セキュリティ : Cisco 適応型セキュリティ アプライアンス(ASA)ソフトウェア

ASA の WCCP: 概念、制限および設定

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料は Cisco 適応性があるセキュリティ アプライアンス モデル(ASA)の Web Cache Coordination Protocol (WCCP)の概念、制限および設定を説明したものです。 WCCP は ASA が一般的ルーティングカプセル化によって WCCP キャッシング エンジンにトラフィックをリダイレクトできる方式です。

Sourav Kakkar によって貢献される、Cisco TAC エンジニア。

前提条件

要件

次の項目に関する知識があることが推奨されます。

  • Web キャッシュ通信プロトコル(WCCP) バージョン 2 (v2)
  • Cisco 適応型セキュリティ アプライアンス(ASA)
  • Cisco 適応型セキュリティ アプライアンス(ASA)ソフトウェア; 互換性のためのコンフィギュレーション ガイドを読んで下さい
  • プロキシ キャッシング
  • リダイレクション

Cisco はまたこれらの文書で説明されているように ASA の WCCP 設定の制限を理解することを、推奨します:

使用するコンポーネント

この文書に記載されている情報は Web キャッシュ通信プロトコル(WCCP) バージョン 2 (V2)に基づいています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

WCCP および ASA 外観

WCCP は 1 つ以上 の ルータと 1つ以上の Webキャッシュ間の相互対話を規定 します。 相互対話の目的はルータのグループをフローするトラフィックの選択されたタイプの透過的なリダイレクションを確立および維持することです。 選択したトラフィックは Webキャッシュのグループにリソース使用および下部の 応答時間を最適化するためにリダイレクトされます。

WCCP に関しては、ASA は Router ID としてインターフェイスおよび使用で設定される最も高い IP アドレスを選択します。 これは丁度 Open Shortest Path First (OSPF)が Router ID のために従う同じプロセスです。  ASA が Cache Engine (CE)にパケットをリダイレクトするとき、ASA は Router ID IP アドレスからリダイレクトの(それが異なるインターフェイス ソースをたどられても)ソースをたどり、GRE ヘッダのパケットをカプセル化します。

GRE 接続は単方向です。 ASA は GRE のリダイレクトされたパケットをカプセル化し、キャッシング エンジンにそれを送信 します。 ASA は CE からのカプセル化 (GRE) される応答を処理しません。 CE は内部ホストと直接通信する必要があります。

フローはのリダイレクションのために持っていますこれらのステップをはたらきます:

  1. ホストは HTTP接続を開くために ASA のデフォルト ゲートウェイを使用します。
  2. ASA は CE にパケットを(GRE でカプセル化される)リダイレクトします。
  3. CE は要求されたサイトのためのキャッシュを確認するか、またはアップデートします。
  4. CE はホストに直接答えます。
    • ホストからのアウトバウンドパケットは ASA から CE へのリダイレクトされます。
    • サーバからのホストへの着信パケットは CE からホストに送信されます。

 116046-config-wccp-asa-01.jpg

ASA は WCCP V2 を設定します。 サーバが WCCP V2 をサポートする場合、互換性があるはずです。

WCCP リダイレクション

WCCP V2 は透過的なリダイレクションが検出し、確認し、1つ以上の Webキャッシュへの接続をアドバタイズすることができるように有効に なる 1 つ以上 の ルータを可能にするメカニズムを定義します。 これらは WCCP リダイレクションのステップです:

  1. ユーザはブラウザに URL を入力します。
  2. URL はアドレス リゾリューションのための Domain Name System (DNS)に転送されます。
  3. URL は Webサーバの IP アドレスに解決されます。
  4. クライアントは SYN 要求のサーバへの接続を開始します。
  5. アクティブルータで、WCCP Webキャッシュ サービスは HTTP 要求を代行受信します(80) TCPポートは設定された負荷分散に基づいてキャッシュに要求をリダイレクトし、:
    • キャッシュヒットがある場合、CE は要求された内容とのオリジナル GET に応答し、応答パックで起源 サーバのソース IP アドレスを使用します。
    • 要求された内容が CE でまだ保存されていない場合、キャッシュミスがあります:
      1. CE は起源 サーバへの接続を確立し、ソースとして自身の IP アドレスを使用し、HTTP GET を送信 します。
      2. サーバはコンテンツとの CE に応答します。
      3. CE はディスクにキャッシュ可能なコンテンツのコピーを書きます。

