WCCP over ASA: Concepten, beperkingen en configuratie

Downloadopties

  • PDF     (268.3 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (88.6 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (74.8 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:31 mei 2013
Document-id:116046

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document beschrijft de concepten, beperkingen en configuratie van het Web Cache Coordination Protocol (WCCP) op een Cisco Adaptive Security Appliance (ASA). WCCP is een methode waarmee de ASA het verkeer kan omleiden naar een WCCP-caching-engine via een generieke routing-inkapselingstunnel (GRE).

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

  • Web Cache Communications Protocol (WCCP) versie 2 (v2)
  • Cisco Adaptive Security Appliances (ASA)
  • Cisco Adaptive Security Appliance (ASA)-software; lees configuratiehandleidingen voor compatibiliteit
  • Proxycaching
  • omleiding

Cisco raadt u ook aan om de beperkingen van WCCP-configuratie op de ASA te begrijpen, zoals uitgelegd in deze documenten:

Gebruikte componenten

De informatie in dit document is gebaseerd op het Web Cache Communications Protocol (WCCP) versie 2 (V2).

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Conventies

Raadpleeg Conventies voor technische tips van Cisco voor informatie over documentconventies.

WCCP en ASA Overzicht

De WCCP specificeert interacties tussen een of meer routers en een of meer webcaches. Het doel van de interactie is het vaststellen en onderhouden van de transparante omleiding van geselecteerde soorten verkeer die door een groep routers stromen. Het geselecteerde verkeer wordt omgeleid naar een groep webcaches om het gebruik van bronnen te optimaliseren en de responstijden te verlagen.

Voor WCCP kiest de ASA het hoogste IP-adres dat op een interface is geconfigureerd en gebruikt dat als de router-ID. Dit is precies hetzelfde proces dat Open Shortest Path First (OSPF) volgt voor de router-ID. Wanneer de ASA pakketten omleidt naar de cache-engine (CE), gebruikt de ASA de omleiding van het IP-adres van de router-ID (zelfs als het afkomstig is van een andere interface) en kapselt het pakket in een GRE-header.

De GRE-verbinding is unidirectioneel. De ASA kapselt omgeleide pakketten in GRE en stuurt deze naar de caching-engine. De ASA verwerkt geen GRE-ingekapselde reacties van de CE. De CE moet rechtstreeks communiceren met de interne host.

De werkstroom voor omleiding heeft de volgende stappen:

  1. De host gebruikt de standaardgateway van de ASA om de HTTP-verbinding te openen.
  2. De ASA leidt het pakket (ingekapseld in GRE) om naar de CE.
  3. De CE verifieert of werkt de cache voor de gevraagde site bij.
  4. De CE reageert rechtstreeks op de host.
    • Alle uitgaande pakketten van de host worden omgeleid van de ASA naar de CE.
    • Alle inkomende pakketten van de server naar de host worden van de CE naar de host geleid.

 116046-config-wccp-asa-01.jpg

De ASA implementeert WCCP V2. Als de server WCCP V2 ondersteunt, moet deze compatibel zijn.

WCCP-omleiding

WCCP V2 definieert mechanismen waarmee een of meer routers die zijn ingeschakeld voor transparante omleiding, connectiviteit met een of meer webcaches kunnen detecteren, verifiëren en adverteren. Dit zijn de stappen in WCCP omleiding:

  1. De gebruiker voert een URL in een browser in.
  2. De URL wordt doorgestuurd naar het Domain Name System (DNS) voor het oplossen van adressen.
  3. De URL wordt aangepast aan het IP-adres van de webserver.
  4. De client initieert een verbinding met de server met een SYN-verzoek.
  5. Op de actieve router onderschept de WCCP-webcacheservice het HTTP-verzoek (TCP-poort 80) en stuurt het verzoek door naar caches op basis van de geconfigureerde lastverdeling:
    • Als er een cache-hit is, reageert de CE op de oorspronkelijke GET met de gevraagde inhoud en gebruikt het IP-adres van de bron van de oorspronkelijke server in het antwoordpakket.
    • Als de gevraagde inhoud nog niet op de CE is opgeslagen, is er een cachemissie:
      1. De CE maakt verbinding met de oorspronkelijke server, gebruikt zijn eigen IP-adres als bron en verzendt de HTTP GET.
      2. De server reageert op CE met inhoud.
      3. De CE schrijft een kopie van de inhoud die in cache kan worden geplaatst naar de schijf.

WCCP-servicegroepen

Zodra de connectiviteit tot stand is gebracht, vormen de routers en webcaches servicegroepen om de omleiding van het verkeer af te handelen waarvan de kenmerken deel uitmaken van de definitie van de servicegroep.

Een webcache verzendt een WCCP2_HERE_I_AM-bericht met intervallen van 10 seconden naar elke router in de groep om lid te worden van een servicegroep en het lidmaatschap ervan te behouden. Het bericht kan worden verzonden via unicast naar elke router of via multicast naar het geconfigureerde multicast-adres van de servicegroep.

  • De component Web-Cache Identity Info in het WCCP2_HERE_I_AM-bericht identificeert de webcache aan de hand van het IP-adres.
  • De component Service Info van het WCCP2_HERE_I_AM-bericht identificeert en beschrijft de servicegroep waaraan de webcache wenst deel te nemen.
servicegroep Type Beschrijving
Service 0 webcache Web caching-service waarmee de ASA HTTP-verkeer kan omleiden naar de CE.
Dienst 53 DNS DNS-cachingservice waarmee de ASA DNS-clientverzoeken op transparante wijze naar de clientengine kan doorsturen.
Dienst 60 FTP-native Cachingservice waarmee de ASA native FTP-verzoeken op transparante wijze kan omleiden naar één poort op de content engine.
Dienst 70 https-cache Cachingdienst die de ASA in staat stelt om poort 443 TCP-verkeer te onderscheppen en dit HTTPS-verkeer om te leiden naar de content engine.
Dienst 80 RTSP Mediastreamingservice waarmee de ASA realtime streamingprotocol (RTSP)-clientverzoeken kan omleiden naar één poort op de content-engine.
Dienst 81 mmst Media caching service die de ASA toestaat om TCP-gebaseerde Microsoft Media Server (MMST) omleiding te gebruiken om Windows Media Technology (WMT) clientverzoeken te routeren naar TCP poort 1755 op de content engine.
Dienst 82 mmsu Media caching-service waarmee de ASA op UDP (User Datagram Protocol) gebaseerde Microsoft Media Server (MMSU)-omleiding kan gebruiken om WMT-clientverzoeken naar UDP-poort 1755 op de content engine te routeren.
Dienst 83 WMT-RTSP Mediastreamingdienst waarmee de ASA RTSP-verzoeken van Windows Media Service 9-clients kan omleiden naar UDP-poort 5005 op de CE.
Dienst 90-97 door de gebruiker configureerbaar Door de gebruiker gedefinieerde WCCP-services die maximaal acht poorten ondersteunen voor elke WCCP-service. Wanneer u deze door de gebruiker gedefinieerde services configureert, moet u opgeven of u het verkeer wilt omleiden naar de HTTP-cachingtoepassing, naar de HTTPS-toepassing of naar de streamingtoepassing op de content-engine.
Dienst 98 aangepaste webcache Cachingservice waarmee de ASA op transparante wijze HTTP-verkeer kan omleiden naar de content engine op meerdere andere poorten dan poort 80.
Dienst 99 reverse-proxy Cachingservice waarmee de ASA HTTP reverse proxy-verkeer kan omleiden naar de content-engine op poort 80.

Een servicegroep wordt geïdentificeerd aan de hand van het servicetype en de service-ID. Er zijn twee soorten servicegroepen:

  • Bekende diensten
  • Dynamische services

Bekende diensten zijn bekend bij zowel ASA als webcaches en vereisen geen andere beschrijving dan een Service ID.

Dynamische diensten moeten daarentegen worden beschreven aan een ASA. De ASA kan worden geconfigureerd om deel te nemen aan een bepaalde dynamische servicegroep, geïdentificeerd door Service ID, zonder enige kennis van de kenmerken van het verkeer dat aan die servicegroep is gekoppeld. De verkeersbeschrijving wordt aan de ASA meegedeeld in het WCCP2_HERE_I_AM-bericht van de eerste webcache om toe te treden tot de servicegroep. Een webcache gebruikt de velden Protocol, Servicevlaggen en Poort van de component Servicegegevens om een dynamische service te beschrijven. Zodra een dynamische dienst is gedefinieerd, verwijdert de ASA elk volgend WCCP2_HERE_I_AM-bericht dat een tegenstrijdige beschrijving bevat. De ASA verwijdert ook een WCCP2_HERE_I_AM-bericht dat een servicegroep beschrijft waarvoor het niet is geconfigureerd.

De nummers 0 tot en met 254 zijn dynamische services en de webcacheservice is een standaard of bekende service. Dit betekent dat wanneer de webcacheservice is opgegeven, het WCCP V2-protocol vooraf heeft gedefinieerd dat het TCP-bestemmingspoort 80-verkeer moet worden omgeleid. Voor de nummers 0 tot en met 254 vertegenwoordigt elk nummer een dynamische servicegroep. De WCCP-CE's (zoals Bluecoat) moeten een reeks protocollen en poorten definiëren die voor elke servicegroep moeten worden omgeleid. Wanneer vervolgens de ASA is geconfigureerd met hetzelfde servicegroepnummer (wccp 0 ... of wccp 1 ...), voert de ASA omleiding uit op de opgegeven protocollen en poorten zoals aangegeven door het Bluecoat-apparaat.

