Blue Coat Systems リファレンス ガイド WCCP リファレンス ガイド SGOS 6.3
連 絡 先 情 報 南 北 アメリカ Blue Coat Systems Inc. 420 North Mary Ave Sunnyvale, CA 94085-4121 世 界 のその 他 の 地 域 Blue Coat Systems International SARL 3a Route des Arsenaux 1700 Fribourg, Switzerland http://www.bluecoat.com/contact/customer-support http://www.bluecoat.com ドキュメントに 関 するご 質 問 またはご 意 見 documentation@bluecoat.com Copyright 1999-2013 Blue Coat Systems, Inc. All rights reserved worldwide. No part of this document may be reproduced by any means nor modified, decompiled, disassembled, published or distributed, in whole or in part, or translated to any electronic medium or other means without the written consent of Blue Coat Systems, Inc. All right, title and interest in and to the Software and documentation are and shall remain the exclusive property of Blue Coat Systems, Inc. and its licensors. ProxyAV, ProxyOne, CacheOS, SGOS, SG, Spyware Interceptor, Scope, ProxyRA Connector, ProxyRA Manager, Remote Access and MACH5 are trademarks of Blue Coat Systems, Inc. and CacheFlow, Blue Coat, Accelerating The Internet, ProxySG, WinProxy, PacketShaper, PacketShaper Xpress, PolicyCenter, PacketWise, AccessNow, Ositis, Powering Internet Management, The Ultimate Internet Sharing Solution, Cerberian, Permeo, Permeo Technologies, Inc., and the Cerberian and Permeo logos are registered trademarks of Blue Coat Systems, Inc. All other trademarks contained in this document and in the Software are the property of their respective owners. BLUE COAT SYSTEMS, INC. AND BLUE COAT SYSTEMS INTERNATIONAL SARL (COLLECTIVELY BLUE COAT ) DISCLAIM ALL WARRANTIES, CONDITIONS OR OTHER TERMS, EXPRESS OR IMPLIED, STATUTORY OR OTHERWISE, ON SOFTWARE AND DOCUMENTATION FURNISHED HEREUNDER INCLUDING WITHOUT LIMITATION THE WARRANTIES OF DESIGN, MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL BLUE COAT, ITS SUPPLIERS OR ITS LICENSORS BE LIABLE FOR ANY DAMAGES, WHETHER ARISING IN TORT, CONTRACT OR ANY OTHER LEGAL THEORY EVEN IF BLUE COAT SYSTEMS, INC. HAS BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES. Americas: Rest of the World: Blue Coat Systems, Inc. Blue Coat Systems International SARL 420 N. Mary Ave. 3a Route des Arsenaux Sunnyvale, CA 94085 1700 Fribourg, Switzerland 文 書 番 号 :231-02966-ja_JP 文 書 の 改 訂 版 :WCCP リファレンス ガイド SGOS 6.3 7/2012 ii
目 次 WCCP の 概 念............................................. 1 ProxySG での WCCP の 使 用 ProxySG.................................................2 WCCP サービス グループ...........................................................3 サービス グループのタイプ......................................................4 サービス グループのアドレス 設 定................................................4 サービス グループのアクセス 制 御................................................5 リダイレクトされるトラフィック....................................................6 ルーターと ProxySG のトラフィック 交 換 方 法.........................................7 GRE による 転 送 と 返 送..........................................................7 L2 による 転 送 と 返 送...........................................................8 ルーター アフィニティ..........................................................9 リダイレクトされたトラフィックを 受 け 取 る ProxySG.................................10 ロードバランシング 時 の 負 荷 分 散...............................................10 負 荷 の 自 動 再 分 散.............................................................10 ハッシュ 割 り 当 て.............................................................11 マスク 割 り 当 て...............................................................12 はじめに.........................................................................13 ルーターの WCCP 構 成 設 定................................. 15 WCCP の 有 効 化 とサービス グループの 定 義..........................................16 ルーター アドレスの 定 義..........................................................17 ユニキャスト アドレスの 定 義...................................................17 マルチキャスト アドレスの 定 義.................................................18 リダイレクトするトラフィックのフィルタリング.....................................20 サービス グループに 参 加 できるウェブキャッシュのフィルタリング....................21 サービス グループのセキュリティ..................................................22 インターフェースへのサービス グループ リダイレクト 適 用............................23 受 信 リダイレクトの 構 成 設 定...................................................23 送 信 リダイレクトの 構 成 設 定...................................................23 ProxySG の WCCP 構 成 設 定 ProxySG........................ 25 WCCP を 有 効 にする...............................................................26 Management Console から WCCP を 有 効 にする....................................26 CLI から WCCP を 有 効 にする...................................................26 サービス グループの 構 成 設 定......................................................27 サービス グループの 定 義 とインターフェースへの 適 用.............................27 リダイレクトするプロトコルとポートの 定 義.....................................29 転 送 方 法 と 返 送 方 法 の 定 義.....................................................30 WCCP リファレンス ガイド iii
目 次 ルーターのアフィニティを 有 効 にする.......................................... 32 ホーム ルーター アドレスの 定 義............................................... 33 割 り 当 て 方 法 の 定 義.......................................................... 35 サービス グループのセキュリティ.............................................. 38 WCCP の 構 成 確 認................................................................ 40 Management Console から WCCP の 構 成 を 確 認 する................................ 40 CLI から WCCP の 構 成 を 確 認 する.............................................. 41 WCCP の 構 成 変 更................................................................ 42 WCCP を 無 効 にする.............................................................. 43 Management Console から WCCP を 無 効 にする.................................... 43 CLI から WCCP を 無 効 にする.................................................. 43 WCCP の 構 成 例.......................................... 45 基 本 的 な WCCP 構 成............................................................. 46 ウェブキャッシュ 構 成............................................................ 47 ADN 構 成....................................................................... 48 L2 転 送 と GRE 返 送 の 構 成........................................................ 51 ルーター アフィニティの 構 成..................................................... 52 セキュア サービス グループの 構 成................................................. 54 特 定 トラフィックをリダイレクトする 構 成.......................................... 55 複 数 サービス グループの 構 成..................................................... 57 ハッシュ 割 り 当 てを 使 用 したロード バランシング 構 成............................... 59 ホットスポット 検 出 の 構 成........................................................ 61 不 均 等 な 負 荷 割 り 当 てを 使 用 したロード バランシング 構 成........................... 63 マスク 割 り 当 てを 使 用 したロード バランシング 構 成................................. 66 単 一 ProxySG 複 数 ルーター 構 成.................................................... 68 マルチキャスト 構 成.............................................................. 70 クライアント IP 反 映 構 成......................................................... 72 VLAN を 使 用 した LAN/WAN トラフィックの 分 離 構 成............................... 74 WCCP のモニタリングとトラブルシューティング................. 77 サービス グループの 状 態......................................................... 78 ProxySG サービス グループ 統 計 情 報 の 表 示.......................................... 79 Management Console から WCCP の 統 計 情 報 を 表 示 する............................ 80 CLI から WCCP の 統 計 情 報 を 表 示 する.......................................... 81 ルーターの 統 計 情 報 を 表 示 する.................................................... 82 構 成 設 定 を 変 更 したが 変 化 がない 場 合.............................................. 85 テスト 済 みプラットフォームの 構 成 設 定............................................ 86 iv WCCP リファレンス ガイド
目 次 WCCP コマンド クイック リファレンス........................ 87 ルーター WCCP コマンド..........................................................88 ProxySG WCCP コマンド...........................................................91 ProxySG への WCCP 構 成 設 定 インストール ProxySG..................................97 Management Console のテキスト エディタから 構 成 設 定 をインストールする...........97 ローカル ファイルから 構 成 設 定 をインストール...................................98 リモート URL から 構 成 設 定 をインストールする..................................98 CLI から 構 成 をインストールする...............................................99 WCCP リファレンス ガイド v
目 次 vi WCCP リファレンス ガイド
図 一 覧 図 1-1 ProxySG による 単 純 な WCCP 交 換................................................. 1-2 図 1-2 複 数 サービス グループ........................................................... 1-3 図 1-3 サービス グループのアクセス 制 御................................................. 1-5 図 1-4 リダイレクトするトラフィックの 決 定.............................................. 1-6 図 1-5 GRE 転 送....................................................................... 1-8 図 1-6 L2 転 送......................................................................... 1-8 図 1-7 ロードバランシング 時 の 負 荷 分 散................................................. 1-10 図 1-8 負 荷 の 自 動 再 分 散............................................................... 1-10 図 1-9 ハッシュ 割 り 当 て............................................................... 1-11 図 1-10 マスク 割 り 当 て.................................................................1-12 図 4-1 基 本 的 WCCP 構 成 の 例.......................................................... 4-46 図 4-2 ウェブキャッシュ 構 成 例......................................................... 4-47 図 4-3 仮 想 インパス ADN 展 開......................................................... 4-48 図 4-4 L2 による 転 送 と 返 送 の 例........................................................ 4-51 図 4-5 ルーター アフィニティの 例...................................................... 4-52 図 4-6 セキュア サービス グループの 例.................................................. 4-54 図 4-7 特 定 のプロトコルとポートのリダイレクト 例....................................... 4-55 図 4-8 複 数 サービス グループの 例...................................................... 4-57 図 4-9 ハッシュ 割 り 当 てを 使 用 したロード バランシングの 例.............................. 4-59 図 4-10 代 替 ハッシュを 使 用 したロード バランシングの 例.................................. 4-61 図 4-11 不 均 等 ウェイトによるロード バランシングの 例.................................... 4-63 図 4-12 複 数 ルーターと 単 一 ProxySG で 構 成 されるサービス グループの 例.................... 4-68 図 4-13 クライアント IP 反 映 の 例........................................................ 4-72 図 4-14 WCCP VLAN 構 成 の 例.......................................................... 4-74 WCCP リファレンス ガイド vii
図 一 覧 viii WCCP リファレンス ガイド
1 WCCP の 概 念 WCCP (Web Cache Communication Protocol) は Cisco が 開 発 したプロトコルです これにより 特 定 の Cisco ルーターおよびスイッチで トラフィックを ProxySG アプライアンスなどのキャッシュ エンジンに 透 過 的 にリダイレクトすることができます この 章 では ProxySG アプライアンスに WCCP を 展 開 するた めに 理 解 しておくべき WCCP の 概 念 について 説 明 します この 章 は 次 のトピックで 構 成 されています 2 ページの ProxySG での WCCP の 使 用 ProxySG 3 ページの WCCP サービス グループ 6 ページのリダイレクトされるトラフィック 7 ページのルーターと ProxySG のトラフィック 交 換 方 法 10 ページのリダイレクトされたトラフィックを 受 け 取 る ProxySG 13 ページのはじめに 注 意 WCCP は バージョン 2 を 使 用 することをお 勧 めします WCCP を 使 用 できる Cisco ルーターとスイッチは 限 定 されています さ らに すべての WCCP 対 応 ルーターが 同 じバージョンと 機 能 セッ トをサポートしているわけではありません WCCP の 構 成 設 定 を 開 始 する 前 にルーター/ スイッチのマニュアルを 参 照 して WCCP バージョン 2 がサポートされていること および 使 おうと している WCCP ルーターが 使 用 中 のプラットフォームおよび IOS バージョンでサポートされていることを 確 認 してください WCCP リファレンス ガイド 1
ProxySG での WCCP の 使 用 ProxySG WCCP の 概 念 ProxySG での WCCP の 使 用 ProxySG ProxySG アプライアンスがクライアントおよびサーバーの 物 理 パスに 存 在 しない 場 合 透 過 的 なプロキシ サービスを 行 うには 外 部 デバイス (レイヤー 4 (L4) スイッチまたは WCCP 対 応 ルーター) を 使 用 してパ ケットをアプライアンスにリダイレクトする 必 要 があります このタイプの 展 開 は 仮 想 インパス 展 開 と 呼 ばれます WCCP が 仮 想 インパス 展 開 として 推 奨 されるのは 次 のような 利 点 があることによります スケーラビリティとロード バランシング トラフィックを 最 大 32 個 の ProxySG アプライアンスに 自 動 的 に 分 散 できます 1 つの ProxySG がダウンした 場 合 トラフィックは グループ 内 の 他 の ProxySG アプライアンスに 自 動 的 に 再 分 散 されます セキュリティ WCCP サービス グループをパスワードで 保 護 して 許 可 されたアプライアンスだけ を 参 加 させるようにすることができます さらに ルーターにアクセス 制 御 リスト (ACL) を 設 定 して 特 定 の ProxySG アプライアンスだけにアクセスを 制 限 することができます フェイルオーバー トラフィックをリダイレクトできる ProxySG アプライアンスがない 場 合 ルー ターは 本 来 の 送 信 先 アドレスへトラフィックを 転 送 します 柔 軟 性 リダイレクトするトラフィックとその 方 法 を 正 確 に 制 御 します ルーター インターフェース を 出 入 りするすべてのトラフィックのリダイレクト ACL を 使 用 したトラフィックのフィルタリング あるいはリダイレクトする 特 定 のプロトコルとポートの 指 定 などが 可 能 です 透 過 的 プロキシ 展 開 では クライアントは 配 信 元 コンテンツ サーバー (OCS) ではなく ProxySG とやり 取 りしていることを 認 識 していません したがって クライアントからのパケットには OCS のアドレスが 指 定 されています ルーターは WCCP 対 応 インターフェース ( 構 成 に 応 じて 受 信 インタフェースまたはイン ターフェースのどちらか ) 上 のトラフィックをチェックして ルーターと ProxySG アプライアンスの 間 で 定 められたルールに 基 づき そのトラフィックをリダイレクトするかどうかを 決 定 します このプロセスは 次 のように 実 行 されます 1. クライアントが OCS 宛 てのパケットを 送 信 します 2. WCCP 対 応 のルーターが パケットを ProxySG. にリダイレクトします 3. ProxySG は トラフィックの 種 類 に 応 じて 設 定 されている 透 過 プロキシ サービスに 基 づき パケット の 処 理 方 法 を 決 定 します 要 求 を ( たとえば ローカル キャッシュからページを 戻 すことによって ) ローカルで 処 理 することができない 場 合 クライアントに 代 わって 指 定 された OCS に 要 求 を 送 信 し ます 4. OCS の 応 答 が ProxySG に 戻 されます ( または 設 定 によってはリダイレクトされます ) 5. 次 に ProxySG が 応 答 をクライアントに 返 します 図 1-1 にこのプロセスを 示 します 図 1-1 ProxySG による 単 純 な WCCP 交 換 2 WCCP リファレンス ガイド
WCCP の 概 念 WCCP サービス グループ WCCP サービス グループ サービス グループは 共 通 のルールのセットで 管 理 される 透 過 的 なリダイレクト スキームで 1 つ 以 上 の ルーター/ スイッチと 1 つ 以 上 のキャッシング デバイス ( この 場 合 は ProxySG アプライアンス ) を 1 つに まとめます サービス グループのメンバは 以 下 に 示 すように まず WCCP プロトコル パケットでメンバ 独 自 の 機 能 と 設 定 を 相 互 に 公 開 することで これらのルールに 同 意 します 1. ProxySG アプライアンスは グループ 内 のルーターに Here I Am (WCCP2_HERE_I_AM) という メッセージを 送 信 します これらのメッセージには プロトコル リダイレクト 先 のポート 相 互 間 のパ ケットの 転 送 と 返 送 に 使 用 する 方 法 ロード バランシングに 関 する 指 示 事 項 など その ProxySG が 参 加 しようとしているサービス グループに 関 する 記 述 が 含 まれています 2. ルーターは 受 信 ID やルーターがサポートする WCCP 機 能 ( 転 送 / 返 送 方 法 やロード バランシング スキームなど ) のリストを 含 む I See You (WCCP2_I_SEE_YOU) メッセージを 返 します 3. ProxySG アプライアンスは ルーターからの I See You メッセージで 送 られてきた 受 信 ID を 反 映 し た 別 の Here I Am メッセージで 応 答 します さらに ProxySG はルーターがアドバタイズした 機 能 を 確 認 し ルーターがアドバタイズしていない 機 能 が 自 身 の 構 成 設 定 に 指 定 されている 場 合 は そのサー ビス グループへの 参 加 を 中 止 します 構 成 設 定 に 含 まれる 使 用 機 能 がアドバタイズされている 場 合 は 使 いたい 機 能 を 選 択 し 別 の Here I Am メッセージによってそれをルーターに 返 信 します 4. ルーターは ProxySG が 選 択 した 機 能 を 確 認 し サポートされている 場 合 はその ProxySG を 使 用 可 能 な ものと 認 めて サービス グループに 加 えます ルーターは サービス グループ 内 のすべての ProxySG アプライアンスのリスト ( ルーター ビューと 呼 ぶ ) を 含 む I See You メッセージを 送 ることによっ て 受 け 入 れたすべての ProxySG アプライアンスに 応 答 を 返 します 5. サービス グループ 内 の 各 ProxySG は 定 期 的 に Here I Am メッセージをグループ 内 のルーターに 送 信 して サービス グループのメンバシップを 維 持 します ルーターが 定 められたタイムアウト 時 間 内 に ProxySG から Here I Am メッセージを 受 信 しなかった 場 合 ルーターはその ProxySG をサービス グループから 削 除 して 更 新 されたルーター ビューを 含 む I See You を 送 信 します 図 1-2 に 示 すように ルーターとスイッチは 複 数 のサービス グループに 参 加 することができます 図 1-2 複 数 サービス グループ WCCP リファレンス ガイド 3
WCCP サービス グループ WCCP の 概 念 サービス グループのタイプ サービス グループの 構 成 設 定 は そのグループ 内 のルータがリダイレクトするべきトラフィックのタイプ と リダイレクトされたトラフィックの 取 扱 方 法 を 定 義 します サービス グループには 次 の 2 種 類 があり ます 標 準 的 サービス グループは サービス グループ 内 のルーターと ProxySG アプライアンスがすでに 認 識 している 一 定 のトラフィック タイプと 各 種 特 性 を 備 えたグループです 現 在 使 用 できる 標 準 的 サー ビス グループはウェブキャッシュだけで これはポート 80 を 送 信 先 に 使 用 して すべての TCP トラ フィックをリダイレクトします ダイナミック サービス グループの 場 合 は その 特 性 について ProxySG とルーターの 間 でネゴシエー トする 必 要 があります 同 じサービス グループ ID を 持 つルーターと ProxySG アプライアンス 上 で WCCP が 有 効 になると ProxySG アプライアンスは 自 身 のアドバタイズと そのグループに 対 して 設 定 された WCCP サービスのアドバタイズを 開 始 します ProxySG アプライアンスがアドバタイズした 機 能 をルーターがサポートしている 場 合 は ダイナミック サービス グループが 形 成 されます ルー ターは サービス グループに 属 するすべての ProxySG アプライアンスのリストを 保 持 します サービス グループのアドレス 設 定 サービス グループを 確 立 して 維 持 するには ProxySG アプライアンスとルーターが 通 信 できる 必 要 があり ます デバイスは ユニキャスト アドレスまたはマルチキャスト グループ アドレスを 使 用 して 通 信 を 行 う ことができます グループ 内 のすべてのデバイスには 同 じサービス グループ アドレスを 設 定 する 必 要 が あります それぞれのアドレス タイプの 説 明 を 表 1-1 に 示 します 表 1-1 WCCP サービス グループのアドレス 設 定 サービス グループのアド レス 設 定 ユニキャスト マルチキャスト 説 明 ユニキャスト アドレスを 使 用 する 場 合 は まず サービス グループ 内 のすべ てのルーターの IP アドレスを 使 用 して 各 ProxySG の 構 成 を 設 定 する 必 要 があります ProxySG は グループ 内 のメンバシップを 確 立 してこれを 維 持 するために ユニキャストの Here I Am メッセージを 各 ルーターに 送 信 し ます ユニキャスト アドレスを 使 用 する 場 合 グループにルーターを 追 加 す る 場 合 や グループからルーターを 削 除 する 場 合 は 各 ProxySG を 設 定 し 直 す 必 要 があります さらに グループ 内 のデバイスが 増 えるにつれて WCCP トラフィックの 数 も 増 加 します これは それぞれの ProxySG が 1 つのマル チキャスト メッセージを 送 るのではなく グループ 内 の 各 ルーターへ 個 々 にメッセージを 送 る 必 要 があるためです マルチキャスト アドレスを 使 用 する 場 合 サービス グループ 内 のルーター と ProxySG アプライアンスは 224.0.0.0 ~ 239.255.255.255 の 範 囲 内 にある 1 つの IP アドレスを 使 用 して 通 信 を 行 います この 設 定 を 行 うには マルチ キャスト IP アドレスを 使 用 して グループ 内 のそれぞれの ProxySG とルー ターを 設 定 する 必 要 があります また WCCP ルーターあるいは ProxySG ア プライアンス もしくはその 両 方 が 2 ホップ 以 上 離 れている 場 合 は 介 在 す るルーターの IP マルチキャスト ルーティングを 有 効 にする 必 要 があります 4 WCCP リファレンス ガイド
WCCP の 概 念 WCCP サービス グループ サービス グループのアクセス 制 御 デフォルトでは 1 つ 以 上 のルーターと ProxySG アプライアンス 上 で WCCP サービス グループを 設 定 し て WCCP を 有 効 にすると それらのデバイスは 自 動 的 に 通 信 を 開 始 し サービス グループを 形 成 しようと します サービス グループに 参 加 できる ProxySG アプライアンスを 制 限 する 方 法 は 2 つあります 特 定 の ProxySG アプライアンスを 許 可 または 拒 否 する ACL をルーター 上 に 定 義 して さらにその ACL をサービス グループに 関 連 付 けることができます 詳 細 は 21 ページの サービス グループに 参 加 できるウェブキャッシュのフィルタリング を 参 照 してください ProxySG のサービス グループへの 参 加 を 認 める 際 に 事 前 に 認 証 を 行 うことができるように サービス グループへの 参 加 が 認 められた ProxySG アプライアンスとルーターに MD5 パスワードを 設 定 するこ とができます ルーターへのパスワード 設 定 方 法 については 22 ページの サービス グループのセキュ リティ を 参 照 してください ProxySG へのパスワード 設 定 方 法 については 38 ページの サービス グ ループのセキュリティ を 参 照 してください 図 1-3 サービス グループのアクセス 制 御 WCCP リファレンス ガイド 5
リダイレクトされるトラフィック WCCP の 概 念 リダイレクトされるトラフィック サービス グループ 内 のルーターと ProxySG の 構 成 を 設 定 するときは リダイレクトするトラフィックの 特 性 を 定 義 します 構 成 設 定 を 行 わないと すべてのトラフィックがリダイレクトされます しかし 以 下 の 方 法 を 使 用 すれば 特 定 のトラフィックだけをリダイレクトするようにサービス グループを 設 定 するこ とができます ルーター リダイレクト リスト ルーター 上 に リダイレクトするパケットを 選 別 する ACL を 設 定 する ことができます たとえば 特 定 ホストからのトラフィックをリダイレクトしたくない 場 合 は そのホ ストからのトラフィックを 拒 否 して 他 のホストからのトラフィックをすべて 許 可 する ACL を 作 成 し ルーターのサービスグループ 構 成 設 定 内 のリダイレクト リストにその ACL を 関 連 付 けることができ ます 手 順 は 20 ページの リダイレクトするトラフィックのフィルタリング を 参 照 してください ProxySG WCCP 設 定 ProxySG 上 で リダイレクトの 対 象 となる 特 定 のポート 番 号 とプロトコルを 指 定 することができます リダイレクト 用 に 構 成 されたインターフェース 上 でルーターがパケットを 受 信 すると ルーターはパケット ヘッダーを 確 認 して ポート 番 号 とプロトコルが そのインター フェースに 適 用 されているサービス グループに 定 義 されたものに 一 致 するかどうかを 判 定 しますト ラフィックがサービス グループ 特 性 に 一 致 する 場 合 ルーターはそのトラフィックを ProxySG へリダ イレクトします それ 以 外 の 場 合 は 通 常 のルーティング テーブル ルックアップを 実 行 して パケット をその 送 信 先 へ 転 送 します 手 順 は 29ページの リダイレクトするプロトコルとポートの 定 義 を 参 照 してください 図 1-4 リダイレクトするトラフィックの 決 定 6 WCCP リファレンス ガイド
WCCP の 概 念 ルーターと ProxySG のトラフィック 交 換 方 法 ルーターと ProxySG のトラフィック 交 換 方 法 透 過 的 プロキシ 展 開 には WCCP が 使 われるので ルーターがインターセプトするパケットは ProxySG で はなく OCS の 送 信 先 アドレスを 使 用 します したがって ルーターは ProxySG にパケットを 送 信 しなけれ ばなりませんが そのパケットをどうするのかを ProxySG が 認 識 できるように パケットのオリジナル 特 性 が 保 たれます ProxySG の 構 成 を 設 定 するときは ルーターがどうやってパケットを ProxySG に 転 送 す るのかを 決 定 する 転 送 方 法 と ProxySG がどうやってパケットをルーターに 返 送 するのかを 決 定 する 返 送 方 法 を 指 定 します デフォルトでは 返 送 方 法 は ProxySG がバイパスしたパケットの 返 送 方 法 を 指 定 しま す しかし ルーター アフィニティを 有 効 にすると ProxySG は 指 定 された 返 送 方 法 を 使 用 して インター セプトしたトラフィックのパケットも 返 送 します 以 下 のセクションに 説 明 するように ProxySG は 2 つの 転 送 および 返 送 方 法 をサポートしています 7 ページの GRE による 転 送 と 返 送 8 ページの L2 による 転 送 と 返 送 9 ページのルーター アフィニティ 注 意 すべてのルーター/ スイッチがすべての 転 送 方 法 と 返 送 方 法 をサ ポートしているわけではありません ProxySG の WCCP 機 能 に 関 して Blue Coat がテストを 実 施 した Cisco プラットフォームにつ いては 86 ページの テスト 済 みプラットフォームの 構 成 設 定 を 参 照 してください さらに 一 部 のルーターでは 転 送 と 返 送 に 別 の 方 法 が 使 われています SGOS バージョン 5.4 では GRE/GRE L2/L2 および L2/GRE 転 送 / 返 送 がサポートされています GRE による 転 送 と 返 送 GRE (Generic Routing Encapsulation) 転 送 では ルーターは リダイレクトされたパケットを 追 加 の IP ヘッダー 内 にカプセル 化 します このヘッダーでは 送 信 元 IP アドレスとしてルーター アドレスが 示 さ れ 送 信 先 IP アドレスとして ProxySG のアドレスが 示 されます ProxySG は パケットを 受 信 すると 外 側 のヘッダーを 取 り 除 いて 要 求 の 処 理 方 法 ( その 要 求 を OCS に 転 送 するか ローカルで 処 理 するか ) を 決 定 します 同 様 に GRE 転 送 では ProxySG が 追 加 の IP ヘッダー 内 にパケットをカプセル 化 します このヘッ ダーでは 送 信 元 IP アドレスとしてProxySG アドレスが 示 され 送 信 先 IP アドレスとしてルーターのアド レスが 示 されます ルーターは パケットを 受 信 すると 外 側 のヘッダを 取 り 除 いて そのパケットを 転 送 し ます GRE 転 送 を 選 択 した 場 合 は 返 送 も GRE で 行 う 必 要 があります 注 意 GRE パケットでは ProxySG とルーターの 最 大 伝 送 単 位 (MTU) が 少 なくなります GRE による 転 送 と 返 送 の 構 成 設 定 についての 説 明 は 30ページの 転 送 方 法 と 返 送 方 法 の 定 義 を 参 照 して ください WCCP リファレンス ガイド 7
ルーターと ProxySG のトラフィック 交 換 方 法 WCCP の 概 念 図 1-5 GRE 転 送 L2 による 転 送 と 返 送 レイヤ 2 (L2) 転 送 では ルーターはインターセプトされたパケットの 送 信 先 MAC アドレスを パケットの リダイレクト 先 である ProxySG の MAC アドレスに 書 き 換 えます 同 様 に L2 返 送 では ProxySG は イン ターセプトされたパケットの 送 信 先 MAC アドレスを パケットの 返 送 先 であるルーターの MAC アドレ スに 書 き 換 えます L2 転 送 では 転 送 がハードウェア レベルで 実 行 されるだけでなく レイヤ 3 でパケット のカプセル 化 およびカプセル 化 解 除 を 行 う 必 要 がないため GRE 転 送 よりも 高 速 です ただし L2 転 送 を 使 用 するには サービス グループ 内 のすべての ProxySG とルーターが 同 じ L2 ブロードキャスト ドメイ ン 上 に 存 在 する 必 要 があります (つまり それらの 間 にホップが 2 つ 以 上 存 在 することはできません) さら に L2 転 送 がサポートされているのは Catalyst シリーズのようなハードウェアベースのスイッチング プ ラットフォームだけに 限 られます 使 用 するハードウェア プラットフォームで L2 による 転 送 と 返 送 がサポートされているかどうかを 確 認 す るには ルーターのマニュアルを 参 照 してください また Blue Coat が ProxySG を 使 用 して L2 転 送 のテス トを 実 施 した Cisco プラットフォームのリストについては 86ページの テスト 済 みプラットフォームの 構 成 設 定 を 参 照 してください WCCP 対 応 ルーター/ スイッチがサポートしていない 転 送 方 法 や 返 送 方 法 を 設 定 しようとすると サービス グループが 形 成 されなくなります また ルーター/スイッチによっては L2 転 送 をサポートしていても L2 返 送 をサポートしていないことがあります このような 場 合 は L2 転 送 と GRE 返 送 を 使 用 することができます L2 による 転 送 と 返 送 の 設 定 についての 説 明 は 30ページの 転 送 方 法 と 返 送 方 法 の 定 義 を 参 照 してくだ さい 図 1-6 L2 転 送 8 WCCP リファレンス ガイド
