Seguridad : Dispositivo de seguridad web Cisco

Ejemplo de la configuración de WCCP para el Catalyst 3560 o 3750

18 Octubre 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios

Contribuido por la alerta y Siddharth Rajpathak de Jason, ingenieros de Cisco TAC.

Pregunta

¿Cómo usted configura un protocolo web cache communication (WCCP) en un Cisco Catalyst 3560 o 3750 Switch?

Entorno: Dispositivo de seguridad de la red de Cisco (WSA) y Cisco Catalyst 3560 o 3750

El WCCP se soporta solamente en los Servicios IP del funcionamiento del Catalyst 3560/3750 o los conjuntos de características avanzados de los Servicios IP, en IOS 12.2(25) y posterior. El conjunto de funciones de base IP no soporta el WCCP. El WCCP se soporta solamente en las plantillas de SDM que soportan el PBR: acceso, encaminamiento, y encaminamiento dual IPv4/v6.

En estos ejemplos, utilice la plantilla de la “encaminamiento”.

Determinación de la plantilla de SDM en el Catalyst 3560/3750:
Switch(config)#el sdm prefiere el rutear
Switch(config)#haga el mem del wr
Switch(config)#recargar

Nota:  Una reinicialización se requiere para que el cambio de la plantilla de SDM tome el efecto.

Configuración de WCCP básica:
Switch(config)#caché Web del wccp del IP
Switch(config)#<client_vlan_int> de la interfaz
Switch (config-if) #el caché Web del wccp del IP reorienta adentro
¡!
¡! y no olvide salvar los config
¡!
Switch (config-if) #haga el mem del wr


Usando una levemente más configuración avanzada, una reorientar-lista WCCP se puede utilizar para excluir ciertas redes de destino del redireccionamiento de WCCP.  En este ejemplo, excluya cualquier tráfico destinado para los direccionamientos del RFC1918 del cambio de dirección.

Configuración de WCCP con la Reorientar-lista:
Switch(config)#la lista de acceso 110 niega a IP cualquier 10.0.0.0 0.255.255.255
Switch(config)#la lista de acceso 110 niega a IP cualquier 172.16.0.0 0.15.255.255
Switch(config)#la lista de acceso 110 niega a IP cualquier 192.168.0.0 0.0.255.255
Switch(config)#IP cualquier ninguno del permiso de la lista de acceso 110
Switch(config)#reorientar-lista 110 del caché Web del wccp del IP
¡!
¡! Con reoriente la lista, tráfico a los destinos internos no será
¡! reorientado, y desviará Cisco WSA
¡!
Switch(config)#<client_vlan_int> de la interfaz
Switch (config-if) #el caché Web del wccp del IP reorienta adentro
¡!
¡! y no olvide salvar los config
¡!
Switch (config-if) #haga el mem del wr


Para las redes con requerimientos de seguridad más rigurosos, una lista de grupo se puede utilizar para restringir los IP Addresses que se permitan unirse a al grupo de servicios WCCP, y una contraseña WCCP puede ser habilitada.  En este ejemplo, utilice una reorientar-lista, una lista de grupo (que asume tenemos WSAs en 192.168.50.2 y 192.168.50.3), y una contraseña WCCP.

Configuración de WCCP con la Reorientar-lista, la lista de grupo, y la contraseña WCCP:

¡!
¡! utilizaremos la lista de acceso 110 para la reorientar-lista
¡!
Switch(config)#la lista de acceso 110 niega a IP cualquier 10.0.0.0 0.255.255.255
Switch(config)#la lista de acceso 110 niega a IP cualquier 172.16.0.0 0.15.255.255
Switch(config)#la lista de acceso 110 niega a IP cualquier 192.168.0.0 0.0.255.255
Switch(config)#IP cualquier ninguno del permiso de la lista de acceso 110
¡!
¡! utilizaremos la lista de acceso 20 para la lista de grupo
¡!
Switch(config)#permiso 192.168.50.2 de la lista de acceso 20
Switch(config)#permiso 192.168.50.3 de la lista de acceso 20
¡!
¡! habilite el ID del servicio 0 (caché Web) del wccp con la contraseña 12345
¡!
Switch(config)#contraseña 12345 de la lista de grupo 20 de la reorientar-lista 110 del caché Web del wccp del IP
¡!
¡! Con reoriente la lista, tráfico a los destinos internos no será
¡! reorientado, y desviará Cisco WSA
¡!
Switch(config)#<client_vlan_int> de la interfaz
Switch (config-if) #el caché Web del wccp del IP reorienta adentro
¡!
¡! y no olvide salvar los config
¡!
Switch (config-if) #haga el mem del wr



Características sin apoyo WCCP
  • La redirección de paquete en una interfaz de salida que se configure usando el wccp del IP reorienta hacia fuera el comando interface configuration. Este comando no se soporta.
  • El método de reenvío GRE para la redirección de paquete no se soporta.
  • El método de asignación del hash para el Equilibrio de carga no se soporta.
  • No hay soporte SNMP para el WCCP.


Nota: Al usar los ID dinámicos, la configuración es idéntica, excepto ingresa el número de ID del servicio en el lugar de la palabra clave del caché Web.

Nota: Para el servicio dinámico ID, Cisco recomienda usando ID 90 - 97 asegurar la compatibilidad con la mayoría de los dispositivos.

Más información se puede encontrar en las guías de configuración del software del switch Catalyst:

3560: http://www.cisco.com/en/US/docs/switches/lan/catalyst3560/software/release/12.2_44_se/configuration/guide/swwccp.html
3750: http://www.cisco.com/en/US/docs/switches/lan/catalyst3750/software/release/12.2_44_se/configuration/guide/swwccp.html


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 118006