WCCP op FTD configureren en problemen oplossen met behulp van vooraf gedefinieerde sjabloon

Inleiding

Dit document beschrijft de stappen voor de configuratie en probleemoplossing van WCCP op FTD.

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• Web Cache Communications Protocol (WCCP) versie 2 (v2)
• Firepower Management Center (FMC)
• Firepower Threat Defense (FTD)

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• Secure Firewall Management Center (FMCv) v7.4.2
• Secure Firewall Threat Defense Virtual (FTDv) v7.4.2

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Configureren

Web Cache Communication Protocol (WCCP) wordt gebruikt om webverkeer naar een cacheserver te verwijzen. Het wordt meestal geïmplementeerd in netwerkapparaten zoals Cisco-routers en -firewalls om HTTP-, HTTP- en FTD-over-HTTP-verzoeken naar een proxyserver te sturen.

WCCP is beschikbaar in verschillende versies, waaronder WCCP v1, v2 en v3, waarbij elke versie verbeterde functies en schaalbaarheid biedt.

Hoe het werkt

• Gebruiker machine Win10-0 doet een HTTPS-verzoek.
• Hier is de FTD Firewall de gateway voor de gebruiker-pc. Het ontvangt het HTTP/HTTPS-verzoek.
• FTD begrijpt dat de bestemmingshaven 443 is en leidt het verkeer naar DMZ om
• DMZ kapselt het pakket met GRE in en verstuurt het verzoek naar de Proxyserver. 
• Proxyserver kijkt in zijn cache of start een nieuwe verbinding met de oorspronkelijke server en reageert direct op de gebruikersmachine. 

Netwerkdiagram

Netwerktopologie

Configuraties

Deze stappen tonen de configuratie voor WCCP op FMC aan. Het verkeer met poort 80 en 443 moet worden omgeleid van de Inside zone naar de DMZ zone.

Opmerking: Het document beschrijft de stappen voor dynamische service-id. De poortinformatie is van de WCCP-client geleerd.

Stap 1: Log in op FMC GUI en navigeer naar Object > Objectbeheer > Toegangslijst > Uitgebreid > Uitgebreide toegangslijst toevoegen.

Maak twee uitgebreide toegangslijsten. 

1) Maak een toegangslijst aan om gebruikersverkeer om te leiden en klik op Opslaan.

Gebruikersverkeer omleiden

Opmerking: Deze toegangslijst zorgt ervoor dat u Action Block hebt voor verkeer dat van WCCP-client naar FTD komt om loop in het netwerk te voorkomen. 

Daarnaast kunt u een andere verklaring met Action Block maken om ervoor te zorgen dat de communicatie tussen interne hosts niet naar proxyserver wordt verzonden. 

De definitieve verklaring moet al ander verkeer toestaan dat voor omleiding aan de volmacht in aanmerking komt.

2) Maak een toegangslijst om de WCCP-client te identificeren en klik op Opslaan.

Toegangslijst om de WCCP-client te identificeren

Opmerking: De configuratie van een uitgebreide toegangslijst met de IP-adressen van de WCCP-server.

Stap 2: Navigeer naar Object > Objectbeheer > FlexConfig > Tekstobject > Tekstobject toevoegen om WCCP-service en -opslag toe te voegen.

WCCP-serviceobject maken

Opmerking: In dit voorbeeld is de service-id 97. U wordt aangeraden een Service-ID tussen 90 en 97 te selecteren, aangezien dit aangepaste service-ID’s zijn die doorgaans niet in strijd zijn met andere service-ID’s die aan specifieke protocollen zijn toegewezen.

Raadpleeg voor meer informatie WCCP op ASA: Concepten, beperkingen en configuratie

Stap 3:

• Navigeer naar Object > Objectbeheer > FlexConfig > Tekstobject en zoek naar isServiceIdentifer. 

Zoeken naar isServiceIdentifer

• Wijzig isServiceIdentifer van vals naar waar. 
• isServiceIdentifer - Bij fout wordt de standaard web-cacheservice identifier gebruikt. Raadpleeg de configuratiehandleiding van het document Firepower Management Center

Wijzig de waarde van vals naar waar

Opmerking: Daarnaast kunt u een door de gebruiker gedefinieerd Tekstobject maken dat in stap 2 wordt weergegeven.

Stap 4: 

• Navigeer naar Object > Objectbeheer > Flex Config > FlexConfig Object.
• Zoeken naar trefwoord wccp.
• Klik op de kloonoptie voor de WCCP_Configure sjabloon.

De wccp_fig sjabloon klonen

Opmerking: Het object FlexConfig heeft een vooraf gedefinieerde sjabloon: WCCP_Configure. De sjabloon kan niet aan het apparaat worden gekoppeld. Je moet het klonen.

Stap 5: 

• Verwijder de $serviceIdentifier variabelen uit de derde regel en geef je eigen variabele op.

De service-ID verwijderen

• Plaats de Text Object-Service als de variabele die in stap 2 is gemaakt.
• Selecteer in het vervolgkeuzemenu Invoegen > Beleidsobject invoegen > Tekstobject

Voer het wcp-service object als variabele in

• Verleen variabele Namewcp-service.
• Zoeken naar wccp-service-object in beschikbaar object. 
• Voeg het object toe en sla het op.

WCCP-service object toevoegen

Stap 6: 

• Kopieer de wccpGroupList variabele naam en geef uw eigen variabele.

Vooraf gedefinieerde wccpGroupList-variabele verwijderen

• Van vervolgkeuzemenu Invoegen > Beleidsobject invoegen > Uitgebreid ACL-object.

