Servicios de redes de aplicaciones : Cisco Cache Engines de la serie 500

Configurar la tunelización de SSL con el Cisco Cache Engine 2.2

24 Agosto 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Abril 2015) | Comentarios


Contenido


Introducción

Este ejemplo de configuración le muestra cómo configurar un Cisco Cache Engine como servidor de proxy de Protocolo de transferencia de hipertexto seguro (HTTPS) para transmitir las peticiones HTTPS sobre HTTP que iniciaron los navegadores de los clientes configurados para apuntar el tráfico HTTPS hacia la memoria caché Web.

El Chache Engine no puede hacer que el tráfico de Secure Socket Layer (SSL) se termine, entonces el Web Cache Communication Protocol (WCCP) y el almacenamiento transparente no pueden utilizarse. El cliente intentará iniciar una sesión SSL con el motor de memoria caché en modo transparente y, dado que el motor de memoria caché tiene un certificado SSL, no podrá finalizar la sesión y la conexión fallará. El motor de memoria caché puede pasar el tráfico en el modo proxy aunque esto requiere que todos los exploradores que utilizan el motor de memoria caché para las solicitudes SSL tengan configurada su dirección proxy en el motor de memoria caché para protocolos seguros. Esto se hace individualmente en cada navegador.

El motor del caché crea una conexión al servidor de origen directamente o a través de otro servidor proxy y permite que el cliente de Web y el servidor de origen configuren un túnel SSL a través del motor del caché. El tráfico HTTPS está encripción y no puede ser interpretado por el motor caché ni por ningún otro dispositivo entre el cliente Web y el servidor de origen. Los objetos HTTPS no se almacenan en la memoria caché.

Nota:  El PIX no puede mirar en los paquetes SSL, así que el SL FTP no trabaja con el comando fixup. El FTP seguro encapsula una copia de la dirección IP del host dentro del payload cifrado. Puesto que se cifra el paquete, el PIX no puede fixup la dirección privada a la dirección pública en el payload.

Antes de comenzar

Convenciones

Para obtener más información sobre las convenciones del documento, consulte Convenciones de Consejos Técnicos de Cisco.

prerrequisitos

No hay requisitos previos específicos para este documento.

Componentes Utilizados

Esta configuración fue desarrollada y probada mediante las versiones de software y hardware.

  • Cache Engine 550 con software Cisco Cache versión 2.2

  • Cisco 2600 Router que funciona con el Software Release 12.0 de Cisco IOS�

  • Software Release 5.2(3) corriente del Secure PIX Firewall del Firewall del private internet exchange (PIX) de Cisco

Configurar

Diagrama de la red

ssl_tunneling.jpg

El tráfico HTTPS iniciado por el cliente SSL PC1 proxied por el motor 550 del caché, que tiene la única dirección IP del LAN interno que se permite en el PIX salir a Internet. El comando https proxy incoming selecciona los puertos en los cuales el motor de memoria caché escucha las conexiones HTTPS.

Configuraciones

Motor 550 (Software Cisco Cache versión 2.2) del caché
!
hostname tikka
!
interface ethernet 0
ip address 10.10.10.50 255.255.255.0
ip broadcast-address 10.10.10.255
bandwidth 10
halfduplex
exit
!
!
interface ethernet 1
exit
!
ip default-gateway 10.10.10.1
ip name-server 144.254.6.77
ip domain-name cisco.com
ip route 0.0.0.0 0.0.0.0 10.10.10.1
inetd enable ftp 12
cron file /local/etc/crontab
clock timezone CET -7 0
!
no bypass load enable
http max-ttl hours text 4 binary 8
wccp router-list 1 10.10.10.1
wccp web-cache router-list-num 1 password ****
wccp version 2
!
authentication login local enable
authentication configuration local enable
rule no-cache url-regex .*cgi-bin.*
rule no-cache url-regex .*aw-cgi.*
https proxy incoming 443
https destination-port allow all
!
!
end

Router Cisco 2600 (Cisco IOS Software Release 12.0)
!
ip subnet-zero
ip wccp web-cache password ww
no ip domain-lookup
!
!
!
interface FastEthernet0/0
ip address 8.8.8.1 255.255.255.0
ip wccp web-cache redirect out
ip route-cache same-interface
!
!
interface FastEthernet0/1
ip address 10.10.10.1 255.255.255.0
no ip route-cache
no ip mroute-cache
!

