Ce document décrit les concepts, les limites et la configuration du protocole WCCP (Web Cache Coordination Protocol) sur un appareil de sécurité adaptatif Cisco (ASA). WCCP est une méthode par laquelle l'ASA peut rediriger le trafic vers un moteur de mise en cache WCCP via un tunnel GRE (Generic Routing Encapsulation).
Cisco vous recommande de prendre connaissance des rubriques suivantes :
Cisco vous recommande également de comprendre les limites de la configuration WCCP sur l'ASA, comme expliqué dans ces documents :
Les informations de ce document sont basées sur le protocole WCCP (Web Cache Communications Protocol) version 2 (V2).
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.
Le WCCP spécifie les interactions entre un ou plusieurs routeurs et un ou plusieurs caches Web. L'objectif de l'interaction est d'établir et de maintenir la redirection transparente de certains types de trafic qui transitent par un groupe de routeurs. Le trafic sélectionné est redirigé vers un groupe de caches Web afin d'optimiser l'utilisation des ressources et de réduire les temps de réponse.
Pour WCCP, l'ASA choisit l'adresse IP la plus élevée configurée sur une interface et l'utilise comme ID de routeur. Il s'agit exactement du même processus que celui suivi par le protocole OSPF (Open Shortest Path First) pour l'ID de routeur. Lorsque l'ASA redirige les paquets vers le moteur de cache (CE), l'ASA source la redirection à partir de l'adresse IP de l'ID de routeur (même si elle provient d'une autre interface) et encapsule le paquet dans un en-tête GRE.
La connexion GRE est unidirectionnelle. L'ASA encapsule les paquets redirigés dans GRE et les envoie au moteur de mise en cache. L'ASA ne traite aucune réponse encapsulée GRE du CE. Le CE doit communiquer directement avec l’hôte interne.
Le flux de travail pour la redirection comporte les étapes suivantes :
L'ASA implémente WCCP V2. Si le serveur prend en charge WCCP V2, il doit être compatible.
WCCP V2 définit des mécanismes qui permettent à un ou plusieurs routeurs activés pour la redirection transparente de détecter, vérifier et annoncer la connectivité à un ou plusieurs caches Web. Voici les étapes de la redirection WCCP :
Une fois la connectivité établie, les routeurs et les caches Web forment des groupes de services afin de gérer la redirection du trafic dont les caractéristiques font partie de la définition du groupe de services.
Un cache Web transmet un message WCCP2_HERE_I_AM à chaque routeur du groupe à des intervalles de 10 secondes HERE_I_AM_T afin de rejoindre et de maintenir son appartenance à un groupe de services. Le message peut être transmis en monodiffusion à chaque routeur ou en multidiffusion à l'adresse de multidiffusion du groupe de services configuré.
Groupe de services | Type | Description |
Service 0 | Cache Web | Service de mise en cache Web qui permet à l'ASA de rediriger le trafic HTTP vers le CE. |
Service 53 | DNS | Service de mise en cache DNS qui permet à l'ASA de rediriger les requêtes du client DNS de manière transparente vers le moteur du client. |
Service 60 | natif FTP | Service de mise en cache qui permet à l'ASA de rediriger les requêtes natives FTP de manière transparente vers un port unique sur le moteur de contenu. |
Service 70 | https-cache | Service de mise en cache qui permet à l'ASA d'intercepter le trafic TCP du port 443 et de rediriger ce trafic HTTPS vers le moteur de contenu. |
Service 80 | rtsp | Service de diffusion multimédia en continu qui permet à l'ASA de rediriger les requêtes client RTSP (Real Time Streaming Protocol) vers un port unique du moteur de contenu. |
Service 81 | mmst | Service de mise en cache de support qui permet à l'ASA d'utiliser la redirection Microsoft Media Server (MST) basée sur TCP afin d'acheminer les requêtes client de la technologie Windows Media (WMT) vers le port TCP 1755 sur le moteur de contenu. |
Service 82 | mmsu | Service de mise en cache de support qui permet à l'ASA d'utiliser la redirection MMSU (User Datagram Protocol) basée sur le protocole UDP (User Datagram Protocol) afin d'acheminer les requêtes client WMT vers le port UDP 1755 sur le moteur de contenu. |
Service 83 | wmt-rtsp | Service de diffusion multimédia en continu qui permet à l'ASA de rediriger les demandes RTSP des clients Windows Media Service 9 vers le port UDP 5005 sur le CE. |
Service 90-97 | configurable par l'utilisateur | Services WCCP définis par l'utilisateur qui prennent en charge jusqu'à huit ports pour chaque service WCCP. Lorsque vous configurez ces services définis par l'utilisateur, vous devez spécifier s'il faut rediriger le trafic vers l'application de mise en cache HTTP, vers l'application HTTPS ou vers l'application de diffusion en continu sur le moteur de contenu. |
Service 98 | custom-web-cache | Service de mise en cache qui permet à l'ASA de rediriger de manière transparente le trafic HTTP vers le moteur de contenu sur plusieurs ports autres que le port 80. |
Service 99 | proxy inverse | Service de mise en cache qui permet à l'ASA de rediriger le trafic de proxy inverse HTTP vers le moteur de contenu sur le port 80. |
Un groupe de services est identifié par le type de service et l'ID de service. Il existe deux types de groupes de services :
Les services connus sont connus à la fois par les caches ASA et Web et ne nécessitent aucune description autre qu'un ID de service.
