WCCP no ASA: Conceitos, limitações e configuração

Opções de download

  • PDF     (270.3 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (88.4 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (74.7 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:31 de maio de 2013
ID do documento:116046

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento descreve os conceitos, as limitações e a configuração do Web Cache Coordination Protocol (WCCP) em um Cisco Adaptive Security Appliance (ASA). O WCCP é um método pelo qual o ASA pode redirecionar o tráfego para um mecanismo de cache do WCCP através de um túnel de encapsulamento de roteamento genérico (GRE - Generic Routing Encapsulation).

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

  • Protocolo de Comunicação de Cache de Web (WCCP - Web Cache Communications Protocol) versão 2 (v2)
  • Cisco Adaptive Security Appliances (ASA)
  • Software Cisco Adaptive Security Appliance (ASA); Leia os Guias de configuração para obter informações sobre compatibilidade
  • Cache de proxy
  • Redirecionamento

A Cisco também recomenda que você compreenda as limitações da configuração do WCCP no ASA, conforme explicado nestes documentos:

Componentes Utilizados

As informações neste documento são baseadas no Web Cache Communications Protocol (WCCP) versão 2 (V2).

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter informações sobre convenções de documentos.

Visão geral de WCCP e ASA

O WCCP especifica interações entre um ou mais roteadores e um ou mais caches da Web. A finalidade da interação é estabelecer e manter o redirecionamento transparente de tipos selecionados de tráfego que fluem por um grupo de roteadores. O tráfego selecionado é redirecionado para um grupo de caches da Web para otimizar o uso de recursos e reduzir os tempos de resposta.

Para o WCCP, o ASA escolhe o maior endereço IP configurado em uma interface e o usa como ID do roteador. Esse é exatamente o mesmo processo que o OSPF (Open Shortest Path First) segue para o ID do roteador.  Quando o ASA redireciona os pacotes para o mecanismo de cache (CE), o ASA origina o redirecionamento do endereço IP do ID do roteador (mesmo se ele tiver origem em uma interface diferente) e encapsula o pacote em um cabeçalho GRE.

A conexão GRE é unidirecional. O ASA encapsula pacotes redirecionados em GRE e os envia para o mecanismo de cache. O ASA não processa nenhuma resposta encapsulada por GRE do CE. O CE precisa se comunicar diretamente com o host interno.

O fluxo de trabalho para redirecionamento tem estas etapas:

  1. O host usa o gateway padrão do ASA para abrir a conexão HTTP.
  2. O ASA redireciona o pacote (encapsulado em GRE) para o CE.
  3. O CE verifica ou atualiza o cache para o site solicitado.
  4. O CE responde diretamente ao host.
    • Todos os pacotes de saída do host são redirecionados do ASA para o CE.
    • Todos os pacotes de entrada do servidor para o host são direcionados do CE para o host.

 116046-config-wccp-asa-01.jpg

O ASA implementa o WCCP V2. Se o servidor suportar o WCCP V2, ele deverá ser compatível.

Redirecionamento de WCCP

O WCCP V2 define mecanismos que permitem que um ou mais roteadores habilitados para redirecionamento transparente descubram, verifiquem e anunciem conectividade a um ou mais caches da Web. Estas são as etapas no redirecionamento de WCCP:

  1. O usuário insere um URL em um navegador.
  2. A URL é encaminhada ao DNS (Domain Name System) para a resolução de endereços.
  3. A URL é resolvida para o endereço IP do servidor Web.
  4. O cliente inicia uma conexão com o servidor com uma solicitação SYN.
  5. No roteador ativo, o serviço de cache da Web do WCCP intercepta a solicitação HTTP (porta TCP 80) e redireciona a solicitação para caches com base na distribuição de carga configurada:
    • Se houver um acerto de cache, o CE responde ao GET original com o conteúdo solicitado e usa o endereço IP origem do servidor de origem no pacote de resposta.
    • Se o conteúdo solicitado ainda não estiver armazenado no CE, há um erro de cache:
      1. O CE estabelece uma conexão com o servidor de origem, usa seu próprio endereço IP como origem e envia o HTTP GET.
      2. O servidor responde ao CE com conteúdo.
      3. O CE grava uma cópia do conteúdo armazenável em cache no disco.

Grupos de serviços do WCCP

Uma vez estabelecida a conectividade, os roteadores e os caches da Web formam grupos de serviço para lidar com o redirecionamento de tráfego cujas características fazem parte da definição do grupo de serviço.

