セキュリティ : Cisco Web セキュリティ アプライアンス

Catalyst 3560 または 3750 用の WCCP の設定例

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

著者:Cisco TAC エンジニア、Jason Alert および Siddharth Rajpathak

質問

Cisco Catalyst 3560 または 3750 スイッチで Web Cache Communication Protocol(WCCP)を設定するにはどうすればいいですか。

環境: Cisco Web Security Appliance(WSA)と Cisco Catalyst 3560 または 3750

WCCP は、IOS 12.2(25) 以降で IP Services または Advanced IP Services 機能セットを実行している Catalyst 3560/3750 でのみサポートされます。 IP Base 機能セットは WCCP をサポートしません。 WCCP は、次の PBR をサポートする SDM テンプレートでのみサポートされます。 アクセス、ルーティング、およびデュアル IPv4/v6 ルーティング。

次の例では、"routing" テンプレートを使用します。

Catalyst 3560/3750 上での SDM テンプレートの設定:
Switch(config)#sdm prefer routing
Switch(config)#do wr mem
Switch(config)#reload

SDM テンプレートの変更を有効にするためにリブートする必要があります。

基本 WCCP 設定:
Switch(config)#ip wccp web-cache
Switch(config)#interface <client_vlan_int>
Switch(config-if)#ip wccp web-cache redirect in
!!
!! and don't forget to save config
!!
Switch(config-if)#do wr mem


もう少し高度な設定を使用すると、WCCP リダイレクト リストを使用して WCCP リダイレクションから特定の宛先ネットワークを除外できます。  この例では、リダイレクションから RFC1918 アドレス宛てのトラフィックを除外します。

リダイレクト リストを使用した WCCP 設定:
Switch(config)#access-list 110 deny ip any 10.0.0.0 0.255.255.255
Switch(config)#access-list 110 deny ip any 172.16.0.0 0.15.255.255
Switch(config)#access-list 110 deny ip any 192.168.0.0 0.0.255.255
Switch(config)#access-list 110 permit ip any any
Switch(config)#ip wccp web-cache redirect-list 110
!!
!! With redirect list, traffic to internal destinations will not be
!! redirected, and will bypass the Cisco WSA
!!
Switch(config)#interface <client_vlan_int>
Switch(config-if)#ip wccp web-cache redirect in
!!
!! and don't forget to save config
!!
Switch(config-if)#do wr mem


よりセキュリティ要件が厳しいネットワークでは、グループ リストを使用して WCCP サービス グループへの参加を許可する IP アドレスを制限し、WCCP パスワードを有効にすることができます。  この例では、リダイレクト リスト、グループ リスト(192.168.50.2 と 192.168.50.3 に WSA が設置されているものとする)、および WCCP パスワードを使用します。

リダイレクト リスト、グループ リスト、および WCCP パスワードを使用した WCCP 設定:

!!
!! we'll use access list 110 for the redirect-list
!!
Switch(config)#access-list 110 deny ip any 10.0.0.0 0.255.255.255
Switch(config)#access-list 110 deny ip any 172.16.0.0 0.15.255.255
Switch(config)#access-list 110 deny ip any 192.168.0.0 0.0.255.255
Switch(config)#access-list 110 permit ip any any
!!
!! we'll use access list 20 for the group-list
!!
Switch(config)#access-list 20 permit 192.168.50.2
Switch(config)#access-list 20 permit 192.168.50.3
!!
!! enable the wccp service id 0 (web-cache) with password 12345
!!
Switch(config)#ip wccp web-cache redirect-list 110 group-list 20 password 12345
!!
!! With redirect list, traffic to internal destinations will not be
!! redirected, and will bypass the Cisco WSA
!!
Switch(config)#interface <client_vlan_int>
Switch(config-if)#ip wccp web-cache redirect in
!!
!! and don't forget to save config
!!
Switch(config-if)#do wr mem



サポートされていない WCCP 機能
  • ip wccp redirect out インターフェイス コンフィギュレーション コマンドを使用して設定された発信インターフェイスでのパケット リダイレクション。 このコマンドはサポートされません。
  • パケット リダイレクションの GRE 転送方式はサポートされません。
  • ロードバランシングのハッシュ割り当て方式はサポートされません。
  • WCCP の SNMP サポートは存在しません。


: ダイナミック ID を使用する場合は、web-cache キーワードの代わりにサービス ID 番号を入力することを除いて、設定は同じです。

: ダイナミック サービス ID の場合は、ほとんどのデバイスとの互換性を保証するために ID 90 ~ 97 を使用することをお勧めします。

詳細は、以下の『Catalyst Switch Software Configuration Guide』に記載されています。

3560: http://www.cisco.com/en/US/docs/switches/lan/catalyst3560/software/release/12.2_44_se/configuration/guide/swwccp.html
3750: http://www.cisco.com/en/US/docs/switches/lan/catalyst3750/software/release/12.2_44_se/configuration/guide/swwccp.html



Document ID: 118006