アプリケーション ネットワーキング サービス : Cisco 500 シリーズ キャッシュ エンジン

Cisco Cache engine 550 と PIX Firewall を使用した、HTTP および FTP プロキシ キャッシング

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2003 年 8 月 8 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

この文書では、Multipurpose Internet Mail Extensions(MIME)ファイル タイプ(RFC 2046)用および FTP ディレクトリ リスト用の、Hypertext Transfer Protocol(HTTP; ハイパーテキスト転送プロトコル)/File Transfer Protocol(FTP; ファイル転送プロトコル)キャッシングを実行する、Cisco Cache Engine 550 の設定例を説明します。

前提条件

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco Cache Engine 550 Cisco Cache Software Release 2.51 を実行する

  • Cisco 2600 ルータ Cisco IOS を実行するか。 ソフトウェア リリース 12.2

  • Cisco PIX Firewall 実行するセキュア PIX ファイアウォール ソフトウェア リリースを 6.0(1)

  • Windows NT 4.0 SP6a の Internet Information Server 4.0 を実行する Webサーバ

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

背景理論

内部クライアントは、明示的にブラウザを設定して、特定のポートでキャッシュ エンジンの IP アドレスに対して手動の HTTP/FTP プロキシを使用する必要があります。 具体的には、パッシブ モードとアクティブ モード、および匿名モードと認証モード(RFC 1738)のプロキシ モードで、HTTP トランスポートを経由し、キャッシュ エンジンが ftp:// スタイルの FTP 要求を処理します。

キャッシュ エンジンの手前に Private Internet Exchange(PIX)ファイアウォールを配置すると、HTTP/FTP トラフィックは、キャッシュ エンジンの 1 つの IP アドレスのみから着信できるようになります。 このことは、クライアントが外部に直接 HTTP/FTP 接続を行えないことを意味します。 すべての要求は、1 つの IP アドレスからのみ送信されるため、キャッシュ エンジンは、外部への HTTP/FTP がどのユーザに許可され、どのユーザに許可されないかというセキュリティ ポリシーを適用します。

設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

このドキュメントで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク図

このドキュメントでは、次のネットワーク構成を使用しています。

http://www.cisco.com/c/dam/en/us/support/docs/application-networking-services/500-series-cache-engines/12560-ssl-tunneling.jpg

設定

このドキュメントでは、次の設定を使用します。

  • Cache Engine 550 Cisco Cache Software Release 2.51 を実行する

  • PIX バージョン 6.0(1)

  • 2600 Router

Cache Engine 550 Cisco Cache Software Release 2.51 を実行する
!
!
hostname tikka
!
interface ethernet 0
ip address 10.10.10.50 255.255.255.0
ip broadcast-address 10.10.10.255
bandwidth 10
halfduplex
exit
!
interface ethernet 1
exit
!
ip default-gateway 10.10.10.1
ip name-server 144.254.15.102
ip domain-name cisco.com
ip route 0.0.0.0 0.0.0.0 10.10.10.1
inetd enable ftp 12
cron file /local/etc/crontab
clock timezone CET -7 0
!
no bypass load enable
http max-ttl hours text 4 binary 8
http proxy incoming 8080
!
radius-server authtimeout 21
radius-server key ****
authentication login local enable
authentication configuration local enable
rule no-cache url-regex .*cgi-bin.*
rule no-cache url-regex .*aw-cgi.*
ftp proxy anonymous-pswd ****
ftp proxy incoming 8080
!
!

