Services de mise en réseau d'applications : Cache Engines de la gamme Cisco 500

Configuration de la tunnellisation SSL avec Cisco Cache Engine 2.2

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Cette configuration d'échantillon t'affiche comment installer un moteur de cache de Cisco pendant qu'un serveur proxy du protocole de transfert hypertexte sécurisé (HTTPS) pour transmettre par relais les demandes de HTTPS-au-dessus-HTTP qui sont initiées par les navigateurs de clients, qui ont été configurés pour indiquer le trafic HTTPS le cache de Web.

Le moteur de cache ne peut pas terminer le trafic de Protocole SSL (Secure Socket Layer), ainsi le Web Cache Communication Protocol (WCCP) et la mise en cache transparente ne peuvent pas être utilisés. Le client tentera d'ouvrir une session SSL avec le moteur de cache en mode transparent et puisque le moteur de cache a un certificat ssl, il ne pourra pas terminer la session et la connexion échouera. Le moteur de cache peut passer le trafic dans le mode proxy mais ceci exige que tous les navigateurs utilisant le moteur de cache pour des demandes SSL font placer leur adresse de proxy au moteur de cache pour des protocoles sécurisés. Ceci est fait individuellement sur chaque navigateur.

Le moteur de cache crée une connexion au serveur d'origine directement ou par un autre serveur proxy et permet au client web et au serveur d'origine pour installer un tunnel SSL par le moteur de cache. Le trafic HTTPS est chiffré et ne peut pas être interprété par le moteur de cache ou n'importe quel autre périphérique entre le client web et le serveur d'origine. Des objets HTTPS ne sont pas cachés.

Remarque:  PIX ne peut pas regarder dans les paquets SSL, ainsi le FTP SL ne fonctionne pas avec la commande de fixup. Le FTP sécurisé encapsule une copie de l'adresse IP d'hôte à l'intérieur de la charge utile chiffrée. Puisque le paquet est chiffré, PIX ne peut pas fixup l'adresse privée à l'annonce publique dans la charge utile.

Avant de commencer

Conventions

Pour plus d'informations sur les conventions des documents, référez-vous aux Conventions utilisées pour les conseils techniques de Cisco.

Conditions préalables

Aucune condition préalable spécifique n'est requise pour ce document.

Composants utilisés

Cette configuration a été développée et testée utilisant le logiciel et les versions de matériel.

  • Logiciel Cisco Cache version 2.2 courant du moteur de cache 550 de Cisco

  • Routeur de Cisco 2600 exécutant la version de logiciel 12.0 de ½ du ¿  de Cisco IOSïÂ

  • Version de logiciel 5.2(3) courante de Secure PIX Firewall de Pare-feu du Private Internet Exchange de Cisco (PIX)

Configurez

Diagramme du réseau

ssl_tunneling.jpg

Le trafic HTTPS initié par le client PC1 SSL proxied en le moteur de cache 550, qui a la seule adresse IP du RÉSEAU LOCAL interne qui est permis dans le PIX pour sortir à l'Internet. La commande entrante de proxy de https sélectionne les ports sur lesquels le moteur de cache écoute des connexions HTTPS.

Configurations

Moteur de cache 550 (Logiciel Cisco Cache version 2.2)
!
hostname tikka
!
interface ethernet 0
ip address 10.10.10.50 255.255.255.0
ip broadcast-address 10.10.10.255
bandwidth 10
halfduplex
exit
!
!
interface ethernet 1
exit
!
ip default-gateway 10.10.10.1
ip name-server 144.254.6.77
ip domain-name cisco.com
ip route 0.0.0.0 0.0.0.0 10.10.10.1
inetd enable ftp 12
cron file /local/etc/crontab
clock timezone CET -7 0
!
no bypass load enable
http max-ttl hours text 4 binary 8
wccp router-list 1 10.10.10.1
wccp web-cache router-list-num 1 password ****
wccp version 2
!
authentication login local enable
authentication configuration local enable
rule no-cache url-regex .*cgi-bin.*
rule no-cache url-regex .*aw-cgi.*
https proxy incoming 443
https destination-port allow all
!
!
end

Routeur 2600 (Logiciel Cisco IOS version 12.0) de Cisco
!
ip subnet-zero
ip wccp web-cache password ww
no ip domain-lookup
!
!
!
interface FastEthernet0/0
ip address 8.8.8.1 255.255.255.0
ip wccp web-cache redirect out
ip route-cache same-interface
!
!
interface FastEthernet0/1
ip address 10.10.10.1 255.255.255.0
no ip route-cache
no ip mroute-cache
!

