Configurer et dépanner WCCP sur FTD à l'aide d'un modèle prédéfini

Introduction

Ce document décrit les étapes de configuration et de dépannage de WCCP sur FTD.

Conditions préalables

Exigences

Cisco vous recommande de prendre connaissance des rubriques suivantes :

• Protocole WCCP (Web Cache Communications Protocol) version 2 (v2)
• Firepower Management Center (FMC)
• Firepower Threat Defense (FTD)

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• Centre de gestion du pare-feu sécurisé (FMCv) v7.4.2
• Protection pare-feu sécurisée contre les menacesVirtual(FTDv) v7.4.2

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Configurer

Le protocole WCCP (Web Cache Communication Protocol) est utilisé pour rediriger le trafic Web vers un serveur de cache. Il est généralement mis en oeuvre dans les périphériques réseau tels que les routeurs et les pare-feu Cisco pour rediriger les requêtes HTTP, HTTS et FTD sur HTTP vers un serveur proxy.

WCCP est disponible dans différentes versions, notamment WCCP v1, v2 et v3, chaque version offrant des fonctionnalités et une évolutivité améliorées.

Comment ça fonctionne

• L'ordinateur utilisateur Win10-0 effectue une requête HTTPS.
• Ici, le pare-feu FTD est la passerelle pour l'ordinateur utilisateur. Il reçoit la requête HTTP/HTTPS.
• FTD comprend que le port de destination est 443 et redirige le trafic vers DMZ
• DMZ encapsule le paquet avec GRE et transfère la requête au serveur proxy. 
• Le serveur proxy examine son cache ou initie une nouvelle connexion au serveur d'origine et répond directement à la machine utilisateur. 

Diagramme du réseau

Topologie du réseau

Configurations

Ces étapes illustrent la configuration de WCCP sur FMC. Le trafic avec les ports 80 et 443 doit être redirigé de la zone interne vers la zone DMZ.

Remarque : Le document décrit les étapes pour l'ID de service dynamique. Les informations de port ont été apprises à partir du client WCCP.

Étape 1 : Connectez-vous à l'interface utilisateur graphique de FMC et naviguez jusqu'à Object > Object Management > Access List > Extended > Add Extended Access List.

Créez deux listes de contrôle d'accès étendues. 

1) Créez une liste d'accès pour rediriger le trafic utilisateur et cliquez sur Enregistrer.

Rediriger le trafic utilisateur

Remarque : Cette liste d'accès garantit que vous avez Action Block pour le trafic provenant du client WCCP vers FTD pour éviter la boucle dans le réseau. 

En outre, vous pouvez créer une autre instruction avec Action Block pour vous assurer que la communication entre les hôtes internes ne sont pas envoyées au serveur proxy. 

L'instruction finale doit autoriser tout autre trafic pouvant être redirigé vers le proxy.

2) Créez une liste d'accès pour identifier le client WCCP et cliquez sur Save.

Liste d'accès pour identifier le client WCCP

Remarque : Configuration d'une liste d'accès étendue pour inclure les adresses IP du serveur WCCP.

Étape 2 : Accédez à Object > Object Management > FlexConfig > Text Object > Add Text Object pour ajouter le service WCCP et Enregistrer.

Création d'un objet service wccp

Remarque : Dans cet exemple, l'ID de service est 97. Il est conseillé de sélectionner un ID de service compris entre 90 et 97, car il s'agit d'ID de service personnalisés qui ne sont généralement pas en conflit avec d'autres ID de service attribués à des protocoles spécifiques.

Pour plus de détails, référez-vous à WCCP sur ASA : Concepts, limites et configuration

Étape 3 :

• Naviguez jusqu'à Object > Object Management > FlexConfig > Text Object et Search for isServiceIdentifer. 

Rechercher isServiceIdentifer

• Modifiez isServiceIdentifer de false à true. 
• isServiceIdentifer - Si la valeur est false, utilise l'identificateur de service web-cacheservice standard. Reportez-vous au document Guide de configuration de Firepower Management Center

Modifiez la valeur de false en true

Remarque : En outre, vous pouvez créer un objet texte défini par l'utilisateur présenté à l'étape 2.

Étape 4 : 

• Accédez à Object > Object Management > FlexConfig > FlexConfig Object.
• Recherchez le mot clé wccp.
• Cliquez sur l'option Clone du modèle Wccp_Configure.

Clonez le modèle wccp_configure

Remarque : L'objet FlexConfig a un modèle prédéfini : Wccp_Configure. Le modèle ne peut pas être attaché au périphérique. Vous devez le cloner.

Étape 5 : 

• Supprimez les variables $serviceIdentifier de la troisième ligne et fournissez votre propre variable.

Supprimer l'identificateur de service

• Insérez la variable Text Objectwccp-service créée à l'étape 2.
• Dans le menu déroulant, sélectionnez Insert > Insert Policy Object > Text Object

Insérez l'objet wccp-service en tant que variable

• Fournissez un service Variable Namewccp-service.
• Recherchez wccp-service-object dans Objet disponible. 
• Ajoutez l'objet et enregistrez-le.

Ajouter un objet wccp-service

Étape 6 : 

• Copiez le nom de la variable wccpGroupList et fournissez votre propre variable.

Supprimer la variable wccpGroupList prédéfinie

• Dans le menu déroulant Insert > Insert Policy Object > Extended ACL Object.

Ajout de la liste de contrôle d'accès étendue wccpGrouplist

• Collez le nom wccpGroupList que vous avez copié à l'étape précédente dans la section Nom de variable.
• Recherchez WCCP-CLIENT dans Objets disponibles créés à l'étape 1.
• Ajoutez et enregistrez-le.

