将 SSL 与 Cisco 网络负载平衡器结合使用

网络工程 思科 路由器 负载均衡器
2021-07-10 02:54:13

我们有一个 Cisco 4700 ACE 路由器/负载平衡器,它位于我们的 DMZ 外部。

此外,我们还以循环模式将网络流量转发到 2 个 IIS 服务器。我们已经从外部向路由器开放了 SSL 端口 443,并在两个 IIS 服务器上设置了 SSL 证书,并正确绑定到证书。证书有效,根证书也受信任。

每当我们连接到路由器时,我们都会在接收请求的服务器上的 443 上收到 TCP 数据包,但随后连接停止并在 Web 浏览器中收到“未收到数据”。

是否可以让 SSL 在路由器后面的服务器上工作,或者是否需要在请求进入时终止 SSL?

如果当前设置没问题,那么问题是什么?

只是提供一些额外的信息,当我们跟踪数据包进入 IIS 服务器时,没有数据包发送之前的最后一个数据包是 HTTPS RST、ACK 数据包。

1个回答

负载平衡 SSL 很棘手。(我和几个同事拥有一项关于如何在不解码流量的情况下做到这一点的专利。)如果你有一个 1:1 的 NAT,那么应该没有问题......一切总是发生在同一个地方。如果您在主机之间建立连接,问题就会开始出现,除非 SSL 服务器具有共享的 SSL 会话缓存——我认为 IIS 不能。如果没有共享缓存,当连接被发送到不同的服务器时,会话恢复将是不可能的。

正如您所提到的,最常见的(不受专利保护的)方法是在单个点处理 SSL,然后从那里到内部 SSL 或非 SSL 服务器进行负载平衡。

其它你可能感兴趣的问题
上一篇配置stp端口快速bpdu根保护 下一篇连接交换机之间的多条链路