安全 : 思科自适应安全设备 (ASA) 软件

在ASA的WCCP :概念、限制和配置

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈

简介

本文描述概念、WEB缓存通信协议(WCCP)的限制和配置在思科可适应安全工具(ASA)。WCCP是ASA能重定向流量到WCCP高速缓冲存储引擎通过通用路由封装(GRE)隧道的方法。

贡献用Sourav卡卡尔, Cisco TAC工程师。

先决条件

要求

Cisco 建议您了解以下主题:

  • Web缓存通讯协议(WCCP)版本2 (v2)
  • 思科可适应安全工具(ASA)
  • 思科可适应安全工具(ASA)软件;读兼容性的配置指南
  • 代理缓存
  • 重定向

思科也建议您了解WCCP配置的限制在ASA的,按照这些文档说明:

使用的组件

本文档中的信息根据Web缓存通讯协议(WCCP)版本2 (V2)。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的信息,请参阅 Cisco 技术提示规则

WCCP和ASA概述

WCCP指定一台或多台路由器和一个或更多Web缓存之间的交互作用。交互作用的目的将建立并维护流经路由器的一组流量所选类型的透明重定向。所选的数据流重定向给Web缓存的一组为了优化资源使用和降低响应时间。

对于WCCP, ASA选择在作为路由器ID的接口和用途配置的最高的IP地址。这是开放最短路径优先(OSPF)为路由器ID按照的同一进程。 当ASA重定向数据包对缓存引擎时, ASA从路由器ID IP地址来源重定向(即使它来源一个不同的接口)并且封装在GRE报头的数据包。

GRE连接是单向的。ASA封装在GRE的重定向的数据包并且发送它到高速缓冲存储引擎。ASA不处理从CE的任何GRE封装的答复。CE需要通信直接地到内部主机。

流为重定向工作有这些步骤:

  1. 主机使用ASA的默认网关为了打开HTTP连接。
  2. ASA重定向数据包(封装在GRE)对CE。
  3. CE验证或更新请求的站点的缓存。
  4. CE回复直接地对主机。
    • 从主机的出局信息包从ASA重定向到CE。
    • 从服务器的入站数据包到主机从CE被导向到主机。

 116046-config-wccp-asa-01.jpg

ASA实现WCCP V2。如果服务器支持WCCP V2,应该兼容。

WCCP重定向

WCCP V2定义了允许一台或多台路由器启用透明重定向发现,验证和通告连接到一个或更多Web缓存的机制。这些是在WCCP重定向的步骤:

  1. 用户输入URL到浏览器。
  2. URL转发对地址解析的域名系统(DNS)。
  3. URL被解决对Web服务器的IP地址。
  4. 客户端首次对服务器的连接有SYN请求的。
  5. 在活动路由器上, WCCP Web缓存服务拦截HTTP请求(TCP端口80)并且重定向请求到根据已配置的负载分配的缓存:
    • 如果有缓存命中, CE在答复装箱响应对原始GET以请求的内容并且使用源服务器的源IP地址。
    • 如果请求的内容在CE已经没有存储,有缓存缺失:
      1. CE建立对源服务器的连接,使用其自己的IP地址作为来源,并且发送HTTP GET。
      2. 服务器回应对CE以内容。
      3. CE写入可缓存的内容的复制到磁盘。

WCCP服务组

一旦连接设立,路由器和Web缓存建立服务组为了处理特性是服务组定义的一部分流量的重定向。

Web缓存在组中在服务组中传达WCCP2_HERE_I_AM消息给每个路由器在HERE_I_AM_T (10)秒间隔为了加入和维护其会员。消息可能是由单播到每个路由器或由组播到配置的服务组组播地址。

  • 在WCCP2_HERE_I_AM消息的web-cache标识资讯台组件通过IP地址鉴别Web缓存。
  • WCCP2_HERE_I_AM消息的服务资讯台组件识别并且描述中Web缓存希望参与的服务组在。
服务组类型说明
服务0web-cache允许ASA重定向HTTP数据流到CE的Web高速缓存服务。
服务53DNS允许ASA重定向DNS客户端的DNS高速缓存服务请求透明地到客户端引擎。
服务60FTP本地允许ASA重定向FTP本地请求透明地到内容引擎的单个端口的高速缓存服务。
服务70https缓存允许ASA拦截端口443 TCP数据流和重定向此HTTPS流量到内容引擎的高速缓存服务。
服务80rtsp允许ASA重定向实时流协议(RTSP)客户端的媒体流服务请求到内容引擎的单个端口。
服务81mmst允许ASA使用基于TCP的Microsoft媒体服务器的梅迪亚高速缓存服务(MMST)重定向为了路由Windows Media Technology (WMT)客户端请求对在内容引擎的TCP端口1755。
服务82mmsu允许ASA使用用户数据报协议(UDP) -基于Microsoft媒体服务器的梅迪亚高速缓存服务(MMSU)重定向为了路由WMT客户端请求对UDP内容引擎的端口1755。
服务83wmt rtsp允许ASA重定向RTSP请求从Windows媒体服务9客户端到CE的UDP端口5005的媒体流服务。
服务90-97可配置的用户支持每WCCP服务的八个端口的用户定义的WCCP服务。当您配置这些用户定义的服务时,您是否必须指定重定向流量到HTTP高速缓冲存储应用程序,到HTTPS应用程序,或者到在内容引擎的流应用程序。
服务98自定义Web缓存除端口80之外,允许ASA透明地重定向HTTP数据流到在多个端口的内容引擎的高速缓存服务。
服务99反向代理允许ASA重定向HTTP反向代理流量到在端口80的内容引擎的高速缓存服务。

