Безопасность : программное обеспечение для адаптивных устройств обеспечения безопасности Cisco ASA

WCCP на ASA: понятия, ограничения и конфигурация

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Введение

Этот документ описывает понятия, ограничения и конфигурацию Протокола координации веб-кэша (WCCP) на устройстве адаптивной защиты Cisco (ASA). WCCP является методом, которым ASA может перенаправить трафик к механизму кэширования WCCP через туннель универсальной инкапсуляции маршрутизации (GRE).

Внесенный Sourav Kakkar, специалистом службы технической поддержки Cisco.

Предварительные условия

Требования

Компания Cisco рекомендует предварительно ознакомиться со следующими предметами:

  • Версия 2 (v2) Протокола WCCP
  • Устройства адаптивной защиты Cisco (ASA)
  • Устройство адаптивной защиты Cisco (ASA) программное обеспечение; считайте Руководства по конфигурации для совместимости
  • Кэширование прокси
  • Перенаправление

Cisco также рекомендует понять ограничения конфигурации WCCP на ASA, как объяснено в этих документах:

Используемые компоненты

Сведения в этом документе основываются на версии 2 (V2) Протокола WCCP.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

WCCP и обзор ASA

WCCP задает взаимодействия между одним или более маршрутизаторами и одним или более веб-кэшами. Цель взаимодействия состоит в том, чтобы установить и поддержать прозрачное перенаправление выбранных типов трафика, которые текут через группу маршрутизаторов. Выбранный трафик перенаправлен группе веб-кэшей для оптимизации использования ресурса и более низкие времена отклика.

Для WCCP ASA выбирает самый высокий IP-адрес, настроенный на интерфейсе и использовании что как идентификатор маршрутизатора. Это - точно тот же процесс, которого Протокол OSPF придерживается для идентификатора маршрутизатора. Когда ASA перенаправляет пакеты к модулю кэша (CE), ASA получает перенаправление от IP-адреса идентификатора маршрутизатора (даже если это получено другой интерфейс), и инкапсулирует пакет в заголовке GRE.

Подключение GRE однонаправлено. ASA инкапсулирует перенаправленные пакеты в GRE и передает его к кэширующемуся механизму. ASA не обрабатывает инкапсулировавших GRE ответов от CE. CE должен связаться непосредственно с внутренним хостом.

Поток работы для перенаправления имеет эти шаги:

  1. Хост использует шлюз по умолчанию ASA для открытия соединения HTTP.
  2. ASA перенаправляет пакет (инкапсулировавший в GRE) к CE.
  3. CE проверяет или обновляет кэш для запрошенного сайта.
  4. CE отвечает непосредственно на хост.
    • Все исходящие пакеты от хоста перенаправлены от ASA до CE.
    • Все входящие пакеты от сервера до хоста направлены от CE до хоста.

 116046-config-wccp-asa-01.jpg

ASA внедряет WCCP V2. Если поддержки сервера WCCP V2, это должно быть совместимо.

Перенаправление WCCP

WCCP V2 определяет механизмы, которые позволяют, что один или несколько маршрутизаторов включили для прозрачного перенаправления, чтобы обнаружить, проверить, и объявить подключение к одному или более веб-кэшам. Это шаги в перенаправление WCCP:

  1. Пользователь вводит URL в браузер.
  2. URL передан Системе доменных имен (DNS) для определения адресов.
  3. URL решен к IP-адресу Web-сервера.
  4. Клиент инициирует соединение с сервером с запросом SYN.
  5. На активном маршрутизаторе сервис веб-кэша WCCP перехватывает запрос HTTP (порт TCP 80) и перенаправляет запрос к кэшам на основе настроенного распределения нагрузки:
    • Если существует попадание в кэш, CE отвечает на исходный GET с запросом содержимого и использует IP - адрес источника исходного сервера в пакете ответа.
    • Если запрос содержимого не уже сохранен на CE, существует непопадание в кэш:
      1. CE устанавливает соединение с исходным сервером, использует собственный IP-адрес в качестве источника и передает GET HTTP.
      2. Сервер отвечает на CE с содержанием.
      3. CE пишет копию кэшируемого содержимого к диску.

Сервис-группы WCCP

Как только подключение установлено, маршрутизаторы и веб-кэши формируют группы сервисов для обработки перенаправления трафика, характеристики которого являются частью определения группы сервисов.