WCCP-groepslijst uitgebreid ACL toevoegen

• Plakt de naam wccpGroupList die u in de vorige stap in sectie Variabele Naam hebt gekopieerd.
• Zoeken naar WCCP-CLIENT in beschikbare objecten die in stap 1 zijn gemaakt.
• Voeg en bewaar deze.

Uitgebreide lijst met WCCP-CLIENT toevoegen

Stap 7:  

• Selecteer wccpRedirectList om uw eigen variabele te kopiëren en te verstrekken.

WCCPredirectList verwijderen

• Selecteer in het vervolgkeuzemenu Invoegen > Beleidsobject invoegen > Uitgebreid ACL-object .

Selecteer uitgebreid ACL-object voor wccpRedirectList

• Plakt wccpRedirectList in variabele naam.
• Zoeken naar Redirect_traffic in beschikbaar object.  
• Selecteer Add en Save it.

Redirect_traffic ACL toevoegen

Stap 8:

• @wccpPassword verwijderen

Het vooraf gedefinieerde wcppassword verwijderd

• Selecteer de toets in het uitrolmenu Invoegen > Secret Key invoegen.

Selecteer geheime sleutel

• Klik op Geheime sleutel toevoegen.

Voeg geheime sleutel toe

• Voer een naam in bij de naam van de geheime sleutel.
• Voer het wachtwoord in.
• Voer hetzelfde wachtwoord in Wachtwoord bevestigen en klik op Toevoegen.

Door gebruiker gedefinieerde geheime sleutel toevoegen

Opmerking: In dit voorbeeld, de binneninterface behoort tot Security Zone in.

Stap 9:

• Kopieer de vooraf gedefinieerde security-zone en vervang de $ security-zone door uw eigen variabele.

Kopieert de naam security-zone.

• Selecteer Beveiligingszones in het vervolgkeuzemenu en invoegen > Beleidsobject invoegen. 

Selecteer de beveiligingszone

• Plakt de variabele Naam als veiligheidszone.
• Selecteer uit de lijst Beschikbare objecten de interface die u wilt toevoegen.
• Klik op Save (Opslaan).

De veiligheidszone toevoegen

Stap 10: 

• Navigeer naar Apparaten > FlexConfig, klik op Nieuw beleid of bewerk een bestaand beleid.
• Selecteer het geconfigureerde WCCP_Configure_clone object en klik > om het toe te wijzen.
• Klik op Save (Opslaan). 

Opmerking: Voor een Nieuw Beleid, zorg ervoor dat u het Beleid aan FTD-apparaat toewijst. Voor een bestaand beleid moet het beleid al toegewezen zijn. 

Wijs de geconfigureerde FlexConfig aan een apparaat toe

Stap 11: Navigeer naar Implementeren > Selecteer het FTD-apparaat > klik op Implementeren.

Verifiëren

Stap 1: Controleer de actieve configuratie.

Log in op FTD CLI en voer de opdracht show running-config wccpuit.

Configuratievoorbeeld: 

wccp 97 redirect-list Redirect_traffic group-list WCCP-CLIENT password *****
wccp interface inside 97 redirect in

Om er zeker van te zijn dat de configuratie het juiste wachtwoord heeft, voert u de opdrachten uit.

1) system support diagnostic-cli

2) enable

3) Druk op Enter zonder wachtwoord

4) more system:running-config | include wccp

Stap 2: Controleer de WCCP-status

De opdracht uitvoeren  show wccp

Global WCCP information:
    Router information:
        Router Identifier:                   -not yet determined-
        Protocol Version:                    2.0

    Service Identifier: 97
        Number of Cache Engines:             1
        Number of routers:                   2
        Total Packets Redirected:            0
        Redirect access-list:                Redirect_traffic
        Total Connections Denied Redirect:   0
        Total Packets Unassigned:            0
        Group access-list:                   WCCP-CLIENT
        Total Messages Denied to Group:      0
        Total Authentication failures:       0
        Total Bypassed Packets Received:     0

 De opdracht uitvoeren wccp 97-service tonen 

WCCP service information definition:
        Type:          Dynamic
        Id:            97
        Priority:      240
        Protocol:      6
        Options:       0x00000012
        --------
            Hash:      DstIP 
            Alt Hash:  -none-
            Ports:     Destination:: 80 443 0 0 0 0 0 0

Opmerking: Hier is 97 de service-id. Zorg ervoor dat u het poortnummer kunt zien dat u hebt geleerd van WCCP-client in poorten: deel.

3) Run the command show wccp 97 view

Problemen oplossen

Stap 1: Controleer of FTD de route heeft van dezelfde interface die het WCCP-verzoek van de Proxyserver heeft ontvangen.

In dit voorbeeld wordt verkeer naar de mz-interface omgeleid. 

>show route
S        10.xx.xx.xx 255.yyy.yyy.yyy [1/0] via 10.zz.zz.z, dmz

Opmerking: Hier 10.xx.xx.xx is proxy server IP, 255.yyy.yyy.yyy is Netmask,  10.zz.zz.z is de volgende hop gateway.

Stap 2: Neem de opnamen binnen en dmz-interface om er zeker van te zijn dat het verkeer wordt omgeleid. 

Opname op Inside interface voor poort 443

capture capinside interface inside trace detail  match tcp any any eq 443

Opname op dmz-interface: 

capture capdmz interface dmz trace detail match gre any any

Opmerking: Op de dmz interface moet u filteren met GRE-protocol. Het redirect pakket is ingekapseld in GRE pakket naar wccp client.

Stap 3: Debug voor wccp

Voer de opdrachten uit:

debug wccp event debu wccp packet

De Cisco-bug IDCSCvn90518 is verhoogd zodat de ondersteuning van de FDM en FMC native mode is voor WCCP-configuratie.