Sécurité : Dispositifs de sécurité Web Cisco IronPort

Exemple de configuration WCCP pour le Catalyst 3560 ou 3750

16 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Contribué par alerte et Siddharth Rajpathak de Jason, ingénieurs TAC Cisco.

Question

Comment configurez-vous un Web Cache Communication Protocol (WCCP) relatif à un Catalyst 3560 ou de Cisco le commutateur 3750 ?

Environnement : Appliance de sécurité Web de Cisco (WSA) et Cisco Catalyst 3560 ou 3750

Le WCCP est seulement pris en charge sur les Services IP d'exécution du Catalyst 3560/3750 ou les ensembles de caractéristiques avancés de Services IP, sur IOS 12.2(25) et plus tard. L'ensemble de caractéristiques d'IP Base ne prend en charge pas le WCCP. Le WCCP est pris en charge seulement sur les modèles SDM qui prennent en charge PBR : accès, routage, et double routage IPv4/v6.

Dans ces exemples, utilisez le modèle de « routage ».

Établissement du modèle SDM sur le Catalyst 3560/3750 :
Switch(config)#acheminement de sdm prefer
Switch(config)#faites le mem de wr
Switch(config)#recharge

Remarque:  Une réinitialisation est exigée pour que la modification de modèle SDM la prenne effet.

Configuration de base WCCP :
Switch(config)#Web-cache d'ip wccp
Switch(config)#<client_vlan_int> d'interface
Commutateur (config-si) #le Web-cache d'ip wccp réorientent dedans
!
! et n'oubliez pas à la save config
!
Commutateur (config-si) #faites le mem de wr


Utilisant légèrement plus de configuration avancée, une réorienter-liste WCCP peut être utilisée pour exclure certains réseaux de destination de la redirection WCCP.  Dans cet exemple, excluez n'importe quel trafic destiné pour les adresses RFC1918 de la redirection.

Configuration WCCP avec la Réorienter-liste :
Switch(config)#la liste d'accès 110 refusent à IP tout 10.0.0.0 0.255.255.255
Switch(config)#la liste d'accès 110 refusent à IP tout 172.16.0.0 0.15.255.255
Switch(config)#la liste d'accès 110 refusent à IP tout 192.168.0.0 0.0.255.255
Switch(config)#IP tout quel d'autorisation de la liste d'accès 110
Switch(config)#réorienter-liste 110 de Web-cache d'ip wccp
!
! Avec réorientez la liste, le trafic aux destinations internes ne sera pas
! réorienté, et sautera Cisco WSA
!
Switch(config)#<client_vlan_int> d'interface
Commutateur (config-si) #le Web-cache d'ip wccp réorientent dedans
!
! et n'oubliez pas à la save config
!
Commutateur (config-si) #faites le mem de wr


Pour des réseaux avec des exigences de sécurité plus rigoureuses, une groupe-liste peut être utilisée pour limiter les adresses IP qui sont permises pour joindre le groupe de service WCCP, et un mot de passe WCCP peut être activé.  Dans cet exemple, utilisez une réorienter-liste, une groupe-liste (supposant nous avons WSAs à 192.168.50.2 et à 192.168.50.3), et un mot de passe WCCP.

Configuration WCCP avec la Réorienter-liste, la Groupe-liste, et le mot de passe WCCP :

!
! nous utiliserons la liste d'accès 110 pour la réorienter-liste
!
Switch(config)#la liste d'accès 110 refusent à IP tout 10.0.0.0 0.255.255.255
Switch(config)#la liste d'accès 110 refusent à IP tout 172.16.0.0 0.15.255.255
Switch(config)#la liste d'accès 110 refusent à IP tout 192.168.0.0 0.0.255.255
Switch(config)#IP tout quel d'autorisation de la liste d'accès 110
!
! nous utiliserons la liste d'accès 20 pour la groupe-liste
!
Switch(config)#autorisation 192.168.50.2 de la liste d'accès 20
Switch(config)#autorisation 192.168.50.3 de la liste d'accès 20
!
! activez l'id de service de wccp 0 (Web-cache) avec le mot de passe 12345
!
Switch(config)#mot de passe 12345 de la groupe-liste 20 de la réorienter-liste 110 de Web-cache d'ip wccp
!
! Avec réorientez la liste, le trafic aux destinations internes ne sera pas
! réorienté, et sautera Cisco WSA
!
Switch(config)#<client_vlan_int> d'interface
Commutateur (config-si) #le Web-cache d'ip wccp réorientent dedans
!
! et n'oubliez pas à la save config
!
Commutateur (config-si) #faites le mem de wr



Caractéristiques non vérifiées WCCP
  • Redirection de paquet sur une interface sortante qui est configurée à l'aide de la commande de configuration d'interface d'ip wccp redirect. Cette commande n'est pas prise en charge.
  • La méthode d'expédition GRE pour la redirection de paquet n'est pas prise en charge.
  • La méthode d'affectation d'informations parasites pour l'Équilibrage de charge n'est pas prise en charge.
  • Il n'y a aucun soutien SNMP de WCCP.


Remarque: En utilisant des id dynamiques, la configuration est identique, excepté introduisent le numéro d'ID de service au lieu du mot clé de Web-cache.

Remarque: Pour des id dynamiques de service, Cisco recommande utilisant les id 90 - 97 d'assurer la compatibilité avec la plupart des périphériques.

Plus d'informations peuvent être trouvées dans les guides de configuration de logiciel de commutateur Catalyst :

3560 : http://www.cisco.com/en/US/docs/switches/lan/catalyst3560/software/release/12.2_44_se/configuration/guide/swwccp.html
3750 : http://www.cisco.com/en/US/docs/switches/lan/catalyst3750/software/release/12.2_44_se/configuration/guide/swwccp.html


Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 118006