セキュリティ : Cisco Web セキュリティ アプライアンス

ルータ/スイッチへの WCCP セッション、しかし問題をルーティングすること当然の出来事を参照します

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

目次

Bhuiyan Muhaimeen および Jai Koolwal によって貢献される、Cisco TAC エンジニア。

質問:

ルータ/スイッチへの WCCP セッション、しかし問題をルーティングすること当然の出来事を参照します

環境:

Cisco Web セキュリティ アプライアンス
Catalyst スイッチ、ルータ、ASA

症状:

WCCP セッションはアップし、稼働していますが、参照ははたらきません。

ある特定の状況では、Cisco Web セキュリティ アプライアンスはルータに話すことができますクライアント トラフィックは渡らないかもしれません。 WCCP がセッション稼働しているが、まだ参照が起こっていないことを見ます。

Catalyst スイッチの WCCP 設定は最小です(redirect-list はこの説明に密接に結びついていませんが、完全を期すためにここに再生されません):

IP wccp 91 redirect-list 130 group-list 30

interface Vlan20
説明クライアント VLAN 20
ip address 192.168.20.1 255.255.255.0
IP wccp 91 リダイレクト

access-list 30 割り当て 10.66.71.17
access-list 130 permit ip ホスト 192.168.20.103 ログ
access-list 130 permit ip ホストは 192.168.20.103 記録 します

WCCP が稼働していることを見ます:

Switch#sh IP wccp 91 d
WCCP クライアント の 情報:

        WCCP クライアントID:          10.66.71.17
        プロトコル バージョン:        2.0
        State:                   Usable(使用可能)       
        リダイレクション:             L2
        パケットは戻ります:           L2
        リダイレクトされるパケット:      0
        接続時間:            00:12:49
        割り当て:              マスク

しかし参照は起こらないために可能性があります。

問題は Cisco Web セキュリティ アプライアンスのルート設定にあります。 たとえば、Cisco Web セキュリティ アプライアンスは VLAN 20 に到達するべきルートがないかもしれません。 働かないルート設定は次の通りです:

問題は通常 1 つのインターフェイスだけ(M1)管理およびデータトラフィック両方の Cisco Web セキュリティ アプライアンスのために使用される場合見られます。 上の例では、第 2 エントリを通して VLAN 30 にルートがあり、WCCP デバイスおよびすべての他のネットワークのための 10.66.71.1 にデフォルト ルートに第 3 エントリを通ってルーティングします。 ただし 10.66.71.1 がインターネットへゲートウェイであるが、それからルーティングする 192.168.20.0/24 にルーティングする方法について知らないし、失敗しますクライアント ブラウザは参照できません。

単純なping テストはクライアントに戻るルートがあるかどうか示します。

s650a.lab (サービス) > PING 192.168.20.103

停止するために Ctrl-C を押して下さい。
PING 192.168.20.103 (192.168.20.103): 56 のデータバイト
^C--- 192.168.20.103 PING 統計情報 ---
、受信される 0 パケット送信される 17 のパケット 100% パケットロス

この問題へのソリューションはクライアント VLAN に戻って Cisco Web セキュリティ アプライアンスのルートで追加することです。  これは下記によってすることができます:

WebUI > ネットワーク > ルート > Add ルート 

これを追加した後、ping は Cisco Web セキュリティ アプライアンスからクライアントにフローし、VLAN 20 (この例のホスト 192.168.20.103)のクライアントの出来事の参照を見るはずです。

s650a.lab (サービス) > PING 192.168.20.103

stop.PING 192.168.20.103 に Ctrl-C を押して下さい(192.168.20.103): 56 のデータバイト
192.168.20.103 からの 64 バイト: icmp_seq=0 ttl=127 time=0.835 ms
192.168.20.103 からの 64 バイト: icmp_seq=1 ttl=127 time=0.343 ms

^C--- 192.168.20.103 PING 統計情報 ---
、受信される 2 つのパケット送信される 2 つのパケット 0% パケットロス
ラウンド トリップ最小値/avg/最大値/stddev = 0.343/0.589/0.835/0.246 ms

以下の事項に注意して下さい:それはこれが参照が失敗するかもしれませんという原因の 1 つであることを繰り返すことを暴露します。 WCCP がなぜ参照が稼働しているが、これがより多くのよくある問題の 1 つはたらいていなかったが、かであるか他の原因がある可能性があります。



Document ID: 118257