WCCP su ASA: Concetti, limitazioni e configurazione

Introduzione

In questo documento vengono descritti i concetti, le limitazioni e la configurazione del protocollo WCCP (Web Cache Coordination Protocol) su un'appliance Cisco Adaptive Security (ASA). WCCP è un metodo con cui l'ASA può reindirizzare il traffico a un motore di cache WCCP tramite un tunnel GRE (Generic Routing Encapsulation).

Prerequisiti

Requisiti

Cisco raccomanda la conoscenza dei seguenti argomenti:

• Protocollo WCCP (Web Cache Communications Protocol) versione 2 (v2)
• Appliance Cisco Adaptive Security (ASA)
• Software Cisco Adaptive Security Appliance (ASA); consultare le guide alla configurazione per la compatibilità
• Cache proxy
• Reindirizzamento

Cisco consiglia inoltre di comprendere i limiti della configurazione WCCP sull'appliance ASA, come spiegato nei seguenti documenti:

• Guida alla configurazione di Cisco ASA serie 5500 dall'interfaccia CLI, 8.2: Configurazione dei servizi Web Cache mediante WCCP: Linee guida e limitazioni
• Cisco ASA Series CLI Configuration Guide, 9.0: Configurazione dei servizi Web Cache tramite WCCP

Componenti usati

Il riferimento delle informazioni contenute in questo documento è il protocollo WCCP (Web Cache Communications Protocol) versione 2 (V2).

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Convenzioni

Per ulteriori informazioni sulle convenzioni usate, consultare il documento Cisco sulle convenzioni nei suggerimenti tecnici.

Panoramica di WCCP e ASA

Il protocollo WCCP specifica le interazioni tra uno o più router e una o più cache Web. Lo scopo dell'interazione è quello di stabilire e mantenere il reindirizzamento trasparente dei tipi di traffico selezionati che passano attraverso un gruppo di router. Il traffico selezionato viene reindirizzato a un gruppo di cache Web al fine di ottimizzare l'utilizzo delle risorse e ridurre i tempi di risposta.

Per il protocollo WCCP, l'ASA sceglie l'indirizzo IP più alto configurato su un'interfaccia e lo utilizza come ID del router. Si tratta esattamente dello stesso processo seguito da Open Shortest Path First (OSPF) per l'ID del router.  Quando l'ASA reindirizza i pacchetti al motore di cache (CE), il reindirizzamento viene originato dall'indirizzo IP dell'ID del router (anche se l'origine è un'interfaccia diversa) e il pacchetto viene incapsulato in un'intestazione GRE.

La connessione GRE è unidirezionale. L'ASA incapsula i pacchetti reindirizzati nel GRE e li invia al motore di cache. L'ASA non elabora le risposte incapsulate dal GRE provenienti dal CE. Il CE deve comunicare direttamente con l'host interno.

Il flusso di lavoro per il reindirizzamento prevede i passaggi seguenti:

1. L'host usa il gateway predefinito dell'ASA per aprire la connessione HTTP.
2. L'ASA reindirizza il pacchetto (incapsulato nel GRE) al CE.
3. Il CE verifica o aggiorna la cache per il sito richiesto.
4. Il CE risponde direttamente all'host.
   • Tutti i pacchetti in uscita dall'host vengono reindirizzati dall'ASA al CE.
   • Tutti i pacchetti in entrata dal server all'host vengono indirizzati dal CE all'host.

 

L'ASA implementa WCCP V2. Se il server supporta WCCP V2, deve essere compatibile.

Reindirizzamento WCCP

WCCP V2 definisce meccanismi che consentono a uno o più router abilitati per il reindirizzamento trasparente di individuare, verificare e annunciare la connettività a una o più cache Web. Di seguito sono riportati i passaggi del reindirizzamento WCCP:

1. L'utente immette un URL in un browser.
2. L'URL viene inoltrato al DNS (Domain Name System) per la risoluzione degli indirizzi.
3. L'URL viene risolto nell'indirizzo IP del server Web.
4. Il client avvia una connessione al server con una richiesta SYN.
5. Sul router attivo, il servizio cache Web WCCP intercetta la richiesta HTTP (porta TCP 80) e reindirizza la richiesta alle cache in base alla distribuzione del carico configurato:
   • In caso di riscontro nella cache, il CE risponde al GET originale con il contenuto richiesto e utilizza l'indirizzo IP di origine del server di origine nel Response Pack.
   • Se il contenuto richiesto non è già archiviato nel CE, si verifica un errore nella cache:
   1. Il CE stabilisce una connessione al server di origine, utilizza il proprio indirizzo IP come origine e invia HTTP GET.
   2. Il server risponde a CE con il contenuto.
   3. Il CE scrive una copia del contenuto inseribile nella cache sul disco.

