3.6. Настройка WCCP

WCCP (Web Cache Communication Protocol) - протокол, разработанный компанией Cisco и предназначенный для перенаправления трафика в режиме реального времени. Поддержка протокола WCCP позволяет использовать UserGate в инфраструктуре с WCCP-серверами (UserGate может выступать только в качестве WCCP-клиента).

Когда устройство UserGate не находится в физическом пути клиентов и серверов, оно должно полагаться на внешнее устройство - либо коммутатор уровня 4 (L4), либо маршрутизатор с поддержкой WCCP, для перенаправления пакетов к нему для прозрачного проксирования. Этот тип развертывания известен как развертывание виртуально в разрыв. WCCP рекомендуется использовать для схемы виртуально в разрыв, поскольку он обеспечивает следующие преимущества:

  • Масштабируемость и балансировка нагрузки - трафик может быть автоматически распределен на несколько устройств UserGate . Если один UserGate отключается, трафик автоматически перераспределяется между другими устройствами UserGate в группе.

  • Безопасность - вы можете защитить группу служб WCCP паролем, чтобы к ней могли присоединиться только авторизованные устройства. Кроме того, можно настроить списки управления доступом (ACL) на маршрутизаторе, чтобы ограничить доступ только к определенным устройствам UserGate.

  • Отказоустойчивость - в случае отсутствия устройств UserGate, доступных для перенаправления трафика, маршрутизатор перенаправляет трафик на исходный адрес назначения.

  • Гибкость - вы точно контролируете, какой трафик перенаправлять и как его перенаправлять. Вы можете перенаправить весь трафик, входящий или выходящий из интерфейса маршрутизатора; вы можете фильтровать трафик с помощью ACL или вы можете определить конкретный протокол и порты для перенаправления.

В развертываниях прозрачных прокси клиент не знает, что он взаимодействует с UserGate, а не с конечным сервером (КС). Таким образом, пакет от клиента адресован КС. Маршрутизатор проверяет трафик на интерфейсах с поддержкой WCCP (входящий или исходящий в зависимости от конфигурации) и определяет, следует ли перенаправлять его на основе правил, согласованных маршрутизатором и устройствами UserGate.

Далее будет рассмотрена настройка перенаправления трафика по протоколу WCCP между оборудованием Cisco и UserGate.

image6

На оборудовании Cisco необходимо настроить перенаправление на UserGate клиентских http/https запросов и ответов сервера. Настройка маршрутизатора Cisco производится в соответствии со следующим алгоритмом.

Создать два списка доступа. Список wccp_to_inet разрешает трафик из сети с компьютерами пользователей в любые сети. Список wccp_to_lan разрешает любой трафик в сеть с компьютерами пользователей.

ip access-list extended wccp_to_inet
permit ip <PC_network_IP> <PC_network_wildcard_mask> any
ip access-list extended wccp_to_lan
permit ip any <PC_network_IP> <PC_network_wildcard_mask>
ip wccp 80 redirect-list wccp_to_inet password <Password>
ip wccp 90 redirect-list wccp_to_lan password <Password>
#Настройка интерфейса, смотрящего в сторону UserGate:
interface GigabitEthernet2/0
ip wccp redirect exclude in
#Настройка интерфейса, смотрящего в Интернет:
interface FastEthernet0/0
ip wccp 90 redirect in
#Настройка интерфейса, смотрящего в сторону клиента
interface GigabitEthernet1/0
ip wccp 80 redirect in

На UserGate необходимо настроить сервисные группы для редиректа клиентских запросов и ответов сервера, использующие GRE (Generic Routing Encapsulation) туннель и порты 80 и 443. При включении WCCP создаётся туннель GRE, который не отображается в списке интерфейсов и не имеет зоны. Правила NAT для перенаправления трафика не используются. Настройка UserGate произведена следующим образом.

В разделе Сеть --> WCCP свойствах сервисной группы WCCP для перенаправления запросов пользователей на сервер необходимо указать следующие значения параметров:

  • Сервисная группа: 80.

  • Приоритет: 240.

  • Способ перенаправления трафика: GRE.

  • Способ возврата трафика: GRE.

  • Маршрутизатор WCCP: IP-адрес маршрутизатора.

  • Порт для перенаправления: 80, 443.

  • Протокол: TCP.

  • Хэш: IP источника.

image7

image9

В свойствах сервисной группы WCCP для перенаправления ответов сервера в клиентскую сеть необходимо указать следующие значения параметров:

  • Сервисная группа: 90.

  • Приоритет: 240.

  • Способ перенаправления трафика: GRE.

  • Способ возврата трафика: GRE.

  • Маршрутизатор WCCP: IP-адрес маршрутизатора.

  • Порт для перенаправления: 80, 443.

  • Протокол: TCP.

  • Отметить чекбокс Порт источника.

  • Хэш: IP назначения.

image10

image12

Установление соединения происходит следующим образом.

  1. Инициатором является WCCP-клиент, в данном случае UserGate. Он посылает сообщение «Я здесь», которое говорит о том, что UserGate готов принять пакеты.

  2. Cisco подтверждает получение сообщения «Я здесь», отвечая «Я тебя вижу». Сообщение также содержит сообщение о настройках, в частности, поле «Receive ID».

  3. UserGate в ответ посылает ещё одно сообщение «Я здесь», в котором содержится поле «Receive ID», со значением, совпадающим с полученным от Cisco. Так UserGate подтверждает готовность работы с маршрутизатором Cisco.

  4. После получения сообщения маршрутизатор отправляет запросы, попадающие под условия на UserGate.

Пакеты пользователей, подходящие под условия IP-адреса источника и портов назначения и пакеты от сервера, попадающие под условия IP-адреса назначения и портов источника заворачиваются в GRE туннель; остальные запросы проходят через физические интерфейсы. Все запросы попадают под правила контентной фильтрации и межсетевого экрана: в правилах UserGate не нужно указывать зону, т.к., как было сказано ранее, GRE туннель не имеет зоны.

Во вкладке Дашборд можно увидеть статистику по этому интерфейсу. Чтобы удалить GRE туннель необходимо выключить WCCP правило.

Поиск неисправностей можно проводить с использованием трафика WCCP на UserGate или оборудовании Cisco и логов на оборудовании Cisco.

Логи с маршрутизатора Cisco выводятся в syslog сервер. Для просмотра используйте следующие команды:

  • Для отображения информации о важных событиях, связанных с WCCP-протоколом:

    debug ip wccp events
  • Для отображения информации о всех пакетах, принятых или отправленных роутером по протоколу WCCP:

    debug ip wccp packets
  • Для отображения общей информации о WCCP (где 80 и 90 - сервисные группы):

    sh ip wccp 80
    sh ip wccp 90