Sécurité : Logiciel Cisco Adaptive Security Appliance (ASA)

WCCP sur l'ASA : Concepts, limites, et configuration

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Introduction

Ce document décrit des concepts, des limites, et la configuration de la coordination Protocol (WCCP) de cache de Web sur une appliance de sécurité adaptable Cisco (ASA). Le WCCP est une méthode par laquelle l'ASA peut réorienter le trafic à une engine de mise en cache WCCP par un tunnel d'Encapsulation de routage générique (GRE).

Contribué par Sourav Kakkar, ingénieur TAC Cisco.

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes :

  • Version 2 (v2) de Protocole WCCP (Web Cache Communications Protocol)
  • Appliances de sécurité adaptable Cisco (ASA)
  • Logiciel de l'appliance de sécurité adaptable Cisco (ASA) ; lisez les guides de configuration pour la compatibilité
  • Mise en cache de proxy
  • Redirection

Cisco recommande également que vous comprenniez les limites de configuration WCCP sur l'ASA, comme expliqué dans ces documents :

Composants utilisés

Les informations dans ce document sont basées sur la version 2 (V2) de Protocole WCCP (Web Cache Communications Protocol).

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Aperçu WCCP et ASA

Le WCCP spécifie des interactions entre un ou plusieurs Routeurs et un ou plusieurs caches de Web. Le but de l'interaction est d'établir et mettre à jour la redirection transparente des types sélectionnés du trafic qui traversent un groupe de Routeurs. Le trafic sélectionné est réorienté à un groupe de caches de Web afin d'optimiser l'utilisation de ressource et diminuer des temps de réponse.

Pour le WCCP, l'ASA choisit l'adresse IP la plus élevée configurée sur une interface et les utilisations qui comme ID de routeur. C'est exactement le même processus que le Protocole OSPF (Open Shortest Path First) suit pour l'ID de routeur.  Quand l'ASA réoriente des paquets au moteur de cache (CE), les sources ASA la réorientation de l'adresse IP d'ID de routeur (même si elle est originaire une interface différente) et encapsule le paquet dans une en-tête GRE.

La connexion GRE est unidirectionnelle. L'ASA encapsule les paquets réorientés dans GRE et les envoie à l'engine de mise en cache. L'ASA ne traite aucune réponse GRE-encapsulée du CE. Le CE doit communiquer directement à l'hôte interne.

L'écoulement du travail pour la redirection a ces étapes :

  1. L'hôte utilise la passerelle par défaut de l'ASA afin d'ouvrir la connexion HTTP.
  2. L'ASA réoriente le paquet (encapsulé dans GRE) au CE.
  3. Le CE vérifie ou met à jour le cache pour le site demandé.
  4. Le CE répond directement à l'hôte.
    • Tous les paquets sortants de l'hôte sont réorientés de l'ASA au CE.
    • Tous les paquets entrant du serveur à l'hôte sont dirigés du CE vers l'hôte.

 116046-config-wccp-asa-01.jpg

L'ASA implémente WCCP V2. Si le serveur prend en charge WCCP V2, il devrait être compatible.

Redirection WCCP

WCCP V2 définit les mécanismes qui permettent un ou plusieurs Routeurs activés pour que la redirection transparente découvre, vérifie, et annoncer la Connectivité dans un ou plusieurs caches de Web. Ce sont les étapes dans la redirection WCCP :

  1. L'utilisateur écrit un URL dans un navigateur.
  2. L'URL est expédié au Système de noms de domaine (DNS) pour l'address resolution.
  3. L'URL est résolu à l'adresse IP du web server.
  4. Le client initie une connexion au serveur avec une demande de synchronisation.
  5. Sur le routeur actif, le service de cache de Web WCCP intercepte la demande de HTTP (port TCP 80) et réoriente la demande dans des caches basés sur la répartition de charge configurée :
    • S'il y a une présence dans l'antémémoire, le CE répond à l'original OBTIENNENT avec le contenu demandé et utilisent l'adresse IP source du serveur d'origine dans le paquet de réponse.
    • Si le contenu demandé n'est pas déjà enregistré sur le CE, il y a une perte de cache :
      1. Le CE établit une connexion au serveur d'origine, utilise sa propre adresse IP comme source, et envoie le HTTP OBTIENNENT.
      2. Le serveur répond au CE avec le contenu.
      3. Le CE écrit une copie du contenu cacheable au disque.

Groupes de service WCCP

Une fois que la Connectivité est établie, les Routeurs et les caches de Web constituent des groupes de service afin de manipuler la redirection du trafic dont les caractéristiques font partie de la définition de groupe de service.

Un cache de Web communique un message WCCP2_HERE_I_AM à chaque routeur dans le groupe intervalles HERE_I_AM_T (10) aux seconde afin de joindre et mettre à jour son adhésion dans un groupe de service. Le message peut être par l'unicast à chaque routeur ou par Multidiffusion à l'adresse de multidiffusion configurée de groupe de service.

  • Le composant des informations d'identité de Web-cache dans le message WCCP2_HERE_I_AM identifie le cache de Web par l'adresse IP.
  • Le composant d'information du message WCCP2_HERE_I_AM identifie et décrit le groupe de service auquel le cache de Web souhaite participer.
Groupe de serviceTypeDescription
Service 0Web-cacheService de mise en cache de Web qui permet à l'ASA pour réorienter le trafic http au CE.
Service 53DNDN cachant le service qui permet à l'ASA pour réorienter des demandes de client DNS d'une manière transparente à l'engine de client.
Service 60FTP-indigèneCachant le service qui permet à l'ASA pour réorienter des demandes indigènes de FTP d'une manière transparente à un port unique sur l'engine satisfaite.
Service 70https-cacheCachant le service qui permet à l'ASA pour intercepter le trafic TCP du port 443 et pour réorienter ce trafic HTTPS à l'engine satisfaite.
Service 80RTSPLe service de diffusion multimédia qui permet à l'ASA pour réorienter le client de Protocole RTSP (Real-Time Streaming Protocol) demande à un port unique sur l'engine satisfaite.
Service 81mmstLe service de mise en cache de medias qui permet à l'ASA pour employer la redirection basée sur TCP de la Microsoft Media Server (MMST) afin de conduire le client de la technologie de Windows Media (WMT) demande au port TCP 1755 sur l'engine satisfaite.
Service 82mmsuLe service de mise en cache de medias qui permet à l'ASA pour employer la redirection basée sur de la Microsoft Media Server de Protocole UDP (User Datagram Protocol) (MMSU) afin de conduire le client WMT demande au port UDP 1755 sur l'engine satisfaite.
Service 83wmt-RTSPService de diffusion multimédia qui permet à l'ASA pour réorienter des demandes de RTSP des clients du service de Windows Media 9 au port UDP 5005 sur le le CE.
Entretenez 90-97utilisateur configurableServices définis par l'utilisateur WCCP qui prennent en charge jusqu'à huit ports pour chaque service WCCP. Quand vous configurez ces services définis par l'utilisateur, vous devez spécifier si réorienter le trafic au HTTP cachant l'application, à l'application HTTPS, ou aux applications de diffusion sur l'engine satisfaite.
Service 98coutume-Web-cacheCachant le service qui permet à l'ASA pour réorienter d'une manière transparente le trafic http à l'engine satisfaite sur des plusieurs ports autres que le port 80.
Service 99proxy inverseCachant le service qui permet à l'ASA pour réorienter le trafic de proxy inverse de HTTP à l'engine satisfaite sur le port 80.

Un groupe de service est identifié par ID de type de service et de service. Il y a deux types de groupes de service :

  • Services réputés
  • Services dynamiques

Des services réputés sont connus par ASA et caches de Web et n'exigent pas une description autre qu'un ID de service.

En revanche, des services dynamiques doivent être décrits à une ASA. L'ASA peut être configurée pour participer à un groupe de service dynamique particulier, identifié par ID de service, sans n'importe quelle connaissance des caractéristiques du trafic associé avec ce groupe de service. La description du trafic est communiquée à l'ASA dans le message WCCP2_HERE_I_AM du premier cache de Web afin de joindre le groupe de service. Un cache de Web emploie les champs de Protocol, d'indicateurs de service, et de port du composant d'information afin de décrire un service dynamique. Une fois qu'un service dynamique a été défini, l'ASA jette n'importe quel message ultérieur WCCP2_HERE_I_AM qui contient une description contradictoire. L'ASA jette également un message WCCP2_HERE_I_AM qui décrit un groupe de service pour lequel elle n'a pas été configurée.

Les numéros 0 254 sont des services dynamiques, et le service de cache de Web est une norme, ou réputé, service. Ce que ce le moyen est que quand le service de cache de Web est spécifié, le protocole WCCP V2 a prédéfini que le trafic de la destination port 80 de TCP doit être réorienté. Pour les numéros 0 254, chaque nombre représente un groupe de service dynamique. Le ces WCCP (tel que Bluecoat) sont de définir un ensemble de protocoles et de ports qui doivent être réorientés pour chaque groupe de service. Puis, quand l'ASA est configurée avec ce même nombre de groupe de service (wccp 0… ou wccp 1…), l'ASA exécute la redirection sur les protocoles et les ports spécifiés comme dirigés par le périphérique de Bluecoat.

C'est un exemple qui affiche les informations d'identité de Web-cache :

116046-config-wccp-asa-02.jpg

C'est un exemple qui prouve que le cache de Web fait partie du groupe de service 0 :

116046-config-wccp-asa-03.jpg

C'est un exemple qui affiche un serveur de cache de Web en tant qu'élément du groupe de service client 91 et des ports dont le trafic est réorienté au serveur :

116046-config-wccp-asa-04.jpg

L'ASA répond à un message WCCP2_HERE_I_AM avec un message WCCP2_I_SEE_YOU.

  • Si le message WCCP2_HERE_I_AM était monodiffusé, le routeur répond immédiatement avec un message de l'unicast WCCP2_I_SEE_YOU.
  • Si le message WCCP2_HERE_I_AM était multidiffusé, le routeur répond avec le message programmé de la Multidiffusion WCCP2_I_SEE_YOU pour le groupe de service.

C'est un exemple du router/ASA « que je vous vois » le message, qui prouve que le routeur joint le groupe de service 91 et réoriente les ports 80, 8080, et 443 au serveur de cache de Web :

116046-config-wccp-asa-05.jpg

C'est un exemple d'un paquet GRE :

116046-config-wccp-asa-06.jpg

Configurez

Remarque: Dans la réorienter-liste, la liste d'accès devrait seulement contenir des adresses réseau. des entrées de Port-particularité ne sont pas prises en charge.

Remarque: Pour plus d'informations sur la commande de wccp, voir la référence de commandes de gamme de Cisco ASA 5500, 8.2

Cette procédure décrit comment configurer le WCCP sur une ASA :

  1. Sélectionnez la commande de wccp afin de spécifier le trafic pour réorienter :

    wccp {web-cache | service_number} [redirect-list access_list] [group-list access_list] 
    [password password]
  2. Sélectionnez la commande de wccp afin de spécifier l'interface sur laquelle la redirection du trafic devrait se produire :

    wccp interface interface_name {web-cache | service_number} redirect in

Remarque: Le WCCP réorientent est pris en charge seulement sur le d'entrée d'une interface.

C'est un exemple d'une configuration ASA :

access-list caching permit ip source_subnet mask any
wccp 90 redirect-list caching
wccp interface 90 redirect in
Helpful Commands:
show wccp
show wccp 90 service -> this should indicate the ports that are being serviced by this WCCP
server. Without the 'service-flags ports-defined' in the Cache server configuration, the ports
to be redirected are NOT passed to the ASA. Therefore, the traffic will never be redirected.
This will result in 'Unassigned' increases with 'show wccp'.

ASA# show wccp 90 service

WCCP service information definition:
Type:          Dynamic
Id:            90
Priority:      0
Protocol:      6
Options:       0x00000013
--------
Hash:      SrcIP DstIP
Alt Hash:  -none-
Ports:     Destination:: 80 8080 0 0 0 0 0 0

ASA# show wccp 90 view

WCCP Routers Informed of:
X.X.X.X [Higher IP address on the device will be seen here]

WCCP Cache Engines Visible:
Y.Y.Y.Y [IP address of the web-cache server in the service-group 91]

Remarque: Utilisez l'Outil de recherche de commande (clients enregistrés seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

Vérifiez

Aucune procédure de vérification n'est disponible pour cette configuration.

Dépannez

Si la redirection ne fonctionne pas comme prévu, employez ces sorties afin de dépanner. Toutes ces sorties sont sur l'ASA.

  • show tech-support
  • affichez le wccp [service|vue|informations parasites|position|détail]
  • la table d'asp d'exposition classifient

Si la sortie de ces sembler de trois commandes valides, vous pourrait alors avoir besoin :

  • Passez en revue les Syslog appropriés.
  • Employez l'ordre de capture afin d'étudier des captures entre l'interface ASA et l'IP de serveur de cache de Web et des captures entre le client et le web server qu'il essaye d'accéder à.

L'Output Interpreter Tool (clients enregistrés seulement) prend en charge certaines commandes show. Utilisez l'Output Interpreter Tool afin de visualiser une analyse de sortie de commande show.

Informations connexes


Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 116046