WCCP en ASA: Conceptos, limitaciones y configuración

Introducción

Este documento describe conceptos, limitaciones y configuración del Protocolo de coordinación de caché web (WCCP) en un Cisco Adaptive Security Appliance (ASA). WCCP es un método mediante el cual el ASA puede redirigir el tráfico a un motor de almacenamiento en caché WCCP a través de un túnel de encapsulación de routing genérico (GRE).

Prerequisites

Requirements

Cisco recomienda que tenga conocimiento sobre estos temas:

• Protocolo de comunicaciones de caché web (WCCP) versión 2 (v2)
• Dispositivos de seguridad adaptable de Cisco (ASA)
• Software de dispositivo de seguridad adaptable (ASA) de Cisco; leer las guías de configuración para compatibilidad
• Guardado de proxies en memoria caché
• Redirección

Cisco también recomienda que comprenda las limitaciones de la configuración WCCP en ASA, como se explica en estos documentos:

• Guía de configuración de Cisco ASA serie 5500 con la CLI, 8.2: Configuración de Servicios de Caché Web Usando WCCP: Directrices y limitaciones
• Guía de configuración CLI de la serie Cisco ASA, 9.0: Configuración de Servicios de Caché Web Usando WCCP

Componentes Utilizados

La información de este documento se basa en Web Cache Communications Protocol (WCCP) versión 2 (V2).

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener información sobre las convenciones sobre documentos.

Descripción general de WCCP y ASA

WCCP especifica las interacciones entre uno o más routers y una o más memorias caché web. El propósito de la interacción es establecer y mantener la redirección transparente de determinados tipos de tráfico que fluyen a través de un grupo de routers. El tráfico seleccionado se redirige a un grupo de cachés web para optimizar el uso de los recursos y reducir los tiempos de respuesta.

Para WCCP, ASA elige la dirección IP más alta configurada en una interfaz y la utiliza como ID del router. Este es exactamente el mismo proceso que sigue OSPF (Open Shortest Path First) para el ID de router.  Cuando ASA redirige los paquetes al motor de memoria caché (CE), el ASA origina la redirección desde la dirección IP del ID de router (incluso si se origina en una interfaz diferente) y encapsula el paquete en un encabezado GRE.

La conexión GRE es unidireccional. El ASA encapsula los paquetes redirigidos en GRE y los envía al motor de almacenamiento en caché. ASA no procesa ninguna respuesta GRE encapsulada del CE. El CE necesita comunicarse directamente con el host interno.

El flujo de trabajo para la redirección tiene estos pasos:

1. El host utiliza el gateway predeterminado del ASA para abrir la conexión HTTP.
2. El ASA redirige el paquete (encapsulado en GRE) al CE.
3. El CE comprueba o actualiza la caché del sitio solicitado.
4. El CE responde directamente al host.
   • Todos los paquetes salientes del host se redirigen del ASA al CE.
   • Todos los paquetes entrantes del servidor al host se dirigen del CE al host.

 

ASA implementa WCCP V2. Si el servidor admite WCCP V2, debe ser compatible.

Redirección WCCP

WCCP V2 define mecanismos que permiten que uno o más routers habilitados para redirección transparente descubran, verifiquen y anuncien conectividad a una o más memorias caché web. Estos son los pasos en la redirección WCCP:

1. El usuario introduce una URL en un navegador.
2. La URL se reenvía al sistema de nombres de dominio (DNS) para la resolución de direcciones.
3. La URL se resuelve en la dirección IP del servidor web.
4. El cliente inicia una conexión con el servidor con una solicitud SYN.
5. En el router activo, el servicio de caché web WCCP intercepta la solicitud HTTP (puerto TCP 80) y redirige la solicitud a las cachés en función de la distribución de carga configurada:
   • Si hay un resultado de caché, el CE responde al GET original con el contenido solicitado y utiliza la dirección IP de origen del servidor de origen en el paquete de respuesta.
   • Si el contenido solicitado aún no está almacenado en el CE, hay una pérdida de caché:
   1. El CE establece una conexión con el servidor de origen, utiliza su propia dirección IP como origen y envía el HTTP GET.
   2. El servidor responde al CE con contenido.
   3. El CE escribe una copia del contenido en caché en el disco.

Grupos de Servicio de WCCP

Una vez que se establece la conectividad, los routers y las cachés web forman grupos de servicio para manejar la redirección del tráfico cuyas características forman parte de la definición del grupo de servicio.

