WCCP op ASA: Concepten, beperkingen en configuratie

Downloadopties

  • PDF     (269.6 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (88.5 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (74.8 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:31 mei 2013
Document-id:116046

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document beschrijft concepten, beperkingen en configuratie van Web Cache Coordination Protocol (WCCP) op een Cisco adaptieve security applicatie (ASA). WCCP is een methode waarmee de ASA verkeer naar een WCCP-caching engine kan omleiden via een generieke Routing Encapsulation (GRE)-tunnel.

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

  • Web Cache Communications Protocol (WCCP) versie 2 (v2)
  • Cisco adaptieve security applicaties (ASA)
  • Software voor Cisco adaptieve security applicatie (ASA); Lees de Configuratiehandleidingen voor compatibiliteit
  • Proxy-caching
  • omleiding

Cisco raadt u ook aan de beperkingen van de WCCP-configuratie op de ASA te begrijpen, zoals in deze documenten wordt uitgelegd:

Gebruikte componenten

De informatie in dit document is gebaseerd op Web Cache Communications Protocol (WCCP), versie 2 (V2).

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Conventies

Raadpleeg Conventies voor technische tips van Cisco voor informatie over documentconventies.

WCCP en ASA - Overzicht

WCCP specificeert interacties tussen een of meer routers en een of meer webcaches. Het doel van de interactie is de transparante omleiding van geselecteerde typen verkeer die door een groep routers stromen, vast te stellen en te onderhouden. Het geselecteerde verkeer wordt omgeleid naar een groep webcaches om resourceverbruik en lagere reactietijden te optimaliseren.

Voor WCCP kiest de ASA het hoogste IP-adres dat op een interface is geconfigureerd en gebruikt die als router-ID. Dit is precies het zelfde proces dat Open Kortste Weg eerst (OSPF) voor router-ID volgt.  Wanneer de ASA pakketten omleidt naar de cache engine (CE), de ASA bronnen de omleiding van het IP-adres van de router-id (zelfs als er een andere interface is uitbesteed) en kapselt het pakket in een GRE-header in.

De GRE-verbinding is unidirectioneel. ASA kapselt omgeleide pakketten in GRE in en stuurt het naar de caching engine. ASA verwerkt geen GRE-ingekapselde antwoorden van CE. De CE moet rechtstreeks communiceren met de interne host.

De stroom van het werk voor omleiding heeft deze stappen:

  1. De host gebruikt de standaardgateway van de ASA om de HTTP-verbinding te openen.
  2. ASA wijst het pakket (dat in GRE is ingesloten) om naar CE.
  3. De CE verifieert of actualiseert de cache voor de gevraagde site.
  4. De Ce antwoordt rechtstreeks aan de gastheer.
    • Alle uitgaande pakketten van de host worden omgeleid van de ASA naar de CE.
    • Alle inkomende pakketten van de server naar de host worden van de CE naar de host gestuurd.

 116046-config-wccp-asa-01.jpg

ASA implementeert WCCP V2. Als de server WCCP V2 ondersteunt, dient deze compatibel te zijn.

WCCP-omleiding

WCCP V2 definieert mechanismen die een of meer routers in staat stellen voor transparante omleiding om connectiviteit met een of meer webcaches te detecteren, te verifiëren en te adverteren. Dit zijn de stappen in WCCP-omleiding:

  1. De gebruiker voert een URL in een browser in.
  2. De URL wordt doorgestuurd naar Domain Name System (DNS) voor adresresolutie.
  3. De URL wordt opgeslagen op het IP-adres van de webserver.
  4. De client start een verbinding met de server met een SYN-verzoek.
  5. Op de actieve router wordt het HTTP-verzoek (TCP-poort 80) door de WCCP web cache-service onderschept en omgeleid naar de caches op basis van de geconfigureerde taakverdeling:
    • Als er een cache hit is, reageert de CE op de originele GET met de gevraagde inhoud en gebruikt ze het IP-bronadres van de oorspronkelijke server in het responspakket.
    • Als de gevraagde inhoud nog niet op de CE is opgeslagen, is er een cachemis:
      1. De CE maakt een verbinding met de oorspronkelijke server, gebruikt zijn eigen IP-adres als bron en stuurt de HTTP GET.
      2. De server reageert op CE met inhoud.
      3. De CE schrijft een kopie van de cachdable content naar de disk.

WCCP-servicegroepen

Zodra de connectiviteit is vastgesteld, vormen de routers en de webcaches servicegroepen om de omleiding van verkeer te verwerken waarvan de kenmerken deel uitmaken van de definitie van de servicegroep.

