提供基本的双CSM FWLB拓扑。
双CSM FWLB
实现了FWLB的设计图剩下的时,可使用例11-12中的配置。
例11-12双CSM FWLB
!两个csm接口vlan 10共享的MSFC ip地址10.1.10.4 255.255.255.0没有关闭!CSM mod CSM 5 vlan 10客户机ip地址10.1.10.1 255.255.255.0网关10.1.10.4 vlan 11服务器ip地址10.1.10.1 255.255.255.0 serverfarm向前向前描述* *用于从web服务器发出的连接* *没有nat服务器没有nat端向前预测serverfarm out-firewalls描述* *包含外部的接口the firewall ** no nat server no nat client predictor hash address source 255.255.255.255 real 10.1.10.2 backup real 10.1.10.3 inservice real 10.1.10.3 backup real 10.1.10.2 inservice vserver in-connections description**根据路由表从web服务器转发出的连接** virtual 0.0.0.0 0.0.0.0 any serverfarm forward vlan 11 inservice !CSM B mod CSM 6 vlan 20 client ip address 10.1.20.1 255.255.255.0 vlan 21 server ip address 10.1.20.1 255.255.255.0 serverfarm in-firewall description **包含防火墙内部接口** no nat server no nat client predictor leastconns real 10.1.20.2 backup real 10.1.20.3 inservice real 10.1.20.3 backup real 10.1.20.2 inserviceserverfarm web-farm description **包含两个web服务器** nat server no nat client real 10.1.20.10 inservice real 10.1.20.11 inservice vserver out-connections description **将web服务器发起的外连接分发到可用的防火墙** virtual 0.0.0.0 0.0.0.0 any vlan 20 serverfarm in-firewall inservicevserver web-vip description ** Distributes incoming connections initiated from external clients across web servers ** virtual 10.1.20.100 255.255.255.0 www vlan 21 serverfarm web-farm inservice
笔记 -在图剩下的, CSM A和CSM B安装在同一个机箱中,分别在5号槽位和6号槽位。
当客户端从Internet向CSM B上的web服务器虚拟IP (VIP) 10.1.20.100发起连接时,CSM a将第一个接收到该数据包,并执行虚拟服务器查找,将客户端的TCP SYN报文匹配到称为in-connections的VIP。这个VIP使用最少的连接预测器将来自客户端的传入连接分布在服务器群“外部防火墙”的可用防火墙之间,这将产生比源IP散列更大的跨防火墙分布。单连接TCP协议,如SMTP和BGP,只需要一个TCP连接应用程序就可以工作。因此,您不需要对通过不同TCP连接发生的后续应用程序请求进行散列或粘贴到最初选择的防火墙。
服务器群“外部防火墙”包含负载均衡防火墙的外部IP地址。例如,假设CSM A选择防火墙B作为新连接。然后,CSM的联系表中创建一个新的连接,并将数据包转发给防火墙防火墙B还创建一个新的连接的连接表并将数据包转发到CSM CSM B创建一个新的连接的连接表和执行一个虚拟服务器查找,匹配的虚拟服务器叫做“网站会员”。然后CSM B执行与客户端的延迟绑定,最终将请求负载均衡到真实的web服务器(例如,Web01)。由于CSM B的连接表中有现有的连接项,所以Web01使用TCP SYN- ack进行响应,该SYN- ack会穿越与原始SYN相同的防火墙。
笔记 -如果您的防火墙支持有状态故障转移,则可以使用备份的实服务器配置命令,指定备份防火墙。
当任何一个后端web服务器需要发起一个到Internet的连接时,CSM B首先接收TCP SYN段(假设你配置了真实的CSM B作为他们的默认网关),执行一个虚拟服务器查找,并匹配它的VIP称为“外连接”。该VIP使用目的IP地址哈希将从web服务器发起的连接分发到服务器群“in-防火墙”中可用的防火墙。与对传入请求使用源散列一样,您应该对传出请求使用目标散列,以便更均匀地跨防火墙分布连接。
笔记 -CSM还支持FWLB的基于UDP的协议。
与在CSM A上配置的“外防火墙”类似,CSM B上的服务器群“内防火墙”包含负载均衡防火墙的内部IP地址。在这种情况下,假设CSM B选择了防火墙A,那么CSM B和防火墙A都在各自的连接表中为新连接创建一个连接状态表项,并将该段上行转发。当CSM A接收到TCP SYN时,它将该段与称为“外连接”的VIP进行匹配,并按照服务器群“转发”的规定,使用其内部路由表将包转发到Internet。