WCCP no ASA: Conceitos, limitações e configuração

Opções de download

  • PDF     (463.8 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (270.1 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (268.7 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:31 de maio de 2013
ID do documento:116046

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introduction

Este documento descreve conceitos, limitações e configuração do Web Cache Coordination Protocol (WCCP) em um Cisco Adaptive Security Appliance (ASA). O WCCP é um método pelo qual o ASA pode redirecionar o tráfego para um mecanismo de cache do WCCP através de um túnel de encapsulamento de roteamento genérico (GRE).

Prerequisites

Requirements

A Cisco recomenda que você tenha conhecimento destes tópicos:

  • Web Cache Communications Protocol (WCCP) versão 2 (v2)
  • Cisco Adaptive Security Appliances (ASA)
  • Software Cisco Adaptive Security Appliance (ASA); leia os Guias de Configuração para compatibilidade
  • Cache de proxy
  • Redirecionamento

A Cisco também recomenda que você compreenda as limitações da configuração do WCCP no ASA, conforme explicado nestes documentos:

Componentes Utilizados

As informações neste documento são baseadas no Web Cache Communications Protocol (WCCP) versão 2 (V2).

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter informações sobre convenções de documentos.

Visão geral do WCCP e do ASA

O WCCP especifica interações entre um ou mais roteadores e um ou mais caches da Web. A finalidade da interação é estabelecer e manter o redirecionamento transparente de tipos de tráfego selecionados que fluem através de um grupo de roteadores. O tráfego selecionado é redirecionado para um grupo de caches da Web para otimizar o uso de recursos e reduzir os tempos de resposta.

Para o WCCP, o ASA escolhe o maior endereço IP configurado em uma interface e o usa como ID do roteador. Esse é exatamente o mesmo processo que o OSPF (Open Shortest Path First) segue para o ID do roteador.  Quando o ASA redireciona pacotes para o mecanismo de cache (CE), o ASA origina o redirecionamento do endereço IP do ID do roteador (mesmo que ele tenha origem em uma interface diferente) e encapsula o pacote em um cabeçalho GRE.

A conexão GRE é unidirecional. O ASA encapsula pacotes redirecionados no GRE e o envia para o mecanismo de cache. O ASA não processa respostas encapsuladas por GRE do CE. O CE precisa se comunicar diretamente com o host interno.

O fluxo de trabalho para redirecionamento tem estes passos:

  1. O host usa o gateway padrão do ASA para abrir a conexão HTTP.
  2. O ASA redireciona o pacote (encapsulado em GRE) para o CE.
  3. O CE verifica ou atualiza o cache do site solicitado.
  4. O CE responde diretamente ao host.
    • Todos os pacotes de saída do host são redirecionados do ASA para o CE.
    • Todos os pacotes de entrada do servidor para o host são direcionados do CE para o host.

 116046-config-wccp-asa-01.jpg

O ASA implementa o WCCP V2. Se o servidor suportar WCCP V2, ele deve ser compatível.

Redirecionamento de WCCP

O WCCP V2 define mecanismos que permitem que um ou mais roteadores ativados para redirecionamento transparente descubram, verifiquem e anunciem a conectividade a um ou mais caches da Web. Estas são as etapas no redirecionamento do WCCP:

  1. O usuário insere um URL em um navegador.
  2. A URL é encaminhada ao Sistema de Nomes de Domínio (DNS) para resolução de endereços.
  3. A URL é resolvida para o endereço IP do servidor Web.
  4. O cliente inicia uma conexão com o servidor com uma solicitação SYN.
  5. No roteador ativo, o serviço de cache da Web do WCCP intercepta a solicitação HTTP (porta TCP 80) e redireciona a solicitação para caches com base na distribuição de carga configurada:
    • Se houver um acerto de cache, o CE responderá ao GET original com o conteúdo solicitado e usará o endereço IP origem do servidor de origem no pacote de respostas.
    • Se o conteúdo solicitado ainda não estiver armazenado no CE, há uma falha de cache:
      1. O CE estabelece uma conexão com o servidor de origem, usa seu próprio endereço IP como origem e envia o HTTP GET.
      2. O servidor responde ao CE com conteúdo.
      3. O CE grava uma cópia do conteúdo em cache no disco.

Grupos de serviços WCCP

Quando a conectividade é estabelecida, os roteadores e os caches da Web formam grupos de serviço para lidar com o redirecionamento de tráfego cujas características fazem parte da definição do grupo de serviços.

