Segurança : Cisco Web Security Appliance

Sessão WCCP ao roteador/interruptor acima, mas consultando o acontecimento devendo distribuir edições

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Índice

Contribuído por Bhuiyan Muhaimeen e por Jai Koolwal, engenheiros de TAC da Cisco.

Pergunta:

Sessão WCCP ao roteador/interruptor acima, mas consultando o acontecimento devendo distribuir edições

Ambiente:

Ferramenta de segurança da Web de Cisco
Catalyst Switch, roteador, ASA

Sintomas:

A sessão WCCP é ascendente e trabalhando mas consultar não trabalha.

Em determinadas circunstâncias, a ferramenta de segurança da Web de Cisco pode falar ao roteador mas o tráfego do cliente não pôde passar. Nós veríamos que sessão WCCP está acima mas ainda nenhuma consultação está acontecendo.

A configuração de WCCP no Catalyst Switch é mínima (a reorientar-lista não é ligada a esta discussão mas não é reproduzida aqui para a integralidade):

lista de grupos 30 da reorientar-lista 130 do wccp 91 IP

relação Vlan20
VLAN 20 do cliente da descrição
endereço IP 192.168.20.1 255.255.255.0
o wccp 91 IP reorienta dentro

licença 10.66.71.17 da lista de acesso 30
licença IP da lista de acesso 130 algum log de 192.168.20.103 do host
o host 192.168.20.103 algum da licença IP da lista de acesso 130 registra

Nós veríamos que o WCCP está acima:

Wccp 91 d de Switch#sh IP
Informação cliente WCCP:

        Identificação de cliente WCCP:          10.66.71.17
        Versão do protocolo:        2.0
        Estado:                   Útil       
        Reorientação:             L2
        Retorno do pacote:           L2
        Pacotes reorientados:      0
        Tempo de conexão:            00:12:49
        Atribuição:              MÁSCARA

Mas consultar podia não acontece.

O problema encontra-se com a configuração de rota na ferramenta de segurança da Web de Cisco. Por exemplo, a ferramenta de segurança da Web de Cisco não pôde ter uma rota a receber de volta ao VLAN20. A configuração de rota detrabalho é como segue:

O problema está considerado geralmente se somente uma relação (M1) é usada para a ferramenta de segurança da Web de Cisco para o Gerenciamento e o tráfego de dados. No exemplo acima, nós temos a rota ao VLAN 30 através da segunda entrada e distribuímo-la ao dispositivo WCCP através da terceira entrada e a uma rota padrão a 10.66.71.1 para todas redes restantes. Contudo se 10.66.71.1 é o gateway ao Internet mas não sabe sobre como distribuir a 192.168.20.0/24 que distribuem então falharia e os navegadores cliente não poderão consultar.

Um teste do ping simples mostraria se nós temos uma rota de volta ao cliente.

s650a.lab (SERVIÇO) > sibilo 192.168.20.103

Pressione o Ctrl-c para parar.
PING 192.168.20.103 (192.168.20.103): 56 bytes de dados
^C--- estatísticas do sibilo de 192.168.20.103 ---
17 pacotes transmitidos, pacotes 0 recebidos, perda de pacotes de 100%

A solução a este problema é adicionar em uma rota na ferramenta de segurança da Web de Cisco de volta ao cliente VLAN.  Isto pode ser feito por:

Rota do > Add do WebUI > da rede > da rota 

Após ter adicionado isto, os sibilos devem fluir da ferramenta de segurança da Web de Cisco ao cliente e nós devemos ver o acontecimento da consultação nos clientes em VLAN20 (host 192.168.20.103 neste exemplo).

s650a.lab (SERVIÇO) > sibilo 192.168.20.103

Pressione o Ctrl-c a stop.PING 192.168.20.103 (192.168.20.103): 56 bytes de dados
64 bytes de 192.168.20.103: Senhora icmp_seq=0 ttl=127 time=0.835
64 bytes de 192.168.20.103: Senhora icmp_seq=1 ttl=127 time=0.343

^C--- estatísticas do sibilo de 192.168.20.103 ---
2 pacotes transmitidos, 2 pacotes recebidos, perda de pacotes de 0%
minuto/médio/máximo/stddev do round trip = 0.343/0.589/0.835/0.246 Senhoras

Note por favor que descobre a repetição de que este é uma da razão que consultar pôde falhar. Poderia haver outras razões pelas quais o WCCP estaria acima mas consultar não estaria trabalhando mas este é um de mais problemas comuns.



Document ID: 118257