Una memoria caché web transmite un mensaje WCCP2_HERE_I_AM a cada router del grupo en intervalos de 10 segundos HERE_I_AM_T para unirse a un grupo de servicio y mantener su pertenencia al mismo. El mensaje se puede enviar por unidifusión a cada router o por multidifusión a la dirección de multidifusión del grupo de servicio configurado.

• El componente Web-Cache Identity Info (Información de identidad de caché web) del mensaje WCCP2_HERE_I_AM identifica la caché web por dirección IP.
• El componente Información de servicio del mensaje WCCP2_HERE_I_AM identifica y describe el grupo de servicio en el que la caché web desea participar.

Grupo de servicios	Tipo	Descripción
Servicio 0	Web-cache	Servicio de almacenamiento en caché web que permite al ASA redirigir el tráfico HTTP al CE.
Servicio 53	DNS	Servicio de almacenamiento en caché de DNS que permite al ASA redirigir las solicitudes de clientes DNS de forma transparente al motor del cliente.
Servicio 60	FTP-nativo	Servicio de almacenamiento en caché que permite al ASA redirigir las solicitudes nativas de FTP de forma transparente a un único puerto en el motor de contenido.
Servicio 70	https-cache	Servicio de almacenamiento en caché que permite al ASA interceptar el tráfico TCP del puerto 443 y redirigir este tráfico HTTPS al motor de contenido.
Servicio 80	rtsp	Servicio de transmisión de medios que permite al ASA redirigir las solicitudes de clientes de protocolo de transmisión en tiempo real (RTSP) a un único puerto del motor de contenido.
Servicio 81	mmst	Servicio de almacenamiento en caché de medios que permite al ASA utilizar la redirección de Microsoft Media Server (MMST) basada en TCP para enrutar las solicitudes de cliente de la tecnología Windows Media (WMT) al puerto TCP 1755 del motor de contenido.
Servicio 82	mmsu	Servicio de almacenamiento en caché de medios que permite al ASA utilizar la redirección de Microsoft Media Server (MSU) basada en el protocolo de datagramas de usuario (UDP) para enrutar las solicitudes del cliente WMT al puerto UDP 1755 en el motor de contenido.
Servicio 83	wmt-rtsp	Servicio de transmisión de medios que permite al ASA redirigir las solicitudes RTSP de los clientes del servicio de medios de Windows 9 al puerto 5005 UDP en el CE.
Servicios 90-97	usuario configurable	Servicios WCCP definidos por el usuario que admiten hasta ocho puertos para cada servicio WCCP. Al configurar estos servicios definidos por el usuario, debe especificar si desea redirigir el tráfico a la aplicación de almacenamiento en caché HTTP, a la aplicación HTTPS o a la aplicación de transmisión en el motor de contenido.
Servicio 98	custom-web-cache	Servicio de almacenamiento en caché que permite al ASA redirigir de forma transparente el tráfico HTTP al motor de contenido en varios puertos distintos del puerto 80.
Servicio 99	proxy inverso	Servicio de almacenamiento en caché que permite al ASA redirigir el tráfico de proxy inverso HTTP al motor de contenido en el puerto 80.

Un grupo de servicios se identifica por tipo de servicio e ID de servicio. Existen dos tipos de grupos de servicios:

• Servicios bien conocidos
• Servicios dinámicos

Los servicios conocidos son conocidos tanto por ASA como por las cachés web y no requieren una descripción que no sea una ID de servicio.

Por el contrario, los servicios dinámicos se deben describir a un ASA. El ASA se puede configurar para participar en un grupo de servicio dinámico determinado, identificado por la ID de servicio, sin ningún conocimiento de las características del tráfico asociado con ese grupo de servicio. La descripción del tráfico se comunica al ASA en el mensaje WCCP2_HERE_I_AM de la primera memoria caché web para unirse al grupo de servicio. Una caché web utiliza los campos Protocol, Service Flags y Port del componente Service Info para describir un servicio dinámico. Una vez que se ha definido un servicio dinámico, el ASA descarta cualquier mensaje WCCP2_HERE_I_AM subsiguiente que contenga una descripción conflictiva. El ASA también descarta un mensaje WCCP2_HERE_I_AM que describe un grupo de servicio para el cual no ha sido configurado.

