Безопасность : устройство защиты веб-трафика Cisco

Пример конфигурации WCCP для Catalyst 3560 или 3750

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Внесенный Джейсоном Алертом и Сиддхартом Рэджпэзэком, специалистами службы технической поддержки Cisco.

Вопрос

Как вы настраиваете протокол WCCP на Cisco Catalyst 3560 или 3750 коммутаторов?

Среда:
Cisco Web Security Appliance (WSA) и Cisco Catalyst 3560 или 3750

WCCP только поддерживается на Catalyst 3560/3750 рабочие IP-сервисы или Усовершенствованные наборы функций IP-сервисов на IOS 12.2 (25) и позже. Базовый набор характеристик IP не поддерживает WCCP. WCCP поддерживается только на шаблонах SDM, которые поддерживают PBR: доступ, маршрутизация и двойная маршрутизация IPv4/v6.

В этих примерах используйте шаблон "маршрутизации".

Установка шаблона SDM на Catalyst 3560/3750:
Коммутатор (config) #sdm предпочитает направлять
Коммутатор (config) #do wr mem
Коммутатор (config) #reload

Примечание: Перезагрузка требуется для изменения шаблона SDM вступить в силу.

Основная конфигурация WCCP:
Коммутатор (config) #ip веб - кэширование wccp
Коммутатор (config) #interface <client_vlan_int>
Коммутатор (config-if) #ip перенаправление веба - кэширования wccp в
!
! и не забывайте к save config
!

Коммутатор (config-if) #do
wr mem


Использование немного большего количества усовершенствованной конфигурации, список перенаправления WCCP может использоваться для исключения определенных, некоторый сетей назначения из перенаправления WCCP. В данном примере исключите любой трафик, предназначенный для адресов RFC1918 от перенаправления.

Конфигурация WCCP со списком перенаправления:
Коммутатор (config) #access-list 110 запрещает ip любой 10.0.0.0 0.255.255.255
Коммутатор (config) #access-list 110 запрещает ip любой 172.16.0.0 0.15.255.255
Коммутатор (config) #access-list 110 запрещает ip любой 192.168.0.0 0.0.255.255
Коммутатор (config) permit ip any any #access-list 110
Коммутатор (config) #ip список перенаправления веба - кэширования wccp 110
!
! Со списком перенаправления трафик к внутренним получателям не будет
! перенаправленный, и обойдет Cisco WSA
!

Коммутатор (config) #interface <client_vlan_int>
Коммутатор (config-if) #ip перенаправление веба - кэширования wccp в
!
! и не забывайте к save config
!

Коммутатор (config-if) #do wr mem


Для сетей с более строгими требованиями безопасности group-list может использоваться для ограничения IP-адресов, которым позволяют присоединиться к Сервис-группе WCCP, и пароль WCCP может быть включен. В данном примере используйте список перенаправления, group-list (предполагающий, что у нас есть WSAs в 192.168.50.2 и 192.168.50.3), и пароль WCCP.

Конфигурация WCCP со списком перенаправления, Group-List и паролем WCCP:

!
! мы будем использовать список доступа 110 для списка перенаправления
!

Коммутатор (config) #access-list 110
запрещает ip любой 10.0.0.0 0.255.255.255
Коммутатор (config) #access-list 110 запрещает ip любой 172.16.0.0 0.15.255.255
Коммутатор (config) #access-list 110 запрещает ip любой 192.168.0.0 0.0.255.255
Коммутатор (config) permit ip any any #access-list 110
!
! мы будем использовать список доступа 20 для group-list
!

Коммутатор (config)
разрешение на #access-list 20 192.168.50.2
Коммутатор (config) разрешение на #access-list 20 192.168.50.3
!

! включите идентификатор сервиса wccp 0 (веб - кэширование) с паролем 12345
!

Коммутатор (config) #ip список перенаправления веба - кэширования wccp 110 паролей 12345 group-list 20
!
! Со списком перенаправления трафик к внутренним получателям не будет
! перенаправленный, и обойдет Cisco WSA
!

Коммутатор (config) #interface <client_vlan_int>
Коммутатор (config-if) #ip перенаправление веба - кэширования wccp в
!
! и не забывайте к save config
!

Коммутатор (config-if) #do wr mem



Неподдерживаемые функции WCCP
  • Перенаправление пакетов на исходящем интерфейсе, который настроен при помощи ip wccp redirect команда настройки интерфейса. Эта команда не поддерживается.
  • Способ пересылки GRE для перенаправления пакетов не поддерживается.
  • Способ назначения хэша для распределения нагрузки не поддерживается.
  • Нет никакой поддержки SNMP WCCP.


Примечание: При использовании динамических ID конфигурация идентична, кроме вводят номер идентификатора сервиса вместо ключевого слова веба - кэширования.

Примечание: Для динамических для сервиса ID Cisco рекомендует использовать ID 90 - 97 для обеспечения совместимости большинством устройств.

Дополнительные сведения могут быть найдены в Руководствах по конфигурации Программного обеспечения коммутатора Catalyst:

3560: http://www.cisco.com/en/US/docs/switches/lan/catalyst3560/software/release/12.2_44_se/configuration/guide/swwccp.html
3750: http://www.cisco.com/en/US/docs/switches/lan/catalyst3750/software/release/12.2_44_se/configuration/guide/swwccp.html


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.