Een webcache stuurt een WCCP2_HERE_I_AM-bericht naar elke router in de groep met hier_I_AM_T (10) tweede intervallen om lid te worden van een servicegroep en het lidmaatschap daarvan te behouden. Het bericht kan door unicast aan elke router of door multicast aan het gevormde multicast adres van de servicegroep zijn.

  • De component Web-Cache Identity Info in het WCCP2_HERE_I_AM bericht identificeert het webcachegeheugen op IP-adres.
  • De Service Info-component van het WCCP2_HERE_I_AM-bericht identificeert en beschrijft de servicegroep waarin de webcache wenst deel te nemen.
Servicegroep Type Beschrijving
Service 0 Web cache Web caching service die de ASA in staat stelt HTTP-verkeer naar de CE te leiden.
Dienst 53 DNS DNS-cacheservice die de ASA toestaat om DNS-clientverzoeken transparant naar de client-engine door te sturen.
Service 60 FTP-native Caching service die de ASA in staat stelt om op een transparante manier FTP-native aanvragen door te sturen naar één poort op de content engine.
Service 70 https-cache Cachingservice die de ASA in staat stelt poort 443 TCP-verkeer te onderscheppen en dit HTTPS-verkeer door te sturen naar de inhoudsengine.
Service 80 rtsp Media streaming service die de ASA toelaat om RTSP-clientverzoeken (Real Time Streaming Protocol) om te leiden naar één poort op de content engine.
Service 81 meest Media caching service die de ASA toestaat om op TCP gebaseerde Microsoft Media Server (MMST) omleiding te gebruiken om Windows Media Technology (WMT) clientverzoeken naar TCP-poort 1755 te leiden op de content engine.
Service 82 mmsu Media caching service die ASA toestaat om op User Datagram Protocol (UDP) gebaseerde Microsoft Media Server (MMSU)-omleiding te gebruiken om WMT-clientverzoeken naar UDP-poort 1755 te leiden op de inhoudsengine.
Service 83 wmt-rtsp Media streaming-service die de ASA in staat stelt RTSP-verzoeken van Windows Media Service 9-clients om te leiden naar UDP-poort 5005 op de CE.
Service 90-97 door gebruiker configureerbaar Door de gebruiker gedefinieerde WCCP-services die ondersteuning bieden aan maximaal acht poorten voor elke WCCP-service. Wanneer u deze door de gebruiker gedefinieerde services configureert, moet u specificeren of u het verkeer wilt omleiden naar de HTTP-caching applicatie, naar de HTTPS-applicatie of naar de streaming applicatie op de content engine.
Service 98 custom-web-cache Caching-service die ASA in staat stelt HTTP-verkeer transparant om te leiden naar de inhoudsengine op meerdere poorten anders dan poort 80.
Service 99 met omgekeerde proxy Caching-service die de ASA toestaat om HTTP-verkeer met omgekeerde proxy om te leiden naar de content-engine op poort 80.

Een servicegroep wordt geïdentificeerd aan de hand van het servicetype en de Service-ID. Er zijn twee soorten servicegroepen:

  • Bekende diensten
  • Dynamische services

Bekende services zijn bekend bij zowel ASA als webcaches en vereisen geen andere beschrijving dan een Service ID.

Dynamische diensten moeten daarentegen aan een ASA worden beschreven. ASA kan worden geconfigureerd om deel te nemen aan een bepaalde dynamische servicegroep, die wordt geïdentificeerd aan de hand van Service ID, zonder enige kennis van de kenmerken van het verkeer dat aan die servicegroep is gekoppeld. De verkeersbeschrijving wordt meegedeeld aan ASA in WCCP2_HERE_I_AM bericht van het eerste webcachegeheugen om zich bij de de dienstgroep aan te sluiten. Een webcachegeheugen gebruikt de velden Protocol, Service Flags en Port van de Service Info-component om een dynamische service te beschrijven. Zodra een dynamische dienst is bepaald, verwerpt ASA om het even welk verder WCCP2_HERE_I_AM bericht dat een tegenstrijdige beschrijving bevat. ASA verwerpt ook een bericht WCCP2_HERE_I_AM dat een servicegroep beschrijft waarvoor het niet is geconfigureerd.

De nummers 0 tot 254 zijn dynamische services en de web cache service is een standaard, of bekende service. Wat dit betekent is dat wanneer de web cache service is gespecificeerd, het WCCP V2 protocol vooraf heeft gedefinieerd dat TCP-bestemmingshaven 80 verkeer moet worden omgeleid. Voor de getallen 0 tot 254 vertegenwoordigt elk nummer een dynamische servicegroep. De WCCP CE’s (zoals Bluecoat) moeten een reeks protocollen en poorten definiëren die voor elke servicegroep worden omgeleid. Vervolgens voert de ASA, wanneer de ASA is geconfigureerd met hetzelfde servicegroepnummer (wccp 0 ... of wccp 1 ...), een omleiding uit op de gespecificeerde protocollen en poorten zoals aangegeven door het Bluecoat-apparaat.

Dit is een voorbeeld van Web-Cache Identity Info:

116046-config-wccp-asa-02.jpg

Dit is een voorbeeld dat laat zien dat het webcachegeheugen deel uitmaakt van servicegroep 0:

116046-config-wccp-asa-03.jpg

Dit is een voorbeeld van een webcacheserver die deel uitmaakt van klantenservicegroep 91 en de poorten waarvan het verkeer naar de server wordt doorgestuurd:

116046-config-wccp-asa-04.jpg

ASA reageert op een WCCP2_HERE_I_AM bericht met een WCCP2_I_SEE_YOU bericht.

  • Als het WCCP2_HERE_I_AM bericht unicast was, reageert de router onmiddellijk met een unicast WCCP2_I_SEE_YOU bericht.
  • Als het WCCP2_HERE_I_AM-bericht multicast was, reageert de router met het geplande multicast WCCP2_I_SEE_YOU-bericht voor de servicegroep.

Dit is een voorbeeld van het bericht router/ASA 'I See You', dat laat zien dat de router zich aansluit bij servicegroep 91 en poorten 80, 8080 en 443 omleidt naar de webcacheserver:

116046-config-wccp-asa-05.jpg

Dit is een voorbeeld van een GRE-pakket:

116046-config-wccp-asa-06.jpg

Configureren

Opmerking: In redirect-list, zou de toegangslijst slechts netwerkadressen moeten bevatten. Poortspecifieke vermeldingen worden niet ondersteund.

Opmerking: Zie Cisco ASA 5500 Series Command Reference 8.2 voor meer informatie over de opdracht wcp

In deze procedure wordt beschreven hoe WCCP op een ASA kan worden geconfigureerd:

  1. Voer de wccp-opdracht in om het te verplaatsen-verkeer op te geven:

    wccp {web-cache | service_number} [redirect-list access_list] [group-list access_list] 
    [password password]
  2. Voer de wccp-opdracht in om de interface te specificeren waarop verkeersomleiding moet plaatsvinden:

    wccp interface interface_name {web-cache | service_number} redirect in

Opmerking: WCCP-omleiding wordt alleen ondersteund bij het betreden van een interface.

Dit is een voorbeeld van een ASA-configuratie:

access-list caching permit ip source_subnet mask any
wccp 90 redirect-list caching
wccp interface 90 redirect in
Helpful Commands:
show wccp
show wccp 90 service -> this should indicate the ports that are being serviced by this WCCP 
server. Without the 'service-flags ports-defined' in the Cache server configuration, the ports 
to be redirected are NOT passed to the ASA. Therefore, the traffic will never be redirected. 
This will result in 'Unassigned' increases with 'show wccp'.

ASA# show wccp 90 service

WCCP service information definition:
Type:          Dynamic
Id:            90
Priority:      0
Protocol:      6
Options:       0x00000013
--------
Hash:      SrcIP DstIP
Alt Hash:  -none-
Ports:     Destination:: 80 8080 0 0 0 0 0 0

ASA# show wccp 90 view

WCCP Routers Informed of:
X.X.X.X [Higher IP address on the device will be seen here]

WCCP Cache Engines Visible:
Y.Y.Y.Y [IP address of the web-cache server in the service-group 91]

Opmerking: Gebruik de Command Lookup Tool (alleen voor geregistreerde gebruikers) voor meer informatie over de opdrachten die in deze sectie worden gebruikt.

Verifiëren

Er is momenteel geen verificatieprocedure beschikbaar voor deze configuratie.

Problemen oplossen

Als de omleiding niet werkt zoals verwacht, gebruik deze uitgangen om problemen op te lossen. Al deze uitgangen zijn op ASA gericht.

  • laten zien dat technologie ondersteuning biedt
  • wccp weergeven [service|view|hash|bucket|detail]
  • asp-tabelclassificatie weergeven

Als de uitvoer van deze drie opdrachten er geldig uitziet, moet u mogelijk:

  • Controleer de juiste systemen.
  • Gebruik de opdracht Opname om opnamen te onderzoeken tussen de ASA-interface en de webcacheserver IP en opnamen te maken tussen de client en de webserver die deze probeert te bereiken.

De Output Interpreter Tool (alleen voor geregistreerde klanten) ondersteunt bepaalde opdrachten met show. Gebruik de Output Interpreter Tool om een analyse te bekijken van de output van de opdracht show.

Gerelateerde informatie

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
17-Mar-2013
Eerste vrijgave
TAC Authored

Bijgedragen door Cisco-engineers

  • Sourav Kakkar
    Cisco TAC Engineer.

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten