이 문서에서는 Cisco ASA(Adaptive Security Appliance)에서 WCCP(Web Cache Coordination Protocol)의 개념, 제한 및 컨피그레이션에 대해 설명합니다.WCCP는 ASA가 GRE(Generic Routing Encapsulation) 터널을 통해 WCCP 캐싱 엔진에 트래픽을 리디렉션할 수 있는 방법입니다.
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
Cisco에서는 다음 문서에 설명된 대로 ASA에서 WCCP 컨피그레이션의 제한 사항을 이해하는 것이 좋습니다.
이 문서의 정보는 WCCP(Web Cache Communications Protocol) 버전 2(V2)를 기반으로 합니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 규칙을 참조하십시오.
WCCP는 하나 이상의 라우터와 하나 이상의 웹 캐시 간의 상호 작용을 지정합니다.상호 작용의 목적은 라우터 그룹을 통해 이동하는 선택된 트래픽 유형의 투명한 리디렉션을 설정하고 유지하는 것입니다.선택한 트래픽은 리소스 사용을 최적화하고 응답 시간을 줄이기 위해 웹 캐시 그룹으로 리디렉션됩니다.
WCCP의 경우 ASA는 인터페이스에 구성된 가장 높은 IP 주소를 선택하고 이를 라우터 ID로 사용합니다.이는 라우터 ID에 대해 OSPF(Open Shortest Path First)가 수행하는 프로세스와 동일합니다. ASA가 CE(캐시 엔진)로 패킷을 리디렉션할 때 ASA는 라우터 ID IP 주소(다른 인터페이스에서 소싱된 경우에도)에서 리디렉션을 소싱하고 GRE 헤더에 패킷을 캡슐화합니다.
GRE 연결은 단방향입니다.ASA는 GRE에서 리디렉션된 패킷을 캡슐화하여 캐싱 엔진에 전송합니다.ASA는 CE에서 GRE 캡슐화된 응답을 처리하지 않습니다.CE는 내부 호스트와 직접 통신해야 합니다.
리디렉션을 위한 작업 흐름에는 다음 단계가 있습니다.
ASA는 WCCP V2를 구현합니다. 서버가 WCCP V2를 지원하는 경우 호환되어야 합니다.
WCCP V2는 하나 이상의 웹 캐시에 대한 연결을 검색, 확인 및 광고하기 위해 투명 리디렉션을 지원하는 하나 이상의 라우터를 허용하는 메커니즘을 정의합니다.다음은 WCCP 리디렉션의 단계입니다.
연결이 설정되면 라우터와 웹 캐시는 서비스 그룹 정의의 일부인 특성을 가진 트래픽의 리디렉션을 처리하기 위해 서비스 그룹을 형성합니다.
웹 캐시는 서비스 그룹의 멤버십을 조인하고 유지하기 위해 HERE_I_AM_T(10)초 간격으로 그룹의 각 라우터에 WCCP2_HERE_I_AM 메시지를 전송합니다.메시지는 각 라우터에 대한 유니캐스트 또는 구성된 서비스 그룹 멀티캐스트 주소에 대한 멀티캐스트로 표시될 수 있습니다.
서비스 그룹 | 유형 | 설명 |
서비스 0 | 웹 캐시 | ASA가 HTTP 트래픽을 CE로 리디렉션하도록 허용하는 웹 캐싱 서비스입니다. |
서비스 53 | DNS | ASA가 DNS 클라이언트 요청을 클라이언트 엔진에 투명하게 리디렉션하도록 허용하는 DNS 캐싱 서비스입니다. |
서비스 60 | FTP 네이티브 | ASA가 콘텐츠 엔진의 단일 포트로 FTP 네이티브 요청을 투명하게 리디렉션하도록 허용하는 캐싱 서비스입니다. |
서비스 70 | https-캐시 | ASA가 포트 443 TCP 트래픽을 가로채고 이 HTTPS 트래픽을 콘텐츠 엔진에 리디렉션하도록 허용하는 캐싱 서비스입니다. |
서비스 80 | rtsp | ASA가 RTSP(Real Time Streaming Protocol) 클라이언트 요청을 콘텐츠 엔진의 단일 포트로 리디렉션하도록 허용하는 미디어 스트리밍 서비스입니다. |
서비스 81 | mmst | 콘텐츠 엔진에서 WMT(Windows Media Technology) 클라이언트 요청을 TCP 포트 1755로 라우팅하기 위해 ASA가 TCP 기반 Microsoft Media Server(MST) 리디렉션을 사용하도록 허용하는 미디어 캐싱 서비스입니다. |
서비스 82 | 음수 | WMT 클라이언트 요청을 콘텐츠 엔진의 UDP 포트 1755로 라우팅하기 위해 ASA가 UDP(User Datagram Protocol) 기반 MMSU(Microsoft Media Server) 리디렉션을 사용하도록 허용하는 미디어 캐싱 서비스입니다. |
서비스 83 | wmt rtsp | ASA가 Windows Media Service 9 클라이언트에서 RTSP 요청을 CE의 UDP 포트 5005로 리디렉션하도록 허용하는 미디어 스트리밍 서비스입니다. |
서비스 90-97 | 사용자 구성 가능 | 각 WCCP 서비스에 대해 최대 8개의 포트를 지원하는 사용자 정의 WCCP 서비스이러한 사용자 정의 서비스를 구성할 때 트래픽을 HTTP 캐싱 응용 프로그램, HTTPS 응용 프로그램 또는 콘텐츠 엔진의 스트리밍 응용 프로그램으로 리디렉션할지 여부를 지정해야 합니다. |
서비스 98 | 맞춤형 웹 캐시 | ASA가 포트 80이 아닌 여러 포트의 콘텐츠 엔진에 HTTP 트래픽을 투명하게 리디렉션하도록 허용하는 캐싱 서비스입니다. |
서비스 99 | 리버스 프록시 | ASA가 HTTP 리버스 프록시 트래픽을 포트 80의 콘텐츠 엔진으로 리디렉션하도록 허용하는 캐싱 서비스입니다. |
서비스 그룹은 서비스 유형 및 서비스 ID로 식별됩니다.서비스 그룹에는 두 가지 유형이 있습니다.
