Este documento describe los conceptos, limitaciones y configuración del protocolo de coordinación de caché web (WCCP) en un dispositivo de seguridad adaptable (ASA) de Cisco. WCCP es un método mediante el cual el ASA puede redirigir el tráfico a un motor de almacenamiento en caché WCCP a través de un túnel de encapsulación de routing genérico (GRE).
Cisco recomienda que tenga conocimiento sobre estos temas:
Cisco también recomienda que entienda las limitaciones de la configuración WCCP en el ASA, como se explica en estos documentos:
La información de este documento se basa en el protocolo de comunicaciones de caché web (WCCP) versión 2 (V2).
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
WCCP especifica las interacciones entre uno o más routers y una o más memorias caché web. El propósito de la interacción es establecer y mantener la redirección transparente de tipos seleccionados de tráfico que fluyen a través de un grupo de routers. El tráfico seleccionado se redirige a un grupo de memorias caché web para optimizar el uso de los recursos y reducir los tiempos de respuesta.
Para WCCP, el ASA elige la dirección IP más alta configurada en una interfaz y la utiliza como ID de router. Este es exactamente el mismo proceso que sigue Open Shortest Path First (OSPF) para el ID del router. Cuando el ASA redirige los paquetes al motor de memoria caché (CE), el ASA origina la redirección desde la dirección IP de ID de router (incluso si se origina en una interfaz diferente) y encapsula el paquete en un encabezado GRE.
La conexión GRE es unidireccional. El ASA encapsula los paquetes redirigidos en GRE y los envía al motor de almacenamiento en caché. El ASA no procesa ninguna respuesta encapsulada GRE del CE. El CE necesita comunicarse directamente con el host interno.
El flujo de trabajo para la redirección tiene estos pasos:
ASA implementa WCCP V2. Si el servidor admite WCCP V2, debe ser compatible.
WCCP V2 define los mecanismos que permiten que uno o más routers habilitados para la redirección transparente descubran, verifiquen y anuncien la conectividad a una o más memorias caché web. Estos son los pasos en la redirección WCCP:
Una vez establecida la conectividad, los routers y las memorias caché web forman grupos de servicios para manejar la redirección del tráfico cuyas características forman parte de la definición de grupo de servicios.
Una memoria caché web transmite un mensaje WCCP2_HERE_I_AM a cada router del grupo en intervalos de 10 segundos HERE_I_AM_T para unirse y mantener su pertenencia a un grupo de servicios. El mensaje puede ser unicast a cada router o multicast a la dirección multicast del grupo de servicios configurado.
Grupo de servicios | Tipo | Descripción |
Servicio 0 | Caché web | Servicio de almacenamiento en caché web que permite al ASA redirigir el tráfico HTTP al CE. |
Servicio 53 | DNS | Servicio de almacenamiento en caché DNS que permite al ASA redirigir las solicitudes de cliente DNS de forma transparente al motor cliente. |
Servicio 60 | FTP nativo | Servicio de almacenamiento en caché que permite al ASA redirigir las solicitudes nativas de FTP de forma transparente a un único puerto del motor de contenido. |
Servicio 70 | https-cache | Servicio de almacenamiento en caché que permite al ASA interceptar el tráfico TCP del puerto 443 y redirigir este tráfico HTTPS al motor de contenido. |
Servicio 80 | rtsp | Servicio de transmisión de medios que permite al ASA redirigir solicitudes de cliente de protocolo de transmisión en tiempo real (RTSP) a un único puerto del motor de contenido. |
Servicio 81 | mmst | Servicio de almacenamiento en caché de medios que permite al ASA utilizar la redirección de Microsoft Media Server (MMST) basada en TCP para enrutar las solicitudes de cliente de la tecnología de medios de Windows (WMT) al puerto TCP 1755 en el motor de contenido. |
Servicio 82 | mmsu | Servicio de almacenamiento en caché de medios que permite al ASA utilizar la redirección de Microsoft Media Server (MMSU) basada en el protocolo de datagramas de usuario (UDP) para enrutar las solicitudes de cliente WMT al puerto UDP 1755 en el motor de contenido. |
Servicio 83 | wmt-rtsp | Servicio de transmisión de medios que permite al ASA redirigir solicitudes RTSP de clientes Windows Media Service 9 al puerto UDP 5005 en el CE. |
Servicio 90-97 | configurable por el usuario | Servicios WCCP definidos por el usuario que admiten hasta ocho puertos para cada servicio WCCP. Al configurar estos servicios definidos por el usuario, debe especificar si se redirigirá el tráfico a la aplicación de almacenamiento en caché HTTP, a la aplicación HTTPS o a la aplicación de streaming en el motor de contenido. |
Servicio 98 | custom-web-cache | Servicio de almacenamiento en caché que permite al ASA redirigir de forma transparente el tráfico HTTP al motor de contenido en varios puertos distintos del puerto 80. |
Servicio 99 | proxy inverso | Servicio de almacenamiento en caché que permite al ASA redirigir el tráfico HTTP inverso de proxy al motor de contenido en el puerto 80. |
Un grupo de servicios se identifica por tipo de servicio e ID de servicio. Hay dos tipos de grupos de servicios:
Los servicios conocidos son conocidos tanto por las memorias caché web como por ASA y no requieren otra descripción que una ID de servicio.
