WCCP auf ASA: Konzepte, Einschränkungen und Konfiguration

Download-Optionen

  • PDF     (431.4 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (271.7 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (270.7 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:31. Mai 2013
Dokument-ID:116046

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einführung

In diesem Dokument werden die Konzepte, Einschränkungen und die Konfiguration des Web Cache Coordination Protocol (WCCP) auf einer Cisco Adaptive Security Appliance (ASA) beschrieben. WCCP ist eine Methode, mit der die ASA Datenverkehr über einen Generic Routing Encapsulation (GRE)-Tunnel an eine WCCP-Caching-Engine umleiten kann.

Voraussetzungen

Anforderungen

Cisco empfiehlt, über Kenntnisse in folgenden Bereichen zu verfügen:

  • Web Cache Communications Protocol (WCCP) Version 2 (v2)
  • Cisco Adaptive Security Appliances (ASA)
  • Cisco Adaptive Security Appliance (ASA)-Software; Lesen Sie die Konfigurationsleitfäden zur Kompatibilität.
  • Proxy-Caching
  • Umleitung

Cisco empfiehlt Ihnen, sich mit den Einschränkungen der WCCP-Konfiguration auf der ASA vertraut zu machen, wie in den folgenden Dokumenten erläutert:

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf dem Web Cache Communications Protocol (WCCP) Version 2 (V2).

Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.

Konventionen

Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

WCCP und ASA - Übersicht

Der WCCP gibt Interaktionen zwischen einem oder mehreren Routern und einem oder mehreren Web-Caches an. Der Zweck dieser Interaktion besteht darin, die transparente Umleitung ausgewählter Datenverkehrstypen, die durch eine Gruppe von Routern fließen, zu etablieren und aufrechtzuerhalten. Der ausgewählte Datenverkehr wird an eine Gruppe von Web-Caches umgeleitet, um die Ressourcennutzung zu optimieren und die Reaktionszeiten zu verkürzen.

Für WCCP wählt die ASA die höchste auf einer Schnittstelle konfigurierte IP-Adresse aus und verwendet diese als Router-ID. Dies ist genau der gleiche Prozess, dem Open Shortest Path First (OSPF) für die Router-ID folgt.  Wenn die ASA Pakete an die Cache-Engine (CE) umleitet, leitet die ASA die Umleitung von der Router-ID-IP-Adresse ab (selbst wenn sie eine andere Schnittstelle ausgibt) und kapselt das Paket in einen GRE-Header.

Die GRE-Verbindung ist unidirektional. Die ASA kapselt umgeleitete Pakete in der GRE und sendet sie an die Caching-Engine. Die ASA verarbeitet keine GRE-gekapselten Antworten vom CE. Der CE muss direkt mit dem internen Host kommunizieren.

Der Workflow zur Weiterleitung umfasst folgende Schritte:

  1. Der Host verwendet das Standard-Gateway der ASA, um die HTTP-Verbindung zu öffnen.
  2. Die ASA leitet das Paket (in GRE eingekapselt) an den CE um.
  3. Der CE überprüft oder aktualisiert den Cache für die angeforderte Site.
  4. Der CE antwortet direkt auf den Host.
    • Alle ausgehenden Pakete vom Host werden von der ASA an den CE umgeleitet.
    • Alle eingehenden Pakete vom Server zum Host werden vom CE an den Host weitergeleitet.

 116046-config-wccp-asa-01.jpg

Die ASA implementiert WCCP V2. Wenn der Server WCCP V2 unterstützt, sollte er kompatibel sein.

WCCP-Umleitung

WCCP V2 definiert Mechanismen, die es einem oder mehreren Routern, die für eine transparente Umleitung aktiviert sind, ermöglichen, die Verbindung zu einem oder mehreren Webcaches zu erkennen, zu überprüfen und anzukündigen. Dies sind die Schritte für die WCCP-Umleitung:

  1. Der Benutzer gibt eine URL in einen Browser ein.
  2. Die URL wird zur Adressauflösung an das Domain Name System (DNS) weitergeleitet.
  3. Die URL wird in die IP-Adresse des Webservers aufgelöst.
  4. Der Client initiiert eine Verbindung zum Server mit einer SYN-Anfrage.
  5. Auf dem aktiven Router fängt der WCCP-Webcache-Dienst die HTTP-Anfrage (TCP-Port 80) ab und leitet die Anforderung basierend auf der konfigurierten Lastverteilung an Caches um:
    • Bei einem Cache-Treffer antwortet der CE mit dem angeforderten Inhalt auf das ursprüngliche GET und verwendet die Quell-IP-Adresse des Ursprungsservers im Response Pack.
    • Wenn der angeforderte Inhalt nicht bereits im CE gespeichert ist, liegt ein Cache-Fehler vor:
      1. Der CE stellt eine Verbindung zum Ursprungsserver her, verwendet seine eigene IP-Adresse als Quelle und sendet HTTP GET.
      2. Der Server antwortet mit Inhalten auf CE.
      3. Der CE schreibt eine Kopie des zwischenspeicherbaren Inhalts auf den Datenträger.

WCCP-Dienstgruppen

Sobald die Verbindung hergestellt ist, bilden die Router und Web-Caches Servicegruppen, um die Umleitung von Datenverkehr zu verarbeiten, dessen Eigenschaften Teil der Servicegruppendefinition sind.

Ein Webcache überträgt eine WCCP2_HERE_I_AM-Nachricht an jeden Router in der Gruppe in Intervallen von HERE_I_AM_T (10) Sekunden, um seiner Mitgliedschaft in einer Servicegruppe beizutreten und beizubehalten. Die Nachricht kann durch Unicast an jeden Router oder durch Multicast an die konfigurierte Multicast-Adresse der Servicegruppe gesendet werden.

  • Die Webcache-Identitätsinfo-Komponente in der Nachricht WCCP2_HERE_I_AM identifiziert den Webcache nach IP-Adresse.
  • Die Service Info-Komponente der WCCP2_HERE_I_AM-Nachricht identifiziert und beschreibt die Servicegruppe, an der der Webcache teilnehmen möchte.
Servicegruppe Typ Beschreibung
Dienst 0 Webcache Web-Caching-Service, der es der ASA ermöglicht, HTTP-Datenverkehr an den CE umzuleiten.
Service 53 DNS DNS-Caching-Service, der es der ASA ermöglicht, DNS-Client-Anfragen transparent an die Client-Engine umzuleiten.
Service 60 FTP-nativ Caching-Service, der es der ASA ermöglicht, native FTP-Anfragen transparent an einen einzelnen Port der Content Engine umzuleiten.
Service 70 HTTPS-Cache Caching-Service, der es der ASA ermöglicht, Port 443 TCP-Datenverkehr abzufangen und diesen HTTPS-Datenverkehr an die Content Engine umzuleiten.
Service 80 rtsp Medien-Streaming-Service, mit dem die ASA Client-Anfragen des Real Time Streaming Protocol (RTSP) an einen einzigen Port der Content Engine umleiten kann.
Service 81 Mast Media-Caching-Service, der es der ASA ermöglicht, TCP-basierte Microsoft Media Server (MMST)-Umleitung zu verwenden, um Windows Media Technology (WMT)-Clientanforderungen an den TCP-Port 1755 des Content-Moduls weiterzuleiten.
Service 82 MSU Media-Caching-Service, der es der ASA ermöglicht, User Datagram Protocol (UDP)-basierte Microsoft Media Server (MMSU)-Umleitung zu verwenden, um WMT-Client-Anfragen an den UDP-Port 1755 der Content Engine weiterzuleiten.
Service 83 wmt-rtsp Medien-Streaming-Service, mit dem die ASA RTSP-Anfragen von Windows Media Service 9-Clients an den UDP-Port 5005 auf dem CE umleiten kann.
Service 90-97 vom Benutzer konfigurierbar Benutzerdefinierte WCCP-Dienste, die bis zu acht Ports für jeden WCCP-Dienst unterstützen. Wenn Sie diese benutzerdefinierten Dienste konfigurieren, müssen Sie angeben, ob der Datenverkehr an die HTTP-Caching-Anwendung, die HTTPS-Anwendung oder die Streaming-Anwendung auf dem Content-Modul umgeleitet werden soll.
Dienst 98 benutzerdefinierter Webcache Caching-Service, der es der ASA ermöglicht, HTTP-Datenverkehr transparent an die Content-Engine auf mehreren Ports außer Port 80 umzuleiten.
Dienst 99 Reverse-Proxy Caching-Service, der es der ASA ermöglicht, HTTP Reverse Proxy-Datenverkehr an die Content Engine auf Port 80 umzuleiten.

Eine Servicegruppe wird durch Servicetyp und Service-ID identifiziert. Es gibt zwei Arten von Servicegruppen:

  • Bekannte Services
  • Dynamische Services

Bekannte Services sind sowohl von ASA als auch von Web-Caches bekannt und erfordern keine andere Beschreibung als eine Service-ID.

Dagegen müssen dynamische Services für eine ASA beschrieben werden. Die ASA kann so konfiguriert werden, dass sie an einer bestimmten, durch die Service-ID identifizierten dynamischen Servicegruppe teilnimmt, ohne dass die Merkmale des mit dieser Servicegruppe verknüpften Datenverkehrs bekannt sind. Die Verkehrsbeschreibung wird der ASA in der Meldung WCCP2_HERE_I_AM des ersten Webcaches übermittelt, um der Servicegruppe beizutreten. Ein Webcache verwendet die Felder Protokoll, Service Flags und Port der Service Info-Komponente, um einen dynamischen Dienst zu beschreiben. Sobald ein dynamischer Service definiert wurde, verwirft die ASA alle nachfolgenden WCCP2_HERE_I_AM-Nachrichten, die eine widersprüchliche Beschreibung enthalten. Die ASA verwirft auch eine WCCP2_HERE_I_AM-Nachricht, die eine Servicegruppe beschreibt, für die sie nicht konfiguriert wurde.

Die Nummern 0 bis 254 sind dynamische Dienste, und der Web-Cache-Dienst ist ein bekannter Standarddienst. Das bedeutet, dass das WCCP V2-Protokoll beim Festlegen des Webcachservice vordefiniert hat, dass TCP-Ziel-80-Datenverkehr umgeleitet werden soll. Für die Nummern 0 bis 254 stellt jede Zahl eine dynamische Servicegruppe dar. Die WCCP-CEs (z. B. Bluecoat) definieren eine Reihe von Protokollen und Ports, die für jede Servicegruppe umgeleitet werden. Wenn dann die ASA mit derselben Servicegruppennummer konfiguriert ist (wccp 0 ... oder wccp 1 ...) führt die ASA eine Umleitung der angegebenen Protokolle und Ports gemäß den Anweisungen des Bluecoat-Geräts durch.

In diesem Beispiel werden die Identitätsinformationen des Webcaches veranschaulicht:

116046-config-wccp-asa-02.jpg

Dies ist ein Beispiel, das zeigt, dass der Web-Cache Teil der Servicegruppe 0 ist:

116046-config-wccp-asa-03.jpg

Dies ist ein Beispiel, das einen Web-Cache-Server als Teil der Kundendienstgruppe 91 und der Ports zeigt, deren Datenverkehr an den Server umgeleitet wird:

116046-config-wccp-asa-04.jpg

ASA antwortet auf eine WCCP2_HERE_I_AM-Nachricht mit der Meldung WCCP2_I_SEE_YOU.

  • Wenn die Meldung WCCP2_HERE_I_AM Unicast war, antwortet der Router sofort mit einer Unicast-Meldung WCCP2_I_SEE_YOU.
  • Wenn die Meldung WCCP2_HERE_I_AM Multicast war, antwortet der Router mit der geplanten Multicast-Meldung WCCP2_I_SEE_YOU für die Servicegruppe.

Dies ist ein Beispiel für die Meldung "I See You" (Router/ASA, "I See You"), die zeigt, dass der Router der Servicegruppe 91 beitritt und die Ports 80, 8080 und 443 zum Webcache-Server umleitet:

116046-config-wccp-asa-05.jpg

Dies ist ein Beispiel für ein GRE-Paket:

116046-config-wccp-asa-06.jpg

Konfigurieren

Hinweis: In der Redirect-Liste sollte die Zugriffsliste nur Netzwerkadressen enthalten. Port-spezifische Einträge werden nicht unterstützt.

Hinweis: Weitere Informationen zum Befehl wccp finden Sie unter Befehlsreferenz zur Cisco Serie ASA 5500, 8.2

In diesem Verfahren wird beschrieben, wie WCCP auf einem ASA-Gerät konfiguriert wird:

  1. Geben Sie den Befehl wccp ein, um den umzuleitenden Datenverkehr anzugeben:

    wccp {web-cache | service_number} [redirect-list access_list] [group-list access_list] 
    [password password]
  2. Geben Sie den Befehl wccp ein, um die Schnittstelle anzugeben, auf der die Umleitung des Datenverkehrs erfolgen soll:

    wccp interface interface_name {web-cache | service_number} redirect in

Hinweis: Die WCCP-Umleitung wird nur beim Eingang einer Schnittstelle unterstützt.

Dies ist ein Beispiel für eine ASA-Konfiguration:

access-list caching permit ip source_subnet mask any
wccp 90 redirect-list caching
wccp interface 90 redirect in
Helpful Commands:
show wccp
show wccp 90 service -> this should indicate the ports that are being serviced by this WCCP 
server. Without the 'service-flags ports-defined' in the Cache server configuration, the ports 
to be redirected are NOT passed to the ASA. Therefore, the traffic will never be redirected. 
This will result in 'Unassigned' increases with 'show wccp'.

ASA# show wccp 90 service

WCCP service information definition:
Type:          Dynamic
Id:            90
Priority:      0
Protocol:      6
Options:       0x00000013
--------
Hash:      SrcIP DstIP
Alt Hash:  -none-
Ports:     Destination:: 80 8080 0 0 0 0 0 0

ASA# show wccp 90 view

WCCP Routers Informed of:
X.X.X.X [Higher IP address on the device will be seen here]

WCCP Cache Engines Visible:
Y.Y.Y.Y [IP address of the web-cache server in the service-group 91]

Hinweis: Verwenden Sie das Command Lookup Tool (nur registrierte Kunden), um weitere Informationen zu den in diesem Abschnitt verwendeten Befehlen zu erhalten.

Überprüfen

Für diese Konfiguration ist derzeit kein Überprüfungsverfahren verfügbar.

Fehlerbehebung

Wenn die Umleitung nicht wie erwartet funktioniert, verwenden Sie diese Ausgaben, um eine Fehlerbehebung durchzuführen. Alle diese Ausgänge werden auf ASA ausgeführt.

  • Technischer Support anzeigen
  • show wccp [service|view|hash|bucket|detail]
  • show asp table klassifizieren

Wenn die Ausgabe dieser drei Befehle gültig erscheint, müssen Sie möglicherweise Folgendes ausführen:

  • Überprüfen Sie die entsprechenden Syslogs.
  • Verwenden Sie den Befehl capture, um die Erfassung zwischen der ASA-Schnittstelle und der Web-Cache-Server-IP sowie die Erfassung zwischen dem Client und dem Webserver zu untersuchen, auf den der Client zugreifen möchte.

Das Output Interpreter Tool (nur registrierte Kunden) unterstützt bestimmte show-Befehle. Verwenden Sie das Output Interpreter Tool, um eine Analyse der Ausgabe des Befehls show anzuzeigen.

Zugehörige Informationen

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
31-May-2013
Erstveröffentlichung
TAC Authored

Beiträge von Cisco Ingenieuren

  • Sourav Kakkar
    Cisco TAC Engineer.

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.