In diesem Dokument werden Konzepte, Einschränkungen und die Konfiguration des Web Cache Coordination Protocol (WCCP) auf einer Cisco Adaptive Security Appliance (ASA) beschrieben. WCCP ist eine Methode, mit der die ASA den Datenverkehr über einen Generic Routing Encapsulation (GRE)-Tunnel an eine WCCP-Caching-Engine umleiten kann.
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
Cisco empfiehlt außerdem, sich mit den Einschränkungen der WCCP-Konfiguration auf der ASA vertraut zu machen, die in den folgenden Dokumenten erläutert werden:
Die Informationen in diesem Dokument basieren auf dem Web Cache Communications Protocol (WCCP) Version 2 (V2).
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.
Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).
Der WCCP legt Interaktionen zwischen einem oder mehreren Routern und einem oder mehreren Web-Caches fest. Zweck der Interaktion ist die Einrichtung und Aufrechterhaltung einer transparenten Umleitung ausgewählter Datenverkehrstypen, die durch eine Gruppe von Routern fließen. Der ausgewählte Datenverkehr wird an eine Gruppe von Web-Caches umgeleitet, um die Ressourcennutzung zu optimieren und die Reaktionszeiten zu verkürzen.
Für WCCP wählt die ASA die höchste auf einer Schnittstelle konfigurierte IP-Adresse und verwendet diese als Router-ID. Dies ist genau der gleiche Prozess, dem Open Shortest Path First (OSPF) für die Router-ID folgt. Wenn die ASA Pakete an die Cache Engine (CE) umleitet, bezieht die ASA die Umleitung von der Router-ID-IP-Adresse (selbst wenn diese über eine andere Schnittstelle bezogen wird) und kapselt das Paket in einen GRE-Header.
Die GRE-Verbindung ist unidirektional. Die ASA kapselt umgeleitete Pakete in GRE und sendet diese an die Caching-Engine. Die ASA verarbeitet keine GRE-gekapselten Antworten vom CE. Der CE muss direkt mit dem internen Host kommunizieren.
Der Fluss der Arbeit für die Umleitung hat folgende Schritte:
Die ASA implementiert WCCP V2. Wenn der Server WCCP V2 unterstützt, sollte er kompatibel sein.
WCCP V2 definiert Mechanismen, die es einem oder mehreren Routern, die für die transparente Umleitung aktiviert sind, ermöglichen, Verbindungen zu einem oder mehreren Web-Caches zu erkennen, zu überprüfen und anzukündigen. Dies sind die Schritte bei der WCCP-Umleitung:
Sobald die Verbindung hergestellt ist, bilden die Router und Web-Caches Servicegruppen, um die Umleitung von Datenverkehr zu ermöglichen, dessen Merkmale Teil der Servicegruppendefinition sind.
Ein Web-Cache überträgt in Abständen von 10 Sekunden eine WCCP2_HERE_I_AM-Nachricht an jeden Router in der Gruppe, um seine Mitgliedschaft in einer Servicegruppe beizubehalten. Die Nachricht kann per Unicast an jeden Router oder per Multicast an die konfigurierte Multicast-Adresse der Servicegruppe gesendet werden.
Servicegruppe | Typ | Beschreibung |
Dienst 0 | Webcache | Web-Caching-Service, der es der ASA ermöglicht, HTTP-Datenverkehr an den CE umzuleiten. |
Dienst 53 | DNS | DNS-Caching-Service, der es der ASA ermöglicht, DNS-Client-Anfragen transparent an die Client-Engine umzuleiten. |
Dienst 60 | FTP-nativ | Caching-Service, der es der ASA ermöglicht, native FTP-Anfragen transparent an einen einzelnen Port der Content Engine umzuleiten. |
Dienst 70 | HTTPS-Cache | Caching-Service, der es der ASA ermöglicht, den TCP-Datenverkehr von Port 443 abzufangen und diesen HTTPS-Datenverkehr an die Content-Engine umzuleiten. |
Dienst 80 | RTSP | Medien-Streaming-Service, der es der ASA ermöglicht, RTSP-Client-Anfragen (Real Time Streaming Protocol) an einen einzelnen Port der Content Engine umzuleiten. |
Dienst 81 | MUSS | Medien-Caching-Service, der es der ASA ermöglicht, eine TCP-basierte Microsoft Media Server (MMST)-Umleitung zu verwenden, um Windows Media Technology (WMT)-Client-Anfragen an den TCP-Port 1755 der Content Engine weiterzuleiten. |
Dienst 82 | MMSU | Medien-Caching-Service, der es der ASA ermöglicht, eine UDP-basierte (User Datagram Protocol) Microsoft Media Server (MMSU)-Umleitung zu verwenden, um WMT-Client-Anfragen an den UDP-Port 1755 der Content Engine weiterzuleiten. |
Dienst 83 | wmt-rtsp | Medien-Streaming-Service, mit dem die ASA RTSP-Anfragen von Windows Media Service 9-Clients an den UDP-Port 5005 auf dem CE umleiten kann. |
Dienst 90-97 | vom Benutzer konfigurierbar | Benutzerdefinierte WCCP-Dienste, die bis zu acht Ports für jeden WCCP-Dienst unterstützen. Wenn Sie diese benutzerdefinierten Dienste konfigurieren, müssen Sie angeben, ob der Datenverkehr an die HTTP-Caching-Anwendung, an die HTTPS-Anwendung oder an die Streaming-Anwendung auf der Content-Engine umgeleitet werden soll. |
Dienst 98 | benutzerdefinierter Web-Cache | Caching-Service, der es der ASA ermöglicht, den HTTP-Datenverkehr transparent an die Content-Engine auf mehreren Ports außer Port 80 umzuleiten. |
Dienst 99 | Reverse-Proxy | Caching-Service, der es der ASA ermöglicht, HTTP Reverse Proxy-Verkehr an die Content Engine auf Port 80 umzuleiten. |
Eine Servicegruppe wird anhand des Servicetyps und der Service-ID identifiziert. Es gibt zwei Arten von Servicegruppen:
Bekannte Services sind sowohl von ASA- als auch Web-Caches bekannt und erfordern keine Beschreibung außer einer Service-ID.
