URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 5775
[ Назад ]

Исходное сообщение
"cisco + wccp + freebsd squid"

Отправлено Anaxion , 14-Окт-08 10:09 
Много раз поднималась эта тема уже на форумах..
Имеется:
Cisco 2811 (2x FastEthernet)
Cisco IOS Software, 2800 Software (C2800NM-ADVENTERPRISEK9-M), Version 12.4(12), RELEASE SOFTWARE (fc1)
и прокси-сервер
FreeBSD 7.0-RELEASE #1:
Настраиваю циску:

    ip wccp version 1
    ip wccp web-cache redirect-list squid
    !        
    ip access-list standard squid
    permit 192.168.2.27
    deny   any


На циске 2 интерфейса - один смотрит в мир (81.94.ххх.ххх), другой - в сеть. На втором подняты 2 подинтерфейса (dot1Q) для двух вланов. Применяю wccp к подинтерфейсу "проксируемой" сети

    interface FastEthernet0/1.2
    encapsulation dot1Q 2
    ip address 192.168.2.254 255.255.255.0
    ip wccp web-cache redirect in
    ip nat inside
    ip inspect DENY-URL in
    ip virtual-reassembly

На сервере ставлю squid-2.6.STABLE20 (затем пробовал и с squid-3.0)
В конфиг сквида добавляю

    wccp_router     192.168.2.254

Поднимаю тоннель

    gre0: flags=b051<UP,POINTOPOINT,RUNNING,LINK0,LINK1,MULTICAST> metric 0 mtu 1476
       tunnel inet 192.168.2.2 --> 81.94.ххх.ххх
       inet 192.168.2.2 --> 10.20.30.40 netmask 0xffffff00


IPFW:
${fwcmd} add 210 fwd 127.0.0.1,3128 log tcp from any to any http via gre0 in
Смотрим:

    ROUTER-MSK#sh ip wccp
    Global WCCP information:
        Router information:
       Router Identifier:                   192.168.5.1
       Protocol Version:                    1.0

        Service Identifier: web-cache
       Number of Service Group Clients:     1
       Number of Service Group Routers:     1
       Total Packets s/w Redirected:        33
    ROUTER-MSK#sh ip wccp web-cache detail
    WCCP Client information:
       WCCP Client ID:          192.168.2.2
       Protocol Version:        0.4
       State:                   Usable


Задумался: Router Identifier: 192.168.5.1 - это адрес Loopback0 (кстати, используется для сбора статистики NetAMS тем же прокси сервером, работает на ура).
Ладно, поехали: http://www.google.ru

    Proxy# tcpdump -i gre0
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on gre0, link-type NULL (BSD loopback), capture size 96 bytes
    17:28:09.998990 IP 192.168.2.27.37464 > ug-in-f104.google.com.http: S 1552815240:1552815240(0) win 5840 <mss 1460,sackOK,timestamp 6752296 0,nop,wscale 7>
    Proxy#cat /var/log/security
    kernel: ipfw: 210 Forward to 127.0.0.1:3128 TCP 192.168.2.27:44120 72.14.221.104:80 in via gre0


Пакет пришел и вроде как направился на сквид. Однако access.log - пуст, в браузере "ожидание ответа от http://www.google.ru" (ipfw?)
Неправильно настроен сквид или мое непонимание wccp? Разъясните, пожалуйста.


Содержание

Сообщения в этом обсуждении
"cisco + wccp + freebsd squid"
Отправлено ipmanyak , 15-Окт-08 15:43 
>[оверквотинг удален]
>и прокси-сервер
>FreeBSD 7.0-RELEASE #1:
>Настраиваю циску:
>
>    ip wccp version 1
>    ip wccp web-cache redirect-list squid
>    !
>    ip access-list standard squid
>    permit 192.168.2.27
>    deny   any

От самого сквида нужно запрещать (иначе зациклится), остальным разрешать
ip access-list standard squid
    deny ip_адрес_сквида   #это адpес, с котоpого сквид посылает свои запpосы
    permit any  
  


"cisco + wccp + freebsd squid"
Отправлено Anaxion , 15-Окт-08 15:51 
Так это:
ip access-list standard squid
    permit 192.168.2.27   -  адрес моей рабочей рабочей машины (её будем проксировать)
    deny   any            -  сюда входит в т.ч. и адрес сквида