المقدمة
يصف هذا المستند خطوات التكوين واستكشاف الأخطاء وإصلاحها ل WCCP على FTD.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- بروتوكول إتصالات ذاكرة التخزين المؤقت للويب (WCCP) الإصدار 2 (V2)
- مركز إدارة Firepower (FMC)
- Firepower Threat Defense (FTD)
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- Secure Firewall Management Center (FMCv) الإصدار 7.4.2
- Secure Firewall Threat DefenseVirtual (FTDv) الإصدار 7.4.2
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
التكوين
يتم إستخدام بروتوكول إتصالات ذاكرة التخزين المؤقت للويب (WCCP) لإعادة توجيه حركة مرور بيانات الويب إلى خادم ذاكرة تخزين مؤقت. يتم تنفيذه بشكل شائع في أجهزة الشبكة مثل موجهات Cisco وجدران الحماية لإعادة توجيه طلبات HTTP و HTTS و FTD عبر HTTP إلى خادم وكيل.
يتوفر WCCP في إصدارات مختلفة، بما في ذلك WCCP v1، v2، و v3، مع كل إصدار يوفر ميزات محسنة وقابلية تطوير.
كيف يعمل
- يقوم جهاز المستخدم Win10-0 بطلب HTTPS.
- هنا، يكون جدار حماية FTD هو عبارة لكمبيوتر المستخدم. إنه يستلم طلب HTTP/HTTPS.
- يفهم FTD الغاية ميناء 443 ويعيد توجيه الحركة مرور إلى DMZ
- تقوم DMZ بتضمين الحزمة باستخدام GRE وإعادة توجيه الطلب إلى خادم الوكيل.
- يقوم الخادم الوكيل بالبحث في ذاكرة التخزين المؤقت الخاصة به أو بدء اتصال جديد بالخادم الأصلي ويستجيب مباشرة لجهاز المستخدم.
الرسم التخطيطي للشبكة
طوبولوجيا الشبكة
التكوينات
توضح هذه الخطوات تكوين WCCP على FMC. يجب إعادة توجيه حركة مرور البيانات بالمنفذ 80 و 443 من المنطقة الداخلية إلى منطقة DMZ.
ملاحظة: يصف المستند خطوات معرف الخدمة الديناميكي. تم تعلم معلومات المنفذ من عميل WCCP.
الخطوة 1: سجل الدخول إلى واجهة المستخدم الرسومية (GUI) FMC وانتقل إلى الكائن > إدارة الكائن > قائمة الوصول > موسع >إضافة قائمة الوصول الموسعة.
قم بإنشاء قائمتي وصول ممتدتين.
1) قم بإنشاء قائمة وصول لإعادة توجيه حركة مرور المستخدم وانقر فوق حفظ.
إعادة توجيه حركة مرور المستخدم
ملاحظة: تضمن قائمة الوصول هذه أن لديك كتلة إجراء لحركة المرور القادمة من عميل WCCP إلى FTD لتجنب التكرار في الشبكة.
وبالإضافة إلى ذلك، يمكنك إنشاء جملة أخرى باستخدام كتلة الإجراء لضمان عدم إرسال الاتصال بين المضيفين الداخليين إلى الخادم الوكيل.
يجب أن يسمح البيان النهائي لجميع حركات المرور الأخرى المؤهلة لإعادة التوجيه إلى الوكيل.
2) قم بإنشاء قائمة الوصول لتعريف عميل WCCP وانقر فوق حفظ.
قائمة الوصول لتحديد عميل WCCP
ملاحظة: تكوين قائمة وصول موسعة لتضمين عناوين IP الخاصة بخادم WCCP.
الخطوة 2: انتقل إلى الكائن > إدارة الكائن > FlexConfig > كائن النص > إضافة كائن نص لإضافة خدمة WCCP والحفظ.
إنشاء كائن خدمة WCCP
ملاحظة: في هذا المثال، معرف الخدمة هو 97. من المستحسن تحديد معرف خدمة بين 90 و 97، حيث تكون هذه معرفات خدمة مخصصة لا تتعارض عادة مع معرفات الخدمة الأخرى التي تم تعيينها لبروتوكولات معينة.
