Доброго времени суток ув. форумчане. В общем описываю проблему с которой столкнулся, сильно прошу не пинать так как опыта пока маловато...имею 2 циски 2911 и 1841 между ними настрое gre+ospf+ipsec все в принципе работает. Недавно возникла потребность проксировать траффик и у себя и на удаленном участке. Собственно есть прокси squid под win server 2008, если я допустим прописываю вручную в браузере прокси на удаленной машине оно работает, но мы же все понимаем что это нето, нужно прозрачное проксирование. Подскажите кто имел дело с данными настройками? Очень нужна помощь, не могу понять что конкретно надо сделать, почитал по просторам в основном описывают схему с linux, но не охото если честно ставить отдельную машину под прокси и настраивать там еще и gre и т д. Все таки cisco,может есть способ форвадить траффик http на прокси без Linux? Надеюсь на вашу помощь! да забыл сказать что http запросы надо направлять и с удаленного участка на мой прокси.
>[оверквотинг удален]
> если я допустим прописываю вручную в браузере прокси на удаленной машине
> оно работает, но мы же все понимаем что это нето, нужно
> прозрачное проксирование. Подскажите кто имел дело с данными настройками? Очень нужна
> помощь, не могу понять что конкретно надо сделать, почитал по просторам
> в основном описывают схему с linux, но не охото если честно
> ставить отдельную машину под прокси и настраивать там еще и gre
> и т д. Все таки cisco,может есть способ форвадить траффик http
> на прокси без Linux? Надеюсь на вашу помощь! да забыл сказать
> что http запросы надо направлять и с удаленного участка на мой
> прокси.Доброго времени суток уважаемые форумчане, а также гуру мегаустройств cisco . Прошу вашей помощи вот в чем. Кто нибудь настраивал связку Cisco+WCCP+SQUID? То есть в сети очень много материала в связках с unix системами, у меня немного иная ситуация squid стоит на Win 2008. Так вот к чему я веду. есть 2 циски между ними gre-ospf-ipsec, осталось все прозрачно проксировать, и тут я встал колом... то есть имею такой конфиг циски что касаемо wccp:
ip wccp version 1
ip wccp web-cache redirect-list WCCP_Redirectinterface GigabitEthernet0/1
description Uplink-to-localnet
ip address 192.168.1.3 255.255.255.0
no ip proxy-arp
ip wccp web-cache redirect in
ip nat inside
ip virtual-reassembly in
load-interval 30
duplex auto
speed autoip access-list extended WCCP_Redirect
permit tcp 192.168.1.0 0.0.0.255 any eq wwwСо стороны SQUIDa включено следующее:
wccp_router 192.168.1.3
wccp_version 1В принципе все. При просмотре sh ip wccp имею:
Global WCCP information:
Router information:
Router Identifier: 192.168.1.3
Protocol Version: 1.0Service Identifier: web-cache
Number of Service Group Clients: 0
Number of Service Group Routers: 1
Total Packets s/w Redirected: 0
Process: 0
CEF: 0
Redirect Access-list: WCCP_Redirect
Total Packets Denied Redirect: 0
Total Packets Unassigned: 0
Group Access-list: -none-
Total Messages Denied to Group: 0
Total Authentication failures: 0то есть где то что то я не донастроил!. Уважаемы форумчане помогите утопающему, так как впереди подключение еще кучи точек и хотелось бы всех собрать на свой прокси! Заранее благодарен.
ЗЫ. Забыл добавить, схему пытаюсь собрать сначала у себя а затем проключать буду остальные узлы. Спасибо.
>[оверквотинг удален]
> Total Packets Denied Redirect: 0
> Total Packets Unassigned: 0
> Group Access-list: -none-
> Total Messages Denied to Group: 0
> Total Authentication failures: 0
> то есть где то что то я не донастроил!. Уважаемы форумчане
> помогите утопающему, так как впереди подключение еще кучи точек и хотелось
> бы всех собрать на свой прокси! Заранее благодарен.
> ЗЫ. Забыл добавить, схему пытаюсь собрать сначала у себя а затем
> проключать буду остальные узлы. Спасибо.http://www.cisco.com/en/US/docs/ios/12_2/configfun/configura...
>[оверквотинг удален]
>> Total Packets Unassigned: 0
>> Group Access-list: -none-
>> Total Messages Denied to Group: 0
>> Total Authentication failures: 0
>> то есть где то что то я не донастроил!. Уважаемы форумчане
>> помогите утопающему, так как впереди подключение еще кучи точек и хотелось
>> бы всех собрать на свой прокси! Заранее благодарен.
>> ЗЫ. Забыл добавить, схему пытаюсь собрать сначала у себя а затем
>> проключать буду остальные узлы. Спасибо.
