如何配置在思科Catalyst 3560或3750的WEB缓存通信协议(WCCP)交换机?
环境:思科Web安全工具(WSA)和思科Catalyst 3560或3750
Catalyst 3560/3750运行的IP服务或提前的IP服务特性组只支持WCCP,在IOS 12.2(25)及以后。IP BASE特性组不支持WCCP。支持PBR的SDM模板仅支持WCCP :访问、路由和双重IPv4/v6路由。
在这些示例中,请使用“路由”模板。
设置在Catalyst 3560/3750的SDM模板: |
Switch(config)-SDM prefer路由 Switch(config)-执行wr mem Switch(config)-重新加载 |
注意: 重新启动要求为了SDM模板更改能生效。
基本WCCP配置: |
Switch(config)-ip wccp网站缓存 Switch(config)-接口<client_vlan_int> Switch(config-if)-ip wccp网站缓存重定向 !! !!并且请勿忘记保存设置 !! Switch(config-if)-执行wr mem |
使用一个轻微更多高级配置, WCCP redirect-list可以用于从WCCP重定向屏蔽某些目的地网络。 在本例中,从重定向请排除为RFC1918地址注定的所有流量。
与redirect-list的WCCP配置: |
Switch(config)-access-list 110拒绝ip所有10.0.0.0 0.255.255.255 Switch(config)-access-list 110拒绝ip所有172.16.0.0 0.15.255.255 Switch(config)-access-list 110拒绝ip所有192.168.0.0 0.0.255.255 Switch(config)-access-list 110 permit ip any any Switch(config)-ip wccp网站缓存redirect-list 110 !! !!使用重定向列表,对内部目的地的流量不会是 !!重定向,和将绕过思科WSA !! Switch(config)-接口<client_vlan_int> Switch(config-if)-ip wccp网站缓存重定向 !! !!并且请勿忘记保存设置 !! Switch(config-if)-执行wr mem |
对于与更加严密的安全需求的网络, a Group-list可以用于限制允许参加WCCP服务组的IP地址,并且WCCP密码可以启用。 在本例中,请使用redirect-list, a Group-list (假设我们有WSAs在192.168.50.2和192.168.50.3)和一个WCCP密码。
与redirect-list的WCCP配置, Group-list和WCCP密码: |
!! |
不支持的WCCP功能 |
|
注意:当曾经动态ID时,配置在web-cache关键字地方是相同的,除了回车服务ID编号。
注意:对于动态服务ID,思科推荐使用ID 90 - 97保证兼容性用多数设备。
更多信息可以在Catalyst交换机软件配置指南找到:
3560 :http://www.cisco.com/en/US/docs/switches/lan/catalyst3560/software/release/12.2_44_se/configuration/guide/swwccp.html
3750 :http://www.cisco.com/en/US/docs/switches/lan/catalyst3750/software/release/12.2_44_se/configuration/guide/swwccp.html