WCCP の 概 念 ルーターと ProxySG のトラフィック 交 換 方 法 ルーター アフィニティ デフォルトでは ProxySG は 設 定 された 返 送 方 式 を 使 用 して バイパスされたトラフィックをトラフィッ クのリダイレクト 元 のルーターに 返 し 通 常 のルーティング テーブル 参 照 を 使 用 して インターセプトさ れたトラフィックのネクスト ホップを 決 定 します ルーター アフィニティを 有 効 にすると ProxySG は 設 定 された 返 送 方 法 も 使 用 し ルーティング テーブル ルックアップをバイパスして インターセプトされた クライアント 向 けやサーバー 向 けのトラフィックをリダイレクトした WCCP ルーターへそのトラフィッ クを 返 送 します この 機 能 は クライアントまたはサーバー 向 けトラフィックがその 送 信 先 に 到 達 するの を 妨 げるようなルーティング ポリシーが 定 められている 場 合 に 有 効 で これらのポリシーを ProxySG 上 にレプリケートする 必 要 を 無 くすことによって ProxySG の 構 成 設 定 プロセスを 簡 略 化 します この 場 合 は 常 にリダイレクトを 行 った WCCP ルーターと 同 じルーターにトラフィックが 返 送 されるので 複 数 の ホーム ルーターが 含 まれる 構 成 や WCCP ルーターと ProxySG の 間 に 複 数 のホップが 存 在 するような 構 成 においても 有 効 です ただし GRE 返 送 使 用 時 に 必 要 もないのにこの 機 能 を 有 効 にすると GRE パケッ トのカプセル 化 を 解 除 しなければならないので ルーターに 余 分 な CPU オーバーヘッドがかかる 結 果 と なります さらに ProxySG とルーターが 使 用 する GRE の 最 大 伝 送 単 位 (MTU) が 減 少 するので パケット 1 つあたりで 伝 送 できるデータの 量 が 少 なくなります WCCP リファレンス ガイド 9
リダイレクトされたトラフィックを 受 け 取 る ProxySG WCCP の 概 念 リダイレクトされたトラフィックを 受 け 取 る ProxySG ルーターが 特 定 のパケットをどの ProxySG にリダイレクトするかを 決 定 する 方 法 は サービス グループ ごとに 設 定 する 必 要 があります これは ProxySG 上 で 割 り 当 てタイプを 設 定 することによって 行 います サービス グループが 形 成 されると 最 も 小 さい IP アドレスが 指 定 された ProxySG が 自 動 的 に 指 定 キャッ シュになります ( また サービス グループに ProxySG が 1 つしかない 場 合 もそれが 自 動 的 に 指 定 キャッ シュになります ). 指 定 キャッシュは 割 り 当 て 設 定 つまり 特 定 のパケットをどの ProxySG に 割 り 当 てる 必 要 があるかをルーターに 伝 える 役 割 を 果 たします 以 下 のセクションに 説 明 するように ProxySG は 2 つの 転 送 および 返 送 方 法 をサポートしています 11 ページのハッシュ 割 り 当 て 12 ページのマスク 割 り 当 て ロードバランシング 時 の 負 荷 分 散 どの 割 り 当 てタイプを 選 択 したとしても デフォルトでは サービス グループ 内 のそれぞれの ProxySG に は 概 ね 同 じパーセンテージの 負 荷 が 割 り 当 てられます ただし たとえば 同 じサービス グループ 内 に 異 なる 負 荷 容 量 の ProxySG アプライアンスが 存 在 するような 場 合 は グループ 内 の 各 ProxySG にウェイト 値 を 割 り 当 てることによって この 動 作 を 変 更 することができます 高 いウェイト 値 が 割 り 当 てられた ProxySG アプライアンスには 低 いウェイト 値 が 割 り 当 てられた ProxySG よりも 多 くのトラフィックがリダイレク トされます たとえば 次 のようにウェイト 値 を 割 り 当 てたと 仮 定 します ProxySG1=100 ProxySG2=100 ProxySG3=50 ウェイト 値 の 合 計 は 250 です したがって ProxySG1 と ProxySG2 は それぞれトラフィッ クの 2/5 (100/250) を 受 信 し ProxySG3 はトラフィックの 1/5 (50/200) を 受 信 します 図 1-7 ロードバランシング 時 の 負 荷 分 散 負 荷 の 自 動 再 分 散 グループ 内 の ProxySG が 利 用 できなくなった 場 合 負 荷 は 残 りの ProxySG アプライアンスに 自 動 的 に 再 分 散 されます 図 1-8 負 荷 の 自 動 再 分 散 10 WCCP リファレンス ガイド
WCCP の 概 念 リダイレクトされたトラフィックを 受 け 取 る ProxySG ハッシュ 割 り 当 て ハッシュ 割 り 当 て ( デフォルトの 割 り 当 て 方 法 ) では 指 定 キャッシュがサービス グループ 内 の 各 ProxySG に 256 バケットからなるハッシュ テーブルの 一 部 を 割 り 当 てて その 割 り 当 てをグループ 内 の ルーターに 伝 えます ルーターはリダイレクトするパケットを 受 信 すると パケット ヘッダー 内 の 1 つ 以 上 のフィールドに 対 してハッシュ アルゴリズムを 実 行 し ハッシュ 値 を 決 定 します 次 に ルーターは 値 を ハッシュ 割 り 当 てテーブルと 照 合 し 対 応 するバケットに 割 り 当 てられた ProxySG を 確 認 して そのアプ ライアンスにパケットを 転 送 します ProxySG アプライアンスでサービス グループを 設 定 する 場 合 ハッ シュ 値 の 計 算 に 使 用 するフィールド ( 送 信 先 IP アドレス 送 信 先 ポート 送 信 元 IP アドレス および 送 信 元 ポート あるいはそのいずれか ) を 指 定 します この 場 合 は すべてのパケットが 同 じフィールドとアルゴリズムを 使 用 してハッシュされるので 場 合 に よってはグループ 内 の ProxySG アプライアンスの 1 つが 過 負 荷 状 態 になる 可 能 性 があります たとえば トラフィックの 大 半 が 同 じサーバーに 向 けられている 場 合 に 送 信 先 IP アドレスを 使 用 してハッシュ 関 数 を 実 行 すると トラフィックの 大 半 が 同 じ ProxySG にリダイレクトされる 可 能 性 があります したがっ て ハッシュ アルゴリズムの 実 行 に 使 用 する 代 替 のフィールドまたはフィールド グループを 設 定 するこ とができます ルーターは 特 定 の ProxySG にリダイレクトされた GRE パケットまたは MAC アドレスの 数 が 所 定 の 数 を 超 えた 場 合 この 代 替 ハッシュ アルゴリズムを 使 用 します デフォルトでは サービス グループ 内 のそれぞれの ProxySG には 256 バケットのハッシュ テーブルがお おむね 同 じパーセンテージで 割 り 当 てられます ただしこの 動 作 は ハッシュウェイト 値 を 設 定 して ProxySG へのハッシュ テーブルの 割 り 当 て 比 率 を 調 整 することにより 変 更 できます ハッシュ 割 り 当 ての 設 定 手 順 については 35 ページの ハッシュ 割 り 当 ての 構 成 設 定 を 参 照 してください 図 1-9 ハッシュ 割 り 当 て WCCP リファレンス ガイド 11
リダイレクトされたトラフィックを 受 け 取 る ProxySG WCCP の 概 念 マスク 割 り 当 て マスク 割 り 当 ての 場 合 サービス グループ 内 の 各 ルーターには サービス グループ 内 の ProxySG アプライ アンスへのトラフィック 分 散 に 使 用 するマスクと 値 のテーブルが 設 定 されます ルーターがパケットを 受 信 すると パケットは マスク 値 と ProxySG のマスク 割 り 当 て 構 成 設 定 で 指 定 されたパケット ヘッダーの フィールドとの 間 で ビットワイズ AND 演 算 を 行 います 次 に ルーターはその 結 果 を 各 マスクの 値 リス トと 照 合 します これにより 各 値 がサービス グループ 内 の 特 定 の ProxySG に 割 り 当 てられます マスク 割 り 当 ての 設 定 手 順 については 36 ページの マスク 割 り 当 ての 構 成 設 定 を 参 照 してください 図 1-10 マスク 割 り 当 て 12 WCCP リファレンス ガイド
WCCP の 概 念 はじめに はじめに 使 用 するルーターおよび ProxySG アプライアンス 上 で WCCP の 構 成 設 定 を 行 うには 以 下 の 手 順 に 従 っ てください 1. どのようなサービス グループとするかを 計 画 します リダイレクト スキームで 連 携 するルーターと ProxySG アプライアンスを 決 定 します トラフィッ クのリダイレクトに 使 おうとしているルーターが WCCP Version 2 をサポートしていることを 確 認 してください リダイレクトするトラフィックを 決 定 します すべてのトラフィックをリダイレクトするのか そ れとも 特 定 のプロトコルやポートのトラフィックのみをリダイレクトするのかを 検 討 し さらに 特 定 のホストやトラフィックをリダイレクトの 対 象 から 除 外 するかどうかを 検 討 してください どの 転 送 方 法 と 返 送 方 法 を 使 用 するかを 決 定 します サービス グループ 内 のすべてのルーターが 選 択 した 方 法 をサポートしていることを 確 認 してください リダイレクトされた 特 定 のパケットをルーターが ProxySG に 割 り 当 てる 方 法 を 決 定 します 使 用 する 割 り 当 て 方 法 がサービス グループ 内 のルーターでサポートされることを 確 認 します サービ ス グループに 複 数 の ProxySG が 含 まれる 場 合 は トラフィックを 均 等 に 分 散 するかどうか また は 異 なるウェイト 値 を 割 り 当 てるかどうかを 決 定 します 2. ルーターを 設 定 します 少 なくとも 以 下 のことを 行 う 必 要 があります サービス グループを 作 成 して ルーターの WCCP を 有 効 にします 16 ページの WCCP の 有 効 化 とサービス グループの 定 義 を 参 照 してください リダイレクトするトラフィックの 送 受 信 に 使 われるルーター インターフェースに そのサービス グループを 適 用 します 23 ページの インターフェースへのサービス グループ リダイレクト 適 用 を 参 照 してください マルチキャスト アドレスを 使 用 する 場 合 は グループ アドレスを 定 義 します 18 ページの マルチ キャスト アドレスの 定 義 を 参 照 してください 3. ProxySG アプライアンスの 構 成 を 設 定 します WCCP を 有 効 にします 26 ページの WCCP を 有 効 にする を 参 照 してください サービス グループを 定 義 します ProxySG に 関 するサービスサービス グループ 設 定 を 作 成 すると きは トラフィックをインターセプトするルーターのアドレス リダイレクトするトラフィックの タイプ ルーターと ProxySG アプライアンスがパケット 交 換 に 使 用 する 転 送 と 返 送 の 方 法 といっ たリダイレクト スキームの 詳 細 を 定 義 します 27ページの サービス グループの 構 成 設 定 を 参 照 してください 4. サービス グループが 形 成 されてリダイレクトが 開 始 されることを 確 認 します 39 ページの WCCP の 構 成 確 認 を 参 照 してください WCCP リファレンス ガイド 13
はじめに WCCP の 概 念 14 WCCP リファレンス ガイド
2 ルーターの WCCP 構 成 設 定 この 章 では ルーターの WCCP 構 成 設 定 方 法 を 説 明 します この 章 は 以 下 のセクションで 構 成 されています 16 ページの WCCP の 有 効 化 とサービス グループの 定 義 17 ページのルーター アドレスの 定 義 20 ページのリダイレクトするトラフィックのフィルタリング 21 ページのサービス グループに 参 加 できるウェブキャッシュのフィルタリング 22 ページのサービス グループのセキュリティ 23 ページのインターフェースへのサービス グループ リダイレクト 適 用 WCCP リファレンス ガイド 15
WCCP の 有 効 化 とサービス グループの 定 義 ルーターの WCCP 構 成 設 定 WCCP の 有 効 化 とサービス グループの 定 義 ルーターの WCCP を 有 効 にしてサービス グループを 定 義 するには 以 下 の 手 順 に 従 ってください ルーターの 構 成 WCCP の 有 効 化 とサービス グループの 定 義 手 順 1 手 順 2 ルーターが WCCP Version 2 を 実 行 するようにしてください ( これがデ フォルトです) Enable WCCP and specify the service group ID or keyword. Router>enable Router#configure terminal Router(config)#ip wccp version 2 Router(config)#ip wccp 90 手 順 3 設 定 を 保 存 します Router(config)#exit Router#copy running-config startup-config 16 WCCP リファレンス ガイド
ルーターの WCCP 構 成 設 定 ルーター アドレスの 定 義 ルーター アドレスの 定 義 WCCP Version 2 では サービス グループ 内 のルーターと ProxySG アプライアンスは ユニキャスト アド レスを 使 用 して 直 接 通 信 するか マルチキャスト グループ アドレスを 使 用 してサービス グループ 内 のす べてのメンバと 同 時 に 通 信 することができます ユニキャストまたはマルチキャストどちらのアドレスを 使 用 するにしても ProxySG アプライアンスに 設 定 したアドレスとルーターに 設 定 したアドレスは 一 致 し ていなければなりません ProxySG には サービス グループ 内 のホームルーターとしてルーター アドレス ( ユニキャスト アドレスま たはマルチキャスト アドレス ) を 設 定 する 必 要 があります ProxySG のホームルーター 設 定 についての 詳 細 は 33 ページの ユニキャスト ルーター アドレスの 定 義 を 参 照 してください 以 下 のセクションでは ルーターのアドレス 定 義 方 法 を 説 明 します 17 ページのユニキャスト アドレスの 定 義 18 ページのマルチキャスト アドレスの 定 義 ユニキャスト アドレスの 定 義 ほとんどの 場 合 ルーターにはすでに 1 つ 以 上 の IP アドレスが 割 り 当 てられています それ 以 上 の 設 定 は 必 要 はありません ルーターにまだ IP アドレスが 割 り 当 てられていない 場 合 は 以 下 の 手 順 に 従 って トラフィックをリダイ レクトするインターフェースと ProxySG に 接 続 されたインターフェースにアドレスを 設 定 してください ルーターの 構 成 ユニキャスト アドレスの 定 義 手 順 1 手 順 2 手 順 3 ルーター インターフェースに 移 動 し ます インターフェースの IP アドレスと サブネット マスクを 設 定 します Router>enable Router#configure terminal Router(config)#interface gigabitethernet2/1 Router(config-if)#ip address 10.1.0.1 255.255.255.0 インターフェースを 有 効 にします Router(config-if)#no shutdown Router(config-if)#exit Router(config)#exit 手 順 4 設 定 を 保 存 します Router#copy running-config startup-config 注 意 最 良 の 結 果 を 得 るには リダイレクトに 使 われていないインター フェースに ProxySG を 接 続 します WCCP リファレンス ガイド 17
ルーター アドレスの 定 義 ルーターの WCCP 構 成 設 定 マルチキャスト アドレスの 定 義 サービス グループではマルチキャストを 使 用 する 方 が 有 利 ですが これにはいくつかの 理 由 があります ネットワーク 上 の WCCP プロトコル トラフィックの 量 が 減 ります サービス グループの ProxySG アプライアンスやルーターは 他 のメンバの 構 成 設 定 を 変 更 することな く いつでも 追 加 または 削 除 することができます 注 意 WCCP 構 成 を 使 用 するにあたってトラブルが 発 生 した 場 合 は マ ルチキャスト アドレスではなくユニキャスト アドレスの 使 用 を 検 討 してください サービス グループに 対 してルーターのマルチキャスト アドレスを 定 義 するには 以 下 の 手 順 に 従 ってく ださい ルーターの 構 成 マルチキャスト アドレスの 定 義 手 順 1 グローバル 設 定 モードにします Router>enable Router#configure terminal 手 順 2 注 意 : 手 順 3 手 順 4 手 順 5 マルチキャスト ルーティングを 有 効 にします このルーターと ProxySG アプライ アンスの 間 にルーターが 介 在 してい る 場 合 は それらのルーターでもマ ルチキャスト ルーティングを 有 効 にする 必 要 があります サービス グループのマルチキャスト アドレスを 定 義 します このマルチ キャスト アドレスは 224.0.0.0 から 239.255.255.255 までの 範 囲 でなけれ ばなりません ProxySG に 接 続 されたインター フェースに 移 動 します そのインターフェースの WCCP マル チキャスト グループ アドレスを 有 効 にします Router(config)#ip multicast-routing Router(config)#ip wccp 90 group-address 224.1.1.103 Router(config)#interface gigabitethernet2/1 Router(config-if)#ip wccp 90 group-listen 18 WCCP リファレンス ガイド
ルーターの WCCP 構 成 設 定 ルーター アドレスの 定 義 ルーターの 構 成 マルチキャスト アドレスの 定 義 手 順 6 (オプション ) Catalyst 6500 シリー ズのスイッチと Cisco 7600 シリー ズのルーターでは サービス グルー プ 内 でマルチキャスト アドレス 方 式 を 正 しく 機 能 させるために イン ターフェースの PIM (Protocol Independent Multicast) も 有 効 にす る 必 要 があります PIM についての 詳 細 は ルーターのマニュアルを 参 照 してください Router(config-if)#ip pim sparse-mode 手 順 7 設 定 を 保 存 します Router(config-if)#exit Router(config)#exit Router#copy running-config startup-config WCCP リファレンス ガイド 19
リダイレクトするトラフィックのフィルタリング ルーターの WCCP 構 成 設 定 リダイレクトするトラフィックのフィルタリング アクセス 制 御 リスト (ACL) を 使 用 すれば WCCP を 使 用 してどのトラフィックをリダイレクトするかを 制 御 することができます これには トラフィックを 選 別 する ACL を 定 義 して その ACL をルーターの WCCP redirect-list コマンドに 関 連 付 ける 必 要 があります たとえば ネットワーク 上 の 特 定 ホスト をプロキシしたくない 場 合 が 考 えられます このような 場 合 は その 特 定 ホストを 拒 否 して 他 のホストを 許 可 する ACL を 作 成 することができます この ACL を WCCP サービス グループに 適 用 します 注 意 ルーターの ACL サポートはプラットフォームごとに 異 なります 一 部 のルーターは ACL での 拒 否 ルールをサポートしておらず ACL をまったくサポートしていないルーターもあります 使 用 し ているプラットフォームが ACL をサポートしているかどうかに ついては ルーター/ スイッチのマニュアルを 参 照 してください リダイレクト リストを 使 用 してフィルタリングを 行 ってはならないトラフィックのタイプが 2 つありま す この 方 法 でこれらのトラフィックをフィルタリングすると WCCP が 機 能 しなくなります UDP ルーターと ProxySG は UDP によって 通 信 しており UDP トラフィックをブロックすると サービス グループが 形 成 されなくなります GRE GRE (Generic Routing Encapsulation) プロトコルをブロックした 状 態 で GRE 転 送 を 使 用 する と ProxySG がリダイレクトされたパケットを 認 識 できなくなります ACL を 使 用 してリダイレクトするトラフィックのフィルタリングを 設 定 するには 以 下 の 手 順 に 従 ってく ださい ACL は WCCP リダイレクト リストに 関 連 付 ける 前 に 定 義 しなければなりません ルーターの 構 成 リダイレクトするトラフィックのフィルタリング 手 順 1 グローバル 設 定 モードにします Router>enable Router#configure terminal 手 順 2 特 定 のトラフィックを 許 可 または 拒 否 するための ACL を 作 成 します 注 意 : ACL 作 成 方 法 についての 詳 細 は ルーターのマニュアルを 参 照 してく ださい たとえば ホスト 10.1.0.43 からのトラフィックを 除 くすべ てのトラフィックをリダイレクトしたい 場 合 は 次 のよう なコマンドを 入 力 します Router(config)#access-list 103 deny ip any host 10.1.0.43 Router(config)#access-list 103 permit ip any any 手 順 3 作 成 した ACL を WCCP のリダイレ クト リストに 関 連 付 けます Router(config)#ip wccp 90 redirect-list 103 手 順 4 設 定 を 保 存 します Router(config)#exit Router#copy running-config startup-config 20 WCCP リファレンス ガイド
