Servicios de redes de aplicaciones : Cisco Cache Engines de la serie 500

HTTP y proxy FTP almacenamiento en memoria inmediata usando un Cisco Cache Engine 550 y un firewall PIX

18 Octubre 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Este documento proporciona una configuración de muestra para el Cisco Cache Engine 550 para realizar el Hypertext Transfer Protocol (HTTP)/File Transfer Protocol (FTP) que oculta para los tipos de archivo de los Multipurpose Internet Mail Extension (IMITE) (RFC 2046) y para los anuncios del directorio FTP.

prerrequisitos

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Requisitos

No hay requisitos previos específicos para este documento.

Componentes Utilizados

La información que contiene este documento se basa en las versiones de software y hardware indicadas a continuación.

  • Cisco Cache Engine 550 que ejecuta el Cisco Cache Software Release 2.51

  • Cisco 2600 Router que funciona con el Software Release 12.2 de Cisco IOS�

  • Cisco PIX Firewall que funciona con el Software Release 6.0(1) del Secure PIX Firewall

  • Servidor Web que ejecuta el Internet Information Server 4.0 en el Windows NT 4.0 SP6a

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Teoría Precedente

Los clientes internos necesitan configurar sus exploradores explícitamente para utilizar un proxy HTTP/FTP manual a la dirección IP del motor de la memoria caché en un puerto especificado. Específicamente, Cache Engine maneja el transporte de peticiones FTP estilo ftp:// sobre HTTP en modo proxy en modo pasivo y activo y en un modo anónimo y autenticado (RFC 1738).

El firewall de la central de Internet privada (PIX) frente al motor de caché, permite que el tráfico HTTP/FTP sólo provenga de la dirección de IP individual del motor de caché. Esto significa que los clientes no pueden transferir HTTP/FTP directamente al exterior. Porque todas las peticiones provienen sólo de una dirección IP, el motor de memoria caché aplica la política de seguridad de quién está permitido fuera de HTTP/FTP y quién no.

Configurar

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Para encontrar la información adicional en los comandos usados en este documento, use la Command Lookup Tool (clientes registrados solamente).

Diagrama de la red

Este documento utiliza esta configuración de red:

http://www.cisco.com/c/dam/en/us/support/docs/application-networking-services/500-series-cache-engines/12560-ssl-tunneling.jpg

Configuraciones

Este documento usa estas configuraciones.

  • Motor 550 del caché que ejecuta el Cisco Cache Software Release 2.51

  • Versión 6.0 (1) de PIX

  • Router 2600

Motor 550 del caché que ejecuta el Cisco Cache Software Release 2.51
!
!
hostname tikka
!
interface ethernet 0
ip address 10.10.10.50 255.255.255.0
ip broadcast-address 10.10.10.255
bandwidth 10
halfduplex
exit
!
interface ethernet 1
exit
!
ip default-gateway 10.10.10.1
ip name-server 144.254.15.102
ip domain-name cisco.com
ip route 0.0.0.0 0.0.0.0 10.10.10.1
inetd enable ftp 12
cron file /local/etc/crontab
clock timezone CET -7 0
!
no bypass load enable
http max-ttl hours text 4 binary 8
http proxy incoming 8080
!
radius-server authtimeout 21
radius-server key ****
authentication login local enable
authentication configuration local enable
rule no-cache url-regex .*cgi-bin.*
rule no-cache url-regex .*aw-cgi.*
ftp proxy anonymous-pswd ****
ftp proxy incoming 8080
!
!