Gruppi di servizi WCCP

Una volta stabilita la connettività, i router e le cache Web formano i gruppi di servizi per gestire il reindirizzamento del traffico le cui caratteristiche fanno parte della definizione del gruppo di servizi.

Una cache Web trasmette un messaggio WCCP2_HERE_I_AM a ciascun router del gruppo a intervalli di HERE_I_AM_T (10) secondi al fine di unirsi e mantenere la propria appartenenza a un gruppo di servizi. Il messaggio può essere unicast per ogni router o multicast per l'indirizzo multicast del gruppo di servizi configurato.

• Il componente Web-Cache Identity Info nel messaggio WCCP2_HERE_I_AM identifica la cache Web per indirizzo IP.
• Il componente Service Info del messaggio WCCP2_HERE_I_AM identifica e descrive il gruppo di servizi a cui la Web Cache desidera partecipare.

Gruppo di servizi	Tipo	Descrizione
Servizio 0	cache Web	Servizio di cache Web che consente all'ASA di reindirizzare il traffico HTTP al CE.
Servizio 53	DNS	Servizio di memorizzazione nella cache DNS che consente all'ASA di reindirizzare in modo trasparente le richieste client DNS al motore client.
Servizio 60	FTP-nativo	Servizio di memorizzazione nella cache che consente all'ASA di reindirizzare le richieste native FTP in modo trasparente a una singola porta sul motore dei contenuti.
Servizio 70	https-cache	Servizio di memorizzazione nella cache che consente all'ASA di intercettare il traffico TCP della porta 443 e di reindirizzare il traffico HTTPS al motore dei contenuti.
Servizio 80	rtsp	Servizio di streaming multimediale che consente all'ASA di reindirizzare le richieste client RTSP (Real Time Streaming Protocol) a una singola porta sul motore dei contenuti.
Servizio 81	mst	Servizio di cache dei supporti che consente all'ASA di utilizzare il reindirizzamento MMST (Microsoft Media Server) basato su TCP per indirizzare le richieste client WMT (Windows Media Technology) alla porta TCP 1755 sul motore dei contenuti.
Servizio 82	msu	Servizio di cache dei supporti che consente all'ASA di utilizzare il reindirizzamento MMSU (Microsoft Media Server) basato su UDP (User Datagram Protocol) per indirizzare le richieste dei client WMT alla porta UDP 1755 sul motore dei contenuti.
Servizio 83	wmt-rtsp	Servizio di streaming multimediale che consente all'ASA di reindirizzare le richieste RTSP dai client Windows Media Service 9 alla porta UDP 5005 sul CE.
Servizio 90-97	configurabile dall'utente	Servizi WCCP definiti dall'utente che supportano fino a otto porte per ogni servizio WCCP. Quando si configurano questi servizi definiti dall'utente, è necessario specificare se reindirizzare il traffico all'applicazione di memorizzazione nella cache HTTP, all'applicazione HTTPS o all'applicazione di flusso nel motore del contenuto.
Servizio 98	custom-web-cache	Servizio di memorizzazione nella cache che consente all'ASA di reindirizzare in modo trasparente il traffico HTTP al Content Engine su più porte diverse dalla porta 80.
Servizio 99	proxy inverso	Servizio di cache che consente all'ASA di reindirizzare il traffico proxy inverso HTTP al Content Engine sulla porta 80.

Un gruppo di servizi è identificato da Tipo di servizio e ID servizio. Esistono due tipi di gruppi di servizi:

• Servizi noti
• Servizi dinamici

I servizi conosciuti sono noti sia dall'ASA che dalle cache Web e non richiedono una descrizione diversa da un ID servizio.

I servizi dinamici devono invece essere descritti su un'appliance ASA. L'ASA può essere configurata per partecipare a un particolare gruppo di servizi dinamici, identificato dall'ID del servizio, senza conoscere le caratteristiche del traffico associato a tale gruppo di servizi. La descrizione del traffico viene comunicata all'ASA nel messaggio WCCP2_HERE_I_AM della prima cache Web per il collegamento al gruppo di servizi. Una cache Web utilizza i campi Protocollo, Flag di servizio e Porta del componente Service Info per descrivere un servizio dinamico. Dopo aver definito un servizio dinamico, l'ASA elimina tutti i successivi messaggi WCCP2_HERE_I_AM che contengono una descrizione in conflitto. L'ASA elimina anche un messaggio WCCP2_HERE_I_AM che descrive un gruppo di servizi per cui non è stato configurato.