Um cache da Web transmite uma mensagem WCCP2_HERE_I_AM para cada roteador no grupo em intervalos de 10 segundos HERE_I_AM_T para ingressar e manter sua associação em um grupo de serviços. A mensagem pode ser por unicast para cada roteador ou multicast para o endereço multicast do grupo de serviços configurado.

  • O componente Web-Cache Identity Info na mensagem WCCP2_HERE_I_AM identifica o cache da Web pelo endereço IP.
  • O componente Informações do serviço da mensagem WCCP2_HERE_I_AM identifica e descreve o grupo de serviços no qual o cache da Web deseja participar.
Grupo de serviços Tipo Descrição
Serviço 0 cache da Web Serviço de cache da Web que permite que o ASA redirecione o tráfego HTTP para o CE.
Serviço 53 DNS Serviço de cache DNS que permite que o ASA redirecione solicitações de cliente DNS de forma transparente para o mecanismo cliente.
Serviço 60 FTP nativo Serviço de cache que permite que o ASA redirecione solicitações nativas de FTP de forma transparente para uma única porta no mecanismo de conteúdo.
Serviço 70 https-cache Serviço de cache que permite ao ASA interceptar o tráfego TCP da porta 443 e redirecionar esse tráfego HTTPS para o mecanismo de conteúdo.
Serviço 80 rtsp O serviço de transmissão de mídia que permite ao ASA redirecionar solicitações de cliente do Real Time Streaming Protocol (RTSP) para uma única porta no mecanismo de conteúdo.
Serviço 81 mst Serviço de cache de mídia que permite que o ASA use o redirecionamento do Microsoft Media Server (MMST) baseado em TCP para rotear solicitações de cliente Windows Media Technology (WMT) para a porta TCP 1755 no mecanismo de conteúdo.
Serviço 82 msu Serviço de cache de mídia que permite que o ASA use o redirecionamento do Microsoft Media Server (MMSU) baseado no User Datagram Protocol (UDP) para rotear solicitações de cliente WMT para a porta 1755 UDP no mecanismo de conteúdo.
Serviço 83 wmt-rtsp Serviço de transmissão de mídia que permite ao ASA redirecionar solicitações RTSP de clientes do Windows Media Service 9 para a porta UDP 5005 no CE.
Service 90-97 configurável pelo usuário Serviços WCCP definidos pelo usuário que suportam até oito portas para cada serviço WCCP. Ao configurar esses serviços definidos pelo usuário, você deve especificar se deve redirecionar o tráfego para o aplicativo de cache HTTP, para o aplicativo HTTPS ou para o aplicativo de transmissão no mecanismo de conteúdo.
Serviço 98 cache web personalizado Serviço de cache que permite que o ASA redirecione de forma transparente o tráfego HTTP para o mecanismo de conteúdo em várias portas diferentes da porta 80.
Serviço 99 proxy reverso Serviço de cache que permite que o ASA redirecione o tráfego de proxy reverso HTTP para o mecanismo de conteúdo na porta 80.

Um grupo de serviços é identificado por Tipo de serviço e ID do serviço. Há dois tipos de grupos de serviço:

  • Serviços conhecidos
  • Serviços dinâmicos

Os serviços conhecidos são conhecidos pelo ASA e pelos caches da Web e não exigem uma descrição diferente de uma ID de serviço.

Em contrapartida, os serviços dinâmicos devem ser descritos como um ASA. O ASA pode ser configurado para participar de um grupo de serviços dinâmico específico, identificado pela ID do serviço, sem nenhum conhecimento das características do tráfego associado a esse grupo de serviços. A descrição do tráfego é comunicada ao ASA na mensagem WCCP2_HERE_I_AM do primeiro cache da Web para ingressar no grupo de serviços. Um cache da Web usa os campos Protocolo, Sinalizadores de Serviço e Porta do componente Informações de Serviço para descrever um serviço dinâmico. Depois que um serviço dinâmico é definido, o ASA descarta qualquer mensagem subsequente WCCP2_HERE_I_AM que contenha uma descrição conflitante. O ASA também descarta uma mensagem WCCP2_HERE_I_AM que descreve um grupo de serviços para o qual ele não foi configurado.