Веб-кэш передает сообщение WCCP2_HERE_I_AM к каждому маршрутизатору в группе в 10-секундных интервалах HERE_I_AM_T, чтобы присоединиться и поддержать ее членство в группе сервисов. Сообщение может быть индивидуальной рассылкой к каждому маршрутизатору или групповой адресацией к настроенному адресу групповой адресации группы сервисов.

  • Идентификационный Информационный компонент Веба - кэширования в сообщении WCCP2_HERE_I_AM определяет веб-кэш IP-адресом.
  • Сервисный Информационный компонент сообщения WCCP2_HERE_I_AM определяет и описывает группу сервисов, в которой веб-кэш хочет участвовать.
Группа сервисовВведите Описание
Сервис 0Веб - кэшированиеВеб-сервис кэширования, который разрешает ASA перенаправлять трафик HTTP к CE.
Сервис 53DNSСервис кэширования DNS, который разрешает ASA перенаправлять запросы DNS - клиента прозрачно к клиентскому механизму.
Сервис 60Собственный компонент FTPСервис кэширования, который разрешает ASA перенаправлять собственные запросы FTP прозрачно к одному порту на модуле контента.
Сервис 70кэш httpsСервис кэширования, который разрешает ASA перехватывать порт 443 Трафика TCP и перенаправлять этот Трафик HTTPS к модулю контента.
Сервис 80rtspСервис потока медиа-данных, который разрешает ASA перенаправлять запросы клиента Протокола RTSP к одному порту на модуле контента.
Сервис 81mmstСервис кэширования сред, который разрешает ASA использовать на основе TCP сервер Microsoft Exchange (MMST) перенаправление для маршрутизации запросов клиента Технологии Windows Media (WMT) к порту TCP 1755 на модуле контента.
Сервис 82mmsuСервис кэширования сред, который разрешает ASA использовать Протокол UDP - основанный сервер Microsoft Exchange (MMSU) перенаправление для маршрутизации запросов клиента wmt к порту UDP 1755 на модуле контента.
Сервис 83rtsp wmtСервис потока медиа-данных, который позволяет ASA перенаправлять запросы RTSP от Сервиса Windows Media 9 клиентов к порту UDP 5005 на CE.
Сервис 90-97конфигурируемый пользователемОпределяемые пользователем сервисы WCCP, которые поддерживают до восьми портов для каждого сервиса WCCP. При настройке этих определяемых пользователем сервисов необходимо задать, перенаправить ли трафик к программе кэширования HTTP к приложению HTTPS, или к программе речевой связи на модуле контента.
Сервис 98пользовательский веб - кэшированиеСервис кэширования, который разрешает ASA прозрачно перенаправлять трафик HTTP к модулю контента на множественных портах кроме порта 80.
Сервис 99прокси - служба обратного путиСервис кэширования, который разрешает ASA перенаправлять трафик прокси - службы обратного пути HTTP к модулю контента на порту 80.

Группа сервисов определена Типом сервиса и Идентификатором сервиса. Существует две группы типов сервиса:

  • Известные сервисы
  • Динамические сервисы

Известные сервисы известны и ASA и веб-кэшами и не требуют описания кроме Идентификатора сервиса.

Напротив, динамические сервисы должны быть описаны к ASA. ASA может быть настроен для участия в определенной динамической для сервиса группе, определенной Идентификатором сервиса, без любого ведома характеристик трафика, привязанного к той группе сервисов. Описание трафика передано к ASA в сообщении WCCP2_HERE_I_AM первого веб-кэша для присоединения к группе сервисов. Веб-кэш использует Протокол, Служебные флаги и поля Port Сервисного Информационного компонента для описания динамического для сервиса. Как только динамическое для сервиса было определено, ASA сбрасывает от любого последующего сообщения WCCP2_HERE_I_AM, которое содержит конфликтное описание. ASA также сбрасывает от сообщения WCCP2_HERE_I_AM, которое описывает группу сервисов, для которой он не был настроен.

Количество от 0 до 254 является динамическими сервисами, и сервис веб-кэша является стандартом, или известный, сервисный. То, что это означает, - то, что, когда сервис веб-кэша задан, протокол WCCP V2 предопределил тот порт назначения TCP, 80 трафиков должны быть перенаправлены. Для количества от 0 до 254, каждое количество представляет динамическую для сервиса группу. WCCP CE (такие как Солдат) должны определить ряд протоколов и портов, которые должны быть перенаправлены для каждой группы сервисов. Затем когда ASA настроен с тем же самым количеством группы сервисов (wccp 0... или wccp 1...), ASA выполняет перенаправление на указанных протоколах и портах, как направлено устройством Солдата.

