ASA上的WCCP:概念、限制和配置

简介

本文档介绍思科自适应安全设备(ASA)上Web缓存协调协议(WCCP)的概念、限制和配置。WCCP是ASA通过通用路由封装(GRE)隧道将流量重定向到WCCP缓存引擎的一种方法。

先决条件

要求

Cisco 建议您了解以下主题：

• Web缓存通信协议(WCCP)第2版(v2)
• 思科自适应安全设备(ASA)
• 思科自适应安全设备(ASA)软件；阅读兼容性配置指南
• 代理缓存
• 重定向

思科还建议您了解ASA上WCCP配置的限制，如以下文档中所述：

• 使用CLI的Cisco ASA 5500系列配置指南8.2:使用 WCCP 配置 Web 缓存服务:准则和限制
• Cisco ASA系列CLI配置指南9.0:使用 WCCP 配置 Web 缓存服务

使用的组件

本文档中的信息基于Web缓存通信协议(WCCP)第2版(V2)。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的信息，请参阅 Cisco 技术提示规则。

WCCP和ASA概述

WCCP指定一个或多个路由器与一个或多个网络缓存之间的交互。交互的目的是建立和维护流经一组路由器的选定流量类型的透明重定向。所选流量被重定向到一组网络缓存，以优化资源使用并降低响应时间。

对于WCCP，ASA选择接口上配置的最高IP地址并将其用作路由器ID。对于路由器ID，这是与开放最短路径优先(OSPF)完全相同的过程。  当ASA将数据包重定向到缓存引擎(CE)时，ASA从路由器ID IP地址获取重定向（即使是从其他接口发出），并将数据包封装到GRE报头中。

GRE连接是单向的。ASA将重定向数据包封装到GRE中，并将其发送到缓存引擎。ASA不处理来自CE的任何GRE封装响应。CE需要直接与内部主机通信。

重定向的工作流程包括以下步骤：

1. 主机使用ASA的默认网关打开HTTP连接。
2. ASA将数据包（封装在GRE中）重定向到CE。
3. CE验证或更新所请求站点的缓存。
4. CE直接回复主机。
   • 来自主机的所有出站数据包都从ASA重定向到CE。
   • 所有从服务器到主机的入站数据包都从CE转发到主机。

 

ASA实施WCCP V2。如果服务器支持WCCP V2，则它应该是兼容的。

WCCP重定向

WCCP V2定义了允许一个或多个启用透明重定向的路由器发现、验证和通告一个或多个网络缓存连接的机制。以下是WCCP重定向的步骤：

1. 用户在浏览器中输入URL。
2. 该URL被转发到域名系统(DNS)进行地址解析。
3. URL解析为Web服务器的IP地址。
4. 客户端使用SYN请求发起到服务器的连接。
5. 在活动路由器上，WCCP Web缓存服务会拦截HTTP请求（TCP端口80），并根据配置的负载分布将请求重定向到缓存：
   • 如果存在缓存命中，则CE使用请求的内容对原始GET作出响应，并在响应包中使用源服务器的源IP地址。
   • 如果请求的内容尚未存储在CE上，则存在缓存缺失：
   1. CE建立到源服务器的连接，使用自己的IP地址作为源地址，然后发送HTTP GET。
   2. 服务器使用内容响应CE。
   3. CE将可缓存内容的副本写入磁盘。

WCCP服务组

建立连接后，路由器和Web缓存会形成服务组，以处理特性包含在服务组定义中的流量的重定向。

Web缓存以HERE_I_AM_T(10)秒间隔将WCCP2_HERE_I_AM消息传输到组中的每台路由器，以便加入服务组并保持其成员身份。消息可以通过单播发送到每台路由器，也可以通过组播发送到已配置的服务组组播地址。

• WCCP2_HERE_I_AM消息中的Web-Cache Identity Info组件按IP地址标识Web缓存。
• WCCP2_HERE_I_AM消息的服务信息组件标识并描述Web缓存希望参与的服务组。

服务组	类型	描述
服务0	Web缓存	允许ASA将HTTP流量重定向到CE的Web缓存服务。
服务53	DNS	允许ASA透明地将DNS客户端请求重定向到客户端引擎的DNS缓存服务。
服务60	FTP本地	允许ASA透明地将FTP本地请求重定向到内容引擎上的单个端口的缓存服务。
服务70	https缓存	允许ASA拦截端口443 TCP流量并将此HTTPS流量重定向到内容引擎的缓存服务。
服务80	rtsp	允许ASA将实时流协议(RTSP)客户端请求重定向到内容引擎上的单个端口的媒体流服务。
服务81	mmst	允许ASA使用基于TCP的Microsoft Media Server(MMST)重定向以将Windows Media Technology(WMT)客户端请求路由到内容引擎上的TCP端口1755的媒体缓存服务。
服务82	mmsu	媒体缓存服务，允许ASA使用基于用户数据报协议(UDP)的Microsoft媒体服务器(MMSU)重定向，以将WMT客户端请求路由到内容引擎上的UDP端口1755。
服务83	wmt-rtsp	一种媒体流服务，允许ASA将来自Windows Media Service 9客户端的RTSP请求重定向到CE上的UDP端口5005。
服务90-97	用户可配置	用户定义的WCCP服务，每个WCCP服务最多支持八个端口。配置这些用户定义服务时，必须指定是否将流量重定向到HTTP缓存应用、HTTPS应用或内容引擎上的流应用。
服务98	custom-web-cache	允许ASA透明地将HTTP流量重定向到端口80之外的多个端口上的内容引擎的缓存服务。
服务99	反向代理	允许ASA将HTTP反向代理流量重定向到端口80上的内容引擎的缓存服务。

