• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

SecBlade LB V5平台+配置SSL卸载

2018-11-14提问
  • 1关注
  • 1收藏,1977浏览
粉丝:0人 关注:0人

问题描述:

我们公司官网需要将http访问修改为HTTPS访问,但是在官网查询了资料,没有发现V5平台如何进行相关HTTPS卸载的文档。

请教各位大神V5平台是否支持HTTPS卸载,如果支持应该如何配置。或者V5平台到某个特定版本以后才开始支持

最佳答案

粉丝:8人 关注:0人

V5的应该不支持,V7的支持参考下:

某政府机构通过V7平台LB设备实现七层服务器负载的需求:

  1、为了提高业务的安全性,所有终端访问业务时全部使用HTTPS加密链接,如果终端使用HTTP协议请求业务LB将其重定向为HTTPS加密链接

  2、服务器处理大量的HTTPS协议加解密链接非常耗费性能,为了降低服务器的性能损耗和提高服务器的处理能力,需要实现HTTPS卸载功能,即终端和LB之间采用HTTPS加密链接,LB和服务器之间认为是可信区域采用HTTP不加密链接

  3、通过配置服务器负载均衡,让这三台服务器联合提供HTTP服务,并通过健康检测来监控这些服务器是否可用

组网信息及描述

组网拓扑如下(服务器网关全部为LB设备):

配置步骤

1、将申请的CA证书和设备证书通过FTP(建议采用二进制方式)TFTP上传到LB设备上,导入方法略

2、创建PKI域,并禁止CRL检查

   pki domain ca
         undo crl check enable

3、导入CA证书和设备证书到创建的PKIca

   pki import domain ca der ca filename certnew.cer

   pki import domain ca p12 local filename local.pfx

4、创建SSL服务器端策略,并且引用PKIca

   ssl server-policy ssl

     pki-domain ca

5、创建TCP类型的NQA模板8080

   nqa template tcp 8080
         destination port 8080

6、配置COOKIE插入方式的持续性算法【插入COOKIE的名字为h3c】

   sticky-group COOKIE type http-COOKIE
         COOKIE insert name h3c

7、配置实服务组

   server-farm http
         predictor hash address source
         probe 8080

8、配置实服务器

   real-server ServrA
         ip address 192.168.1.1
         port 8080
         server-farm http

       real-server ServerB
         ip address 192.168.1.2
         port 8080
         server-farm http
 
       real-server ServerC
         ip address 192.168.1.3
         port 8080
         server-farm http

9、配置负载均衡策略

   loadbalance class c_http type http match-any
         match 1 url /   【匹配所有URL】

       loadbalance class c_https type http match-any
         match 1 url /   【匹配所有URL】

       loadbalance action http_https type http
         redirect relocation https://%h%p   【重定向为HTTPS加密的链接】

       loadbalance action to_server type http
         server-farm http sticky COOKIE     【调用实服务组HTTP以及持续性算法COOKIE】

       loadbalance policy ip_http_https type http
         class c_http action http_https     【针对http的链接重定向为https的链接】
         class c_https action to_server     【针对https的请求进行调度负载】

10、配置虚服务器

    virtual-server vs1 type http
          virtual ip address 61.159.4.100
          lb-policy ip_http_https           【调用负载均衡策略把http的链接重定向为https并负载】
          default server-farm http sticky COOKIE
          service enable
 
        virtual-server vs1_https type http
          port 443
          virtual ip address 61.159.4.100
          default server-farm http sticky COOKIE
          ssl-server-policy ca              【调用SSL策略,实现https卸载的需求】
          service enable

 

配置关键点及注意事项

1、CA证书和本地证书要匹配,导入时如果使用FTP方式请使用二进制方式传输

2、设备上import加载证书的时候根据证书实际情况包括格式、秘钥等信息配置

3、注意设备当前时间是否在证书的有效时长内

4、负载均衡策略配置中注意url格式匹配和重定向url格式配置


万分感谢您的回答,想请问我可以把V5平台升级到V7平台吗

zhiliao_OkKcK 发表时间:2018-11-14
0 个回答

该问题暂时没有网友解答

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明