PIX 506 (version de logiciel 5.2(3) de Secure PIX Firewall
!
PIX Version 5.2(3)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
logging buffered debugging
no logging trap
no logging history
logging facility 20
logging queue 512
interface ethernet0 10baset
interface ethernet1 10baset
mtu outside 1500
mtu inside 1500
ip address outside 172.17.241.14 255.255.255.0
ip address inside 8.8.8.2 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
arp timeout 14400
static (inside,outside) 172.17.241.50 10.10.10.50
netmask 255.255.255.255 00
conduit permit icmp any any
route outside 0.0.0.0 0.0.0.0 172.17.241.29 1
route inside 10.10.10.0 255.255.255.0 8.8.8.1 1
timeout xlate 3:00:00
terminal width 80
Cryptochecksum:a02a164a924492533b8272dd60665e29
:�
end

Commandes debug et show

Ce qui suit sont des échantillons de met au point et des sorties de commande show.

Avant d'exécuter les commandes debug, référez-vous à la section Informations importantes sur les commandes Debug.

mettez au point le suivi d'en-tête de https

La commande trace d'en-tête de https de débogage te permet pour visualiser et dépanner la demande reçue par PC1.

Wed Dec 13 02:41:37 2000: Https request received from client:
CONNECT www.tronet.sk:443 HTTP/1.0
User-Agent: Mozilla/4.75 [en] (WinNT; U)
�
Wed DEC 13 02:41:37 2000: CONNECT www.tronet.sk:443 HTTP/1.0
User-Agent: Mozilla/4.75 [en] (WinNT; U)�
HTTPS response headers sent:
Wed DEC 13 02:41:38 2000: HTTPS response headers sent:
HTTP/1.0 200 Connection Established
Wed DEC 13 02:41:38 2000: HTTP/1.0 200 Connection Established�

Wed DEC 13 02:41:38 2000:��
Https request received from client:
Wed DEC 13 02:41:39 2000: Https request received from client:
CONNECT www.tronet.sk:443 HTTP/1.0
User-Agent: Mozilla/4.75 [en] (WinNT; U)
Wed DEC 13 02:41:39 2000: CONNECT www.tronet.sk:443 HTTP/1.0
User-Agent: Mozilla/4.75 [en] (WinNT; U)�

HTTPS response headers sent:
Wed DEC 13 02:41:39 2000: HTTPS response headers sent:
HTTP/1.0 200 Connection Established
Wed DEC 13 02:41:39 2000: HTTP/1.0 200 Connection Established

affichez les https de statistiques

Utilisez les https de statistiques d'exposition commandent d'afficher des statistiques de connexion HTTPS.

��������������������������������� HTTPS Statistics

����������������������������������������������� Total��������������� % of Total

���������������������������� ---------------------------------------------------

���������� Total connections:���������������������� 2������������������������ -
���������� Connection errors:���������������������� 0���������������������� 0.0
���������������� Total bytes:����������������� 116261������������������������ -
� Bytes received from client:������������������� 1069���������������������� 0.9
������� Bytes sent to client:����������������� 115192��������������������� 99.1

affichez les https tous

Utilisez les https d'exposition commandent d'afficher l'état de proxy HTTPS et de mettre en communication des stratégies.

Incoming HTTPS proxy:
� Servicing Proxy mode HTTPS connections on ports:� 443

Outgoing HTTPS proxy:
� Not using outgoing proxy mode.

Destination port policies:
� Allow� all

Ces commandes ont été utilisées sur le Pare-feu PIX :

  • show xlate — Utilisez la commande de show xlate de visualiser ou les informations claires d'emplacement de traduction (mode privilégié).

    Global 172.17.241.50 Local 10.10.10.50 static
  • show logging — Utilisez la commande de show logging à affiche l'état de se connecter (Syslog).

    302001: Built outbound TCP connection 68 for faddr 195.168.21.2/443
    ������� gaddr 172.17.241.50/1091 laddr 10.10.10.50/1091
    
    302001: Built outbound TCP connection 69 for faddr 195.168.21.2/443
    ������� gaddr 172.17.241.50/1092 laddr 10.10.10.50/1092
    
    302002: Teardown TCP connection 68 faddr 195.168.21.2/443
    ������� gaddr 172.17.241.50/1091 laddr 10.10.10.50/1091 duration 
            0:00:02 bytes 59513 (TCP FINs)
    
    302002: Teardown TCP connection 69 faddr 195.168.21.2/443
    ��������gaddr 172.17.241.50/1092 laddr 10.10.10.50/1092 duration 
            0:00:02 bytes 58128 (TCP Fins)

Commandes associées

Vous pouvez étendre l'exemple ci-dessus pour utiliser un autre serveur proxy en amont (8.8.8.3) pour servir des demandes HTTPS à l'aide de la commande de configuration globale de proxy-protocoles.

CE(config)# https proxy outgoing host 8.8.8.3 8880

Dans ce cas, vous pouvez exclure les domaines particuliers de l'transmission au serveur proxy sortant.

CE(config)# proxy-protocols transparent default-server�
CE(config)# proxy-protocols outgoing-proxy exclude enable�
CE(config)# proxy-protocols outgoing-proxy exclude list tronet.sk

Vous pouvez également refuser la connexion sortante HTTPS pour les ports 6565 et 6566.

CE(config)# https destination-port deny 6565 6566

Informations connexes


Document ID: 12570