Dagegen müssen dynamische Services einer ASA beschrieben werden. Die ASA kann für die Teilnahme an einer bestimmten dynamischen Servicegruppe konfiguriert werden, die durch eine Service-ID identifiziert wird, ohne dass die Merkmale des mit dieser Servicegruppe verknüpften Datenverkehrs bekannt sind. Die Datenverkehrsbeschreibung wird der ASA in der WCCP2_HERE_I_AM-Nachricht des ersten Web-Caches übermittelt, um der Servicegruppe beizutreten. Ein Webcache verwendet die Felder Protokoll, Service-Flags und Port der Service Info-Komponente, um einen dynamischen Dienst zu beschreiben. Sobald ein dynamischer Service definiert wurde, verwirft die ASA alle nachfolgenden WCCP2_HERE_I_AM-Nachrichten mit einer widersprüchlichen Beschreibung. Die ASA verwirft auch eine WCCP2_HERE_I_AM-Nachricht, die eine Servicegruppe beschreibt, für die sie nicht konfiguriert wurde.
Die Zahlen 0 bis 254 sind dynamische Dienste, und der Web-Cache-Dienst ist ein bekannter Standarddienst. Das bedeutet, dass bei Angabe des Web-Cache-Dienstes im WCCP V2-Protokoll vordefiniert ist, dass der Datenverkehr des TCP-Zielports 80 umgeleitet werden soll. Für die Zahlen 0 bis 254 stellt jede Zahl eine dynamische Servicegruppe dar. Die WCCP-CEs (z. B. Bluecoat) müssen einen Satz von Protokollen und Ports definieren, die für jede Servicegruppe umgeleitet werden sollen. Wenn die ASA dann mit derselben Servicegruppennummer (wccp 0 ... oder wccp 1 ...) konfiguriert ist, führt die ASA eine Umleitung für die angegebenen Protokolle und Ports durch, wie vom Bluecoat-Gerät angegeben.
In diesem Beispiel werden Webcacheidentitätsinformationen angezeigt:
Das folgende Beispiel zeigt, dass der Webcache Teil der Servicegruppe 0 ist:
Dieses Beispiel zeigt einen Web-Cache-Server als Teil der Kundendienstgruppe 91 sowie die Ports, deren Datenverkehr zum Server umgeleitet wird:
ASA antwortet auf eine WCCP2_HERE_I_AM-Nachricht mit einer WCCP2_I_SEE_YOU-Nachricht.
Dies ist ein Beispiel für die Meldung "I See You" (So sehen Sie) von Router/ASA, die anzeigt, dass der Router der Servicegruppe 91 beitritt und die Ports 80, 8080 und 443 an den Web-Cache-Server umleitet:
Dies ist ein Beispiel für ein GRE-Paket:
Dieses Verfahren beschreibt die Konfiguration von WCCP auf einem ASA-Gerät:
wccp {web-cache | service_number} [redirect-list access_list] [group-list access_list]
[password password]
wccp interface interface_name {web-cache | service_number} redirect in
Dies ist ein Beispiel für eine ASA-Konfiguration:
access-list caching permit ip source_subnet mask any
wccp 90 redirect-list caching
wccp interface 90 redirect in
Helpful Commands:
show wccp
show wccp 90 service -> this should indicate the ports that are being serviced by this WCCP
server. Without the 'service-flags ports-defined' in the Cache server configuration, the ports
to be redirected are NOT passed to the ASA. Therefore, the traffic will never be redirected.
This will result in 'Unassigned' increases with 'show wccp'.
ASA# show wccp 90 service
WCCP service information definition:
Type: Dynamic
Id: 90
Priority: 0
Protocol: 6
Options: 0x00000013
--------
Hash: SrcIP DstIP
Alt Hash: -none-
Ports: Destination:: 80 8080 0 0 0 0 0 0
ASA# show wccp 90 view
WCCP Routers Informed of:
X.X.X.X [Higher IP address on the device will be seen here]
WCCP Cache Engines Visible:
Y.Y.Y.Y [IP address of the web-cache server in the service-group 91]
Für diese Konfiguration ist derzeit kein Überprüfungsverfahren verfügbar.
Wenn die Umleitung nicht wie erwartet funktioniert, verwenden Sie diese Ausgaben zur Fehlerbehebung. Alle diese Ausgaben erfolgen auf ASA.
Wenn die Ausgabe dieser drei Befehle gültig ist, müssen Sie möglicherweise:
Das Output Interpreter-Tool (nur registrierte Kunden) unterstützt bestimmte show-Befehle. Verwenden Sie das Output Interpreter-Tool, um eine Analyse der show-Befehlsausgabe anzuzeigen.
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
17-Mar-2013
|
Erstveröffentlichung |