[CISCO] redirection trafic HTTP selon les URL Résolu/Fermé

Question

Bonjour,

Est-ce que quelqu'un aurait une idée pour pouvoir faire du load-balancing "light" avec un routeur CISCO d'entrée de gamme (je dispose d'un cisco 877 et d'aucun load-balancer matériel) ?
 
En fait, je voudrais faire pointer des URL sur des groupes de serveurs.
Mon idée de départ était d'avoir plusieurs entrées DNS et pour chaque entrée DNS, je pensais mettre plusieurs serveurs, chacun pourvu d'une adresse IP pulbique, en Round-Robin pour faire ma répartition de charge.
 
Actuellement, je suis en train de réfléchir un moyen de reproduire ce fonctionnement en TEST avec :
- un routeur CISCO 877
- une seule IP publique (donc mes 3 entrées DNS pointeront sur cette IP)
- pas de serveur intermédiaire entre le routeur et les serveurs de TEST
- 2 ou 3 serveurs sur le LAN
 
J'essaie donc actuellement de trouver une astuce au niveau du routeur pour que de l'extérieur, en attaquant une seule IP publique, je puisse rediriger le trafic HTTP sur des serveurs différents en fonction de l'URL (serviceA.xyz.com ou serviceB.xyz.com par exemple) qui est demandée.
 
 
J'ai bien vu qu'il existait des commandes spéciales SLB au niveau de l'IOS 12.4T, mais elles ne me sont pas disponibles malgré que je dispose d'un IOS 12.4(11)T Advanced Ip Services.
Il doit falloir un équipement équipé d'une carte spéciale pour cela (type 6500 series d'après ce que j'ai cru lire).
 
J'ai fait quelques recherches et j'ai pas encore trouvé mon bonheur.
J'ai pensé à :
- utiliser le routeur en mode serveur DNS mais même si j'arrive à résoudre un nom de domaine en IP interne, cela ne lui fait pas faire de translation automatique (actuellement j'arrive à faire en sorte qu'une requête DNS externe en stipulant le routeur comme serveur DNS me donne l'adresse privée du serveur à attaquer...c'est pas terrible niveau sécurité, mais il ne s'agit que d'un test pour le moment) 
- faire du NAT statique des requêtes HTTP, mais je ne trouve pas de moyen de faire de la translation d'une URL demandée en IP d'un serveur LAN...tout ce que j'arrive à faire pour le moment c'est de rediriger une adresse IP externe source attaquant un port sur une adresse IP interne et un port spécifique). 
 
L'idéal serait de réussir à faire en sorte qu'à partir d'une URL demandée, le routeur fasse une requête à son DNS interne et créer un NAT dynamique de l'adresse IP source ayant fait la requête vers le bon serveur (serveur choisi selon le principe de Round-Robin DNS). 
J'ai vu que le NAT dynamique était possible, mais je n'ai pas encore trouvé le moyen de le mettre en oeuvre, et encore moins selon le principe exposé ci-dessus.
 
J'ai sinon une dernière piste au niveau des commandes WCCP...je me demande si je ne peux pas détourner la finalité des fonctions de cache proxy, une idée là-dessus ?
 
 
En gros, est-ce que quelqu'un aurait une idée magique outre que de me dire d'utiliser des serveurs intermédiaires (sous LINUX par exemple) pour faire ça ?
Je voudrais éviter cette solution car elle s'éloigne de ce que je compte faire au final en PRODUCTION.


Merci d'avance pour tout aide que vous pourriez m'apporter.

schuma972 · Accepted Answer

Désolé j'étais pourtant sur de l'avoir éffacer
j'ai du envoyé l'autre fichié de config donc je renvoi le bon
sh run
Building configuration...

Current configuration : 2283 bytes
!
! Last configuration change at 16:40:10 UTC Sun Oct 7 2007
! NVRAM config last updated at 16:03:39 UTC Sun Oct 7 2007
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!

!
boot-start-marker
boot-end-marker
!

!
no aaa new-model
!
resource policy
!
!
!
ip cef
!
!
!

!
!
!
! 
!
!
!
!
interface FastEthernet0
 ip address 192.168.2.252 255.255.255.0
 ip mtu 1492
 ip nat inside
 ip virtual-reassembly
 ip tcp adjust-mss 1452
 duplex auto
 speed auto
!
interface BRI0
 no ip address
 encapsulation hdlc
 shutdown
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
!
interface FastEthernet5
!
interface FastEthernet6
!
interface FastEthernet7
!
interface FastEthernet8
!
interface ATM0
 no ip address
 ip nat outside
 ip virtual-reassembly
 no atm ilmi-keepalive
 pvc 8/35 
  pppoe-client dial-pool-number 1
 !
 dsl operating-mode auto 
 hold-queue 224 in
!
interface Vlan1
 no ip address
!
interface Dialer1
 ip address 
 ip mtu 1492
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 ip tcp adjust-mss 1452
 dialer pool 1
 ppp authentication chap callin
 ppp chap hostname 
!ppp chap password 
ip route 0.0.0.0 0.0.0.0 Dialer1
ip route 192.168.2.0 255.255.255.0 fastEthernet0
!
!
no ip http server
no ip http secure-server
ip nat inside source list 1 interface Dialer1 overload
ip nat inside source static tcp 192.168.2.50 20 xx.xx.xx.xx 20 extendable
ip nat inside source static tcp 192.168.2.50 21 xx.xx.xx.xx. 21 extendable
ip nat inside source static tcp 192.168.2.8 80 xx.xx.xx.xx 80 extendable
!
access-list 1 permit 192.168.2.0 0.0.0.255
!
!
!
!
!
!
control-plane
!
!
line con 0
 
