Este documento describe conceptos, limitaciones y configuración del Protocolo de coordinación de caché web (WCCP) en un Cisco Adaptive Security Appliance (ASA). WCCP es un método mediante el cual el ASA puede redirigir el tráfico a un motor de almacenamiento en caché WCCP a través de un túnel de encapsulación de routing genérico (GRE).
Cisco recomienda que tenga conocimiento sobre estos temas:
Cisco también recomienda que comprenda las limitaciones de la configuración WCCP en ASA, como se explica en estos documentos:
La información de este documento se basa en Web Cache Communications Protocol (WCCP) versión 2 (V2).
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.
WCCP especifica las interacciones entre uno o más routers y una o más memorias caché web. El propósito de la interacción es establecer y mantener la redirección transparente de determinados tipos de tráfico que fluyen a través de un grupo de routers. El tráfico seleccionado se redirige a un grupo de cachés web para optimizar el uso de los recursos y reducir los tiempos de respuesta.
Para WCCP, ASA elige la dirección IP más alta configurada en una interfaz y la utiliza como ID del router. Este es exactamente el mismo proceso que sigue OSPF (Open Shortest Path First) para el ID de router. Cuando ASA redirige los paquetes al motor de memoria caché (CE), el ASA origina la redirección desde la dirección IP del ID de router (incluso si se origina en una interfaz diferente) y encapsula el paquete en un encabezado GRE.
La conexión GRE es unidireccional. El ASA encapsula los paquetes redirigidos en GRE y los envía al motor de almacenamiento en caché. ASA no procesa ninguna respuesta GRE encapsulada del CE. El CE necesita comunicarse directamente con el host interno.
El flujo de trabajo para la redirección tiene estos pasos:
ASA implementa WCCP V2. Si el servidor admite WCCP V2, debe ser compatible.
WCCP V2 define mecanismos que permiten que uno o más routers habilitados para redirección transparente descubran, verifiquen y anuncien conectividad a una o más memorias caché web. Estos son los pasos en la redirección WCCP:
Una vez que se establece la conectividad, los routers y las cachés web forman grupos de servicio para manejar la redirección del tráfico cuyas características forman parte de la definición del grupo de servicio.
Una memoria caché web transmite un mensaje WCCP2_HERE_I_AM a cada router del grupo en intervalos de 10 segundos HERE_I_AM_T para unirse a un grupo de servicio y mantener su pertenencia al mismo. El mensaje se puede enviar por unidifusión a cada router o por multidifusión a la dirección de multidifusión del grupo de servicio configurado.
Grupo de servicios | Tipo | Descripción |
Servicio 0 | Web-cache | Servicio de almacenamiento en caché web que permite al ASA redirigir el tráfico HTTP al CE. |
Servicio 53 | DNS | Servicio de almacenamiento en caché de DNS que permite al ASA redirigir las solicitudes de clientes DNS de forma transparente al motor del cliente. |
Servicio 60 | FTP-nativo | Servicio de almacenamiento en caché que permite al ASA redirigir las solicitudes nativas de FTP de forma transparente a un único puerto en el motor de contenido. |
Servicio 70 | https-cache | Servicio de almacenamiento en caché que permite al ASA interceptar el tráfico TCP del puerto 443 y redirigir este tráfico HTTPS al motor de contenido. |
Servicio 80 | rtsp | Servicio de transmisión de medios que permite al ASA redirigir las solicitudes de clientes de protocolo de transmisión en tiempo real (RTSP) a un único puerto del motor de contenido. |
Servicio 81 | mmst | Servicio de almacenamiento en caché de medios que permite al ASA utilizar la redirección de Microsoft Media Server (MMST) basada en TCP para enrutar las solicitudes de cliente de la tecnología Windows Media (WMT) al puerto TCP 1755 del motor de contenido. |
Servicio 82 | mmsu | Servicio de almacenamiento en caché de medios que permite al ASA utilizar la redirección de Microsoft Media Server (MSU) basada en el protocolo de datagramas de usuario (UDP) para enrutar las solicitudes del cliente WMT al puerto UDP 1755 en el motor de contenido. |
Servicio 83 | wmt-rtsp | Servicio de transmisión de medios que permite al ASA redirigir las solicitudes RTSP de los clientes del servicio de medios de Windows 9 al puerto 5005 UDP en el CE. |
Servicios 90-97 | usuario configurable | Servicios WCCP definidos por el usuario que admiten hasta ocho puertos para cada servicio WCCP. Al configurar estos servicios definidos por el usuario, debe especificar si desea redirigir el tráfico a la aplicación de almacenamiento en caché HTTP, a la aplicación HTTPS o a la aplicación de transmisión en el motor de contenido. |
Servicio 98 | custom-web-cache | Servicio de almacenamiento en caché que permite al ASA redirigir de forma transparente el tráfico HTTP al motor de contenido en varios puertos distintos del puerto 80. |
Servicio 99 | proxy inverso | Servicio de almacenamiento en caché que permite al ASA redirigir el tráfico de proxy inverso HTTP al motor de contenido en el puerto 80. |
Un grupo de servicios se identifica por tipo de servicio e ID de servicio. Existen dos tipos de grupos de servicios:
Los servicios conocidos son conocidos tanto por ASA como por las cachés web y no requieren una descripción que no sea una ID de servicio.
