Configurazione e risoluzione dei problemi di WCCP su FTD con modello predefinito

Introduzione

In questo documento viene descritto come configurare WCCP su FTD e le relative procedure di risoluzione dei problemi.

Prerequisiti

Requisiti

Cisco raccomanda la conoscenza dei seguenti argomenti:

• Protocollo WCCP (Web Cache Communications Protocol) versione 2 (v2)
• Firepower Management Center (FMC)
• Firepower Threat Defense (FTD)

Componenti usati

Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

• Secure Firewall Management Center (FMCv) v7.4.2
• Secure Firewall Threat DefenseVirtual (FTDv) v7.4.2

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Configurazione

Il protocollo WCCP (Web Cache Communication Protocol) viene utilizzato per reindirizzare il traffico Web a un server cache. È in genere implementato nei dispositivi di rete, ad esempio router e firewall Cisco, per reindirizzare le richieste HTTP, HTTP e FTD su HTTP a un server proxy.

WCCP è disponibile in diverse versioni, tra cui WCCP v1, v2 e v3, ognuna delle quali offre funzionalità avanzate e scalabilità.

Come funziona

• Il computer utente Win10-0 effettua una richiesta HTTPS.
• In questo caso, il firewall FTD è il gateway per il PC utente. Riceve la richiesta HTTP/HTTPS.
• FTD riconosce che la porta di destinazione è 443 e reindirizza il traffico alla DMZ
• DMZ incapsula il pacchetto con il GRE e inoltra la richiesta al server proxy. 
• Il server proxy cerca nella propria cache o avvia una nuova connessione al server originale e risponde direttamente al computer dell'utente. 

Esempio di rete

Topologia della rete

Configurazioni

In questa procedura viene illustrata la configurazione di WCCP su FMC. Il traffico con le porte 80 e 443 deve essere reindirizzato dalla zona interna alla zona DMZ.

Nota: Nel documento vengono descritti i passaggi per l'ID servizio dinamico. Le informazioni sulla porta sono state acquisite dal client WCCP.

Passaggio 1: Accedere alla GUI di FMC e selezionare Oggetto > Gestione oggetti > Elenco accessi > Esteso > Aggiungi elenco accessi esteso.

Creare due elenchi degli accessi estesi. 

1) Creare un elenco degli accessi per reindirizzare il traffico degli utenti e fare clic su Salva.

Reindirizza traffico utente

Nota: Questo elenco degli accessi garantisce la presenza di un Action Block per il traffico proveniente dal client WCCP verso l'FTD, in modo da evitare loop nella rete. 

È inoltre possibile creare un'altra istruzione con il blocco di azioni per garantire che la comunicazione tra gli host interni non venga inviata al server proxy. 

Il rendiconto finale deve consentire tutto il resto del traffico idoneo per il reindirizzamento al proxy.

2) Creare un elenco degli accessi per identificare il client WCCP e fare clic su Salva.

Elenco degli accessi per identificare il client WCCP

Nota: Configurazione di un elenco degli accessi esteso per includere gli indirizzi IP del server WCCP.

Passaggio 2: Passare a Oggetto > Gestione oggetti > FlexConfig > Oggetto testo > Aggiungi oggetto testo per aggiungere il servizio WCCP e salvare.

Creazione oggetto servizio wccp in corso

Nota: In questo esempio, l'ID servizio è 97. È consigliabile selezionare un ID servizio compreso tra 90 e 97, poiché si tratta di ID servizio personalizzati che in genere non sono in conflitto con altri ID servizio assegnati a protocolli specifici.

Per ulteriori informazioni, consultare il documento WCCP sull'appliance ASA: Concetti, limitazioni e configurazione

Passaggio 3:

• Passare a Oggetto > Gestione oggetti > FlexConfig > Oggetto testo e Cerca isServiceIdentifer. 

Cerca isServiceIdentifer

• Modificare isServiceIdentifer da false a true. 
• isServiceIdentifer - Se false, utilizza l'identificatore standardweb-cacheservice. Fare riferimento al documento Firepower Management Center Configuration Guide (Guida alla configurazione di Firepower Management Center)

Modificare il valore da false a true

Nota: È inoltre possibile creare un oggetto Text definito dall'utente mostrato nel Passaggio 2.

Passaggio 4: 

• Selezionare Oggetto > Gestione oggetti > Configurazione flessibile > Oggetto FlexConfig.
• Cerca la parola chiave wccp.
• Fare clic sull'opzione Clona per il modello Wccp_Configure.

Clonare il modello wccp_configure

Nota: L'oggetto FlexConfig ha un modello predefinito: Wccp_Configure. Impossibile collegare il modello al dispositivo. Dovete clonarla.

Passaggio 5: 

• Rimuovere le variabili $serviceIdentifier dalla terza riga e fornire una variabile personalizzata.

Rimuovi l'identificatore del servizio

• Inserire l'oggetto Textwccp-service come variabile creata nel passaggio 2.
• Dal menu a discesa, selezionare Inserisci > Inserisci oggetto criterio > Oggetto testo

Inserire l'oggetto wccp-service come variabile

• Fornire un servizio Variable Namewccp.
• Cercare wccp-service-object in Oggetto disponibile. 
• Aggiungere l'oggetto e salvarlo.

Aggiungi oggetto wccp-service

Passaggio 6: 

• Copiare il nome della variabile wccpGroupList e fornire una variabile personalizzata.

Rimuovi variabile wccpGroupList predefinita

• Dal menu a discesa Inserisci > Inserisci oggetto criterio > Oggetto ACL esteso.

Aggiunta dell'ACL esteso wccpGrouplist

• Incollare il nome wccpGroupList copiato nel passaggio precedente della sezione Nome variabile.
• Cercare WCCP-CLIENT in Oggetti disponibili creati nel passaggio 1.
• Aggiungi e salva.

Aggiungi elenco esteso WCCP-CLIENT

Passaggio 7:  

• Selezionare wccpRedirectList per copiare e fornire una variabile personalizzata.

Rimuovi wccpRedirectList

• Dal menu a discesa, selezionare Inserisci > Inserisci oggetto criterio > Oggetto ACL esteso.

Seleziona oggetto ACL esteso per wccpRedirectList

• Incollare wccpRedirectList in Nome variabile.
• Cercare Redirect_traffic in Oggetto disponibile.  
• Selezionare Aggiungi e Salva.

Aggiungi ACL Redirect_traffic

Passaggio 8:

• Rimuovi @wccpPassword

wccppassword predefinita rimossa

• Selezionare Chiave dal menu a discesa Inserisci > Inserisci chiave segreta.

Seleziona chiave segreta

• Fare clic su Aggiungi chiave privata.

Aggiungi chiave segreta

• Immettere un nome in Nome chiave segreta.
• Immettere la password.
• Immettere la stessa password in Conferma password, quindi fare clic su Aggiungi.

Aggiungi chiave segreta definita dall'utente

Nota: Nell'esempio, l'interfaccia interna appartiene all'area di sicurezza di.

Passaggio 9:

• Copiare l'area di protezione predefinita e sostituire $ l'area di protezione con una variabile personalizzata.

Copiare il nome dell'area di protezione

• Selezionare Aree di protezione dal menu a discesa e Inserisci > Inserisci oggetto criterio. 

Selezionare l'area di protezione

• Incolla il nome della variabile come area di protezione
• Da Oggetti disponibili, selezionare l'interfaccia da aggiungere.
• Fare clic su Save (Salva).

Aggiunta dell'area di protezione

Passaggio 10: 

• Selezionare Dispositivi > FlexConfig, fare clic su Nuovo criterio o Modificare un criterio esistente.
• Selezionare l'oggetto Wccp_configure_clone configurato e fare clic su > per assegnarlo.
• Fare clic su Save (Salva). 

Nota: Per un nuovo criterio, assicurarsi di assegnare il criterio al dispositivo FTD. Per un criterio esistente, il criterio deve essere già stato assegnato. 

Assegnare la configurazione FlexConfig al dispositivo

Passo 11: passare a Distribuisci > Selezionare il dispositivo FTD > fare clic su Distribuisci.

Verifica

Passaggio 1: Verificare la configurazione in esecuzione.

Accedere alla CLI FTD ed eseguire il comando show running-config wccp.

Esempio di configurazione: 

wccp 97 redirect-list Redirect_traffic group-list WCCP-CLIENT password *****
wccp interface inside 97 redirect in

Per verificare che la password della configurazione sia corretta, eseguire i comandi.

1) system support diagnostic-cli

2) enable

3) Premere Invio senza password

4) more system:running-config | include wccp

Passaggio 2: Verifica dello stato WCCP

Eseguire il comando  show wccp

Global WCCP information:
    Router information:
        Router Identifier:                   -not yet determined-
        Protocol Version:                    2.0

    Service Identifier: 97
        Number of Cache Engines:             1
        Number of routers:                   2
        Total Packets Redirected:            0
        Redirect access-list:                Redirect_traffic
        Total Connections Denied Redirect:   0
        Total Packets Unassigned:            0
        Group access-list:                   WCCP-CLIENT
        Total Messages Denied to Group:      0
        Total Authentication failures:       0
        Total Bypassed Packets Received:     0

 Eseguire il comando show wccp 97 service 

WCCP service information definition:
        Type:          Dynamic
        Id:            97
        Priority:      240
        Protocol:      6
        Options:       0x00000012
        --------
            Hash:      DstIP 
            Alt Hash:  -none-
            Ports:     Destination:: 80 443 0 0 0 0 0 0

Nota: L'ID servizio è 97. Assicurarsi di poter visualizzare il numero di porta appreso dal client WCCP in Porte: sezione.

3) Run the command show wccp 97 view

Risoluzione dei problemi

Passaggio 1: Verificare che l'FTD disponga del percorso dalla stessa interfaccia che ha ricevuto la richiesta WCCP dal server proxy.

nell'esempio, il traffico viene reindirizzato all'interfaccia edmz. 

>show route
S        10.xx.xx.xx 255.yyy.yyy.yyy [1/0] via 10.zz.zz.z, dmz

Nota: Qui 10.xx.xx.xx è IP server proxy, 255.yyyy.yyy è Netmask,  10.zz.zz.z è il gateway hop successivo.

Passaggio 2: Riprendere le clip sull'interfaccia interna e dmz per assicurarsi che il traffico venga reindirizzato. 

Acquisizione sull'interfaccia interna per la porta 443

capture capinside interface inside trace detail  match tcp any any eq 443

Acquisisci su interfaccia dmz: 

capture capdmz interface dmz trace detail match gre any any

Nota: Sull'interfaccia dmz, è necessario filtrare con il protocollo GRE. Il pacchetto di reindirizzamento è incapsulato nel pacchetto GRE al client wcp.

Passaggio 3: Debug per wccp

Eseguire i comandi:

debug wccp event debu wccp packet

Il bug Cisco IDCSCvn90518 è stato generato per consentire il supporto della modalità nativa FDM e FMC per la configurazione WCCP.