Serviços de rede de aplicativos : Mecanismos de cache Cisco 500 Series

Configurando a falsificação de IP no motor do esconderijo em uma instalação transparente com um Content Services Switch

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento fornece uma configuração de exemplo para cache transparente e falsificação de IP simultaneamente, sem usar o WCCP (Protocolo de comunicação de cache da Web) no Cisco Cache Engine e Cisco Content Services Switch (CSS) 11000 ou no balanceador de carga CSS 11500.

Antes de Começar

Convenções

Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco.

Pré-requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nas versões de software e hardware abaixo.

  • Põe em esconderijo o motor (CE) 500 Application and Content Networking Software running (ACNS) 4.2 ou mais atrasado

  • CSS11000 ou CSS11500

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se você estiver trabalhando em uma rede ativa, certifique-se de que entende o impacto potencial de qualquer comando antes de utilizá-lo.

Material de Suporte

O cache transparente significa que o tráfego de um cliente a um server está reorientado silenciosamente por um roteador ou por um 4 Switch da camada a um dispositivo do esconderijo (Cisco Cache Engine neste caso).

Se o dispositivo do esconderijo já tem uma cópia do índice o cliente está procurando, o esconderijo responderá em nome do server. Se o conteúdo não estiver presente no cache, o dispositivo tentará obtê-lo do servidor antes de atender à solicitação do cliente.

À revelia, o esconderijo contactará o server usando seu próprio endereço IP de Um ou Mais Servidores Cisco ICM NT. É às vezes necessário, contudo, usar o endereço IP cliente. Isto é praticável configurando a falsificação de IP.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Diagrama de Rede

Este documento utiliza a instalação de rede mostrada no diagrama abaixo.

ip_spoofing-a.gif

Configurações

Este documento utiliza as configurações mostradas abaixo.

  • CSS 11000

  • Cache Engine 500

CSS 11000
!Generated on 04/18/2003 09:30:41
!Active version: ap10500007s

configure

!*************************** GLOBAL ***************************
  no restrict web-mgmt 
  no restrict xml 
  bridge spanning-tree disabled 
  persistence reset remap 
  acl enable 

!--- An Access Control List (ACL) is needed. Enable the ACL.

 
  ip route 0.0.0.0 0.0.0.0 10.48.66.1 1 
  ip route 192.168.10.0 255.255.255.0 192.168.20.100 1 
  ip route 192.168.20.0 255.255.255.0 10.48.66.31 1 
  ip route 192.168.20.0 255.255.255.0 192.168.30.3 1
 

!--- Very important !!!!
!--- For the ECMP feature of the CSS to work, 
!--- you need one route pointing to the upstream router, 
!--- and one identical route pointing to the cache.
!--- The CSS will know which one to use based on where 
!--- the traffic came in first.


!************************* INTERFACE *************************
interface e1
  phy 100Mbits-FD 

interface e2
  bridge vlan 149 
  phy 100Mbits-FD 

interface e3
  bridge vlan 161 
  phy 100Mbits-FD 

!************************** CIRCUIT **************************
circuit VLAN1

  ip address 10.48.66.130 255.255.254.0 

circuit VLAN149

  ip address 192.168.10.70 255.255.255.0 

circuit VLAN161

  ip address 192.168.30.1 255.255.255.0 

!************************** SERVICE **************************
service agra 

!--- Definition of the cache device.

  ip address 192.168.30.3 
  type transparent-cache


!--- It is important to set the type to transparent-cache
!--- so that the CSS does not NAT the destination IP address.
!--- Only the destination MAC address is modified.



  port 80 
  active 
!**************************** EQL ****************************
eql CacheMe 

!--- Definition of what objects are cacheable.

  extension gif 
  extension html 
  extension pdf 
  extension zip 
  extension gz 

!*************************** OWNER ***************************
owner gilles 
  content ToCache 

!--- Definition of the content rule to redirect the traffic.
!--- No VIP address specified since you want to intercept all HTTP traffic.

  
    protocol tcp 
    port 80 
    url "/*" eql CacheMe 

!--- Redirect all requests of a cahceable object.
	 
    add service agra 
    active 
!**************************** ACL ****************************
acl 1 
  clause 10 bypass tcp any destination 192.168.10.2 eq 80

!--- This ACL is necessary to make sure that the HTTP requests from
!--- the cache itself are not intercepted by the content rule.


  clause 20 permit any any destination any 
  apply circuit-(VLAN161) 
acl 2 

!--- Permit all traffic for the other interfaces.

  clause 20 permit any any destination any 
  apply circuit-(VLAN149) 
  apply circuit-(VLAN1) 

Cache Engine 500
 
hostname CE500
! 
http l4-switch enable


!--- Tells the Cache Engine to accept traffic with any IP destination.

http l4-switch spoof-client-ip enable 


!--- This is a new command in ACNS 5.x. this command replaces the 
!--- wccp spoof-client-ip enable command.


!
!
!
!
!
!
exec-timeout 0
!
!
!
interface FastEthernet 0/0
 ip address 192.168.30.3 255.255.255.0
 exit
interface FastEthernet 0/1
 shutdown
 exit
!
!
ip default-gateway 192.168.30.1
!
primary-interface FastEthernet 0/0
!
!
!
logging console enable
!
!
!
!
!
!
!
wccp version 2
wccp spoof-client-ip enable


!--- This commands enable IP spoofing, and it works 
!--- even if you do not use WCCP. This command only works with
!--- WCCP redirected traffic if you have ACNS 5.x.
!--- Therefore, if you are using version 5.x of ACNS, this command
!--- should be replaced with the command http l4-switch spoof-client-ip enable
!--- mentioned above.


!
!
CE500#

Verificar

Esta seção fornece informações que você pode usar para confirmar se sua configuração está funcionando adequadamente.

A Output Interpreter Tool (somente clientes registrados) oferece suporte a determinados comandos show, o que permite exibir uma análise da saída do comando show.

Comandos show CSS11000

  • sumário da mostra — Mostra os contadores de acertos da regra de conteúdo para ver se o CSS é de recepção e de reorientação o tráfego.

  • mostre o nome do serviço — Mostra o estado do serviço.

Comandos do Cache Engine

  • mostre o nome do pedido HTTP stat — Mostra o número de pedido do HTTP recebido pelo esconderijo.

  • show stat http savings name — Mostra o número de acertos e perdas no Cache Engine.

Troubleshooting

Para solucionar esse problema, use os comandos acima. Na maioria das vezes, contudo, é necessário usar um sniffer a fim encontrar o caminho exato seguido pelo tráfego.

Você pode igualmente emitir o comando de rastreamento de fluxo CSS disponível debuga dentro o modo. Você obterá o melhor resultado com um sniffer contudo.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 42162