WCCP en ASA: Conceptos, limitaciones y configuración

Introducción

Este documento describe los conceptos, limitaciones y configuración del protocolo de coordinación de caché web (WCCP) en un dispositivo de seguridad adaptable (ASA) de Cisco. WCCP es un método mediante el cual el ASA puede redirigir el tráfico a un motor de almacenamiento en caché WCCP a través de un túnel de encapsulación de routing genérico (GRE).

Prerequisites

Requirements

Cisco recomienda que tenga conocimiento sobre estos temas:

• Protocolo de comunicaciones de caché web (WCCP) versión 2 (v2)
• Cisco Adaptive Security Appliances (ASA)
• Software Cisco Adaptive Security Appliance (ASA); lea Guías de configuración para compatibilidad
• Guardado de proxies en memoria caché
• Redirección

Cisco también recomienda que entienda las limitaciones de la configuración WCCP en el ASA, como se explica en estos documentos:

• Guía de configuración de Cisco ASA serie 5500 con la CLI, 8.2: Configuración de Servicios de Caché Web Usando WCCP: Pautas y limitaciones
• Guía de Configuración de Cisco ASA Series CLI, 9.0: Configuración de Servicios de Caché Web Usando WCCP

Componentes Utilizados

La información de este documento se basa en el protocolo de comunicaciones de caché web (WCCP) versión 2 (V2).

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener información sobre las convenciones sobre documentos.

Descripción general de WCCP y ASA

WCCP especifica las interacciones entre uno o más routers y una o más memorias caché web. El propósito de la interacción es establecer y mantener la redirección transparente de tipos seleccionados de tráfico que fluyen a través de un grupo de routers. El tráfico seleccionado se redirige a un grupo de memorias caché web para optimizar el uso de los recursos y reducir los tiempos de respuesta.

Para WCCP, el ASA elige la dirección IP más alta configurada en una interfaz y la utiliza como ID de router. Este es exactamente el mismo proceso que sigue Open Shortest Path First (OSPF) para el ID del router.  Cuando el ASA redirige los paquetes al motor de memoria caché (CE), el ASA origina la redirección desde la dirección IP de ID de router (incluso si se origina en una interfaz diferente) y encapsula el paquete en un encabezado GRE.

La conexión GRE es unidireccional. El ASA encapsula los paquetes redirigidos en GRE y los envía al motor de almacenamiento en caché. El ASA no procesa ninguna respuesta encapsulada GRE del CE. El CE necesita comunicarse directamente con el host interno.

El flujo de trabajo para la redirección tiene estos pasos:

1. El host utiliza el gateway predeterminado del ASA para abrir la conexión HTTP.
2. El ASA redirige el paquete (encapsulado en GRE) al CE.
3. El CE verifica o actualiza la memoria caché del sitio solicitado.
4. El CE responde directamente al host.
   • Todos los paquetes salientes del host se redirigen del ASA al CE.
   • Todos los paquetes entrantes del servidor al host se dirigen desde el CE al host.

 

ASA implementa WCCP V2. Si el servidor admite WCCP V2, debe ser compatible.

Redirección WCCP

WCCP V2 define los mecanismos que permiten que uno o más routers habilitados para la redirección transparente descubran, verifiquen y anuncien la conectividad a una o más memorias caché web. Estos son los pasos en la redirección WCCP:

1. El usuario introduce una URL en un explorador.
2. La URL se reenvía al sistema de nombres de dominio (DNS) para la resolución de direcciones.
3. La URL se resuelve a la dirección IP del servidor web.
4. El cliente inicia una conexión al servidor con una solicitud SYN.
5. En el router activo, el servicio de caché web WCCP intercepta la solicitud HTTP (puerto TCP 80) y redirige la solicitud a las memorias caché en función de la distribución de carga configurada:
   • Si hay un resultado de caché, el CE responde al GET original con el contenido solicitado y utiliza la dirección IP de origen del servidor de origen en el paquete de respuesta.
   • Si el contenido solicitado no está almacenado en el CE, se produce un error en la memoria caché:
   1. El CE establece una conexión al servidor de origen, utiliza su propia dirección IP como origen y envía el HTTP GET.
   2. El servidor responde a CE con contenido.
   3. El CE escribe una copia del contenido almacenable en el disco.

Grupos de Servicio de WCCP

Una vez establecida la conectividad, los routers y las memorias caché web forman grupos de servicios para manejar la redirección del tráfico cuyas características forman parte de la definición de grupo de servicios.