> http://www.cisco.com/en/US/docs/ios/12_2/configfun/configura...Спасибо, но я как раз по тому мануалу и делал... а результата нет.
http://wiki.squid-cache.org/Features/Wccp
посмотрите примеры и главное вот это:Replace 150 with an access list number (either standard or extended) which lists IP addresses which you do not wish to be transparently redirected to your cache.
If you wish to redirect all client traffic then remove the:
ip wccp web-cache redirect-list
> http://wiki.squid-cache.org/Features/Wccp
> посмотрите примеры и главное вот это:
> Replace 150 with an access list number (either standard or extended) which
> lists IP addresses which you do not wish to be transparently
> redirected to your cache.
> If you wish to redirect all client traffic then remove the:
> ip wccp web-cache redirect-listХорошо, редирект лист я убрал.+ как и сказано сделал wccp2 версию, это для мультироутер. Но теперь по команде sh ip wccp он выдает след:
Global WCCP information:
Router information:
Router Identifier: -not yet determined-
Protocol Version: 2.0Service Identifier: web-cache
Number of Service Group Clients: 0
Number of Service Group Routers: 0
Total Packets s/w Redirected: 0
Process: 0
CEF: 0
Service mode: Open
Service Access-list: -none-
Total Packets Dropped Closed: 0
Redirect Access-list: -none-
Total Packets Denied Redirect: 0
Total Packets Unassigned: 0
Group Access-list: -none-
Total Messages Denied to Group: 0
Total Authentication failures: 0
Total GRE Bypassed Packets Received: 0
То есть вообще что роутер идентифиер не определен...
Конфиг щас такой:
ip wccp web-cacheinterface GigabitEthernet0/1
description Uplink-to-localnet
ip address 192.168.1.3 255.255.255.0
no ip proxy-arp
ip wccp web-cache redirect in
ip nat inside
ip virtual-reassembly in
load-interval 30
duplex auto
speed autoв сквиде проставил wccp_router
и wccp_versionПробовал и 1 весрию и вторую в Общем никак оно не видится... Наверно все таки попробую редиректить через route-map единственно надо разобраться как порт подменить 80 на 3128 соответственно.. Спасибо за ответ!.
>>[оверквотинг удален]
> Доброго времени суток уважаемые форумчане, а также гуру мегаустройств cisco . Прошу
> вашей помощи вот в чем. Кто нибудь настраивал связку Cisco+WCCP+SQUID? То
> есть в сети очень много материала в связках с unix системами,
> у меня немного иная ситуация squid стоит на Win 2008. ТакКогда я интересовлся вопроосом несколько лет назад ситуация была такая - Windows не поддерживал GRE-туннели, следовательно работать оно не может. Кто в курсе, поправтьте, поменялось-ли что-то в новых версиях Win-систем?
>>>[оверквотинг удален]
>> Доброго времени суток уважаемые форумчане, а также гуру мегаустройств cisco . Прошу
>> вашей помощи вот в чем. Кто нибудь настраивал связку Cisco+WCCP+SQUID? То
>> есть в сети очень много материала в связках с unix системами,
>> у меня немного иная ситуация squid стоит на Win 2008. Так
> Когда я интересовлся вопроосом несколько лет назад ситуация была такая - Windows
> не поддерживал GRE-туннели, следовательно работать оно не может. Кто в курсе,
> поправтьте, поменялось-ли что-то в новых версиях Win-систем?Огромное спасибо за ответы. Но скорее всего прийдется воткнуть какую-нибудь фряху и все. Даже если разруливать через route-map все равно надо порт подменять с 80 на мой прозрачный. В общем тему можно закрыть...
>[оверквотинг удален]
>>> Доброго времени суток уважаемые форумчане, а также гуру мегаустройств cisco . Прошу
>>> вашей помощи вот в чем. Кто нибудь настраивал связку Cisco+WCCP+SQUID? То
>>> есть в сети очень много материала в связках с unix системами,
>>> у меня немного иная ситуация squid стоит на Win 2008. Так
>> Когда я интересовлся вопроосом несколько лет назад ситуация была такая - Windows
>> не поддерживал GRE-туннели, следовательно работать оно не может. Кто в курсе,
>> поправтьте, поменялось-ли что-то в новых версиях Win-систем?
> Огромное спасибо за ответы. Но скорее всего прийдется воткнуть какую-нибудь фряху и
> все. Даже если разруливать через route-map все равно надо порт подменять
> с 80 на мой прозрачный. В общем тему можно закрыть...Уважаемые форумчане прошу снова помощи. В общем настроил я wccp+squid+cisco работает, но возникла проблема следующего рода. Когда в браузере набираешь сайт, затем ентер то очень долго происходит загрузка, то есть получается сам сайт грузится быстро, но он очень долго ищется в интернете что ли, как то так, по другому не могу обяснить... Если что нужно вы скажите предоставлю. Пока выкладываю то что есть на циске, freebsd (работает на виртуалке) ну и собственно сквид. Причем такая проблема наблюдается когда есть ip wccp web-cache redirect-list list, если я это убираю то все отлично летает.
