Cấu hình WCCP |
Trong phần này sẽ giới thiệu với các bạn phương pháp cấu hình dịch vụ web cache trên Catalyst 3560 Switch (chức năng này giống như chức năng của thiết bị Cisco Cache Engine 550) bằng cách sử dụng giao thức Web Cache Communication Protocol (WCCP). Những Cisco IOS cho các dòng Catalyst 3560 Switch chỉ có khả năng hỗ trợ duy nhất WCCP version 2 (WCCPv2).
- WCCP là một công nghệ content-routing được phát triển bởi Cisco, cho phép bạn có thể sử dụng để tích hợp với các application engine vào trong một kiến trúc mạng hợp nhất. Những application engines là trong suốt (không thể nhìn thấy) được dùng để lưu trữ những nội dung thường xuyên truy cập và sau đó hoàn thành lần lượt những yêu cầu có cùng nội dung đã được lưu trữ, để giới hạn những quá trình lặp đi lặp lại của những nội dung giống nhau từ các web server. Các application engines giúp cho quá trình truyền tải nội dung của các trang web nhanh hơn và đảm bảo cho những khả năng mở rộng và tính sẵn sàng sử dụng những nội dung của các web server. Trong một mạng của nhà cung cấp dịch vụ, bạn có thể triển khai WCCP và những giải pháp application engine tại các POPs (points of presence). Trong một enterprise network, bạn có thể triển khai WCCP và những giải pháp engine solution tại các regional site và các branch office.
- Để cấu hình được chức năng này trên Catalyst 3560 Switch thì bạn sẽ phải chạy một IP services Image (EMI).
- Giới thiệu về WCCP sẽ bao gồm các phần sau:
+ Phần I: Tìm hiểu WCCP.
+ Phần II: Cấu hình WCCP.
+ Phần III: Giám sát và duy trì WCCP.
Phần I: Tìm hiểu WCCP.
1. Tìm hiểu WCCP.
- Giao thức WCCP và Cisco cache engines (hoặc các application engines đang chạy WCCP) sẽ xác định được những lưu lượng thường xuyên được truyền trong một hệ thống mạng, sau đó cho phép trả lời những yêu cầu về sau nhưng cùng của các nội dung đó.
- WCCP chỉ có khả năng hỗ trợ trên các Cisco router và các switch để có thể trực tiếp trả những yêu cầu có cùng một nội dung đã được lưu trữ. Với chức năng đó, các người dùng không cần thiết phải cấu hình các trình duyệt web của mình để sử dụng một Web Proxy. Thay vào đó, chúng có thể sử dụng một target URL để yêu cầu nội dung, và những yêu cầu đó sẽ tự động được chuyển đến một application engine. Khi người dùng truy cập đến một web server nào đó thì toàn bộ những nội dung yêu cầu đến webserver đó đều được chuyển đến một application engine mà người dùng không hề biết rằng mình đang lấy nội dung web site đó là từ application engine.
- Khi một application engine nhận được một yêu cầu, thì nó sẽ cố gắng trả lời yêu cầu này từ chính cache nằm trên nó. Nếu những thông tin yêu cầu mà không được tìm thấy trong cache, thì application engine sẽ gửi một yêu cầu riêng lẻ đến server cuối cùng để lấy về những thông tin cần thiết để trả lời. Sau khi nhận những thông tin yêu cầu, thì application engine sẽ chuyển những thông tin đó đến client đã yêu cầu thông tin đó và sẽ lưu thông tin đó vào cache để trả lời cho những yêu cầu lần sau.
- Với WCCP, thì application-engine cluster (một chuỗi của các application engines) có thể chạy trên nhiều router hoặc switch. Hình 1.1
hình 1.1
2. Trao đổi thông điệp WCCP.
Những chuỗi sự kiện sau sẽ mô tả quá trình trao đổi các thông điệp của giao thức WCCP:
- Các application engines sẽ gửi các địa chỉ IP của chúng đến switch đã được enable WCCP bằng cách sử dụng giao thức WCCP, những tín hiệu này sẽ được biểu diễn thông qua một thông điệp "Here I am". Switch và các application engine sẽ giao tiếp với nhau thông qua một kênh điều khiển dựa trên UDP port 2048.
