Cmo puedo hacer que los navegadores de mis usuarios utilizan mi cach sin tener que

configurar los navegadores para los proxy?

Contenido
1. Conceptos de Interceptacin Caching
2. Requisitos y mtodos de interceptacin Caching
3. Pasos necesarios para configurar Interceptacin Caching
1. Compilar una versin de Squid que acepta conexiones para otras
direcciones
1. La eleccin de las opciones correctas para pasar a. / Configure
2. Configurar Squid para aceptar y procesar las 80 conexiones de los
puertos redirigidos
2. Para que tu trfico al puerto de la derecha en su cach Squid
1. Redireccin de paquetes Caching Interceptacin para Solaris,
SunOS y BSD sistemas
1. Instale el filtro IP
2. Configure ipnat
2. Redireccin de paquetes Caching intercepcin para OpenBSD PF
3. Consiga los paquetes de los clientes finales a su servidor de cach
1. Caching Interceptacin redireccin de paquetes con los routers
Cisco utilizando la poltica de enrutamiento (NO WCCP)
1. Deficiencias del mtodo de la ruta poltica-mapa IP de Cisco
2. Caching Interceptacin redireccin de paquetes con interruptores
Foundry L4
3. Interceptacin Caching redireccin de paquetes con un Alcatel
OmnySwitch 7700
4. Caching Interceptacin redireccin de paquetes con productos de
Cabletron / Entrasys
5. Redireccin de paquetes Caching Interceptacin con ACC Tigris
servidor de acceso digital
4. Protocolo de Coordinacin de Web Cache - WCCP
1. Admite Squid WCCP?
2. Necesito un router cisco para funcionar WCCP?
3. Puedo ejecutar WCCP con el puerto de Windows del calamar?
4. Dnde puedo encontrar ms informacin sobre WCCP?
5. Software del router Cisco requiere para WCCP

1. Apoyo en IOS de Cisco Routers

2. Apoyo en conmutadores Cisco IOS
3. El soporte de software de Cisco Firewalls (PIX OS)
4. Qu pasa con WCCPv2?
5. Configuracin del enrutador
6. Configuracin del cach / Host de WCCP
1. Configuracin de Squid para hablar WCCP
2. Configurando FreeBSD
3. FreeBSD 4.8 y ms tarde
4. FreeBSD 6.x y ms tarde
5. Linux Standard GRE tnel
5. TProxy Intercepcin
1. TProxy v2.2
2. TProxy v4.1 +
6. Otros Ejemplos de configuracin
7. Completo
8. Solucin de problemas y preguntas
1. No trabaja. Cmo puedo depurarlo?
2. Por qu no puedo utilizar la autenticacin junto con el proxy de
interceptacin?
3. Puedo utilizar proxy_auth'''' con la intercepcin?
4. "Conexin restablecida por el interlocutor" y la poltica de
enrutamiento de Cisco
9. Para ms informacin sobre la configuracin de Interceptacin Caching con
Squid
4. Problemas con Hotmail

Conceptos de Interceptacin Caching

Caching Interceptacin va bajo muchos nombres - Interceptacin de almacenamiento en
cach, el proxy transparente, la reescritura de URL, SSL-Bump y cach de
redireccin. Caching Interceptacin es el proceso por el cual las conexiones HTTP
procedentes de clientes remotos son redirigidos a un servidor de cach, sin su
conocimiento o configuracin explcita.
Hay algunas buenas razones por las que es posible que desee utilizar esta tcnica:

No hay ninguna configuracin de cliente necesario.

Esta es la razn ms popular para la investigacin de intercepcin de

HTTP - hay muchos programas cliente que no aplican el soporte de proxy
HTTP.

No hay conexin proxy SSL de cliente necesario.

o Esta es la razn ms popular para la investigacin de intercepcin HTTPS hay muy pocos clientes que soportan conexiones proxy SSL.

El servidor puede estar usando el hosting virtual basado en URL.

o

Esta es la nica razn conocida a necesitar forma de URL reescritura de

intercepcin - hay dos sistemas CMS populares que dependen de esta
forma de manipulacin URL para operar. Cuando la direccin URL
pblica
es presentada por el servidor web como
se necesita una
re-escritor de "arreglar" el sistema del servidor web roto.

Tenga en cuenta que todos los otros usos conocidos de re-escritura

pueden evitarse con mejores alternativas!

Sin embargo tambin hay desventajas significativas para esta estrategia, como se indica
por Mark Elsen:

Interceptar HTTP rompe los estndares TCP / IP porque los agentes de usuario
piensan que estn hablando directamente al servidor de origen.
Requiere IPv4 con NAT en la mayora de los sistemas operativos, aunque algunos
ahora apoyan TPROXY o NAT para IPv6 tambin.

Causa trayectoria MTU (PMTUD) falle, posiblemente haciendo algunos sitios

remotos inaccesibles. Esto no suele ser un problema si los equipos cliente se
conectan a travs de Ethernet o DSL PPPoATM donde la MTU de todos los
vnculos entre la cach y el cliente es de 1500 o ms. Si los clientes se conectan a
travs de DSL PPPoE entonces esto es probable que sea un problema, ya que los
enlaces de PPPoE a menudo tienen una MTU reducida (1.472 es muy comn).

En versiones anteriores de IE antes de la versin 6, la funcin Ctrl-reload no

funcion como se esperaba.

Multiplexacin de conexin no funciona. Los clientes conscientes del proxy pueden

enviar solicitudes de varios dominios hacia abajo una conexin proxy y el ahorro de
recursos, mientras que dejar teh Proxy hacer mltiples conexiones de back-end. Al
hablar con un cliente de origen no se les permite hacer esto y se le abrirn muchas
conexiones TCP por los recursos. Esto hace que la interceptacin de proxy para
consumir ms sockets de red que un proxy regular.

Autenticacin del proxy no funciona.

Autenticacin basada en IP por el origen falla porque los usuarios son vistos por
venir de la propia direccin de IP de la interceptacin de cach.

No se puede utilizar bsquedas de identidad (que son inherentemente muy

inseguro de todos modos)

ARP rel descansos en la mquina proxy.

Interceptacin de almacenamiento en cach slo es compatible con el protocolo

HTTP, no Gopher, SSL o FTP. No se puede configurar una redireccin en reglas

para el servidor proxy para otros protocolos distintos de HTTP desde el cliente no
sabr qu hacer con l.

Caches Interceptar son incompatibles con el filtrado de IP diseada para prevenir

la falsificacin de direcciones.

Todava se espera que los clientes tienen de DNS de Internet completa la

resolucin de las capacidades, en ciertas configuraciones de intranet / cortafuegos,
esto no siempre se quera.

En cuanto a arriba: supongamos que el navegador del usuario se conecta a un sitio

que est abajo. Sin embargo, debido al proxy transparente, se vuelve un estado
conectado al interceptor. El usuario final puede obtener mensajes de error
incorrectos o un navegador colgado, por razones aparentemente desconocidas
para ellos.

Carga de DNS se duplica, ya que los clientes hacen una bsqueda de DNS, y el
proxy de intercepcin repite.

tnel de protocolo sobre los interceptados puerto 80 o 443 saltos.

WebSockets conectividad no funciona.

Conectividad SPDY no funciona (proxy HTTPS intercepcin).

La reescritura de URL y formas SSL-Bump de intercepcin por lo general no son

compatibles. SSL-Bump genera un certificado falso servidor para que coincida con
lo que presenta el servidor. Si URL reescritura altera lo que se est en contacto con
sever el cliente recibir certificados equivocadas. O, en un intento de volver a
escribir una URL HTTPS para http::// - el servidor no presentar ningn certificado
SSL. Ambos se traducir en errores visibles de usuario.

Si usted siente que las ventajas superan a los inconvenientes en su red, puede optar por
seguir leyendo y ver la implementacin de Interceptacin de almacenamiento en cach.

Requisitos y mtodos de interceptacin

Caching

Usted necesita tener una buena comprensin de lo que est haciendo antes de
empezar. Esto implica entender a una capa de TCP lo que est sucediendo a las
conexiones. Esto le ayudar tanto configurar el sistema y, adems, le ayudar si
sus clientes finales experimentan problemas despus de haber implementado su
solucin.
Un calamar actual (2.5 +). Debe ejecutar la ltima versin de Squid que est
disponible en el momento.

Un sistema operativo actual puede facilitar las cosas.

Muy probablemente necesitar un dispositivo de red que puede redirigir el trfico a

su cach. Si el cuadro de Squid tambin funciona como un router y todo el trfico
desde y hacia la red se encuentra en el camino, puede saltarse este paso. Si la
cach es una caja independiente en un LAN que normalmente no ver su clientes
web trfico de navegacin, tendr que elegir un mtodo de redirigir el trfico HTTP
desde los equipos cliente a la cach. Esto se hace tpicamente con un dispositivo
de red, como un router o switch de Capa 3 que, o bien volver a escribir la direccin
MAC de destino o, alternativamente, encapsular el trfico de red a travs de un
tnel GRE o WCCP en la memoria cach.

Nota: Si utiliza routers y switches Cisco en su red puede que desee investigar el uso de
WCCP. WCCP es una forma muy flexible de redirigir el trfico y es lo suficientemente
inteligente como para detener automticamente redirigir el trfico del cliente si la cach se
queda sin conexin. Esto puede implicar que la actualizacin de su router o switch a una
liberacin de IOS o un featureset mejorado que soporta WCCP. Hay una seccin escrita
especficamente en WCCP a continuacin.

Pasos necesarios para configurar

Interceptacin Caching

La construccin de un calamar con las opciones correctas para. / Configure para

apoyar el cambio de direccin y manejar los clientes correctamente.
Enrutamiento del trfico del puerto 80 al puerto de su Squid est configurado para
aceptar las conexiones en

Decapsulating el trfico que su dispositivo de red enva a Squid (slo si est

utilizando o GRE WCCP para interceptar el trfico)

Configuracin del dispositivo de red para redirigir el trfico del puerto 80.

Se requieren los dos primeros pasos y los dos ltimos pueden o pueden no ser necesarios
en funcin de cmo se va a enrutar el trfico HTTP en la memoria cach.
! Es importante leer los comentarios completos en el archivo squid.conf y en este
documento en su totalidad antes de comenzar. Obtencin de Interceptacin de
almacenamiento en cach para trabajar con el calamar no es trivial y requiere de muchos
subsistemas de Squid y su red para ser configurado exactamente correcto o de lo contrario
se encontrar con que no va a funcionar y los usuarios no ser capaz de navegar en
absoluto. Usted debe probar la configuracin en un entorno no vivo antes de dar rienda
suelta a esta caracterstica en sus usuarios finales.

Compilar una versin de Squid que acepta conexiones

para otras direcciones
En primer lugar usted necesita para construir Squid con las opciones correctas a. /
Configure, y entonces usted necesita para configurar squid.conf para apoyar Intercepcin
Caching.

La eleccin de las opciones correctas para pasar a. / Configure

Todas las versiones compatibles de Squid actualmente apoyo disponible Interceptacin
Caching, sin embargo, para que esto funcione correctamente, tambin es necesario
configurar el sistema operativo y red. En algunos sistemas operativos, es necesario haber
configurado y construido una versin de Squid que puede reconocer las conexiones
secuestrados y discernir las direcciones de destino.

Para Linux configure Squid con la opcin - enable-linux-netfilter opcin.

Para los sistemas basados en BSD *-con filtro IP configurar Squid con la opcin enable-ipf-transparente opcin.

Si est utilizando de OpenBSD PF configure Squid con - enable--pf

transparente .

Hacer un make clean si ha configurado previamente y sin esa opcin, o los ajustes
correctos pueden no estar presentes.
Squid-2.6 + y Squid-3.0 + apoyar tanto WCCPv1 y WCCPv2 por defecto (a menos que
desactives explcitamente).

