Cервисы организации сетевого доступа к приложениям : Модули контента Cisco серии 500

Как обойти Content Engine с помощью списков доступа к маршрутизатору

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ объясняет, как использовать простую конфигурацию маршрутизатора со Списками контроля доступа (ACL) для permit or deny трафика к Модулю контента Cisco.

В этом сценарии любой трафик, который происходит из C1 (172.18.124.193) и C2 (10.27.3.4) и предназначен для любого хоста, обходит Cache Engine, как задано ACL. Весь другой трафик передан.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Cisco Cache Engine 505 в среде lab с чистыми конфигурациями

  • Маршрутизатор Cisco 2611

  • Cisco выпуск ПО IOS� 12.1 (3) T

Сведения, представленные в этом документе, были получены от устройств в специфической лабораторной среде. Все устройства, используемые в этом документе, были запущены с чистой конфигурацией (конфигурацией по умолчанию). При работе с реальной сетью необходимо полностью осознавать возможные результаты использования всех команд.

Условные обозначения

Обратитесь к Cisco Technical Tips Conventions для получения информации об условных обозначениях в документации.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание: Чтобы получить подробные сведения о командах в данном документе, используйте Средство поиска команд (только для зарегистрированных клиентов).

Схема сети

В этом документе использованы параметры данной сети:

/image/gif/paws/12561/ce_acl-A.gif

Конфигурации

В данном документе используется следующая конфигурация:

Как обойти модуль контента с ACL маршрутизатора


!--- Your command lines should appear similar to the following: 

router# configure terminal
router(config)# ip wccp web-cache redirect-list 120
router(config)# access-list 120 deny ip host 172.18.124.193 any
router(config)# access-list 120 deny ip host 10.27.3.4 any
router(config)# access-list 120 permit ip any any

Проверка.

Этот раздел позволяет убедиться, что конфигурация работает правильно.

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Используйте OIT для просмотра анализа выходных данных команды show.

  • show version- Отображает программное обеспечение, которое работает на маршрутизаторе, а также некоторых других компонентах как работоспособность системы (такой как, где код был ранее загружен, и дата, когда это было скомпилировано).

         33-ns-gateway#show version
         Cisco Internetwork Operating System Software
         IOS (tm) C2600 Software (C2600-I-M), Version 12.1(3)T,  RELEASE SOFTWARE (fc1)
         Copyright (c) 1986-2000 by cisco Systems, Inc.
         Compiled Wed 19-Jul-00 16:02 by ccai
         Image text-base: 0x80008088, data-base: 0x808A9264
          
         ROM: System Bootstrap, Version 11.3(2)XA4, RELEASE SOFTWARE (fc1)
          
         33-Ns-gateway uptime is 1 day, 1 hour, 1 minute
         System returned to ROM by reload
         System restarted at 11:03:21 UTC Thu May 17 2001
         System image file is "flash:c2600-i-mz.121-3.T"
          
         cisco 2610 (MPC860) processor (revision 0x203) with 
            44032K/5120K bytes of memory.
         Processor board ID JAD04330MR6 (3648101504)
         M860 processor: part number 0, mask 49
         Bridging software.
         X.25 software, Version 3.0.0.
         5 Ethernet/IEEE 802.3 interface(s)
         32K bytes of non-volatile configuration memory.
         16384K bytes of processor board System flash (Read/Write)
          
         Configuration register is 0x2102
  • show running-config - вывод текущей конфигурации маршрутизатора.

         33-Ns-gateway#show running-config
         Building configuration...
         Current configuration:
         !
         ! Last configuration change at 12:04:57 UTC Fri May 18 2001
         ! NVRAM config last updated at 11:01:10 UTC Fri May 18 2001
         !
         version 12.1
         service timestamps debug datetime msec
         service timestamps log datetime msec
         no service password-encryption
         !
         hostname 33-Ns-gateway
         !
         logging buffered 64000 debugging
         enable secret 5 $1$IWJr$nI.NcIr/b9DN7jEQQC17R/
         !
         !
         !
         !
         !
         ip subnet-zero
         ip wccp web-cache redirect-list 120
         ip cef
         no ip domain-lookup
         ip domain-name cisco.com
         ip name-server 161.44.11.21
         ip name-server 161.44.11.206
         !
         !
         !
         !
         interface Ethernet0/0
          ip address 10.1.3.50 255.255.255.0
          no ip route-cache cef
         !
         interface Ethernet1/0
          description interface to the CE .5
          bandwidth 100
          ip address 10.27.2.1 255.255.255.0
          full-duplex
         !
         interface Ethernet1/1
          description inter to DMZ
          ip address 172.18.124.211 255.255.255.0
          ip wccp web-cache redirect out
          no ip route-cache cef
          no ip route-cache
          no ip mroute-cache
         !
         interface Ethernet1/2
          description Preconfigured for recreates 10.27.3.0/24 net
          ip address 10.27.3.1 255.255.255.0
          no ip route-cache cef
         !
         interface Ethernet1/3
          no ip address
          shutdown
         !
         ip classless
         ip route 0.0.0.0 0.0.0.0 172.18.124.1
         no ip http server
         !
         access-list 120 deny   ip host 172.18.124.193 any log-input
         access-list 120 deny   ip host 10.27.3.4 any log-input
         access-list 120 permit ip any any log
         !
         line con 0
          exec-timeout 0 0
          transport input none
         line aux 0
          exec-timeout 0 0
         line vty 0 4
          exec-timeout 0 0
          password ww
          login
         !
         no scheduler allocate
         end
  • show access-lists - выводит командные предложения списка доступа в конфигурации маршрутизатора. Эта команда также перечисляет количество соответствия, которое указывает на число раз, с элементом совпали, когда выполнен поиск команды access-list.

         2.33-ns-gateway#show access-lists 120
         Extended IP access list 120
         deny ip host 172.18.124.193 any log-input (114 matches)
         deny ip host 10.27.3.4 any log-input (30 matches)
         permit ip any any log
  • show log- Отображает системный журнал регистрации ошибок на маршрутизаторе.

         3.33-ns-gateway#show log
         Syslog logging: enabled (0 messages dropped, 0 flushes, 0 overruns)
         Console logging: level debugging, 906 messages logged
         Monitor logging: level debugging, 165 messages logged
         Buffer logging: level debugging, 267 messages logged
         Trap logging: level informational, 114 message lines logged 
         Log Buffer (64000 bytes):
         May 18 09:57:00.837: %CLEAR-5-COUNTERS: 
            Clear counter on all interfaces by vty2 
         (172.18.124.193)
         May 18 10:24:53.218: %SEC-6-IPACCESSLOGP: 
            list 120 denied tcp 172.18.124.193(0) 
         -> 216.4.77.193(0), 1 packet
         May 18 10:28:44.890: %SEC-6-IPACCESSLOGP: 
            list 120 denied tcp 10.27.3.4(0) 
         -> 64.224.45.130(0), 1 packet
         May 18 10:29:08.861: %SEC-6-IPACCESSLOGP: 
            list 120 denied tcp 172.18.124.193(0) 
         -> 212.20.160.80(0), 1 packet
         May 18 10:29:53.563: %SEC-6-IPACCESSLOGP: 
            list 120 denied tcp 172.18.124.193(0) 
         -> 216.4.77.193(0), 19 packets
         May 18 10:33:53.672: %SEC-6-IPACCESSLOGP: 
            list 120 denied tcp 10.27.3.4(0) 
         -> 216.4.77.193(0), 1 packet

Устранение неполадок

Для этой конфигурации в настоящее время нет сведений об устранении проблем.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 12561