- Các switch được enable WCCP sẽ sử dụng thông tin về địa chỉ IP của application engine để tạo một cluster view (là một danh sách của các application engines trong một cluster). Cluster View này sẽ gửi một thông điệp "I see you" đến mỗi application engine trong cluster, về bản chất là Cluster View sẽ đánh dấu tất cả các application engines để phân biệt được mỗi application engine với nhau. Một Stable View sẽ được thiết lập sau khi các thành viên của cluster còn lại cùng một khoảng thời gian nào đó.
- Khi một Stable View được thiết lập, thì application engine trong cluster với địa chỉ IP thấp nhất sẽ được bầu chọn với vai trò là: designated application engine.
3. Quá trình WCCP Negotiation.
Trong quá trình trao đổi các thông điệp của giao thức WCCP, thì designated application engine và các switch đã enable WCCP sẽ thực hiện các quá trình đàm phán sau.
- Forwarding method (với phương thức này thì switch sẽ chuyển các gói tin đến application engine). Switch sẽ thay đổi lại Layer 2 header bằng cách thay thế địa chỉ MAC đích của gói tin thành một địa chỉ MAC của target application engine. Sau đó switch sẽ chuyển gói tin này đến application engine. Forwarding method cần một target application engine để kết nối trực tiếp đến switch ở layer 2.
- Assignment method (với phương thức này thì các gói tin sẽ được phân phối đến các application engines trong cluster). Switch sẽ sử dụng một vài bit của địa chỉ IP đích, địa chỉ IP nguồn, chỉ số port đích Layer 4, và chỉ số port nguồn Layer 4 để xác định xem application engine nào sẽ nhận những gói tin chuyển tiếp này.
- Packet-return method (với phương thức này thì các gói tin sẽ được gửi trở lại từ application engine đến switch). Những lý do dưới đây sẽ khiến một application engine hủy các gói tin đến và khởi động tính năng packet-return:
+ Application engine bị quá tải và không còn đủ bộ nhớ để thực hiện việc lưu thông tin gói tin đó lại.
+ Application engine nhận các thông điệp lỗi (như một giao thức hoặc một quá trình xác thực bị lỗi) từ web server và sử dụng tính năng tự động bypass trên client. Tính năng bypass sẽ cho phép các client sẽ không đi qua các application engines và trực tiếp thực hiện việc kết nối đến web server.
4. MD5 Security
- WCCP cung cấp một tùy chọn thành phần bảo mật trong mỗi thông điệp để cho phép switch có thể sử dụng phương pháp xác thực MD5 trên mỗi một thông điệp giữa switch và application engine. Những thông điệp không xác thực bởi MD5 (Khi xác thực của switch được enable) thì sẽ bị hủy bởi switch. Chuỗi ký tự của password kết hợp với một giá trị của MD5 để tạo ra một kết nối bảo mật giữa switch và application engine. Bạn sẽ phải cấu hình cùng một password trên mỗi một application engine.
5. Gói tin chuyển tiếp và Các nhóm dịch vụ
- Bạn có thể cấu hình WCCP để phân loại lưu lượng cho các gói tin chuyển tiếp, như: FTP, Proxy-web-cache handling, audio và các ứng dụng video. Sự phân loại này, được biết đến như một service group (nhóm dịch vụ), dựa trên loại giao thức (TCP hoặc UDP) và các chỉ số port nguồn và port đích của Layer 4. Các nhóm dịch vụ được xác định bởi well-known names như: web-cache, với TCP port là 80 hoặc một dịch vụ nào có chỉ số port từ 0 đến 99. Các nhóm dịch vụ được cấu hình để ánh xạ một giao thức và một chỉ số port của Layer 4 và thiết lập, duy trì chúng một cách độc lập. WCCP cho phép tạo các nhóm dịch vụ một cách tự động, ở đó sự phân loại theo tiêu chuẩn được cung cấp một cách tự động bởi các application engine.
- Bạn có thể cấu hình tối đa là 8 nhóm dịch vu trên một switch howacj switch stack và tối đa là 32 client trên một nhóm dịch vụ đó. WCCP sẽ duy trì thứ tự ưu tiên của các nhóm dịch vu trong các nhóm đã được định nghĩa. WCCP sử dụng priority để cấu hình các nhóm dịch vu trong một phần cứng của switch. Cho ví dụ, nếu nhóm dịch vụ 1 có giá trị priority là 100 và đang trả lời thông tin cho một gói tin có port đích là 80, và một nhóm dịch vụ 2 có giá trị priority là 50 và đang trả lời thông tin cho một gói tin có port nguồn là 80, thì các gói tin đến với port nguồn và port đích là 80 sẽ được chuyển tiếp bằng cách sử dụng nhóm dịch vụ 1 bởi vì nhóm này có priority cao hơn.
- WCCP có khả năng hỗ trợ một cluster của các application engines cho mọi nhóm dịch vụ. Các lưu lượng chuyển tiếp có thể được gửi đến mọi application engine trong một cluster. Switch hỗ trợ assignment method để có thể thực hiện cân bằng tải cho những lưu lượng của các application engine trong một cluster cho một nhóm dịch vụ.
- Sau khi WCCP được cấu hình trên switch, thì switch sẽ chuyển tiếp tất cả các gói tin của các nhóm dịch vụ nhận được từ client đến các application engine. Tuy nhiên, sẽ có những gói tin sau sẽ không được chuyển tiếp:
+ Các gói tin đến từ applicatin engine và đích đến là webserer.
+ Các gói tin từ các application engine và đích đến là các client
+ Các gói tin returned hoặc rejected bởi application engine. Những gói tin này sẽ gửi đến web server.
- Bạn có thể cấu hình một địa chỉ multicast trên một nhóm dịch vụ cho các thông điệp gửi và nhận. Khi đã có một địa chỉ multicast, thì application engine sẽ gửi một cảnh báo đến một địa chỉ, với phương pháp đó có thể cung cấp thông tin cho tất cả các router trong một nhóm dịch vụ, cho ví dụ: 225.0.0.0. Nếu bạn thêm hoặc xóa bỏ các router một cách tự động, sử dụng một địa chỉ multicast để cung cấp việc cấu hình đó một cách dễ dàng bởi vì bạn không cần phải nhập vào một địa chỉ cho tất cả các thiết bị trong mạng WCCP.
- Bạn có thể sử dụng một danh sách của nhóm các router để xác nhận tính hợp lệ của các gói tin nhận được từ các application engine. Các gói tin sẽ phải tương ứng với địa chỉ trong danh sách của nhóm đó, các gói tin không tương thích với địa chỉ trong nhóm danh sách đó sẽ bị drop.
- Để disable cache cho các client, server hoặc cặp client/server, bạn có thể sử dụng một WCCP redirect Access Control List (ACL). Các gói tin tương ứng với redirect ACL sẽ truyền không thông qua cache và được chuyển tiếp một cách bình thường.
- Trước khi các gói WCCP bị chuyển tiếp, thì switch sẽ kiểm tra ACLs liên quan với tất cả các gói tin đến đã được cấu hình trên interface và cho phép hoặc không cho phép các gói tin đó tiếp tục chuyển tiếp dựa trên sự tương ứng của các gói tin đó với toàn bộ ACL đã được định nghĩa.