Um cache da Web transmite uma mensagem WCCP2_HERE_I_AM a cada roteador do grupo em intervalos de 10 segundos para ingressar e manter sua associação a um grupo de serviços. A mensagem pode ser enviada por unicast para cada roteador ou por multicast para o endereço multicast do grupo de serviço configurado.

  • O componente Web-Cache Identity Info na mensagem WCCP2_HERE_I_AM identifica o cache da Web pelo endereço IP.
  • O componente Informações de serviço da mensagem WCCP2_HERE_I_AM identifica e descreve o grupo de serviço no qual o cache da Web deseja participar.
Grupo de serviços Tipo Descrição
Serviço 0 Cache da Web Serviço de cache da Web que permite que o ASA redirecione o tráfego HTTP para o CE.
Serviço 53 DNS Serviço de cache DNS que permite que o ASA redirecione solicitações de cliente DNS de forma transparente para o mecanismo do cliente.
Serviço 60 FTP-nativo Serviço de cache que permite que o ASA redirecione solicitações nativas de FTP de forma transparente para uma única porta no mecanismo de conteúdo.
Serviço 70 https-cache Serviço de cache que permite que o ASA intercepte o tráfego TCP da porta 443 e redirecione esse tráfego HTTPS para o mecanismo de conteúdo.
Serviço 80 rtsp Serviço de fluxo contínuo de mídia que permite que o ASA redirecione solicitações de clientes RTSP (Real Time Streaming Protocol) para uma única porta no mecanismo de conteúdo.
Serviço 81 mmst Serviço de cache de mídia que permite que o ASA use o redirecionamento do Microsoft Media Server (MMST) baseado em TCP para rotear as solicitações do cliente WMT (Windows Media Technology) para a porta TCP 1755 no mecanismo de conteúdo.
Serviço 82 mmsu Serviço de cache de mídia que permite que o ASA use o redirecionamento do Microsoft Media Server (MMSU) baseado no User Datagram Protocol (UDP) para rotear solicitações de clientes WMT para a porta UDP 1755 no mecanismo de conteúdo.
Serviço 83 wmt-rtsp Serviço de streaming de mídia que permite ao ASA redirecionar solicitações RTSP de clientes do Windows Media Service 9 para a porta UDP 5005 no CE.
Serviço 90-97 configurável pelo usuário Serviços WCCP definidos pelo usuário que suportam até oito portas para cada serviço WCCP. Ao configurar esses serviços definidos pelo usuário, você deve especificar se o tráfego deve ser redirecionado para o aplicativo de cache HTTP, para o aplicativo HTTPS ou para o aplicativo de streaming no mecanismo de conteúdo.
Serviço 98 custom-web-cache Serviço de cache que permite que o ASA redirecione de forma transparente o tráfego HTTP para o mecanismo de conteúdo em várias portas diferentes da porta 80.
Serviço 99 proxy reverso Serviço de cache que permite que o ASA redirecione o tráfego de proxy reverso HTTP para o mecanismo de conteúdo na porta 80.

Um grupo de serviços é identificado por Tipo de serviço e ID de serviço. Existem dois tipos de grupos de serviços:

  • Serviços bem conhecidos
  • Serviços dinâmicos

Os serviços conhecidos são conhecidos tanto pelo ASA quanto pelos caches da Web e não exigem uma descrição diferente de uma ID de serviço.

Por outro lado, os serviços dinâmicos devem ser descritos em um ASA. O ASA pode ser configurado para participar de um grupo de serviço dinâmico específico, identificado pela ID de serviço, sem nenhum conhecimento das características do tráfego associado a esse grupo de serviço. A descrição do tráfego é comunicada ao ASA na mensagem WCCP2_HERE_I_AM do primeiro cache da Web para ingressar no grupo de serviço. Um cache da Web usa os campos Protocolo, Sinalizadores de serviço e Porta do componente Informações de serviço para descrever um serviço dinâmico. Depois que um serviço dinâmico tiver sido definido, o ASA descartará qualquer mensagem WCCP2_HERE_I_AM subsequente que contenha uma descrição conflitante. O ASA também descarta uma mensagem WCCP2_HERE_I_AM que descreve um grupo de serviço para o qual não foi configurado.

