Services de mise en réseau d'applications : Cache Engines de la gamme Cisco 500

Mise en cache de proxy HTTP et FTP en utilisant Cisco Cache Engine 550 et un pare-feu PIX Firewall

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document fournit une configuration d'échantillon pour le moteur de cache 550 de Cisco pour exécuter le Protocole HTTP (Hypertext Transfer Protocol)/Protocole FTP (File Transfer Protocol) cachant pour les types de fichier des MIMES (MIME) (RFC 2046) et pour des listes de répertoires de FTP.

Conditions préalables

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Conditions requises

Aucune condition préalable spécifique n'est requise pour ce document.

Composants utilisés

Les informations dans ce document sont basées sur les versions de logiciel et de matériel ci-dessous.

  • Moteur de cache 550 de Cisco qui exécute la version 2.51 de Logiciel de cache Cisco

  • Routeur de Cisco 2600 qui exécute la version de logiciel 12.2 de ½ du ¿  de Cisco IOSïÂ

  • Pare-feu de Cisco PIX qui exécute la version de logiciel 6.0(1) de Secure PIX Firewall

  • Serveur Web qui exécute l'Internet Information Server 4.0 sur le Windows NT 4.0 SP6a

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Théorie générale

Le besoin des clients intérieur de configurer explicitement leurs navigateurs pour utiliser un proxy du manuel HTTP/FTP à l'adresse IP du moteur de cache sur un port spécifié. Spécifiquement, les demandes FTP de style de ftp:// de traitements de moteur de cache au-dessus du transport de HTTP dans le mode proxy dans le mode passif et actif et en mode anonyme et authentifié (RFC 1738).

Le Pare-feu du Private Internet Exchange (PIX) devant le moteur de cache permet le trafic HTTP/FTP étant livré seulement de l'adresse IP simple du moteur de cache. Ceci signifie que les clients ne peuvent pas HTTP/FTP directement à l'extérieur. Puisque tout demande provenu juste une adresse IP, le moteur de cache impose la stratégie de sécurité de qui est et de qui n'est pas admis à HTTP/FTP dehors.

Configurez

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Remarque: Pour obtenir plus d'informations sur les commandes utilisées dans ce document, utilisez l'Outil de recherche de commande (clients enregistrés uniquement).

Diagramme du réseau

Ce document utilise cette configuration du réseau.

http://www.cisco.com/c/dam/en/us/support/docs/application-networking-services/500-series-cache-engines/12560-ssl-tunneling.jpg

Configurations

Ce document utilise les configurations suivantes.

  • Moteur de cache 550 qui exécute la version 2.51 de Logiciel de cache Cisco

  • Version de PIX 6.0 (1)

  • Routeur 2600

Moteur de cache 550 qui exécute la version 2.51 de Logiciel de cache Cisco
!
!
hostname tikka
!
interface ethernet 0
ip address 10.10.10.50 255.255.255.0
ip broadcast-address 10.10.10.255
bandwidth 10
halfduplex
exit
!
interface ethernet 1
exit
!
ip default-gateway 10.10.10.1
ip name-server 144.254.15.102
ip domain-name cisco.com
ip route 0.0.0.0 0.0.0.0 10.10.10.1
inetd enable ftp 12
cron file /local/etc/crontab
clock timezone CET -7 0
!
no bypass load enable
http max-ttl hours text 4 binary 8
http proxy incoming 8080
!
radius-server authtimeout 21
radius-server key ****
authentication login local enable
authentication configuration local enable
rule no-cache url-regex .*cgi-bin.*
rule no-cache url-regex .*aw-cgi.*
ftp proxy anonymous-pswd ****
ftp proxy incoming 8080
!
!