6. Các tính năng không hỗ trợ trên WCCP.
Những tính năng sau đây sẽ không được WCCP hỗ trợ trong các phiên bản IOS của Cisco đã ban hành:
- Các gói tin chuyển tiếp trên một interface ra đã được cấu hình bằng cách sử dụng câu lệnh: ip wccp redirect out ở chế độ interface configuration. Câu lệnh này không được hỗ trợ.
- Phương thức GRE Forwarding cho các gói tin chuyển tiếp cũng không được hỗ trợ
- Phương thức hash assignment cho cơ chế cân bằng tải cũng không được hỗ trợ
- Không có phiên bản của giao thức SNMP nào được WCCP hỗ trợ.
Phần II: Cấu hình WCCP.
Trong phần cấu hình WCCP sẽ bao gồm những chủ đề sau:
- Cấu hình WCCP mặc định
- Cấu hình WCCP theo hướng dẫn.
- Enabel dịch vụ Web Cache.
1. Cấu hình WCCP mặc định
- Bảng 1.2 hiển thị các tham số cấu hình mặc định của giao thức WCCP
Bảng 1.2
2. Cấu hình WCCP theo hướng dẫn.
Trước khi bạn thực hiện cấu hình WCCP trên switch của bạn, bạn phải chắc chắn rằng đã lắm được những hướng dẫn cấu hình sau:
- Các application engine và switch trong cùng một nhóm dịch vụ sẽ phải thuộc cùng một subnetwork.
- Phải cấu hình các interface của switch đang kết nối trực tiếp đến các web client, application engine và các web server hoạt động như một interface hoạt động ở Layer 3 (routed port và SVI). Khi các gói tin chuyển tiếp của WCCP làm việc, thì các server, application engine và các client phải hoạt động trên các subnet khác nhau.
- Sử dụng duy nhất một địa chỉ multicast không được dành riêng khi cấu hình một địa chỉ multicast cho mỗi một application engine.
- Toàn bộ danh mục của WCCP và PBR sử dụng cùng một TCAM region. WCCP có khả năng hỗ trợ duy nhất trên các templates có hỗ trợ PBR: access, routing, và dual IPv4/v6 routing.
- Khi các danh muc của TCAM không có khả năng thêm vào các danh mục của WCCP, thì các gói tin sẽ không được chuyển tiếp và được truyền đi bằng cách sử dụng các bảng định tuyến chuẩn.
- Số lượng nhãn của PBR (policy-based routing) sẽ bị hạn chế như các interface được phép enable WCCP ingress redirection. Mọi interface khác vẫn có khả năng hỗ trợ các nhóm dịch vụ, một nhãn sẽ bị dùng hết. Các nhãn WCCP sẽ được tạo ra từ các nhãn PBR. Khi các nhãn không có khả năng sử dụng, thì switch sẽ không thể thêm các nhóm dịch vụ. Tuy nhiên, nếu một interface khác có cùng chuỗi của các nhóm dịch vụ, thì một nhãn mới sẽ không cần thiết, và nhóm đó vẫn được phép thêm vào interface.
- Kích thước của MTU trên một switch sẽ phải lớn hơn kích thước của MTU trên các client. Kích thước của MTU MAC-layer được cấu hình trên các port kết nối trực tiếp với các application engine.
- Bạn không thể cấu hình WCCP và VPN routing/forwarding (VRF) trên cùng một interface của switch.
- Bạn không thể cấu hình WCCP và PBR trên cùng một interface của switch.
- Bạn không thể cấu hình WCCP và một private VLAN (PVLAN) trên cùng một interface của switch
3. Enabel dịch vụ Web Cache.
- Khi các gói tin chuyển tiếp của WCCP đã hoạt động, thì bạn sẽ phải cấu hình các interface của switch kết nối trực tiếp vào các client để thực hiện chuyển tiếp các gói tin inbound.
- Các thủ tục sau đây sẽ mô tả phương pháp để cấu hình những tính năng đó trên một port routed. Để cấu hình những tính năng đó trên một interface SVI, thì các bạn cũng có thể tham khảo luôn với ví dụ bên dưới.
- Bắt đầu cấu hình ở chế độ Privileged EXEC, những bước sau sẽ được dùng để enable dịch vụ Web Cache, để cấu hình một địa chỉ multicast cho một nhóm hoặc một danh sách các nhóm, để cấu hình một interface routed, để chuyển tiếp các gói tin inbound nhận được từ các client đến các application engine, enable một interface để lắng nghe cho một địa chỉ multicast, và cuối cùng là cấu hình một password.
- Trong ví dụ bên dưới sẽ mô tả cách cấu hình các routed interface và enable dịch vụ web cache với một địa chỉ nhóm multicast và một redirect ACL. Gigabit ethernet port 1 đang kết nối trực tiếp với application engine, cấu hình port này như một routed port với một địa chỉ IP 172.20.10.30, và re-enabled. Gigabit Ethernet port 2 đang kết nối trực tiếp thông qua internet đến web server, và cấu hình port đó như một routed port với một địa chỉ ip là 175.20.20.10, và re-enabled. Các Gigabit ethernet port 3 đến 6 đang kết nối trực tiếp đến các client và được cấu hình như một routed port với các địa chỉ ip là: 175.20.20.20, 175.20.40.30, 175.20.50.40 và 175.20.60.50. Switch sẽ lắng nghe các lưu lượng multicast và chuyển tiếp các gói tin nhận được từ các interface kết nối với các client đến application egine.
example:
Switch_3560_VNE# configure terminal
Switch_3560_VNE(config)# ip wccp web-cache 80 group-address 224.1.1.100 redirect list 12
Switch_3560_VNE(config)# access-list 12 permit host 10.1.1.1
Switch_3560_VNE(config)# interface gigabitethernet 0/1
Switch_3560_VNE(config-if)# no switchport
Switch_3560_VNE(config-if)# ip address 172.20.10.30 255.255.255.0
Switch_3560_VNE(config-if)# no shutdown
Switch_3560_VNE(config-if)# ip wccp web-cache grop-listen
Switch_3560_VNE(config-if)# exit
Switch_3560_VNE(config)# interface gigabitethernet 0/2
Switch_3560_VNE(config-if)# no switchport
Switch_3560_VNE(config-if)# ip address 175.20.20.10 255.255.255.0
Switch_3560_VNE(config-if)# no shut
Switch_3560_VNE(config)# exit
Switch_3560_VNE(config)# interface gigabitethernet 0/3
Switch_3560_VNE(config-if)# no switchport
Switch_3560_VNE(config-if)# ip address 175.20.30.20 255.255.255.0
Switch_3560_VNE(config-if)# no shutdown
Switch_3560_VNE(config-if)# ip wccp web-cache redirect in
Switch_3560_VNE(config-if)# exit
Switch_3560_VNE(config)# interface gigabitethernet 0/4
Switch_3560_VNE(config-if)# no switchport
Switch_3560_VNE(config-if)# ip address 175.20.40.30 255.255.255.0
Switch_3560_VNE(config-if)# no shutdown
Switch_3560_VNE(config-if)# ip wccp web-cache redirect in
Switch_3560_VNE(config-if)# exit
Switch_3560_VNE(config)# interface gigabitethernet 0/5
Switch_3560_VNE(config-if)# no switchport
Switch_3560_VNE(config-if)# ip address 175.20.50.40 255.255.255.0
Switch_3560_VNE(config-if)# no shutdown
Switch_3560_VNE(config-if)# ip wccp web-cache redirect in
Switch_3560_VNE(config-if)# exit
Switch_3560_VNE(config)# interface gigabitethernet 0/6
Switch_3560_VNE(config-if)# no switchport
Switch_3560_VNE(config-if)# ip address 175.20.60.50 255.255.255.0
Switch_3560_VNE(config-if)# no shutdown
Switch_3560_VNE(config-if)# ip wccp web-cache redirect in
Switch_3560_VNE(config-if)# exit
- Để disable dịch vụ web cache, sử dụng câu lệnh: no ip wccp web-cache ở chế độ global configuration. Để disable các gói tin chuyển tiếp inbound, sử dụng câu lệnh: no ip wccp web-cache redirect in ở chế độ interface configuration. Sau khi hoàn thành những câu lệnh này, thì bạn sẽ cấu hình các application engine trên mạng.
