ASA上的WCCP:概念、限制和配置

簡介

本檔案介紹思科調適型安全裝置(ASA)上Web快取協調通訊協定(WCCP)的概念、限制和設定。WCCP是ASA通過通用路由封裝(GRE)隧道將流量重定向到WCCP快取引擎的一種方法。

必要條件

需求

思科建議您瞭解以下主題：

• 網路快取通訊協定(WCCP)第2版(v2)
• 思科調適型安全裝置(ASA)
• Cisco Adaptive Security Appliance(ASA)軟體；請參閱組態設定指南瞭解相容性
• 代理快取
• 重新導向

思科還建議您瞭解ASA上WCCP配置的限制，如以下文檔中所述：

• 使用CLI的Cisco ASA 5500系列配置指南8.2:使用WCCP配置Web快取服務：准則和限制
• Cisco ASA系列CLI配置指南9.0:使用WCCP配置Web快取服務

採用元件

本檔案中的資訊是根據Web快取通訊協定(WCCP)第2版(V2)。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。

慣例

如需檔案慣例的相關資訊，請參閱思科技術提示慣例。

WCCP和ASA概述

WCCP指定一個或多個路由器與一個或多個網路快取之間的互動。互動的目的是建立和維護流經一組路由器的選定流量型別的公開重新導向。選取的流量將重新導向至一組web快取，以最佳化資源使用方式並減少回應次數。

對於WCCP，ASA選擇介面上配置的最高IP地址並將其用作路由器ID。對於路由器ID，這是完全相同的開放最短路徑優先(OSPF)流程。  當ASA將資料包重定向到快取引擎(CE)時，ASA從路由器ID IP地址獲取重定向（即使該重定向源自不同的介面）並將資料包封裝在GRE報頭中。

GRE連線是單向的。ASA將重定向的資料包封裝在GRE中，並將其傳送到快取引擎。ASA不會處理來自CE的任何GRE封裝響應。CE需要直接與內部主機通訊。

重新導向的工作流程包括以下步驟：

1. 主機使用ASA的預設網關開啟HTTP連線。
2. ASA將資料包（封裝在GRE中）重定向到CE。
3. CE驗證或更新所請求站點的快取。
4. CE直接回覆主機。
   • 來自主機的所有出站資料包都從ASA重定向到CE。
   • 從伺服器到主機的所有入站資料包都從CE定向到主機。

 

ASA實施WCCP V2。如果伺服器支援WCCP V2，則它應該是相容的。

WCCP重新導向

WCCP V2定義了一種機制，允許一個或多個啟用透明重定向的路由器發現、驗證和通告與一個或多個網路快取的連線。以下是WCCP重新導向的步驟：

1. 使用者在瀏覽器中輸入URL。
2. 該URL會被轉送到網域名稱系統(DNS)以進行位址解析。
3. URL解析為Web伺服器的IP地址。
4. 客戶端使用SYN請求發起與伺服器的連線。
5. 在活動路由器上，WCCP Web快取服務擷取HTTP請求（TCP埠80），並根據配置的負載分佈將請求重定向到快取：
   • 如果快取命中，則CE使用請求的內容對原始GET作出響應，並在響應包中使用源伺服器的源IP地址。
   • 如果請求的內容尚未儲存在CE上，則存在快取缺失：
   1. CE建立與源伺服器的連線，使用自己的IP地址作為源，並傳送HTTP GET。
   2. 伺服器使用內容響應CE。
   3. CE將可快取內容的副本寫入磁碟。

WCCP服務組

建立連線後，路由器和Web快取會形成服務組，以便處理特性屬於服務組定義的流量的重新導向。

Web快取記憶體以HERE_I_AM_T(10)秒間隔向組中的每台路由器傳送WCCP2_HERE_I_AM消息，以便加入和維護其在服務組中的成員資格。消息可以通過單播傳送到每台路由器，或通過組播傳送到已配置的服務組組播地址。

• WCCP2_HERE_I_AM消息中的Web-Cache Identity Info元件按IP地址標識Web快取。
• WCCP2_HERE_I_AM消息的服務資訊元件標識並描述Web快取希望參與的服務組。

服務組	類型	說明
服務0	Web快取	允許ASA將HTTP流量重定向到CE的Web快取服務。
服務53	DNS	允許ASA透明地將DNS客戶端請求重定向到客戶端引擎的DNS快取服務。
服務60	FTP-native	快取服務，允許ASA透明地將FTP本機請求重定向到內容引擎上的單個埠。
服務70	https快取	允許ASA攔截埠443 TCP流量並將此HTTPS流量重定向到內容引擎的快取服務。
服務80	rtsp	允許ASA將即時流協定(RTSP)客戶端請求重定向到內容引擎上的單個埠的媒體流服務。
服務81	mmst	允許ASA使用基於TCP的Microsoft Media Server(MMST)重定向的媒體快取服務，以便將Windows Media Technology(WMT)客戶端請求路由到內容引擎上的TCP埠1755。
服務82	mmsu	允許ASA使用基於使用者資料包協定(UDP)的Microsoft媒體伺服器(MMSU)重定向的媒體快取服務，以便將WMT客戶端請求路由到內容引擎上的UDP埠1755。
服務83	wmt-rtsp	允許ASA將來自Windows Media Service 9客戶端的RTSP請求重定向到CE上的UDP埠5005的媒體流服務。
服務90-97	使用者可配置	使用者定義的WCCP服務，為每個WCCP服務支援最多8個埠。配置這些使用者定義的服務時，必須指定是否將流量重定向到HTTP快取應用程式、HTTPS應用程式或內容引擎上的流應用程式。
服務98	自定義web快取	允許ASA透明地將HTTP流量重定向到埠80之外的多個埠上的內容引擎的快取服務。
服務99	反向代理	允許ASA將HTTP反向代理流量重定向到埠80上的內容引擎的快取服務。

服務組由服務型別和服務ID標識。有兩種型別的服務組：

• 知名服務
• 動態服務

ASA和Web快取都知道已知服務，並且不需要服務ID以外的說明。

相反，必須向ASA描述動態服務。可以將ASA配置為參與由服務ID標識的特定動態服務組，而不瞭解與該服務組相關聯的流量的特性。在第一個Web快取的WCCP2_HERE_I_AM消息中向ASA傳遞流量描述以加入服務組。Web快取使用「服務資訊」元件的「協定」、「服務標誌」和「埠」欄位來描述動態服務。定義動態服務後，ASA會丟棄包含衝突描述的任何後續WCCP2_HERE_I_AM消息。ASA還丟棄描述其尚未配置的服務組的WCCP2_HERE_I_AM消息。

數字0到254是動態服務，而Web快取服務是標準服務或公認服務。這意味著當指定Web快取服務時，WCCP V2協定已預定義TCP目標埠80流量將被重定向。對於數字0到254，每個數字代表一個動態服務組。WCCP CE（如Bluecoat）將定義一組協定和埠，這些協定和埠將針對每個服務組進行重定向。然後，當ASA配置為使用相同的服務組編號（wccp 0 ...或wccp 1 ...）時，ASA會按照Bluecoat裝置的指示，在指定的協定和埠上執行重定向。

以下示例顯示Web-Cache身份資訊：

以下示例顯示Web快取是服務組0的一部分：

以下範例顯示作為客戶服務群組91一部分的Web快取伺服器，以及流量重新導向到該伺服器的連線埠：

ASA使用WCCP2_I_SEE_YOU消息響應WCCP2_HERE_I_AM消息。

• 如果WCCP2_HERE_I_AM消息是單播，則路由器立即使用單播WCCP2_I_SEE_YOU消息進行響應。
• 如果WCCP2_HERE_I_AM消息是組播，則路由器會使用服務組的計畫組播WCCP2_I_SEE_YOU消息進行響應。

以下是router/ASA 'I See You'（路由器/ASA『I See You'）消息的示例，該消息顯示路由器加入服務組91並將埠80、8080和443重定向到Web快取伺服器：

以下是GRE封包的範例：

設定

附註：在redirect-list中，存取清單應僅包含網路位址。不支援埠特定的條目。

附註：有關wccp命令的詳細資訊，請參閱Cisco ASA 5500系列命令參考8.2。 

以下過程介紹如何在ASA上配置WCCP:

1. 輸入wccp命令以指定要重新導向的流量：
   
   

   wccp {web-cache | service_number} [redirect-list access_list] [group-list access_list] 
   [password password]

2. 輸入wccp命令以指定應發生流量重新導向的介面：
   
   

   wccp interface interface_name {web-cache | service_number} redirect in

附註：WCCP重新導向僅在介面的輸入上支援。

以下是ASA配置的示例：

access-list caching permit ip source_subnet mask any
wccp 90 redirect-list caching
wccp interface 90 redirect in

Helpful Commands:
show wccp
show wccp 90 service -> this should indicate the ports that are being serviced by this WCCP 
server. Without the 'service-flags ports-defined' in the Cache server configuration, the ports 
to be redirected are NOT passed to the ASA. Therefore, the traffic will never be redirected. 
This will result in 'Unassigned' increases with 'show wccp'.

ASA# show wccp 90 service

WCCP service information definition:
Type:          Dynamic
Id:            90
Priority:      0
Protocol:      6
Options:       0x00000013
--------
Hash:      SrcIP DstIP
Alt Hash:  -none-
Ports:     Destination:: 80 8080 0 0 0 0 0 0

ASA# show wccp 90 view

WCCP Routers Informed of:
X.X.X.X [Higher IP address on the device will be seen here]

WCCP Cache Engines Visible:
Y.Y.Y.Y [IP address of the web-cache server in the service-group 91]

附註：使用命令查詢工具(僅供已註冊客戶使用)可獲取本節中使用的命令的更多資訊。

驗證

目前沒有適用於此組態的驗證程序。

疑難排解

如果重新導向未如預期般運作，請使用以下輸出進行疑難排解。所有這些輸出都在ASA上。

• show tech-support
• show wccp [service|view|hash|bucket|detail]
• show asp table classify

如果這三個命令的輸出看起來有效，則您可能需要：

• 檢視相應的系統日誌。
• 使用capture命令檢查ASA介面與Web快取伺服器IP之間的捕獲以及客戶端與其嘗試訪問的Web伺服器之間的捕獲。

輸出直譯器工具(僅供已註冊客戶使用)支援某些show命令。使用輸出直譯器工具來檢視show命令輸出的分析。

相關資訊

• Cisco ASA 5500系列下一代防火牆參考指南
• Cisco ASA 5500系列下一代防火牆配置指南
• 技術支援與文件 - Cisco Systems