Versión 6.0 (1) de PIX
PIX Version 6.0(1)
 nameif ethernet0 outside security0
 nameif ethernet1 inside security100
 nameif ethernet2 intf2 security10
 enable password 8Ry2YjIyt7RRXU24 encrypted
 passwd 2KFQnbNIdI.2KYOU encrypted
 hostname pix-cache
 fixup protocol ftp 21
 fixup protocol http 80
 fixup protocol h323 1720
 fixup protocol rsh 514
 fixup protocol smtp 25
 fixup protocol sqlnet 1521
 fixup protocol sip 5060
 fixup protocol skinny 2000
 names
 access-list restrict-access-out permit ip host 10.10.10.50 any
 access-list restrict-access-out deny ip any any
 


!--- This access-list allows any IP traffic for the 
!--- Cache Engine (UDP DNS queries are also needed to go through the PIX).


 pager lines 24
 logging on
 logging buffered debugging
 interface ethernet0 10baset
 interface ethernet1 10baset
 interface ethernet2 auto shutdown
 mtu outside 1500
 mtu inside 1500
 mtu intf2 1500
 ip address outside 172.17.241.47 255.255.255.0
 ip address inside 8.8.8.2 255.255.255.0
 ip address intf2 127.0.0.1 255.255.255.255
 ip audit info action alarm
 ip audit attack action alarm
 no failover
 failover timeout 0:00:00
 failover poll 15
 failover ip address outside 0.0.0.0
 failover ip address inside 0.0.0.0
 failover ip address intf2 0.0.0.0
 pdm history enable
 arp timeout 14400
 global (outside) 1 172.17.241.48
 nat (inside) 1 0.0.0.0 0.0.0.0 0 0


 
!--- The lines nat and global are meant for any other traffic that is not
!--- supposed to be proxied by the Cache Engine (for example, mail).
!--- You need to explicitly define an entry
!--- in the restrict-access-out ACL to permit 
!--- these outbound connections.


 access-group restrict-access-out in interface inside
 static (inside, outside) 172.17.241.50 10.10.10.50

 
!--- This static would be used to statically map the 
!--- Cache Engine to a specific external address.
 
 route outside 0.0.0.0 0.0.0.0 172.17.241.1 1
 route inside 10.10.10.0 255.255.255.0 8.8.8.1 1
 timeout xlate 3:00:00
 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323
 0:05:00 sip 0:30:00 sip_media 0:02:00
 timeout uauth 0:05:00 absolute
 aaa-server TACACS+ protocol tacacs+
 AAA-server RADIUS protocol radius
 no snmp-server location
 no snmp-server contact
 snmp-server community public
 no snmp-server enable traps
 floodguard enable
 no sysopt route dnat
 telnet 10.10.10.0 255.255.255.0 inside
 telnet timeout 5
 ssh timeout 5
 terminal width 80
 Cryptochecksum:7f08b39173bbe1302bd24273973c89de
 : end
 [OK]

Router 2600
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname suicide
!
enable password ww
!
username all
!
!
!
!
ip subnet-zero
no ip domain-lookup
!
cns event-service server
!
!         
!
!
!
!
!
!
interface FastEthernet0/0
 ip address 8.8.8.1 255.255.255.0
 no ip route-cache
 no ip mroute-cache
 speed 10
 half-duplex
!
interface Serial0/0
 no ip address
 shutdown
 no fair-queue
!
interface FastEthernet0/1
 ip address 10.10.10.1 255.255.255.0
 no ip route-cache
 no ip mroute-cache
 speed 10
 half-duplex
!
interface Serial0/1
 no ip address
 shutdown
!
ip classless
ip route 0.0.0.0 0.0.0.0 8.8.8.2
ip http server
!
line con 0
 exec-timeout 0 0
 transport input none
line aux 0
line vty 0 4
 password ww
 login
!
no scheduler allocate
end

Verificación

En esta sección encontrará información que puede utilizar para confirmar que su configuración esté funcionando correctamente.

La herramienta Output Interpreter (sólo para clientes registrados) permite utilizar algunos comandos “show” y ver un análisis del resultado de estos comandos.