PIX バージョン 6.0(1)
PIX Version 6.0(1)
 nameif ethernet0 outside security0
 nameif ethernet1 inside security100
 nameif ethernet2 intf2 security10
 enable password 8Ry2YjIyt7RRXU24 encrypted
 passwd 2KFQnbNIdI.2KYOU encrypted
 hostname pix-cache
 fixup protocol ftp 21
 fixup protocol http 80
 fixup protocol h323 1720
 fixup protocol rsh 514
 fixup protocol smtp 25
 fixup protocol sqlnet 1521
 fixup protocol sip 5060
 fixup protocol skinny 2000
 names
 access-list restrict-access-out permit ip host 10.10.10.50 any
 access-list restrict-access-out deny ip any any
 


!--- This access-list allows any IP traffic for the 
!--- Cache Engine (UDP DNS queries are also needed to go through the PIX).


 pager lines 24
 logging on
 logging buffered debugging
 interface ethernet0 10baset
 interface ethernet1 10baset
 interface ethernet2 auto shutdown
 mtu outside 1500
 mtu inside 1500
 mtu intf2 1500
 ip address outside 172.17.241.47 255.255.255.0
 ip address inside 8.8.8.2 255.255.255.0
 ip address intf2 127.0.0.1 255.255.255.255
 ip audit info action alarm
 ip audit attack action alarm
 no failover
 failover timeout 0:00:00
 failover poll 15
 failover ip address outside 0.0.0.0
 failover ip address inside 0.0.0.0
 failover ip address intf2 0.0.0.0
 pdm history enable
 arp timeout 14400
 global (outside) 1 172.17.241.48
 nat (inside) 1 0.0.0.0 0.0.0.0 0 0


 
!--- The lines nat and global are meant for any other traffic that is not
!--- supposed to be proxied by the Cache Engine (for example, mail).
!--- You need to explicitly define an entry
!--- in the restrict-access-out ACL to permit 
!--- these outbound connections.


 access-group restrict-access-out in interface inside
 static (inside, outside) 172.17.241.50 10.10.10.50

 
!--- This static would be used to statically map the 
!--- Cache Engine to a specific external address.
 
 route outside 0.0.0.0 0.0.0.0 172.17.241.1 1
 route inside 10.10.10.0 255.255.255.0 8.8.8.1 1
 timeout xlate 3:00:00
 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323
 0:05:00 sip 0:30:00 sip_media 0:02:00
 timeout uauth 0:05:00 absolute
 aaa-server TACACS+ protocol tacacs+
 AAA-server RADIUS protocol radius
 no snmp-server location
 no snmp-server contact
 snmp-server community public
 no snmp-server enable traps
 floodguard enable
 no sysopt route dnat
 telnet 10.10.10.0 255.255.255.0 inside
 telnet timeout 5
 ssh timeout 5
 terminal width 80
 Cryptochecksum:7f08b39173bbe1302bd24273973c89de
 : end
 [OK]

2600 Router
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname suicide
!
enable password ww
!
username all
!
!
!
!
ip subnet-zero
no ip domain-lookup
!
cns event-service server
!
!         
!
!
!
!
!
!
interface FastEthernet0/0
 ip address 8.8.8.1 255.255.255.0
 no ip route-cache
 no ip mroute-cache
 speed 10
 half-duplex
!
interface Serial0/0
 no ip address
 shutdown
 no fair-queue
!
interface FastEthernet0/1
 ip address 10.10.10.1 255.255.255.0
 no ip route-cache
 no ip mroute-cache
 speed 10
 half-duplex
!
interface Serial0/1
 no ip address
 shutdown
!
ip classless
ip route 0.0.0.0 0.0.0.0 8.8.8.2
ip http server
!
line con 0
 exec-timeout 0 0
 transport input none
line aux 0
line vty 0 4
 password ww
 login
!
no scheduler allocate
end

確認

このセクションでは、設定が正常に動作しているかどうかを確認する際に役立つ情報を提供しています。

特定の show コマンドは、Output Interpreter Tool登録ユーザ専用)によってサポートされています。このツールを使用すると、show コマンド出力の分析を表示できます。

2600 ルータのコマンド

FTP プロキシ キャッシング用に 2600 ルータを設定する必要はありません。 この例では、ルータは着信/発信パケットのみをリレーします。 FTP プロキシ キャッシングを外部 FTP サーバに設定する方法を、次の例に示します。 HTTP についても、手順は同じです。 クライアントはブラウザで FTP プロキシを設定し、10.10.10.50:8080 に指定します。

すべてのトラフィックはキャッシュ エンジンを通過します。 PIX では、キャッシュ エンジン用に static(コンジットなし)を設定します。 ユーザは、キャッシュ エンジンをプロキシとして使用することなく FTP サイトにアクセスすることはできません。 次の部分的な設定は、これを行う方法の例を示しています。

pix-cache#
pix-cache#show xlate
1 in use, 1 most used
Global 172.17.241.50 Local 10.10.10.50 static
pix-cache#show conduit
pix-cache#show outbound
pix-cache#

セキュリティポリシーを実施し、外部に FTP にアクセスするために特定のクライアントをブロックするために rule block コマンドを発行して下さい。

rule block src-ip 10.10.10.11 255.255.255.0

キャッシュ エンジンで show statistics ftp コマンドを発行すると、キャッシュされるトラフィックの統計(FTP のヒット数)を表示することができます。

tikka#show statistics ftp
FTP Statistics
--------------
FTP requests Received = 27
FTP Hits
                                    Requests      Percentage

Number of hits =                     17            63.0 %
Bytes =                              358209        39.6 %
FTP Misses

                                    Requests      Percentage
Number of misses =                   10            37.0 %
Bytes =                              547368        60.4 %
Requests sent to Outgoing Proxy    = 0
Requests sent to origin ftp server = 10
FTP error count = 0

トラブルシューティング

ここでは、設定のトラブルシューティングに役立つ情報について説明します。

2600 ルータのコマンド

これらのログはクライアント ブラウザで発行された要求に Cache Engine から来ました:

tikka#debug http header all
tikka#debug ftp packets
tikka#
Http request headers received from client:
GET ftp://172.17.241.216/sample.txt HTTP/1.0
Referer: ftp://172.17.241.216/
Proxy-Connection: Keep-Alive
User-Agent: Mozilla/4.75 [en] (WinNT; U)
Pragma: no-cache
Host: 172.17.241.216
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, image/png, */*
Accept-Encoding: gzip
Accept-Language: en
Accept-Charset: iso-8859-1,*,utf-8
Mon Jul 2 06:40:59 2001: GET ftp://172.17.241.216/sample.txt HTTP/1.0
Referer: ftp://172.17.241.216/
Proxy-Connection: Keep-Alive
User-Agent: Mozilla/4.75 [en] (WinNT; U)
Pragma: no-cache
Host: 172.17.241.216
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, image/png, */*
Accept-Encoding: gzip
Accept-Language: en
Accept-Charset: ISO-8859-1,*,utf-8
Send Cmd : USER anonymous
Mon Jul 2 06:40:59 2001: Send Cmd : USER anonymous
Send Cmd : PASS XXXX
Mon Jul 2 06:40:59 2001: Send Cmd : PASS XXXX
Send Cmd : CWD sample.txt
Mon Jul 2 06:40:59 2001: Send Cmd : CWD sample.txt
Send Cmd : MDTM sample.txt
Mon Jul 2 06:40:59 2001: Send Cmd : MDTM sample.txt
get_reply_info(): Last Modified Time : 1942132164
Mon Jul 2 06:40:59 2001: get_reply_info(): Last Modified Time : 1942132164
Send Cmd : TYPE A
Mon Jul 2 06:40:59 2001: Send Cmd : TYPE A
Send Cmd : PASV
Mon Jul 2 06:40:59 2001: Send Cmd : PASV
Send Cmd : RETR sample.txt
Mon Jul 2 06:40:59 2001: Send Cmd : RETR sample.txt
Send Cmd : QUIT
Mon Jul 2 06:41:00 2001: Send Cmd : QUIT 

関連情報


Document ID: 12560