WCCP auf ASA: Konzepte, Einschränkungen und Konfiguration

Download-Optionen

  • PDF     (270.6 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
Aktualisiert:31. Mai 2013
Dokument-ID:116046

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

In diesem Dokument werden Konzepte, Einschränkungen und die Konfiguration des Web Cache Coordination Protocol (WCCP) auf einer Cisco Adaptive Security Appliance (ASA) beschrieben. WCCP ist eine Methode, mit der die ASA den Datenverkehr über einen Generic Routing Encapsulation (GRE)-Tunnel an eine WCCP-Caching-Engine umleiten kann.

Voraussetzungen

Anforderungen

Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

  • Web Cache Communications Protocol (WCCP) Version 2 (v2)
  • Cisco Adaptive Security Appliances (ASA)
  • Cisco Adaptive Security Appliance (ASA)-Software; Lesen Sie die Konfigurationsanleitungen zur Kompatibilität.
  • Proxy-Caching
  • Umleitung

Cisco empfiehlt außerdem, sich mit den Einschränkungen der WCCP-Konfiguration auf der ASA vertraut zu machen, die in den folgenden Dokumenten erläutert werden:

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf dem Web Cache Communications Protocol (WCCP) Version 2 (V2).

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Konventionen

Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

WCCP und ASA im Überblick

Der WCCP legt Interaktionen zwischen einem oder mehreren Routern und einem oder mehreren Web-Caches fest. Zweck der Interaktion ist die Einrichtung und Aufrechterhaltung einer transparenten Umleitung ausgewählter Datenverkehrstypen, die durch eine Gruppe von Routern fließen. Der ausgewählte Datenverkehr wird an eine Gruppe von Web-Caches umgeleitet, um die Ressourcennutzung zu optimieren und die Reaktionszeiten zu verkürzen.

Für WCCP wählt die ASA die höchste auf einer Schnittstelle konfigurierte IP-Adresse und verwendet diese als Router-ID. Dies ist genau der gleiche Prozess, dem Open Shortest Path First (OSPF) für die Router-ID folgt.  Wenn die ASA Pakete an die Cache Engine (CE) umleitet, bezieht die ASA die Umleitung von der Router-ID-IP-Adresse (selbst wenn diese über eine andere Schnittstelle bezogen wird) und kapselt das Paket in einen GRE-Header.

Die GRE-Verbindung ist unidirektional. Die ASA kapselt umgeleitete Pakete in GRE und sendet diese an die Caching-Engine. Die ASA verarbeitet keine GRE-gekapselten Antworten vom CE. Der CE muss direkt mit dem internen Host kommunizieren.

Der Fluss der Arbeit für die Umleitung hat folgende Schritte:

  1. Der Host verwendet das Standard-Gateway der ASA, um die HTTP-Verbindung zu öffnen.
  2. Die ASA leitet das Paket (in GRE gekapselt) zum CE um.
  3. Der CE überprüft oder aktualisiert den Cache für die angeforderte Site.
  4. Der CE antwortet direkt auf den Host.
    • Alle ausgehenden Pakete vom Host werden von der ASA zum CE umgeleitet.
    • Alle vom Server an den Host eingehenden Pakete werden vom CE an den Host weitergeleitet.

 116046-config-wccp-asa-01.jpg

Die ASA implementiert WCCP V2. Wenn der Server WCCP V2 unterstützt, sollte er kompatibel sein.

WCCP-Umleitung

WCCP V2 definiert Mechanismen, die es einem oder mehreren Routern, die für die transparente Umleitung aktiviert sind, ermöglichen, Verbindungen zu einem oder mehreren Web-Caches zu erkennen, zu überprüfen und anzukündigen. Dies sind die Schritte bei der WCCP-Umleitung:

