Seguridad : Software Cisco Adaptive Security Appliance (ASA)

WCCP en el ASA: Conceptos, limitaciones, y configuración

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios

Introducción

Este documento describe los conceptos, las limitaciones, y la configuración del protocolo web cache coordination (WCCP) en un dispositivo de seguridad adaptante de Cisco (ASA). El WCCP es un método por el cual el ASA puede reorientar el tráfico a un WCCP que oculta el motor a través de un túnel del Generic Routing Encapsulation (GRE).

Contribuido por Sourav Kakkar, ingeniero de Cisco TAC.

Prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

  • Web Cache Communications Protocol (WCCP) versión 2 (v2)
  • Dispositivos de seguridad adaptantes de Cisco (ASA)
  • Software adaptante del dispositivo de seguridad de Cisco (ASA); lea las guías de configuración para la compatibilidad
  • Almacenamiento del proxy en memoria caché
  • Cambio de dirección

Cisco también recomienda que usted entiende las limitaciones de la configuración de WCCP en el ASA, como se explica en estos documentos:

Componentes Utilizados

La información en este documento se basa en el Web Cache Communications Protocol (WCCP) versión 2 (V2).

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener información sobre las convenciones sobre documentos.

Descripción WCCP y ASA

El WCCP especifica las interacciones entre los routeres o más y uno o más cachés de red. El propósito de la interacción es establecer y mantener la redirección transparente de los tipos seleccionados de tráfico que atraviesan a un grupo de Routers. El tráfico seleccionado se reorienta a un grupo de cachés de red para optimizar el USO de recurso y tiempos de respuesta más bajos.

Para el WCCP, el ASA elige la dirección IP más alta configurada en una interfaz y las aplicaciones que como el Router ID. Éste es exactamente el mismo proceso que el Open Shortest Path First (OSPF) sigue para el Router ID.  Cuando el ASA reorienta los paquetes al motor del caché (CE), las fuentes ASA la reorientación del IP Address del Router ID (incluso si es originado hacia fuera una diversa interfaz) y encapsulan el paquete en un encabezado GRE.

La conexión GRE es unidireccional. El ASA encapsula los paquetes reorientados en el GRE y los envía al motor de almacenamiento en memoria inmediata. El ASA no procesa ninguna respuestas GRE-encapsulada del CE. El CE necesita comunicar directamente al host interior.

El flujo de trabajo para el cambio de dirección tiene estos pasos:

  1. El host utiliza el default gateway del ASA para abrir la conexión HTTP.
  2. El ASA reorienta el paquete (encapsulado en el GRE) al CE.
  3. El CE verifica o pone al día el caché para el sitio pedido.
  4. El CE contesta directamente al host.
    • Todos los paquetes salientes del host se reorientan del ASA al CE.
    • Todos los paquetes de entrada del servidor al host se dirigen del CE al host.

 116046-config-wccp-asa-01.jpg

El ASA implementa WCCP V2. Si los soportes de servidor WCCP V2, él son compatibles.

Redireccionamiento de WCCP

El WCCP V2 define los mecanismos que permiten a los routeres o más habilitados para que la redirección transparente descubra, verifique, y haga publicidad de la Conectividad a uno o más cachés de red. Éstos son los pasos en el redireccionamiento de WCCP:

  1. El usuario ingresa un URL en un hojeador.
  2. El URL se remite al Domain Name System (DNS) para el address resolution.
  3. El URL se resuelve a la dirección IP del servidor Web.
  4. El cliente inicia una conexión al servidor con una petición SYN.
  5. En el router activo, el servicio WCCP caché Web intercepta el pedido de HTTP (puerto TCP 80) y reorienta la petición a los cachés basados en la distribución de carga configurada:
    • Si hay acierto de caché, el CE responde al GET original con el contenido solicitado y utiliza la dirección IP de origen del servidor de origen en el paquete de la respuesta.
    • Si el contenido solicitado no se salva ya en el CE, hay a pérdida de caché:
      1. El CE establece una conexión al servidor de origen, utiliza su propia dirección IP como la fuente, y envía el HTTP GET.
      2. El servidor responde al CE con el contenido.
      3. El CE escribe una copia del contenido almacenado en memoria caché al disco.

Grupos de Servicio de WCCP

Una vez que se establece la Conectividad, el Routers y los cachés de red crean a los grupos de servicios para manejar el cambio de dirección del tráfico cuyas características son parte de la definición del grupo de servicios.

A caché Web transmite un mensaje WCCP2_HERE_I_AM a cada router en el grupo en HERE_I_AM_T (10) segundos intervalos para unirse a y mantener su calidad de miembro en un grupo de servicios. El mensaje puede estar por el unicast a cada router o por el Multicast a la dirección Multicast configurada del grupo de servicios.

  • El componente de la información de identidad del caché Web en el mensaje WCCP2_HERE_I_AM identifica caché Web por la dirección IP.
  • El componente de la información de servicios del mensaje WCCP2_HERE_I_AM identifica y describe al grupo de servicios en quien caché Web desea participar.
Grupo de serviciosTipoDescripción
Servicio 0Caché WebRed servicio de almacenamiento en memoria caché que permite que el ASA reoriente el tráfico HTTP al CE.
Servicio 53DNSDNS servicio de almacenamiento en memoria caché que permite que el ASA reoriente las peticiones del cliente DNS transparente al motor del cliente.
Servicio 60FTP-nativoServicio de almacenamiento en memoria caché ese permite que el ASA reoriente las peticiones nativas FTP transparente a un puerto único en el Content Engine.
Servicio 70https-cachéServicio de almacenamiento en memoria caché ese permite que el ASA intercepte el puerto 443 tráfico TCP y reoriente este tráfico HTTPS al Content Engine.
Servicio 80rtspServicio del flujo de datos de medios que permite que el ASA reoriente los pedidos de cliente del Real-Time Streaming Protocol (RTSP) a un puerto único en el Content Engine.
Servicio 81mmstMedia servicio de almacenamiento en memoria caché que permite que el ASA utilice el cambio de dirección TCP basado del servidor de medios de Microsoft (MMST) para rutear los pedidos de cliente de la tecnología de los multimedios de Windows (WMT) al puerto TCP 1755 en el Content Engine.
Servicio 82mmsuMedia servicio de almacenamiento en memoria caché que permite que el ASA utilice el User Datagram Protocol (UDP) - cambio de dirección basado del servidor de medios de Microsoft (MMSU) para rutear los pedidos de cliente WMT al puerto 1755 UDP en el Content Engine.
Servicio 83wmt-RTSPServicio del flujo de datos de medios que permite que el ASA reoriente las peticiones RTSP de los clientes del servicio de multimedios de Windows 9 al puerto 5005 UDP en el CE.
Mantenga 90-97usuario configurableServicios definidos por el usario WCCP que soportan hasta ocho puertos para cada servicio WCCP. Cuando usted configura estos servicios definidos por el usario, usted debe especificar si reorientar el tráfico al HTTP que oculta la aplicación, a la aplicación HTTPS, o a la aplicación de flujo continuo en el Content Engine.
Servicio 98aduana-red-cachéServicio de almacenamiento en memoria caché ese permite que el ASA transparente reoriente el tráfico HTTP al Content Engine en los puertos múltiples con excepción del puerto 80.
Servicio 99proxy inversoServicio de almacenamiento en memoria caché ese permite que el ASA reoriente el tráfico de la representación inversa HTTP al Content Engine en el puerto 80.

El ID del servicio identifica a un grupo de servicios el tipo de servicio y. Hay dos grupos de los tipos de servicio:

  • Servicios bien conocidos
  • Servicios dinámicos

Los cachés de red conocen el ASA y y no requieren a los servicios bien conocidos una descripción con excepción de un ID del servicio.

En cambio, los servicios dinámicos deben ser descritos a un ASA. El ASA se puede configurar para participar en un grupo de servicio dinámico determinado, identificado por el ID del servicio, sin ningún conocimiento de las características del tráfico asociado a ese grupo de servicios. La descripción del tráfico se comunica al ASA en el mensaje WCCP2_HERE_I_AM del primer caché Web para unirse a al grupo de servicios. Caché Web utiliza los campos del protocolo, de los Indicadores de servicio, y de puerto del componente de la información de servicios para describir un servicio dinámico. Una vez que han definido a un servicio dinámico, el ASA desecha cualquier mensaje subsiguiente WCCP2_HERE_I_AM que contenga una descripción en conflicto. El ASA también desecha un mensaje WCCP2_HERE_I_AM que describa a un grupo de servicios para quien no se ha configurado.

Los números 0 a 254 son servicios dinámicos, y caché Web el servicio es un estándar, o bien sabido, servicio. Cuál este los medios son que cuando caché Web el servicio se especifica, el protocolo WCCP V2 ha predefinido que el tráfico del puerto destino 80 TCP debe ser reorientado. Para los números 0 a 254, cada número representa a un grupo de servicio dinámico. El WCCP CE (tales como Bluecoat) es definir un conjunto de los protocolos y de los puertos que deben ser reorientados para cada grupo de servicios. Entonces, cuando el ASA se configura con ese mismo número de grupo de servicios (wccp 0… o wccp 1…), el ASA realiza el cambio de dirección en los protocolos especificados y los puertos según lo dirigido por el dispositivo de Bluecoat.

Éste es un ejemplo que muestra la información de identidad del caché Web:

116046-config-wccp-asa-02.jpg

Éste es un ejemplo que muestra que caché Web es el grupo de servicios 0 de la parte de:

116046-config-wccp-asa-03.jpg

Éste es un ejemplo que muestra caché Web un servidor como parte del grupo de servicio al cliente 91 y de los puertos cuyo tráfico se reorienta al servidor:

116046-config-wccp-asa-04.jpg

El ASA responde a un mensaje WCCP2_HERE_I_AM con un mensaje WCCP2_I_SEE_YOU.

  • Si el mensaje WCCP2_HERE_I_AM era unicast, el router responde inmediatamente con un mensaje del unicast WCCP2_I_SEE_YOU.
  • Si el mensaje WCCP2_HERE_I_AM era Multicast, el router responde con el mensaje programado del Multicast WCCP2_I_SEE_YOU para el grupo de servicios.

Éste es un ejemplo del router/ASA “que le veo” el mensaje, que muestra que el router se une al grupo de servicios 91 y reorienta los puertos 80, 8080, y 443 caché Web al servidor:

116046-config-wccp-asa-05.jpg

Éste es un ejemplo de un Paquete GRE:

116046-config-wccp-asa-06.jpg

Configurar

Nota: En la reorientar-lista, la lista de acceso debe contener solamente a las direcciones de red. Las entradas de específico portuario no se soportan.

Nota: Para más información sobre el comando del wccp, vea la referencia de comandos de las 5500 Series de Cisco ASA, 8.2

Este procedimiento describe cómo configurar el WCCP en un ASA:

  1. Ingrese el comando del wccp para especificar el tráfico para reorientar:

    wccp {web-cache | service_number} [redirect-list access_list] [group-list access_list] 
    [password password]
  2. Ingrese el comando del wccp para especificar la interfaz en la cual el cambio de dirección del tráfico debe ocurrir:

    wccp interface interface_name {web-cache | service_number} redirect in

Nota: El WCCP reorienta se soporta solamente en el ingreso de una interfaz.

Éste es un ejemplo de una configuración ASA:

access-list caching permit ip source_subnet mask any
wccp 90 redirect-list caching
wccp interface 90 redirect in
Helpful Commands:
show wccp
show wccp 90 service -> this should indicate the ports that are being serviced by this WCCP
server. Without the 'service-flags ports-defined' in the Cache server configuration, the ports
to be redirected are NOT passed to the ASA. Therefore, the traffic will never be redirected.
This will result in 'Unassigned' increases with 'show wccp'.

ASA# show wccp 90 service

WCCP service information definition:
Type:          Dynamic
Id:            90
Priority:      0
Protocol:      6
Options:       0x00000013
--------
Hash:      SrcIP DstIP
Alt Hash:  -none-
Ports:     Destination:: 80 8080 0 0 0 0 0 0

ASA# show wccp 90 view

WCCP Routers Informed of:
X.X.X.X [Higher IP address on the device will be seen here]

WCCP Cache Engines Visible:
Y.Y.Y.Y [IP address of the web-cache server in the service-group 91]

Nota: Use la Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos usados en esta sección.

Verificación

Actualmente, no hay un procedimiento de verificación disponible para esta configuración.

Troubleshooting

Si el cambio de dirección no trabaja como se esperaba, utilice estas salidas para resolver problemas. Todas estas salidas están en el ASA.

  • show tech-support
  • muestre el wccp [servicio|visión|hash|compartimiento|detalle]
  • la tabla de la demostración ASP clasifica

Si la salida de estos tres ordena las miradas válidas, usted puede ser que entonces necesite:

  • Revise los Syslog apropiados.
  • Utilice el comando capture para investigar las capturas entre la interfaz ASA y caché Web IP del servidor y las capturas entre el cliente y el servidor Web que está intentando acceder.

La herramienta del Output Interpreter (clientes registrados solamente) apoya los ciertos comandos show. Utilice la herramienta del Output Interpreter para ver una análisis de la salida del comando show.

Información Relacionada



Document ID: 116046