Os números de 0 a 254 são serviços dinâmicos, e o serviço de cache da Web é um serviço padrão, ou conhecido. Isso significa que, quando o serviço de cache da Web é especificado, o protocolo WCCP V2 predefiniu que o tráfego da porta de destino TCP 80 deve ser redirecionado. Para os números de 0 a 254, cada número representa um grupo de serviço dinâmico. Os CEs WCCP (como Bluecoat) devem definir um conjunto de protocolos e portas que devem ser redirecionados para cada grupo de serviços. Em seguida, quando o ASA estiver configurado com o mesmo número de grupo de serviços (wccp 0 ... ou wccp 1 ...), o ASA executa o redirecionamento nos protocolos e portas especificados, conforme orientado pelo dispositivo Bluecoat.

Este é um exemplo que mostra as informações de identidade do cache da Web:

116046-config-wccp-asa-02.jpg

Este é um exemplo que mostra que o cache da Web faz parte do grupo de serviços 0:

116046-config-wccp-asa-03.jpg

Este é um exemplo que mostra um servidor de cache da Web como parte do grupo de atendimento ao cliente 91 e as portas cujo tráfego é redirecionado para o servidor:

116046-config-wccp-asa-04.jpg

O ASA responde a uma mensagem WCCP2_HERE_I_AM com uma mensagem WCCP2_I_SEE_VOCÊ.

  • Se a mensagem WCCP2_HERE_I_AM foi unicast, o roteador responde imediatamente com uma mensagem unicast WCCP2_I_SEE_You.
  • Se a mensagem WCCP2_HERE_I_AM foi multicast, o roteador responde com a mensagem de multicast WCCP2_I_SEE_You programada para o grupo de serviços.

Este é um exemplo da mensagem 'Eu vejo você' do roteador/ASA, que mostra que o roteador ingressa no grupo de serviços 91 e redireciona as portas 80, 8080 e 443 para o servidor de cache da Web:

116046-config-wccp-asa-05.jpg

Este é um exemplo de pacote GRE:

116046-config-wccp-asa-06.jpg

Configurar

Note: Na lista de redirecionamento, a lista de acesso deve conter apenas endereços de rede. Entradas específicas de porta não são suportadas.

Note: Para obter mais informações sobre o comando wccp, consulte Referência de Comandos do Cisco ASA 5500 Series, 8.2

Este procedimento descreve como configurar o WCCP em um ASA:

  1. Insira o comando wccp para especificar o tráfego a ser redirecionado:

    wccp {web-cache | service_number} [redirect-list access_list] [group-list access_list] 
    [password password]
  2. Insira o comando wccp para especificar a interface na qual o redirecionamento de tráfego deve ocorrer:

    wccp interface interface_name {web-cache | service_number} redirect in

Note: O redirecionamento de WCCP é suportado somente na entrada de uma interface.

Este é um exemplo de uma configuração do ASA:

access-list caching permit ip source_subnet mask any
wccp 90 redirect-list caching
wccp interface 90 redirect in
Helpful Commands:
show wccp
show wccp 90 service -> this should indicate the ports that are being serviced by this WCCP 
server. Without the 'service-flags ports-defined' in the Cache server configuration, the ports 
to be redirected are NOT passed to the ASA. Therefore, the traffic will never be redirected. 
This will result in 'Unassigned' increases with 'show wccp'.

ASA# show wccp 90 service

WCCP service information definition:
Type:          Dynamic
Id:            90
Priority:      0
Protocol:      6
Options:       0x00000013
--------
Hash:      SrcIP DstIP
Alt Hash:  -none-
Ports:     Destination:: 80 8080 0 0 0 0 0 0

ASA# show wccp 90 view

WCCP Routers Informed of:
X.X.X.X [Higher IP address on the device will be seen here]

WCCP Cache Engines Visible:
Y.Y.Y.Y [IP address of the web-cache server in the service-group 91]

Note: Use a Command Lookup Tool ( somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Verificar

No momento, não há procedimento de verificação disponível para esta configuração.

Troubleshoot

Se o redirecionamento não funcionar como esperado, use essas saídas para solucionar problemas. Todas essas saídas estão no ASA.

  • show tech-support
  • show wccp [service|view|hash|bucket|detail]
  • show asp table classify

Se a saída desses três comandos parecer válida, talvez seja necessário:

  • Revise os syslogs apropriados.
  • Use o comando capture para investigar capturas entre a interface ASA e o IP do servidor de cache da Web e capturas entre o cliente e o servidor da Web que ele está tentando acessar.

A ferramenta Output Interpreter (exclusiva para clientes registrados) é compatível com alguns comandos de exibição.. Use a ferramenta Output Interpreter para visualizar uma análise do resultado gerado pelo comando show..

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
31-May-2013
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

  • Sourav Kakkar
    Cisco TAC Engineer.

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos