День добрый господа. Не подскажите, где я ошибся?
Пытаюсь настроить wccp(cisco 2851). Конфиг более чем стандартен:#sh ver
Cisco IOS Software, 2800 Software (C2800NM-IPBASE-M), Version 12.4(3f), RELEASE SOFTWARE (fc3)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2006 by Cisco Systems, Inc.
Compiled Fri 18-Aug-06 18:47 by alnguyen
.....
ip wccp version 1
ip wccp web-cache
.....
!
interface GigabitEthernet0/0
ip address 81.4.*.* 255.255.255.0
ip nat outside
duplex auto
speed auto
no cdp enable
no mop enabled
!
interface GigabitEthernet0/1
ip address 192.168.35.50 255.255.255.0 secondary
ip address 192.168.1.175 255.255.255.0 secondary
ip address 192.168.33.50 255.255.255.0
ip wccp web-cache redirect out
ip nat inside
duplex auto
speed auto
no cdp enable
.....
ip nat inside source list 5 interface GigabitEthernet0/0 overload
!
access-list 5 permit 192.168.33.0 0.0.0.255
access-list 5 permit 192.168.35.0 0.0.0.255
access-list 5 permit 192.168.1.0 0.0.0.255
.....
#show ip wccp
Global WCCP information:
Router information:
Router Identifier: 192.168.33.50
Protocol Version: 1.0Service Identifier: web-cache
Number of Cache Engines: 1
Number of routers: 1
Total Packets Redirected: 0
Process: 0
Fast: 0
CEF: 0
Redirect access-list: -none-
Total Packets Denied Redirect: 0
Total Packets Unassigned: 0
Group access-list: -none-
Total Messages Denied to Group: 0
Total Authentication failures: 0
.....
#show ip wccp web-cache view
WCCP Routers Informed of:
-none-WCCP Cache Engines Visible:
192.168.33.75WCCP Cache Engines NOT Visible:
-none-
tcpdump на компе с squid:
15:00:18.280494 IP 192.168.33.75.2048 > 192.168.33.50.2048: UDP, length 52
15:00:18.280881 IP 192.168.33.50.2048 > 192.168.33.75.2048: UDP, length 64Больше ничего. Клиенты ходят через нат, web через проксю не ходит, судя по всему даже не пытается. Где я промахнулся?
>[оверквотинг удален]
> WCCP Cache Engines NOT Visible:
> -none-
>
>
>tcpdump на компе с squid:
>15:00:18.280494 IP 192.168.33.75.2048 > 192.168.33.50.2048: UDP, length 52
>15:00:18.280881 IP 192.168.33.50.2048 > 192.168.33.75.2048: UDP, length 64
>
>Больше ничего. Клиенты ходят через нат, web через проксю не ходит, судя
>по всему даже не пытается. Где я промахнулся?у тебя натится должен 80 порт прокси и все остальные порты клиентов сделай расширенный acl чтото вроде
ip access-list ext nat
10 permit tcp host 192.168.33.75 any
20 deny tcp 192.168.33.0 0.0.0.255 any eq 80
30 deny tcp 192.168.35.0 0.0.0.255 any eq 80
40 deny tcp 192.168.1.0 0.0.0.255 any eq 80
50 permit ip 192.168.33.0 0.0.0.255 any
60 permit ip 192.168.35.0 0.0.0.255 any
70 permit ip 192.168.1.0 0.0.0.255 any
KiM, спасибо за ответ. Ошибка немного в другом заключается.Сейчас выглядит примерно так:
cisco
gi0/0 -- инет (ip nat outside ; ip wccp web-cache redirect out)
gi0/1 -- локалка (ip nat insude)
t0 -- gre тунельСвязь по gre тунелю есть. tcpdump и debug показывают, что циска и линукс видят друг друга.
Когда клиент запрашивает соединение по 80 порту, tcpdump на tnl ловит следующее:
11:59:19.510071 IP 192.168.90.175 > 192.168.90.75: GREv0, length 64: gre-proto-0x883e
11:59:19.510098 IP 192.168.90.75 > 192.168.90.175: ICMP 192.168.90.75 protocol 47 unreachable, length 92То есть на gre тунеле протокол gre не поддерживается... я так понимаю.
Поднимаю так:
modprobe ip_gre
ip tunnel add tnl0 mode gre local 192.168.33.75 remote 192.168.33.50 ttl 255
ip addr add 192.168.90.75 dev tnl0
ip link set tnl0 up
ip route add 192.168.90.0/24 dev tnl0#iptables -L -n -t nat
target prot opt source destination
DNAT tcp -- 0.0.0.0/0 192.168.90.75 tcp dpt:80 to:192.168.90.75:5556Больше правил нет, политики везде ACCEPT
Кто-нибуть может прокомментировать? Ошибка скорее всего где-нибуть в сущей мелочи, но я не вижу в упор ее.
Заранее спасибо.
>[оверквотинг удален]
>DNAT tcp -- 0.0.0.0/0
>
>192.168.90.75 tcp dpt:80 to:192.168.90.75:5556
>
>Больше правил нет, политики везде ACCEPT
>
>Кто-нибуть может прокомментировать? Ошибка скорее всего где-нибуть в сущей мелочи, но я
>не вижу в упор ее.
>
>Заранее спасибо.а прокся у вас кто простите?(squid,ISA,etc)
http://www.cisco.com/en/US/docs/ios/12_1/configfun/command/r...
>[оверквотинг удален]
>DNAT tcp -- 0.0.0.0/0
>
>192.168.90.75 tcp dpt:80 to:192.168.90.75:5556
>
>Больше правил нет, политики везде ACCEPT
>
>Кто-нибуть может прокомментировать? Ошибка скорее всего где-нибуть в сущей мелочи, но я
>не вижу в упор ее.
>
>Заранее спасибо.в догрузку http://www.opennet.me/base/cisco/squid_wccp.txt.html
squid использую.
KiM, спасибо за ответы. Сел и разобрался. Кому интересно, ниже рабочий пример.Cisco:
....
ip wccp version 1
ip wccp web-cache
!
....
!
!Internet interface
interface GigabitEthernet0/0
ip address 81.*.*.* 255.255.255.0
ip wccp web-cache redirect out
ip nat outside
duplex auto
speed auto
no cdp enable
no mop enabled
!LAN interface
interface GigabitEthernet0/1
ip address 192.168.1.175 255.255.255.0 secondary
ip address 192.168.33.50 255.255.255.0
ip nat inside
duplex auto
speed auto
no cdp enable
!
ip classless
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/0 81.*.*.*
!
no ip http server
ip nat inside source list 100 interface GigabitEthernet0/0 overload
!
access-list 100 deny gre 192.168.33.0 0.0.0.255 host 192.168.33.75
access-list 100 permit ip 192.168.33.0 0.0.0.255 any
access-list 100 permit ip 192.168.1.0 0.0.0.255 any
....Linux(squid):
#ifconfig eth0 192.168.33.75 netmask 255.255.255.0
#route add default 192.168.33.50
#ip tunnel add tnl0 mode gre local 192.168.33.75 remote 192.168.33.50 ttl 255
#ip link set tnl0 up
#ip addr add 192.168.90.75 dev tnl0#cat ./squid.conf | grep wccp
wccp_router 192.168.33.50
wccp_version 4Все. Если сквид падает, то в течении 10 секунд происходит переключение и запросы натятся, как только сквид поднимается, запросы идут опять через него.
Если что-то напутал, поправьте меня.