安全 : Cisco IronPort Web 安全设备

Catalyst的3560或3750 WCCP配置示例

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2014 年 7 月 18 日) | 反馈

贡献用贾森警报和Siddharth Rajpathak, Cisco TAC工程师。

问题

如何配置在思科Catalyst 3560或3750的WEB缓存通信协议(WCCP)交换机?

环境:思科Web安全工具(WSA)和思科Catalyst 3560或3750

Catalyst 3560/3750运行的IP服务或提前的IP服务特性组只支持WCCP,在IOS 12.2(25)及以后。IP BASE特性组不支持WCCP。支持PBR的SDM模板仅支持WCCP :访问、路由和双重IPv4/v6路由。

在这些示例中,请使用“路由”模板。

设置在Catalyst 3560/3750的SDM模板:
Switch(config)-SDM prefer路由
Switch(config)-执行wr mem
Switch(config)-重新加载

注意: 重新启动要求为了SDM模板更改能生效。

基本WCCP配置:
Switch(config)-ip wccp网站缓存
Switch(config)-接口<client_vlan_int>
Switch(config-if)-ip wccp网站缓存重定向
!!
!!并且请勿忘记保存设置
!!
Switch(config-if)-执行wr mem


使用一个轻微更多高级配置, WCCP redirect-list可以用于从WCCP重定向屏蔽某些目的地网络。 在本例中,从重定向请排除为RFC1918地址注定的所有流量。

与redirect-list的WCCP配置:
Switch(config)-access-list 110拒绝ip所有10.0.0.0 0.255.255.255
Switch(config)-access-list 110拒绝ip所有172.16.0.0 0.15.255.255
Switch(config)-access-list 110拒绝ip所有192.168.0.0 0.0.255.255
Switch(config)-access-list 110 permit ip any any
Switch(config)-ip wccp网站缓存redirect-list 110
!!
!!使用重定向列表,对内部目的地的流量不会是
!!重定向,和将绕过思科WSA
!!
Switch(config)-接口<client_vlan_int>
Switch(config-if)-ip wccp网站缓存重定向
!!
!!并且请勿忘记保存设置
!!
Switch(config-if)-执行wr mem


对于与更加严密的安全需求的网络, a Group-list可以用于限制允许参加WCCP服务组的IP地址,并且WCCP密码可以启用。 在本例中,请使用redirect-list, a Group-list (假设我们有WSAs在192.168.50.2和192.168.50.3)和一个WCCP密码。

与redirect-list的WCCP配置, Group-list和WCCP密码:

!!
!!我们将使用访问列表110 redirect-list
!!
Switch(config)-access-list 110拒绝ip所有10.0.0.0 0.255.255.255
Switch(config)-access-list 110拒绝ip所有172.16.0.0 0.15.255.255
Switch(config)-access-list 110拒绝ip所有192.168.0.0 0.0.255.255
Switch(config)-access-list 110 permit ip any any
!!
!!我们将使用访问列表20 Group-list
!!
Switch(config)-access-list 20 permit 192.168.50.2
Switch(config)-access-list 20 permit 192.168.50.3
!!
!!启用WCCP服务ID 0 (web-cache)用密码12345
!!
Switch(config)-ip wccp网站缓存redirect-list 110 Group-list 20密码12345
!!
!!使用重定向列表,对内部目的地的流量不会是
!!重定向,和将绕过思科WSA
!!
Switch(config)-接口<client_vlan_int>
Switch(config-if)-ip wccp网站缓存重定向
!!
!!并且请勿忘记保存设置
!!
Switch(config-if)-执行wr mem



不支持的WCCP功能
  • 在通过使用ip WCCP重定向接口配置命令,配置的出站接口的数据包重定向。不支持此命令。
  • 不支持数据包重定向的GRE转发方法。
  • 不支持负载均衡的哈希分配方法。
  • 没有WCCP的SNMP支持。


注意:当曾经动态ID时,配置在web-cache关键字地方是相同的,除了回车服务ID编号。

注意:对于动态服务ID,思科推荐使用ID 90 - 97保证兼容性用多数设备。

更多信息可以在Catalyst交换机软件配置指南找到:

3560 :http://www.cisco.com/en/US/docs/switches/lan/catalyst3560/software/release/12.2_44_se/configuration/guide/swwccp.html
3750 :http://www.cisco.com/en/US/docs/switches/lan/catalyst3750/software/release/12.2_44_se/configuration/guide/swwccp.html


相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


Document ID: 118006