Una memoria caché web transmite un mensaje WCCP2_HERE_I_AM a cada router del grupo en intervalos de 10 segundos HERE_I_AM_T para unirse y mantener su pertenencia a un grupo de servicios. El mensaje puede ser unicast a cada router o multicast a la dirección multicast del grupo de servicios configurado.

• El componente de información de identidad de la memoria caché web en el mensaje WCCP2_HERE_I_AM identifica la memoria caché web por dirección IP.
• El componente Service Info del mensaje WCCP2_HERE_I_AM identifica y describe el grupo de servicios en el que la memoria caché web desea participar.

Grupo de servicios	Tipo	Descripción
Servicio 0	Caché web	Servicio de almacenamiento en caché web que permite al ASA redirigir el tráfico HTTP al CE.
Servicio 53	DNS	Servicio de almacenamiento en caché DNS que permite al ASA redirigir las solicitudes de cliente DNS de forma transparente al motor cliente.
Servicio 60	FTP nativo	Servicio de almacenamiento en caché que permite al ASA redirigir las solicitudes nativas de FTP de forma transparente a un único puerto del motor de contenido.
Servicio 70	https-cache	Servicio de almacenamiento en caché que permite al ASA interceptar el tráfico TCP del puerto 443 y redirigir este tráfico HTTPS al motor de contenido.
Servicio 80	rtsp	Servicio de transmisión de medios que permite al ASA redirigir solicitudes de cliente de protocolo de transmisión en tiempo real (RTSP) a un único puerto del motor de contenido.
Servicio 81	mmst	Servicio de almacenamiento en caché de medios que permite al ASA utilizar la redirección de Microsoft Media Server (MMST) basada en TCP para enrutar las solicitudes de cliente de la tecnología de medios de Windows (WMT) al puerto TCP 1755 en el motor de contenido.
Servicio 82	mmsu	Servicio de almacenamiento en caché de medios que permite al ASA utilizar la redirección de Microsoft Media Server (MMSU) basada en el protocolo de datagramas de usuario (UDP) para enrutar las solicitudes de cliente WMT al puerto UDP 1755 en el motor de contenido.
Servicio 83	wmt-rtsp	Servicio de transmisión de medios que permite al ASA redirigir solicitudes RTSP de clientes Windows Media Service 9 al puerto UDP 5005 en el CE.
Servicio 90-97	configurable por el usuario	Servicios WCCP definidos por el usuario que admiten hasta ocho puertos para cada servicio WCCP. Al configurar estos servicios definidos por el usuario, debe especificar si se redirigirá el tráfico a la aplicación de almacenamiento en caché HTTP, a la aplicación HTTPS o a la aplicación de streaming en el motor de contenido.
Servicio 98	custom-web-cache	Servicio de almacenamiento en caché que permite al ASA redirigir de forma transparente el tráfico HTTP al motor de contenido en varios puertos distintos del puerto 80.
Servicio 99	proxy inverso	Servicio de almacenamiento en caché que permite al ASA redirigir el tráfico HTTP inverso de proxy al motor de contenido en el puerto 80.

Un grupo de servicios se identifica por tipo de servicio e ID de servicio. Hay dos tipos de grupos de servicios:

• Servicios conocidos
• Servicios dinámicos

Los servicios conocidos son conocidos tanto por las memorias caché web como por ASA y no requieren otra descripción que una ID de servicio.

Por el contrario, los servicios dinámicos se deben describir a un ASA. El ASA se puede configurar para participar en un grupo de servicios dinámico determinado, identificado por ID de servicio, sin ningún conocimiento de las características del tráfico asociado con ese grupo de servicios. La descripción del tráfico se comunica al ASA en el mensaje WCCP2_HERE_I_AM de la primera memoria caché web para unirse al grupo de servicio. Una memoria caché web utiliza los campos Protocol, Service Flags y Port del componente Service Info para describir un servicio dinámico. Una vez que se ha definido un servicio dinámico, el ASA descarta cualquier mensaje posterior WCCP2_HERE_I_AM que contenga una descripción en conflicto. El ASA también descarta un mensaje WCCP2_HERE_I_AM que describe un grupo de servicios para el que no se ha configurado.

Los números 0 a 254 son servicios dinámicos y el servicio de caché web es un servicio estándar o bien conocido. Esto significa que cuando se especifica el servicio de caché web, el protocolo WCCP V2 ha predefinido que el tráfico del puerto de destino TCP 80 se redirigirá. Para los números del 0 al 254, cada número representa un grupo de servicios dinámico. Los WCCP CE (como Bluecoat) deben definir un conjunto de protocolos y puertos que se redirigirán para cada grupo de servicios. Luego, cuando el ASA se configura con ese mismo número de grupo de servicio (wccp 0 ... o wccp 1 ...), el ASA realiza la redirección en los protocolos y puertos especificados según lo indicado por el dispositivo Bluecoat.

Este es un ejemplo que muestra Web-Cache Identity Info:

Este es un ejemplo que muestra que la memoria caché web forma parte del grupo de servicio 0:

Este es un ejemplo que muestra un servidor de caché web como parte del grupo de servicio al cliente 91 y los puertos cuyo tráfico se redirige al servidor:

ASA responde a un mensaje WCCP2_HERE_I_AM con un mensaje WCCP2_I_SEE_USTED.

• Si el mensaje WCCP2_HERE_I_AM era unicast, el router responde inmediatamente con un mensaje WCCP2_I_SEE_You de unidifusión.
• Si el mensaje WCCP2_HERE_I_AM era multicast, el router responde con el mensaje de multidifusión programada WCCP2_I_SEE_USE para el grupo de servicio.

Este es un ejemplo del mensaje "I See You" del router/ASA, que muestra que el router se une al grupo de servicio 91 y redirige los puertos 80, 8080 y 443 al servidor de caché web:

Este es un ejemplo de un paquete GRE:

Configurar

Nota: En la lista de redirección, la lista de acceso sólo debe contener direcciones de red. No se soportan las entradas específicas del puerto.

Nota: Para obtener más información sobre el comando wccp, consulte Referencia de Comandos de Cisco ASA 5500 Series, 8.2. 

Este procedimiento describe cómo configurar WCCP en un ASA:

1. Ingrese el comando wccp para especificar el tráfico a redirigir:
   
   

   wccp {web-cache | service_number} [redirect-list access_list] [group-list access_list] 
   [password password]

2. Ingrese el comando wccp para especificar la interfaz en la que debe ocurrir la redirección del tráfico:
   
   

   wccp interface interface_name {web-cache | service_number} redirect in

Nota: La redirección WCCP se soporta solamente en el ingreso de una interfaz.

Este es un ejemplo de una configuración ASA:

access-list caching permit ip source_subnet mask any
wccp 90 redirect-list caching
wccp interface 90 redirect in

Helpful Commands:
show wccp
show wccp 90 service -> this should indicate the ports that are being serviced by this WCCP 
server. Without the 'service-flags ports-defined' in the Cache server configuration, the ports 
to be redirected are NOT passed to the ASA. Therefore, the traffic will never be redirected. 
This will result in 'Unassigned' increases with 'show wccp'.

ASA# show wccp 90 service

WCCP service information definition:
Type:          Dynamic
Id:            90
Priority:      0
Protocol:      6
Options:       0x00000013
--------
Hash:      SrcIP DstIP
Alt Hash:  -none-
Ports:     Destination:: 80 8080 0 0 0 0 0 0

ASA# show wccp 90 view

WCCP Routers Informed of:
X.X.X.X [Higher IP address on the device will be seen here]

WCCP Cache Engines Visible:
Y.Y.Y.Y [IP address of the web-cache server in the service-group 91]

Nota: Use la Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos usados en esta sección.

Verificación

Actualmente, no hay un procedimiento de verificación disponible para esta configuración.

Troubleshoot

Si la redirección no funciona como se espera, utilice estos resultados para resolver problemas. Todos estos resultados se encuentran en ASA.

• show tech-support
• show wccp [service|view|hash|bucket|detail]
• show asp table classify

Si el resultado de estos tres comandos parece válido, puede que necesite:

• Revise los registros del sistema adecuados.
• Utilice el comando capture para investigar las capturas entre la interfaz ASA y la IP del servidor de caché web y las capturas entre el cliente y el servidor web al que está tratando de acceder.

La herramienta de interpretación de información de salida (disponible para clientes registrados únicamente) admite ciertos comandos show. Utilice la herramienta para ver una análisis de información de salida del comando show.

Información Relacionada

• Guías de referencia de los firewalls de última generación Cisco ASA serie 5500
• Guías de configuración de firewalls de última generación Cisco ASA serie 5500
• Soporte Técnico y Documentación - Cisco Systems