Segurança : Cisco Web Security Appliance

Exemplo da configuração de WCCP para o catalizador 3560 ou 3750

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Contribuído pelo alerta de Jason e pelo Siddharth Rajpathak, engenheiros de TAC da Cisco.

Pergunta

Como você configura um Protocolo de Comunicação de Cache da Web (WCCP) em um Cisco Catalyst 3560 ou 3750 Switch?

Ambiente: Ferramenta de segurança da Web de Cisco (WSA) e Cisco catalyst 3560 ou 3750

O WCCP é apoiado somente nos Serviços IP do corredor do catalizador 3560/3750 ou nos conjuntos de recursos avançados dos Serviços IP, em IO 12.2(25) e mais atrasado. O conjunto de recursos de base IP não apoia o WCCP. O WCCP é apoiado somente nos moldes de SDM que apoiam o PBR: acesso, roteamento, e roteamento IPv4/v6 duplo.

Nestes exemplos, use o molde do “roteamento”.

Ajustando o molde de SDM no catalizador 3560/3750:
Switch(config)#o sdm prefere distribuir
Switch(config)#faça o mem do wr
Switch(config)#reload

Nota:  Uma repartição é exigida para que a mudança do molde de SDM tome o efeito.

Configuração de WCCP básica:
Switch(config)#cache de web do wccp IP
Switch(config)#<client_vlan_int> da relação
Interruptor (config-if) #o cache de web do wccp IP reorienta dentro
!
! e não esqueça salvar a configuração
!
Interruptor (config-if) #faça o mem do wr


Usando levemente mais configuração avançada, uma reorientar-lista WCCP pode ser usada para excluir determinadas redes de destino do redirecionamento de WCCP.  Neste exemplo, exclua todo o tráfego destinado para endereços do RFC1918 da reorientação.

Configuração de WCCP com Reorientar-lista:
Switch(config)#a lista de acesso 110 nega a IP todo o 10.0.0.0 0.255.255.255
Switch(config)#a lista de acesso 110 nega a IP todo o 172.16.0.0 0.15.255.255
Switch(config)#a lista de acesso 110 nega a IP todo o 192.168.0.0 0.0.255.255
Switch(config)#licença IP algum algum da lista de acesso 110
Switch(config)#reorientar-lista 110 do cache de web do wccp IP
!
! Com reoriente a lista, tráfego aos destinos internos não será
! reorientado, e contorneará Cisco WSA
!
Switch(config)#<client_vlan_int> da relação
Interruptor (config-if) #o cache de web do wccp IP reorienta dentro
!
! e não esqueça salvar a configuração
!
Interruptor (config-if) #faça o mem do wr


Para redes com requisitos de segurança mais estritos, uma lista de grupos pode ser usada para restringir os endereços IP de Um ou Mais Servidores Cisco ICM NT que são permitidos se juntar ao grupo de serviço WCCP, e uma senha WCCP pode ser permitida.  Neste exemplo, use uma reorientar-lista, uma lista de grupos (que supõem nós temos WSAs em 192.168.50.2 e em 192.168.50.3), e uma senha WCCP.

Configuração de WCCP com Reorientar-lista, lista de grupos, e senha WCCP:

!
! nós usaremos a lista de acessos 110 para a reorientar-lista
!
Switch(config)#a lista de acesso 110 nega a IP todo o 10.0.0.0 0.255.255.255
Switch(config)#a lista de acesso 110 nega a IP todo o 172.16.0.0 0.15.255.255
Switch(config)#a lista de acesso 110 nega a IP todo o 192.168.0.0 0.0.255.255
Switch(config)#licença IP algum algum da lista de acesso 110
!
! nós usaremos a lista de acessos 20 para a lista de grupos
!
Switch(config)#licença 192.168.50.2 da lista de acesso 20
Switch(config)#licença 192.168.50.3 da lista de acesso 20
!
! permita o ID de serviço 0 do wccp (cache de web) com senha 12345
!
Switch(config)#senha 12345 da lista de grupos 20 da reorientar-lista 110 do cache de web do wccp IP
!
! Com reoriente a lista, tráfego aos destinos internos não será
! reorientado, e contorneará Cisco WSA
!
Switch(config)#<client_vlan_int> da relação
Interruptor (config-if) #o cache de web do wccp IP reorienta dentro
!
! e não esqueça salvar a configuração
!
Interruptor (config-if) #faça o mem do wr



Características Unsupported WCCP
  • O redirecionamento de pacote em uma interface externa que seja configurada usando o wccp IP reorienta para fora o comando interface configuration. Este comando não é apoiado.
  • O método de encaminhamento GRE para o redirecionamento de pacote não é apoiado.
  • O método de atribuição da mistura para o Balanceamento de carga não é apoiado.
  • Não há nenhum apoio SNMP para o WCCP.


Nota: Ao usar ID dinâmicos, a configuração é idêntica, exceto incorpora o número do ID de serviço no lugar da palavra-chave do cache de web.

Nota: Para o serviço dinâmico ID, Cisco recomenda usar ID 90 - 97 para assegurar a compatibilidade com a maioria de dispositivos.

Mais informação pode ser encontrada nos manuais de configuração do software de Catalyst Switch:

3560: http://www.cisco.com/en/US/docs/switches/lan/catalyst3560/software/release/12.2_44_se/configuration/guide/swwccp.html
3750: http://www.cisco.com/en/US/docs/switches/lan/catalyst3750/software/release/12.2_44_se/configuration/guide/swwccp.html


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 118006