En revanche, les services dynamiques doivent être décrits comme ASA. L'ASA peut être configuré pour participer à un groupe de services dynamique particulier, identifié par l'ID de service, sans connaissance des caractéristiques du trafic associé à ce groupe de services. La description du trafic est communiquée à l'ASA dans le message WCCP2_HERE_I_AM du premier cache Web afin de rejoindre le groupe de services. Un cache Web utilise les champs Protocol, Service Flags et Port du composant Service Info afin de décrire un service dynamique. Une fois qu'un service dynamique a été défini, l'ASA rejette tout message WCCP2_HERE_I_AM ultérieur contenant une description conflictuelle. L'ASA rejette également un message WCCP2_HERE_I_AM qui décrit un groupe de services pour lequel il n'a pas été configuré.
Les numéros 0 à 254 sont des services dynamiques et le service de cache Web est un service standard, ou bien connu. Cela signifie que lorsque le service de cache Web est spécifié, le protocole WCCP V2 a prédéfini que le trafic du port de destination TCP 80 doit être redirigé. Pour les numéros 0 à 254, chaque numéro représente un groupe de services dynamique. Les CE WCCP (tels que Bluecoat) doivent définir un ensemble de protocoles et de ports qui doivent être redirigés pour chaque groupe de services. Ensuite, lorsque l'ASA est configuré avec le même numéro de groupe de services (wccp 0 ... ou wccp 1 ...), l'ASA effectue la redirection sur les protocoles et les ports spécifiés, comme indiqué par le périphérique Bluecoat.
Voici un exemple qui montre les informations d'identité du cache Web :
Voici un exemple qui montre que le cache Web fait partie du groupe de services 0 :
Voici un exemple qui montre un serveur de cache Web faisant partie du groupe de service client 91 et les ports dont le trafic est redirigé vers le serveur :
ASA répond à un message WCCP2_HERE_I_AM avec un message WCCP2_I_SEE_YOU.
Voici un exemple du message router/ASA 'I See You', qui indique que le routeur rejoint le groupe de services 91 et redirige les ports 80, 8080 et 443 vers le serveur de cache Web :
Voici un exemple de paquet GRE :
Cette procédure décrit comment configurer WCCP sur un ASA :
wccp {web-cache | service_number} [redirect-list access_list] [group-list access_list]
[password password]
wccp interface interface_name {web-cache | service_number} redirect in
Voici un exemple de configuration ASA :
access-list caching permit ip source_subnet mask any
wccp 90 redirect-list caching
wccp interface 90 redirect in
Helpful Commands:
show wccp
show wccp 90 service -> this should indicate the ports that are being serviced by this WCCP
server. Without the 'service-flags ports-defined' in the Cache server configuration, the ports
to be redirected are NOT passed to the ASA. Therefore, the traffic will never be redirected.
This will result in 'Unassigned' increases with 'show wccp'.
ASA# show wccp 90 service
WCCP service information definition:
Type: Dynamic
Id: 90
Priority: 0
Protocol: 6
Options: 0x00000013
--------
Hash: SrcIP DstIP
Alt Hash: -none-
Ports: Destination:: 80 8080 0 0 0 0 0 0
ASA# show wccp 90 view
WCCP Routers Informed of:
X.X.X.X [Higher IP address on the device will be seen here]
WCCP Cache Engines Visible:
Y.Y.Y.Y [IP address of the web-cache server in the service-group 91]
Aucune procédure de vérification n'est disponible pour cette configuration.
Si la redirection ne fonctionne pas comme prévu, utilisez ces sorties afin de dépanner. Toutes ces sorties sont sur ASA.
Si le résultat de ces trois commandes semble valide, vous devrez peut-être :
L'Outil d'interprétation de sortie (clients enregistrés seulement) prend en charge certaines commandes d'affichage. Utilisez l'Outil d'interprétation de sortie afin de visualiser une analyse de commande d'affichage de sortie .
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
31-May-2013 |
Première publication |