Назад | Перейти на главную страницу

WCCP и Squid, и туннели

Я пытаюсь настроить WCCP + Squid со следующей документацией: http://www.crypt.gen.nz/papers/cisco_squid_wccp.html

У меня есть коммутатор cisco, тестовый клиент и прокси-сервер squid. Я думаю, что коммутатор настроен правильно, поскольку я вижу трафик GRE, когда следую за ним с помощью tcpdump. Однако трафик, похоже, не доходит до сервера Squid. Моя конфигурация туннеля на Squid следующая:

# cat /etc/sysconfig/network-scripts/ifcfg-tun0
DEVICE=tun0
TYPE=GRE
BOOTPROTO=none
MY_INNER_IPADDR=172.16.1.1
PEER_OUTER_IPADDR=10.1.1.1
PEER_INNER_IPADDR=172.16.1.2
NETMASK=255.255.255.252
ONBOOT=yes
IPV6INIT=no
USERCTL=no

Я думаю, что серверу не удается распаковать пакет GRE, и я не понимаю, как следует настроить этот файл ifcfg. Здесь у меня адрес коммутатора 10.1.1.1. Два адреса 172.x нигде явно не настроены, и я не уверен, нужно ли это делать. Когда я вызываю tun0, я могу пинговать 172.16.1.1, но не .2. Поскольку вся эта конфигурация существует на моем сервере squid, мне интересно, нужно ли мне запускать интерфейс с .2 на нем?

Еще одна странная вещь, которую я заметил, это то, что Red Hat (6) не позволяет мне называть устройство gre0. Я не уверен, может ли это иметь какое-то отношение к моей проблеме?

РЕДАКТИРОВАТЬ:

Извините за задержку, последние несколько дней я бился головой об стену. Это Cisco 6509. Прокси-сервер, похоже, регистрируется в коммутаторе, но находится в состоянии «НЕ используется». Перенаправление и возврат пакета показаны как «L2». Я установил это как GRE, так и L2 в моей конфигурации Squid, но, похоже, это не влияет на коммутатор. Я также пробовал использовать "хеш" и "маску" для назначения.

Вот соответствующая конфигурация переключателя:

Standard IP access list WCCP-SQUID
10 permit 10.1.1.150 (1301 matches)

Extended IP access list WCCP-REDIRECT
10 permit tcp 10.1.1.0 0.0.0.31 10.2.1.0 0.0.255.255 eq www
20 permit tcp 10.1.1.0 0.0.0.31 10.2.1.0 0.0.255.255 eq 443

ip wccp web-cache redirect-list WCCP-REDIRECT group-list WCCP-SQUID

И вот некоторые результаты, которые я вижу в журнале отладки:

BUR-PII-CORA#show ip wccp web-cache detail
WCCP Cache-Engine information:
    Web Cache ID:          10.1.1.150
    Protocol Version:      2.0
    State:                 NOT Usable
    Redirection:           L2
    Packet Return:         L2
    Packets Redirected:    0
    Connect Time:          00:00:20
    Assignment:            MASK


BUR-PII-CORA#show ip wccp
Global WCCP information:
Router information:
    Router Identifier:                   10.1.1.1
    Protocol Version:                    2.0

Service Identifier: web-cache
    Number of Cache Engines:             0
    Number of routers:                   0
    Total Packets Redirected:            0
    Redirect access-list:                WCCP-REDIRECT
    Total Packets Denied Redirect:       0
    Total Packets Unassigned:            0
    Group access-list:                   WCCP-SQUID
    Total Messages Denied to Group:      0
    Total Authentication failures:       0

Из журнала отладки:

May  2 12:26:10.502 PDT: WCCP-EVNT:S00: Here_I_Am packet from 10.1.1.150 w/bad rcv_id 00000000
May  2 12:26:20.502 PDT: WCCP-EVNT:S00: Here_I_Am packet from 10.1.1.150 w/bad rcv_id 00000000
May  2 12:26:20.502 PDT: WCCP-PKT:S00: Sending I_See_You packet to 10.1.1.150 w/ rcv_id 00000017
May  2 12:26:25.502 PDT: WCCP-PKT:S00: Sending Removal_Query packet to 10.1.1.150w/ rcv_id 00000018
May  2 12:26:30.502 PDT: WCCP-EVNT:wccp_change_router_view: S00
May  2 12:26:30.502 PDT: WCCP-EVNT:wccp_change_router_view: deallocate rtr_view (24     bytes)
May  2 12:26:30.502 PDT: WCCP-EVNT:wccp_change_router_view: allocate hash rtr_view (1560 bytes)
May  2 12:26:30.502 PDT: WCCP-EVNT:wccp_change_router_view: rtr_view_size set to 24     bytes
May  2 12:26:30.502 PDT: WCCP-EVNT:S00: Built new router view: 0 routers, 0 usable web caches, change # 00000007

Ваши методы перенаправления не совпадают, поэтому пакеты не перенаправляются на SQUID. Вам нужно будет изменить метод перенаправления на 6509 на GRE, а также метод возврата на общий GRE.

Будьте ОЧЕНЬ осторожны со всем этим, 6500 - сложное животное, и с конфигурацией WCCP на нем есть много подводных камней. Вот Библия - я бы рекомендовал прочитать это и понять рекомендуемые конфигурации - http://www.cisco.com/c/en/us/products/collateral/switches/catalyst-6500-series-switches/white_paper_c11-629052.html

Вот еще немного информации по той же теме: http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipapp/configuration/12-2sy/iap-cg-12-2sy-book/iap-wccp.html

Я предполагаю, что у вас есть контракт на обслуживание с TAC - я бы действительно посоветовал вам сообщить им об этом; вы можете полностью перегрузить процессор 6509 и вызвать полное отключение сети, если сделаете ошибку.