服务组由服务类型和服务ID识别。有两服务类型组:

  • 著名的服务
  • 动态服务

除服务ID之外,著名的服务由两个ASA和Web缓存认识,并且不需要说明。

相反,必须描述动态服务到ASA。ASA可能由服务ID配置参加一个特定的动态服务服务组,已确定,不用流量的特性的任何知识关联与该服务组。流量说明被传达对在第一个Web缓存的WCCP2_HERE_I_AM消息的ASA为了参加服务组。Web缓存使用服务资讯台组件的协议、服务标志位和端口字段为了描述动态服务。一旦动态服务定义, ASA丢弃包含一相冲突的说明的所有随后的WCCP2_HERE_I_AM消息。ASA也丢弃描述服务组未配置的WCCP2_HERE_I_AM消息。

第0到254是动态服务,并且Web缓存服务标准或者著名的,服务。此的什么含义是,当Web缓存服务指定时, WCCP V2协议预了定义TCP目的地端口80流量将重定向。对于第0到254,每个编号代表动态服务服务组。WCCP CES (例如Bluecoat)是定义将为每服务组重定向的一套协议和端口。然后,当ASA配置与该同样服务组组编号(WCCP 0…或WCCP 1…)ASA执行在指定的协议和端口的重定向如处理的是由Bluecoat设备。

这是显示web-cache标识资讯台的示例:

116046-config-wccp-asa-02.jpg

这是显示该Web缓存是服务组0的一部分的示例:

116046-config-wccp-asa-03.jpg

这是显示Web缓存服务器作为用户服务服务组91和端口一部分流量重定向到服务器的示例:

116046-config-wccp-asa-04.jpg

ASA响应对与WCCP2_I_SEE_YOU消息的一个WCCP2_HERE_I_AM消息。

  • 如果WCCP2_HERE_I_AM消息是单播,路由器立即回应单播WCCP2_I_SEE_YOU消息。
  • 如果WCCP2_HERE_I_AM消息是组播,路由器回应服务组的被安排的组播WCCP2_I_SEE_YOU消息。

这是router/ASA的示例‘我看到You'消息,显示该路由器加入服务组91并且重定向端口80, 8080和443到Web缓存服务器:

116046-config-wccp-asa-05.jpg

这是GRE数据包的示例:

116046-config-wccp-asa-06.jpg

配置

注意:在redirect-list,访问列表应该只包含网络地址。不支持端口特定的条目。

注意:关于WCCP命令的更多信息,请参阅Cisco ASA 5500系列命令参考, 8.2。 

此步骤描述如何配置在ASA的WCCP :

  1. 输入WCCP命令为了指定流量重定向:

    wccp {web-cache | service_number} [redirect-list access_list] [group-list access_list] 
    [password password]
  2. 输入WCCP命令为了指定流量重定向应该发生的接口:

    wccp interface interface_name {web-cache | service_number} redirect in

注意:接口的入口仅支持WCCP重定向。

这是ASA配置的示例:

access-list caching permit ip source_subnet mask any
wccp 90 redirect-list caching
wccp interface 90 redirect in
Helpful Commands:
show wccp
show wccp 90 service -> this should indicate the ports that are being serviced by this WCCP
server. Without the 'service-flags ports-defined' in the Cache server configuration, the ports
to be redirected are NOT passed to the ASA. Therefore, the traffic will never be redirected.
This will result in 'Unassigned' increases with 'show wccp'.

ASA# show wccp 90 service

WCCP service information definition:
Type:          Dynamic
Id:            90
Priority:      0
Protocol:      6
Options:       0x00000013
--------
Hash:      SrcIP DstIP
Alt Hash:  -none-
Ports:     Destination:: 80 8080 0 0 0 0 0 0

ASA# show wccp 90 view

WCCP Routers Informed of:
X.X.X.X [Higher IP address on the device will be seen here]

WCCP Cache Engines Visible:
Y.Y.Y.Y [IP address of the web-cache server in the service-group 91]

注意:使用命令查找工具仅限注册用户)可获取有关本部分所使用命令的详细信息。

验证

当前没有可用于此配置的验证过程。

故障排除

如果重定向不运作正如所料,请使用这些输出为了排除故障。所有这些输出在ASA。

  • show tech-support
  • 显示WCCP [服务|查看|哈希|桶|详细信息]
  • 显示asp表分类

如果从这三的输出发出命令有效的看起来,您也许然后需要:

  • 查看适当的Syslog。
  • 请使用capture命令为了调查在ASA接口和Web缓存服务器IP之间的在客户端和尝试访问的Web服务器之间的捕获和捕获。

命令输出解释程序工具仅限注册用户)支持某些 show 命令。请使用Output Interpreter Tool为了查看show命令输出分析。

相关信息



Document ID: 116046