Seguridad : Dispositivo de seguridad web Cisco

WSA WCCP para el ejemplo de configuración ASA

18 Octubre 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios

Introducción

Este documento describe cómo configurar el protocolo web cache communication (WCCP) para el dispositivo de seguridad adaptante de Cisco (ASA) a través del dispositivo de seguridad de la red de Cisco (WSA).

Contribuido por Vladimir Sousa y Zack Shaikh, ingenieros de Cisco TAC.

Prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

  • Cisco WSA
  • Cisco ASA
  • WCCP
  • Implementaciones del proxy transparente

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Versión 7.x de Cisco WSA
  • Versión de ASA 8.x de Cisco

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Configurar

Utilice esta sección para configurar el WCCP para el ASA.

Información general sobre configuración

Éstos son los comandos que se ingresan en el WSA para configurar el WCCP para el ASA:

hostname(config)# wccp {web-cache | service_number} [redirect-list access_list]
 [group-list access_list] [password password] 


hostname(config)# wccp interface interface_name {web-cache | service_number}
 redirect in

Éstas son las descripciones de la entrada para este comando:

  • número de servicio: Esto es un identificador del servicio dinámico, así que significa que la definición de servicio es dictada por el caché. El número del servicio dinámico puede extenderse a partir de la 0 a 255. El número máximo permitido es el 256, que incluye el servicio del caché Web que se especifica con la palabra clave del caché Web.

  • reorientar-lista: Esto es una entrada opcional. Se utiliza con una lista de acceso que controle el tráfico que se reorienta a este grupo de servicios. El argumento de la lista de acceso es una cadena de no más que 64 caracteres (nombre o número) que especifica la lista de acceso.

    Nota: Las versiones de software 8.1 ASA y anterior no validan el puerto TCP en la reorientar-lista; solamente las direcciones de red pueden ser utilizadas.

  • lista de grupo: Ésta es una entrada de lista de acceso opcional que determina los cachés de red que se permiten participar en el grupo de servicios. El argumento de la lista de acceso es una cadena de no más que 64 caracteres (nombre o número) que especifica la lista de acceso.

  • contraseña: Ésta es una entrada opcional que especifica la autenticación de la publicación de mensaje 5 (MD5) para los mensajes que se reciben del grupo de servicios. Se desechan los mensajes que no son validados por la autenticación.

Nota: El servicio estándar es el caché Web (ID del servicio 0), que intercepta solamente el tráfico del puerto TCP 80 (HTTP). Para cualquier otro servicios personalizado, Cisco recomienda que usted utiliza un ID del servicio entre 90 y 97.

Ejemplo de configuración

Complete estos pasos para configurar el WCCP para el ASA vía el WSA:

  1. Ingrese este comando para utilizar el caché Web del grupo de servicio predeterminado:

    wccp web-cache
    wccp interface inside web-cache redirect in
  2. Ingrese este comando para utilizar un ID de grupo del servicio dinámico para el cambio de dirección del tráfico HTTP y HTTPS:

    wccp 90 redirect-list wccp-hosts group-list wccp-routers
  3. Ingrese este comando para utilizar la Seguridad WCCP:

    wccp 90 redirect-list wccp-hosts group-list wccp-routers password securewccp
  4. La lista de acceso puede ser configurada de modo que niegue el tráfico que se envía al ASA como IP Address de destino y lo reoriente al WSA. Esto es determinado útil cuando el ASA se configura para reorientar el tráfico a WSAs múltiple. Por ejemplo, el WSAs se pudo asignar estos IP Addresses:

    • Dirección IP WSA1 = 10.0.0.1
    • Dirección IP WSA2 = 10.0.0.2

    Ingrese estos comandos para configurar la lista de acceso para negar el tráfico:

    access-list wccp-hosts extended deny tcp any host 10.0.0.1
    access-list wccp-hosts extended deny tcp any host 10.0.0.2
  5. Ingrese este comando para permitir que el tráfico HTTP sea reorientado:

    access-list wccp-hosts extended  permit tcp any any eq www
  6. Ingrese este comando para permitir que el tráfico HTTPS sea reorientado:

    access-list wccp-hosts extended  permit tcp any any eq https
  7. Ingrese estos comandos para definir el WSAs que se permitan participar en la comunicación WCCP:

    access-list wccp-routers standard permit host 10.0.0.1
    access-list wccp-routers standard permit host 10.0.0.2
  8. Si no validan al comando redirect-list, después una lista de acceso ampliada pudo ser necesaria. Ingrese estos comandos para configurar la lista de acceso ampliada:

    access-list wccp-routers extended permit ip host 10.0.0.1 any
    access-list wccp-routers extended permit ip host 10.0.0.2 any
  9. Ingrese este comando para aplicar la configuración:

    wccp interface inside 90 redirect in

Verificación

Para visualizar las estadísticas globales que se relacionan con el WCCP, ingrese el comando del wccp de la demostración en el modo EXEC privilegiado:

show wccp {web-cache | service-number}[detail | view]
show run | inc wccp

Nota: La configuración de WCCP WSA define al tipo de tráfico (HTTP, HTTPS, FTP) se reorienta que. El ASA puede filtrar solamente el tráfico redirigido con el uso de la reorientar-lista.

Troubleshooting

Actualmente, no hay información específica de troubleshooting disponible para esta configuración.

Información Relacionada


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 117810