لمزيد من التفاصيل، ارجع إلى WCCP على ASA: المفاهيم والحدود والتكوين
الخطوة 3:
- انتقل إلى كائن > إدارة الكائن > FlexConfig > كائن نص وبحث عن isServiceIdentity.
Serach for isServiceIdentity
- قم بتعديل isServiceIdentity من false إلى true.
- ISserviceIdentity - عند حدوث خطأ، يستخدم معرف خدمة Cacheservice المعيارية. ارجع إلى المستند دليل تكوين مركز إدارة Firepower
تعديل القيمة من false إلى true
ملاحظة: بالإضافة إلى ذلك، يمكنك إنشاء كائن نص معرف من قبل المستخدم ظاهر في الخطوة 2.
الخطوة 4:
- انتقل إلى الكائن > إدارة الكائن > Flex Config > FlexConfig Object.
- البحث عن الكلمة الأساسية WCCP.
- طقطقت المستنسخ خيار ل WCCP_Configure قالب.
استنسخ قالب wccp_configure
ملاحظة: يحتوي الكائن FlexConfig على قالب محدد مسبقا: WCCP_Configure. يتعذر إرفاق القالب بالجهاز. عليك إستنساخه.
الخطوة 5:
- قم بإزالة متغيرات $serviceIdentifier من السطر الثالث وقم بتوفير المتغير الخاص بك.
إزالة معرف الخدمة
- إدراج Text ObjectTwccp-service كمتغير تم إنشاؤه في الخطوة 2.
- من القائمة المنسدلة، حدد إدراج > إدراج كائن نهج > كائن نص
إدخال كائن خدمة WCCP كمتغير
- قم بتوفير خدمة NameWCCP متغيرة.
- البحث عن كائن WCCP-service في الكائن المتاح.
- قم بإضافة الكائن ثم احفظه.
إضافة كائن WCCP-service
الخطوة 6:
- انسخ اسم متغير wccpGroupList وتوفير المتغير الخاص بك.
إزالة متغير WCCPgroupList المحدد مسبقا
- من القائمة المنسدلة إدراج > إدراج كائن نهج > كائن قائمة التحكم في الوصول (ACL) الموسعة.
إضافة قائمة التحكم في الوصول (ACL) الموسعة ل WccpGroup
- الصق الاسم wccpGroupList الذي قمت بنسخه في الخطوة السابقة في قسم اسم المتغير.
- البحث عن WCCP-Client في الكائنات المتاحة التي تم إنشاؤها في الخطوة 1.
- قم بإضافته وحفظه.
إضافة قائمة WCCP-Client الموسعة
الخطوة 7:
- حدد wccpRedirectList لنسخ المتغير الخاص بك وتوفيره.
إزالة wccpRedirectList
- من القائمة المنسدلة، حدد إدراج > إدراج كائن سياسة > كائن قائمة التحكم في الوصول (ACL) الموسعة .
تحديد كائن قائمة التحكم في الوصول (ACL) المنبثق ل wccpRedirectList
- لصق wccpRedirectList في اسم المتغير.
- البحث عن redirect_traffic في الكائن المتوفر.
- حدد إضافة وحفظها.
إضافة قائمة التحكم في الوصول (ACL) ل Redirect_Traffic
الخطوة 8:
تمت إزالة كلمة المرور المعرفة مسبقا
- حدد المفتاح من القائمة المنسدلة إدراج > إدراج مفتاح سري.
تحديد مفتاح سري
- انقر فوق إضافة مفتاح سري.
إضافة مفتاح سري
- أدخل اسما في اسم مفتاح سري.
- أدخل كلمة المرور.
- دخلت ال نفسه كلمة في تأكيد كلمة وطقطقة يضيف.
إضافة مفتاح سري معرف من قبل المستخدم
ملاحظة: في هذا المثال، تنتمي الواجهة الداخلية إلى منطقة الأمان في.
الخطوة 9:
- انسخ منطقة الأمان المحددة مسبقا واستبدل منطقة الأمان بالدولار بالمتغير الخاص بك.
نسخ اسم منطقة الأمان
- حدد مناطق الأمان من القائمة المنسدلة وإدراج > إدراج كائن نهج.
تحديد منطقة الأمان
- لصق اسم المتغير كمنطقة أمان
- من الكائنات المتاحة، حدد الواجهة التي تريد إضافتها.
- انقر فوق حفظ.
إضافة منطقة أمان
الخطوة 10:
- انتقل إلى الأجهزة > FlexConfig، وانقر فوق نهج جديد أو تحرير نهج موجود.
- حدد كائن WCCP_configure_clone الذي تم تكوينه وانقر > لتعيينه.
- انقر فوق حفظ.
ملاحظة: للحصول على نهج جديد، تأكد من تعيين النهج لجهاز FTD. بالنسبة لنهج موجود، يجب أن يكون النهج قد تم تعيينه بالفعل.
تعيين FlexConfig الذي تم تكوينه للجهاز
الخطوة 11: انتقل إلى نشر > تحديد جهاز FTD > انقر فوق نشر.
التحقق من الصحة
الخطوة 1: تحقق من التكوين الجاري تشغيله.
سجل الدخول إلى واجهة سطر الأوامر (CLI) الخاصة ب FTD وقم بتشغيل الأمر show running-config wccp
.
مثال التكوين:
wccp 97 redirect-list Redirect_traffic group-list WCCP-CLIENT password *****
wccp interface inside 97 redirect in
للتأكد من أن التكوين يحتوي على كلمة المرور الصحيحة، قم بتشغيل الأوامر.
1) system support diagnostic-cli
2) enable
3) اضغط على المفتاح Enter بدون كلمة مرور
4) more system:running-config | include wccp
الخطوة 2: التحقق من حالة WCCP
قم بتشغيل الأمر show wccp
Global WCCP information:
Router information:
Router Identifier: -not yet determined-
Protocol Version: 2.0
Service Identifier: 97
Number of Cache Engines: 1
Number of routers: 2
Total Packets Redirected: 0
Redirect access-list: Redirect_traffic
Total Connections Denied Redirect: 0
Total Packets Unassigned: 0
Group access-list: WCCP-CLIENT
Total Messages Denied to Group: 0
Total Authentication failures: 0
Total Bypassed Packets Received: 0
قم بتشغيل الأمر show wccp 97 service
WCCP service information definition:
Type: Dynamic
Id: 97
Priority: 240
Protocol: 6
Options: 0x00000012
--------
Hash: DstIP
Alt Hash: -none-
Ports: Destination:: 80 443 0 0 0 0 0 0
ملاحظة: هنا 97 ال service-id. ضمنت أنت يستطيع رأيت الرقم أيسر يعلم من WCCP زبون في ميناء: قسم.
3) Run the command
show wccp 97 view
استكشاف الأخطاء وإصلاحها
الخطوة 1: تحقق من أن FTD به المسار من نفس الواجهة التي تلقت طلب WCCP من خادم الوكيل.
في هذا المثال، تتم إعادة توجيه حركة مرور البيانات إلى واجهة DMZ.
>show route
S 10.xx.xx.xx 255.yyy.yyy.yyy [1/0] via 10.zz.zz.z, dmz
ملاحظة: هنا 10.xx.xx.xx هو الخادم الوكيل ip، 255.yy.yyy.yy هو NetMask، 10.zz.zz.z هو بوابة الخطوة التالية.
الخطوة 2: قم بأخذ الالتقاط من الداخل و واجهة DMZ لضمان إعادة توجيه حركة المرور.
التقاط على الواجهة الداخلية للمنفذ 443
capture capinside interface inside trace detail match tcp any any eq 443
التقاط على واجهة DMZ:
capture capdmz interface dmz trace detail match gre any any
ملاحظة: على واجهة DMZ، يجب عليك التصفية باستخدام بروتوكول GRE. يتم تضمين حزمة إعادة التوجيه في حزمة GRE إلى عميل WCCP.
الخطوة 3: تصحيح أخطاء WCCP
قم بتشغيل الأوامر:
debug wccp event
debu wccp packet
تم رفع Cisco بق IDCSCvn90518 للتحسين للحصول على دعم الوضع الأصلي FDM و FMC لتكوين WCCP.