Я пытаюсь настроить WCCP + Squid со следующей документацией: http://www.crypt.gen.nz/papers/cisco_squid_wccp.html
У меня есть коммутатор cisco, тестовый клиент и прокси-сервер squid. Я думаю, что коммутатор настроен правильно, поскольку я вижу трафик GRE, когда следую за ним с помощью tcpdump. Однако трафик, похоже, не доходит до сервера Squid. Моя конфигурация туннеля на Squid следующая:
# cat /etc/sysconfig/network-scripts/ifcfg-tun0
DEVICE=tun0
TYPE=GRE
BOOTPROTO=none
MY_INNER_IPADDR=172.16.1.1
PEER_OUTER_IPADDR=10.1.1.1
PEER_INNER_IPADDR=172.16.1.2
NETMASK=255.255.255.252
ONBOOT=yes
IPV6INIT=no
USERCTL=no
Я думаю, что серверу не удается распаковать пакет GRE, и я не понимаю, как следует настроить этот файл ifcfg. Здесь у меня адрес коммутатора 10.1.1.1. Два адреса 172.x нигде явно не настроены, и я не уверен, нужно ли это делать. Когда я вызываю tun0, я могу пинговать 172.16.1.1, но не .2. Поскольку вся эта конфигурация существует на моем сервере squid, мне интересно, нужно ли мне запускать интерфейс с .2 на нем?
Еще одна странная вещь, которую я заметил, это то, что Red Hat (6) не позволяет мне называть устройство gre0. Я не уверен, может ли это иметь какое-то отношение к моей проблеме?
РЕДАКТИРОВАТЬ:
Извините за задержку, последние несколько дней я бился головой об стену. Это Cisco 6509. Прокси-сервер, похоже, регистрируется в коммутаторе, но находится в состоянии «НЕ используется». Перенаправление и возврат пакета показаны как «L2». Я установил это как GRE, так и L2 в моей конфигурации Squid, но, похоже, это не влияет на коммутатор. Я также пробовал использовать "хеш" и "маску" для назначения.
Вот соответствующая конфигурация переключателя:
Standard IP access list WCCP-SQUID
10 permit 10.1.1.150 (1301 matches)
Extended IP access list WCCP-REDIRECT
10 permit tcp 10.1.1.0 0.0.0.31 10.2.1.0 0.0.255.255 eq www
20 permit tcp 10.1.1.0 0.0.0.31 10.2.1.0 0.0.255.255 eq 443
ip wccp web-cache redirect-list WCCP-REDIRECT group-list WCCP-SQUID
И вот некоторые результаты, которые я вижу в журнале отладки:
BUR-PII-CORA#show ip wccp web-cache detail
WCCP Cache-Engine information:
Web Cache ID: 10.1.1.150
Protocol Version: 2.0
State: NOT Usable
Redirection: L2
Packet Return: L2
Packets Redirected: 0
Connect Time: 00:00:20
Assignment: MASK
BUR-PII-CORA#show ip wccp
Global WCCP information:
Router information:
Router Identifier: 10.1.1.1
Protocol Version: 2.0
Service Identifier: web-cache
Number of Cache Engines: 0
Number of routers: 0
Total Packets Redirected: 0
Redirect access-list: WCCP-REDIRECT
Total Packets Denied Redirect: 0
Total Packets Unassigned: 0
Group access-list: WCCP-SQUID
Total Messages Denied to Group: 0
Total Authentication failures: 0
Из журнала отладки:
May 2 12:26:10.502 PDT: WCCP-EVNT:S00: Here_I_Am packet from 10.1.1.150 w/bad rcv_id 00000000
May 2 12:26:20.502 PDT: WCCP-EVNT:S00: Here_I_Am packet from 10.1.1.150 w/bad rcv_id 00000000
May 2 12:26:20.502 PDT: WCCP-PKT:S00: Sending I_See_You packet to 10.1.1.150 w/ rcv_id 00000017
May 2 12:26:25.502 PDT: WCCP-PKT:S00: Sending Removal_Query packet to 10.1.1.150w/ rcv_id 00000018
May 2 12:26:30.502 PDT: WCCP-EVNT:wccp_change_router_view: S00
May 2 12:26:30.502 PDT: WCCP-EVNT:wccp_change_router_view: deallocate rtr_view (24 bytes)
May 2 12:26:30.502 PDT: WCCP-EVNT:wccp_change_router_view: allocate hash rtr_view (1560 bytes)
May 2 12:26:30.502 PDT: WCCP-EVNT:wccp_change_router_view: rtr_view_size set to 24 bytes
May 2 12:26:30.502 PDT: WCCP-EVNT:S00: Built new router view: 0 routers, 0 usable web caches, change # 00000007
Ваши методы перенаправления не совпадают, поэтому пакеты не перенаправляются на SQUID. Вам нужно будет изменить метод перенаправления на 6509 на GRE, а также метод возврата на общий GRE.
Будьте ОЧЕНЬ осторожны со всем этим, 6500 - сложное животное, и с конфигурацией WCCP на нем есть много подводных камней. Вот Библия - я бы рекомендовал прочитать это и понять рекомендуемые конфигурации - http://www.cisco.com/c/en/us/products/collateral/switches/catalyst-6500-series-switches/white_paper_c11-629052.html
Вот еще немного информации по той же теме: http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipapp/configuration/12-2sy/iap-cg-12-2sy-book/iap-wccp.html
Я предполагаю, что у вас есть контракт на обслуживание с TAC - я бы действительно посоветовал вам сообщить им об этом; вы можете полностью перегрузить процессор 6509 и вызвать полное отключение сети, если сделаете ошибку.