Это - пример, который показывает Идентификационную Информацию Веба - кэширования:

116046-config-wccp-asa-02.jpg

Это - пример, который показывает, что веб-кэш является частью группы сервисов 0:

116046-config-wccp-asa-03.jpg

Это - пример, который показывает сервер веб-кэша как часть группы обслуживания клиентов 91 и порты, трафик которых перенаправлен к серверу:

116046-config-wccp-asa-04.jpg

ASA отвечает на сообщение WCCP2_HERE_I_AM с сообщением WCCP2_I_SEE_YOU.

  • Если сообщение WCCP2_HERE_I_AM было одноадресно передано, маршрутизатор сразу отвечает индивидуальной рассылкой сообщение WCCP2_I_SEE_YOU.
  • Если сообщение WCCP2_HERE_I_AM было передано в многоадресном режиме, маршрутизатор отвечает запланированной групповой адресацией сообщение WCCP2_I_SEE_YOU для группы сервисов.

Это - пример маршрутизатора/ASA, 'я Вижу, что Вы' обмениваетесь сообщениями, который показывает, что группа сервисов соединений маршрутизатора 91 и перенаправляет порты 80, 8080, и 443 к серверу веб-кэша:

116046-config-wccp-asa-05.jpg

Это - пример пакета GRE:

116046-config-wccp-asa-06.jpg

Настройка

Примечание: В списке перенаправления список доступа должен только содержать сетевые адреса. Определяемые портом записи не поддерживаются.

Примечание: Для получения дополнительной информации о команде wccp посмотрите Справочник по командам серии 5500 Cisco ASA, 8.2

Эта процедура описывает, как настроить WCCP на ASA:

  1. Введите команду wccp для определения трафика для перенаправления:

    wccp {web-cache | service_number} [redirect-list access_list] [group-list access_list] 
    [password password]
  2. Введите команду wccp для определения интерфейса, на котором должна произойти переадресация трафика:

    wccp interface interface_name {web-cache | service_number} redirect in

Примечание: Перенаправление WCCP поддерживается только на входе интерфейса.

Это - пример конфигурации ASA:

access-list caching permit ip source_subnet mask any
wccp 90 redirect-list caching
wccp interface 90 redirect in
Helpful Commands:
show wccp
show wccp 90 service -> this should indicate the ports that are being serviced by this WCCP
server. Without the 'service-flags ports-defined' in the Cache server configuration, the ports
to be redirected are NOT passed to the ASA. Therefore, the traffic will never be redirected.
This will result in 'Unassigned' increases with 'show wccp'.

ASA# show wccp 90 service

WCCP service information definition:
Type:         Dynamic
Id:           90
Priority:     0
Protocol:     6
Options:      0x00000013
--------
Hash:     SrcIP DstIP
Alt Hash: -none-
Ports:    Destination:: 80 8080 0 0 0 0 0 0

ASA# show wccp 90 view

WCCP Routers Informed of:
X.X.X.X [Higher IP address on the device will be seen here]

WCCP Cache Engines Visible:
Y.Y.Y.Y [IP address of the web-cache server in the service-group 91]

Примечание: Чтобы получить подробные сведения о командах в данном документе, используйте Средство поиска команд (только для зарегистрированных клиентов).

Проверка.

В настоящее время для этой конфигурации нет процедуры проверки.

Устранение неполадок

Если перенаправление не работает как ожидалось, используйте эти выходные данные для устранения проблем. Все эти выходные данные находятся на ASA.

  • show tech-support
  • покажите wccp [service|view|hash|bucket|detail]
  • покажите, что таблица гадюки классифицирует

Если выходные данные от этих трех команд выглядят допустимыми, вы, возможно, тогда должны были бы:

  • Рассмотрите соответствующие системные журналы.
  • Используйте перехват comand для исследования перехватов между интерфейсом ASA и IP - сервером веб-кэша и перехватов между клиентом и Web-сервером, к которому это пытается обратиться.

Средство интерпретации выходных данных (только зарегистрированные клиенты) поддерживает некоторые команды show. Используйте Средство интерпретации выходных данных, чтобы просмотреть анализ выходных данных команды show.

Дополнительные сведения


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.