Прозрачные опции WCCP WSA (FTD или 4500X Switch WCCP)?
-
Мы переходим с наших старых межсетевых экранов Cisco ASA на Cisco FTD 2140. В настоящее время мы используем WCCP на ASA для прозрачного прокси с нашим виртуальным устройством WSA под VMWare. Я собирался перенести конфигурации WCCP на FTD 2140 с помощью FMC, но, судя по всему, для этого нужно использовать довольно сложную Flex Config, с которой я совершенно не знаком. Я думаю, не лучше ли просто создать новую VLAN на моих коммутаторах 4500X Core и перенести туда WCCP с ASA. Есть какие-нибудь идеи? Перенести конфигурацию WCCP с ASA на коммутаторы 4500X или использовать Flex Config для конфигурации WCCP на брандмауэрах FTD 2140? Или что-то еще?
-
Если вы используете FTD и FMC, то вам необходимо использовать эту конфигурацию для работы. Я тестировал FTD 7.2.5 и 7.3 (некоторые из них можно настроить напрямую с помощью FMC) — я не был уверен, есть ли WCCP в этой области, стоит проверить в примечаниях к выпуску. https://www.cisco.com/c/en/us/td/docs/security/firepower/70/configuration/guide/fpmc-config-guide-v70/flexconfig_policies.html?bookSearch=true BB
=====Preenayamo Vasudevam=====
***** Оценить все полезные ответы *****
Как обратиться за помощью к сообществу Cisco -
Предполагая, что FTD подключен непосредственно к коммутатору, проще всего будет использовать WCCP на выходе этого порта коммутатора. Какую версию FTD вы используете? Используете ли вы FMC?
-
FTD версии 7.3.1. Да, мы используем FMC.
-
Я думал, что видел это в чем-то около 7.4.1, но я ошибался... Переключатель, вероятно, сейчас лучшее место.
-
Привет
[, @Jim Matuska] Лучше всего пересмотреть поток пакетов, чтобы определить, какое устройство лучше всего подходит для реализации WCCP. [1] Обратите внимание: при использовании WCCP и наличии любого URL в настройках обхода источником IP пакета будет IP-адрес клиента. [2] Вам также необходимо учитывать обратный путь. [3] С другой стороны, если у вас есть WCCP в разных подсетях, клиент WCCP (маршрутизатор/коммутатор/брандмауэр) создаст GRE-туннель к WSA. Это также уменьшит количество решений по маршрутизации. [4] И наконец, не менее важно проверить нагрузку на устройства, чтобы избежать их перегрузки (с точки зрения использования ресурсов). С уважением, Амирхоссейн Моджаррад +++++++++++++++++++++++++++++++++++++++++++++++++++ ++++ Если этот ответ оказался полезным, пожалуйста, оцените его ++++ +++++++++++++++++++++++++++++++++++++++++++++++++++ С уважением,
Амирхоссейн Моджаррад
+++++++++++++++++++++++++++++++++++++++++++++++++++
++++ Если вы считаете этот ответ полезным, пожалуйста, оцените его как таковой ++++
+++++++++++++++++++++++++++++++++++++++++++++++++++ -
Я только что нашел эту статью об использовании Flex Configuration на FTD. Мне это не кажется таким уж сложным. Похоже ли это на то, что будет нормально работать на FTD для WCCP, хотя и с небольшими изменениями в настройках, поскольку здесь используется FDM, а мы используем FMC? https://integratingit.wordpress.com/2022/02/25/wsa-transparent-proxy-using-wccp Похоже, в FMC есть пример объекта Flex Config, который я мог бы использовать, но не уверен, будет ли проще/лучше использовать базовую конфигурацию ASA WCCP или этот более длинный скрипт. Есть другие идеи? Пример FMC WCCP Flex Config #set( $service = "web-cache")
#if( $isServiceIdentifier == "true")
#set( $service = "$serviceIdentifier")
#end
#set ( $wccpCli = "wccp")
#set ( $wccpCli = "$wccpCli $service")
####wccpGroupList является заполнителем для расширенного ACL.
####Замените wccpGroupList расширенным ACL, определенным в FMC, вставив объект политики типа расширенный ACL.
#if( $wccpGroupList )
#set( $wccpCli = "$wccpCli group-list $wccpGroupList")
#end
####wccpRedirectList является заполнителем для расширенного ACL.
####Замените wccpRedirectList расширенным ACL, определенным в FMC, путем вставки объекта политики типа расширенный ACL.
#if( $wccpRedirectList )
#set( $wccpCli = "$wccpCli redirect-list $wccpRedirectList")
#end
#set( $wccpCli = "$wccpCli password @wccpPassword ")
$wccpCli
#### Назначение wccp интерфейсу
#foreach( $interfaceName in $security-zone)
wccp interface $interfaceName $service redirect in
#end -
Я пробежал глазами, на первый взгляд выглядит неплохо.
-
npt, Эта ссылка также может быть полезна:
Руководство по настройке Firepower Management Center, версия 6.2.3 — Политики FlexConfig для FTD [Cisco Secure Firewall Management Center] — Cisco Также вы можете попробовать использовать только один IP-адрес для тестирования. В WSA можно создать журналы WCCP (по умолчанию не включены): GUI. > Администрирование системы > Подписка на журналы > Журналы WCCP Также в CLI вы можете использовать
wccpstat С уважением, Амирхоссейн Моджаррад +++++++++++++++++++++++++++++++++++++++++++++++++++ ++++ Если этот ответ оказался полезным, пожалуйста, оцените его ++++ +++++++++++++++++++++++++++++++++++++++++++++++++++ С уважением,
Амирхоссейн Моджаррад
+++++++++++++++++++++++++++++++++++++++++++++++++++
++++ Если этот ответ был вам полезен, пожалуйста, оцените его ++++
+++++++++++++++++++++++++++++++++++++++++++++++++++ -
Спасибо всем за советы и ссылки. Они были очень полезны. Думаю, я попробую WCCP Flex Config и посмотрю, как это сработает. Однако у меня есть один вопрос. Как вы думаете, перенос простой конфигурации с моего ASA (только 2 строки плюс мой ACL) будет работать нормально, или мне следует использовать действительно длинный пример WCCP Flex Config из FMC? Текущая конфигурация ASA WCCP wccp 120 redirect-list WCCP_CLIENTS password *****
wccp interface inside 120 redirect in Или Пример FMC WCCP Flex Config #set( $service = "web-cache")
#if( $isServiceIdentifier == "true")
#set( $service = "$serviceIdentifier")
#end
#set ( $wccpCli = "wccp")
#set ( $wccpCli = "$wccpCli $service")
####wccpGroupList является заполнителем для расширенного ACL.
####Замените wccpGroupList расширенным ACL, определенным в FMC, вставив объект политики типа расширенный ACL.
#if( $wccpGroupList )
#set( $wccpCli = "$wccpCli group-list $wccpGroupList")
#end
####wccpRedirectList является заполнителем для расширенного ACL.
####Замените wccpRedirectList расширенным ACL, определенным в FMC, путем вставки объекта политики типа расширенный ACL.
#if( $wccpRedirectList )
#set( $wccpCli = "$wccpCli redirect-list $wccpRedirectList")
#end
#set( $wccpCli = "$wccpCli password @wccpPassword ")
$wccpCli
#### Назначение wccp интерфейсу
#foreach( $interfaceName in $security-zone)
wccp interface $interfaceName $service redirect in
#end
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти