Cервисы организации сетевого доступа к приложениям : Cisco Cache Engines серии 500

Настройка IP-спуфинга на Cache Engine с помощью прозрачной установки с коммутатора служб контента

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

В этом документа приводится образец конфигурации для прозрачного кэширования и имитации синхронного IP-соединения (IP-спуфинга) без использования протокола передачи веб-кэша (WCCP) для Cisco Cache Engine и Cisco Content Services Switch (CSS) 11000 или балансировщика загрузки CSS 11500.

Перед началом работы

Условные обозначения

Дополнительные сведения об условных обозначениях в документах см. Cisco Technical Tips Conventions.

Предварительные условия

Для данного документа отсутствуют предварительные условия.

Используемые компоненты

Сведения в этом документе основаны на версиях оборудования и программного обеспечения, указанных ниже.

  • Cache Engine (CE) 500 и программного обеспечения сетей передачи контента (ACNS) запущенного приложения 4.2 или позже

  • CSS 11000 или CSS 11500

Сведения, содержащиеся в данном документе, были получены с устройств в специальной лабораторной среде. Все устройства, описанные в данном документе, были запущены с конфигурацией по умолчанию. При работе с реальной сетью необходимо полностью осознавать возможные результаты использования всех команд.

Теоретические сведения

Прозрачность кеш-памяти означает, что трафик от клиента к серверу незаметно перенаправляется маршрутизатором или коммутатором 4 уровня на устройство кеш-памяти (в данном случае - Cisco Cache Engine).

Если устройство кэша уже имеет копию содержания, клиент ищет, ответит кэш от имени сервера. Если в кэше отсутствует содержимое, то устройство пытается получить его от сервера перед тем, как отвечать на запрос клиента.

По умолчанию кэш свяжется с сервером с помощью собственного IP-адреса. Иногда необходимо, однако, использовать IP-адрес клиента. Это выполнимо путем настройки IP-спуфинга.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Схема сети

В данном документе используется сетевая установка, показанная на следующей схеме.

ip_spoofing-a.gif

Конфигурации

В данном документе используются следующие конфигурации.

  • CSS 11000

  • Cache Engine 500

CSS 11000
!Generated on 04/18/2003 09:30:41
!Active version: ap10500007s

configure

!*************************** GLOBAL ***************************
  no restrict web-mgmt 
  no restrict xml 
  bridge spanning-tree disabled 
  persistence reset remap 
  acl enable 

!--- An Access Control List (ACL) is needed. Enable the ACL.

 
  ip route 0.0.0.0 0.0.0.0 10.48.66.1 1 
  ip route 192.168.10.0 255.255.255.0 192.168.20.100 1 
  ip route 192.168.20.0 255.255.255.0 10.48.66.31 1 
  ip route 192.168.20.0 255.255.255.0 192.168.30.3 1
 

!--- Very important !!!!
!--- For the ECMP feature of the CSS to work, 
!--- you need one route pointing to the upstream router, 
!--- and one identical route pointing to the cache.
!--- The CSS will know which one to use based on where 
!--- the traffic came in first.


!************************* INTERFACE *************************
interface e1
  phy 100Mbits-FD 

interface e2
  bridge vlan 149 
  phy 100Mbits-FD 

interface e3
  bridge vlan 161 
  phy 100Mbits-FD 

!************************** CIRCUIT **************************
circuit VLAN1

  ip address 10.48.66.130 255.255.254.0 

circuit VLAN149

  ip address 192.168.10.70 255.255.255.0 

circuit VLAN161

  ip address 192.168.30.1 255.255.255.0 

!************************** SERVICE **************************
service agra 

!--- Definition of the cache device.

  ip address 192.168.30.3 
  type transparent-cache


!--- It is important to set the type to transparent-cache
!--- so that the CSS does not NAT the destination IP address.
!--- Only the destination MAC address is modified.



  port 80 
  active 
!**************************** EQL ****************************
eql CacheMe 

!--- Definition of what objects are cacheable.

  extension gif 
  extension html 
  extension pdf 
  extension zip 
  extension gz 

!*************************** OWNER ***************************
owner gilles 
  content ToCache 

!--- Definition of the content rule to redirect the traffic.
!--- No VIP address specified since you want to intercept all HTTP traffic.

  
    protocol tcp 
    port 80 
    url "/*" eql CacheMe 

!--- Redirect all requests of a cahceable object.
	 
    add service agra 
    active 
!**************************** ACL ****************************
acl 1 
  clause 10 bypass tcp any destination 192.168.10.2 eq 80

!--- This ACL is necessary to make sure that the HTTP requests from
!--- the cache itself are not intercepted by the content rule.


  clause 20 permit any any destination any 
  apply circuit-(VLAN161) 
acl 2 

!--- Permit all traffic for the other interfaces.

  clause 20 permit any any destination any 
  apply circuit-(VLAN149) 
  apply circuit-(VLAN1) 

Cache Engine 500
 
hostname CE500
! 
http l4-switch enable


!--- Tells the Cache Engine to accept traffic with any IP destination.

http l4-switch spoof-client-ip enable 


!--- This is a new command in ACNS 5.x. this command replaces the 
!--- wccp spoof-client-ip enable command.


!
!
!
!
!
!
exec-timeout 0
!
!
!
interface FastEthernet 0/0
 ip address 192.168.30.3 255.255.255.0
 exit
interface FastEthernet 0/1
 shutdown
 exit
!
!
ip default-gateway 192.168.30.1
!
primary-interface FastEthernet 0/0
!
!
!
logging console enable
!
!
!
!
!
!
!
wccp version 2
wccp spoof-client-ip enable


!--- This commands enable IP spoofing, and it works 
!--- even if you do not use WCCP. This command only works with
!--- WCCP redirected traffic if you have ACNS 5.x.
!--- Therefore, if you are using version 5.x of ACNS, this command
!--- should be replaced with the command http l4-switch spoof-client-ip enable
!--- mentioned above.


!
!
CE500#

Проверка

В этом разделе содержатся сведения, которые помогают убедиться в надлежащей работе конфигурации.

Некоторые команды show поддерживаются Средством интерпретации выходных данных(только зарегистрированные клиенты), которое позволяет просматривать аналитику выходных данных команды show.

Команды показа CSS 11000

  • show summary—показывает счетчики использования правил содержимого, чтобы удостовериться, что CSS получает и перенаправляет трафик.

  • команда show service name—показывает состояние службы.

Команды модуля кэша

  • show stat http request name - отображает количество HTTP-запросов, полученных кэшем.

  • show stat http savings name — отображает количество совпадений и несовпадений в модуле кэша.

Устранение неполадок

Для решения этой проблемы используйте команды, приведенные выше. Большую часть времени, однако, необходимо использовать анализатор для обнаружения точного пути, придерживавшегося трафиком.

Можно также выполнить команду трассировки потока CSS, доступную в режиме отладки. Вы получите лучший результат с анализатором как бы то ни было.


Дополнительные сведения


Document ID: 42162