Segurança : Cisco Adaptive Security Appliance (ASA) Software

WCCP no ASA: Conceitos, limitações, e configuração

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Este documento descreve conceitos, limitações, e configuração do protocolo web cache coordination (WCCP) em uma ferramenta de segurança adaptável de Cisco (ASA). O WCCP é um método por que o ASA pode reorientar o tráfego a um WCCP que põe em esconderijo o motor através de um túnel de encapsulamento de roteamento genérico (GRE).

Contribuído por Sourav Kakkar, engenheiro de TAC da Cisco.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

  • Versão 2 do Web Cache Communications Protocol (WCCP) (v2)
  • Ferramentas de segurança adaptáveis de Cisco (ASA)
  • Software adaptável da ferramenta de segurança de Cisco (ASA); leia manuais de configuração para a compatibilidade
  • Cache de Proxy
  • Reorientação

Cisco igualmente recomenda que você compreende as limitações da configuração de WCCP no ASA, como explicado nestes documentos:

Componentes Utilizados

A informação neste documento é baseada na versão 2 do Web Cache Communications Protocol (WCCP) (V2).

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter informações sobre convenções de documentos.

Vista geral WCCP e ASA

O WCCP especifica interações entre ou mais roteadores e uns ou vários caches de web. A finalidade da interação é estabelecer e manter o redirecionamento transparente dos tipos selecionado de tráfego que correm através de um grupo de Roteadores. O tráfego selecionado é reorientado a um grupo de caches de web a fim aperfeiçoar o USO de recurso e um mais baixo tempo de resposta.

Para o WCCP, o ASA escolhe o endereço IP de Um ou Mais Servidores Cisco ICM NT o mais alto configurado em uma relação e nos usos que como o Router ID. Este é exatamente o mesmo processo que o Open Shortest Path First (OSPF) segue para o Router ID.  Quando o ASA reorienta pacotes ao motor do esconderijo (CE), as fontes ASA a reorientação do endereço IP de Um ou Mais Servidores Cisco ICM NT do Router ID (mesmo se é originado para fora uma relação diferente) e encapsulam o pacote em um cabeçalho de GRE.

A conexão GRE é unidirecional. O ASA encapsula pacotes reorientados no GRE e envia-os ao motor pondo em esconderijo. O ASA não processa nenhuma respostas GRE-encapsulada do CE. O CE precisa de comunicar-se diretamente ao host interno.

O fluxo do trabalho para a reorientação tem estas etapas:

  1. O host usa o gateway padrão do ASA a fim abrir a conexão de HTTP.
  2. O ASA reorienta o pacote (encapsulado no GRE) ao CE.
  3. O CE verifica ou atualiza o esconderijo para o local pedido.
  4. O CE responde diretamente ao host.
    • Todos os pacotes externos do host são reorientados do ASA ao CE.
    • Todos os pacotes de entrada do server ao host são dirigidos do CE ao host.

 116046-config-wccp-asa-01.jpg

O ASA executa WCCP V2. Se os suportes de servidor WCCP V2, ele forem compatíveis.

Redirecionamento de WCCP

O WCCP V2 define os mecanismos que permitem os ou mais roteadores permitidos para que o redirecionamento transparente descubra, verifique, e anuncie a Conectividade a uns ou vários caches de web. Estas são as etapas no redirecionamento de WCCP:

  1. O usuário incorpora uma URL em um navegador.
  2. A URL é enviada ao Domain Name System (DNS) para o address resolution.
  3. A URL é resolvida ao endereço IP de Um ou Mais Servidores Cisco ICM NT do servidor de Web.
  4. O cliente inicia uma conexão ao server com um pedido SYN.
  5. No roteador ativo, o serviço do cache de web WCCP intercepta o pedido do HTTP (porta TCP 80) e reorienta o pedido aos esconderijos baseados na distribuição de carga configurada:
    • Se há um hit de cache, o CE responde ao GET original com o conteúdo requisitado e usa o endereço IP de origem do servidor de origem no bloco da resposta.
    • Se o conteúdo requisitado não é armazenado já no CE, há uma falha de cache:
      1. O CE estabelece uma conexão ao servidor de origem, usa seu próprio endereço IP de Um ou Mais Servidores Cisco ICM NT como a fonte, e envia o HTTP GET.
      2. O server responde ao CE com índice.
      3. O CE escreve uma cópia do conteúdo passível de cache ao disco.

Grupos de serviço WCCP

Uma vez que a Conectividade é estabelecida, o Roteadores e os caches de web formam grupos de serviço a fim segurar a reorientação do tráfego cujas as características são parte da definição do grupo de serviço.

