Contents
Pergunta:
Sessão WCCP para o roteador/switch ativo, mas a navegação não está ocorrendo devido a problemas de rota
Ambiente:
Cisco Web Security Appliance
Switch Catalyst, roteador, ASA
Sintomas:
A sessão do WCCP está ativa e funcionando, mas a navegação não funciona.
Em determinadas circunstâncias, o Cisco Web Security Appliance pode se comunicar com o roteador, mas o tráfego do cliente pode não passar. Veríamos que a sessão do WCCP está ativa, mas ainda assim não está ocorrendo nenhuma navegação.
A configuração do WCCP no switch Catalyst é mínima (a lista de redirecionamento não é germana para esta discussão, mas reproduzida aqui por uma questão de integridade):
ip wccp 91 redirect-list 130 group-list 30
interface Vlan20
description client vlan 20
endereço ip 192.168.20.1 255.255.255.0
ip wccp 91 redirect in
access-list 30 permit 10.66.71.17
access-list 130 permit ip any host 192.168.20.103 log
access-list 130 permit ip host 192.168.20.103 any log
Veríamos que o WCCP está ativado:
Switch#sh ip wccp 91 d
Informações do cliente WCCP:
ID do cliente WCCP: 10.66.71.17
Versão do protocolo: 2.0
Estado: utilizável
Redirecionamento: L2
Retorno de pacote: L2
Pacotes Redirecionados: 0
Tempo de conexão: 00:12:49
Tarefa: MÁSCARA
Mas a navegação pode falhar.
O problema está na configuração da rota no Cisco Web Security Appliance. Por exemplo, o Cisco Web Security Appliance pode não ter uma rota para voltar à VLAN 20. A configuração da rota que não está funcionando é a seguinte:
O problema é geralmente visto se apenas uma interface (M1) é usada para o Cisco Web Security Appliance para tráfego de dados e gerenciamento. No exemplo acima, temos a rota para a VLAN 30 através da segunda entrada e a rota para o dispositivo WCCP através da terceira entrada e uma rota padrão para 10.66.71.1 para todas as outras redes. No entanto, se 10.66.71.1 for o gateway para a Internet, mas não souber como rotear para 192.168.20.0/24, o roteamento falhará e os navegadores clientes não poderão navegar.
Um teste de ping simples mostraria se temos uma rota de volta para o cliente.
s650a.lab (SERVICE)> ping 192.168.20.103
Pressione Ctrl-C para parar.
PING 192.168.20.103 (192.168.20.103): 56 bytes de dados
^C— 192.168.20.103 estatísticas de ping —
17 pacotes transmitidos, 0 pacotes recebidos, 100% de perda de pacotes
A solução para esse problema é adicionar uma rota no Cisco Web Security Appliance de volta às VLANs do cliente. Isso pode ser feito por:
WebUI > Rede > Rota > Adicionar Rota
Depois de adicionar isso, os pings devem fluir do Cisco Web Security Appliance para o cliente e devemos ver a navegação acontecendo nos clientes na VLAN 20 (host 192.168.20.103 neste exemplo).
s650a.lab (SERVICE)> ping 192.168.20.103
Pressione Ctrl-C para parar.PING 192.168.20.103 (192.168.20.103): 56 bytes de dados
64 bytes de 192.168.20.103: icmp_seq=0 ttl=127 time=0,835 ms
64 bytes de 192.168.20.103: icmp_seq=1 ttl=127 time=0,343 ms
^C— 192.168.20.103 estatísticas de ping —
2 pacotes transmitidos, 2 pacotes recebidos, 0% de perda de pacotes
round-trip min/avg/max/stddev = 0,343/0,589/0,835/0,246 ms
Observe que isso é um dos motivos pelos quais a navegação pode falhar. Pode haver outras razões pelas quais o WCCP estaria ativado, mas a navegação não funcionaria, mas esse é um dos problemas mais comuns.