网络应用服务 : 思科 500 系列高速缓存引擎

用 Cisco Cache Engine 2.2 配置 SSL 隧道连接

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈


目录


简介

此配置示例显示您如何设置Cisco缓存引擎作为安全的超文体传输协议(HTTPS)代理服务器传递由客户端浏览器启动,配置指向HTTPS流量到Web缓存的https在http请求。

Cache Engine不能终止安全套接字层SSL流量,因此不可能使用WEB缓存通信协议(WCCP)和透明缓存。客户端将尝试开始有Cache Engine的一SSL会话在透明模式,并且,因为Cache Engine有一SSL证书,不能终止会话,并且连接将发生故障。Cache Engine能通过在代理模式的流量,但是这要求所有浏览器使用SSL请求的Cache Engine安排他们的代理地址设置对安全协议的Cache Engine。这在每个浏览器单个执行。

Cache Engine直接地创建一连接对源服务器或通过另一个代理服务器并且允许网络客户端和源服务器通过Cache Engine设置SSL通道。HTTPS流量加密并且不可能由Cache Engine或任何其它设备解释在网络客户端和源服务器之间。没有贮藏HTTPS对象。

注意: PIX不能调查SSL数据包,因此SL FTP不与fixup命令一起使用。安全FTP封装主机IP地址的复制在已加密有效负载里面。因为数据包加密, PIX不能修正对公共地址的专用地址在有效负载。

开始使用前

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

先决条件

本文档没有任何特定的前提条件。

使用的组件

使用软件和硬件版本,此配置开发并且测试了。

  • 运行思科高速缓存软件版本2.2的Cisco Cache Engine 550

  • 运行Cisco IOSï ¿  ½软件版本12.0的Cisco 2600路由器

  • Cisco专用互联网交换(PIX)防火墙运行安全PIX防火墙软件软件版本5.2(3)

配置

网络图

ssl_tunneling.jpg

SSL客户端PC1启动的HTTPS流量是被代理的由Cache Engine 550,有从内部LAN的唯一的IP地址在PIX允许出去到互联网。https proxy incoming命令选择Cache Engine细听HTTPS连接的端口。

配置

Cache Engine 550 (思科高速缓存软件版本2.2)
!
hostname tikka
!
interface ethernet 0
ip address 10.10.10.50 255.255.255.0
ip broadcast-address 10.10.10.255
bandwidth 10
halfduplex
exit
!
!
interface ethernet 1
exit
!
ip default-gateway 10.10.10.1
ip name-server 144.254.6.77
ip domain-name cisco.com
ip route 0.0.0.0 0.0.0.0 10.10.10.1
inetd enable ftp 12
cron file /local/etc/crontab
clock timezone CET -7 0
!
no bypass load enable
http max-ttl hours text 4 binary 8
wccp router-list 1 10.10.10.1
wccp web-cache router-list-num 1 password ****
wccp version 2
!
authentication login local enable
authentication configuration local enable
rule no-cache url-regex .*cgi-bin.*
rule no-cache url-regex .*aw-cgi.*
https proxy incoming 443
https destination-port allow all
!
!
end

Cisco路由器2600 (Cisco IOS软件版本12.0)
!
ip subnet-zero
ip wccp web-cache password ww
no ip domain-lookup
!
!
!
interface FastEthernet0/0
ip address 8.8.8.1 255.255.255.0
ip wccp web-cache redirect out
ip route-cache same-interface
!
!
interface FastEthernet0/1
ip address 10.10.10.1 255.255.255.0
no ip route-cache
no ip mroute-cache
!

PIX 506 (安全PIX防火墙软件软件版本5.2(3)
!
PIX Version 5.2(3)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
logging buffered debugging
no logging trap
no logging history
logging facility 20
logging queue 512
interface ethernet0 10baset
interface ethernet1 10baset
mtu outside 1500
mtu inside 1500
ip address outside 172.17.241.14 255.255.255.0
ip address inside 8.8.8.2 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
arp timeout 14400
static (inside,outside) 172.17.241.50 10.10.10.50
netmask 255.255.255.255 00
conduit permit icmp any any
route outside 0.0.0.0 0.0.0.0 172.17.241.29 1
route inside 10.10.10.0 255.255.255.0 8.8.8.1 1
timeout xlate 3:00:00
terminal width 80
Cryptochecksum:a02a164a924492533b8272dd60665e29
:�
end

debug 和 show 命令

下列是debug and show命令输出示例。

在发出 debug 命令之前,请参阅有关 Debug 命令的重要信息

debug https header trace

debug https header trace命令允许您查看和排除故障PC1接收的请求。

Wed Dec 13 02:41:37 2000: Https request received from client:
CONNECT www.tronet.sk:443 HTTP/1.0
User-Agent: Mozilla/4.75 [en] (WinNT; U)
�
Wed DEC 13 02:41:37 2000: CONNECT www.tronet.sk:443 HTTP/1.0
User-Agent: Mozilla/4.75 [en] (WinNT; U)�
HTTPS response headers sent:
Wed DEC 13 02:41:38 2000: HTTPS response headers sent:
HTTP/1.0 200 Connection Established
Wed DEC 13 02:41:38 2000: HTTP/1.0 200 Connection Established�

Wed DEC 13 02:41:38 2000:��
Https request received from client:
Wed DEC 13 02:41:39 2000: Https request received from client:
CONNECT www.tronet.sk:443 HTTP/1.0
User-Agent: Mozilla/4.75 [en] (WinNT; U)
Wed DEC 13 02:41:39 2000: CONNECT www.tronet.sk:443 HTTP/1.0
User-Agent: Mozilla/4.75 [en] (WinNT; U)�

HTTPS response headers sent:
Wed DEC 13 02:41:39 2000: HTTPS response headers sent:
HTTP/1.0 200 Connection Established
Wed DEC 13 02:41:39 2000: HTTP/1.0 200 Connection Established

show statistics https

请使用show statistics https命令显示HTTPS连接统计。

��������������������������������� HTTPS Statistics

����������������������������������������������� Total��������������� % of Total

���������������������������� ---------------------------------------------------

���������� Total connections:���������������������� 2������������������������ -
���������� Connection errors:���������������������� 0���������������������� 0.0
���������������� Total bytes:����������������� 116261������������������������ -
� Bytes received from client:������������������� 1069���������������������� 0.9
������� Bytes sent to client:����������������� 115192��������������������� 99.1

show https all

请使用show https命令显示HTTPS代理状态和端口策略。

Incoming HTTPS proxy:
� Servicing Proxy mode HTTPS connections on ports:� 443

Outgoing HTTPS proxy:
� Not using outgoing proxy mode.

Destination port policies:
� Allow� all

这些命令在PIX防火墙使用了:

  • show xlate —请使用show xlate命令查看或清除转换插槽信息(特权模式)。

    Global 172.17.241.50 Local 10.10.10.50 static
  • show logging —请使用show logging命令对显示记录日志(Syslog)的状态。

    302001: Built outbound TCP connection 68 for faddr 195.168.21.2/443
    ������� gaddr 172.17.241.50/1091 laddr 10.10.10.50/1091
    
    302001: Built outbound TCP connection 69 for faddr 195.168.21.2/443
    ������� gaddr 172.17.241.50/1092 laddr 10.10.10.50/1092
    
    302002: Teardown TCP connection 68 faddr 195.168.21.2/443
    ������� gaddr 172.17.241.50/1091 laddr 10.10.10.50/1091 duration 
            0:00:02 bytes 59513 (TCP FINs)
    
    302002: Teardown TCP connection 69 faddr 195.168.21.2/443
    ��������gaddr 172.17.241.50/1092 laddr 10.10.10.50/1092 duration 
            0:00:02 bytes 58128 (TCP Fins)

相关命令

您能扩大上述示例使用另一个上行代理服务器(8.8.8.3)通过使用proxy-protocols global configuration命令,服务HTTPS请求。

CE(config)# https proxy outgoing host 8.8.8.3 8880

在这种情况下,您能从转发排除特定的域到即将离任的代理服务器。

CE(config)# proxy-protocols transparent default-server�
CE(config)# proxy-protocols outgoing-proxy exclude enable�
CE(config)# proxy-protocols outgoing-proxy exclude list tronet.sk

您能也拒绝端口的6565和6566流出的HTTPS连接。

CE(config)# https destination-port deny 6565 6566

相关信息


Document ID: 12570