アプリケーション ネットワーキング サービス : Cisco 500 シリーズ キャッシュ エンジン

Content Services Switch を使用した、透過セットアップでの Cache Engine における IP スプーフィングの設定

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2003 年 9 月 5 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

この文書では、Cisco Cache Engine および Cisco Content Services Switch(CSS; コンテンツ サービス スイッチ)11000 または CSS 11500 ロード バランサで Web Cache Communication Protocol(WCCP; ウェブ キャッシュ通信プロトコル)を使用することなく、透過キャッシングと IP スプーフィングを同時に行う設定例を説明します。

はじめに

表記法

ドキュメントの表記法の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

前提条件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Application and Content Networking System(ACNS)4.2 以降が動作する Cache Engine(CE)500

  • CSS 11000 または CSS 11500

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

背景理論

透過キャッシングとは、クライアントからサーバへのトラフィックが、ルータまたはレイヤ 4 スイッチにより、キャッシュ デバイス(この場合は Cisco Cache Engine)に自動的にリダイレクトされることを意味します。

キャッシュ デバイスに、クライアントが探しているコンテンツのコピーがすでに存在する場合、サーバの代わりにキャッシュが応答します。 コンテンツがキャッシュに存在しない場合は、デバイスはクライアント要求に応答する前に、サーバからのコンテンツの取得を試みます。

デフォルトでは、キャッシュは自分自身の IP アドレスを使用して、サーバにコンタクトします。 ただし、場合によってはクライアントの IP アドレスを使用しなければならないこともあります。 これは、IP スプーフィングを設定することで実現できます。

設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

ネットワーク構成図

このドキュメントでは次の図に示すネットワーク構成を使用しています。

ip_spoofing-a.gif

設定

このドキュメントでは次に示す設定を使用しています。

  • CSS 11000

  • Cache Engine 500

CSS 11000
!Generated on 04/18/2003 09:30:41
!Active version: ap10500007s

configure

!*************************** GLOBAL ***************************
  no restrict web-mgmt 
  no restrict xml 
  bridge spanning-tree disabled 
  persistence reset remap 
  acl enable 

!--- An Access Control List (ACL) is needed. Enable the ACL.

 
  ip route 0.0.0.0 0.0.0.0 10.48.66.1 1 
  ip route 192.168.10.0 255.255.255.0 192.168.20.100 1 
  ip route 192.168.20.0 255.255.255.0 10.48.66.31 1 
  ip route 192.168.20.0 255.255.255.0 192.168.30.3 1
 

!--- Very important !!!!
!--- For the ECMP feature of the CSS to work, 
!--- you need one route pointing to the upstream router, 
!--- and one identical route pointing to the cache.
!--- The CSS will know which one to use based on where 
!--- the traffic came in first.


!************************* INTERFACE *************************
interface e1
  phy 100Mbits-FD 

interface e2
  bridge vlan 149 
  phy 100Mbits-FD 

interface e3
  bridge vlan 161 
  phy 100Mbits-FD 

!************************** CIRCUIT **************************
circuit VLAN1

  ip address 10.48.66.130 255.255.254.0 

circuit VLAN149

  ip address 192.168.10.70 255.255.255.0 

circuit VLAN161

  ip address 192.168.30.1 255.255.255.0 

!************************** SERVICE **************************
service agra 

!--- Definition of the cache device.

  ip address 192.168.30.3 
  type transparent-cache


!--- It is important to set the type to transparent-cache
!--- so that the CSS does not NAT the destination IP address.
!--- Only the destination MAC address is modified.



  port 80 
  active 
!**************************** EQL ****************************
eql CacheMe 

!--- Definition of what objects are cacheable.

  extension gif 
  extension html 
  extension pdf 
  extension zip 
  extension gz 

!*************************** OWNER ***************************
owner gilles 
  content ToCache 

!--- Definition of the content rule to redirect the traffic.
!--- No VIP address specified since you want to intercept all HTTP traffic.

  
    protocol tcp 
    port 80 
    url "/*" eql CacheMe 

!--- Redirect all requests of a cahceable object.
	 
    add service agra 
    active 
!**************************** ACL ****************************
acl 1 
  clause 10 bypass tcp any destination 192.168.10.2 eq 80

!--- This ACL is necessary to make sure that the HTTP requests from
!--- the cache itself are not intercepted by the content rule.


  clause 20 permit any any destination any 
  apply circuit-(VLAN161) 
acl 2 

!--- Permit all traffic for the other interfaces.

  clause 20 permit any any destination any 
  apply circuit-(VLAN149) 
  apply circuit-(VLAN1) 

Cache Engine 500
 
hostname CE500
! 
http l4-switch enable


!--- Tells the Cache Engine to accept traffic with any IP destination.

http l4-switch spoof-client-ip enable 


!--- This is a new command in ACNS 5.x. this command replaces the 
!--- wccp spoof-client-ip enable command.


!
!
!
!
!
!
exec-timeout 0
!
!
!
interface FastEthernet 0/0
 ip address 192.168.30.3 255.255.255.0
 exit
interface FastEthernet 0/1
 shutdown
 exit
!
!
ip default-gateway 192.168.30.1
!
primary-interface FastEthernet 0/0
!
!
!
logging console enable
!
!
!
!
!
!
!
wccp version 2
wccp spoof-client-ip enable


!--- This commands enable IP spoofing, and it works 
!--- even if you do not use WCCP. This command only works with
!--- WCCP redirected traffic if you have ACNS 5.x.
!--- Therefore, if you are using version 5.x of ACNS, this command
!--- should be replaced with the command http l4-switch spoof-client-ip enable
!--- mentioned above.


!
!
CE500#

確認

このセクションでは、設定が正常に動作しているかどうかを確認する際に役立つ情報を提供しています。

特定の show コマンドは、Output Interpreter Tool登録ユーザ専用)によってサポートされています。このツールを使用すると、show コマンド出力の分析を表示できます。

CSS 11000 の show コマンド

  • show summary:CSS がトラフィックを受信し、リダイレクトしているかどうかを確認するため、コンテンツ ルールのヒット カウンタを表示します。

  • show service name:サービスのステータスを表示します。

Cache Engine のコマンド

  • show stat http request name:キャッシュにより受信された HTTP 要求の数を表示します。

  • show stat http savings name:Cache Engine でのヒットおよびミスの数を表示します。

トラブルシューティング

この問題のトラブルシューティングには、上記のコマンドを使用します。 ただし多くの場合、トラフィックの正確な経路を見つけるために、スニファを使用する必要があります。

また、デバッグ モードで使用可能な CSS の flow trace コマンドを発行することもできます。 ただし、スニファを使用した方が良好な結果が得られます。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 42162