Version de PIX 6.0 (1)
PIX Version 6.0(1)
 nameif ethernet0 outside security0
 nameif ethernet1 inside security100
 nameif ethernet2 intf2 security10
 enable password 8Ry2YjIyt7RRXU24 encrypted
 passwd 2KFQnbNIdI.2KYOU encrypted
 hostname pix-cache
 fixup protocol ftp 21
 fixup protocol http 80
 fixup protocol h323 1720
 fixup protocol rsh 514
 fixup protocol smtp 25
 fixup protocol sqlnet 1521
 fixup protocol sip 5060
 fixup protocol skinny 2000
 names
 access-list restrict-access-out permit ip host 10.10.10.50 any
 access-list restrict-access-out deny ip any any
 


!--- This access-list allows any IP traffic for the 
!--- Cache Engine (UDP DNS queries are also needed to go through the PIX).


 pager lines 24
 logging on
 logging buffered debugging
 interface ethernet0 10baset
 interface ethernet1 10baset
 interface ethernet2 auto shutdown
 mtu outside 1500
 mtu inside 1500
 mtu intf2 1500
 ip address outside 172.17.241.47 255.255.255.0
 ip address inside 8.8.8.2 255.255.255.0
 ip address intf2 127.0.0.1 255.255.255.255
 ip audit info action alarm
 ip audit attack action alarm
 no failover
 failover timeout 0:00:00
 failover poll 15
 failover ip address outside 0.0.0.0
 failover ip address inside 0.0.0.0
 failover ip address intf2 0.0.0.0
 pdm history enable
 arp timeout 14400
 global (outside) 1 172.17.241.48
 nat (inside) 1 0.0.0.0 0.0.0.0 0 0


 
!--- The lines nat and global are meant for any other traffic that is not
!--- supposed to be proxied by the Cache Engine (for example, mail).
!--- You need to explicitly define an entry
!--- in the restrict-access-out ACL to permit 
!--- these outbound connections.


 access-group restrict-access-out in interface inside
 static (inside, outside) 172.17.241.50 10.10.10.50

 
!--- This static would be used to statically map the 
!--- Cache Engine to a specific external address.
 
 route outside 0.0.0.0 0.0.0.0 172.17.241.1 1
 route inside 10.10.10.0 255.255.255.0 8.8.8.1 1
 timeout xlate 3:00:00
 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323
 0:05:00 sip 0:30:00 sip_media 0:02:00
 timeout uauth 0:05:00 absolute
 aaa-server TACACS+ protocol tacacs+
 AAA-server RADIUS protocol radius
 no snmp-server location
 no snmp-server contact
 snmp-server community public
 no snmp-server enable traps
 floodguard enable
 no sysopt route dnat
 telnet 10.10.10.0 255.255.255.0 inside
 telnet timeout 5
 ssh timeout 5
 terminal width 80
 Cryptochecksum:7f08b39173bbe1302bd24273973c89de
 : end
 [OK]

Routeur 2600
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname suicide
!
enable password ww
!
username all
!
!
!
!
ip subnet-zero
no ip domain-lookup
!
cns event-service server
!
!         
!
!
!
!
!
!
interface FastEthernet0/0
 ip address 8.8.8.1 255.255.255.0
 no ip route-cache
 no ip mroute-cache
 speed 10
 half-duplex
!
interface Serial0/0
 no ip address
 shutdown
 no fair-queue
!
interface FastEthernet0/1
 ip address 10.10.10.1 255.255.255.0
 no ip route-cache
 no ip mroute-cache
 speed 10
 half-duplex
!
interface Serial0/1
 no ip address
 shutdown
!
ip classless
ip route 0.0.0.0 0.0.0.0 8.8.8.2
ip http server
!
line con 0
 exec-timeout 0 0
 transport input none
line aux 0
line vty 0 4
 password ww
 login
!
no scheduler allocate
end

Vérifiez

Cette section présente des informations que vous pouvez utiliser pour vous assurer que votre configuration fonctionne correctement.

Certaines commandes show sont prises en charge par l'Output Interpreter Tool (clients enregistrés uniquement), qui vous permet de voir une analyse de la sortie de la commande show.

