本文档介绍思科自适应安全设备(ASA)上Web缓存协调协议(WCCP)的概念、限制和配置。WCCP是ASA通过通用路由封装(GRE)隧道将流量重定向到WCCP缓存引擎的一种方法。
Cisco 建议您了解以下主题:
思科还建议您了解ASA上WCCP配置的限制,如以下文档中所述:
本文档中的信息基于Web缓存通信协议(WCCP)第2版(V2)。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
有关文档规则的信息,请参阅 Cisco 技术提示规则。
WCCP指定一个或多个路由器与一个或多个网络缓存之间的交互。交互的目的是建立和维护流经一组路由器的选定流量类型的透明重定向。所选流量被重定向到一组网络缓存,以优化资源使用并降低响应时间。
对于WCCP,ASA选择接口上配置的最高IP地址并将其用作路由器ID。对于路由器ID,这是与开放最短路径优先(OSPF)完全相同的过程。 当ASA将数据包重定向到缓存引擎(CE)时,ASA从路由器ID IP地址获取重定向(即使是从其他接口发出),并将数据包封装到GRE报头中。
GRE连接是单向的。ASA将重定向数据包封装到GRE中,并将其发送到缓存引擎。ASA不处理来自CE的任何GRE封装响应。CE需要直接与内部主机通信。
重定向的工作流程包括以下步骤:
ASA实施WCCP V2。如果服务器支持WCCP V2,则它应该是兼容的。
WCCP V2定义了允许一个或多个启用透明重定向的路由器发现、验证和通告一个或多个网络缓存连接的机制。以下是WCCP重定向的步骤:
建立连接后,路由器和Web缓存会形成服务组,以处理特性包含在服务组定义中的流量的重定向。
Web缓存以HERE_I_AM_T(10)秒间隔将WCCP2_HERE_I_AM消息传输到组中的每台路由器,以便加入服务组并保持其成员身份。消息可以通过单播发送到每台路由器,也可以通过组播发送到已配置的服务组组播地址。
服务组 | 类型 | 描述 |
服务0 | Web缓存 | 允许ASA将HTTP流量重定向到CE的Web缓存服务。 |
服务53 | DNS | 允许ASA透明地将DNS客户端请求重定向到客户端引擎的DNS缓存服务。 |
服务60 | FTP本地 | 允许ASA透明地将FTP本地请求重定向到内容引擎上的单个端口的缓存服务。 |
服务70 | https缓存 | 允许ASA拦截端口443 TCP流量并将此HTTPS流量重定向到内容引擎的缓存服务。 |
服务80 | rtsp | 允许ASA将实时流协议(RTSP)客户端请求重定向到内容引擎上的单个端口的媒体流服务。 |
服务81 | mmst | 允许ASA使用基于TCP的Microsoft Media Server(MMST)重定向以将Windows Media Technology(WMT)客户端请求路由到内容引擎上的TCP端口1755的媒体缓存服务。 |
服务82 | mmsu | 媒体缓存服务,允许ASA使用基于用户数据报协议(UDP)的Microsoft媒体服务器(MMSU)重定向,以将WMT客户端请求路由到内容引擎上的UDP端口1755。 |
服务83 | wmt-rtsp | 一种媒体流服务,允许ASA将来自Windows Media Service 9客户端的RTSP请求重定向到CE上的UDP端口5005。 |
服务90-97 | 用户可配置 | 用户定义的WCCP服务,每个WCCP服务最多支持八个端口。配置这些用户定义服务时,必须指定是否将流量重定向到HTTP缓存应用、HTTPS应用或内容引擎上的流应用。 |
服务98 | custom-web-cache | 允许ASA透明地将HTTP流量重定向到端口80之外的多个端口上的内容引擎的缓存服务。 |
服务99 | 反向代理 | 允许ASA将HTTP反向代理流量重定向到端口80上的内容引擎的缓存服务。 |
服务组由服务类型和服务ID标识。服务组有两种类型:
已知服务由ASA和Web缓存所知,不需要服务ID以外的说明。
相反,必须向ASA描述动态服务。可以将ASA配置为参与由服务ID标识的特定动态服务组,而不了解与该服务组相关联的流量的特征。流量描述在第一个网络缓存的WCCP2_HERE_I_AM消息中传递给ASA,以便加入服务组。Web缓存使用Service Info组件的Protocol、Service Flags和Port字段来描述动态服务。定义动态服务后,ASA会丢弃包含冲突描述的任何后续WCCP2_HERE_I_AM消息。ASA还会丢弃描述其尚未配置的服务组的WCCP2_HERE_I_AM消息。
数字0到254是动态服务,而Web缓存服务是标准服务或公认服务。这意味着当指定Web缓存服务时,WCCP V2协议已预定义TCP目标端口80流量将被重定向。对于数字0到254,每个数字代表一个动态服务组。WCCP CE(如Bluecoat)用于定义一组协议和端口,这些协议和端口将针对每个服务组进行重定向。然后,当ASA配置了相同服务组编号(wccp 0 ...或wccp 1 ...)时,ASA会按照Bluecoat设备的指示在指定的协议和端口上执行重定向。
以下示例显示了Web-Cache身份信息:
以下示例显示Web缓存是服务组0的一部分:
以下示例展示作为客户服务组91一部分的Web缓存服务器及其流量被重定向到该服务器的端口:
ASA使用WCCP2_I_SEE_YOU消息响应WCCP2_HERE_I_AM消息。
以下是router/ASA“I See You”消息的示例,该消息显示路由器加入服务组91并将端口80、8080和443重定向到Web缓存服务器:
以下是GRE数据包的示例:
以下过程介绍如何在ASA上配置WCCP:
wccp {web-cache | service_number} [redirect-list access_list] [group-list access_list]
[password password]
wccp interface interface_name {web-cache | service_number} redirect in
以下是ASA配置的示例:
access-list caching permit ip source_subnet mask any
wccp 90 redirect-list caching
wccp interface 90 redirect in
Helpful Commands:
show wccp
show wccp 90 service -> this should indicate the ports that are being serviced by this WCCP
server. Without the 'service-flags ports-defined' in the Cache server configuration, the ports
to be redirected are NOT passed to the ASA. Therefore, the traffic will never be redirected.
This will result in 'Unassigned' increases with 'show wccp'.
ASA# show wccp 90 service
WCCP service information definition:
Type: Dynamic
Id: 90
Priority: 0
Protocol: 6
Options: 0x00000013
--------
Hash: SrcIP DstIP
Alt Hash: -none-
Ports: Destination:: 80 8080 0 0 0 0 0 0
ASA# show wccp 90 view
WCCP Routers Informed of:
X.X.X.X [Higher IP address on the device will be seen here]
WCCP Cache Engines Visible:
Y.Y.Y.Y [IP address of the web-cache server in the service-group 91]
当前没有可用于此配置的验证过程。
如果重定向未按预期工作,请使用以下输出进行故障排除。所有这些输出都在ASA上。
如果这三个命令的输出看起来有效,则您可能需要:
命令输出解释程序工具(仅限注册用户)支持某些 show 命令。使用输出解释器工具来查看 show 命令输出的分析。
版本 | 发布日期 | 备注 |
---|---|---|
1.0 |
17-Mar-2013
|
初始版本 |