잘 알려진 서비스는 ASA 및 웹 캐시에서 모두 알려져 있으며 서비스 ID 이외의 설명은 필요하지 않습니다.
이와 달리 동적 서비스는 ASA에 설명되어 있어야 합니다.ASA는 해당 서비스 그룹과 연결된 트래픽의 특성을 모르는 채 서비스 ID로 식별되는 특정 동적 서비스 그룹에 참여하도록 구성할 수 있습니다.트래픽 설명은 서비스 그룹에 조인하기 위해 첫 번째 웹 캐시의 WCCP2_HERE_I_AM 메시지에서 ASA에 전달됩니다.웹 캐시는 서비스 정보 구성 요소의 프로토콜, 서비스 플래그 및 포트 필드를 사용하여 동적 서비스를 설명합니다.동적 서비스가 정의되면 ASA는 충돌하는 설명이 포함된 후속 WCCP2_HERE_I_AM 메시지를 삭제합니다.또한 ASA는 구성되지 않은 서비스 그룹을 설명하는 WCCP2_HERE_I_AM 메시지를 삭제합니다.
숫자 0에서 254는 동적 서비스이며 웹 캐시 서비스는 표준 또는 잘 알려진 서비스입니다.즉, 웹 캐시 서비스를 지정하면 WCCP V2 프로토콜에서 TCP 목적지 포트 80 트래픽을 리디렉션하도록 미리 정의했습니다.0~254의 경우 각 숫자는 동적 서비스 그룹을 나타냅니다.WCCP CE(예: Bluecoat)는 각 서비스 그룹에 대해 리디렉션될 프로토콜 및 포트 집합을 정의하는 것입니다.그런 다음 ASA가 동일한 서비스 그룹 번호(wccp 0 ... 또는 wccp 1 ...)로 구성된 경우 ASA는 Bluecoat 디바이스에서 지시하는 대로 지정된 프로토콜 및 포트에서 리디렉션을 수행합니다.
다음은 웹 캐시 ID 정보를 보여 주는 예입니다.
다음은 웹 캐시가 서비스 그룹 0의 일부임을 보여주는 예입니다.
다음은 웹 캐시 서버를 고객 서비스 그룹 91의 일부로, 트래픽을 서버로 리디렉션하는 포트를 보여주는 예입니다.
ASA는 WCCP2_I_SEE_YOU 메시지와 함께 WCCP2_HERE_I_AM 메시지에 응답합니다.
다음은 라우터가 서비스 그룹 91에 가입하고 포트 80, 8080 및 443을 웹 캐시 서버로 리디렉션하는 라우터/ASA 'I See You' 메시지의 예입니다.
다음은 GRE 패킷의 예입니다.
다음 절차에서는 ASA에서 WCCP를 구성하는 방법에 대해 설명합니다.
wccp {web-cache | service_number} [redirect-list access_list] [group-list access_list]
[password password]
wccp interface interface_name {web-cache | service_number} redirect in
다음은 ASA 컨피그레이션의 예입니다.
access-list caching permit ip source_subnet mask any
wccp 90 redirect-list caching
wccp interface 90 redirect in
Helpful Commands:
show wccp
show wccp 90 service -> this should indicate the ports that are being serviced by this WCCP
server. Without the 'service-flags ports-defined' in the Cache server configuration, the ports
to be redirected are NOT passed to the ASA. Therefore, the traffic will never be redirected.
This will result in 'Unassigned' increases with 'show wccp'.
ASA# show wccp 90 service
WCCP service information definition:
Type: Dynamic
Id: 90
Priority: 0
Protocol: 6
Options: 0x00000013
--------
Hash: SrcIP DstIP
Alt Hash: -none-
Ports: Destination:: 80 8080 0 0 0 0 0 0
ASA# show wccp 90 view
WCCP Routers Informed of:
X.X.X.X [Higher IP address on the device will be seen here]
WCCP Cache Engines Visible:
Y.Y.Y.Y [IP address of the web-cache server in the service-group 91]
현재 이 구성에 대해 사용 가능한 확인 절차가 없습니다.
리디렉션이 예상대로 작동하지 않으면 문제를 해결하려면 이러한 출력을 사용하십시오.이러한 모든 출력은 ASA에 있습니다.
이 세 명령의 출력이 유효하면 다음을 수행해야 할 수 있습니다.
Output Interpreter 도구(등록된 고객만 해당)는 특정 show 명령을 지원합니다.show 명령 출력의 분석을 보려면 [출력 인터프리터 도구]를 사용합니다.