Безопасность : устройство защиты веб-трафика Cisco

Сеанс WCCP к маршрутизатору/коммутатору, но просматривающий не случай должного направить проблемы

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Содержание

Внесенный Бхуийаном Мухэймином и Джэем Кулвалом, специалистами службы технической поддержки Cisco.

Вопрос:

Сеанс WCCP к маршрутизатору/коммутатору, но просматривающий не случай должного направить проблемы

Среда:

Cisco Web Security Appliance
Коммутатор Catalyst, маршрутизатор, ASA

Признаки:

Сеанс WCCP закончился и работа, но не работает просмотр.

При определенных обстоятельствах Cisco Web Security Appliance может говорить с маршрутизатором, но не мог бы пройти трафик клиента. Мы видели бы, что сеанс WCCP закончился, но все еще не происходит никакой просмотр.

Конфигурация WCCP на Коммутаторе Catalyst минимальна (список перенаправления не релевантен этому обсуждению, но воспроизведенный здесь ради полноты):

ip wccp 91 список перенаправления 130 group-list 30

интерфейсный Vlan20

VLAN 20 клиента описания

IP-адрес 192.168.20.1 255.255.255.0

ip wccp 91 перенаправление в

разрешение на access-list 30 10.66.71.17
ip разрешения на access-list 130 любой хост 192.168.20.103 журнала
permit ip host access-list 130 192.168.20.103 любых журнала

Мы видели бы, что произошел WCCP:

Ip wccp Switch#sh 91 d
Сведения о клиенте WCCP:

       Идентификатор клиента WCCP:         10.66.71.17
       Версия протокола:       2.0
       Состояние:                  применимый
       
       Перенаправление:            L2
       Пакет возвращается:          L2
       Перенаправленные пакеты:     0
       Время соединения:           0:12:49
       Присвоение:             МАСКА

Но просмотр мог быть не в состоянии происходить.

Проблема связана с настройкой маршрутизации на Cisco Web Security Appliance. Например, Cisco Web Security Appliance не мог бы иметь маршрута для возвращения к VLAN 20. Нерабочая настройка маршрутизации следующие:

Если только один интерфейс (M1) используется для Cisco Web Security Appliance и для управления и для трафика данных, проблема обычно замечается. В вышеупомянутом примере у нас есть маршрут к VLAN 30 посредством второй записи и маршрут к устройству WCCP посредством третьей записи и маршрута по умолчанию к 10.66.71.1 для всех других сетей. Однако, если 10.66.71.1 шлюз к Интернету, но не знает о том, как направить к 192.168.20.0/24, тогда направляющему, отказал бы, и клиентские браузеры не будут в состоянии перейти.

Тест простой проверки связи с помощью команды ping показал бы, есть ли у нас маршрут назад клиенту.

s650a.lab (СЕРВИС)> пропинговывают 192.168.20.103

Нажмите Ctrl-C для остановки.
PING 192.168.20.103 (192.168.20.103): 56 количеств байтов данных
^C---192.168.20.103 статистических данных эхо-запроса---
17 переданных пакетов, 0 пакетов полученная, 100%-я потеря пакета

Решение этой проблемы состоит в том, чтобы добавить в маршруте на Cisco Web Security Appliance назад к клиентским VLAN. Это может быть сделано:

WebUI> Сеть> Маршрут> Добавляет Маршрут 

После добавления этого эхо-запросы должны вытекать из Cisco Web Security Appliance клиенту, и мы должны видеть, просмотр произойти у клиентов в VLAN 20 (разместите 192.168.20.103 в данном примере).

s650a.lab (СЕРВИС)> пропинговывают 192.168.20.103

Нажмите Ctrl-C для остановки. PING 192.168.20.103 (192.168.20.103): 56 количеств байтов данных
64 байта от 192.168.20.103: icmp_seq=0 ttl=127 time=0.835 мс

64 байта от 192.168.20.103: icmp_seq=1 ttl=127 time=0.343 мс

^C---192.168.20.103 статистических данных эхо-запроса---
2 переданные пакета, 2 пакета полученная, 0%-я потеря пакета
распространение в прямом и обратном направлениях min/avg/max/stddev = 0.343/0.589/0.835/0.246 мс

Обратите внимание на то, что это обнажает повторение, что это - одна из причины, которую мог бы отказать просмотр. Могли быть другие причины, почему WCCP произойдет, но просмотр не работал бы, но это - одна из больших типичных проблем.


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.