Um cache de web transmite uma mensagem WCCP2_HERE_I_AM a cada roteador no grupo intervalos HERE_I_AM_T (10) em segundos a fim juntar-se e manter a sua sociedade em um grupo de serviço. A mensagem pode ser pelo unicast a cada roteador ou pelo Multicast ao endereço de multicast configurado do grupo de serviço.

  • O componente da informação de identidade do cache de web na mensagem WCCP2_HERE_I_AM identifica o cache de web pelo endereço IP de Um ou Mais Servidores Cisco ICM NT.
  • O componente da informação do serviço da mensagem WCCP2_HERE_I_AM identifica e descreve o grupo de serviço em que o cache de web deseja participar.
Grupo de serviçoTipoDescrição
Serviço 0Cache de webServiço de ocultação da Web que permite o ASA reorientar o tráfego de HTTP ao CE.
Serviço 53DNSServiço de ocultação DNS que permite o ASA reorientar transparentemente pedidos do cliente de DNS ao motor do cliente.
Serviço 60FTP-nativoServiço de ocultação que permite o ASA reorientar transparentemente pedidos nativos FTP a uma porta única no Content Engine.
Serviço 70https-esconderijoServiço de ocultação que permite o ASA interceptar o tráfego TCP da porta 443 e reorientar este tráfego HTTPS ao Content Engine.
Serviço 80rtspServiço da fluência de mídia que permite o ASA reorientar pedidos do cliente do Real-Time Streaming Protocol (RTSP) a uma porta única no Content Engine.
Serviço 81mmstServiço de ocultação dos media que permite o ASA usar a reorientação com base em TCP do servidor de mídia de Microsoft (MMST) a fim distribuir pedidos do cliente da tecnologia do Windows Media (WMT) à porta TCP 1755 no Content Engine.
Serviço 82mmsuServiço de ocultação dos media que permite o ASA usar o User Datagram Protocol (UDP) - reorientação baseada do servidor de mídia de Microsoft (MMSU) a fim distribuir pedidos do cliente WMT à porta 1755 UDP no Content Engine.
Serviço 83WMT-RTSPServiço da fluência de mídia que permite que o ASA reoriente pedidos RTSP dos clientes do serviço 9 do Windows Media à porta 5005 UDP o no CE.
Preste serviços de manutenção a 90-97usuário configurávelServiços definidos pelo utilizador WCCP que apoiam até oito portas para cada serviço WCCP. Quando você configura estes serviços definidos pelo utilizador, você deve especificar se reorientar o tráfego ao HTTP que põe em esconderijo o aplicativo, ao aplicativo HTTPS, ou ao aplicativo fluente no Content Engine.
Serviço 98costume-Web-esconderijoServiço de ocultação que permite o ASA reorientar transparentemente o tráfego de HTTP ao Content Engine em portas múltiplas diferentes da porta 80.
Serviço 99proxy reversoServiço de ocultação que permite o ASA reorientar o tráfego do proxy reverso HTTP ao Content Engine na porta 80.

Um grupo de serviço é identificado pelo tipo de serviço e pelo ID de serviço. Há dois tipos de grupos de serviço:

  • Serviços conhecidos
  • Serviços dinâmicos

Os serviços conhecidos são conhecidos pelo ASA e pelos caches de web e não exigem uma descrição a não ser um ID de serviço.

Ao contrário, os serviços dinâmicos devem ser descritos a um ASA. O ASA pode ser configurado para participar em um grupo de serviço dinâmico particular, identificado pelo ID de serviço, sem nenhum conhecimento das características do tráfego associado com esse grupo de serviço. A descrição do tráfego é comunicada ao ASA na mensagem WCCP2_HERE_I_AM do primeiro cache de web a fim juntar-se ao grupo de serviço. Um cache de web usa os campos do protocolo, das bandeiras do serviço, e de porta do componente da informação do serviço a fim descrever um serviço dinâmico. Uma vez que um serviço dinâmico foi definido, o ASA rejeita toda a mensagem subsequente WCCP2_HERE_I_AM que contiver uma descrição de oposição. O ASA igualmente rejeita uma mensagem WCCP2_HERE_I_AM que descreva um grupo de serviço para que não foi configurado.

