アプリケーション ネットワーキング サービス : Cisco 500 シリーズ キャッシュ エンジン

Cisco Cache Engine 550 と PIX Firewall を使用した、HTTP および FTP プロキシ キャッシング

2003 年 8 月 8 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2004 年 5 月 3 日) | フィードバック

目次

概要
はじめに
     表記法
     前提条件
     使用するコンポーネント
     背景理論
設定
     ネットワーク ダイアグラム
     設定
確認
トラブルシューティング
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

この文書では、Multipurpose Internet Mail Extensions(MIME)ファイル タイプ(RFC 2046)用および FTP ディレクトリ リスト用の、Hypertext Transfer Protocol(HTTP; ハイパーテキスト転送プロトコル)/File Transfer Protocol(FTP; ファイル転送プロトコル)キャッシングを実行する、Cisco Cache Engine 550 の設定例を説明します。

はじめに

表記法

文書表記の詳細については、「シスコ テクニカル ティップスの表記法」を参照してください。

前提条件

この文書に関する特別な前提条件はありません。

使用するコンポーネント

この文書の情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

  • Cisco Cache ソフトウェア リリース 2.51 が動作している Cisco Cache Engine 550

  • Cisco IOS(R) ソフトウェア リリース 12.2 が動作している Cisco 2600 ルータ

  • Secure PIX Firewall ソフトウェア リリース 6.0(1) が動作している Cisco PIX Firewall

  • Windows NT 4.0 SP6a 上で Internet Information Server 4.0 が動作している Web サーバ

この文書の情報は、特定のラボ環境にあるデバイスに基づいて作成されています。この文書内で使用されているデバイスはすべて、クリアーな状態(デフォルト)から設定作業を始めています。実稼動中のネットワークで作業をしている場合、実際にコマンドを使用する前に、その潜在的な影響について理解しておく必要があります。

背景理論

内部クライアントは、明示的にブラウザを設定して、特定のポートでキャッシュ エンジンの IP アドレスに対して手動の HTTP/FTP プロキシを使用する必要があります。具体的には、パッシブ モードとアクティブ モード、および匿名モードと認証モード(RFC 1738)のプロキシ モードで、HTTP トランスポートを経由し、キャッシュ エンジンが ftp:// スタイルの FTP 要求を処理します。

キャッシュ エンジンの手前に Private Internet Exchange(PIX)ファイアウォールを配置すると、HTTP/FTP トラフィックは、キャッシュ エンジンの 1 つの IP アドレスのみから着信できるようになります。このことは、クライアントが外部に直接 HTTP/FTP 接続を行えないことを意味します。すべての要求は、1 つの IP アドレスからのみ送信されるため、キャッシュ エンジンは、外部への HTTP/FTP がどのユーザに許可され、どのユーザに許可されないかというセキュリティ ポリシーを適用します。

設定

この項では、この文書で説明する機能を設定するために必要な情報を提供します。

注: この文書で使用されているコマンドの詳細を調べるには、Command Lookup ツールを使用してください(登録ユーザのみ)。

ネットワーク ダイアグラム

この文書では次の図に示すネットワーク構成を使用しています。

ssl_tunneling.jpg

設定

この文書で使用する設定を次に示します。

  • Cisco Cache ソフトウェア リリース 2.51 が動作している Cache Engine 550

  • PIX バージョン 6.0(1)

  • 2600 ルータ

Cisco Cache ソフトウェア リリース 2.51 が動作している Cache Engine 550

  !
  !
  hostname tikka
  !
  interface ethernet 0
  ip address 10.10.10.50 255.255.255.0
  ip broadcast-address 10.10.10.255
  bandwidth 10
  halfduplex
  exit
  !
  interface ethernet 1
  exit
  !
  ip default-gateway 10.10.10.1
  ip name-server 144.254.15.102
  ip domain-name cisco.com
  ip route 0.0.0.0 0.0.0.0 10.10.10.1
  inetd enable ftp 12
  cron file /local/etc/crontab
  clock timezone CET -7 0
  !
  no bypass load enable
  http max-ttl hours text 4 binary 8
  http proxy incoming 8080
  !
  radius-server authtimeout 21
  radius-server key ****
  authentication login local enable
  authentication configuration local enable
  rule no-cache url-regex .*cgi-bin.*
  rule no-cache url-regex .*aw-cgi.*
  ftp proxy anonymous-pswd ****
  ftp proxy incoming 8080
  !
  !

PIX バージョン 6.0(1)

  PIX Version 6.0(1)
   nameif ethernet0 outside security0
   nameif ethernet1 inside security100
   nameif ethernet2 intf2 security10
   enable password 8Ry2YjIyt7RRXU24 encrypted
   passwd 2KFQnbNIdI.2KYOU encrypted
   hostname pix-cache
   fixup protocol ftp 21
   fixup protocol http 80
   fixup protocol h323 1720
   fixup protocol rsh 514
   fixup protocol smtp 25
   fixup protocol sqlnet 1521
   fixup protocol sip 5060
   fixup protocol skinny 2000
   names
   access-list restrict-access-out permit ip host 10.10.10.50 any
   access-list restrict-access-out deny ip any any
   
  
  
  !--- この access-list は、キャッシュ エンジンに対するすべての IP トラフィックを
  !--- 許可します(PIX を通過するには、UDP DNS クエリも必要です)。
  
  
   pager lines 24
   logging on
   logging buffered debugging
   interface ethernet0 10baset
   interface ethernet1 10baset
   interface ethernet2 auto shutdown
   mtu outside 1500
   mtu inside 1500
   mtu intf2 1500
   ip address outside 172.17.241.47 255.255.255.0
   ip address inside 8.8.8.2 255.255.255.0
   ip address intf2 127.0.0.1 255.255.255.255
   ip audit info action alarm
   ip audit attack action alarm
   no failover
   failover timeout 0:00:00
   failover poll 15
   failover ip address outside 0.0.0.0
   failover ip address inside 0.0.0.0
   failover ip address intf2 0.0.0.0
   pdm history enable
   arp timeout 14400
   global (outside) 1 172.17.241.48
   nat (inside) 1 0.0.0.0 0.0.0.0 0 0
  
  
   
  !--- nat と global の行は、キャッシュ エンジンによりプロキシが適用されることが
  !--- 想定されていないその他すべてのトラフィック(mail など)が対象です。
  !--- これらの発信接続を許可するには、
  !--- restrict-access-out ACL で、明示的に
  !--- エントリを定義する必要があります。
  
  
   access-group restrict-access-out in interface inside
   static (inside, outside) 172.17.241.50 10.10.10.50
  
   
  !--- この static は、キャッシュ エンジンを特定の外部アドレスに
  !--- スタティックにマッピングするために使用されます。
   
   route outside 0.0.0.0 0.0.0.0 172.17.241.1 1
   route inside 10.10.10.0 255.255.255.0 8.8.8.1 1
   timeout xlate 3:00:00
   timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323
   0:05:00 sip 0:30:00 sip_media 0:02:00
   timeout uauth 0:05:00 absolute
   aaa-server TACACS+ protocol tacacs+
   AAA-server RADIUS protocol radius
   no snmp-server location
   no snmp-server contact
   snmp-server community public
   no snmp-server enable traps
   floodguard enable
   no sysopt route dnat
   telnet 10.10.10.0 255.255.255.0 inside
   telnet timeout 5
   ssh timeout 5
   terminal width 80
   Cryptochecksum:7f08b39173bbe1302bd24273973c89de
   : end
   [OK]

2600 ルータ

  version 12.2
  service timestamps debug uptime
  service timestamps log uptime
  no service password-encryption
  !
  hostname suicide
  !
  enable password ww
  !
  username all
  !
  !
  !
  !
  ip subnet-zero
  no ip domain-lookup
  !
  cns event-service server
  !
  !         
  !
  !
  !
  !
  !
  !
  interface FastEthernet0/0
   ip address 8.8.8.1 255.255.255.0
   no ip route-cache
   no ip mroute-cache
   speed 10
   half-duplex
  !
  interface Serial0/0
   no ip address
   shutdown
   no fair-queue
  !
  interface FastEthernet0/1
   ip address 10.10.10.1 255.255.255.0
   no ip route-cache
   no ip mroute-cache
   speed 10
   half-duplex
  !
  interface Serial0/1
   no ip address
   shutdown
  !
  ip classless
  ip route 0.0.0.0 0.0.0.0 8.8.8.2
  ip http server
  !
  line con 0
   exec-timeout 0 0
   transport input none
  line aux 0
  line vty 0 4
   password ww
   login
  !
  no scheduler allocate
  end