WCCP サービス グループ

接続が確立されれば、ルータおよび Webキャッシュは特性がサービス グループ 定義の一部であるトラフィックのリダイレクションを処理するためにサービス グループを形成します。

Webキャッシュは HERE_I_AM_T (10)第 2 間隔でグループの各ルータにサービス グループのメンバシップに加入し、維持するために WCCP2_HERE_I_AM メッセージを送信します。 メッセージは設定されたサービス グループ マルチキャスト アドレスに各ルータにユニキャストまたはマルチキャストによって行うかもしれません。

  • WCCP2_HERE_I_AM メッセージの Web-Cache 識別情報 コンポーネントは IP アドレスによって Webキャッシュを識別します。
  • WCCP2_HERE_I_AM メッセージのサービス情報 コンポーネントは Webキャッシュが加わりたいサービス グループを識別し、記述します。
サービス グループタイプ説明
サービス 0Web-cacheその Web キャッシングサービス CE に HTTPトラフィックをリダイレクトする割り当て ASA。
サービス 53DNSASA がクライアント エンジンに DNS Client 要求を透過的にリダイレクトするようにする DNS キャッシングサービス。
サービス 60FTP ネイティブそのキャッシングサービス Content Engine のシングル ポートに FTP ネイティブ 要求を透過的にリダイレクトする割り当て ASA。
サービス 70https キャッシュキャッシングサービス ポート 443 TCPトラフィックを代行受信し、Content Engine にこの HTTPS トラフィックをリダイレクトする割り当て ASA。
サービス 80rtspASA が Content Engine のシングル ポートにリアルタイム ストリーミング プロトコル(RTSP) Client 要求をリダイレクトするようにするメディア ストリーミング サービス。
サービス 81mmstContent Engine の TCPポート 1755 に Windows Media Technology (WMT) Client 要求をルーティングするために ASA が TCP ベースの Microsoft Media Server (MMST)リダイレクションを使用するようにするメディア キャッシングサービス。
サービス 82mmsuContent Engine の UDP ポート 1755 に WMT Client 要求をルーティングするために ASA が User Datagram Protocol (UDP; ユーザ データグラム プロトコル)ベースの Microsoft Media Server (MMSU)リダイレクションを使用するようにするメディア キャッシングサービス。
サービス 83wmt-rtspASA が Windows Media サービス 9 クライアントから CE の UDP ポート 5005 に RTSP 要求をリダイレクトするようにするメディア ストリーミング サービス。
90-97 を保守して下さい設定可能なユーザ各 WCCP サービスのための 8 つまでのポートをサポートするユーザが定義する WCCP サービス。 これらのユーザが定義するサービスを設定するとき HTTP キャッシング アプリケーションに、HTTPS アプリケーション、または Content Engine のストリーミングアプリケーションにトラフィックをリダイレクトするために、かどうか規定 して下さい。
サービス 98カスタム Web キャッシュキャッシングサービスこと透過的にポート 80 以外マルチポートの Content Engine に HTTPトラフィックをリダイレクトする割り当て ASA。
サービス 99逆プロキシそのキャッシングサービス ポート 80 の Content Engine に HTTP 逆プロキシ トラフィックをリダイレクトする割り当て ASA。

サービス グループはサービス タイプおよびサービスID によって識別されます。 2 つのサービス タイプ グループがあります:

  • よく知られている な サービス
  • ダイナミックサービス

よく知られている な サービスは ASA および Webキャッシュ両方によって知られ、サービスID 以外説明を必要としません。

それに対して、ダイナミックサービスは ASA に記述する必要があります。 ASA はそのサービス グループと関連付けられるトラフィックの特性のナレッジなしでサービスID によって、識別される特定のダイナミックサービス グループに加わるために設定されるかもしれません。 トラフィック説明は最初の Webキャッシュの WCCP2_HERE_I_AM メッセージの ASA とサービス グループに加わるために伝えられます。 Webキャッシュはダイナミックサービスを記述するためにサービス情報 コンポーネントのプロトコル、サービス フラグおよび Port フィールドを使用します。 ダイナミックサービスが定義されたら、ASA は競合説明が含まれているそれに続く WCCP2_HERE_I_AM メッセージを廃棄します。 ASA はまた設定されなかったサービス グループを記述する WCCP2_HERE_I_AM メッセージを廃棄します。

