Kif tikkontrolla t-traffiku tal-web billi tuża Squid Cache u Cisco Router fil-Linux

Kompitu wieħed importanti f'netwerk huwa l-kontroll u l-ġestjoni tat-traffiku tal-persunal tas-surfing tal-web, hemm ħafna soluzzjonijiet li jistgħu jimmaniġġjaw din il-kwistjoni, waħda mill-aħjar soluzzjonijiet hija li tuża squid cache fuq magna Linux. Il-klamari jistgħu jispezzjonaw, jillimitaw u jġorru l-flussi tat-traffiku tal-web minn netwerk għal netwerk ieħor pereżempju minn LAN għall-Internet.

Hemm ftit modi kif tidderieġi mill-ġdid it-talbiet tal-web tal-klijent għal magna tal-klamari, f'dan l-artikolu ser nuruk kif terġa 'tidderieġi t-traffiku tal-web minn router CISCO għal magna Squid Cache billi tuża protokoll WCCP.

L-istampa hawn taħt hija eżempju ta’ xenarju bażiku.

Kif tara fl-istampa ta 'hawn fuq it-traffiku kollu tal-web tal-klijent l-ewwel imur għal Cisco Router (Dak huwa l-portal default tagħhom), imbagħad ir-router siekta tidderieġi mill-ġdid il-pakketti għall-magna tal-klamari, issa l-klamari jista' jkollu r-rwoli tiegħu, ir-rwoli ewlenin huwa l-caching tal-kontenut tal-web, tillimita l-aċċess ibbażat fuq fuq oqsma, intervalli ta 'ħin, indirizzi ip, daqs tal-fajls, eċċ.

Aħna nirrevedu l-konfigurazzjoni ta 'dan ix-xenarju f'żewġ passi Maġġuri, l-ewwel għandna ninstallaw u kkonfiguraw il-klamari u l-Linux, imbagħad nikkonfiguraw ir-router biex jidderieġu mill-ġdid il-pakketti tat-traffiku tal-web fi klamari bl-użu tal-protokoll WCCP.

F'dan ix-xenarju nuża CENTOS 6.5 bħala s-server LINUX tiegħi u Cisco 2691 bħala s-sistema tar-Router tiegħi.

Operating System: CENTOS 6.5
Application: Squid
Router: Cisco 2691

Pass 1: Installazzjoni Squid Cache

Klamari huwa disponibbli fuq repożitorju default ta 'CENTOS, aħna l-ewwel ninstallawha bl-użu ta' kmand sabiħ ta 'yum u mbagħad nibdew is-servizzi tagħhom u finalment nissettjaw il-bidu awtomatiku tas-servizz tal-klamari.

# yum -y install squid
# service squid start
# chkconfig squid on

Pass 2: Tħejjija tal-Klamar Cache

Issa rridu nibdlu xi imgieba default tas-sistema ta 'operazzjoni centos, għandna bżonn li nippermettu l-ispedizzjoni tal-pakketti u tiddiżattiva l-filtru tar-Reverse Path (RPF), aħna nippermettu t-twassil tal-pakketti biex inħallu lill-centos jaġixxu bħala speditur trasparenti (bħal router).

Ħa nispjega f'aktar dettall, meta t-traffiku jidħol f'centos ikollu l-indirizzi tas-sors u tad-destinazzjoni tagħhom, pereżempju meta klijent jidħol www.example.com fuq il-browser tiegħu/tagħha, jiġġenera pakkett ta' talba http u għandu l-indirizz ip tas-sors tal-magna tal-klijent (bħal 192.168.1.20) u l-indirizz ip tad-destinazzjoni tas-server example.com (bħal 2.2.2.2).

Allura, meta l-pakkett riċevut minn centos jiskopri bħala pakkett ħażin minħabba li l-indirizz ip centos mhuwiex bħala indirizz tad-destinazzjoni tal-pakkett, għal raġunijiet ta 'sigurtà centos qatra l-pakkett, iżda rridu li mill-klamari jaġixxu b'mod trasparenti. Ngħidu din is-sitwazzjoni lil centos billi nippermettu l-potion ta 'trażmissjoni tal-pakketti.

Sussegwentement għandna tiddiżattiva Reverse path Filtering biex inħallu l-centos jaċċettaw pakketti li mhumiex aċċessibbli mill-magna tal-klamari jew pakketti li m'għandhomx indirizz ip fl-istess subnet tal-magna tal-klamari.

# nano /etc/sysctl.conf

net.ipv4.ip_forward = 1 #set to 1 for enable the packet forwarding feature
net.ipv4.conf.default.rp_filter = 0 # set to 0 for disable the reverse path filter behavior

Sussegwentement irridu noħolqu interface GRE fuq il-magna CENTOS, għal xiex?? Ħa nispjega aktar, il-protokoll WCCP jaħdem permezz ta 'Mina GRE, dan ifisser li l-lingwa bejn ir-router u Squid hija GRE, għalhekk centos jeħtieġ li jkollhom interface GRE għal pakketti GRE De-inkapsulati.

Għandna noħolqu l-fajl ta 'konfigurazzjoni għall-interface GRE fil-passaġġ \/etc/sysconfig/network-script/ifcfg-gre0.

Daħħal hawn taħt il-kodiċijiet fil-fajl tal-konfigurazzjoni ifcfg-gre0.

DEVICE=gre0
BOOTPROTO=static
IPADDR=10.0.0.2         #unused ip address in your network
NETMASK=255.255.255.252
ONBOOT=yes
IPV6INIT=no

Wara li noħolqu interface GRE għandna bżonn nibdew mill-ġdid is-servizz tan-netwerk.

# service network restart

Pass 3: Konfigurazzjoni Squid Cache

Għandna bżonn ngħidu lill-klamari li jaċċettaw pakketti WCCP mir-router. Daħħal hawn taħt kodiċijiet fil-fajl /etc/squid/squid.conf.

http_port 3128 intercept                 # Define SQUID listening port
wccp2_router 192.168.1.254          #ip address of the router
wccp2_forwarding_method gre
wccp2_return_method gre
wccp2_service standard 0

Issejvja l-fajl tal-konfigurazzjoni u erġa ibda s-servizz tal-klamari.

# service squid restart

Klamari jisimgħu pakketti fil-port 3128, iżda n-numru tal-port tad-destinazzjoni tal-pakkett tagħna huwa 80, għalhekk biex nibdlu l-port tad-destinazzjoni 80 għal 3128, għandna bżonn noħolqu regola NAT fuq firewall integrat ta 'CENTOS (li jismu iptable).

# iptables -t nat -A PREROUTING -i gre0 -p tcp --dport 80 -j REDIRECT --to-port 3128
# iptables -t nat -A POSTROUTING -j MASQUERADE

Pass 4: Konfigurazzjonijiet tar-Router Cisco

L-ewwel għandna nippermettu WCCP fuq router Cisco.

R1(config)# ip wccp version 2
Then we must use an ACL for introducing SQUID cache machine to router
R1(config)# ip access-list standard SQUID-MACHINE
R1(config-std-nacl)# permit host 192.168.1.10

Sussegwentement aħna niddefinixxu lista ta 'aċċess ieħor għal żewġ skop differenti l-ewwel għandna ħlief traffiki SQUID milli jirridirezzjonaw mill-protokoll WCCP (jekk le naqgħu f'linja infinita!!) It-tieni niddefinixxu liema traffiku LAN irridu li jgħaddu minn WCCP u SQUID.

R1(config)#ip access-list LAN-TRAFFICS
R1(config-ext-nacl)#deny ip host 192.168.1.10 any                            #Prevent SQUID to get in loop
R1(config-ext-nacl)#permit tcp 192.168.1.0 0.0.0.255 any equal www           #define LAN Traffics

Wara li noħolqu l-lista ta 'aċċess tagħna għandna nikkonfiguraw il-protokoll WCCP fuq ir-router.

R1(config)# ip wccp web-cache redirect-list LAN-TRAFFIC group-list SQUID-MACHINE

Kull ħaġa hija lesta għall-aħħar pass, irridu ngħidu lir-router li f'liema interface/interfaces għandu jidderieġi mill-ġdid it-traffiku billi juża l-konfigurazzjoni WCCP tagħhom.

R1(config)#interface fastEthernet 0/0
R1((config-if)# ip wccp web-cache redirect in

Sommarju

Wasal iż-żmien li niġbru fil-qosor il-kmandi u t-testi kollha fi ftit linji għal fehim aħjar, skont ix-xenarju aħna nidderieġu mill-ġdid il-pakketti tas-surfing tal-web tal-istaff (jiġifieri fuq il-port TCP 80) mir-ROUTER (li huwa l-portal default tal-klijenti) lejn il-cache tal-klamari magna li tuża protokoll WCCP.

Dawn il-proċess kollu ġara skiet u m'hemm l-ebda konfigurazzjoni addizzjonali fuq in-naħa tal-klijent. Allura nistgħu nikkontrollaw u nissettjaw politiki dwar it-traffiku tal-web fil-LAN. Pereżempju, nistgħu niksbu aċċess għas-surfing tal-web biss fi żmien limitat, nillimitaw id-daqs massimu tat-tniżżil, niddefinixxu l-lista sewda u l-lista bajda tad-dwana tagħna, niġġeneraw rapporti sħaħ tal-użu tal-attività tal-internet u eċċ.

wieħed mill-fatti interessanti f'dan ix-xenarju huwa meta l-magna tal-klamari tinżel router tiskopri din il-kwistjoni u tieqaf tirriindirizza l-pakketti lejha, sabiex tkun tista 'tgawdi minn żero waqfien fin-netwerk tiegħek.

Jekk għandek xi mistoqsijiet dwar dan l-artikolu jekk jogħġbok ħalli tweġiba permezz tal-kaxxa tal-kummenti hawn taħt.