Configurar Squid para aceptar y procesar las 80 conexiones de los

puertos redirigidos
Tienes que cambiar los ajustes de configuracin de Squid para reconocer las conexiones
secuestrados y discernir las direcciones de destino.
Un nmero de diferentes mtodos de interceptacin y de su configuracin especfica se
detalla en ConfigExamples / Intercepcin
Generalmente, usted puede configurar manualmente los navegadores para conectarse a
la direccin IP y el puerto que ha especificado como interceptado. El nico inconveniente
es que habr una muy leve (y probablemente imperceptible) impacto en el rendimiento
como syscall hecho para ver si la conexin es interceptada. Si no se encuentra el estado
de intercepcin se procesa igual que una conexin normal.

Para que tu trfico al puerto de la derecha en su cach

Squid
Usted tiene que configurar el host de cach para aceptar los paquetes redirigidas cualquier direccin IP, el puerto 80 - y entregarlos a la aplicacin de cach. Esto se hace
normalmente con las caractersticas de filtrado de IP / reenvo integrados en el kernel.

En Linux 2.4 y por encima de este se llama iptables

En FreeBSD su llamada ipfw .

Otros sistemas BSD puede usar el filtro IP , ipnat o pf .

En la mayora de los sistemas, puede requerir la reconstruccin del kernel o aadir un

nuevo mdulo de kernel. Si est ejecutando una distribucin de Linux moderno y utilizando
el proveedor kernel suministrado usted probablemente no tendr que hacer ninguna
reconstruccin como los mdulos necesarios se habrn construido de forma
predeterminada.

Redireccin de paquetes Caching Interceptacin para Solaris,

SunOS y BSD sistemas
No es necesario utilizar el filtro IP de FreeBSD. Utilice el built-in ipfw funcin
directamente. Vea la subseccin FreeBSD continuacin.

Instale el filtro IP

En primer lugar, obtener e instalar el paquete de filtros IP .

Configure ipnat
Ponga estas lneas en / etc / ipnat.rules :
#Redireccionareltrficowebdirectoalservidorweblocal.
rdrde01.2.3.4/32puerto80>1.2.3.4puerto80tcp
#Redireccionartodolodemsaloscalamaresenelpuerto8080
rdrde00.0.0.0/0elpuerto80>1.2.3.4puerto8080tcp
Modifique sus scripts de arranque para permitir ipnat . Por ejemplo, en FreeBSD que se
ve algo como esto:
/Sbin/modlo/lkm/if_ipl.o
/Sbin/ipnatf/etc/ipnat.rules
chgrpnadie/dev/ipnat
chmod644/dev/ipnat
Gracias a Quinton Dolan .

Redireccin de paquetes Caching intercepcin para OpenBSD PF

<Despus de haber compilado Squid con las opciones para aceptar y procesar las
conexiones de los puertos redirigidos 80 enumerados anteriormente, de forma manual o
con SABOR = transparente para / usr / ports / www / squid , hay que agregar
una regla de redireccin a PF ( / etc / pf.conf ). En el ejemplo siguiente,SK0 es la
interfaz en la que el trfico que usted desea de forma transparente redireccionado llegar:
i="SK0"
rdren$iinetprototcpdecualquieracualquierpuerto80>$i
elpuerto3128
transmito$iinetprototcpdesde$i:Redde$ielpuerto3128
O, dependiendo de qu tan reciente su implementacin de PF es:
i="SK0"
rdrtransmitir$iinetprototcpacualquierpuerto80>$iel
puerto3128
Asimismo, consulte la pgina de Daniel Hartmeier sobre el tema.