  1. Der Benutzer gibt eine URL in einen Browser ein.
  2. Die URL wird zur Adressenauflösung an das Domain Name System (DNS) weitergeleitet.
  3. Die URL wird in die IP-Adresse des Webservers aufgelöst.
  4. Der Client initiiert mit einer SYN-Anforderung eine Verbindung zum Server.
  5. Auf dem aktiven Router fängt der WCCP-Webcachedienst die HTTP-Anfrage ab (TCP-Port 80) und leitet die Anfrage auf Basis der konfigurierten Lastverteilung an Caches weiter:
    • Bei einem Cache-Treffer antwortet der CE auf das ursprüngliche GET mit dem angeforderten Inhalt und verwendet die Quell-IP-Adresse des Ursprungsservers im Response Pack.
    • Wenn der angeforderte Inhalt nicht bereits auf dem CE gespeichert ist, liegt ein Cache-Fehler vor:
      1. Der CE stellt eine Verbindung zum Ursprungsserver her, verwendet seine eigene IP-Adresse als Quelle und sendet HTTP GET.
      2. Der Server antwortet auf CE mit Inhalt.
      3. Der CE schreibt eine Kopie des cachbaren Inhalts auf den Datenträger.

WCCP-Servicegruppen

Sobald die Verbindung hergestellt ist, bilden die Router und Web-Caches Servicegruppen, um die Umleitung von Datenverkehr zu ermöglichen, dessen Merkmale Teil der Servicegruppendefinition sind.

Ein Web-Cache überträgt in Abständen von 10 Sekunden eine WCCP2_HERE_I_AM-Nachricht an jeden Router in der Gruppe, um seine Mitgliedschaft in einer Servicegruppe beizubehalten. Die Nachricht kann per Unicast an jeden Router oder per Multicast an die konfigurierte Multicast-Adresse der Servicegruppe gesendet werden.

  • Die Komponente Web-Cache Identity Info in der WCCP2_HERE_I_AM-Nachricht identifiziert den Web-Cache anhand der IP-Adresse.
  • Die Service Info-Komponente der WCCP2_HERE_I_AM-Nachricht identifiziert und beschreibt die Servicegruppe, an der der Web-Cache teilnehmen möchte.
Servicegruppe Typ Beschreibung
Dienst 0 Webcache Web-Caching-Service, der es der ASA ermöglicht, HTTP-Datenverkehr an den CE umzuleiten.
Dienst 53 DNS DNS-Caching-Service, der es der ASA ermöglicht, DNS-Client-Anfragen transparent an die Client-Engine umzuleiten.
Dienst 60 FTP-nativ Caching-Service, der es der ASA ermöglicht, native FTP-Anfragen transparent an einen einzelnen Port der Content Engine umzuleiten.
Dienst 70 HTTPS-Cache Caching-Service, der es der ASA ermöglicht, den TCP-Datenverkehr von Port 443 abzufangen und diesen HTTPS-Datenverkehr an die Content-Engine umzuleiten.
Dienst 80 RTSP Medien-Streaming-Service, der es der ASA ermöglicht, RTSP-Client-Anfragen (Real Time Streaming Protocol) an einen einzelnen Port der Content Engine umzuleiten.
Dienst 81 MUSS Medien-Caching-Service, der es der ASA ermöglicht, eine TCP-basierte Microsoft Media Server (MMST)-Umleitung zu verwenden, um Windows Media Technology (WMT)-Client-Anfragen an den TCP-Port 1755 der Content Engine weiterzuleiten.
Dienst 82 MMSU Medien-Caching-Service, der es der ASA ermöglicht, eine UDP-basierte (User Datagram Protocol) Microsoft Media Server (MMSU)-Umleitung zu verwenden, um WMT-Client-Anfragen an den UDP-Port 1755 der Content Engine weiterzuleiten.
Dienst 83 wmt-rtsp Medien-Streaming-Service, mit dem die ASA RTSP-Anfragen von Windows Media Service 9-Clients an den UDP-Port 5005 auf dem CE umleiten kann.
Dienst 90-97 vom Benutzer konfigurierbar Benutzerdefinierte WCCP-Dienste, die bis zu acht Ports für jeden WCCP-Dienst unterstützen. Wenn Sie diese benutzerdefinierten Dienste konfigurieren, müssen Sie angeben, ob der Datenverkehr an die HTTP-Caching-Anwendung, an die HTTPS-Anwendung oder an die Streaming-Anwendung auf der Content-Engine umgeleitet werden soll.
Dienst 98 benutzerdefinierter Web-Cache Caching-Service, der es der ASA ermöglicht, den HTTP-Datenverkehr transparent an die Content-Engine auf mehreren Ports außer Port 80 umzuleiten.
Dienst 99 Reverse-Proxy Caching-Service, der es der ASA ermöglicht, HTTP Reverse Proxy-Verkehr an die Content Engine auf Port 80 umzuleiten.

Eine Servicegruppe wird anhand des Servicetyps und der Service-ID identifiziert. Es gibt zwei Arten von Servicegruppen:

  • Bekannte Services
  • Dynamische Services

Bekannte Services sind sowohl von ASA- als auch Web-Caches bekannt und erfordern keine Beschreibung außer einer Service-ID.

Dagegen müssen dynamische Services einer ASA beschrieben werden. Die ASA kann für die Teilnahme an einer bestimmten dynamischen Servicegruppe konfiguriert werden, die durch eine Service-ID identifiziert wird, ohne dass die Merkmale des mit dieser Servicegruppe verknüpften Datenverkehrs bekannt sind. Die Datenverkehrsbeschreibung wird der ASA in der WCCP2_HERE_I_AM-Nachricht des ersten Web-Caches übermittelt, um der Servicegruppe beizutreten. Ein Webcache verwendet die Felder Protokoll, Service-Flags und Port der Service Info-Komponente, um einen dynamischen Dienst zu beschreiben. Sobald ein dynamischer Service definiert wurde, verwirft die ASA alle nachfolgenden WCCP2_HERE_I_AM-Nachrichten mit einer widersprüchlichen Beschreibung. Die ASA verwirft auch eine WCCP2_HERE_I_AM-Nachricht, die eine Servicegruppe beschreibt, für die sie nicht konfiguriert wurde.

Die Zahlen 0 bis 254 sind dynamische Dienste, und der Web-Cache-Dienst ist ein bekannter Standarddienst. Das bedeutet, dass bei Angabe des Web-Cache-Dienstes im WCCP V2-Protokoll vordefiniert ist, dass der Datenverkehr des TCP-Zielports 80 umgeleitet werden soll. Für die Zahlen 0 bis 254 stellt jede Zahl eine dynamische Servicegruppe dar. Die WCCP-CEs (z. B. Bluecoat) müssen einen Satz von Protokollen und Ports definieren, die für jede Servicegruppe umgeleitet werden sollen. Wenn die ASA dann mit derselben Servicegruppennummer (wccp 0 ... oder wccp 1 ...) konfiguriert ist, führt die ASA eine Umleitung für die angegebenen Protokolle und Ports durch, wie vom Bluecoat-Gerät angegeben.

In diesem Beispiel werden Webcacheidentitätsinformationen angezeigt:

116046-config-wccp-asa-02.jpg

Das folgende Beispiel zeigt, dass der Webcache Teil der Servicegruppe 0 ist:

116046-config-wccp-asa-03.jpg

Dieses Beispiel zeigt einen Web-Cache-Server als Teil der Kundendienstgruppe 91 sowie die Ports, deren Datenverkehr zum Server umgeleitet wird:

116046-config-wccp-asa-04.jpg

ASA antwortet auf eine WCCP2_HERE_I_AM-Nachricht mit einer WCCP2_I_SEE_YOU-Nachricht.

  • Wenn es sich bei der WCCP2_HERE_I_AM-Nachricht um Unicast handelte, antwortet der Router sofort mit einer Unicast-WCCP2_I_SEE_YOU-Nachricht.
  • Wenn die WCCP2_HERE_I_AM-Nachricht Multicast war, antwortet der Router mit der geplanten Multicast-WCCP2_I_SEE_YOU-Nachricht für die Servicegruppe.

Dies ist ein Beispiel für die Meldung "I See You" (So sehen Sie) von Router/ASA, die anzeigt, dass der Router der Servicegruppe 91 beitritt und die Ports 80, 8080 und 443 an den Web-Cache-Server umleitet:

116046-config-wccp-asa-05.jpg

Dies ist ein Beispiel für ein GRE-Paket:

116046-config-wccp-asa-06.jpg

Konfigurieren

Anmerkung: In der Redirect-Liste sollte die Zugriffsliste nur Netzwerkadressen enthalten. Portspezifische Einträge werden nicht unterstützt.

Anmerkung: Weitere Informationen zum Befehl wccp finden Sie unter Cisco ASA 5500 Series Command Reference, 8.2

Dieses Verfahren beschreibt die Konfiguration von WCCP auf einem ASA-Gerät:

  1. Geben Sie den Befehl wccp ein, um den umzuleitenden Datenverkehr anzugeben:

    wccp {web-cache | service_number} [redirect-list access_list] [group-list access_list] 
    [password password]
  2. Geben Sie den Befehl wccp ein, um die Schnittstelle festzulegen, an der die Datenverkehrsumleitung erfolgen soll:

    wccp interface interface_name {web-cache | service_number} redirect in

Anmerkung: Die WCCP-Umleitung wird nur am Eingang einer Schnittstelle unterstützt.

Dies ist ein Beispiel für eine ASA-Konfiguration:

access-list caching permit ip source_subnet mask any
wccp 90 redirect-list caching
wccp interface 90 redirect in
Helpful Commands:
show wccp
show wccp 90 service -> this should indicate the ports that are being serviced by this WCCP 
server. Without the 'service-flags ports-defined' in the Cache server configuration, the ports 
to be redirected are NOT passed to the ASA. Therefore, the traffic will never be redirected. 
This will result in 'Unassigned' increases with 'show wccp'.

ASA# show wccp 90 service

WCCP service information definition:
Type:          Dynamic
Id:            90
Priority:      0
Protocol:      6
Options:       0x00000013
--------
Hash:      SrcIP DstIP
Alt Hash:  -none-
Ports:     Destination:: 80 8080 0 0 0 0 0 0

ASA# show wccp 90 view

WCCP Routers Informed of:
X.X.X.X [Higher IP address on the device will be seen here]

WCCP Cache Engines Visible:
Y.Y.Y.Y [IP address of the web-cache server in the service-group 91]

Anmerkung: Verwenden Sie das Command Lookup-Tool (Tool für die Suche nach Befehlen) (nur registrierte Kunden), um weitere Informationen zu den in diesem Abschnitt verwendeten Befehlen zu erhalten.

Überprüfung

Für diese Konfiguration ist derzeit kein Überprüfungsverfahren verfügbar.

Fehlerbehebung

Wenn die Umleitung nicht wie erwartet funktioniert, verwenden Sie diese Ausgaben zur Fehlerbehebung. Alle diese Ausgaben erfolgen auf ASA.

  • show tech-support
  • show wccp [service|view|hash|bucket|detail]
  • ASP-Tabellenklassifizierung anzeigen

Wenn die Ausgabe dieser drei Befehle gültig ist, müssen Sie möglicherweise:

  • Überprüfen Sie die entsprechenden Syslogs.
  • Verwenden Sie den Befehl capture, um Erfassungen zwischen der ASA-Schnittstelle und der IP-Adresse des Web-Cache-Servers sowie Erfassungen zwischen dem Client und dem Webserver zu untersuchen, auf den zugegriffen werden soll.

Das Output Interpreter-Tool (nur registrierte Kunden) unterstützt bestimmte show-Befehle. Verwenden Sie das Output Interpreter-Tool, um eine Analyse der show-Befehlsausgabe anzuzeigen.

Zugehörige Informationen

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
17-Mar-2013
Erstveröffentlichung
TAC Authored

Beiträge von Cisco Ingenieuren

  • Sourav Kakkar
    Cisco TAC Engineer.

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.