WCCP-sessie aan de router/schakelaar, maar browsen gebeurt niet vanwege routeproblemen

Vraag:

WCCP-sessie aan de router/schakelaar, maar browsen gebeurt niet vanwege routeproblemen

Milieu:

Cisco web security applicatie
Catalyst-switch, -router, ASA

Symptomen:

WCCP-sessie is actief maar browsen werkt niet.

In bepaalde omstandigheden kan de Cisco web security applicatie met de router praten maar is het mogelijk dat het clientverkeer niet verloopt. We zouden zien dat er een WCCP-sessie is begonnen, maar er is nog steeds geen browsing gaande.

De configuratie van WCCP op de Catalyst-schakelaar is minimaal (de vervolgkeuzelijst is niet geschikt voor deze discussie, maar is hier gereproduceerd vanwege de volledigheid):

IP WCP 91 redirect-list 130 groep-lijst 30

interface-VLAN20
beschrijving client VLAN 20
ip-adres 192.168.20.1 255.255.255.0
ip wcp 91 omleiden in

toegangslijst 30 vergunningen 10.66.71.17
toegangslijst 130 vergunningsip elke host 192.168.20.103 log
toegangslijst 130 vergunningen ip-host 192.168.20.103 elk logboek

We zouden zien dat WCCP er op staat:

Switch#sh ip wcp 91 d
WCCP-clientinformatie:

        WCCP-client-ID:          10.66.71.17
        Protocolversie:        2.0
        Staat:                   bruikbaar       
        omleiding:             L2
        Terug pakket:           L2
        Pakketten opnieuw gericht:      0
        Connect-tijd:            00:12:49
        Toewijzing:              MASKER

Maar browsen zou niet kunnen doorgaan.

Het probleem ligt bij de routeconconfiguratie op het Cisco-web security applicatie. Bijvoorbeeld, zou de Cisco Web Security applicatie geen route kunnen hebben om terug te keren naar VLAN 20. De niet-werkende routeconconfiguratie is als volgt:

Het probleem wordt meestal gezien als er slechts één interface (M1) wordt gebruikt voor de Cisco Web Security Appliance voor zowel beheer als gegevensverkeer. In het bovenstaande voorbeeld, hebben we route naar VLAN 30 door de tweede ingang en route naar WCCP apparaat door derde ingang en een standaardroute naar 10.66.71.1 voor alle andere netwerken. Als 10.66.71.1 echter de gateway naar het internet is maar niet weet hoe u naar 192.168.20.0/24 moet leiden, zal de routing mislukken en kunnen de browsers niet bladeren.

Een simpele pingtest zou laten zien of we een route naar de cliënt hebben.

s650a.lab (SERVICE)> ping 192.168.20.103

Druk op Ctrl-C om te stoppen.
PING 192.168.20.103 (192.168.20.103): 56 data bytes
^C— 192.168.20.103 pingstatistieken —
17 verzonden pakketten, 0 ontvangen pakketten, 100% pakketverlies

De oplossing voor dit probleem is om in een route op het Web Security Appliance van Cisco terug naar de client VLAN’s toe te voegen.  Dit kan worden gedaan door:

WebeiUI > Network > Route > Add Route 

Na het toevoegen van dit, zouden pings van de Cisco Web Security applicatie aan de client moeten stromen en we zouden moeten zien doorbladeren vanuit de clients in VLAN 20 (host 192.168.20.103 in dit voorbeeld).

s650a.lab (SERVICE)> ping 192.168.20.103

Druk op Ctrl-C om te stoppen.PING 192.168.20.103 (192.168.20.103): 56 data bytes
64 bytes van 192.168.20.103: icmp_seq=0 ttl=127 tijd=0,835 ms
64 bytes van 192.168.20.103: icmp_seq=1 ttl=127 tijd=0,343 ms

^C— 192.168.20.103 pingstatistieken —
2 verzonden pakketten, 2 ontvangen pakketten, 0% pakketverlies
retourvlucht min/avg/max/stddev = 0,343/0,589/0,835/0,246 ms

Houd er rekening mee dat het verwijst naar een herhaling dat dit een van de redenen is dat browsen mogelijk mislukt. Er kunnen andere redenen zijn waarom WCCP er op staat, maar het browsen zou niet werken, maar dit is een van de meest voorkomende problemen.