PIX 506 (Software Release 5.2(3) del Secure PIX Firewall
!
PIX Version 5.2(3)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
logging buffered debugging
no logging trap
no logging history
logging facility 20
logging queue 512
interface ethernet0 10baset
interface ethernet1 10baset
mtu outside 1500
mtu inside 1500
ip address outside 172.17.241.14 255.255.255.0
ip address inside 8.8.8.2 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
arp timeout 14400
static (inside,outside) 172.17.241.50 10.10.10.50
netmask 255.255.255.255 00
conduit permit icmp any any
route outside 0.0.0.0 0.0.0.0 172.17.241.29 1
route inside 10.10.10.0 255.255.255.0 8.8.8.1 1
timeout xlate 3:00:00
terminal width 80
Cryptochecksum:a02a164a924492533b8272dd60665e29
:�
end

Comandos debug y show

A continuación, se citan ejemplos de resultados de comandos show y debug.

Antes de ejecutar un comando debug, consulte Información Importante sobre Comandos Debug.

debug https header trace

El comando debug https header trace permite que usted vea y que resolver problemas la petición recibida por el PC1.

Wed Dec 13 02:41:37 2000: Https request received from client:
CONNECT www.tronet.sk:443 HTTP/1.0
User-Agent: Mozilla/4.75 [en] (WinNT; U)
�
Wed DEC 13 02:41:37 2000: CONNECT www.tronet.sk:443 HTTP/1.0
User-Agent: Mozilla/4.75 [en] (WinNT; U)�
HTTPS response headers sent:
Wed DEC 13 02:41:38 2000: HTTPS response headers sent:
HTTP/1.0 200 Connection Established
Wed DEC 13 02:41:38 2000: HTTP/1.0 200 Connection Established�

Wed DEC 13 02:41:38 2000:��
Https request received from client:
Wed DEC 13 02:41:39 2000: Https request received from client:
CONNECT www.tronet.sk:443 HTTP/1.0
User-Agent: Mozilla/4.75 [en] (WinNT; U)
Wed DEC 13 02:41:39 2000: CONNECT www.tronet.sk:443 HTTP/1.0
User-Agent: Mozilla/4.75 [en] (WinNT; U)�

HTTPS response headers sent:
Wed DEC 13 02:41:39 2000: HTTPS response headers sent:
HTTP/1.0 200 Connection Established
Wed DEC 13 02:41:39 2000: HTTP/1.0 200 Connection Established

show statistics https

Utilice el comando show statistics https de visualizar las estadísticas de la conexión HTTPS.

��������������������������������� HTTPS Statistics

����������������������������������������������� Total��������������� % of Total

���������������������������� ---------------------------------------------------

���������� Total connections:���������������������� 2������������������������ -
���������� Connection errors:���������������������� 0���������������������� 0.0
���������������� Total bytes:����������������� 116261������������������������ -
� Bytes received from client:������������������� 1069���������������������� 0.9
������� Bytes sent to client:����������������� 115192��������������������� 99.1

show https all

Utilice el comando show https de visualizar el estado de proxy HTTPS y las políticas de puerto.

Incoming HTTPS proxy:
� Servicing Proxy mode HTTPS connections on ports:� 443

Outgoing HTTPS proxy:
� Not using outgoing proxy mode.

Destination port policies:
� Allow� all

Estos comandos fueron utilizados en el firewall PIX:

  • xlate de la demostración — Utilice el comando show xlate de ver o la información clara del slot de traducción (modo privilegiado).

    Global 172.17.241.50 Local 10.10.10.50 static
  • registro de la demostración — Utilice el comando show logging a visualiza el estado del registro (Syslog).

    302001: Built outbound TCP connection 68 for faddr 195.168.21.2/443
    ������� gaddr 172.17.241.50/1091 laddr 10.10.10.50/1091
    
    302001: Built outbound TCP connection 69 for faddr 195.168.21.2/443
    ������� gaddr 172.17.241.50/1092 laddr 10.10.10.50/1092
    
    302002: Teardown TCP connection 68 faddr 195.168.21.2/443
    ������� gaddr 172.17.241.50/1091 laddr 10.10.10.50/1091 duration 
            0:00:02 bytes 59513 (TCP FINs)
    
    302002: Teardown TCP connection 69 faddr 195.168.21.2/443
    ��������gaddr 172.17.241.50/1092 laddr 10.10.10.50/1092 duration 
            0:00:02 bytes 58128 (TCP Fins)

Comandos relacionados

Se puede ampliar el ejemplo anterior a los efectos de usar otro servidor proxy ascendente (8.8.8.3) para que atienda solicitudes HTTPS mediante el uso del comando de configuración global proxy-protocols.

CE(config)# https proxy outgoing host 8.8.8.3 8880

En este caso, puede excluir determinados dominios para que no sean reenviados al siguiente servidor proxy saliente.

CE(config)# proxy-protocols transparent default-server�
CE(config)# proxy-protocols outgoing-proxy exclude enable�
CE(config)# proxy-protocols outgoing-proxy exclude list tronet.sk

Usted también puede negar la conexión HTTPS saliente para los puertos 6565 y 6566.

CE(config)# https destination-port deny 6565 6566

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 12570