Os números 0 254 são serviços dinâmicos, e o serviço do cache de web é um padrão, ou conhecido, serviço. O que este os meios são que quando o serviço do cache de web é especificado, o protocolo WCCP V2 predefiniu que o tráfego da porta do destino 80 TCP deve ser reorientada. Para os números 0 254, cada número representa um grupo de serviço dinâmico. O WCCP CE (tais como Bluecoat) é definir um grupo de protocolos e de portas que devem ser reorientada para cada grupo de serviço. Então, quando o ASA for configurado com esse mesmo número de grupo de serviço (wccp 0… ou wccp 1…), o ASA executa a reorientação nos protocolos especificados e nas portas como dirigidas pelo dispositivo de Bluecoat.

Este é um exemplo que mostre a informação de identidade do cache de web:

116046-config-wccp-asa-02.jpg

Este é um exemplo que mostre que o cache de web é parte do grupo de serviço 0:

116046-config-wccp-asa-03.jpg

Este é um exemplo que mostre um server do cache de web como parte do grupo de serviço de cliente 91 e das portas cujo o tráfego é reorientado ao server:

116046-config-wccp-asa-04.jpg

O ASA responde a uma mensagem WCCP2_HERE_I_AM com uma mensagem WCCP2_I_SEE_YOU.

  • Se a mensagem WCCP2_HERE_I_AM era unicast, o roteador responde imediatamente com uma mensagem do unicast WCCP2_I_SEE_YOU.
  • Se a mensagem WCCP2_HERE_I_AM era Multicast, o roteador responde com a mensagem programada do Multicast WCCP2_I_SEE_YOU para o grupo de serviço.

Este é um exemplo do router/ASA “que eu o ver” a mensagem, que mostra que o roteador se junta ao grupo de serviço 91 e reorienta as portas 80, 8080, e 443 ao server do cache de web:

116046-config-wccp-asa-05.jpg

Este é um exemplo de um pacote GRE:

116046-config-wccp-asa-06.jpg

Configurar

Nota: Na reorientar-lista, a lista de acessos deve somente conter endereços de rede. As entradas de específico de porta não são apoiadas.

Nota: Para obter mais informações sobre do comando do wccp, veja a referência de comandos do 5500 Series de Cisco ASA, 8.2

Este procedimento descreve como configurar o WCCP em um ASA:

  1. Incorpore o comando do wccp a fim especificar o tráfego para reorientar:

    wccp {web-cache | service_number} [redirect-list access_list] [group-list access_list] 
    [password password]
  2. Incorpore o comando do wccp a fim especificar a relação em que a reorientação do tráfego deve ocorrer:

    wccp interface interface_name {web-cache | service_number} redirect in

Nota: O WCCP reorienta é apoiado somente no ingresso de uma relação.

Este é um exemplo de uma configuração ASA:

access-list caching permit ip source_subnet mask any
wccp 90 redirect-list caching
wccp interface 90 redirect in
Helpful Commands:
show wccp
show wccp 90 service -> this should indicate the ports that are being serviced by this WCCP
server. Without the 'service-flags ports-defined' in the Cache server configuration, the ports
to be redirected are NOT passed to the ASA. Therefore, the traffic will never be redirected.
This will result in 'Unassigned' increases with 'show wccp'.

ASA# show wccp 90 service

WCCP service information definition:
Type:          Dynamic
Id:            90
Priority:      0
Protocol:      6
Options:       0x00000013
--------
Hash:      SrcIP DstIP
Alt Hash:  -none-
Ports:     Destination:: 80 8080 0 0 0 0 0 0

ASA# show wccp 90 view

WCCP Routers Informed of:
X.X.X.X [Higher IP address on the device will be seen here]

WCCP Cache Engines Visible:
Y.Y.Y.Y [IP address of the web-cache server in the service-group 91]

Nota: Use a Command Lookup Tool ( somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Verificar

No momento, não há procedimento de verificação disponível para esta configuração.

Troubleshooting

Se a reorientação não trabalha como esperado, use estas saídas a fim pesquisar defeitos. Todas estas saídas estão no ASA.

  • show tech-support
  • mostre o wccp [serviço|vista|mistura|cubeta|detalhe]
  • a tabela asp da mostra classifica

Se a saída destes três comanda os olhares válidos, você pôde então precisar:

  • Reveja os Syslog apropriados.
  • Use o comando capture a fim investigar captações entre a relação ASA e o IP de servidor do cache de web e captações entre o cliente e o servidor de Web que está tentando alcançar.

A ferramenta Output Interpreter (clientes registrados somente) apoia determinados comandos de exibição. Use a ferramenta Output Interpreter a fim ver uma análise do emissor de comando de execução.

Informações Relacionadas


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 116046