 login local
 length 0
line aux 0
line vty 0

 login local
line vty 1 4
 login
!
!
webvpn context Default_context
 ssl authenticate verify all
 !
 no inservice
!
end
voila celle que je devai envoyé

brupala · Answer

salut,
les fonctionnalités que tu indiques sont réalisées sur de coûteux switchs L7 en principe, pas sur un routeur entrée de gamme (même s'il a des fonctions firewall) il ne faut pas trop en demander tout de m^me .

yoyomaster · Answer

Bonjour,

Merci pour la réponse.
Je sais qu'il existe des équipements couteux pour ça, mais j'avais tout de même un secret espoir de pouvoir ruser avec du matériel d'entrée de gamme...notamment avec la notion de NAT dynamique et l'utilisation d'un DNS interne.

Mais bon, je vais devoir faire autrement.

Merci tout de même.

altecortega · Answer

Salut,

Je pense que tu peux réaliser ça en redirigeant le port 80 vers un de tes serveurs, et en installant le service DNS sur ce serveur la. Ensuite, tu fais des redirections DNS sur ce serveur vers les URL que tu veux. Si les sites sont en local (serveurs IIS), tu dois changer le host header des sites pour les faire correspond à ta DNS dynamique (si tu utilise ...)

@+ 

Altec

altecortega · Answer

[quote]L'idéal serait de réussir à faire en sorte qu'à partir d'une URL demandée, le routeur fasse une requête à son DNS interne et créer un NAT dynamique de l'adresse IP source ayant fait la requête vers le bon serveur (serveur choisi selon le principe de Round-Robin DNS). 
[/quote]

Dans ce cas, tu peux substituer un serveur DNS dédié au lieu d'un DNS dans ton routeur, en redirigeant une DMZ vers ce serveur dédié .......

brupala · Answer

schuma972,
j'ai effacé ton message, car il apporte un gros risque d'intrusion sur le routeur en question .
stp, ne poste pas la configuration en entier ou masque les adresses ip publiques .

schuma972 · Answer

pour le: ip mtu 1492 je le savai pas merci pour l'info 
pour : ip route 192.168.2.0 255.255.255.0 fastEthernet0  
je c'est que ca ne sert a rien mais j'ai essayé pour voir quand meme si ca me permettais de faire fonctionner.
ben le probleme c'est que depuis l'extérieur je n'accede pas au serveur ftp pour le site web il est en construction pour le moment ce n'est pas moi ki m'occupe de cette parti moi je dois juste préparer le cisco pour que le serveur ftp et web passe et qu il surf.

brupala · Answer

le serveur 2.50 n'est pas connecté ?
donc, tu ne peux pas tester ?
le serveur http 2.8 est accessible depuis l'extérieur ?
pourquoi dis tu que ça ne fonctionne pas ?

schuma972 · Answer

si le 2.50 est connecté en interne ca fonctionne bien mais dès que j'essai de l'exterieur ca fonctionne pas
et la je suis parti avec le routeur chez moi pour faire mon fichier de conf et mes testes donc g installé sur mon serveur un serveur ftp
et  ca ne passe pas que ce soit en tapant l'@ip fix ou le nom DNS dans filezila et avec l'@ip interne ca fonctionne bien

schuma972 · Answer

j'ai refai un fichier conf avec mes identifiant mon adresse ip et je teste depui chez ma grand mere ki habite a deux pas

schuma972 · Answer

oui j'ai fait tout ca mais par contre on m'avais dit et je trouvai ca louche quand meme que la bonne phrase c'etait 
ip nat inside source static tcp 192.168.2.50 21 interface fastethernet 0 21 
et depui un moment ca me demange de tester avec dialer1 21 pour voir merci je vais essayer et je te tiens informé.
encore merci..

schuma972 · Answer

Bonjour, 
alors je viens au  info j'ai testé avec ip nat inside source static tcp ....... interface DIALER1 et c amarche enfin ca fonctionne super bien apres plusieur heures de teste j'ai pu allé livré le matériels et le clients etai super content car il ma dit que ca fait 9mois qu il avait le cisco et qu il pensai le jetter pour acheter un neuf car pour lui c'etait le cisco qui merdait car personne n'avais reussi a le configurer ne serait ce que pour surfer.
donc encore une fois un grand merci car j'ai pu approfondir mes connaissances et cela me motive encore plus pour faire une certification cisco, aller ciao @+
                              Mickaël de madinina...

schuma972 · Answer

Bonjour, 
merci pour ton soutiens ca me fai tres plaisir, et pour les règles de sécurité si tu as envi de m'apprendre 2 ou 3 truc moi je suis preneur
car je m interresse de + en + a cette univers qui est Cisco donc surtt ne te gène pas je te laisse mon email si tu vx c le:
mickael_canton@hotmail.com
et encore merci

[CISCO] redirection trafic HTTP selon les URL

13 réponses

Discussions similaires