Por el contrario, los servicios dinámicos se deben describir a un ASA. El ASA se puede configurar para participar en un grupo de servicios dinámico determinado, identificado por ID de servicio, sin ningún conocimiento de las características del tráfico asociado con ese grupo de servicios. La descripción del tráfico se comunica al ASA en el mensaje WCCP2_HERE_I_AM de la primera memoria caché web para unirse al grupo de servicio. Una memoria caché web utiliza los campos Protocol, Service Flags y Port del componente Service Info para describir un servicio dinámico. Una vez que se ha definido un servicio dinámico, el ASA descarta cualquier mensaje posterior WCCP2_HERE_I_AM que contenga una descripción en conflicto. El ASA también descarta un mensaje WCCP2_HERE_I_AM que describe un grupo de servicios para el que no se ha configurado.
Los números 0 a 254 son servicios dinámicos y el servicio de caché web es un servicio estándar o bien conocido. Esto significa que cuando se especifica el servicio de caché web, el protocolo WCCP V2 ha predefinido que el tráfico del puerto de destino TCP 80 se redirigirá. Para los números del 0 al 254, cada número representa un grupo de servicios dinámico. Los WCCP CE (como Bluecoat) deben definir un conjunto de protocolos y puertos que se redirigirán para cada grupo de servicios. Luego, cuando el ASA se configura con ese mismo número de grupo de servicio (wccp 0 ... o wccp 1 ...), el ASA realiza la redirección en los protocolos y puertos especificados según lo indicado por el dispositivo Bluecoat.
Este es un ejemplo que muestra Web-Cache Identity Info:
Este es un ejemplo que muestra que la memoria caché web forma parte del grupo de servicio 0:
Este es un ejemplo que muestra un servidor de caché web como parte del grupo de servicio al cliente 91 y los puertos cuyo tráfico se redirige al servidor:
ASA responde a un mensaje WCCP2_HERE_I_AM con un mensaje WCCP2_I_SEE_USTED.
Este es un ejemplo del mensaje "I See You" del router/ASA, que muestra que el router se une al grupo de servicio 91 y redirige los puertos 80, 8080 y 443 al servidor de caché web:
Este es un ejemplo de un paquete GRE:
Este procedimiento describe cómo configurar WCCP en un ASA:
wccp {web-cache | service_number} [redirect-list access_list] [group-list access_list]
[password password]
wccp interface interface_name {web-cache | service_number} redirect in
Este es un ejemplo de una configuración ASA:
access-list caching permit ip source_subnet mask any
wccp 90 redirect-list caching
wccp interface 90 redirect in
Helpful Commands:
show wccp
show wccp 90 service -> this should indicate the ports that are being serviced by this WCCP
server. Without the 'service-flags ports-defined' in the Cache server configuration, the ports
to be redirected are NOT passed to the ASA. Therefore, the traffic will never be redirected.
This will result in 'Unassigned' increases with 'show wccp'.
ASA# show wccp 90 service
WCCP service information definition:
Type: Dynamic
Id: 90
Priority: 0
Protocol: 6
Options: 0x00000013
--------
Hash: SrcIP DstIP
Alt Hash: -none-
Ports: Destination:: 80 8080 0 0 0 0 0 0
ASA# show wccp 90 view
WCCP Routers Informed of:
X.X.X.X [Higher IP address on the device will be seen here]
WCCP Cache Engines Visible:
Y.Y.Y.Y [IP address of the web-cache server in the service-group 91]
Actualmente, no hay un procedimiento de verificación disponible para esta configuración.
Si la redirección no funciona como se espera, utilice estos resultados para resolver problemas. Todos estos resultados se encuentran en ASA.
Si el resultado de estos tres comandos parece válido, puede que necesite:
La herramienta de interpretación de información de salida (disponible para clientes registrados únicamente) admite ciertos comandos show. Utilice la herramienta para ver una análisis de información de salida del comando show.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
31-May-2013 |
Versión inicial |