確認

この項では、設定が正常に動作しているかどうかを確認する際に役立つ情報を示します。

特定の show コマンドは、Output Interpreter ツール登録ユーザのみ)でサポートされています。このツールを使用すると、show コマンドの出力の分析を見ることができます。

2600 ルータのコマンド

FTP プロキシ キャッシング用に 2600 ルータを設定する必要はありません。この例では、ルータは着信/発信パケットのみをリレーします。FTP プロキシ キャッシングを外部 FTP サーバに設定する方法を、次の例に示します。HTTP についても、手順は同じです。クライアントはブラウザで FTP プロキシを設定し、10.10.10.50:8080 に指定します。

すべてのトラフィックはキャッシュ エンジンを通過します。PIX では、キャッシュ エンジン用に static(コンジットなし)を設定します。ユーザは、キャッシュ エンジンをプロキシとして使用することなく FTP サイトにアクセスすることはできません。次の部分的な設定は、これを行う方法の例を示しています。

  pix-cache#
  pix-cache# show xlate
  1 in use, 1 most used
  Global 172.17.241.50 Local 10.10.10.50 static
  pix-cache# show conduit
  pix-cache# show outbound
  pix-cache#

セキュリティ ポリシーを適用し、特定のクライアントが外部へ FTP アクセスするのをブロックするには、rule block コマンドを発行します。

  rule block src-ip 10.10.10.11 255.255.255.0
  

キャッシュ エンジンで show statistics ftp コマンドを発行すると、キャッシュされるトラフィックの統計(FTP のヒット数)を表示することができます。

  tikka#show statistics ftp
  FTP Statistics
  --------------
  FTP requests Received = 27
  FTP Hits
        Requests      Percentage
  
  Number of hits = 17  63.0 %
  Bytes =358209        39.6 %
  FTP Misses
  
        Requests      Percentage
  Number of misses =         10  37.0 %
  Bytes =547368        60.4 %
  Requests sent to Outgoing Proxy    = 0
  Requests sent to origin ftp server = 10
  FTP error count = 0

トラブルシューティング

この項では、設定のトラブルシューティングに役立つ情報を説明します。

2600 ルータのコマンド

次のログは、クライアント ブラウザで要求が発行された時点の、キャッシュ エンジンからのものです。

  tikka#debug http header all
  tikka#debug ftp packets
  tikka#
  Http request headers received from client:
  GET ftp://172.17.241.216/sample.txt HTTP/1.0
  Referer: ftp://172.17.241.216/
  Proxy-Connection: Keep-Alive
  User-Agent: Mozilla/4.75 [en] (WinNT; U)
  Pragma: no-cache
  Host: 172.17.241.216
  Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, image/png, */*
  Accept-Encoding: gzip
  Accept-Language: en
  Accept-Charset: iso-8859-1,*,utf-8
  Mon Jul 2 06:40:59 2001: GET ftp://172.17.241.216/sample.txt HTTP/1.0
  Referer: ftp://172.17.241.216/
  Proxy-Connection: Keep-Alive
  User-Agent: Mozilla/4.75 [en] (WinNT; U)
  Pragma: no-cache
  Host: 172.17.241.216
  Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, image/png, */*
  Accept-Encoding: gzip
  Accept-Language: en
  Accept-Charset: ISO-8859-1,*,utf-8
  Send Cmd : USER anonymous
  Mon Jul 2 06:40:59 2001: Send Cmd : USER anonymous
  Send Cmd : PASS XXXX
  Mon Jul 2 06:40:59 2001: Send Cmd : PASS XXXX
  Send Cmd : CWD sample.txt
  Mon Jul 2 06:40:59 2001: Send Cmd : CWD sample.txt
  Send Cmd : MDTM sample.txt
  Mon Jul 2 06:40:59 2001: Send Cmd : MDTM sample.txt
  get_reply_info(): Last Modified Time : 1942132164
  Mon Jul 2 06:40:59 2001: get_reply_info(): Last Modified Time : 1942132164
  Send Cmd : TYPE A
  Mon Jul 2 06:40:59 2001: Send Cmd : TYPE A
  Send Cmd : PASV
  Mon Jul 2 06:40:59 2001: Send Cmd : PASV
  Send Cmd : RETR sample.txt
  Mon Jul 2 06:40:59 2001: Send Cmd : RETR sample.txt
  Send Cmd : QUIT
  Mon Jul 2 06:41:00 2001: Send Cmd : QUIT 
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 12560