Os números de 0 a 254 são serviços dinâmicos e o serviço de cache da Web é um serviço padrão ou bem conhecido. Isso significa que quando o serviço de cache da Web é especificado, o protocolo WCCP V2 predefiniu que o tráfego da porta 80 de destino TCP deve ser redirecionado. Para os números de 0 a 254, cada número representa um grupo de serviço dinâmico. Os WCCP CEs (como Bluecoat) definem um conjunto de protocolos e portas que devem ser redirecionados para cada grupo de serviço. Em seguida, quando o ASA é configurado com o mesmo número de grupo de serviço (wccp 0 ... ou wccp 1 ...), o ASA executa o redirecionamento nos protocolos e portas especificados conforme orientado pelo dispositivo Bluecoat.

Este é um exemplo que mostra as Informações de Identidade do Cache da Web:

116046-config-wccp-asa-02.jpg

Este é um exemplo que mostra que o cache da Web faz parte do grupo de serviço 0:

116046-config-wccp-asa-03.jpg

Este é um exemplo que mostra um servidor de cache da Web como parte do grupo de atendimento ao cliente 91 e as portas cujo tráfego é redirecionado para o servidor:

116046-config-wccp-asa-04.jpg

O ASA responde a uma mensagem WCCP2_HERE_I_AM com uma mensagem WCCP2_I_SEE_YOU.

  • Se a mensagem WCCP2_HERE_I_AM foi unicast, o roteador responde imediatamente com uma mensagem unicast WCCP2_I_SEE_YOU.
  • Se a mensagem WCCP2_HERE_I_AM foi multicast, o roteador responde com a mensagem multicast programada WCCP2_I_SEE_YOU para o grupo de serviço.

Este é um exemplo da mensagem do roteador/ASA 'Eu vejo você', que mostra que o roteador ingressa no grupo de serviço 91 e redireciona as portas 80, 8080 e 443 para o servidor de cache da Web:

116046-config-wccp-asa-05.jpg

Este é um exemplo de um pacote GRE:

116046-config-wccp-asa-06.jpg

Configurar

Note: Na lista de redirecionamento, a lista de acesso deve conter apenas endereços de rede. Não há suporte para entradas específicas de porta.

Note: Para obter mais informações sobre o comando wccp, consulte Referência de Comandos do Cisco ASA 5500 Series, 8.2

Este procedimento descreve como configurar o WCCP em um ASA:

  1. Insira o comando wccp para especificar o tráfego a ser redirecionado:

    wccp {web-cache | service_number} [redirect-list access_list] [group-list access_list] 
    [password password]
  2. Insira o comando wccp para especificar a interface na qual o redirecionamento de tráfego deve ocorrer:

    wccp interface interface_name {web-cache | service_number} redirect in

Note: O redirecionamento de WCCP é suportado apenas no ingresso de uma interface.

Este é um exemplo de uma configuração ASA:

access-list caching permit ip source_subnet mask any
wccp 90 redirect-list caching
wccp interface 90 redirect in
Helpful Commands:
show wccp
show wccp 90 service -> this should indicate the ports that are being serviced by this WCCP 
server. Without the 'service-flags ports-defined' in the Cache server configuration, the ports 
to be redirected are NOT passed to the ASA. Therefore, the traffic will never be redirected. 
This will result in 'Unassigned' increases with 'show wccp'.

ASA# show wccp 90 service

WCCP service information definition:
Type:          Dynamic
Id:            90
Priority:      0
Protocol:      6
Options:       0x00000013
--------
Hash:      SrcIP DstIP
Alt Hash:  -none-
Ports:     Destination:: 80 8080 0 0 0 0 0 0

ASA# show wccp 90 view

WCCP Routers Informed of:
X.X.X.X [Higher IP address on the device will be seen here]

WCCP Cache Engines Visible:
Y.Y.Y.Y [IP address of the web-cache server in the service-group 91]

Note: Use a Command Lookup Tool ( somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Verificar

No momento, não há procedimento de verificação disponível para esta configuração.

Troubleshooting

Se o redirecionamento não funcionar como esperado, use essas saídas para solucionar o problema. Todas essas saídas estão no ASA.

  • show tech-support
  • show wccp [service|view|hash|bucket|detail]
  • show asp table classify

Se a saída desses três comandos parecer válida, talvez seja necessário:

  • Revise os syslogs apropriados.
  • Use o comando capture para investigar capturas entre a interface do ASA e o IP do servidor de cache da Web e capturas entre o cliente e o servidor da Web que ele está tentando acessar.

A ferramenta Output Interpreter (exclusiva para clientes registrados) é compatível com alguns comandos de exibição.. Use a ferramenta Output Interpreter para visualizar uma análise do resultado gerado pelo comando show..

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
17-Mar-2013
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

  • Sourav Kakkar
    Cisco TAC Engineer.

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos