Kif tikkontrolla t-traffiku tal-web billi tuża Squid Cache u Cisco Router fil-Linux
Kompitu wieħed importanti f'netwerk huwa l-kontroll u l-ġestjoni tat-traffiku tal-persunal tas-surfing tal-web, hemm ħafna soluzzjonijiet li jistgħu jimmaniġġjaw din il-kwistjoni, waħda mill-aħjar soluzzjonijiet hija li tuża squid cache fuq magna Linux. Il-klamari jistgħu jispezzjonaw, jillimitaw u jġorru l-flussi tat-traffiku tal-web minn netwerk għal netwerk ieħor pereżempju minn LAN għall-Internet.
Hemm ftit modi kif tidderieġi mill-ġdid it-talbiet tal-web tal-klijent għal magna tal-klamari, f'dan l-artikolu ser nuruk kif terġa 'tidderieġi t-traffiku tal-web minn router CISCO għal magna Squid Cache billi tuża protokoll WCCP.
L-istampa hawn taħt hija eżempju ta’ xenarju bażiku.
Kif tara fl-istampa ta 'hawn fuq it-traffiku kollu tal-web tal-klijent l-ewwel imur għal Cisco Router (Dak huwa l-portal default tagħhom), imbagħad ir-router siekta tidderieġi mill-ġdid il-pakketti għall-magna tal-klamari, issa l-klamari jista' jkollu r-rwoli tiegħu, ir-rwoli ewlenin huwa l-caching tal-kontenut tal-web, tillimita l-aċċess ibbażat fuq fuq oqsma, intervalli ta 'ħin, indirizzi ip, daqs tal-fajls, eċċ.
Aħna nirrevedu l-konfigurazzjoni ta 'dan ix-xenarju f'żewġ passi Maġġuri, l-ewwel għandna ninstallaw u kkonfiguraw il-klamari u l-Linux, imbagħad nikkonfiguraw ir-router biex jidderieġu mill-ġdid il-pakketti tat-traffiku tal-web fi klamari bl-użu tal-protokoll WCCP.
F'dan ix-xenarju nuża CENTOS 6.5 bħala s-server LINUX tiegħi u Cisco 2691 bħala s-sistema tar-Router tiegħi.
Operating System: CENTOS 6.5 Application: Squid Router: Cisco 2691
Pass 1: Installazzjoni Squid Cache
Klamari huwa disponibbli fuq repożitorju default ta 'CENTOS, aħna l-ewwel ninstallawha bl-użu ta' kmand sabiħ ta 'yum u mbagħad nibdew is-servizzi tagħhom u finalment nissettjaw il-bidu awtomatiku tas-servizz tal-klamari.
# yum -y install squid # service squid start # chkconfig squid on
Pass 2: Tħejjija tal-Klamar Cache
Issa rridu nibdlu xi imgieba default tas-sistema ta 'operazzjoni centos, għandna bżonn li nippermettu l-ispedizzjoni tal-pakketti u tiddiżattiva l-filtru tar-Reverse Path (RPF), aħna nippermettu t-twassil tal-pakketti biex inħallu lill-centos jaġixxu bħala speditur trasparenti (bħal router).
Ħa nispjega f'aktar dettall, meta t-traffiku jidħol f'centos ikollu l-indirizzi tas-sors u tad-destinazzjoni tagħhom, pereżempju meta klijent jidħol www.example.com fuq il-browser tiegħu/tagħha, jiġġenera pakkett ta' talba http u għandu l-indirizz ip tas-sors tal-magna tal-klijent (bħal 192.168.1.20) u l-indirizz ip tad-destinazzjoni tas-server example.com (bħal 2.2.2.2).
Allura, meta l-pakkett riċevut minn centos jiskopri bħala pakkett ħażin minħabba li l-indirizz ip centos mhuwiex bħala indirizz tad-destinazzjoni tal-pakkett, għal raġunijiet ta 'sigurtà centos qatra l-pakkett, iżda rridu li mill-klamari jaġixxu b'mod trasparenti. Ngħidu din is-sitwazzjoni lil centos billi nippermettu l-potion ta 'trażmissjoni tal-pakketti.
Sussegwentement għandna tiddiżattiva Reverse path Filtering biex inħallu l-centos jaċċettaw pakketti li mhumiex aċċessibbli mill-magna tal-klamari jew pakketti li m'għandhomx indirizz ip fl-istess subnet tal-magna tal-klamari.
# nano /etc/sysctl.conf
net.ipv4.ip_forward = 1 #set to 1 for enable the packet forwarding feature net.ipv4.conf.default.rp_filter = 0 # set to 0 for disable the reverse path filter behavior
Sussegwentement irridu noħolqu interface GRE fuq il-magna CENTOS, għal xiex?? Ħa nispjega aktar, il-protokoll WCCP jaħdem permezz ta 'Mina GRE, dan ifisser li l-lingwa bejn ir-router u Squid hija GRE, għalhekk centos jeħtieġ li jkollhom interface GRE għal pakketti GRE De-inkapsulati.
Għandna noħolqu l-fajl ta 'konfigurazzjoni għall-interface GRE fil-passaġġ \/etc/sysconfig/network-script/ifcfg-gre0.
Daħħal hawn taħt il-kodiċijiet fil-fajl tal-konfigurazzjoni ifcfg-gre0.
DEVICE=gre0 BOOTPROTO=static IPADDR=10.0.0.2 #unused ip address in your network NETMASK=255.255.255.252 ONBOOT=yes IPV6INIT=no
Wara li noħolqu interface GRE għandna bżonn nibdew mill-ġdid is-servizz tan-netwerk.
# service network restart
Pass 3: Konfigurazzjoni Squid Cache
Għandna bżonn ngħidu lill-klamari li jaċċettaw pakketti WCCP mir-router. Daħħal hawn taħt kodiċijiet fil-fajl /etc/squid/squid.conf.
http_port 3128 intercept # Define SQUID listening port wccp2_router 192.168.1.254 #ip address of the router wccp2_forwarding_method gre wccp2_return_method gre wccp2_service standard 0
Issejvja l-fajl tal-konfigurazzjoni u erġa ibda s-servizz tal-klamari.
# service squid restart
Klamari jisimgħu pakketti fil-port 3128, iżda n-numru tal-port tad-destinazzjoni tal-pakkett tagħna huwa 80, għalhekk biex nibdlu l-port tad-destinazzjoni 80 għal 3128, għandna bżonn noħolqu regola NAT fuq firewall integrat ta 'CENTOS (li jismu iptable).
# iptables -t nat -A PREROUTING -i gre0 -p tcp --dport 80 -j REDIRECT --to-port 3128 # iptables -t nat -A POSTROUTING -j MASQUERADE
Pass 4: Konfigurazzjonijiet tar-Router Cisco
L-ewwel għandna nippermettu WCCP fuq router Cisco.
R1(config)# ip wccp version 2 Then we must use an ACL for introducing SQUID cache machine to router R1(config)# ip access-list standard SQUID-MACHINE R1(config-std-nacl)# permit host 192.168.1.10
Sussegwentement aħna niddefinixxu lista ta 'aċċess ieħor għal żewġ skop differenti l-ewwel għandna ħlief traffiki SQUID milli jirridirezzjonaw mill-protokoll WCCP (jekk le naqgħu f'linja infinita!!) It-tieni niddefinixxu liema traffiku LAN irridu li jgħaddu minn WCCP u SQUID.
R1(config)#ip access-list LAN-TRAFFICS R1(config-ext-nacl)#deny ip host 192.168.1.10 any #Prevent SQUID to get in loop R1(config-ext-nacl)#permit tcp 192.168.1.0 0.0.0.255 any equal www #define LAN Traffics
Wara li noħolqu l-lista ta 'aċċess tagħna għandna nikkonfiguraw il-protokoll WCCP fuq ir-router.
R1(config)# ip wccp web-cache redirect-list LAN-TRAFFIC group-list SQUID-MACHINE
Kull ħaġa hija lesta għall-aħħar pass, irridu ngħidu lir-router li f'liema interface/interfaces għandu jidderieġi mill-ġdid it-traffiku billi juża l-konfigurazzjoni WCCP tagħhom.
R1(config)#interface fastEthernet 0/0 R1((config-if)# ip wccp web-cache redirect in
Sommarju
Wasal iż-żmien li niġbru fil-qosor il-kmandi u t-testi kollha fi ftit linji għal fehim aħjar, skont ix-xenarju aħna nidderieġu mill-ġdid il-pakketti tas-surfing tal-web tal-istaff (jiġifieri fuq il-port TCP 80) mir-ROUTER (li huwa l-portal default tal-klijenti) lejn il-cache tal-klamari magna li tuża protokoll WCCP.
Dawn il-proċess kollu ġara skiet u m'hemm l-ebda konfigurazzjoni addizzjonali fuq in-naħa tal-klijent. Allura nistgħu nikkontrollaw u nissettjaw politiki dwar it-traffiku tal-web fil-LAN. Pereżempju, nistgħu niksbu aċċess għas-surfing tal-web biss fi żmien limitat, nillimitaw id-daqs massimu tat-tniżżil, niddefinixxu l-lista sewda u l-lista bajda tad-dwana tagħna, niġġeneraw rapporti sħaħ tal-użu tal-attività tal-internet u eċċ.
wieħed mill-fatti interessanti f'dan ix-xenarju huwa meta l-magna tal-klamari tinżel router tiskopri din il-kwistjoni u tieqaf tirriindirizza l-pakketti lejha, sabiex tkun tista 'tgawdi minn żero waqfien fin-netwerk tiegħek.
Jekk għandek xi mistoqsijiet dwar dan l-artikolu jekk jogħġbok ħalli tweġiba permezz tal-kaxxa tal-kummenti hawn taħt.