2600 commandes de routeur

Vous n'avez pas besoin de configurer le routeur 2600 pour la mise en cache de proxy de FTP. Dans cet exemple, le routeur transmet par relais seulement paquets d'arrivée/sortants. L'exemple suivant affiche comment placer la proxy-mise en cache de FTP à un ftp server externe. Avec le HTTP, la procédure est identique. Le client configure le proxy de FTP dans le navigateur, l'indiquant 10.10.10.50:8080.

Tout le trafic passe par le moteur de cache. Dans le PIX, configurez une charge statique (sans le conduit) pour le moteur de cache. Les utilisateurs ne peuvent pas accéder à des sites de FTP sans utiliser le moteur de cache comme proxy. La configuration partielle suivante affiche un exemple de la façon faire ceci :

pix-cache#
pix-cache#show xlate
1 in use, 1 most used
Global 172.17.241.50 Local 10.10.10.50 static
pix-cache#show conduit
pix-cache#show outbound
pix-cache#

Afin d'imposer une stratégie de sécurité et bloquer les clients spécifiques pour accéder au FTP à l'extérieur, émettez la commande de bloc de règle.

rule block src-ip 10.10.10.11 255.255.255.0

Vous pouvez visualiser les statistiques du trafic caché (des hit de FTP) en émettant la commande de FTP de statistiques d'exposition dans le moteur de cache.

tikka#show statistics ftp
FTP Statistics
--------------
FTP requests Received = 27
FTP Hits
                                    Requests      Percentage

Number of hits =                     17            63.0 %
Bytes =                              358209        39.6 %
FTP Misses

                                    Requests      Percentage
Number of misses =                   10            37.0 %
Bytes =                              547368        60.4 %
Requests sent to Outgoing Proxy    = 0
Requests sent to origin ftp server = 10
FTP error count = 0

Dépannez

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

2600 commandes de routeur

Ces logs sont provenus le moteur de cache sur requête émise dans le navigateur de client :

tikka#debug http header all
tikka#debug ftp packets
tikka#
Http request headers received from client:
GET ftp://172.17.241.216/sample.txt HTTP/1.0
Referer: ftp://172.17.241.216/
Proxy-Connection: Keep-Alive
User-Agent: Mozilla/4.75 [en] (WinNT; U)
Pragma: no-cache
Host: 172.17.241.216
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, image/png, */*
Accept-Encoding: gzip
Accept-Language: en
Accept-Charset: iso-8859-1,*,utf-8
Mon Jul 2 06:40:59 2001: GET ftp://172.17.241.216/sample.txt HTTP/1.0
Referer: ftp://172.17.241.216/
Proxy-Connection: Keep-Alive
User-Agent: Mozilla/4.75 [en] (WinNT; U)
Pragma: no-cache
Host: 172.17.241.216
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, image/png, */*
Accept-Encoding: gzip
Accept-Language: en
Accept-Charset: ISO-8859-1,*,utf-8
Send Cmd : USER anonymous
Mon Jul 2 06:40:59 2001: Send Cmd : USER anonymous
Send Cmd : PASS XXXX
Mon Jul 2 06:40:59 2001: Send Cmd : PASS XXXX
Send Cmd : CWD sample.txt
Mon Jul 2 06:40:59 2001: Send Cmd : CWD sample.txt
Send Cmd : MDTM sample.txt
Mon Jul 2 06:40:59 2001: Send Cmd : MDTM sample.txt
get_reply_info(): Last Modified Time : 1942132164
Mon Jul 2 06:40:59 2001: get_reply_info(): Last Modified Time : 1942132164
Send Cmd : TYPE A
Mon Jul 2 06:40:59 2001: Send Cmd : TYPE A
Send Cmd : PASV
Mon Jul 2 06:40:59 2001: Send Cmd : PASV
Send Cmd : RETR sample.txt
Mon Jul 2 06:40:59 2001: Send Cmd : RETR sample.txt
Send Cmd : QUIT
Mon Jul 2 06:41:00 2001: Send Cmd : QUIT 

Informations connexes


Document ID: 12560