网络应用服务 : 思科 500 系列高速缓存引擎

使用Cisco Cache Engine 550和PIX防火墙的HTTP和FTP代理缓存

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈


目录


简介

"本文为Cisco Cache Engine 550提供配置示例,关于执行超文本传输协议(HTTP)/文件传输协议(FTP)缓存用于用途互联网邮件扩展(MIME)文件类型(RFC 2046)和FTP 目录列表。"

先决条件

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

要求

本文档没有任何特定的前提条件。

使用的组件

本文档中的信息基于以下软件和硬件版本。

  • 运行思科高速缓存软件版本 2.51 的思科高速缓存引擎 550

  • 运行Cisco IOSï ¿  ½软件版本12.2的Cisco 2600路由器

  • 运行安全 PIX 防火墙软件版本 6.0(1) 的思科 PIX 防火墙

  • 在 Windows NT 4.0 SP6a 上运行 Tnternet Information Server 4.0 的网络服务器

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

背景理论

在客户端内,需要明确配置它们的浏览器,以在指定端口的缓存引擎IP地址上使用人工HTTP/FTP代理。特别是,缓存引擎在代理模式、被动、主动模式、匿名和认证模式(RFC 1738)中处理 ftp:// style FTP requests over HTTP transport 。

缓存引擎前面的专用互联网交换(PIX)防火墙仅允许通过来自缓存引擎单个IP地址的HTTP/FTP数据流。这意味着客户端无法通过 HTTP/FTP 直接传输至外部。由于所有请求来自一个IP地址,缓存引擎强制执行谁的安全策略能到达外部HTTP/FTP,谁的安全策略不能到达外部HTTP/FTP。

配置

本部分提供有关如何配置本文档所述功能的信息。

注意: 要查找有关本文档中所使用的命令的详细信息,请使用命令查找工具仅限注册用户)。

网络图

本文档使用此网络设置。

http://www.cisco.com/c/dam/en/us/support/docs/application-networking-services/500-series-cache-engines/12560-ssl-tunneling.jpg

配置

本文档使用以下配置。

  • 运行思科高速缓存软件版本 2.51 的高速缓存引擎 550

  • PIX 版本 6.0 (1)

  • 2600 路由器

运行思科高速缓存软件版本 2.51 的高速缓存引擎 550
!
!
hostname tikka
!
interface ethernet 0
ip address 10.10.10.50 255.255.255.0
ip broadcast-address 10.10.10.255
bandwidth 10
halfduplex
exit
!
interface ethernet 1
exit
!
ip default-gateway 10.10.10.1
ip name-server 144.254.15.102
ip domain-name cisco.com
ip route 0.0.0.0 0.0.0.0 10.10.10.1
inetd enable ftp 12
cron file /local/etc/crontab
clock timezone CET -7 0
!
no bypass load enable
http max-ttl hours text 4 binary 8
http proxy incoming 8080
!
radius-server authtimeout 21
radius-server key ****
authentication login local enable
authentication configuration local enable
rule no-cache url-regex .*cgi-bin.*
rule no-cache url-regex .*aw-cgi.*
ftp proxy anonymous-pswd ****
ftp proxy incoming 8080
!
!

PIX 版本 6.0 (1)
PIX Version 6.0(1)
 nameif ethernet0 outside security0
 nameif ethernet1 inside security100
 nameif ethernet2 intf2 security10
 enable password 8Ry2YjIyt7RRXU24 encrypted
 passwd 2KFQnbNIdI.2KYOU encrypted
 hostname pix-cache
 fixup protocol ftp 21
 fixup protocol http 80
 fixup protocol h323 1720
 fixup protocol rsh 514
 fixup protocol smtp 25
 fixup protocol sqlnet 1521
 fixup protocol sip 5060
 fixup protocol skinny 2000
 names
 access-list restrict-access-out permit ip host 10.10.10.50 any
 access-list restrict-access-out deny ip any any
 


!--- This access-list allows any IP traffic for the 
!--- Cache Engine (UDP DNS queries are also needed to go through the PIX).


 pager lines 24
 logging on
 logging buffered debugging
 interface ethernet0 10baset
 interface ethernet1 10baset
 interface ethernet2 auto shutdown
 mtu outside 1500
 mtu inside 1500
 mtu intf2 1500
 ip address outside 172.17.241.47 255.255.255.0
 ip address inside 8.8.8.2 255.255.255.0
 ip address intf2 127.0.0.1 255.255.255.255
 ip audit info action alarm
 ip audit attack action alarm
 no failover
 failover timeout 0:00:00
 failover poll 15
 failover ip address outside 0.0.0.0
 failover ip address inside 0.0.0.0
 failover ip address intf2 0.0.0.0
 pdm history enable
 arp timeout 14400
 global (outside) 1 172.17.241.48
 nat (inside) 1 0.0.0.0 0.0.0.0 0 0


 
!--- The lines nat and global are meant for any other traffic that is not
!--- supposed to be proxied by the Cache Engine (for example, mail).
!--- You need to explicitly define an entry
!--- in the restrict-access-out ACL to permit 
!--- these outbound connections.


 access-group restrict-access-out in interface inside
 static (inside, outside) 172.17.241.50 10.10.10.50

 
!--- This static would be used to statically map the 
!--- Cache Engine to a specific external address.
 
 route outside 0.0.0.0 0.0.0.0 172.17.241.1 1
 route inside 10.10.10.0 255.255.255.0 8.8.8.1 1
 timeout xlate 3:00:00
 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323
 0:05:00 sip 0:30:00 sip_media 0:02:00
 timeout uauth 0:05:00 absolute
 aaa-server TACACS+ protocol tacacs+
 AAA-server RADIUS protocol radius
 no snmp-server location
 no snmp-server contact
 snmp-server community public
 no snmp-server enable traps
 floodguard enable
 no sysopt route dnat
 telnet 10.10.10.0 255.255.255.0 inside
 telnet timeout 5
 ssh timeout 5
 terminal width 80
 Cryptochecksum:7f08b39173bbe1302bd24273973c89de
 : end
 [OK]

2600 路由器
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname suicide
!
enable password ww
!
username all
!
!
!
!
ip subnet-zero
no ip domain-lookup
!
cns event-service server
!
!         
!
!
!
!
!
!
interface FastEthernet0/0
 ip address 8.8.8.1 255.255.255.0
 no ip route-cache
 no ip mroute-cache
 speed 10
 half-duplex
!
interface Serial0/0
 no ip address
 shutdown
 no fair-queue
!
interface FastEthernet0/1
 ip address 10.10.10.1 255.255.255.0
 no ip route-cache
 no ip mroute-cache
 speed 10
 half-duplex
!
interface Serial0/1
 no ip address
 shutdown
!
ip classless
ip route 0.0.0.0 0.0.0.0 8.8.8.2
ip http server
!
line con 0
 exec-timeout 0 0
 transport input none
line aux 0
line vty 0 4
 password ww
 login
!
no scheduler allocate
end

验证

本部分所提供的信息可用于确认您的配置是否正常工作。

命令输出解释程序工具仅限注册用户)支持某些 show 命令,使用此工具可以查看对 show 命令输出的分析。

2600 路由器命令

您不需要为 FTP 代理缓存配置 2600 路由器。在本例中,路由器只中继入站/出站数据包。以下示例显示如何将 FTP 代理缓存设置为外部 FTP 服务器。对于 HTTP,操作步骤相同。客户端在浏览器中配置 FTP 代理,将其指向 10.10.10.50:8080。

所有流量均通过高速缓存引擎。在 PIX 中,为高速缓存引擎配置一个静态(无导管)。在不使用高速缓存引擎作为代理的情况下,用户无法访问 FTP 站点。以下部分配置显示关于如何操作的示例:

pix-cache#
pix-cache#show xlate
1 in use, 1 most used
Global 172.17.241.50 Local 10.10.10.50 static
pix-cache#show conduit
pix-cache#show outbound
pix-cache#

要强制执行安全策略并阻止特定客户端对外访问 FTP,请发出 rule block 命令

rule block src-ip 10.10.10.11 255.255.255.0

您可以在缓存引擎发出show statistics ftp命令,查看缓存的数据流(FTP 采样)的统计数据。

tikka#show statistics ftp
FTP Statistics
--------------
FTP requests Received = 27
FTP Hits
                                    Requests      Percentage

Number of hits =                     17            63.0 %
Bytes =                              358209        39.6 %
FTP Misses

                                    Requests      Percentage
Number of misses =                   10            37.0 %
Bytes =                              547368        60.4 %
Requests sent to Outgoing Proxy    = 0
Requests sent to origin ftp server = 10
FTP error count = 0

故障排除

本部分提供的信息可用于对配置进行故障排除。

2600 路由器命令

在客户端浏览器中发出请求后,高速缓存引擎会输出以下日志:

tikka#debug http header all
tikka#debug ftp packets
tikka#
Http request headers received from client:
GET ftp://172.17.241.216/sample.txt HTTP/1.0
Referer: ftp://172.17.241.216/
Proxy-Connection: Keep-Alive
User-Agent: Mozilla/4.75 [en] (WinNT; U)
Pragma: no-cache
Host: 172.17.241.216
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, image/png, */*
Accept-Encoding: gzip
Accept-Language: en
Accept-Charset: iso-8859-1,*,utf-8
Mon Jul 2 06:40:59 2001: GET ftp://172.17.241.216/sample.txt HTTP/1.0
Referer: ftp://172.17.241.216/
Proxy-Connection: Keep-Alive
User-Agent: Mozilla/4.75 [en] (WinNT; U)
Pragma: no-cache
Host: 172.17.241.216
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, image/png, */*
Accept-Encoding: gzip
Accept-Language: en
Accept-Charset: ISO-8859-1,*,utf-8
Send Cmd : USER anonymous
Mon Jul 2 06:40:59 2001: Send Cmd : USER anonymous
Send Cmd : PASS XXXX
Mon Jul 2 06:40:59 2001: Send Cmd : PASS XXXX
Send Cmd : CWD sample.txt
Mon Jul 2 06:40:59 2001: Send Cmd : CWD sample.txt
Send Cmd : MDTM sample.txt
Mon Jul 2 06:40:59 2001: Send Cmd : MDTM sample.txt
get_reply_info(): Last Modified Time : 1942132164
Mon Jul 2 06:40:59 2001: get_reply_info(): Last Modified Time : 1942132164
Send Cmd : TYPE A
Mon Jul 2 06:40:59 2001: Send Cmd : TYPE A
Send Cmd : PASV
Mon Jul 2 06:40:59 2001: Send Cmd : PASV
Send Cmd : RETR sample.txt
Mon Jul 2 06:40:59 2001: Send Cmd : RETR sample.txt
Send Cmd : QUIT
Mon Jul 2 06:41:00 2001: Send Cmd : QUIT 

相关信息


Document ID: 12560