web-dev-qa-db-ja.com

WCCPとイカ、そしてトンネル

次のドキュメントを使用してWCCP + Squidを設定しようとしています: http://www.crypt.gen.nz/papers/Cisco_squid_wccp.html

Ciscoスイッチ、テストクライアント、およびsquidプロキシサーバーがあります。 tcpdumpを使用すると、GREトラフィックが発生するので、スイッチは正しく構成されていると思います。ただし、トラフィックはsquidサーバーに到達していないようです。イカのトンネル構成は次のとおりです。

# cat /etc/sysconfig/network-scripts/ifcfg-tun0
DEVICE=tun0
TYPE=GRE
BOOTPROTO=none
MY_INNER_IPADDR=172.16.1.1
PEER_OUTER_IPADDR=10.1.1.1
PEER_INNER_IPADDR=172.16.1.2
NETMASK=255.255.255.252
ONBOOT=yes
IPV6INIT=no
USERCTL=no

サーバーがGREパケットのカプセル化を解除できないと思います。また、このifcfgファイルをどのように構成する必要があるかについて混乱があります。ここでは、スイッチのアドレスとして10.1.1.1があります。 2つの172.xアドレスは他の場所では明示的に構成されておらず、必要かどうかはわかりません。 tun0を起動すると、172.16.1.1にpingできますが、.2にはpingできません。この設定はすべて私のsquidサーバーに存在するので、.2のインターフェイスを起動する必要があるかどうか疑問に思っていますか?

私が気付いたもう1つの奇妙なことは、Red Hat(6)ではデバイスにgre0という名前を付けさせないことです。これが私の問題と関係があるかどうかわかりませんか?

編集:

遅れてすみません、私は過去数日間壁に頭をぶつけてきました。これはCisco6509です。プロキシサーバはスイッチに登録されているように見えますが、「使用不可」の状態です。リダイレクションとパケットリターンは「L2」と表示されます。 Squid構成でこれをGREとL2の両方に設定しましたが、スイッチに違いはないようです。また、割り当てには「ハッシュ」と「マスク」の両方を試しました。

関連するスイッチ構成は次のとおりです。

Standard IP access list WCCP-SQUID
10 permit 10.1.1.150 (1301 matches)

Extended IP access list WCCP-REDIRECT
10 permit tcp 10.1.1.0 0.0.0.31 10.2.1.0 0.0.255.255 eq www
20 permit tcp 10.1.1.0 0.0.0.31 10.2.1.0 0.0.255.255 eq 443

ip wccp web-cache redirect-list WCCP-REDIRECT group-list WCCP-SQUID

そして、これが私がデバッグログから見ているいくつかの出力です:

BUR-PII-CORA#show ip wccp web-cache detail
WCCP Cache-Engine information:
    Web Cache ID:          10.1.1.150
    Protocol Version:      2.0
    State:                 NOT Usable
    Redirection:           L2
    Packet Return:         L2
    Packets Redirected:    0
    Connect Time:          00:00:20
    Assignment:            MASK


BUR-PII-CORA#show ip wccp
Global WCCP information:
Router information:
    Router Identifier:                   10.1.1.1
    Protocol Version:                    2.0

Service Identifier: web-cache
    Number of Cache Engines:             0
    Number of routers:                   0
    Total Packets Redirected:            0
    Redirect access-list:                WCCP-REDIRECT
    Total Packets Denied Redirect:       0
    Total Packets Unassigned:            0
    Group access-list:                   WCCP-SQUID
    Total Messages Denied to Group:      0
    Total Authentication failures:       0

デバッグログから:

May  2 12:26:10.502 PDT: WCCP-EVNT:S00: Here_I_Am packet from 10.1.1.150 w/bad rcv_id 00000000
May  2 12:26:20.502 PDT: WCCP-EVNT:S00: Here_I_Am packet from 10.1.1.150 w/bad rcv_id 00000000
May  2 12:26:20.502 PDT: WCCP-PKT:S00: Sending I_See_You packet to 10.1.1.150 w/ rcv_id 00000017
May  2 12:26:25.502 PDT: WCCP-PKT:S00: Sending Removal_Query packet to 10.1.1.150w/ rcv_id 00000018
May  2 12:26:30.502 PDT: WCCP-EVNT:wccp_change_router_view: S00
May  2 12:26:30.502 PDT: WCCP-EVNT:wccp_change_router_view: deallocate rtr_view (24     bytes)
May  2 12:26:30.502 PDT: WCCP-EVNT:wccp_change_router_view: allocate hash rtr_view (1560 bytes)
May  2 12:26:30.502 PDT: WCCP-EVNT:wccp_change_router_view: rtr_view_size set to 24     bytes
May  2 12:26:30.502 PDT: WCCP-EVNT:S00: Built new router view: 0 routers, 0 usable web caches, change # 00000007
ciscosquidtunnelgre
1
blindsnowmobile

リダイレクト方法が一致していないため、SQUIDにリダイレクトされるパケットはありません。 6509のリダイレクトメソッドをGREに変更する必要があります。同様に、returnメソッドを汎用GREに変更する必要があります。

これらすべてに非常に注意してください。6500は複雑な動物であり、WCCP構成には多くの落とし穴があります。これが聖書です-これを読んで、推奨される構成を理解することをお勧めします http://www.Cisco.com/c/en/us/products/collat​​eral/switches/catalyst-6500-series-switches /white_paper_c11-629052.html

同じトピックに関する詳細情報は次のとおりです。 http://www.Cisco.com/c/en/us/td/docs/ios-xml/ios/ipapp/configuration/12-2sy/iap-cg -12-2sy-book/iap-wccp.html

私はあなたがTACとサービス契約を結んでいると仮定しています-私はあなたにこれについて彼らに電話をかけることを本当に勧めます。これでエラーが発生すると、6509のプロセッサが完全に過負荷になり、ネットワークが完全に停止する可能性があります。

1
Jason Seemann