第 0 に 254 はダイナミックサービスであり、Webキャッシュ サービスは規格、またはよく知られている、サービスです。 意味するこのものは TCP 宛先ポート 80 トラフィックはリダイレクトされるべきであること Webキャッシュ サービスが規定 されるとき、WCCP V2 プロトコルはあらかじめ定義したことです。 第 0 に 254 に関しては、各数はダイナミックサービス グループを表します。 WCCP CE は(Bluecoat のような)各サービス グループのためにリダイレクトされるポートおよび一組のプロトコルを定義することです。 それから ASA がその同じサービス グループ数(wccp 0…か wccp 1…)で設定される時、、ASA は Bluecoat デバイスによって誘導として指定されたプロトコルのリダイレクションおよびポートを行います。

これは Web-Cache 識別情報を示す例です:

116046-config-wccp-asa-02.jpg

これは Webキャッシュはサービス グループ 0 の一部であることを示す例です:

116046-config-wccp-asa-03.jpg

これは弊社販売代理店 グループ 91 およびトラフィックがサーバにリダイレクトされるポートの一部として Webキャッシュ サーバを示す例です:

116046-config-wccp-asa-04.jpg

ASA は WCCP2_I_SEE_YOU メッセージが付いている WCCP2_HERE_I_AM メッセージに応答します。

  • WCCP2_HERE_I_AM メッセージがユニキャストだった場合、ルータはユニキャスト WCCP2_I_SEE_YOU メッセージとすぐに対応します。
  • WCCP2_HERE_I_AM メッセージがマルチキャストだった場合、ルータはサービス グループのためのスケジュールされたマルチキャスト WCCP2_I_SEE_YOU メッセージと対応します。

これは router/ASA の例ですルータはサービス グループ 91 に加わる示し、Webキャッシュ サーバにポート 80、8080、および 443 をリダイレクトすることを「」メッセージ会う、:

116046-config-wccp-asa-05.jpg

これは GRE パケットの例です:

116046-config-wccp-asa-06.jpg

設定

: redirect-list では、アクセス リストはネットワーク アドレスしか含まれていないはずです。 ポート別 エントリはサポートされません。

wccp コマンドに関する詳細については、Cisco ASA 5500 シリーズ コマンドレファレンスを、8.2 参照して下さい。 

このプロシージャは ASA の WCCP を設定する方法を記述します:

  1. トラフィックをリダイレクトするために規定 するために wccp コマンドを入力して下さい:

    wccp {web-cache | service_number} [redirect-list access_list] [group-list access_list] 
    [password password]
  2. トラフィック リダイレクションが発生するはずであるインターフェイスを規定 するために wccp コマンドを入力して下さい:

    wccp interface interface_name {web-cache | service_number} redirect in

: WCCP リダイレクトはインターフェイスの入力でだけサポートされます。

これは ASA 設定の例です:

access-list caching permit ip source_subnet mask any
wccp 90 redirect-list caching
wccp interface 90 redirect in
Helpful Commands:
show wccp
show wccp 90 service -> this should indicate the ports that are being serviced by this WCCP
server. Without the 'service-flags ports-defined' in the Cache server configuration, the ports
to be redirected are NOT passed to the ASA. Therefore, the traffic will never be redirected.
This will result in 'Unassigned' increases with 'show wccp'.

ASA# show wccp 90 service

WCCP service information definition:
Type:          Dynamic
Id:            90
Priority:      0
Protocol:      6
Options:       0x00000013
--------
Hash:      SrcIP DstIP
Alt Hash:  -none-
Ports:     Destination:: 80 8080 0 0 0 0 0 0

ASA# show wccp 90 view

WCCP Routers Informed of:
X.X.X.X [Higher IP address on the device will be seen here]

WCCP Cache Engines Visible:
Y.Y.Y.Y [IP address of the web-cache server in the service-group 91]

: このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

確認

現在、この設定に使用できる確認手順はありません。

トラブルシューティング

リダイレクションが予想通りはたらかない場合、解決するためにこれらの出力を使用して下さい。 これらの出力すべては ASA にあります。

  • show tech-support
  • wccp [サービスを示して下さい|表示して下さい|hash|バケット|詳細]
  • 非対称多重処理システムが表分類することを示して下さい

この 3 からの出力が外観有効なを命じる場合、それから必要とするかもしれません:

  • 適切な syslog を検討して下さい。
  • ASA インターフェイスと Webキャッシュ サーバIP 間のキャプチャとアクセスすることを試みている Webサーバとクライアント間のキャプチャを調査するためにキャプチャ comand を使用して下さい。

アウトプット インタープリタ ツール登録ユーザ専用)は、特定の show コマンドをサポートしています。 show コマンド出力の分析を表示するには、アウトプット インタープリタ ツールを使用してください。

関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 116046