Comandos del router 2600

No es necesario configurar el router 2600 para el almacenamiento en memoria caché del proxy de FTP. En este ejemplo, el router retransmite solamente entrante/los paquetes salientes. El siguiente ejemplo muestra cómo fijar memoria caché de proxy de FTP a un servidor FTP externo. Con HTTP, el procedimiento es el mismo. El cliente configura el proxy FTP en el explorador en 10.10.10.50:8080.

Todo el tráfico pasa por el Motor de caché. En PIX, configure una estática (sin conducto) para el motor de memoria caché. Los usuarios no pueden acceder los sitios FTP sin usar el motor del caché como proxy. La configuración parcial siguiente muestra un ejemplo de cómo hacer esto:

pix-cache#
pix-cache#show xlate
1 in use, 1 most used
Global 172.17.241.50 Local 10.10.10.50 static
pix-cache#show conduit
pix-cache#show outbound
pix-cache#

Para aplicar una política de seguridad y bloquear a los clientes específicos para acceder el FTP al exterior, publique el comando rule block.

rule block src-ip 10.10.10.11 255.255.255.0

Usted puede ver las estadísticas del tráfico que es ocultado (los golpes FTP) publicando el comando show statistics ftp en el motor del caché.

tikka#show statistics ftp
FTP Statistics
--------------
FTP requests Received = 27
FTP Hits
                                    Requests      Percentage

Number of hits =                     17            63.0 %
Bytes =                              358209        39.6 %
FTP Misses

                                    Requests      Percentage
Number of misses =                   10            37.0 %
Bytes =                              547368        60.4 %
Requests sent to Outgoing Proxy    = 0
Requests sent to origin ftp server = 10
FTP error count = 0

Troubleshooting

En esta sección encontrará información que puede utilizar para solucionar problemas de configuración.

Comandos del router 2600

Estos registros vinieron del motor del caché por el requerimiento publicado en el buscador del cliente:

tikka#debug http header all
tikka#debug ftp packets
tikka#
Http request headers received from client:
GET ftp://172.17.241.216/sample.txt HTTP/1.0
Referer: ftp://172.17.241.216/
Proxy-Connection: Keep-Alive
User-Agent: Mozilla/4.75 [en] (WinNT; U)
Pragma: no-cache
Host: 172.17.241.216
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, image/png, */*
Accept-Encoding: gzip
Accept-Language: en
Accept-Charset: iso-8859-1,*,utf-8
Mon Jul 2 06:40:59 2001: GET ftp://172.17.241.216/sample.txt HTTP/1.0
Referer: ftp://172.17.241.216/
Proxy-Connection: Keep-Alive
User-Agent: Mozilla/4.75 [en] (WinNT; U)
Pragma: no-cache
Host: 172.17.241.216
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, image/png, */*
Accept-Encoding: gzip
Accept-Language: en
Accept-Charset: ISO-8859-1,*,utf-8
Send Cmd : USER anonymous
Mon Jul 2 06:40:59 2001: Send Cmd : USER anonymous
Send Cmd : PASS XXXX
Mon Jul 2 06:40:59 2001: Send Cmd : PASS XXXX
Send Cmd : CWD sample.txt
Mon Jul 2 06:40:59 2001: Send Cmd : CWD sample.txt
Send Cmd : MDTM sample.txt
Mon Jul 2 06:40:59 2001: Send Cmd : MDTM sample.txt
get_reply_info(): Last Modified Time : 1942132164
Mon Jul 2 06:40:59 2001: get_reply_info(): Last Modified Time : 1942132164
Send Cmd : TYPE A
Mon Jul 2 06:40:59 2001: Send Cmd : TYPE A
Send Cmd : PASV
Mon Jul 2 06:40:59 2001: Send Cmd : PASV
Send Cmd : RETR sample.txt
Mon Jul 2 06:40:59 2001: Send Cmd : RETR sample.txt
Send Cmd : QUIT
Mon Jul 2 06:41:00 2001: Send Cmd : QUIT 

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 12560