Squid3 WCCPv2 与 ASA 不工作

tag-icon tag-icon ubuntu cisco squid cisco-asa
Squid3 WCCPv2 与 ASA 不工作

因此,我开始了一段艰难的冒险,让 Squid 3.3.8 与我的 Cisco ASA 5520 (9.1(5)) 一起工作。我认为问题在于流量虽然到达了 Squid 盒,但却没有到达实际的守护进程,或者没有发送出去(我认为没有到达守护进程)

作为一个sh wccp

Global WCCP information:
    Router information:
    Router Identifier:                   192.168.1.1
    Protocol Version:                    2.0

    Service Identifier: web-cache
    Number of Cache Engines:             1
    Number of routers:                   1
    Total Packets Redirected:            1049
    Redirect access-list:                wccp-traffic
    Total Connections Denied Redirect:   0
    Total Packets Unassigned:            1
    Group access-list:                   wccp-servers
    Total Messages Denied to Group:      1
    Total Authentication failures:       0
    Total Bypassed Packets Received:     0

我确信 ASA 正在重定向流量,因为每次启用它时,重定向的数据包总数就会增加。

我遵循了以下指南:http://wiki.squid-cache.org/ConfigExamples/Intercept/CiscoAsaWccp2设置 squid 的接口。由于它来自 squid,我希望它能够开箱即用,但显然不是。

所以我输入了所有命令:

modprobe ip_gre
ip tunnel add wccp0 mode gre remote 192.168.1.1 local 10.10.1.63  dev eth0                   ifconfig wccp0 10.10.1.63 netmask 255.255.255.255 up
echo 0 >/proc/sys/net/ipv4/conf/wccp0/rp_filter
echo 0 >/proc/sys/net/ipv4/conf/eth0/rp_filter
echo 1 >/proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -i wccp0 -p tcp --dport 80 -j REDIRECT --to-port 3129
iptables -t nat -A POSTROUTING -j MASQUERADE

这就是我疯狂的调试技巧发挥作用的地方。我知道我只能用它来重定向 HTTP 流量,所以我去了 homedepot.com,因为我知道他们不支持 ssl。

Global WCCP information:
    Router information:
    Router Identifier:                   192.168.1.1
    Protocol Version:                    2.0

    Service Identifier: web-cache
    Number of Cache Engines:             1
    Number of routers:                   1
    Total Packets Redirected:            1182
    Redirect access-list:                wccp-traffic
    Total Connections Denied Redirect:   0
    Total Packets Unassigned:            1
    Group access-list:                   wccp-servers
    Total Messages Denied to Group:      1
    Total Authentication failures:       0
    Total Bypassed Packets Received:     0

太棒了!我的“重定向数据包总数”上升了。所以我知道数据包正在到达 ASA,然后 ASA 将它们重定向到 squid 盒。

接下来,我让tcpdumpsquidbox 运行,同时尝试加载 homedepot.com。我删掉了无用的东西,并把相关信息放在下面

04:03:35.448210 IP 192.168.1.1 > 10.10.1.63: GREv0, length 60: gre-proto-0x883e

所以这告诉我数据包正在撞击鱿鱼盒。

我还对wccp0接口做了一些调试。

前:

wccp0     Link encap:UNSPEC  HWaddr XXX
          inet addr:10.10.1.63  P-t-P:10.10.1.63  Mask:255.255.255.255
          inet6 addr: fe80::5efe:a0a:13f/64 Scope:Link
          UP POINTOPOINT RUNNING NOARP  MTU:1476  Metric:1
          RX packets:159 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:8592 (8.5 KB)  TX bytes:180 (180.0 B)

后:

wccp0     Link encap:UNSPEC  HWaddr XXX              
          inet addr:10.10.1.63  P-t-P:10.10.1.63  Mask:255.255.255.255
          inet6 addr: fe80::5efe:a0a:13f/64 Scope:Link
          UP POINTOPOINT RUNNING NOARP  MTU:1476  Metric:1
          RX packets:164 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:8848 (8.8 KB)  TX bytes:180 (180.0 B)

它没有传输任何数据包,所以我认为它没有击中 squid 守护进程(access.log 也没有显示任何内容)

鱿鱼配置:

http_access allow all
http_port 3129 intercept
wccp2_router 10.10.1.1
wccp2_forwarding_method gre
wccp2_return_method gre
wccp2_service standard 0

任何帮助都非常感谢!!!<33

相关内容