アプリケーション ネットワーキング サービス : Cisco 500 シリーズ キャッシュ エンジン

Cisco Cache Engine 2.2 による SSL トンネリングの設定

2003 年 8 月 4 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2006 年 9 月 8 日) | フィードバック

目次

概要
はじめに
     表記法
     前提条件
     使用するコンポーネント
設定
     ネットワーク ダイアグラム
     設定
debug コマンドと show コマンド
     debug https header trace
     show statistics https
     show https all
     show xlate
     show logging
関連コマンド
     proxy-protocols
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

この設定例では、Cisco Cache Engine を Secure Hypertext Transfer Protocol(HTTPS; セキュア ハイパーテキスト転送プロトコル)プロキシ サーバとして設定し、クライアントのブラウザで発生した HTTPS-over-HTTP 要求がリレーされるようにする方法について説明します。このクライアントのブラウザでは、HTTPS トラフィックが Web キャッシュに向けられるように設定されています。

キャッシュ エンジンでは Secure Socket Layer(SSL)トラフィックを終端することができないため、Web Cache Communication Protocol(WCCP; ウェブ キャッシュ通信プロトコル)と透過キャッシングは使用できません。 透過モードではクライアントがキャッシュ エンジンを使用して SSL セッションを開こうとしますが、キャッシュ エンジンには SSL 証明書があるものの、このセッションを終端させることはできないため、接続は失敗します。 キャッシュ エンジンはプロキシ モードでトラフィックを通過させることはできます。しかし、これには SSL 要求のためにキャッシュ エンジンを使用しているすべてのブラウザで、セキュア プロトコル用にキャッシュ エンジンに設定されたプロキシ アドレスが指定されている必要があります。 この設定は各ブラウザで個別に行います。

キャッシュ エンジンでは、元のサーバへの接続を直接または他のプロキシ サーバを経由して確立し、Web クライアントと元のサーバがキャッシュ エンジンを経由して SSL トンネルを設定できるようにします。 HTTPS トラフィックは暗号化されており、Web クライアントと元のサーバとの間でキャッシュ エンジンや他のデバイスによって解読されることはありません。 HTTPS オブジェクトはキャッシュされません。

はじめに

表記法

文書表記の詳細については、「シスコ テクニカル ティップスの表記法」を参照してください。

前提条件

この文書に関する特別な前提条件はありません。

使用するコンポーネント

この構成は、次に示すソフトウェアとハードウェアのバージョンを使用して作成およびテストされたものです。

  • Cisco Cache Engine 550、Cisco Cache ソフトウェア リリース 2.2 を実行

  • Cisco 2600 ルータ、Cisco IOS(R) ソフトウェア リリース 12.0 を実行

  • Cisco Private Internet Exchange(PIX)ファイアウォール、Secure PIX Firewall ソフトウェア リリース 5.2(3) を実行

設定

ネットワーク ダイアグラム

ssl_tunneling.jpg

SSL Client PC1 から発信された HTTPS トラフィックは、Cache Engine 550 でプロキシ処理されます。この Cache Engine 550 には、PIX 内で認められている内部 LAN からインターネットへ出るための唯一の IP アドレスが設定されています。 https proxy incoming コマンドを使用して、キャッシュ エンジンが HTTPS 接続をリスニングするためのポートを選択します。

設定

Cache Engine 550(Cisco Cache ソフトウェア リリース 2.2)

!
   hostname tikka
   !
   interface ethernet 0
   ip address 10.10.10.50 255.255.255.0
   ip broadcast-address 10.10.10.255
   bandwidth 10
   halfduplex
   exit
   !
   !
   interface ethernet 1
   exit
   !
   ip default-gateway 10.10.10.1
   ip name-server 144.254.6.77
   ip domain-name cisco.com
   ip route 0.0.0.0 0.0.0.0 10.10.10.1
   inetd enable ftp 12
   cron file /local/etc/crontab
   clock timezone CET -7 0
   !
   no bypass load enable
   http max-ttl hours text 4 binary 8
   wccp router-list 1 10.10.10.1
   wccp web-cache router-list-num 1 password ****
   wccp version 2
   !
   authentication login local enable
   authentication configuration local enable
   rule no-cache url-regex .*cgi-bin.*
   rule no-cache url-regex .*aw-cgi.*
   https proxy incoming 443
   https destination-port allow all
   !
   !
   end

Cisco 2600 ルータ(Cisco IOS ソフトウェア リリース 12.0)

!
   ip subnet-zero
   ip wccp web-cache password ww
   no ip domain-lookup
   !
   !
   !
   interface FastEthernet0/0
   ip address 8.8.8.1 255.255.255.0
   ip wccp web-cache redirect out
   ip route-cache same-interface
   !
   !
   interface FastEthernet0/1
   ip address 10.10.10.1 255.255.255.0
   no ip route-cache
   no ip mroute-cache
   !