服务组由服务类型和服务ID标识。服务组有两种类型：

• 知名服务
• 动态服务

已知服务由ASA和Web缓存所知，不需要服务ID以外的说明。

相反，必须向ASA描述动态服务。可以将ASA配置为参与由服务ID标识的特定动态服务组，而不了解与该服务组相关联的流量的特征。流量描述在第一个网络缓存的WCCP2_HERE_I_AM消息中传递给ASA，以便加入服务组。Web缓存使用Service Info组件的Protocol、Service Flags和Port字段来描述动态服务。定义动态服务后，ASA会丢弃包含冲突描述的任何后续WCCP2_HERE_I_AM消息。ASA还会丢弃描述其尚未配置的服务组的WCCP2_HERE_I_AM消息。

数字0到254是动态服务，而Web缓存服务是标准服务或公认服务。这意味着当指定Web缓存服务时，WCCP V2协议已预定义TCP目标端口80流量将被重定向。对于数字0到254，每个数字代表一个动态服务组。WCCP CE（如Bluecoat）用于定义一组协议和端口，这些协议和端口将针对每个服务组进行重定向。然后，当ASA配置了相同服务组编号（wccp 0 ...或wccp 1 ...）时，ASA会按照Bluecoat设备的指示在指定的协议和端口上执行重定向。

以下示例显示了Web-Cache身份信息：

以下示例显示Web缓存是服务组0的一部分：

以下示例展示作为客户服务组91一部分的Web缓存服务器及其流量被重定向到该服务器的端口：

ASA使用WCCP2_I_SEE_YOU消息响应WCCP2_HERE_I_AM消息。

• 如果WCCP2_HERE_I_AM消息是单播，则路由器立即以单播WCCP2_I_SEE_YOU消息做出响应。
• 如果WCCP2_HERE_I_AM消息是组播，则路由器以服务组的计划组播WCCP2_I_SEE_YOU消息进行响应。

以下是router/ASA“I See You”消息的示例，该消息显示路由器加入服务组91并将端口80、8080和443重定向到Web缓存服务器：

以下是GRE数据包的示例：

配置

注意：在redirect-list中，访问列表应仅包含网络地址。不支持端口特定的条目。

注意：有关wccp命令的详细信息，请参阅Cisco ASA 5500系列命令参考8.2。 

以下过程介绍如何在ASA上配置WCCP:

1. 输入wccp命令以指定要重定向的流量：
   
   

   wccp {web-cache | service_number} [redirect-list access_list] [group-list access_list] 
   [password password]

2. 输入wccp命令以指定应在其上发生流量重定向的接口：
   
   

   wccp interface interface_name {web-cache | service_number} redirect in

注意：仅接口入口支持WCCP重定向。

以下是ASA配置的示例：

access-list caching permit ip source_subnet mask any
wccp 90 redirect-list caching
wccp interface 90 redirect in

Helpful Commands:
show wccp
show wccp 90 service -> this should indicate the ports that are being serviced by this WCCP 
server. Without the 'service-flags ports-defined' in the Cache server configuration, the ports 
to be redirected are NOT passed to the ASA. Therefore, the traffic will never be redirected. 
This will result in 'Unassigned' increases with 'show wccp'.

ASA# show wccp 90 service

WCCP service information definition:
Type:          Dynamic
Id:            90
Priority:      0
Protocol:      6
Options:       0x00000013
--------
Hash:      SrcIP DstIP
Alt Hash:  -none-
Ports:     Destination:: 80 8080 0 0 0 0 0 0

ASA# show wccp 90 view

WCCP Routers Informed of:
X.X.X.X [Higher IP address on the device will be seen here]

WCCP Cache Engines Visible:
Y.Y.Y.Y [IP address of the web-cache server in the service-group 91]

注意：使用命令查找工具（仅限注册用户）可获取有关本部分所使用命令的详细信息。

验证

当前没有可用于此配置的验证过程。

故障排除

如果重定向未按预期工作，请使用以下输出进行故障排除。所有这些输出都在ASA上。

• show tech-support
• show wccp [service|view|hash|bucket|detail]
• show asp table classify

如果这三个命令的输出看起来有效，则您可能需要：

• 检查相应的系统日志。
• 使用capture命令检查ASA接口与Web缓存服务器IP之间的捕获以及客户端与其尝试访问的Web服务器之间的捕获。

命令输出解释程序工具（仅限注册用户）支持某些 show 命令。使用输出解释器工具来查看 show 命令输出的分析。

相关信息

• Cisco ASA 5500系列下一代防火墙参考指南
• Cisco ASA 5500系列下一代防火墙配置指南
• 技术支持和文档 - Cisco Systems