ルーターの WCCP 構 成 設 定 サービス グループに 参 加 できるウェブキャッシュのフィルタリング サービス グループに 参 加 できるウェブキャッシュのフィル タリング ルーターの ACL を 使 用 すれば どの ProxySG アプライアンスに 特 定 サービス グループへの 参 加 を 許 可 す るかを 定 義 することができます これを 行 うための 最 も 簡 単 な 方 法 は グループに 参 加 させようとする 特 定 の ProxySG を 許 可 する 標 準 ACL を 定 義 することです ( 他 のすべてのホストへのアクセスは ACL 内 の 暗 黙 的 な 拒 否 ルールによって 自 動 的 に 拒 否 されます ) 特 定 のキャッシュのセットに 対 してサービス グループ アクセスを 制 限 するには 以 下 の 手 順 に 従 ってく ださい ルーターの 構 成 ウェブキャッシュのサービス グループ メンバシップに 関 わるフィルタリング 手 順 1 グローバル 設 定 モードにします Router>enable Router#configure terminal 手 順 2 注 意 : 手 順 3 特 定 の ProxySG を 許 可 または 拒 否 する ための ACL を 作 成 します ACL 作 成 方 法 についての 詳 細 は ルー ターのマニュアルを 参 照 してください 作 成 した ACL をサービス グループの グループリストに 関 連 付 けます Router(config)#access-list 3 permit 10.1.1.5 0.0.0.255 Router(config)#ip wccp 90 group-list 3 手 順 4 設 定 を 保 存 します Router(config)#exit Router#copy running-config startup-config WCCP リファレンス ガイド 21
サービス グループに 参 加 できるウェブキャッシュのフィルタリング ルーターの WCCP 構 成 設 定 サービス グループのセキュリティ セキュリティを 強 化 するために グループ 内 の ProxySG アプライアンスとルーターの 間 に MD5 認 証 を 設 定 することができます 認 証 を 有 効 にすると パスワードを 入 力 しない 限 り ProxySG がサービス グループ に 参 加 することはできなくなります 認 証 を 設 定 するには サービス グループ 内 のすべてのルーターとす べての ProxySG に 同 じパスワードを 定 義 する 必 要 があります ルーターのパスワード 設 定 手 順 を 以 下 に 示 します サービス グループ 内 の ProxySG へのパスワード 設 定 方 法 については 38 ページの サービス グループのセキュリティ を 参 照 してください ルーターの 構 成 MD5 認 証 を 有 効 にする 手 順 1 グローバル 設 定 モードにします Router>enable Router#configure terminal 手 順 2 サービス グループ 用 のパスワード ( 最 大 8 文 字 ) を 定 義 しますこのコマンドに は 暗 号 化 タイプも 含 める 必 要 がありま す このタイプは 0 (パスワードがまだ 暗 号 化 されていないことを 示 す ) また は 7 (Cisco 固 有 の 暗 号 化 アルゴリズム によってパスワードが 暗 号 化 されるこ とを 示 す ) とすることができます Router(config)#ip wccp 90 password 0 $abc123 手 順 3 設 定 を 保 存 します Router(config)#exit Router#copy running-config startup-config 22 WCCP リファレンス ガイド
ルーターの WCCP 構 成 設 定 インターフェースへのサービス グループ リダイレクト 適 用 インターフェースへのサービス グループ リダイレクト 適 用 サービス グループを 定 義 したら ルーターがトラフィックのインターセプトを 開 始 できるように その サービス グループ 構 成 をインターフェースに 適 用 する 必 要 があります ルーターがトラフィックをイン ターセプトできるのは トラフィックがルーターに 入 る 時 ( 受 信 ) またはルーターを 離 れる 時 ( 送 信 ) です ほとんどの 場 合 は トラフィックがルーターに 入 るときにインターセプトします この 場 合 はルーティン グ テーブルのルックアップ 前 にインターセプトが 行 われるので リダイレクト プロセスの 速 度 を 向 上 さ せることができます しかし 実 際 にどこにリダイレクトを 適 用 するかについての 決 定 は ネットワーク ト ポロジや WCCP を 実 行 するルーター/ スイッチの 具 体 的 な 機 能 によって 異 なります 以 下 のセクションでは サービス グループ リダイレクトをインターフェースに 適 用 する 方 法 を 説 明 します 23 ページの 受 信 リダイレクトの 構 成 設 定 23 ページの 送 信 リダイレクトの 構 成 設 定 受 信 リダイレクトの 構 成 設 定 インターフェースの 受 信 リダイレクトを 有 効 にするには 以 下 の 手 順 に 従 ってください ルーターの 構 成 受 信 リダイレクトの 構 成 設 定 手 順 1 手 順 2 受 信 リダイレクトを 有 効 にするイン ターフェース 上 で インターフェー ス 設 定 モードに 移 動 します サービス グループのリダイレクトを 有 効 にします Router>enable Router#configure terminal Router(config)#interface gigabitethernet2/2 Router(config-if)#ip wccp 90 redirect in 手 順 3 設 定 を 保 存 します Router(config-if)#exit Router(config)#exit Router#copy running-config startup-config 送 信 リダイレクトの 構 成 設 定 インターフェースの 送 信 リダイレクトを 有 効 にするには 以 下 の 手 順 に 従 ってください ルーターの 構 成 送 信 リダイレクトの 構 成 設 定 手 順 1 手 順 2 送 信 リダイレクトを 有 効 にするイン ターフェース 上 で インターフェー ス 設 定 モードに 移 動 します サービス グループのリダイレクトを 有 効 にします Router>enable Router#configure terminal Router(config)#interface gigabitethernet2/3 Router(config-if)#ip wccp 90 redirect out WCCP リファレンス ガイド 23
インターフェースへのサービス グループ リダイレクト 適 用 ルーターの WCCP 構 成 設 定 ルーターの 構 成 送 信 リダイレクトの 構 成 設 定 ( 続 く ) 手 順 3 クライアント IP 反 映 構 成 で 送 信 リ ダイレクトを 使 用 する 場 合 は ルー ターが ProxySG に 接 続 されている インターフェースもリダイレクトか ら 除 外 する 必 要 があります これに よって ProxySG トラフィックはリ ダイレクトされなくなります Router(config-if)#exit Router(config)#interface gigabitethernet2/1 Router(config-if)#ip wccp redirect exclude in 手 順 4 設 定 を 保 存 します Router(config-if)#exit Router(config)#exit Router#copy running-config startup-config 24 WCCP リファレンス ガイド
3 ProxySG の WCCP 構 成 設 定 ProxySG この 章 では ProxySG の WCCP 構 成 を 設 定 する 方 法 を 説 明 します WCCP の 機 能 に 関 する 理 解 が 十 分 でな い 場 合 は 第 1 章 WCCP の 概 念 を 参 照 してください ProxySG の 構 成 設 定 を 行 う 場 合 は まず 一 緒 に 使 用 するルーターの WCCP を 設 定 する 必 要 があります WCCP 用 ルーター/ スイッチの 設 定 をまだ 行 っていない 場 合 は 第 2 章 ルーターの WCCP 構 成 設 定 の 説 明 を 参 照 してください この 章 は 次 のトピックで 構 成 されています 26 ページの WCCP を 有 効 にする 27 ページのサービス グループの 構 成 設 定 39 ページの WCCP の 構 成 確 認 41 ページの WCCP の 構 成 変 更 42 ページの WCCP を 無 効 にする WCCP リファレンス ガイド 25
WCCP を 有 効 にする ProxySG の WCCP 構 成 設 定 ProxySG WCCP を 有 効 にする WCCP は Management Console または CLI から 有 効 にすることができます 方 法 については 以 下 のセク ションを 参 照 してください 26 ページの Management Console から WCCP を 有 効 にする 26 ページの CLI から WCCP を 有 効 にする Management Console から WCCP を 有 効 にする Management Console から WCCP を 有 効 にするには 以 下 の 手 順 に 従 ってください Management Console からサービス グループ 設 定 を 作 成 できるようにするには 先 に WCCP を 有 効 にする 必 要 があります PROXYSG の 構 成 - MANAGEMENT CONSOLE から WCCP を 有 効 にする 手 順 1 手 順 2 Management Console を 起 動 します JRE の 推 奨 バージョンについては リリース ノートを 参 照 してください Mnagement Console の [WCCP] タブを 表 示 し ます ブラウザで 次 の URL にアクセスします https:<proxysg_ip_address>:8082 Management Console で [Configuration] > [Network] > [WCCP] を 選 択 します 手 順 3 ヒント WCCP を 有 効 にします WCCP を 有 効 にすると ProxySG が 構 成 設 定 済 みのサービス グループとのネゴシエーション を 開 始 します 各 サービス グループのステータ スは [State] フィールドに 表 示 されます ステー タス フィールドについての 説 明 は 78 ページ の サービス グループの 状 態 を 参 照 してくだ さい a. [Enable WCCP] をオンにします WCCP を 有 効 にすると [WCCP Configuration] フィールドがアクティブになります b. 27ページの サービス グループの 構 成 設 定 に 示 す 手 順 に 従 い サービス グループを 作 成 します c. サービス グループを 作 成 したら [Apply] を クリックして 構 成 設 定 を 保 存 し WCCP を 有 効 にします CLI から WCCP を 有 効 にする CLI から WCCP を 有 効 にするには 以 下 の 手 順 に 従 ってください PROXYSG の 構 成 - CLI から WCCP を 有 効 にする 手 順 1 ProxySG CLI へログインして ターミナル 設 定 モードにします login as:admin admin@1.2.3.4's password: Blue Coat SG200>en Enable Password: Blue Coat SG200#conf t Blue Coat SG200#(config) 手 順 2 WCCP を 有 効 にします Blue Coat SG200#(config)wccp enable 26 WCCP リファレンス ガイド
ProxySG の WCCP 構 成 設 定 ProxySG サービス グループの 構 成 設 定 サービス グループの 構 成 設 定 サービス グループの 構 成 設 定 は そのグループ 内 のルータがリダイレクトするべきトラフィックのタイプ と リダイレクトされたトラフィックの 取 扱 方 法 を 定 義 します 以 下 のセクションでは サービス グループ の 作 成 方 法 その 特 性 の 定 義 方 法 および 定 義 した 構 成 設 定 を ProxySG インターフェースに 適 用 する 方 法 を 説 明 します 27 ページのサービス グループの 定 義 とインターフェースへの 適 用 29 ページのリダイレクトするプロトコルとポートの 定 義 30 ページの 転 送 方 法 と 返 送 方 法 の 定 義 31 ページのルーターのアフィニティを 有 効 にする 33 ページのホーム ルーター アドレスの 定 義 35 ページの 割 り 当 て 方 法 の 定 義 38 ページのサービス グループのセキュリティ サービス グループの 定 義 とインターフェースへの 適 用 サービス グループを 定 義 するための 手 順 と それを ProxySG インターフェースに 適 用 するための 手 順 を 以 下 に 示 します PROXYSG の 構 成 サービス グループの 定 義 とインターフェースへの 適 用 手 順 1 Mnagement Console の [WCCP] タブを 表 示 し ます [Configuration] > [Network] > [WCCP] を 選 択 します 手 順 2 手 順 3 WCCP が 有 効 になっていることを 確 認 します [Enable WCCP] をクリックします ( オプション ) WCCP のバージョンを 設 定 しま す WCCP ルーターまたはスイッチが Version 2 をサポートしている 場 合 は これを 使 用 する 必 要 があります [WCCP Version] を 選 択 します ヒント Version 1 を 選 択 した 場 合 に 使 用 できる のはウェブキャッシュ サービス グルー プだけで 設 定 可 能 な 構 成 は サービ ス グループを 適 用 するインターフェー スと 1 つのホーム ルーターの IP アドレ スだけです 手 順 4 ヒント サービス グループを 作 成 します WCCP Version 1 を 選 択 した 場 合 サービス グ ループは 自 動 的 にウェブキャッシュに 設 定 され ます a. [New] をクリックします [New Service] ダ イアログ ボックスが 表 示 されます b. [Service Group] にサービス グループ ID (0-255) を 入 力 します WCCP リファレンス ガイド 27
サービス グループの 構 成 設 定 ProxySG の WCCP 構 成 設 定 ProxySG PROXYSG の 構 成 サービス グループの 定 義 とインターフェースへの 適 用 手 順 5 手 順 6 (オプション ) サービス グループに 関 するキュー の 優 先 順 位 を 0 から 255 (0 と 255 を 含 む ) まで の 範 囲 で 指 定 します 同 じ 方 向 の 同 じルーター インターフェースに 対 して 複 数 のサービス グ ループが 適 用 される 場 合 は この 優 先 順 位 がルー ターによるグループの 評 価 順 位 を 決 定 します ProxySG インターフェースにサービス グルー プを 適 用 します 最 も 望 ましい 方 法 は アプライ アンスの 最 初 の LAN インターフェースにサー [Priority] に 優 先 順 位 を 入 力 します 値 を 入 力 し なかった 場 合 優 先 順 位 は 0 になります ドロップダウン リストから [Interface] を 選 択 します ドロップダウン リストには 仮 想 (VLAN) イン ビス グループを 適 用 することです ( たとえば ターフェースを 含 め ProxySG 上 で 使 用 できる 300 プラットフォームでは 1:1 600 および 900 すべてのインターフェースが 表 示 されます 仮 プラットフォームでは 2:1 9000 プラットフォー 想 インターフェースは adapter:interface.vlan ムでは 0:3) ロード バランシングのために 同 じ id という 形 で 表 されます ( たとえば 0:1.3) アプライアンス 上 の 複 数 インターフェースに サービスを 適 用 することもできます 手 順 7 サービス グループ 設 定 の 定 義 を 終 了 します a. サービス グループの 作 成 を 終 了 するには 以 下 の 手 順 を 実 行 してください 29 ページのリダイレクトするプロトコ ルとポートの 定 義 30 ページの 転 送 方 法 と 返 送 方 法 の 定 義 31 ページのルーターのアフィニティを 有 効 にする 33ページのホーム ルーター アドレスの 定 義 35 ページの 割 り 当 て 方 法 の 定 義 ( オプション ) 38 ページのサービス グ ループのセキュリティ b. サービス グループの 定 義 が 終 了 したら [OK] をクリックします c. 他 にもサービス グループを 作 成 する 場 合 は この 手 順 を 繰 り 返 します d. この ProxySG に 関 するすべてにサービス グループの 構 成 を 設 定 したら [Apply] をク リックします 28 WCCP リファレンス ガイド
ProxySG の WCCP 構 成 設 定 ProxySG サービス グループの 構 成 設 定 リダイレクトするプロトコルとポートの 定 義 ProxySG に 関 するサービス グループの 構 成 設 定 は リダイレクトするプロトコルとポートを 定 義 します ウェブキャッシュのような 標 準 的 サービス グループを 使 用 する 場 合 ProxySG とルーターはすでにそのプ ロトコルとポートを 認 識 しているので 定 義 の 必 要 はありません しかし ダイナミック サービス グルー プを 使 用 する 場 合 は サービス グループの 構 成 設 定 の 一 部 としてプロトコルとポートを 定 義 しなければな りません デフォルトでは ダイナミック サービス グループは 構 成 設 定 を 追 加 することなく すべての ポートとプロトコルをリダイレクトします しかし 特 定 のポートだけをリダイレクトしたい 場 合 は ポー トベースのリダイレクトを 有 効 にして サービス グループをリダイレクトするポート ( 最 大 8 個 まで) を 指 定 する 必 要 があります 注 意 1 つのサービス グループ 内 でリダイレクトを 指 定 できるポートは 8 個 だけです それ 以 上 のポートをリダイレクトしたい 場 合 は 複 数 のサービス グループを 作 成 する 必 要 があります ポート リスト 内 のポート 指 定 に 重 複 があると ProxySG はコマンド 解 析 時 に 自 動 的 に 重 複 エントリを 削 除 します サービス グループのリダイレクトを 特 定 のプロトコルとポート セットだけ 制 限 する 手 順 を 以 下 に 説 明 し ます PROXYSG の 構 成 リダイレクトするプロトコルとポートの 定 義 手 順 1 手 順 2 Mnagement Console の [WCCP] タブを 表 示 し ます リダイレクトするトラフィックを 定 義 するサー ビス グループを 選 択 または 作 成 します [Configuration] > [Network] > [WCCP] を 選 択 します 新 しいサービス グループの 定 義 方 法 につい ては 27ページの サービス グループの 定 義 とインターフェースへの 適 用 を 参 照 して ください 既 存 のサービス グループの 構 成 を 設 定 する には サービス グループ エントリを 選 択 し て [Edit] をクリックします 手 順 3 ヒント リダイレクトの 基 準 となるポート フィールドを 指 定 します ( 送 信 元 ポート 送 信 先 ポート また はすべてのポート ) デフォルトでは サービス グループはすべてのポートについてリダイレク トを 行 います 追 加 の 構 成 設 定 を 行 う 必 要 はあ りません しかし 特 定 のポートだけをリダイレ クトしたい 場 合 は パケットのリダイレクトを 行 うかどうかの 決 定 に 送 信 元 ポートを 使 用 する か あるいは 送 信 先 ポートを 使 用 するかを 定 義 する 必 要 があります 最 も 望 ましい 方 法 は 受 信 トラフィック 用 と 送 信 トラフィック 用 に 別 々のサービス グループ を 作 成 することです すべてのポートをリダイレクトする 場 合 は ( 推 奨 ) [Redirect on] フィールドを [All] ( デフォル ト ) に 設 定 してください. 特 定 ポートだけをリダ イレクトする 場 合 は [Redirect on] ドロップダウ ン リストから 以 下 のいずれかを 選 択 します 送 信 トラフィックのリダイレクトにサービ ス グループを 使 用 する 場 合 は [Destination] を 選 択 します 受 信 トラフィックのリダイレクトににサー ビス グループを 使 用 する 場 合 は [Source] を 選 択 します 手 順 4 リダイレクトするプロトコルを 選 択 します [Protocol] ドロップダウン リストから [TCP] ( デフォルト ) または [UDP] を 選 択 します WCCP リファレンス ガイド 29
サービス グループの 構 成 設 定 ProxySG の WCCP 構 成 設 定 ProxySG PROXYSG の 構 成 リダイレクトするプロトコルとポートの 定 義 ( 続 く ) 手 順 5 (オプション) リダイレクトする 具 体 的 なポート を 指 定 します この 指 定 を 行 うには まず 送 信 元 ポートと 送 信 先 ポートのどちらをリダイレク トの 基 準 とするかを 指 定 しなければなりません ( 手 順 3 を 参 照 ) 以 下 に 従 って 最 大 8 個 のポートを 指 定 します あらかじめ 指 定 した 1 つまたは 複 数 のポー ト (HTTP HTTPS CIFS または RTSP) を リダイレクトしたい 場 合 は 該 当 する チェックボックスをオンにします 該 当 するチェックボックスがないポートを リダイレクトしたい 場 合 は [Other] フィー ルドにポート 番 号 を 入 力 します ポート 番 号 はカンマ (,) で 区 切 ってください 手 順 6 WCCP の 構 成 設 定 を 終 了 します 以 下 のセクションの 説 明 に 従 ってサービス グループの 構 成 設 定 を 終 了 し [OK] をク リックします [Apply] をクリックして WCCP の 設 定 を 保 存 します 転 送 方 法 と 返 送 方 法 の 定 義 ProxySG における 転 送 方 法 は リダイレクトされたパケットを ProxySG へ 転 送 するためにルーターが 使 用 する 方 法 を 指 定 し 返 送 方 法 は ProxySG がバイパス 対 象 として 選 択 したパケットを 返 送 するために 使 用 する 方 法 を 指 定 します すべてのルーターがすべての 転 送 方 法 と 返 送 方 法 をサポートしているわけでは ないので 転 送 方 法 と 返 送 方 法 の 構 成 を 設 定 する 前 に 使 用 している 特 定 のルーティング/スイッチング プ ラットフォームと IOS バージョンが どの 方 法 をサポートしているのかを 確 認 しておく 必 要 があります ProxySG は 以 下 の 転 送 方 法 と 返 送 方 法 をサポートしています GRE (Generic Routing Encapsulation) 転 送 または 返 送 されるパケットは ルーター アドレスと ProxySG アドレスを 送 信 元 IP アドレスと 送 信 先 IP アドレスとして 示 す 追 加 IP ヘッダにカプセル 化 されます ( どれが 送 信 元 アドレスでどれが 送 信 先 アドレスかは パケットが 転 送 されるか 返 送 されるかによって 異 なります ) これはデフォルトの 転 送 方 法 で この 方 法 を 使 用 する 場 合 は それ 以 上 の 構 成 設 定 を 行 う 必 要 はありません ただし すべてのルーターが GRE 転 送 をサポートしているわけではありません 通 常 GRE 転 送 は Cisco 800 1800 2800 3800 7200 7500 など ソフトウェアベースのスイッチング プラッ トフォームでサポートされています GRE 転 送 は 使 用 ルーターが 何 をサポートしているかに 応 じて GRE 返 送 または L2 転 送 とともに 使 用 することができます レイヤ 2 (L2) ルーターまたは ProxySG は パケットの 送 信 先 MAC アドレスを パケットを 転 送 ま たは 返 送 するデバイス (ProxySG またはルーター) の MAC アドレスに 書 き 換 えます この 方 法 では ハードウェア レベルでスイッチングが 行 われ レイヤ 3 でパケットのカプセル 化 とその 解 除 を 行 わな いので GRE 転 送 よりも 高 速 です L2 転 送 を 行 うには サービス グループ 内 の ProxySG とルーターが すべて 同 じ L2 ブロードキャスト ドメイン 内 になければなりません ( つまり これらの 間 に 複 数 のホッ プがあってはなりません ) 通 常 L2 転 送 は Cisco Catalyst 3550 3650 3750 4500 6500 7600 など ハー ドウェアベースのスイッチング プラットフォームでサポートされています L2 返 送 は L2 転 送 としか 使 用 できません さらに L2 転 送 をサポートしているすべてのプラットフォームは L2 返 送 をサポー トしていません 30 WCCP リファレンス ガイド
ProxySG の WCCP 構 成 設 定 ProxySG サービス グループの 構 成 設 定 ProxySG サービス グループ 構 成 に 転 送 方 法 と 返 送 方 法 を 設 定 するための 手 順 を 以 下 に 示 します PROXYSG の 構 成 転 送 方 法 と 返 送 方 法 の 定 義 手 順 1 Mnagement Console の [WCCP] タブを 表 示 し ます [Configuration] > [Network] > [WCCP] を 選 択 します 手 順 2 転 送 方 法 と 返 送 方 法 を 定 義 するサービス グ ループを 選 択 または 作 成 します 新 しいサービス グループの 定 義 方 法 につい ては 27ページの サービス グループの 定 義 とインターフェースへの 適 用 を 参 照 して ください 既 存 のサービス グループの 構 成 を 設 定 する には サービス グループ エントリを 選 択 し て [Edit] をクリックします 手 順 3 ProxySG へのパケット 転 送 に 使 用 するルーター の 転 送 方 法 を 定 義 します [Forwarding Type] フィールドから [GRE] ( デ フォルト ) または [L2] を 選 択 します 手 順 4 バイパスするパケットをルーターへ 返 送 するた めに ProxySG が 使 用 する 返 送 方 法 を 定 義 しま す L2 を 転 送 方 法 として 選 択 した 場 合 に 選 択 で きるのは 返 送 タイプだけです [Returning Type] フィールドから [GRE] ( デ フォルト ) または [L2] を 選 択 します 手 順 5 WCCP の 構 成 設 定 を 終 了 します 以 下 のセクションの 説 明 に 従 ってサービス グループの 構 成 設 定 を 終 了 し [OK] をク リックします [Apply] をクリックして WCCP の 設 定 を 保 存 します ルーターのアフィニティを 有 効 にする デフォルトでは ProxySG は 設 定 された 返 送 方 法 (GRE または L2) を 使 用 して トラフィックをリダイレク トしたルーターへバイパス トラフィックを 返 送 し 通 常 のルーティング テーブル ルックアップを 使 用 し て インターセプトされたトラフィックのネクスト ホップを 決 定 します ルーター アフィニティを 有 効 に すると ProxySG は 設 定 された 返 送 方 法 も 使 用 し ルーティング テーブル ルックアップをバイパスして インターセプトされたクライアント 向 けやサーバー 向 けのトラフィックをリダイレクトした WCCP ルー ターへそのトラフィックを 返 送 します この 機 能 は クライアントまたはサーバー 向 けトラフィックがそ の 送 信 先 に 到 達 するのを 妨 げるようなルーティング ポリシーが 定 められている 場 合 に 有 効 で これらのポ リシーを ProxySG 上 にレプリケートする 必 要 を 無 くすことによって ProxySG の 構 成 設 定 プロセスを 簡 略 化 します この 場 合 は 常 にリダイレクトを 行 った WCCP ルーターと 同 じルーターにトラフィックが 返 送 されるので 複 数 のホーム ルーターが 含 まれる 構 成 や WCCP ルーターと ProxySG の 間 に 複 数 のホップ が 存 在 するような 構 成 においても 有 効 です ただし GRE 返 送 使 用 時 に 必 要 もないのにこの 機 能 を 有 効 に すると GRE パケットのカプセル 化 を 解 除 しなければならないので ルーターに 余 分 な CPU オーバーヘッ ドがかかる 結 果 となります さらに ProxySG とルーターが 使 用 する GRE の 最 大 伝 送 単 位 (MTU) が 減 少 するので パケット 1 つあたりで 伝 送 できるデータの 量 が 少 なくなります WCCP リファレンス ガイド 31
サービス グループの 構 成 設 定 ProxySG の WCCP 構 成 設 定 ProxySG インターセプトされたクライアント 向 けやサーバー 向 けのトラフィックが 常 にそのトラフィックをリダ イレクトした WCCP ルーターに 返 送 されるようにするには ルーターのアフィニティを 有 効 にします ルーター アフィニティを 有 効 にすると ProxySG はネゴシエートされた 返 送 方 法 (GRE または L2) を 使 用 して インターセプトされたトラフィックを WCCP ルーターへ 返 送 します ルーター アフィニティは 以 下 のいずれかのオプションを 使 用 して 設 定 できます Client ProxySG は ネゴシエートされた 返 送 方 法 を 使 用 して インターセプトされたクライアント 側 トラフィックを ProxySG に 返 送 します Server ProxySG は ネゴシエートされた 返 送 方 法 を 使 用 して インターセプトされたサーバー 側 ト ラフィックを ProxySG に 返 送 します Both ProxySG は ネゴシエートされた 返 送 方 法 を 使 用 して インターセプトされたクライアント 側 およびサーバー 側 トラフィックを ProxySG に 返 送 します None ルーター アフィニティを 無 効 にします ProxySG サービス グループ 構 成 に 転 送 方 法 と 返 送 方 法 を 設 定 するための 手 順 を 以 下 に 示 します PROXYSG の 構 成 ルーターのアフィニティを 有 効 にする 手 順 1 Mnagement Console の [WCCP] タブを 表 示 し ます [Configuration] > [Network] > [WCCP] を 選 択 します 手 順 2 サービス グループを 選 択 または 作 成 します 新 しいサービス グループの 定 義 方 法 につい ては 27ページの サービス グループの 定 義 とインターフェースへの 適 用 を 参 照 して ください 既 存 のサービス グループの 構 成 を 設 定 する には サービス グループ エントリを 選 択 し て [Edit] をクリックします 手 順 3 ルーターのアフィニティを 有 効 にします [Router affinity] ドロップダウン リストから 以 下 のいずれかの 値 を 選 択 します クライアント 側 ([Client]) またはサーバー 側 ([Server]) のト ラフィックだけを 有 効 にするか [Both] を 選 択 してクライアント 側 とサーバー 側 両 方 のトラ フィックをそのトラフィックをリダイレクトし た WCCP ルーターへ 返 送 するかの どちらかを 選 択 することができます ルーター アフィニティを 無 効 にするには [<None>] を 選 択 します 手 順 4 WCCP の 構 成 設 定 を 終 了 します 以 下 のセクションの 説 明 に 従 ってサービス グループの 構 成 設 定 を 終 了 し [OK] をク リックします [Apply] をクリックして WCCP の 設 定 を 保 存 します 32 WCCP リファレンス ガイド
ProxySG の WCCP 構 成 設 定 ProxySG サービス グループの 構 成 設 定 ホーム ルーター アドレスの 定 義 サービス グループを 確 立 して 維 持 するには サービス グループ 内 の ProxySG アプライアンスとルーター が 互 いに 通 信 できなければなりません この 通 信 を 確 立 するために ProxySG がグループ 内 のルーターと の 通 信 に 使 用 するアドレスを 定 義 する 必 要 があります WCCP では ルーターとキャッシュ 間 の 通 信 にユ ニキャスト アドレスまたはマルチキャスト アドレスを 使 用 できます それぞれのタイプのアドレスを 指 定 するための 手 順 を 以 下 のセクションに 示 します 33 ページのユニキャスト ルーター アドレスの 定 義 34 ページのマルチキャスト グループ アドレスの 定 義 ユニキャスト ルーター アドレスの 定 義 サービス グループ 内 でユニキャスト アドレスを 使 用 する 場 合 は サービス グループ 内 にある 各 ルーター ( 最 大 32 個 ) の IP アドレスを 識 別 する 必 要 があります 各 ルーターに 対 して 定 義 する IP アドレスは ProxySG からアクセスできるものでなければなりません 最 も 望 ましい 方 法 は ルーターが ProxySG に 送 るリダイレクト トラフィックが 通 過 するインターフェースの IP アドレスを 使 用 することです サービス グループ 内 のルーターを 定 義 するには 以 下 の 手 順 に 従 ってください PROXYSG の 構 成 ユニキャスト ルーター アドレスの 定 義 手 順 1 手 順 2 Mnagement Console の [WCCP] タブを 表 示 し ます ホーム ルーターを 定 義 するサービス グループ を 選 択 または 作 成 します [Configuration] > [Network] > [WCCP] を 選 択 します 新 しいサービス グループの 定 義 方 法 につい ては 27ページの サービス グループの 定 義 とインターフェースへの 適 用 を 参 照 して ください 既 存 のサービス グループの 構 成 を 設 定 する には サービス グループ エントリを 選 択 し て [Edit] をクリックします 手 順 3 ルーター アドレスを 定 義 します サービス グループ 内 の 各 ルーターに 対 して 以 下 を 実 行 します a. [Individual Home Router Addresses] を 選 択 して [Add] をクリックします [New Home Router] ダイアログ ボックスが 表 示 され ます b. [Home Router Address] にホーム ルーター のアドレスを 入 力 して [OK] をクリックし ます [Home Router] テーブルにルーター のアドレスが 表 示 されます WCCP リファレンス ガイド 33
サービス グループの 構 成 設 定 ProxySG の WCCP 構 成 設 定 ProxySG PROXYSG の 構 成 ユニキャスト ルーター アドレスの 定 義 ( 続 く ) 手 順 4 WCCP の 構 成 設 定 を 終 了 します 以 下 のセクションの 説 明 に 従 ってサービス グループの 構 成 設 定 を 終 了 し [OK] をク リックします [Apply] をクリックして WCCP の 設 定 を 保 存 します マルチキャスト グループ アドレスの 定 義 マルチキャスト アドレスを 指 定 すると サービス グループ 内 の ProxySG アプライアンスとルーターは 1 つのマルチキャスト アドレス (224.0.0.0 から 239.255.255.255 までの 範 囲 ) を 使 用 して 他 のグループ メン バーすべてと 同 時 に 通 信 します この 場 合 は ProxySG の 構 成 内 に 1 つのマルチキャスト ホーム ルーター だけを 設 定 します 18 ページの マルチキャスト アドレスの 定 義 に 示 すように このアドレスを 使 用 する には グループ 内 の 各 ルーターの 構 成 を 設 定 する 必 要 があります サービス グループのマルチキャスト ア ドレスを 定 義 するには 以 下 の 手 順 に 従 ってください PROXYSG の 構 成 マルチキャスト サービス グループ アドレスの 定 義 手 順 1 手 順 2 手 順 3 Mnagement Console の [WCCP] タブを 表 示 し ます ホーム ルーターを 定 義 するサービス グループ を 選 択 または 作 成 します マルチキャスト グループ アドレスを 定 義 しま す (224.0.0.0 から 239.255.255.255 まで ) [Configuration] > [Network] > [WCCP] を 選 択 します 新 しいサービス グループの 定 義 方 法 につい ては 27ページの サービス グループの 定 義 とインターフェースへの 適 用 を 参 照 して ください 既 存 のサービス グループの 構 成 を 設 定 する には サービス グループ エントリを 選 択 し て [Edit] をクリックします a. [Multicast Home Router] を 選 択 します b. [Group Address] にアドレスを 入 力 します 手 順 4 (オプション ) マルチキャストの 有 効 時 間 (Time to Live: TTL) 値 をデフォルト (1) 以 外 の 値 とす る 場 合 は その 値 を 定 義 します [Multicast TTL] に TTL 値 を 入 力 します 手 順 5 WCCP の 構 成 設 定 を 終 了 します 以 下 のセクションの 説 明 に 従 ってサービス グループの 構 成 設 定 を 終 了 し [OK] をク リックします [Apply] をクリックして WCCP の 設 定 を 保 存 します 34 WCCP リファレンス ガイド
ProxySG の WCCP 構 成 設 定 ProxySG サービス グループの 構 成 設 定 割 り 当 て 方 法 の 定 義 割 り 当 て 方 法 は リダイレクトされたトラフィックの 分 散 方 法 をルーターに 指 示 するものです サポート されている 割 り 当 て 方 法 は ハッシュ 割 り 当 て ( デフォルト ) とマスク 割 り 当 ての 2 つです すべてのルー ティング プラットフォームとソフトウェア バージョンが 両 方 の 割 り 当 て 方 法 をサポートしている 訳 で はありません 使 用 しているプラットフォームと IOS バージョンでサポートされている 割 り 当 て 方 法 につ いては ルーター/ スイッチのマニュアルを 参 照 してください また Blue Coat がテストによってそれぞれ の 割 り 当 て 方 法 を 確 認 したルーター プラットフォームは 86 ページの テスト 済 みプラットフォームの 構 成 設 定 に 記 載 されています 同 じ ProxySG 上 に 構 成 された 異 なるサービス グループには 異 なる 割 り 当 て 方 法 を 使 用 することができます 以 下 のセクションでは それぞれの 割 り 当 て 方 法 を 設 定 する 手 順 を 説 明 します 35 ページのハッシュ 割 り 当 ての 構 成 設 定 36 ページのマスク 割 り 当 ての 構 成 設 定 ハッシュ 割 り 当 ての 構 成 設 定 ハッシュ 割 り 当 ての 場 合 ルーターは リダイレクトするパケットのヘッダー 内 にある 値 を ハッシュ 関 数 を 通 じて 実 行 します これによって 得 られた 値 はハッシュ テーブル 内 の 256 のバケットの 1 つにマップさ れ それぞれがサービス グループ 内 の ProxySG に 割 り 当 てられます ハッシュ 割 り 当 てを 行 うと CPU へ の 負 担 が 大 きくなりますが ソフトウェアベースのルーターを 使 用 する 場 合 の 唯 一 の 選 択 肢 です ハッシュ 関 数 はパケット ヘッダー フィールドに 基 づくものなので 同 じ ProxySG に 過 大 なトラフィック がリダイレクトされる 可 能 性 があります たとえば ハッシュ 関 数 が 送 信 先 IP アドレスに 基 づくもので 多 数 のユーザーが 同 じ 送 信 先 に 要 求 を 送 るような 場 合 は 同 じ ProxySG に 大 量 のパケットがリダイレクト されます 特 定 の ProxySG に 大 量 のトラフィックが 集 中 するのを 防 ぐために その ProxySG にリダイレク トされる GRE パケットや MAC アドレス ( 使 用 している 転 送 方 法 により 異 なる) が 一 定 数 を 超 えた 場 合 は ルーターが 別 のハッシュ フィールドを 使 用 するように 設 定 することができます デフォルトでは サービス グループ 内 のそれぞれの ProxySG には 256 バケットのハッシュ テーブルがお おむね 同 じパーセンテージで 割 り 当 てられます ただしこの 動 作 は ウェイト 値 を 設 定 して ProxySG への ハッシュ テーブルの 割 り 当 て 比 率 を 調 整 することにより 変 更 できます サービス グループ 内 のハッシュ 割 り 当 てを 設 定 するには 以 下 のコマンドを 使 用 してください PROXYSG の 構 成 ハッシュ 割 り 当 ての 設 定 手 順 1 Mnagement Console の [WCCP] タブを 表 示 し ます [Configuration] > [Network] > [WCCP] を 選 択 します 手 順 2 割 り 当 て 方 法 を 定 義 するサービス グループを 選 択 または 作 成 します 新 しいサービス グループの 定 義 方 法 につい ては 27ページの サービス グループの 定 義 とインターフェースへの 適 用 を 参 照 して ください 既 存 のサービス グループの 構 成 を 設 定 する には サービス グループ エントリを 選 択 し て [Edit] をクリックします WCCP リファレンス ガイド 35
サービス グループの 構 成 設 定 ProxySG の WCCP 構 成 設 定 ProxySG PROXYSG の 構 成 ハッシュ 割 り 当 ての 設 定 ( 続 く ) 手 順 3 (オプション ) ハッシュ 割 り 当 て 方 法 が 有 効 に なっていない 場 合 は 有 効 にします [Assignment Type] は [Hash] を 選 択 します 手 順 4 ハッシュ 関 数 の 実 行 にパケット ヘッダーのどの フィールドを 使 用 するのかを 指 定 します [Primary Hash] フィールドで 以 下 の 中 から 1 つ 以 上 を 選 択 します Source IP ( デフォルト ) Source Port Destination IP Destination Port 手 順 5 手 順 6 ( オプション ) ハッシュ 関 数 の 実 行 に 使 用 する もう 1 つのパケット ヘッダー フィールドを 選 択 します この 設 定 は サービス グループ 内 の ProxySG が 過 負 荷 状 態 になった 時 に 使 われます ( オプション ) ProxySG の 指 定 されたインター フェースに 対 し ハッシュ テーブルをどのよう な 比 率 で 割 り 当 てるかを 定 義 します [Alternate Hash] フィールドで 以 下 の 中 から 1 つ 以 上 を 選 択 します Source IP Source Port Destination IP Destination Port [Weight] に 0 ( デフォルト ) から 255 までの 値 を 入 力 します サービス グループ 内 のいずれかの ProxySG ア プライアンスに 対 してウェイト 値 を 割 り 当 てた 場 合 は 他 のアプライアンスについてもすべて ウェイト 値 を 設 定 しなければなりません 設 定 しないと そのアプライアンスはリダイレクト されたトラフィックをまったく 受 信 しなくなっ てしまいます ( デフォルト 値 が 0 に 設 定 されて いるため ) 手 順 7 WCCP の 構 成 設 定 を 終 了 します 以 下 のセクションの 説 明 に 従 ってサービス グループの 構 成 設 定 を 終 了 し [OK] をク リックします [Apply] をクリックして WCCP の 設 定 を 保 存 します マスク 割 り 当 ての 構 成 設 定 マスク 割 り 当 ての 場 合 サービス グループ 内 の 各 ルーターには サービス グループ 内 の ProxySG アプライ アンスへのトラフィック 分 散 に 使 用 するマスクと 値 のテーブルが 設 定 されます ルーターがパケットを 受 信 すると パケットは マスク 値 と ProxySG のマスク 割 り 当 て 構 成 設 定 で 指 定 されたパケット ヘッダーの フィールドとの 間 で ビットワイズ AND 演 算 を 行 います 次 に その 結 果 を 各 マスクの 値 のリストと 比 較 し サービス グループ 内 の ProxySG に 対 応 する 特 定 バケットにそれぞれの 値 を 割 り 当 てます 36 WCCP リファレンス ガイド
ProxySG の WCCP 構 成 設 定 ProxySG サービス グループの 構 成 設 定 デフォルトでは サービス グループ 内 のそれぞれの ProxySG には おおむね 同 じパーセンテージでマスク 値 が 割 り 当 てられます ただしこの 動 作 は ウェイト 値 を 設 定 して ProxySG へのマスク 値 の 割 り 当 て 比 率 を 調 整 することにより 変 更 できます マスク 割 り 当 ての 構 成 設 定 手 順 を 以 下 に 示 します PROXYSG の 構 成 マスク 割 り 当 ての 設 定 手 順 1 手 順 2 手 順 3 Mnagement Console の [WCCP] タブを 表 示 し ます 割 り 当 て 方 法 を 定 義 するサービス グループを 選 択 または 作 成 します (オプション) マスク 割 り 当 て 方 法 が 有 効 になっ ていない 場 合 は 有 効 にします [Configuration] > [Network] > [WCCP] を 選 択 します 新 しいサービス グループの 定 義 方 法 につい ては 27ページの サービス グループの 定 義 とインターフェースへの 適 用 を 参 照 して ください 既 存 のサービス グループの 構 成 を 設 定 する には サービス グループ エントリを 選 択 し て [Edit] をクリックします [Assignment Type] は [Mask] を 選 択 します 手 順 4 マスク 関 数 の 実 行 にパケット ヘッダーのどの フィールドを 使 用 するのかを 指 定 します [Mask scheme] を 選 択 します Source IP ( デフォルト ) Source Port Destination IP Destination Port 手 順 5 ( オプション ) ProxySG の 指 定 されたインター フェースに 対 し マスク 値 をどのような 比 率 で 割 り 当 てるかを 定 義 します [Weight] に 0 ( デフォルト ) から 255 までの 値 を 入 力 します サービス グループ 内 のいずれかの ProxySG ア プライアンスに 対 してウェイト 値 を 割 り 当 てた 場 合 は 他 のアプライアンスについてもすべて ウェイト 値 を 設 定 しなければなりません 設 定 しないと そのアプライアンスはリダイレクト されたトラフィックをまったく 受 信 しなくなっ てしまいます ( デフォルト 値 が 0 に 設 定 されて いるため ) 手 順 6 WCCP の 構 成 設 定 を 終 了 します 以 下 のセクションの 説 明 に 従 ってサービス グループの 構 成 設 定 を 終 了 し [OK] をク リックします [Apply] をクリックして WCCP の 設 定 を 保 存 します WCCP リファレンス ガイド 37
サービス グループの 構 成 設 定 ProxySG の WCCP 構 成 設 定 ProxySG サービス グループのセキュリティ セキュリティを 強 化 するために MD5 認 証 を 設 定 してサービス グループへのアクセスを 制 限 することが できます 認 証 を 有 効 にすると パスワードを 入 力 しない 限 り ProxySG がサービス グループに 参 加 するこ とはできなくなります 認 証 を 設 定 するには サービス グループ 内 のすべてのルーターとすべての ProxySG に 同 じパスワードを 定 義 する 必 要 があります ProxySG へのパスワード 設 定 手 順 を 以 下 に 示 します ルーターへのパスワード 設 定 方 法 については 22 ページの サービス グループのセキュリティ を 参 照 してください PROXYSG の 構 成 サービス グループのセキュリティ 手 順 1 手 順 2 Mnagement Console の [WCCP] タブを 表 示 し ます 割 り 当 て 方 法 を 定 義 するサービス グループを 選 択 または 作 成 します [Configuration] > [Network] > [WCCP] を 選 択 します 新 しいサービス グループの 定 義 方 法 につい ては 27ページの サービス グループの 定 義 とインターフェースへの 適 用 を 参 照 して ください 既 存 のサービス グループの 構 成 を 設 定 する には サービス グループ エントリを 選 択 し て [Edit] をクリックします 手 順 3 パスワードを 定 義 します a. [Set Password] をクリックします [Set WCCP Password for Service Group] ダイア ログ ボックスが 表 示 されます b. [Set Password] を 選 択 して [Enter Password] フィールドと [Confirm Password] フィールドにパスワードを 入 力 します c. [OK] をクリックしてパスワードを 保 存 し ダイアログ ボックスを 閉 じます 手 順 4 WCCP の 構 成 設 定 を 終 了 します [OK] をクリックして サービス グループの 設 定 を 保 存 します [Apply] をクリックして WCCP の 設 定 を 保 存 します 38 WCCP リファレンス ガイド
ProxySG の WCCP 構 成 設 定 ProxySG WCCP の 構 成 確 認 WCCP の 構 成 確 認 WCCP を 有 効 にすると 定 義 したサービス グループ 内 のルーターと ProxySG アプライアンスは 設 定 され た 機 能 のネゴシエーションを 開 始 します 定 義 された 構 成 が 正 しく サービス グループ 内 のすべてのルー ターと ProxySG アプライアンスが 設 定 された 機 能 をサポートしていれば サービス グループが 形 成 され て ルーターがサービス グループ 内 の ProxySG に 対 してトラフィックのリダイレクトを 開 始 します 所 定 の ProxySG に 対 して 構 成 したサービス グループが 確 立 されて 機 能 していることは 以 下 に 示 す 説 明 に 従 って Management Concole または CLI から 確 認 することができます 39 ページの Management Console から WCCP の 構 成 を 確 認 する 40 ページの CLI から WCCP の 構 成 を 確 認 する Management Console から WCCP の 構 成 を 確 認 する 構 成 した WCCP サービス グループが 正 しく 機 能 していることを 確 認 するには 以 下 の 手 順 に 従 ってくだ さい PROXYSG の 構 成 - MANAGEMENT CONSOLE から WCCP のステータスを 表 示 手 順 1 手 順 2 Mnagement Console の [WCCP] タブを 表 示 し ます 定 義 したサービス グループに ProxySG が 含 ま れていること およびパケットがそこにリダイ レクトされていることを 確 認 します [Configuration] > [Network] > [WCCP] を 選 択 します 構 成 したサービス グループが 画 面 の [WCCP Configuration] セクションに 表 示 され ます a. [Refresh State] をクリックして 各 サービ ス グループのステータスを 更 新 します b. 各 サービス グループの [State] が [Ready] に 変 わっていることを 確 認 します ProxySG とルーターがサービス グループ と 割 り 当 てタイプのネゴシエーションを 行 っている 間 は [Refresh State] を 何 度 か クリックしなければならないことがありま す 各 ステートについての 詳 細 は 78 ページ の サービス グループの 状 態 を 参 照 してく ださい 手 順 3 WCCP に 関 する 詳 細 情 報 を 表 示 します [Statistics] > [Network] > [WCCP] を 選 択 しま す 詳 細 は 79 ページの ProxySG サービス グ ループ 統 計 情 報 の 表 示 を 参 照 してください WCCP リファレンス ガイド 39
WCCP の 構 成 確 認 ProxySG の WCCP 構 成 設 定 ProxySG CLI から WCCP の 構 成 を 確 認 する 構 成 した WCCP サービス グループが 正 しく 機 能 していることを 確 認 するには 以 下 の 手 順 に 従 ってくだ さい PROXYSG の 構 成 - CLI から WCCP のステータスを 表 示 手 順 1 ProxySG CLI へログインして イ ネーブル モードにします login as:admin admin@1.2.3.8's password: Blue Coat SG200>en Enable Password: Blue Coat SG200# 手 順 2 サービス グループのステータスを 表 示 します この 例 では サービス グループに 参 加 するように 構 成 された ProxySG を 含 む 2 つのサービス グループが 正 しく 形 成 され ルーターがトラ フィックのリダイレクトを 開 始 し ています ステータス フィールドについての 説 明 は 79 ページの ProxySG サー ビス グループ 統 計 情 報 の 表 示 を 参 照 してください Blue Coat SG200#show wccp status ;WCCP Status ;Version 1.3 Number of GRE redirected packets:13 Number of Layer 2 redirected packets:10 Service group:10 State:Ready Number of Here_I_Am sent:358 Number of I_See_You received:358 Number of Redirect_Assign sent:1 Router IP:5.6.7.2 Cache IP:1.2.3.1 Service group:11 State:Ready Number of Here_I_Am sent:287 Number of I_See_You received:287 Number of Redirect_Assign sent:1 Router IP:1.2.3.4 Cache IP:1.2.3.1 40 WCCP リファレンス ガイド
ProxySG の WCCP 構 成 設 定 ProxySG WCCP の 構 成 変 更 WCCP の 構 成 変 更 WCCP の 構 成 作 成 後 にこれを 変 更 するには ( たとえば グループに 新 しいルーターを 追 加 したい 場 合 や サービス グループを 追 加 したい 場 合 ) 以 下 に 示 す 手 順 に 従 って 設 定 を 変 更 することができます PROXYSG の 構 成 WCCP の 設 定 変 更 手 順 1 Mnagement Console の [WCCP] タブを 表 示 し ます [Configuration] > [Network] > [WCCP] を 選 択 します 手 順 2 変 更 しようとしているサービス グループの 設 定 を 表 示 します 変 更 するサービス グループを 選 択 して [Edit] をクリックします [Edit Service] ダイアログ ボックスが 表 示 されます ヒント 最 初 にローカルまたはリモートのテキ スト ファイルで WCCP 構 成 を 定 義 し た 場 合 は オリジナル ファイルを 編 集 してそれをインストールし 直 すことが できます 詳 細 は 付 録 A WCCP コ マンド クイック リファレンスを 参 照 してください 手 順 3 必 要 に 応 じてサービス グループ 設 定 を 変 更 し ます a. 以 下 に 示 す 説 明 に 従 って サービス グルー プ 設 定 を 変 更 します 29 ページのリダイレクトするプロトコ ルとポートの 定 義 30 ページの 転 送 方 法 と 返 送 方 法 の 定 義 33ページのホーム ルーター アドレスの 定 義 35 ページの 割 り 当 て 方 法 の 定 義 ( オプション ) 38 ページのサービス グ ループのセキュリティ b. サービス グループの 変 更 が 完 了 したら [OK] をクリックしてダイアログ ボックス を 閉 じます 手 順 4 WCCP 設 定 を 保 存 します すべてのサービス グループの 変 更 を 完 了 した ら [Apply] をクリックして 変 更 内 容 を 保 存 し ます WCCP リファレンス ガイド 41
WCCP を 無 効 にする ProxySG の WCCP 構 成 設 定 ProxySG WCCP を 無 効 にする 任 意 のサービス グループに 参 加 させるように 設 定 した ProxySG をそれらのグループに 参 加 させなくても よくなった 場 合 は WCCP を 無 効 にすることができます WCCP を 無 効 にしても WCCP の 構 成 設 定 は 削 除 されず WCCP を 再 度 有 効 にするまで 使 用 されなくなります 以 下 に 示 すように WCCP を 無 効 にする 方 法 はいくつかあります 42 ページの Management Console から WCCP を 無 効 にする 42 ページの CLI から WCCP を 無 効 にする Management Console から WCCP を 無 効 にする Management Console から WCCP を 無 効 にするには 以 下 の 手 順 に 従 ってください PROXYSG の 構 成 - MANAGEMENT CONSOLE から WCCP を 無 効 にする 手 順 1 Mnagement Console の [WCCP] タブを 表 示 し ます [Configuration] > [Network] > [WCCP] を 選 択 します 手 順 2 ヒント WCCP を 無 効 にします WCCP を 無 効 にしても 定 義 した WCCP の 構 成 設 定 は 削 除 されません 再 び WCCP を 有 効 にすると ProxySG は 以 前 に 定 義 されていた サービス グループに 参 加 しようとします [Enable WCCP] チェックボックスをオフにし て [Apply] をクリックします WCCP を 無 効 に すると 以 前 に 構 成 されていたすべてのサービ ス グループの [State] フィールドには [N/A] と 表 示 されます CLI から WCCP を 無 効 にする CLI から WCCP を 無 効 にするには 以 下 の 手 順 に 従 ってください PROXYSG の 構 成 - CLI から WCCP を 無 効 にする 手 順 1 ProxySG CLI へログインして ターミナル 設 定 モードにします login as:admin admin@1.2.3.4's password: Blue Coat SG200>en Enable Password: Blue Coat SG200#conf t Blue Coat SG200#(config) 手 順 2 WCCP を 無 効 にします Blue Coat SG200#(config)wccp disable 42 WCCP リファレンス ガイド
4 WCCP の 構 成 例 この 章 では 以 下 を 含 む WCCP の 一 般 的 な 構 成 を 示 します 46 ページの 基 本 的 な WCCP 構 成 47 ページのウェブキャッシュ 構 成 48 ページの ADN 構 成 51 ページの L2 転 送 と GRE 返 送 の 構 成 52 ページのルーター アフィニティの 構 成 54 ページのセキュア サービス グループの 構 成 55 ページの 特 定 トラフィックをリダイレクトする 構 成 57 ページの 複 数 サービス グループの 構 成 59 ページのハッシュ 割 り 当 てを 使 用 したロード バランシング 構 成 61 ページのホットスポット 検 出 の 構 成 63 ページの 不 均 等 な 負 荷 割 り 当 てを 使 用 したロード バランシング 構 成 66 ページのマスク 割 り 当 てを 使 用 したロード バランシング 構 成 68 ページの 単 一 ProxySG 複 数 ルーター 構 成 70 ページのマルチキャスト 構 成 72 ページのクライアント IP 反 映 構 成 74 ページの VLAN を 使 用 した LAN/WAN トラフィックの 分 離 構 成 WCCP リファレンス ガイド 45
基 本 的 な WCCP 構 成 WCCP の 構 成 例 基 本 的 な WCCP 構 成 以 下 の 例 では 1 つのルーターがすべてのトラフィックを 1 つの ProxySG にリダイレクトする 単 純 な WCCP の 構 成 例 を 示 します デフォルトでは サービス グループはすべてのトラフィックをリダイレクト するので リダイレクト 対 象 となる 特 定 のポートやプロトコルを 指 定 する 必 要 はありません 図 4-1 基 本 的 WCCP 構 成 の 例 構 成 例 基 本 的 WCCP 構 成 ルーター A ProxySG 1 Router>enable Router#configure terminal Router(config)#ip wccp 90 Router(config)#interface fastethernet 0/1 Router(config-if)#ip wccp 90 redirect in Management Console から 次 のように ProxySG WCCP の 構 成 を 設 定 します あるいは テキスト ファイルか ら WCCP 設 定 をインストール します wccp enable wccp version 2 service-group 90 interface 0:1 protocol 6 priority 1 home-router 1.2.3.1 end 46 WCCP リファレンス ガイド
WCCP の 構 成 例 ウェブキャッシュ 構 成 ウェブキャッシュ 構 成 1 つのルーターと ProxySG で 構 成 するウェブキャッシュ サービスの 構 成 設 定 方 法 を 以 下 の 例 に 示 します ウェブキャッシュ サービス グループは 送 信 先 であるポート 80 の HTTP トラフィックだけをリダイレク トするために 使 用 します これは 標 準 的 サービス グループなので ポート 番 号 や 方 向 といった 構 成 設 定 を 特 に 行 う 必 要 はありません ルーターと ProxySG は すでにこれらの 情 報 を 認 識 しています この 構 成 は WCCP Version 1 と Version 2 でサポートされています この 例 では WCCP Version 1 を 使 用 するように ルーターと ProxySG を 構 成 します 図 4-2 ウェブキャッシュ 構 成 例 構 成 例 ウェブキャッシュ 構 成 ルーター A ProxySG 1 Router>enable Router#configure terminal Router(config)#ip wccp web-cache Router(config)#ip wccp version 1 Router(config)#interface fastethernet 0/1 Router(config-if)#ip wccp web-cache redirect in Management Console から 次 のように WCCP の 構 成 を 設 定 します あるいは テキスト ファイルから WCCP 設 定 をインストールします wccp enable wccp version 1 service-group web-cache interface 0:1 home-router 1.2.3.1 end WCCP リファレンス ガイド 47
ADN 構 成 WCCP の 構 成 例 ADN 構 成 ADN 展 開 時 の WCCP の 構 成 設 定 方 法 を 以 下 の 例 に 示 します 仮 想 インパス ADN 構 成 における 最 も 望 ま しい 方 法 は LAN トラフィックと WAN トラフィックに 対 して 個 別 にサービス グループを 設 定 すること です Blue Coat Sky Management Console を 使 用 すれば このプロセスを 簡 略 化 して 簡 単 に WCCP ペアを 作 成 できます WCCP ペアはサービス グループのペアで LAN および WAN トラフィックのリダイレクト を 可 能 にする 適 切 な 設 定 がデフォルトになります 図 4-3 仮 想 インパス ADN 展 開 構 成 例 ADN 展 開 Router_core Router(config)#ip wccp version 2 Router(config)#ip wccp 10 Router(config)#ip wccp 11 Router(config)#interface gigabitethernet0/0 Router(config-if)#description WAN side Router(config-if)#ip wccp 10 redirect in Router(config-if)#exit Router(config)#interface gigabitethernet0/1 Router(config-if)#description LAN side Router(config-if)#ip wccp 11 redirect in 48 WCCP リファレンス ガイド
WCCP の 構 成 例 ADN 構 成 構 成 例 ADN 展 開 ( 続 く ) ProxySG_core Concentrator Peer (ProxySG_core) の Blue Coat Sky から 次 の 手 順 に 従 って WCCP ペアの 構 成 を 設 定 します Router_branch Router(config)#ip wccp version 2 Router(config)#ip wccp 3 Router(config)#ip wccp 4 Router(config)#interface gigibitethernet0/5 Router(config-if)#description WAN side Router(config-if)#ip wccp 3 redirect in Router(config-if)#exit Router(config)#interface gigibitethernet0/6 Router(config-if)#description LAN side Router(config-if)#ip wccp 4 redirect in WCCP リファレンス ガイド 49
ADN 構 成 WCCP の 構 成 例 構 成 例 ADN 展 開 ( 続 く ) ProxySG_branch Branch Peer (ProxySG_branch) の Blue Coat Sky から 以 下 の 手 順 に 従 って WCCP ペアの 構 成 を 設 定 します 50 WCCP リファレンス ガイド
WCCP の 構 成 例 L2 転 送 と GRE 返 送 の 構 成 L2 転 送 と GRE 返 送 の 構 成 デフォルトでは ルーターと ProxySG は GRE/GRE 転 送 / 返 送 を 使 用 してパケットの 転 送 と 返 送 を 行 いま す GRE/GRE はデフォルトなので これらの 方 法 を 使 用 するための 構 成 設 定 を 行 う 必 要 はありません L2/L2 または L2/GRE 転 送 / 返 送 を 使 用 する 場 合 は そのための 設 定 を 明 示 的 に 行 う 必 要 があります すべ てのルーターがすべての 転 送 方 法 と 返 送 方 法 をサポートしているわけではありません L2 転 送 を 使 用 する 場 合 ProxySG とルーターは 図 4-4 に 示 すように 同 じブロードキャスト ドメイン 上 に なければなりません (つまり 両 者 間 のルーターホップが 1 つ 以 下 でなければならない) L2/GRE 設 定 を 以 下 に 示 します 図 4-4 L2 による 転 送 と 返 送 の 例 構 成 例 L2 転 送 と GRE 返 送 ルーター A Router>enable Router#configure terminal Router(config)#ip wccp 90 Router(config)#ip wccp version 2 Router(config)#interface fastethernet 0/1 Router(config-if)#ip wccp 90 redirect in ProxySG 1 Management Console から WCCP を 設 定 します あるいは テキスト ファイルか ら WCCP 設 定 をインストール します wccp enable wccp version 2 service-group 90 interface 0:1 protocol 6 priority 1 forwarding-type L2 returning-type gre home-router 1.2.3.4 end WCCP リファレンス ガイド 51
ルーター アフィニティの 構 成 WCCP の 構 成 例 ルーター アフィニティの 構 成 デフォルトでは ProxySG は 通 常 のルーティング テーブル ルックアップを 使 用 して インターセプトされ たトラフィックのネクスト ホップを 決 定 します しかし クライアント 向 けやサーバー 向 けのトラフィッ クがその 送 信 先 に 到 達 するのを 妨 げるようなルーティング ポリシーが 定 められている 場 合 もあります (た とえば 使 用 する WCCP ルーターと ProxySG の 間 に 複 数 のホップが 存 在 する 場 合 ) ルーター アフィニ ティを 設 定 すれば ProxySG は インターセプトしたクライアント 側 およびサーバー 側 トラフィックを ネ ゴシエートされた 返 送 方 法 を 使 用 してルーターに 返 送 し そのトラフィックが 常 に 同 じリダイレクト 元 の WCCP ルーターに 返 送 されるようにします たとえば 図 4-5 は ルーター R1 が C1 および S1 サブネットへのルートだけを 持 ち ルーター R2 が C2 お よび S2 サブネットへのルートだけを 持 つネットワークを 示 しています ProxySG のデフォルト ルーター は R2 に 設 定 されているので クライアントおよびサーバーに 対 する R1 のインターフェース 上 で WCCP を 有 効 にすると ProxySG から C1 および S1 へ 送 られるパケットは R2 によって 除 外 されます これは R2 がそれらのサブネット 用 のルーティング 情 報 を 持 っていないためです したがって C1 と S1 からリダイレ クトされたトラフィックが 正 しくルーティングされるようにするために (R2 には 新 しいルートを 設 定 し ません これはルーティング ポリシーを 変 更 することになります ) ProxySG に 関 するルーター アフィニ ティを 有 効 にすることができます この 例 では S1 から 送 られてくるクライアント トラフィックがないの で ( したがって 受 信 SYN パケットは C1 からのものだけになる ) ルーター アフィニティ ( クライアント 側 およびサーバー 側 トラフィックのもの ) を 有 効 にする 必 要 があるのはサービス グループ 90 のトラフィッ クだけで サービス グループ 92 については 必 要 ありません 図 4-5 ルーター アフィニティの 例 構 成 例 ルーター アフィニティ R1 Router>enable Router#configure terminal Router(config)#ip wccp version 2 Router(config)#ip wccp 90 Router(config)#interface fastethernet 0/1 Router(config-if)#ip wccp 90 redirect in Router(config)#ip wccp 92 Router(config)#interface fastethernet 0/2 Router(config-if)#ip wccp 92 redirect in 52 WCCP リファレンス ガイド
WCCP の 構 成 例 ルーター アフィニティの 構 成 構 成 例 ルーター アフィニティ ( 続 く ) ProxySG 1 Management Console から WCCP の 構 成 を 設 定 し て サービス グループ 90 のルーター アフィニティを 有 効 にします あるいは テキスト ファイルから WCCP 設 定 をインストールします wccp enable wccp version 2 service-group 90 interface 0:1 protocol 6 priority 1 forwarding-type gre assignment-type hash service-flags source-ip-hash router-affinity both home-router 1.2.3.4 end service-group 92 interface 0:1 protocol 6 priority 1 forwarding-type gre assignment-type hash service-flags destination-ip-hash home-router 1.2.3.4 end WCCP リファレンス ガイド 53
セキュア サービス グループの 構 成 WCCP の 構 成 例 セキュア サービス グループの 構 成 以 下 の 例 では サービス グループへのアクセスを 制 限 して 承 認 された ProxySG アプライアンスだけが 参 加 できるようにする 方 法 を 示 します この 例 では アクセスを 制 限 する 方 法 を 2 つ 示 します ルーターでは ACL が 1.2.3.5 の ProxySG へのアクセスのみを 許 可 し 他 のすべてのホストへのアクセ スを 拒 否 します この ACL は そのサービス グループのグループリストに 関 連 付 けられます ルーターと ProxySG では パスワードによってサービス グループを 保 護 します ProxySG がサービス グループに 加 わろうとすると ルーターは 設 定 パスワードによって 認 証 された 場 合 のみこれを 許 可 し ます 図 4-6 セキュア サービス グループの 例 構 成 例 セキュア サービス グループ ルーター A ProxySG 1 Router>enable Router#configure terminal Router(config)#access-list 3 permit 1.2.3.5 0.0.0.255 Router(config)#ip wccp version 2 Router(config)#ip wccp 90 group-list 3 Router(config)#ip wccp 90 password 0 $abc123 Router(config)#interface fastethernet 0/1 Router(config-if)#ip wccp 90 redirect in Management Console から WCCP を 設 定 します あるいは テキスト ファイルか ら WCCP 設 定 をインストールし ます wccp enable wccp version 2 service-group 90 interface 0:1 protocol 6 priority 1 home-router 1.2.3.1 password $abc123 end 54 WCCP リファレンス ガイド
WCCP の 構 成 例 特 定 トラフィックをリダイレクトする 構 成 特 定 トラフィックをリダイレクトする 構 成 ルーターと ProxySG は 一 部 のトラフィックだけをリダイレクトするように 構 成 設 定 することができます この 例 では リダイレクトするトラフィックの 定 義 方 法 を 2 つ 示 します ルーター 上 で ホスト 1.2.3.6 からのトラフィックを ACL によって 除 外 します この ACL は 次 に ACL に 一 致 するトラフィックをリダイレクトしないようルーターに 認 識 させるために そのサービス グ ループのリダイレクトリストに 関 連 付 けられます ProxySG 上 で リダイレクトする 個 々のポートをサービス グループ 定 義 によって 指 定 します ルーター は その 他 のポートについては 通 常 通 りトラフィックを 転 送 します 1 つのサービス グループ 内 でリダ イレクトを 指 定 できるポートは 8 個 だけです それ 以 上 のポートをリダイレクトしたい 場 合 は 複 数 のサービス グループを 作 成 する 必 要 があります 図 4-7 特 定 のプロトコルとポートのリダイレクト 例 構 成 例 特 定 トラフィックのリダイレクト ルーター A Router>enable Router#configure terminal Router(config)#access-list 103 deny ip any host 1.2.3.6 Router(config)#access-list 103 permit ip any any Router(config)#ip wccp version 2 Router(config)#ip wccp 90 redirect-list 103 Router(config)#interface fastethernet 0/1 Router(config-if)#ip wccp 90 redirect in WCCP リファレンス ガイド 55
特 定 トラフィックをリダイレクトする 構 成 WCCP の 構 成 例 構 成 例 特 定 トラフィックのリダイレクト ( 続 く ) ProxySG 1 Management Console から WCCP を 設 定 します あるいは テキスト ファイルか ら WCCP 設 定 をインストールし ます wccp enable wccp version 2 service-group 90 interface 0:1 priority 1 home-router 1.2.3.1 protocol 6 service-flags ports-defined ports 80 8080 443 0 0 0 0 0 end 56 WCCP リファレンス ガイド
WCCP の 構 成 例 複 数 サービス グループの 構 成 複 数 サービス グループの 構 成 たとえば 異 なるタイプのトラフィックのリダイレクトを 行 う 場 合 などは 個 別 にサービス グループを 作 成 したいことがあります 以 下 に 示 す 構 成 例 では 1 つのルーターが 異 なる ProxySG アプライアンスによっ て 扱 われる 2 つのサービス グループに 参 加 するように 設 定 されています 図 4-8 複 数 サービス グループの 例 構 成 例 複 数 サービス グループ ルーター A Router>enable Router#configure terminal Router(config)#ip wccp version 2 Router(config)#ip wccp 90 Router(config)#ip wccp 91 Router(config)#interface fastethernet 0/1 Router(config-if)#ip wccp 90 redirect in Router(config)#interface fastethernet 0/1 Router(config-if)#ip wccp 91 redirect in WCCP リファレンス ガイド 57
複 数 サービス グループの 構 成 WCCP の 構 成 例 構 成 例 複 数 サービス グループ ( 続 く ) ProxySG 1 最 初 の ProxySG の Management Console から あるいは 最 初 の ProxySG に テ 以 下 の 手 順 で WCCP の 構 成 を 設 定 します キスト ファイルから WCCP 設 定 をインストールします wccp enable wccp version 2 service-group 90 interface 0:1 protocol 6 priority 1 service-flags ports-defined ports 80 8080 0 0 0 0 0 0 home-router 1.2.3.1 end ProxySG 2 2 つめの ProxySG の Management Console から あるいは 2 つめの ProxySG に 以 下 の 手 順 で WCCP の 構 成 を 設 定 します テキスト ファイルから WCCP 設 定 をインストールします service-group 91 service-flags ports-defined ports 554 1755 0 0 0 0 0 0 interface 0:1 protocol 6 priority 1 home-router 1.2.3.1 end 58 WCCP リファレンス ガイド
WCCP の 構 成 例 ハッシュ 割 り 当 てを 使 用 したロード バランシング 構 成 ハッシュ 割 り 当 てを 使 用 したロード バランシング 構 成 以 下 の 例 では ハッシュ 割 り 当 てを 使 用 して サービス グループ 91 の 2 つの ProxySG アプライアンスの ロード バランシング 構 成 を 設 定 しています サービス グループは リダイレクトするパケットのヘッダ 内 にある 送 信 先 IP アドレスと 送 信 先 ポートを 使 用 してルーターがハッシュ アルゴリズムを 実 行 するよう に 構 成 が 設 定 されています ProxySG 1 の IP アドレスが 最 も 小 さいので これが 自 動 的 に 指 定 キャッシュ となり ロードバランシング 割 り 当 て 情 報 をルーターに 送 るために 使 われます 図 4-9 ハッシュ 割 り 当 てを 使 用 したロード バランシングの 例 構 成 例 ハッシュ 割 り 当 てを 使 用 したロード バランシング ルーター A Router>enable Router#configure terminal Router(config)#ip wccp version 2 Router(config)#ip wccp 91 Router(config)#interface fastethernet 0/1 Router(config-if)#ip wccp 91 redirect in WCCP リファレンス ガイド 59
ハッシュ 割 り 当 てを 使 用 したロード バランシング 構 成 WCCP の 構 成 例 構 成 例 ハッシュ 割 り 当 てを 使 用 したロード バランシング ( 続 く ) ProxySG 1 最 初 の ProxySG の Management Console から 以 下 の 手 順 で WCCP の 構 成 を 設 定 し ます あるいは 最 初 の ProxySG に テキスト ファイルから WCCP 設 定 をインストー ルします wccp enable wccp version 2 service-group 91 interface 0:3 priority 1 protocol 6 service-flags ports-defined ports 80 8080 443 0 0 0 0 0 home-router 1.2.3.1 assignment-type hash service-flags destination-ip-hash service-flags destination-port-hash end ProxySG 2 2 つめの ProxySG の Management Console から 以 下 の 手 順 で WCCP の 構 成 を 設 定 し ます あるいは 2 つめの ProxySG に テキス ト ファイルから WCCP 設 定 をインス トールします wccp enable wccp version 2 service-group 91 interface 0:3 priority 1 protocol 6 service-flags ports-defined ports 80 8080 443 0 0 0 0 0 home-router 1.2.3.1 assignment-type hash service-flags destination-ip-hash service-flags destination-port-hash end 60 WCCP リファレンス ガイド
WCCP の 構 成 例 ホットスポット 検 出 の 構 成 ホットスポット 検 出 の 構 成 ロード バランシングに 使 用 するハッシュ 関 数 はパケット ヘッダー フィールドに 基 づくものなので 同 じ ProxySG に 過 大 なトラフィックがリダイレクトされる 可 能 性 があります たとえば ハッシュ 関 数 が 送 信 先 IP アドレスに 基 づいていて 多 数 のユーザーが 同 じ 送 信 先 に 要 求 を 送 っている 場 合 は 同 じ ProxySG に 大 量 のパケットがリダイレクトされます このような 状 況 を 防 ぐために その ProxySG にリダイレクトさ れる GRE パケットや MAC アドレス ( 使 用 している 転 送 方 法 により 異 なる) が 一 定 数 を 超 えた 場 合 は ルー ターが 別 のハッシュ フィールド (1つまたは 複 数 ) を 使 用 するように 設 定 することができます これは ハッ シュ 割 り 当 てを 使 用 する 場 合 のみサポートされるもので マスク 割 り 当 てではホットスポット 検 出 はサ ポートされていません 以 下 の 例 のサービス グループは ルーターが 送 信 先 IP アドレスとポートの 両 方 を 使 用 してハッシュ 関 数 を 実 行 するように 設 定 されています ProxySG アプライアンスの 1 つが 過 負 荷 状 態 になった 場 合 ルー ターは 代 わりに 送 信 元 IP アドレスを 使 用 してハッシュを 実 行 します 図 4-10 代 替 ハッシュを 使 用 したロード バランシングの 例 構 成 例 ホットスポット 検 出 ルーター A Router>enable Router#configure terminal Router(config)#ip wccp version 2 Router(config)#ip wccp 90 Router(config)#interface fastethernet 0/1 Router(config-if)#ip wccp 90 redirect in WCCP リファレンス ガイド 61
ホットスポット 検 出 の 構 成 WCCP の 構 成 例 構 成 例 ホットスポット 検 出 ( 続 く ) ProxySG 1 最 初 の ProxySG の Management Console か ら 以 下 の 手 順 で WCCP の 構 成 を 設 定 し ます あるいは 最 初 の ProxySG に テキスト ファイルから WCCP 設 定 をインス トールします wccp enable wccp version 2 service-group 90 interface 0:3 priority 1 protocol 6 service-flags ports-defined ports 80 8080 443 0 0 0 0 0 home-router 1.2.3.1 assignment-type hash service-flags destination-ip-hash service-flags destination-port-hash service-flags source-ip-alternate-hash end ProxySG 2 2 つめの ProxySG の Management Console か ら 以 下 の 手 順 で WCCP の 構 成 を 設 定 し ます あるいは 2 つめの ProxySG に テキス ト ファイルから WCCP 設 定 をインス トールします wccp enable wccp version 2 service-group 90 interface 0:3 priority 1 protocol 6 service-flags ports-defined ports 80 8080 443 0 0 0 0 0 home-router 1.2.3.1 assignment-type hash service-flags destination-ip-hash service-flags destination-port-hash service-flags source-ip-alternate-hash end 62 WCCP リファレンス ガイド
WCCP の 構 成 例 不 均 等 な 負 荷 割 り 当 てを 使 用 したロード バランシング 構 成 不 均 等 な 負 荷 割 り 当 てを 使 用 したロード バランシング 構 成 デフォルトでは サービス グループ 内 のそれぞれの ProxySG には 256 バケットのハッシュ テーブルがお おむね 同 じパーセンテージで 割 り 当 てられます ただしこの 動 作 は サービス グループ 内 のそれぞれの ProxySG に 対 してハッシュウェイト 値 を 設 定 し アプライアンスに 割 り 当 てられるハッシュ テーブルの 比 率 を 調 整 することによって 変 更 できます 以 下 の 例 では ProxySG 1 と ProxySG 2 はウェイト 値 が 100 に 設 定 されており これらには ウェイト 値 が 50 に 設 定 された ProxySG 3 の 約 2 倍 のリダイレクト トラフィックが 送 られます 図 4-11 不 均 等 ウェイトによるロード バランシングの 例 構 成 例 不 均 等 な 負 荷 を 使 用 したロード バランシング ルーター A Router>enable Router#configure terminal Router(config)#ip wccp 90 Router(config)#interface fastethernet 0/1 Router(config-if)#ip wccp 90 redirect in WCCP リファレンス ガイド 63
不 均 等 な 負 荷 割 り 当 てを 使 用 したロード バランシング 構 成 WCCP の 構 成 例 構 成 例 不 均 等 な 負 荷 を 使 用 したロード バランシング ( 続 く ) ProxySG 1 最 初 の ProxySG の Management Console から あるいは 最 初 の ProxySG に テキスト 以 下 の 手 順 で WCCP の 構 成 を 設 定 します ファイルから WCCP 設 定 をインス トールします wccp enable service-group 90 interface 0:3 priority 1 protocol 6 service-flags ports-defined ports 80 8080 443 0 0 0 0 0 home-router 1.2.3.1 assignment-type hash service-flags destination-port-hash primary-hash-weight 0:3 100 end ProxySG 2 2 つめの ProxySG の Management Console から あるいは 2 つめの ProxySG に テキス 以 下 の 手 順 で WCCP の 構 成 を 設 定 します ト ファイルから WCCP 設 定 をインス トールします wccp enable service-group 90 interface 2:1 priority 1 protocol 6 service-flags ports-defined ports 80 8080 443 0 0 0 0 0 home-router 1.2.3.1 assignment-type hash service-flags destination-port-hash primary-hash-weight 2:1 100 end 64 WCCP リファレンス ガイド
WCCP の 構 成 例 不 均 等 な 負 荷 割 り 当 てを 使 用 したロード バランシング 構 成 構 成 例 不 均 等 な 負 荷 を 使 用 したロード バランシング ( 続 く ) ProxySG 3 3 番 目 の ProxySG の Management Console か あるいは 3 つめの ProxySG に テキス ら 以 下 の 手 順 で WCCP の 構 成 を 設 定 します ト ファイルから WCCP 設 定 をインス トールします wccp enable service-group 90 interface 0:3 priority 1 protocol 6 service-flags ports-defined ports 80 8080 443 0 0 0 0 0 home-router 1.2.3.1 assignment-type hash service-flags destination-port-hash primary-hash-weight 0:3 50 end WCCP リファレンス ガイド 65
マスク 割 り 当 てを 使 用 したロード バランシング 構 成 WCCP の 構 成 例 マスク 割 り 当 てを 使 用 したロード バランシング 構 成 マスク 割 り 当 ての 場 合 サービス グループ 内 の 各 ルーターには サービス グループ 内 の ProxySG アプライ アンスへのトラフィック 分 散 に 使 用 するマスクと 値 のテーブルが 設 定 されています ルーターがパケット を 受 信 すると パケットは マスク 値 と ProxySG のマスク 割 り 当 て 構 成 設 定 で 指 定 されたパケット ヘッ ダーのフィールドとの 間 で ビットワイズ AND 演 算 を 行 います 次 に ルーターはその 結 果 を 各 マスクの 値 リストと 照 合 します これにより 各 値 がサービス グループ 内 の 特 定 の ProxySG に 割 り 当 てられます ハッシュ 割 り 当 ての 場 合 同 様 各 ProxySG にウェイト 値 を 割 り 当 てて 強 制 的 に 負 荷 を 不 均 等 にすること もできます ( 図 4-11 参 照 ) 構 成 例 マスク 割 り 当 てを 使 用 したロード バランシング ルーター A ProxySG 1 Router>enable Router#configure terminal Router(config)#ip wccp 90 Router(config)#interface fastethernet 0/1 Router(config-if)#ip wccp 90 redirect in 最 初 の ProxySG の Management Console から 以 下 の 手 順 で WCCP の 構 成 を 設 定 します あるいは 最 初 の ProxySG に テキ スト ファイルから WCCP 設 定 を インストールします wccp enable service-group 90 interface 0:3 priority 1 protocol 6 forwarding-type L2 returning-type L2 service-flags ports-defined ports 80 8080 443 0 0 0 0 0 home-router 1.2.3.1 assignment-type mask mask-scheme destination-port primary-hash-weight 0:3 100 end 66 WCCP リファレンス ガイド
WCCP の 構 成 例 マスク 割 り 当 てを 使 用 したロード バランシング 構 成 構 成 例 マスク 割 り 当 てを 使 用 したロード バランシング ( 続 く ) ProxySG 2 2 つめの ProxySG のManagement Console から 以 下 の 手 順 で WCCP の 構 成 を 設 定 します あるいは 2 つめの ProxySG に テキスト ファイルから WCCP 設 定 をインストールします wccp enable service-group 90 interface 0:3 priority 1 protocol 6 forwarding-type L2 returning-type L2 service-flags ports-defined ports 80 8080 443 0 0 0 0 0 home-router 1.2.3.1 assignment-type mask mask-scheme destination-port primary-hash-weight 0:3 100 end ProxySG 3 3 番 目 の ProxySG の Management Console か ら 以 下 の 手 順 で WCCP の 構 成 を 設 定 します あるいは 3 つめの ProxySG に テキスト ファイルから WCCP 設 定 をインストールします wccp enable service-group 90 interface 0:3 priority 1 protocol 6 forwarding-type L2 returning-type L2 service-flags ports-defined ports 80 8080 443 0 0 0 0 0 home-router 1.2.3.1 assignment-type mask mask-scheme destination-port primary-hash-weight 0:3 50 end WCCP リファレンス ガイド 67
単 一 ProxySG 複 数 ルーター 構 成 WCCP の 構 成 例 単 一 ProxySG 複 数 ルーター 構 成 この 例 では 1 つのサービス グループ 内 に 2 つのルーターと 1 つの ProxySG があります したがって ProxySG には 2 つの home-router 設 定 が 必 要 です さらに ルーターが 異 なるサブネット 上 にあるので GRE による 転 送 と 返 送 を 使 用 する 必 要 があります 図 4-12 複 数 ルーターと 単 一 ProxySG で 構 成 されるサービス グループの 例 構 成 例 単 一 PROXYSG 複 数 ルーター ルーター A ルーター B Router>enable Router#configure terminal Router(config)#ip wccp version 2 Router(config)#ip wccp 90 Router(config)#interface fastethernet 0/1 Router(config-if)#ip wccp 90 redirect in Router>enable Router#configure terminal Router(config)#ip wccp version 2 Router(config)#ip wccp 90 Router(config)#interface fastethernet 3/1 Router(config-if)#ip wccp 90 redirect in 68 WCCP リファレンス ガイド
WCCP の 構 成 例 単 一 ProxySG 複 数 ルーター 構 成 構 成 例 単 一 PROXYSG 複 数 ルーター ( 続 く ) ProxySG 1 ProxySG の Management Console から 以 下 の 手 順 で WCCP の 構 成 を 設 定 します あるいは テキスト ファイルか ら WCCP 設 定 をインストール します wccp enable wccp version 2 service-group 90 interface 0:3 priority 1 home-router 1.2.3.1 home-router 5.6.7.2 end WCCP リファレンス ガイド 69
マルチキャスト 構 成 WCCP の 構 成 例 マルチキャスト 構 成 マルチキャスト アドレスを 指 定 すると サービス グループ 内 の ProxySG アプライアンスとルーターは 1 つのマルチキャスト アドレス (224.0.0.0 から 239.255.255.255 までの 範 囲 ) を 使 用 して 他 のグループ メン バーすべてと 同 時 に 通 信 します 以 下 の 例 では サービス グループ 90 内 のすべてのルーターは マルチ キャスト アドレス 224.1.1.103 をリッスンするように 構 成 が 設 定 されます さらに グループ 内 の ProxySG アプライアンスは そのホームルーター アドレスとしてマルチキャスト アドレスを 使 用 します 構 成 例 マルチキャスト ルーター A ルーター B ProxySG 1 Router>enable Router#configure terminal Router(config)#ip multicast Router(config)#ip wccp version 2 Router(config)#ip wccp 90 group-address 224.1.1.103 Router(config)#interface fastethernet 2/1 Router(config-if)#ip wccp 90 redirect in Router(config-if)#ip wccp 90 group-listen Router(config-if)#ip pim dense-mode Router>enable Router#configure terminal Router(config)#ip wccp version 2 Router(config)#ip wccp 90 group-address 224.1.1.103 Router(config)#interface gigabitethernet 0/0/0 Router(config-if)#ip wccp 90 redirect in Router(config-if)#ip wccp 90 group-listen Router(config-if)#ip pim dense-mode 最 初 の ProxySG の Management Console から 以 下 の 手 順 で WCCP の 構 成 を 設 定 し ます あるいは 最 初 の ProxySG に テキ スト ファイルから WCCP 設 定 を インストールします wccp enable wccp version 2 service-group 90 interface 0:3 priority 1 forwarding-type L2 returning-type L2 assignment-type mask home-router 224.1.1.103 end 70 WCCP リファレンス ガイド
WCCP の 構 成 例 マルチキャスト 構 成 構 成 例 マルチキャスト ProxySG 2 2 つめの ProxySG の Management Console から あるいは 2 つめの ProxySG に テ 以 下 の 手 順 で WCCP の 構 成 を 設 定 します キスト ファイルから WCCP 設 定 をインストールします wccp enable wccp version 2 service-group 90 interface 0:1 priority 1 forwarding-type L2 returning-type L2 assignment-type mask home-router 224.1.1.103 end WCCP リファレンス ガイド 71
クライアント IP 反 映 構 成 WCCP の 構 成 例 クライアント IP 反 映 構 成 クライアント IP 反 映 構 成 で WCCP を 使 用 する 場 合 は 2 つの 方 向 にトラフィックをリダイレクトする 必 要 があります 1 つはクライアントからサーバーへ 要 求 を 送 る 場 合 で もう 1 つはサーバーがクライアント に 応 答 を 返 す 場 合 です 最 も 望 ましい 方 法 は 異 なるトラフィック 方 向 に 対 して 別 のサービス グループを 使 用 することです 1 つは 送 信 先 ポートに 基 づいてクライアントからトラフィックをリダイレクトし も う 1 つは 送 信 元 ポートに 基 づいてサーバーからのトラフィックをリダイレクトします リダイレクト ルー プを 防 ぐには 図 4-13 に 示 すように 3 番 目 の 専 用 インターフェースに ProxySG を 接 続 します ProxySG を 接 続 するルーター インターフェースの IP アドレスをホーム ルーター アドレスとして 使 用 してください 図 4-13クライアント IP 反 映 の 例 構 成 例 クライアント IP 反 映 ルーター A Router>enable Router#configure terminal Router(config)#ip wccp version 2 Router(config)#ip wccp 90 Router(config)#ip wccp 91 Router(config)#interface gigabitethernet 0/0/0 Router(config-if)#ip wccp 90 redirect in Router(config)#interface fastethernet 1/1 Router(config-if)#ip wccp 91 redirect in 72 WCCP リファレンス ガイド
WCCP の 構 成 例 クライアント IP 反 映 構 成 構 成 例 クライアント IP 反 映 ( 続 く ) ProxySG 1 以 下 の 手 順 で Management Console から 最 初 の サービス グループを 作 成 して [OK] をクリック します [New] をクリックし 以 下 の 手 順 で 2 番 目 の サービス グループを 作 成 して [OK] をクリック します もしくは 両 方 のサービス グループ を 次 のように 1 つのテキスト ファ イルに 定 義 して それを ProxySG にインストールします wccp enable wccp version 2 service-group 90 interface 0:3 priority 1 service-flags ports-defined ports 80 8080 443 0 0 0 0 0 home-router 1.2.3.3 end service-group 91 service-flags ports-defined ports 80 8080 443 0 0 0 0 0 service-flags ports-source interface 0:3 priority 1 home-router 1.2.3.3 end WCCP リファレンス ガイド 73
VLAN を 使 用 した LAN/WAN トラフィックの 分 離 構 成 WCCP の 構 成 例 VLAN を 使 用 した LAN/WAN トラフィックの 分 離 構 成 以 下 の 例 では ルーターが 別 の WCCP サービス グループを 使 用 して LAN インターフェースおよび WAN インターフェースからのトラフィックを ProxySG へリダイレクトする 構 成 を 示 します 各 サービス グ ループは 異 なる VLAN インターフェースを 使 用 して ProxySG へトラフィックをリダイレクトします こ れにより ProxySG は LAN トラフィックと WAN トラフィックを 区 別 し 特 定 のパケットをインターセ プトするかバイパスするかについて 適 切 な 判 断 を 下 すことができます 図 4-14WCCP VLAN 構 成 の 例 構 成 例 WCCP VLAN 構 成 ルーター A Router>enable Router#conf t Router(config)#interface vlan700 Router(cofig-if)#ip address 192.0.2.177 255.255.255.0 Router(config-if)#end Router(config)#interface vlan710 Router(cofig-if)#ip address 192.0.3.178 255.255.255.0 Router(config-if)#end Router(config)#interface vlan180 Router(cofig-if)#ip address 172.16.0.180 255.255.255.0 Router(config-if)#end Router(config)#interface vlan184 Router(cofig-if)#ip address 192.168.0.184 255.255.255.0 Router(config)#interface gigabitethernet0/1 Router(config-if)#switchport Router(config-if)#switchport trunk encapsulation dot1q Router(config-if)#switchport trunk allowed vlan 700, 710, 180 Router(config-if)#switchport mode trunk Router(config-if)#exit Router(config)#interface gigabitethernet0/0 Router(config-if)#switchport Router(config-if)#switchport trunk encapsulation dot1q Router(config-if)#switchport trunk allowed vlan 184 Router(config-if)#switchport mode trunk Router(config-if)#exit Router(config)#ip wccp version 2 Router(config)#ip wccp 3 Router(config)#ip wccp 4 Router(config)#interface vlan184 Router(config-if)#description WAN side Router(config-if)#ip wccp 4 redirect in Router(config-if)#exit Router(config)#interface vlan180 Router(config-if)#description LAN side Router(config-if)#ip wccp 3 redirect in Router(config-if)#exit Router(config)#exit Router#copy running-config startup-config 74 WCCP リファレンス ガイド