Cервисы организации сетевого доступа к приложениям : Cisco Cache Engines серии 500

Настройка туннелирования SSL с Cisco Cache Engine 2.2

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

В этом примере конфигурации показано, каким образом можно настроить модуль кэша Cisco как прокси-сервер HTTPS для передачи запросов HTTPS-over-HTTP, инициированных браузерами клиентов, в настройках которых указано, что трафик HTTPS следует направлять в веб-кэш.

Cache Engine не удается прекратить трафик Secure Socket Layer (SSL), так что коммуникационный протокол веб-кэша (WCCP) и прозрачное кэширование не могут быть использованы. Клиент попытается открыть сеанс SSL с Cache Engine в прозрачном режиме, а поскольку Cache Engine имеет сертификат SSL, оно не сможет завершить сеанс, и подключение даст сбой. Cache Engine может пропускать трафик в режиме прокси, но для этого необходимо, чтобы все браузеры использовали Cache Engine для SSL-запросов, а их адрес прокси для защищенных протоколов был установлен на "Cache Engine". Это осуществляется отдельно в каждом браузере.

Cache Engine создает соединение с исходным сервером непосредственно или через другой прокси-сервер и позволяет Web - клиенту и исходному серверу устанавливать туннель SSL через Cache Engine. Трафик HTTPS зашифрован и не может быть интерпретирован устройством кэширования или другим устройством, находящимся между веб-клиентом и исходным сервером. Объекты HTTPS не кэшированы.

Примечание: PIX не может изучить SSL - пакеты, таким образом, FTP SL не работает с командой fixup. Безопасный FTP инкапсулирует копию адреса IP - адреса хоста в зашифрованном информационном наполнении. Так как пакет зашифрован, PIX не может исправить частный адрес к общему адресу в информационном наполнении.

Перед началом работы

Условные обозначения

Дополнительные сведения об условных обозначениях в документах см. Cisco Technical Tips Conventions.

Предварительные условия

Для данного документа отсутствуют предварительные условия.

Используемые компоненты

При разработке и тестировании этой конфигурации использовались следующие версии программного и аппаратного обеспечения.

  • Cache Engine 550 с программным обеспечением Cisco Cache версии 2,2

  • Маршрутизатор Cisco 2600 рабочая Cisco Выпуск ПО IOS� 12.0

  • Межсетевой экран Обмена через закрытый Интернет (PIX) Cisco, выполняющий Безопасный Выпуск 5.2 (3) Программного обеспечения межсетевого экрана PIX

Настройка

Схема сети

ssl_tunneling.jpg

Трафик HTTPS, инициируемый PC1 Клиента SSL, проксирован Cache Engine 550, который имеет единственный IP-адрес от внутреннего LAN (локальная сеть), который позволен в PIX выйти в Интернет. Команда https proxy incoming выбирает порты, на которых модуль кэша ожидает подключений HTTPS.

Конфигурации

Cache Engine 550 (программное обеспечение Cisco Cache версии 2.2)
!
hostname tikka
!
interface ethernet 0
ip address 10.10.10.50 255.255.255.0
ip broadcast-address 10.10.10.255
bandwidth 10
halfduplex
exit
!
!
interface ethernet 1
exit
!
ip default-gateway 10.10.10.1
ip name-server 144.254.6.77
ip domain-name cisco.com
ip route 0.0.0.0 0.0.0.0 10.10.10.1
inetd enable ftp 12
cron file /local/etc/crontab
clock timezone CET -7 0
!
no bypass load enable
http max-ttl hours text 4 binary 8
wccp router-list 1 10.10.10.1
wccp web-cache router-list-num 1 password ****
wccp version 2
!
authentication login local enable
authentication configuration local enable
rule no-cache url-regex .*cgi-bin.*
rule no-cache url-regex .*aw-cgi.*
https proxy incoming 443
https destination-port allow all
!
!
end

Маршрутизатор Cisco 2600 (программное обеспечение Cisco IOS версии 12.0)
!
ip subnet-zero
ip wccp web-cache password ww
no ip domain-lookup
!
!
!
interface FastEthernet0/0
ip address 8.8.8.1 255.255.255.0
ip wccp web-cache redirect out
ip route-cache same-interface
!
!
interface FastEthernet0/1
ip address 10.10.10.1 255.255.255.0
no ip route-cache
no ip mroute-cache
!

PIX 506 (безопасный выпуск 5.2 (3) программного обеспечения межсетевого экрана PIX
!
PIX Version 5.2(3)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
logging buffered debugging
no logging trap
no logging history
logging facility 20
logging queue 512
interface ethernet0 10baset
interface ethernet1 10baset
mtu outside 1500
mtu inside 1500
ip address outside 172.17.241.14 255.255.255.0
ip address inside 8.8.8.2 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
arp timeout 14400
static (inside,outside) 172.17.241.50 10.10.10.50
netmask 255.255.255.255 00
conduit permit icmp any any
route outside 0.0.0.0 0.0.0.0 172.17.241.29 1
route inside 10.10.10.0 255.255.255.0 8.8.8.1 1
timeout xlate 3:00:00
terminal width 80
Cryptochecksum:a02a164a924492533b8272dd60665e29
:�
end

команды "debug" и "show"

Ниже приведены примеры выводов команд debug и show.

Прежде чем применять команды отладки, ознакомьтесь с разделом "Важные сведения о командах отладки".

debug https header trace

Команда debug https header trace позволяет вам просматривать и устранять неполадки запроса, полученного PC1.

Wed Dec 13 02:41:37 2000: Https request received from client:
CONNECT www.tronet.sk:443 HTTP/1.0
User-Agent: Mozilla/4.75 [en] (WinNT; U)
�
Wed DEC 13 02:41:37 2000: CONNECT www.tronet.sk:443 HTTP/1.0
User-Agent: Mozilla/4.75 [en] (WinNT; U)�
HTTPS response headers sent:
Wed DEC 13 02:41:38 2000: HTTPS response headers sent:
HTTP/1.0 200 Connection Established
Wed DEC 13 02:41:38 2000: HTTP/1.0 200 Connection Established�

Wed DEC 13 02:41:38 2000:��
Https request received from client:
Wed DEC 13 02:41:39 2000: Https request received from client:
CONNECT www.tronet.sk:443 HTTP/1.0
User-Agent: Mozilla/4.75 [en] (WinNT; U)
Wed DEC 13 02:41:39 2000: CONNECT www.tronet.sk:443 HTTP/1.0
User-Agent: Mozilla/4.75 [en] (WinNT; U)�

HTTPS response headers sent:
Wed DEC 13 02:41:39 2000: HTTPS response headers sent:
HTTP/1.0 200 Connection Established
Wed DEC 13 02:41:39 2000: HTTP/1.0 200 Connection Established

show statistics https

Используйте команду show statistics https для отображения статистики Подключения HTTPS.

��������������������������������� HTTPS Statistics

����������������������������������������������� Total��������������� % of Total

���������������������������� ---------------------------------------------------

���������� Total connections:���������������������� 2������������������������ -
���������� Connection errors:���������������������� 0���������������������� 0.0
���������������� Total bytes:����������������� 116261������������������������ -
� Bytes received from client:������������������� 1069���������������������� 0.9
������� Bytes sent to client:����������������� 115192��������������������� 99.1

show https all

Используйте команду show https для отображения статуса прокси HTTPS и политики порта.

Incoming HTTPS proxy:
� Servicing Proxy mode HTTPS connections on ports:� 443

Outgoing HTTPS proxy:
� Not using outgoing proxy mode.

Destination port policies:
� Allow� all

Эти команды использовались на межсетевом экране PIX:

  • show xlate команду show xlate, чтобы просмотреть или очистить информацию о слоте преобразования (привилегированный режим).

    Global 172.17.241.50 Local 10.10.10.50 static
  • show logging команду show logging для показов состояние регистрации (системного журнала).

    302001: Built outbound TCP connection 68 for faddr 195.168.21.2/443
    ������� gaddr 172.17.241.50/1091 laddr 10.10.10.50/1091
    
    302001: Built outbound TCP connection 69 for faddr 195.168.21.2/443
    ������� gaddr 172.17.241.50/1092 laddr 10.10.10.50/1092
    
    302002: Teardown TCP connection 68 faddr 195.168.21.2/443
    ������� gaddr 172.17.241.50/1091 laddr 10.10.10.50/1091 duration 
            0:00:02 bytes 59513 (TCP FINs)
    
    302002: Teardown TCP connection 69 faddr 195.168.21.2/443
    ��������gaddr 172.17.241.50/1092 laddr 10.10.10.50/1092 duration 
            0:00:02 bytes 58128 (TCP Fins)

Связанные команды

Можно расширить приведенный выше пример для использования еще одного прокси-сервера восходящего потока (8.8.8.3) для обработки запросов HTTPS с помощью команды глобальной конфигурации протоколов модуля доступа.

CE(config)# https proxy outgoing host 8.8.8.3 8880

В этом случае можно запретить пересылку определенных доменов на исходящий прокси-сервер.

CE(config)# proxy-protocols transparent default-server�
CE(config)# proxy-protocols outgoing-proxy exclude enable�
CE(config)# proxy-protocols outgoing-proxy exclude list tronet.sk

Также можно запретить исходящее Подключение HTTPS для портов 6565 и 6566.

CE(config)# https destination-port deny 6565 6566

Дополнительные сведения


Document ID: 12570