Dit is een voorbeeld van Web-Cache Identity Info:

116046-config-wccp-asa-02.jpg

Dit is een voorbeeld dat laat zien dat de webcache deel uitmaakt van servicegroep 0:

116046-config-wccp-asa-03.jpg

Dit is een voorbeeld van een webcacheserver die deel uitmaakt van klantenservicegroep 91 en de poorten waarvan het verkeer naar de server wordt omgeleid:

116046-config-wccp-asa-04.jpg

ASA reageert op een WCCP2_HERE_I_AM bericht met een WCCP2_I_SEE_YOU bericht.

  • Als het WCCP2_HERE_I_AM-bericht unicast was, reageert de router onmiddellijk met een unicast WCCP2_I_SEE_YOU-bericht.
  • Als het WCCP2_HERE_I_AM-bericht multicast was, reageert de router met het geplande multicast WCCP2_I_SEE_YOU-bericht voor de servicegroep.

Dit is een voorbeeld van het bericht 'I See You' van de router/ASA, waaruit blijkt dat de router zich aansluit bij servicegroep 91 en de poorten 80, 8080 en 443 doorstuurt naar de webcacheserver:

116046-config-wccp-asa-05.jpg

Dit is een voorbeeld van een GRE-pakket:

116046-config-wccp-asa-06.jpg

Configureren

Opmerking: In de lijst met omleidingen mag de toegangslijst alleen netwerkadressen bevatten. Poortspecifieke items worden niet ondersteund.

Opmerking: Zie Cisco ASA 5500 Series Command Reference, 8.2 voor meer informatie over de opdracht wccp

In deze procedure wordt beschreven hoe WCCP op een ASA kan worden geconfigureerd:

  1. Voer de opdracht wccp in om het verkeer op te geven dat moet worden omgeleid:

    wccp {web-cache | service_number} [redirect-list access_list] [group-list access_list] 
    [password password]
  2. Voer de opdracht wccp in om de interface op te geven waarop het verkeer moet worden omgeleid:

    wccp interface interface_name {web-cache | service_number} redirect in

Opmerking: WCCP-omleiding wordt alleen ondersteund bij het binnendringen van een interface.

Dit is een voorbeeld van een ASA-configuratie:

access-list caching permit ip source_subnet mask any
wccp 90 redirect-list caching
wccp interface 90 redirect in
Helpful Commands:
show wccp
show wccp 90 service -> this should indicate the ports that are being serviced by this WCCP 
server. Without the 'service-flags ports-defined' in the Cache server configuration, the ports 
to be redirected are NOT passed to the ASA. Therefore, the traffic will never be redirected. 
This will result in 'Unassigned' increases with 'show wccp'.

ASA# show wccp 90 service

WCCP service information definition:
Type:          Dynamic
Id:            90
Priority:      0
Protocol:      6
Options:       0x00000013
--------
Hash:      SrcIP DstIP
Alt Hash:  -none-
Ports:     Destination:: 80 8080 0 0 0 0 0 0

ASA# show wccp 90 view

WCCP Routers Informed of:
X.X.X.X [Higher IP address on the device will be seen here]

WCCP Cache Engines Visible:
Y.Y.Y.Y [IP address of the web-cache server in the service-group 91]

Opmerking: gebruik de opzoekfunctie voor opdrachten (alleen geregistreerde klanten) om meer informatie te verkrijgen over de opdrachten die in deze sectie worden gebruikt.

Verifiëren

Er is momenteel geen verificatieprocedure beschikbaar voor deze configuratie.

Problemen oplossen

Als omleiding niet werkt zoals verwacht, gebruikt u deze uitgangen om problemen op te lossen. Al deze uitgangen zijn op ASA.

  • Toon technische ondersteuning
  • WCCP [Service|View|Hash|Bucket|Detail] weergeven
  • ASP-tabelclassificatie weergeven

Als de uitvoer van deze drie opdrachten er geldig uitziet, moet u mogelijk:

  • Controleer de juiste syslogs.
  • Gebruik de opdracht vastleggen om vastleggingen tussen de ASA-interface en de webcacheserver te onderzoeken en IP-vastleggingen tussen de client en de webserver waartoe deze probeert toegang te krijgen.

De Output Interpreter Tool (alleen voor geregistreerde klanten) ondersteunt bepaalde opdrachten met show. Gebruik de Output Interpreter Tool om een analyse te bekijken van de output van de opdracht show.

Gerelateerde informatie

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
17-Mar-2013
Eerste vrijgave
TAC Authored

Bijgedragen door Cisco-engineers

  • Sourav Kakkar
    Cisco TAC Engineer.

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten