SSL基本结构的集中管理

　　BIG-IP的网络设置
　　管理员必须首先配置BIG-IP对.使用Dell的快速部署工具, 管理员能配置基本的主机和网络信息, 例如VLAN, 主机名称,Web管理员的名称以及密码.

　　在这里例子中使用三个VLAN: 一个为外部的网络服务(自身的IP 153.142.10.111-112/255.255.255.0, 第二个 IP 153.142.10.115)另外两个为内部网络服务自身的IP 192.168.10.101-102/255.255.255.0, 第二个 IP 192.168.10.100; 自身的IP10.10.10.101-102/255.255.255.0, 第二个 IP 10.10.10.100). 自身的 IP是每个BIG-IP与VLAN通信的IP地址. 第二个IP是由冗余对中的活动的BIG-IP使用的与其他的服务器中的BIG-IP连接. 在两个内部的网络中, 一个 (192.168.10.X) 是与提供安全处理的电子商务服务器连接,另一个与提供解密内容的Web服务器连接.

　　网络管理员是在配置初始时定义的, 能通过任何网络访问BIG-IP配置工具. 这个基于Web的工具允许管理员创建缓冲池和虚拟服务器以及管理节点.管理员也可以通过在一个内部网络中的主机的浏览器中输入https://192.168.10.100/ 或https://10.10.10.100/来访问这个活动的BIG-IP的配置工具.

　　一旦连接到配置工具, 管理员能够将后台的服务器组织到两个分别称为SECURE 和WEB 的不同的缓冲池中. SECURE 缓冲池包括IP地址为192.168.10.X 的服务器, 这种服务器能够运行应用程序和处理器从客户端收到的请求. WEB缓冲池由IP地址为10.10.10.X 的Web服务器组成, 这种服务器进行有规则的数据操作.在BIG-IP上创建两个虚拟的服务器: VS1(153.142.10.101) 驻留在前端的SECURE缓冲池中,而VS2 (153.142.10.102) 驻留在前端的WEB缓冲池中. VS1和VS2的DNS名称分别为https://buy.compxyz.com 和http://www.compxyz.com. 管理员现在可以通过将冗余的BIG-IP与活动的BIG-IP进行同步以便它们能够保持相同的状态.

　　当完成了BIG-IP系统的配置后, 管理员改变了后台Web服务器的默认网关以便使它指向BIG-IP的内部接口. 为了完成这个任务, 管理员将电子商务服务器的默认网关改为192.168.10.100 ,将Web服务器的默认网关改为10.10.10.10

　　配置SSL终结
　　为了配置SSL 终结,管理员必须获得由CA认证的证书并架设一个SSL代理. 管理员使用配置工具产生一个CSR并将它提交给CA. 当接收到一个正确的证书后, 管理员将它安装到一个BIG-IP上.

　　当在BIG-IP对上安装完了证书后, 管理员改变VS1的地址（就是驻留在前端的SECURE 池中的）为127.0.0.1. 管理员然后创建一个SSL代理给它分配一个IP地址为153.142.10.100; 它的目标虚拟服务器是VS1. 客户端也能够通过https://153.142.10.100/访问这个安全站点.当加密数据到达IP地址为153.142.10.100的SSL代理后,它首先解密,然后发送到VS1, 并最终转到SECURE 缓冲池.

　　提供持续性工作
　　配置的最后的步骤是提供这个Web服务器组的持续运行.因为BIG-IP解密所有的数据,更多的持续性选项变得可用. BIG-IP能够持续的检测信息的 HTTP报头例如SSL 任务IDs 或 HTTPcookies. 更新的MicrosoftIE浏览器 包括了一个安全功能,能够重新判断Web 服务器上的SSL任务的.

　　由于 BIG-IP 可以解密所有数据，因此就可以应用更多可用选项。BIG-IP 可以检查HTTP 头并根据SSL 会话ID 或HHTP Cookies的信息完成连续执行操作。新版本的Microsoft? Internet Explorer 浏览器包含安全特性可以与Web服务器的SSL 会话 ID完成重新数据协商操作。该特性根据会话ID 持续运行因此不适合应用于电子商务Web站点，但是非常适用于负载均衡其它加密应用程序。

　　BIG-IP 工具提供了四种类型的基于HTTP cookie 的persistence:插入模式, 重写模式,被动模式, 和 细分模式 mode. 在插入模式中, BIG-IP创建和写cookie到服务器响应的HTTP报头中. 在重写模式中, 服务器创建cookie 但是被会被BIG-IP覆盖. 在被动模式中, 后台服务器创建cookie, 这中间包括了足够的供BIG-IP负载均衡流量的使用的信息.在细分模式中,BIG-IP 创建一个cookie的细分以便返回的通信能够被传送到负载均衡组中的正确的服务器中.

　　为了避免对后台服务器的任何重新配置, 管理员选择插入模式cookie. 当一个客户返回到一个Web 站点时, 他通过cookie 就已经驻留在BIG-IP中了.该站点的信息就已经存储在cookie 中, 当客户下次再访问这个站点时会很快的显示出来了. 管理员通过persistence 功能可以提供一个完整的电子商务站点了.

　　发现BIG-IP另外的好处
　　BIG-IP工具提供了几个SSL实施之外的功能.它能负载均衡各种不同类型的应用程序,,或后台数据库. 在一个单一的Web组中, 一个BIG-IP也能检测进入的通信的HTTP的报头然后将它们直接发送给不同类的服务器.

　　使用BIG-IP进行集中的SSL管理

　　Dell PowerEdge LoadBalancing Server-BIG-IP Powered 提供了一种性价比很高的方法来管理当今复杂的Web服务器结构中的Web站点的加密性.通过结合SSL证书管理, BIG-IP 帮助我们减少了复杂性和整体拥有成本; 通过对SSL流量的负载均衡, BIG-IP增加了Web站点的性能.