Por el contrario, los servicios dinámicos se deben describir a un ASA. El ASA se puede configurar para participar en un grupo de servicio dinámico determinado, identificado por la ID de servicio, sin ningún conocimiento de las características del tráfico asociado con ese grupo de servicio. La descripción del tráfico se comunica al ASA en el mensaje WCCP2_HERE_I_AM de la primera memoria caché web para unirse al grupo de servicio. Una caché web utiliza los campos Protocol, Service Flags y Port del componente Service Info para describir un servicio dinámico. Una vez que se ha definido un servicio dinámico, el ASA descarta cualquier mensaje WCCP2_HERE_I_AM subsiguiente que contenga una descripción conflictiva. El ASA también descarta un mensaje WCCP2_HERE_I_AM que describe un grupo de servicio para el cual no ha sido configurado.
Los números del 0 al 254 son servicios dinámicos y el servicio de caché web es un servicio estándar o bien conocido. Esto significa que cuando se especifica el servicio de caché web, el protocolo WCCP V2 ha predefinido que el tráfico del puerto de destino TCP 80 se redirigirá. Para los números del 0 al 254, cada número representa un grupo de servicios dinámico. Los WCCP CE (como Bluecoat) deben definir un conjunto de protocolos y puertos que se redirigirán para cada grupo de servicios. Luego, cuando el ASA se configura con ese mismo número de grupo de servicio (wccp 0 ... o wccp 1 ...), el ASA realiza la redirección en los protocolos y puertos especificados según lo indicado por el dispositivo Bluecoat.
Este es un ejemplo que muestra la Información de Identidad de Web-Cache:
Este es un ejemplo que muestra que la memoria caché web es parte del grupo de servicio 0:
Este es un ejemplo que muestra un servidor de caché web como parte del grupo de servicio al cliente 91 y los puertos cuyo tráfico se redirige al servidor:
ASA responde a un mensaje WCCP2_HERE_I_AM con un mensaje WCCP2_I_SEE_YOU.
Este es un ejemplo del mensaje "Le veo" del router/ASA, que muestra que el router se une al grupo de servicio 91 y redirige los puertos 80, 8080 y 443 al servidor de caché web:
Este es un ejemplo de un paquete GRE:
Este procedimiento describe cómo configurar WCCP en un ASA:
wccp {web-cache | service_number} [redirect-list access_list] [group-list access_list]
[password password]
wccp interface interface_name {web-cache | service_number} redirect in
Este es un ejemplo de una configuración de ASA:
access-list caching permit ip source_subnet mask any
wccp 90 redirect-list caching
wccp interface 90 redirect in
Helpful Commands:
show wccp
show wccp 90 service -> this should indicate the ports that are being serviced by this WCCP
server. Without the 'service-flags ports-defined' in the Cache server configuration, the ports
to be redirected are NOT passed to the ASA. Therefore, the traffic will never be redirected.
This will result in 'Unassigned' increases with 'show wccp'.
ASA# show wccp 90 service
WCCP service information definition:
Type: Dynamic
Id: 90
Priority: 0
Protocol: 6
Options: 0x00000013
--------
Hash: SrcIP DstIP
Alt Hash: -none-
Ports: Destination:: 80 8080 0 0 0 0 0 0
ASA# show wccp 90 view
WCCP Routers Informed of:
X.X.X.X [Higher IP address on the device will be seen here]
WCCP Cache Engines Visible:
Y.Y.Y.Y [IP address of the web-cache server in the service-group 91]
Actualmente, no hay un procedimiento de verificación disponible para esta configuración.
Si la redirección no funciona como se esperaba, utilice estos resultados para resolver problemas. Todas estas salidas están en ASA.
Si el resultado de estos tres comandos parece válido, es posible que necesite:
La herramienta de interpretación de información de salida (disponible para clientes registrados únicamente) admite ciertos comandos show. Utilice la herramienta para ver una análisis de información de salida del comando show.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
17-Mar-2013
|
Versión inicial |