Los números del 0 al 254 son servicios dinámicos y el servicio de caché web es un servicio estándar o bien conocido. Esto significa que cuando se especifica el servicio de caché web, el protocolo WCCP V2 ha predefinido que el tráfico del puerto de destino TCP 80 se redirigirá. Para los números del 0 al 254, cada número representa un grupo de servicios dinámico. Los WCCP CE (como Bluecoat) deben definir un conjunto de protocolos y puertos que se redirigirán para cada grupo de servicios. Luego, cuando el ASA se configura con ese mismo número de grupo de servicio (wccp 0 ... o wccp 1 ...), el ASA realiza la redirección en los protocolos y puertos especificados según lo indicado por el dispositivo Bluecoat.

Este es un ejemplo que muestra la Información de Identidad de Web-Cache:

Este es un ejemplo que muestra que la memoria caché web es parte del grupo de servicio 0:

Este es un ejemplo que muestra un servidor de caché web como parte del grupo de servicio al cliente 91 y los puertos cuyo tráfico se redirige al servidor:

ASA responde a un mensaje WCCP2_HERE_I_AM con un mensaje WCCP2_I_SEE_YOU.

• Si el mensaje WCCP2_HERE_I_AM era de unidifusión, el router responde inmediatamente con un mensaje WCCP2_I_SEE_YOU de unidifusión.
• Si el mensaje WCCP2_HERE_I_AM era multicast, el router responde con el mensaje WCCP2_I_SEE_YOU multicast programado para el grupo de servicio.

Este es un ejemplo del mensaje "Le veo" del router/ASA, que muestra que el router se une al grupo de servicio 91 y redirige los puertos 80, 8080 y 443 al servidor de caché web:

Este es un ejemplo de un paquete GRE:

Configurar

Nota: En la lista de redireccionamiento, la lista de acceso sólo debe contener direcciones de red. No se admiten entradas específicas de puerto.

Nota: Para obtener más información sobre el comando wccp, vea Referencia de Comandos de Cisco ASA 5500 Series, 8.2. 

Este procedimiento describe cómo configurar WCCP en un ASA:

1. Ingrese el comando wccp para especificar el tráfico que se redirigirá:
   
   

   wccp {web-cache | service_number} [redirect-list access_list] [group-list access_list] 
   [password password]

2. Ingrese el comando wccp para especificar la interfaz en la que debe ocurrir la redirección del tráfico:
   
   

   wccp interface interface_name {web-cache | service_number} redirect in

Nota: La redirección WCCP sólo se admite en la entrada de una interfaz.

Este es un ejemplo de una configuración de ASA:

access-list caching permit ip source_subnet mask any
wccp 90 redirect-list caching
wccp interface 90 redirect in

Helpful Commands:
show wccp
show wccp 90 service -> this should indicate the ports that are being serviced by this WCCP 
server. Without the 'service-flags ports-defined' in the Cache server configuration, the ports 
to be redirected are NOT passed to the ASA. Therefore, the traffic will never be redirected. 
This will result in 'Unassigned' increases with 'show wccp'.

ASA# show wccp 90 service

WCCP service information definition:
Type:          Dynamic
Id:            90
Priority:      0
Protocol:      6
Options:       0x00000013
--------
Hash:      SrcIP DstIP
Alt Hash:  -none-
Ports:     Destination:: 80 8080 0 0 0 0 0 0

ASA# show wccp 90 view

WCCP Routers Informed of:
X.X.X.X [Higher IP address on the device will be seen here]

WCCP Cache Engines Visible:
Y.Y.Y.Y [IP address of the web-cache server in the service-group 91]

Nota: Use la Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos usados en esta sección.

Verificación

Actualmente, no hay un procedimiento de verificación disponible para esta configuración.

Troubleshoot

Si la redirección no funciona como se esperaba, utilice estos resultados para resolver problemas. Todas estas salidas están en ASA.

• show tech-support
• show wccp [service|view|hash|bucket|detail]
• show asp table classify

Si el resultado de estos tres comandos parece válido, es posible que necesite:

• Revise los registros del sistema correspondientes.
• Utilice el comando capture para investigar las capturas entre la interfaz ASA y la IP del servidor de caché web y las capturas entre el cliente y el servidor web al que intenta acceder.

La herramienta de interpretación de información de salida (disponible para clientes registrados únicamente) admite ciertos comandos show. Utilice la herramienta para ver una análisis de información de salida del comando show.

Información Relacionada

• Guías de referencia de los firewalls de última generación Cisco ASA serie 5500
• Guías de configuración de los firewalls de última generación Cisco ASA serie 5500
• Soporte Técnico y Documentación - Cisco Systems