Este documento descreve os conceitos, as limitações e a configuração do Web Cache Coordination Protocol (WCCP) em um Cisco Adaptive Security Appliance (ASA). O WCCP é um método pelo qual o ASA pode redirecionar o tráfego para um mecanismo de cache do WCCP através de um túnel de encapsulamento de roteamento genérico (GRE - Generic Routing Encapsulation).
A Cisco recomenda que você tenha conhecimento destes tópicos:
A Cisco também recomenda que você compreenda as limitações da configuração do WCCP no ASA, conforme explicado nestes documentos:
As informações neste documento são baseadas no Web Cache Communications Protocol (WCCP) versão 2 (V2).
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.
Consulte as Convenções de Dicas Técnicas da Cisco para obter informações sobre convenções de documentos.
O WCCP especifica interações entre um ou mais roteadores e um ou mais caches da Web. A finalidade da interação é estabelecer e manter o redirecionamento transparente de tipos selecionados de tráfego que fluem por um grupo de roteadores. O tráfego selecionado é redirecionado para um grupo de caches da Web para otimizar o uso de recursos e reduzir os tempos de resposta.
Para o WCCP, o ASA escolhe o maior endereço IP configurado em uma interface e o usa como ID do roteador. Esse é exatamente o mesmo processo que o OSPF (Open Shortest Path First) segue para o ID do roteador. Quando o ASA redireciona os pacotes para o mecanismo de cache (CE), o ASA origina o redirecionamento do endereço IP do ID do roteador (mesmo se ele tiver origem em uma interface diferente) e encapsula o pacote em um cabeçalho GRE.
A conexão GRE é unidirecional. O ASA encapsula pacotes redirecionados em GRE e os envia para o mecanismo de cache. O ASA não processa nenhuma resposta encapsulada por GRE do CE. O CE precisa se comunicar diretamente com o host interno.
O fluxo de trabalho para redirecionamento tem estas etapas:
O ASA implementa o WCCP V2. Se o servidor suportar o WCCP V2, ele deverá ser compatível.
O WCCP V2 define mecanismos que permitem que um ou mais roteadores habilitados para redirecionamento transparente descubram, verifiquem e anunciem conectividade a um ou mais caches da Web. Estas são as etapas no redirecionamento de WCCP:
Uma vez estabelecida a conectividade, os roteadores e os caches da Web formam grupos de serviço para lidar com o redirecionamento de tráfego cujas características fazem parte da definição do grupo de serviço.
Um cache da Web transmite uma mensagem WCCP2_HERE_I_AM a cada roteador do grupo em intervalos de 10 segundos para ingressar e manter sua associação a um grupo de serviços. A mensagem pode ser enviada por unicast para cada roteador ou por multicast para o endereço multicast do grupo de serviço configurado.
Grupo de serviços | Tipo | Descrição |
Serviço 0 | Cache da Web | Serviço de cache da Web que permite que o ASA redirecione o tráfego HTTP para o CE. |
Serviço 53 | DNS | Serviço de cache DNS que permite que o ASA redirecione solicitações de cliente DNS de forma transparente para o mecanismo do cliente. |
Serviço 60 | FTP-nativo | Serviço de cache que permite que o ASA redirecione solicitações nativas de FTP de forma transparente para uma única porta no mecanismo de conteúdo. |
Serviço 70 | https-cache | Serviço de cache que permite que o ASA intercepte o tráfego TCP da porta 443 e redirecione esse tráfego HTTPS para o mecanismo de conteúdo. |
Serviço 80 | rtsp | Serviço de fluxo contínuo de mídia que permite que o ASA redirecione solicitações de clientes RTSP (Real Time Streaming Protocol) para uma única porta no mecanismo de conteúdo. |
Serviço 81 | mmst | Serviço de cache de mídia que permite que o ASA use o redirecionamento do Microsoft Media Server (MMST) baseado em TCP para rotear as solicitações do cliente WMT (Windows Media Technology) para a porta TCP 1755 no mecanismo de conteúdo. |
Serviço 82 | mmsu | Serviço de cache de mídia que permite que o ASA use o redirecionamento do Microsoft Media Server (MMSU) baseado no User Datagram Protocol (UDP) para rotear solicitações de clientes WMT para a porta UDP 1755 no mecanismo de conteúdo. |
Serviço 83 | wmt-rtsp | Serviço de streaming de mídia que permite ao ASA redirecionar solicitações RTSP de clientes do Windows Media Service 9 para a porta UDP 5005 no CE. |
Serviço 90-97 | configurável pelo usuário | Serviços WCCP definidos pelo usuário que suportam até oito portas para cada serviço WCCP. Ao configurar esses serviços definidos pelo usuário, você deve especificar se o tráfego deve ser redirecionado para o aplicativo de cache HTTP, para o aplicativo HTTPS ou para o aplicativo de streaming no mecanismo de conteúdo. |
Serviço 98 | custom-web-cache | Serviço de cache que permite que o ASA redirecione de forma transparente o tráfego HTTP para o mecanismo de conteúdo em várias portas diferentes da porta 80. |
Serviço 99 | proxy reverso | Serviço de cache que permite que o ASA redirecione o tráfego de proxy reverso HTTP para o mecanismo de conteúdo na porta 80. |
Um grupo de serviços é identificado por Tipo de serviço e ID de serviço. Existem dois tipos de grupos de serviços:
Os serviços conhecidos são conhecidos tanto pelo ASA quanto pelos caches da Web e não exigem uma descrição diferente de uma ID de serviço.
Por outro lado, os serviços dinâmicos devem ser descritos em um ASA. O ASA pode ser configurado para participar de um grupo de serviço dinâmico específico, identificado pela ID de serviço, sem nenhum conhecimento das características do tráfego associado a esse grupo de serviço. A descrição do tráfego é comunicada ao ASA na mensagem WCCP2_HERE_I_AM do primeiro cache da Web para ingressar no grupo de serviço. Um cache da Web usa os campos Protocolo, Sinalizadores de serviço e Porta do componente Informações de serviço para descrever um serviço dinâmico. Depois que um serviço dinâmico tiver sido definido, o ASA descartará qualquer mensagem WCCP2_HERE_I_AM subsequente que contenha uma descrição conflitante. O ASA também descarta uma mensagem WCCP2_HERE_I_AM que descreve um grupo de serviço para o qual não foi configurado.
Os números de 0 a 254 são serviços dinâmicos e o serviço de cache da Web é um serviço padrão ou bem conhecido. Isso significa que quando o serviço de cache da Web é especificado, o protocolo WCCP V2 predefiniu que o tráfego da porta 80 de destino TCP deve ser redirecionado. Para os números de 0 a 254, cada número representa um grupo de serviço dinâmico. Os WCCP CEs (como Bluecoat) definem um conjunto de protocolos e portas que devem ser redirecionados para cada grupo de serviço. Em seguida, quando o ASA é configurado com o mesmo número de grupo de serviço (wccp 0 ... ou wccp 1 ...), o ASA executa o redirecionamento nos protocolos e portas especificados conforme orientado pelo dispositivo Bluecoat.
Este é um exemplo que mostra as Informações de Identidade do Cache da Web:
Este é um exemplo que mostra que o cache da Web faz parte do grupo de serviço 0:
Este é um exemplo que mostra um servidor de cache da Web como parte do grupo de atendimento ao cliente 91 e as portas cujo tráfego é redirecionado para o servidor:
O ASA responde a uma mensagem WCCP2_HERE_I_AM com uma mensagem WCCP2_I_SEE_YOU.
Este é um exemplo da mensagem do roteador/ASA 'Eu vejo você', que mostra que o roteador ingressa no grupo de serviço 91 e redireciona as portas 80, 8080 e 443 para o servidor de cache da Web:
Este é um exemplo de um pacote GRE:
Este procedimento descreve como configurar o WCCP em um ASA:
wccp {web-cache | service_number} [redirect-list access_list] [group-list access_list]
[password password]
wccp interface interface_name {web-cache | service_number} redirect in
Este é um exemplo de uma configuração ASA:
access-list caching permit ip source_subnet mask any
wccp 90 redirect-list caching
wccp interface 90 redirect in
Helpful Commands:
show wccp
show wccp 90 service -> this should indicate the ports that are being serviced by this WCCP
server. Without the 'service-flags ports-defined' in the Cache server configuration, the ports
to be redirected are NOT passed to the ASA. Therefore, the traffic will never be redirected.
This will result in 'Unassigned' increases with 'show wccp'.
ASA# show wccp 90 service
WCCP service information definition:
Type: Dynamic
Id: 90
Priority: 0
Protocol: 6
Options: 0x00000013
--------
Hash: SrcIP DstIP
Alt Hash: -none-
Ports: Destination:: 80 8080 0 0 0 0 0 0
ASA# show wccp 90 view
WCCP Routers Informed of:
X.X.X.X [Higher IP address on the device will be seen here]
WCCP Cache Engines Visible:
Y.Y.Y.Y [IP address of the web-cache server in the service-group 91]
No momento, não há procedimento de verificação disponível para esta configuração.
Se o redirecionamento não funcionar como esperado, use essas saídas para solucionar o problema. Todas essas saídas estão no ASA.
Se a saída desses três comandos parecer válida, talvez seja necessário:
A ferramenta Output Interpreter (exclusiva para clientes registrados) é compatível com alguns comandos de exibição.. Use a ferramenta Output Interpreter para visualizar uma análise do resultado gerado pelo comando show..
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
17-Mar-2013
|
Versão inicial |