- Ví dụ thứ 2 sẽ mô tả phương pháp để cấu hình SVI và enable dịch vụ web cache với một danh sách của nhóm multicast. VLAN 299 đã được tạo và được cấu hình với một địa chỉ IP là 175.20.20.10. Gigabit ethernet port 1 đang kết nối trực tiếp thông qua internet đến web server và được cấu hình như một access port trong VLAN 299. VLAN 300 đã được tạo và được cấu hình với một địa chỉ IP: 172.20.10.30. Gigabit ethernet port 2 đang kết nối trực tiếp đến application engine và được cấu hình như một access port trong VLAN 300. VLAN 301 đã tạo và cấu hình với một địa chỉ IP là 175.20.30.50. Fast Ethernet port từ 3 đến 6, đang kết nối trực tiếp vào các client, đã được cấu hình với vai trò là access port trong VLAN 301. Switch sẽ chuyển tiếp các gói tin nhận được từ các interface kết nối với các client đến application engine.
example:
Switch_3560_VNE# configure terminal
Switch_3560_VNE(config)# ip wccp web-cache 80 group-list 15
Switch_3560_VNE(config)# access-list 15 permit host 171.69.198.102
Switch_3560_VNE(config)# access-list 15 permit host 171.69.198.104
Switch_3560_VNE(config)# access-list 15 permit host 171.69.198.106
Switch_3560_VNE(config)# vlan 299
Switch_3560_VNE(config-vlan)# exit
Switch_3560_VNE(config)# interface vlan 299
Switch_3560_VNE(config-if)# ip address 175.20.20.10 255.255.255.0
Switch_3560_VNE(config-if)# exit
Switch_3560_VNE(config)# interface gigabitethernet0/1
Switch_3560_VNE(config-if)# switchport mode access
Switch_3560_VNE(config-if)# switchport access vlan 299
Switch_3560_VNE(config)# vlan 300
Switch_3560_VNE(config-vlan)# exit
Switch_3560_VNE(config)# interface vlan 300
Switch_3560_VNE(config-if)# ip address 172.20.10.30 255.255.255.0
Switch_3560_VNE(config-if)# exit
Switch_3560_VNE(config)# interface gigabitethernet0/2
Switch_3560_VNE(config-if)# switchport mode access
Switch_3560_VNE(config-if)# switchport access vlan 300
Switch_3560_VNE(config-if)# exit
Switch_3560_VNE(config)# vlan 301
Switch_3560_VNE(config-vlan)# exit
Switch_3560_VNE(config)# interface vlan 301
Switch_3560_VNE(config-if)# ip address 175.20.30.20 255.255.255.0
Switch_3560_VNE(config-if)# ip wccp web-cache redirect in
Switch_3560_VNE(config-if)# exit
Switch_3560_VNE(config)# interface range gigabitethernet0/3 - 6
Switch_3560_VNE(config-if-range)# switchport mode access
Switch_3560_VNE(config-if-range)# switchport access vlan 301
Switch_3560_VNE(config-if-range)# exit
Phần III: Giám sát và duy trì WCCP
- Để giám sát và duy trì WCCP, bạn có thể sử dụng một trong số các câu lệnh sau ở chế độ Privileged Exex
Switch_3560_VNE# clear ip wccp web-cache
Switch_3560_VNE# show ip wccp web-cache
Switch_3560_VNE# show ip wccp web-cache detail
Switch_3560_VNE# show ip interface
Switch_3560_VNE# show ip wccp web-cache view
Đăng nhận xét