セキュリティ : Cisco Web セキュリティ アプライアンス

ASA 設定例のための WSA WCCP

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料に Cisco Web セキュリティ アプライアンス(WSA)を通して Cisco 適応性があるセキュリティ アプライアンス モデル(ASA)のための Web Cache Communication Protocol (WCCP)を設定する方法を記述されています。

Vladimir Sousa および Zack Shaikh によって貢献される、Cisco TAC エンジニア。

前提条件

要件

次の項目に関する知識があることが推奨されます。

  • Cisco WSA
  • Cisco ASA
  • WCCP
  • 透過的なプロキシ配備

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco WSA バージョン 7.x
  • Cisco ASA バージョン 8.x

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

設定

ASA のための WCCP を設定するためにこのセクションを使用して下さい。

設定の概要

これらは ASA のための WCCP を設定するために WSA で入力されるのコマンドです:

hostname(config)# wccp {web-cache | service_number} [redirect-list access_list]
 [group-list access_list] [password password] 


hostname(config)# wccp interface interface_name {web-cache | service_number}
 redirect in

これらはこのコマンドのためのエントリ説明です:

  • サービス番号: これはダイナミックサービス 識別子です、つまりサービス定義がキャッシュによって定まることを意味します。 ダイナミックサービス数は 0 から 255 まで及ぶことができます。 web-cache キーワードと規定 される web-cache サービスが含まれている最大許容数は 256 です。

  • redirect-list: これは Optional エントリです。 それはトラフィックを制御するアクセス リストと使用されますこのサービス グループにリダイレクトされる。 access-list 引数はアクセス リストを規定 する 64 文字以下の一連ではないです(名前か数)。

    : ASA ソフトウェア バージョン 8.1 およびそれ以前は redirect-list の TCPポートを受け入れません; ネットワーク アドレスだけ使用することができます。

  • group-list: これはサービス グループに加わることができる Webキャッシュを判別するオプションのアクセス リストエントリです。 access-list 引数はアクセス リストを規定 する 64 文字以下の一連ではないです(名前か数)。

  • パスワード: これはサービス グループから届くメッセージのための MD5 (MD5)認証を規定 する Optional エントリです。 認証によって受け入れられないメッセージは廃棄されます。

: 標準サービスは web-cache (TCPポート 80 (HTTP)トラフィックだけを代行受信する 0) サービスID です。 他のどのカスタマイズされたサービスに関しては、Cisco は 9097 間のサービスID を使用することを推奨します。

設定例

WSA によって ASA のための WCCP を設定するためにこれらのステップを完了して下さい:

  1. デフォルトサービス グループ web-cache を使用するためにこのコマンドを入力して下さい:

    wccp web-cache
    wccp interface inside web-cache redirect in
  2. HTTP および HTTPS トラフィックのリダイレクションのためにダイナミックサービス グループ ID を使用するためにこのコマンドを入力して下さい:

    wccp 90 redirect-list wccp-hosts group-list wccp-routers
  3. WCCP セキュリティを使用するためにこのコマンドを入力して下さい:

    wccp 90 redirect-list wccp-hosts group-list wccp-routers password securewccp
  4. アクセス リストは宛先 IP アドレスとして ASA に送信 される拒否し、WSA にそれをリダイレクトするトラフィックをように設定することができます。 これは多重 WSAs にトラフィックをリダイレクトするために ASA が設定されるとき特に役立ちます。 たとえば、WSAs これらの IP アドレスは割り当てられるかもしれません:

    • WSA1 IP アドレス = 10.0.0.1
    • WSA2 IP アドレス = 10.0.0.2

    アクセス リストをトラフィックを拒否するために設定するためにこれらのコマンドを入力して下さい:

    access-list wccp-hosts extended deny tcp any host 10.0.0.1
    access-list wccp-hosts extended deny tcp any host 10.0.0.2
  5. HTTPトラフィックがリダイレクトされるようにこのコマンドを入力して下さい:

    access-list wccp-hosts extended  permit tcp any any eq www
  6. HTTPS トラフィックがリダイレクトされるようにこのコマンドを入力して下さい:

    access-list wccp-hosts extended  permit tcp any any eq https
  7. WSAs を定義するために WCCP 通信に加わることができるこれらのコマンドを入力して下さい:

    access-list wccp-routers standard permit host 10.0.0.1
    access-list wccp-routers standard permit host 10.0.0.2
  8. redirect-list コマンドが許可されない場合、拡張アクセスリストは必要であるかもしれません。 拡張アクセスリストを設定するためにこれらのコマンドを入力して下さい:

    access-list wccp-routers extended permit ip host 10.0.0.1 any
    access-list wccp-routers extended permit ip host 10.0.0.2 any
  9. 設定を適用するためにこのコマンドを入力して下さい:

    wccp interface inside 90 redirect in

確認

WCCP と関連しているグローバル な統計情報を表示するために、特権EXECモードで提示 wccp コマンドを入力して下さい:

show wccp {web-cache | service-number}[detail | view]
show run | inc wccp

: トラフィック の 種類(HTTP、HTTPS WSA WCCP 設定によって、FTP)はリダイレクトされる定義されます。 ASA は redirect-list の使用の転送されたトラフィックしかフィルタリングなできます。

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。

関連情報



Document ID: 117810