Ajouter la liste étendue WCCP-CLIENT

Étape 7 :  

• Sélectionnez wccpRedirectList pour copier et fournir votre propre variable.

Supprimer wccpRedirectList

• Dans le menu déroulant, sélectionnez Insert > Insert Policy Object > Extended ACL Object .

Sélectionner un objet ACL étendu pour wccpRedirectList

• Collez wccpRedirectList dans Nom de variable.
• Recherchez Redirect_traffic dans Objet disponible.  
• Sélectionnez Ajouter et Enregistrer.

Ajouter une liste de contrôle d'accès Redirect_traffic

Étape 8 :

• Supprimer @wccpPassword

Suppression du mot de passe wccp prédéfini

• Sélectionnez la clé dans le menu déroulant Insert > Insert Secret Key.

Sélectionner la clé secrète

• Cliquez sur Ajouter une clé secrète.

Ajouter une clé secrète

• Entrez un nom dans Nom de clé secrète.
• Entrez le mot de passe.
• Entrez le même mot de passe dans Confirmer le mot de passe et cliquez sur Ajouter.

Ajouter une clé secrète définie par l'utilisateur

Remarque : Dans cet exemple, l'interface interne appartient à la zone de sécurité dans.

Étape 9 :

• Copiez la zone de sécurité prédéfinie et remplacez $ security-zone par votre propre variable.

Copiez le nom security-zone

• Sélectionnez Security Zones dans le menu déroulant et Insert > Insert Policy Object. 

Sélectionnez la zone de sécurité

• Collez le nom de variable en tant que zone de sécurité
• Dans Objets disponibles, sélectionnez l'interface à ajouter.
• Cliquez sur Save.

Ajout d'une zone de sécurité

Étape 10 : 

• Accédez à Devices > FlexConfig, cliquez sur New Policy ou Edit an existing policy.
• Sélectionnez l'objet Wccp_configure_clone configuré et cliquez sur > pour l'attribuer.
• Cliquez sur Save. 

Remarque : Dans le cas d'une nouvelle stratégie, veillez à affecter la stratégie au périphérique FTD. Pour une stratégie existante, la stratégie doit avoir déjà été attribuée. 

Attribuez la configuration FlexConfig configurée au périphérique

Étape 11 : Accédez à Déployer > Sélectionnez le périphérique FTD > cliquez sur Déployer.

Vérifier

Étape 1 : Vérifiez la configuration en cours.

Connectez-vous à l'interface de ligne de commande FTD et exécutez la commande show running-config wccp.

Exemple de configuration : 

wccp 97 redirect-list Redirect_traffic group-list WCCP-CLIENT password *****
wccp interface inside 97 redirect in

Pour vous assurer que la configuration dispose du mot de passe correct, exécutez les commandes.

1) system support diagnostic-cli

2) enable

3) Appuyez sur Entrée sans mot de passe

4) more system:running-config | include wccp

Étape 2 : Vérification de l'état WCCP

Exécutez la commande   show wccp

Global WCCP information:
    Router information:
        Router Identifier:                   -not yet determined-
        Protocol Version:                    2.0

    Service Identifier: 97
        Number of Cache Engines:             1
        Number of routers:                   2
        Total Packets Redirected:            0
        Redirect access-list:                Redirect_traffic
        Total Connections Denied Redirect:   0
        Total Packets Unassigned:            0
        Group access-list:                   WCCP-CLIENT
        Total Messages Denied to Group:      0
        Total Authentication failures:       0
        Total Bypassed Packets Received:     0

 Exécutez la commande  show wccp 97 service 

WCCP service information definition:
        Type:          Dynamic
        Id:            97
        Priority:      240
        Protocol:      6
        Options:       0x00000012
        --------
            Hash:      DstIP 
            Alt Hash:  -none-
            Ports:     Destination:: 80 443 0 0 0 0 0 0

Remarque : Ici, 97 est l'ID de service. Assurez-vous que vous pouvez voir le numéro de port appris du client WCCP dans Ports : de l'Aide.

3) Run the command show wccp 97 view

Dépannage

Étape 1 : Vérifiez que FTD dispose de la route provenant de la même interface que celle qui a reçu la requête WCCP du serveur proxy.

Dans cet exemple, le trafic est redirigé vers l'interface dmz. 

>show route
S        10.xx.xx.xx 255.yyy.yyy.yyy [1/0] via 10.zz.zz.z, dmz

Remarque : Ici 10.xx.xx.xx est l'adresse IP du serveur proxy, 255.yyy.yyy.yyy est le masque de réseau,  10.zz.zz.z est la passerelle de tronçon suivant.

Étape 2 : Prenez les captures sur l'interface interne et dmz pour vous assurer que le trafic est redirigé. 

Capture sur l'interface interne pour le port 443

capture capinside interface inside trace detail  match tcp any any eq 443

Capture sur l'interface dmz : 

capture capdmz interface dmz trace detail match gre any any

Remarque : Sur l'interface dmz, vous devez filtrer avec le protocole GRE. Le paquet de redirection est encapsulé dans le paquet GRE vers le client wccp.

Étape 3 : Débogage pour wccp

Exécutez les commandes suivantes :

debug wccp event debu wccp packet

Le bogue Cisco IDCSCvn90518 a été soulevé pour amélioration afin d'avoir la prise en charge du mode natif FDM et FMC pour la configuration WCCP.