I numeri da 0 a 254 sono servizi dinamici e il servizio cache Web è un servizio standard o conosciuto. Ciò significa che quando si specifica il servizio cache Web, il protocollo WCCP V2 ha predefinito il reindirizzamento del traffico sulla porta di destinazione TCP 80. Per i numeri da 0 a 254, ogni numero rappresenta un gruppo di servizi dinamico. Gli EC WCCP (ad esempio Bluecoat) devono definire un set di protocolli e porte da reindirizzare per ogni gruppo di servizi. Quindi, quando l'ASA è configurata con lo stesso numero di gruppo di servizi (wccp 0 ... o wccp 1 ...), l'ASA esegue il reindirizzamento sui protocolli e sulle porte specificati, come indicato dal dispositivo Bluecoat.

Questo è un esempio che mostra le informazioni sull'identità della Web Cache:

Questo esempio mostra che la cache Web fa parte del gruppo di servizi 0:

In questo esempio viene mostrato un server cache Web come parte del gruppo di assistenza clienti 91 e le porte il cui traffico viene reindirizzato al server:

L'ASA risponde a un messaggio WCCP2_HERE_I_AM con un messaggio WCCP2_I_SEE_YOU.

• Se il messaggio WCCP2_HERE_I_AM è unicast, il router risponde immediatamente con un messaggio unicast WCCP2_I_SEE_YOU.
• Se il messaggio WCCP2_HERE_I_AM è multicast, il router risponde con il messaggio WCCP2_I_SEE_YOU multicast pianificato per il gruppo di servizi.

Questo è un esempio di messaggio 'I See You' di router/ASA, che mostra che il router si unisce al gruppo di servizi 91 e reindirizza le porte 80, 8080 e 443 al server Web Cache:

Questo è un esempio di pacchetto GRE:

Configurazione

Nota: In redirect-list l'elenco degli accessi deve contenere solo indirizzi di rete. Le voci specifiche della porta non sono supportate.

Nota: Per ulteriori informazioni sul comando wccp, consultare la guida di riferimento dei comandi di Cisco ASA serie 5500, versione 8.2. 

In questa procedura viene descritto come configurare WCCP su un'ASA:

1. Immettere il comando wccp per specificare il traffico da reindirizzare:
   
   

   wccp {web-cache | service_number} [redirect-list access_list] [group-list access_list] 
   [password password]

2. Immettere il comando wccp per specificare l'interfaccia su cui eseguire il reindirizzamento del traffico:
   
   

   wccp interface interface_name {web-cache | service_number} redirect in

Nota: Il reindirizzamento WCCP è supportato solo in ingresso su un'interfaccia.

Questo è un esempio di configurazione ASA:

access-list caching permit ip source_subnet mask any
wccp 90 redirect-list caching
wccp interface 90 redirect in

Helpful Commands:
show wccp
show wccp 90 service -> this should indicate the ports that are being serviced by this WCCP 
server. Without the 'service-flags ports-defined' in the Cache server configuration, the ports 
to be redirected are NOT passed to the ASA. Therefore, the traffic will never be redirected. 
This will result in 'Unassigned' increases with 'show wccp'.

ASA# show wccp 90 service

WCCP service information definition:
Type:          Dynamic
Id:            90
Priority:      0
Protocol:      6
Options:       0x00000013
--------
Hash:      SrcIP DstIP
Alt Hash:  -none-
Ports:     Destination:: 80 8080 0 0 0 0 0 0

ASA# show wccp 90 view

WCCP Routers Informed of:
X.X.X.X [Higher IP address on the device will be seen here]

WCCP Cache Engines Visible:
Y.Y.Y.Y [IP address of the web-cache server in the service-group 91]

Nota: per ulteriori informazioni sui comandi menzionati in questa sezione, usare lo strumento di ricerca dei comandi (solo utenti registrati).

Verifica

Attualmente non è disponibile una procedura di verifica per questa configurazione.

Risoluzione dei problemi

Se il reindirizzamento non funziona come previsto, utilizzare questi output per risolvere il problema. Tutti questi output sono sull'appliance ASA.

• show tech-support
• show wccp [service|view|hash|bucket|detail]
• mostra classificazione tabella asp

Se l'output di questi tre comandi risulta valido, potrebbe essere necessario:

• Esaminare i syslog appropriati.
• Usare il comando capture per verificare le acquisizioni tra l'interfaccia ASA e l'indirizzo IP del server Web cache e le acquisizioni tra il client e il server Web a cui sta tentando di accedere.

Lo strumento Output Interpreter (solo utenti registrati) supporta alcuni comandi show. Usare lo strumento Output Interpreter per visualizzare un'analisi dell'output del comando show.

Informazioni correlate

• Guide di riferimento per i firewall Cisco ASA serie 5500 di nuova generazione
• Guide alla configurazione dei firewall di nuova generazione Cisco ASA serie 5500
• Documentazione e supporto tecnico – Cisco Systems