PIX 506(Secure PIX Firewall ソフトウェア リリース 5.2(3))

!
   PIX Version 5.2(3)
   nameif ethernet0 outside security0
   nameif ethernet1 inside security100
   enable password 8Ry2YjIyt7RRXU24 encrypted
   passwd 2KFQnbNIdI.2KYOU encrypted
   hostname pixfirewall
   logging buffered debugging
   no logging trap
   no logging history
   logging facility 20
   logging queue 512
   interface ethernet0 10baset
   interface ethernet1 10baset
   mtu outside 1500
   mtu inside 1500
   ip address outside 172.17.241.14 255.255.255.0
   ip address inside 8.8.8.2 255.255.255.0
   ip audit info action alarm
   ip audit attack action alarm
   arp timeout 14400
   static (inside,outside) 172.17.241.50 10.10.10.50
   netmask 255.255.255.255 00
   conduit permit icmp any any
   route outside 0.0.0.0 0.0.0.0 172.17.241.29 1
   route inside 10.10.10.0 255.255.255.0 8.8.8.1 1
   timeout xlate 3:00:00
   terminal width 80
   Cryptochecksum:a02a164a924492533b8272dd60665e29
   : 
   end

debug コマンドと show コマンド

debug コマンドと show コマンドの出力例を次に示します。

debug コマンドを発行する前に、「debug コマンドに関する重要な情報」を参照してください。

debug https header trace

debug https header trace コマンドを使用すると、PC1 で受信された要求の表示とトラブルシューティングを行うことができます。

Wed Dec 13 02:41:37 2000: Https request received from client:
   CONNECT www.tronet.sk:443 HTTP/1.0
   User-Agent: Mozilla/4.75 [en] (WinNT; U)
    
   Wed DEC 13 02:41:37 2000: CONNECT www.tronet.sk:443 HTTP/1.0
   User-Agent: Mozilla/4.75 [en] (WinNT; U) 
   HTTPS response headers sent:
   Wed DEC 13 02:41:38 2000: HTTPS response headers sent:
   HTTP/1.0 200 Connection Established
   Wed DEC 13 02:41:38 2000: HTTP/1.0 200 Connection Established 
   
   Wed DEC 13 02:41:38 2000:  
   Https request received from client:
   Wed DEC 13 02:41:39 2000: Https request received from client:
   CONNECT www.tronet.sk:443 HTTP/1.0
   User-Agent: Mozilla/4.75 [en] (WinNT; U)
   Wed DEC 13 02:41:39 2000: CONNECT www.tronet.sk:443 HTTP/1.0
   User-Agent: Mozilla/4.75 [en] (WinNT; U) 
   
   HTTPS response headers sent:
   Wed DEC 13 02:41:39 2000: HTTPS response headers sent:
   HTTP/1.0 200 Connection Established
   Wed DEC 13 02:41:39 2000: HTTP/1.0 200 Connection Established

show statistics https

show statistics https コマンドでは、HTTPS 接続の統計情報が表示されます。

                                  HTTPS Statistics
   
                                                   Total                % of Total
   
                                ---------------------------------------------------
   
              Total connections:                       2                         -
              Connection errors:                       0                       0.0
                    Total bytes:                  116261                         -
     Bytes received from client:                    1069                       0.9
           Bytes sent to client:                  115192                      99.1

show https all

show https コマンドでは、HTTPS プロキシのステータスとポートのポリシーが表示されます。

Incoming HTTPS proxy:
     Servicing Proxy mode HTTPS connections on ports:  443
   
   Outgoing HTTPS proxy:
     Not using outgoing proxy mode.
   
   Destination port policies:
     Allow  all

次のコマンドは、PIX ファイアウォールで実行されたものです

show xlate

show xlate コマンドでは、変換スロットの情報の表示とクリアが行われます(特権モード)。

Global 172.17.241.50 Local 10.10.10.50 static

show logging

show logging コマンドでは、ロギング(syslog)の状態が表示されます。

302001: Built outbound TCP connection 68 for faddr 195.168.21.2/443
               gaddr 172.17.241.50/1091 laddr 10.10.10.50/1091
   
       302001: Built outbound TCP connection 69 for faddr 195.168.21.2/443
               gaddr 172.17.241.50/1092 laddr 10.10.10.50/1092
   
       302002: Teardown TCP connection 68 faddr 195.168.21.2/443
               gaddr 172.17.241.50/1091 laddr 10.10.10.50/1091 duration 0:00:02 bytes 59513 (TCP FINs)
   
       302002: Teardown TCP connection 69 faddr 195.168.21.2/443
               gaddr 172.17.241.50/1092 laddr 10.10.10.50/1092 duration 0:00:02 bytes 58128 (TCP Fins)

関連コマンド

proxy-protocols グローバル設定コマンドを使用することで、他の上流側のプロキシ サーバ(8.8.8.3)を使用して HTTPS 要求 を処理するように、上記の例を拡張することができます。

proxy-protocols

CE(config)# https proxy outgoing host 8.8.8.3 8880

この場合、特定のドメインを発信用プロキシ サーバへの転送から除外することができます。

CE(config)# proxy-protocols transparent default-server 
   CE(config)# proxy-protocols outgoing-proxy exclude enable 
   CE(config)# proxy-protocols outgoing-proxy exclude list tronet.sk
   

また、ポート 6565 および 6566 に対する発信 https 接続を拒否することもできます。

CE(config)# https destination-port deny 6565 6566

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 12570