Cisco
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
!!
boot-start-marker
warm-reboot
boot-end-marker
!
!
logging buffered 51200 warnings
enable secret 5 123
!
no aaa new-modelno ipv6 cef
ip source-route
ip cef
!
!
!
!
!
no ip domain lookup
ip domain name xxxx
ip wccp web-cache redirect-list 101username 1 privilege 15 secret 5 123
interface GigabitEthernet0/0
description GW
ip address x.x.x.x 255.255.255.240
no ip proxy-arp
ip nat outside
ip virtual-reassembly in
load-interval 30
duplex auto
speed auto
!
interface GigabitEthernet0/1
description -=UpLink-to-LOCALNET=-
ip address 192.168.1.3 255.255.255.0
no ip proxy-arp
ip wccp web-cache redirect in
ip nat inside
ip virtual-reassembly in
load-interval 30
duplex auto
speed auto
!
ip nat inside source list NAT interface GigabitEthernet0/0 overloadip route 0.0.0.0 0.0.0.0 x.x.x.x
!
ip access-list extended NAT
permit ip 192.168.1.0 0.0.0.255 anyaccess-list 101 permit tcp 192.168.1.0 0.0.0.255 any eq www
access-list 101 permit tcp 192.168.2.0 0.0.0.255 any eq wwwFreeBSD 9.0
IPFWfwd 127.0.0.1,3128 tcp from any to any 80 via gre0 in
fwd 127.0.0.1,3128 ip from any to any via gre0 in
fwd 127.0.0.1,3128 tcp from any to any 80 in
fwd 127.0.0.1,3128 tcp from any to any http in via gre0Ну и собственно сквид:
http_port 127.0.0.1:3128 transparent
connect_timeout 20 second
shutdown_lifetime 1 seconds
cache_dir ufs /usr/local/squid/cache 3000 16 256
maximum_object_size 320 MB
quick_abort_min 5 MB
coredump_dir /usr/local/squid/cache
access_log /usr/local/squid/log/access.log squidlog_mime_hdrs on
cache_mgr root@localhost
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl CONNECT method CONNECTacl MimeAudioVideo rep_mime_type audio video
acl UrlIP url_regex -i ^http://[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}/.*
http_access allow manager localhost
http_access deny managerhttp_access deny CONNECT
http_access deny to_localhost
http_access allow localnet
http_access deny all
http_reply_access allow all
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
Еще даже собственно запреты не ставил... Фри крутится на виртуалке как я говорил в Virtualbox. Если нужна еще какая инфа предоставлю, а так есть подозрения может как то кэшь оптимизировать или что. В этом пока мало смыслю. Заранее спасибо! Так же пробовал по совету некоторых прописывать первой строкой в 101 листе deny ip host ip_squid any eq www ситуация не изменилась(зы вывод sh ip wccp
Global WCCP information:
Router information:
Router Identifier: 192.168.1.3
Protocol Version: 2.0Service Identifier: web-cache
Number of Service Group Clients: 1
Number of Service Group Routers: 1
Total Packets s/w Redirected: 23621
Process: 0
CEF: 23621
Service mode: Open
Service Access-list: -none-
Total Packets Dropped Closed: 0
Redirect Access-list: 101
Total Packets Denied Redirect: 0
Total Packets Unassigned: 272
Group Access-list: -none-
Total Messages Denied to Group: 0
Total Authentication failures: 0
Total GRE Bypassed Packets Received: 0а также
sh ip wccp web-cache detail
WCCP Client information:
WCCP Client ID: 192.168.1.7
Protocol Version: 2.0
State: Usable
Redirection: GRE
Packet Return: GRE
Assignment: HASH
Initial Hash Info: 00000000000000000000000000000000
00000000000000000000000000000000
Assigned Hash Info: FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
Hash Allotment: 256 (100.00%)
Packets s/w Redirected: 23720
Connect Time: 00:42:07
GRE Bypassed Packets
Process: 0
CEF: 0
Errors: 0
Причем такая же картина наблюдается с route-map. Люди ну помогите кто-нибудь, это очень необходимо. Буду очень признателен.
> Причем такая же картина наблюдается с route-map. Люди ну помогите кто-нибудь, это
> очень необходимо. Буду очень признателен.А также я ранее писал что без ip wccp web-cache redirect-list работает хорошо, так это было временно... через минуты 2 такая же ерунда(