配置与WCCP的透明重定向为了重定向本地FTP流量-Cisco.PDF

配置与WCCP的透明重定向为了重定向本地 FTP流量 目录 简介 先决条件 要求 使用的组件 配置 WSA配置 示例ASA配置 示例交换机配置(c3560) 验证 故障排除 简介 本文描述如何配置Web安全工具(WSA) /Cisco路由器为了支持HTTP、HTTPS和本地FTP流量透明 重定向与WEB缓存通信协议(WCCP)。 先决条件 要求 本文档没有任何特定的要求。 使用的组件 本文档中的信息基于以下软件和硬件版本： Cisco Web运行AsyncOS版本6.0或以上的安全工具 在WSA启用的本地FTP代理 WCCPv2兼容的Cisco路由器/交换机或者ASA防火墙 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原 始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。 配置 当本地FTP流量重定向透明地对WSA时， WSA典型地收到在标准的FTP端口21的流量。因此， WSA的本地FTP代理在端口21应该侦听(默认情况下本地FTP代理是8021)。在GUI中，请选择安全 服务验证的FTP代理。 WSA配置 1. 创建FTP流量的一标识。在GUI中，请选择Web安全经理标识并且保证验证为此ID禁用。 2. 创建访问策略。在GUI中，请选择Web安全经理Access策略，参考标识step1。 3. 在FTP代理设置下，请修改FTP被动端口是11000-11006为了保证所有端口适合到一单路供电 的组。 4. 创建这些WCCP服务ID ： 名称服务端口 web-cache 0 80 (二者择一，您能使用98自定义Web缓存，如果使用多个WSAs) ftp本地60 21,11000,11001,11002,11003,11004,11005,11006 https缓存70 443 这些示例重定向三内部子网，当他们绕过所有私下寻址的目的地以及单个内部主机的时WCCP重定 向。 示例ASA配置 wccp web-cache redirect-list web-cache group-list group_acl wccp 60 redirect-list ftp-native group-list group_acl wccp 70 redirect-list https-cache group-list group_acl wccp interface inside web-cache redirect in wccp interface inside 60 redirect in wccp interface inside 70 redirect in access-list group_acl extended permit ip host 60 any access-list ftp-native extended deny ip any access-list ftp-native extended deny ip any access-list ftp-native extended deny ip any access-list ftp-native extended deny ip host 20 any access-list ftp-native extended permit tcp any eq ftp access-list ftp-native extended permit tcp any range 11000 11006 access-list ftp-native extended permit tcp any eq ftp access-list ftp-native extended permit tcp any range 11000 11006 access-list ftp-native extended permit tcp any eq ftp access-list ftp-native extended permit tcp any range 11000 11006 access-list https-cache extended deny ip any access-list https-cache extended deny ip any access-list https-cache extended deny ip a