Consiga los paquetes de los clientes finales a su

servidor de cach

Hay varias maneras de hacer esto. En primer lugar, si su mquina de proxy ya est en el
camino de los paquetes (es decir, est de enrutamiento entre los usuarios de proxy e
Internet), entonces usted no tiene que preocuparse por este paso como la interceptacin
Caching ahora debera estar trabajando. Esto sera cierto si instala Squid en una mquina
de servidor de seguridad o en un router basado en UNIX. Si la cach no est en la ruta de
acceso natural de las conexiones, entonces usted tiene que desviar los paquetes de la ruta
normal a su host de cach mediante un router o switch.
Si utiliza un dispositivo externo para dirigir el trfico a su cach, hay varias formas de hacer
esto. Usted puede ser capaz de hacer esto con un router Cisco mediante WCCP, o la
funcin de "hoja de ruta". Tambin puede utilizar una capa-4 encienda la llamada, como el
ACE-director Alteon o el Foundry Networks ServerIron.
Por ltimo, es posible que pueda utilizar un tipo de router / equilibrador de carga producto
independiente, o capacidades de enrutamiento de un servidor de acceso.

Caching Interceptacin redireccin de paquetes con los routers

Cisco utilizando la poltica de enrutamiento (NO WCCP)
por John Saunders
Esto funciona con un mnimo de IOS 11.1 y posteriores. Si el router est haciendo nada
ms complicado que los paquetes barajar entre una interfaz Ethernet y un puerto serial o
puerto BRI, entonces usted debe trabajar a travs de si esto funcionar para usted.
En primer lugar definir una hoja de ruta con un nombre de proxy redireccionamiento
(nombre no importa) y especifique el siguiente salto a ser la mquina Squid se ejecuta en.
!
routemappermisodeproxyredireccionamiento10
IPaddresspartido110
SETIPdelsiguientesalto203.24.133.2
!
Definir una lista de acceso a las peticiones HTTP de trampa. La segunda lnea permite el
acceso directo de acogida Squid por lo que no se forma un bucle de enrutamiento. Al
escribir cuidadosamente su lista de acceso como mostraremos a continuacin, los casos
ms comunes se encuentran rpidamente, lo que puede reducir en gran medida la carga
en el procesador de su router.
!
accesslist110tcpnegarcualquiercualquierneqwww
accesslist110tcpnegaracogida203.24.133.2cualquier
accesslist110tcpcualquierpermisodecualquier
!
Aplicar la hoja de ruta para la interfaz ethernet.
!

interfazFastEthernet0/0
polticaiproutemapproxyredireccionamiento
!

Deficiencias del mtodo de la ruta poltica-mapa IP de Cisco

Bruce Morgan seala que hay un error de Cisco en relacin con el proxy de intercepcin
mediante mapas de ruta poltica de propiedad intelectual, que causa NFS y otras
aplicaciones de romper. Al parecer hay dos informes de errores planteados en Cisco, pero
no estn disponibles para su difusin pblica.
El problema se produce con los paquetes o / s con ms de 1472 bytes de datos. Si intenta
hacer ping a un host con ms de 1472 bytes de datos a travs de una interfaz de Cisco,
con las listas de acceso y la poltica ip mapa de rutas, la peticin ICMP fallar. El paquete
se fragmenta, y el primer fragmento se comprueba con la lista de acceso y rechazado - va
el "camino normal", ya que es un paquete ICMP - sin embargo, cuando el segundo
fragmento se comprueba con la lista de acceso se acepta ( no se mira como un paquete
ICMP), y se va a la accin determinada por el mapa de rutas poltica!
John seala que es posible que pueda conseguir evitar este error al escribir
cuidadosamente sus listas de acceso. Si la regla de ltima / default es permitir entonces
este error sera un problema, pero si la norma ltima / default era negar entonces no va a
ser un problema. Supongo fragmentos, excepto el primero, no cuentan con la informacin
de que disponga adecuadamente de ruta poltica de ellos. Normalmente los paquetes TCP
no deben ser fragmentados, por lo menos mi red funciona una MTU de 1500 de todo el
mundo para evitar la fragmentacin. As que esto afectara slo el trfico UDP e ICMP.
Bsicamente, usted tendr que elegir entre vivir con la bug o un mejor rendimiento. Este
conjunto tiene un mejor rendimiento, pero adolece del error:
accesslist110tcpnegarcualquiercualquierneqwww
accesslist110tcpnegaracogida10.1.2.3cualquier
accesslist110tcpcualquierpermisodecualquier
Por el contrario, este conjunto tiene un peor rendimiento, sino que trabaja para todos los
protocolos:
accesslist110tcpnegaracogida10.1.2.3cualquier
accesslist110tcpcualquierpermisodecualquiereqwww
accesslist110tcpnegarcualquiercualquier

Caching Interceptacin redireccin de paquetes con interruptores

Foundry L4
por al shreve punto net Brian Feeny .
En primer lugar, configurar Squid para el almacenamiento en cach de intercepcin como
se detalla en el principio de esta seccin .

A continuacin, configure el conmutador Foundry capa 4 de redirigir el trfico a su caja o

cajas de Squid. Por defecto, el Foundry redirige al puerto 80 de su caja de calamar. Esto
se puede cambiar a un puerto diferente si es necesario, pero no ser cubierto aqu.
Adems, el interruptor hace un "chequeo" del puerto para verificar que el calamar est
contestando. Si el calamar no contesta, los valores predeterminados del conmutador para
enviar el trfico directamente a travs en vez de redireccionarlo. Cuando el calamar vuelve
a subir, comienza redirigir una vez ms.
En este ejemplo se supone que tiene dos caches squid:
squid1.foo.com192.168.1.10
squid2.foo.com192.168.1.11
Vamos a suponer que usted tiene varias estaciones de trabajo, clientes, etc, conectados al
conmutador para el que desea que sean interceptados y enviados a Squid. El calamar
cachea mismos deben ser conectados en el conmutador tambin. Slo la interfaz que el
router est conectado a es importante. Cuando usted pone los cachs de calamar o ther
conexiones no importa.
En este ejemplo se asume que su router est conectado a la interfaz 17 de conmutador. Si
no es as, ajuste los siguientes comandos en consecuencia.

Entre en el modo de configuracin:

telnet@ServerIron#conft

Configure cada calamar de la tipografa:

telnet@ServerIron(config)#servidordecachdenombressquid1
192.168.1.10
telnet@ServerIron(config)#servidordecachdenombressquid2
192.168.1.11

Aadir los calamares a un grupo de cach:

telnet@ServerIron(config)#servidordecachdelgrupo1
telnet@ServerIron(configtc1)#cachdenombressquid1
telnet@ServerIron(configtc1)#cachdenombressquid2

Crear una poltica de la memoria cach HTTP en un puerto local

telnet@ServerIron(config)#ippolticadecach1tcphttp
locales

Habilitar esta poltica en el puerto conectado a su router

telnet@ServerIron(config)#inte17
telnet@ServerIron(configif17)#ippoltica1

Dado que todo el trfico de salida a Internet se apaga la interfaz 17 (el router), y la
interfaz 17 tiene la directiva de cach que se le aplica, el trfico HTTP va a ser
interceptada y redirige a los cachs que haya configurado.
El puerto por defecto para redirigir a se puede cambiar. El algoritmo de equilibrio de carga
utilizado se puede cambiar (Menor de ocasin, Ronda Robin, etc). Los puertos pueden
estar exentos de almacenamiento en cach si es necesario. Listas de acceso se pueden
aplicar para que slo determinadas direcciones IP de origen se redirigen, etc Esta
informacin ha quedado fuera de este documento, ya que esto era slo un howto rpida
que se aplicara para la mayora de la gente, no pretende ser un manual completo de cmo
configurar un conmutador Foundry. Sin embargo, puedo revisar esto con toda la
informacin necesaria si la gente siente que debera ser incluido.

Interceptacin Caching redireccin de paquetes con un Alcatel

OmnySwitch 7700
por Pedro Vzquez AM
En el interruptor de definir un grupo de red para ser interceptado:
grupodelaredpolticaMiGrupo10.1.1.0mask255.255.255.0
Definir los servicios tcp ser interceptados:
serviciodelapolticadedestinoweb80puertotcp80
serviciodelapolticadedestinoweb8080tcppuerto8080
Definir un conjunto de servicios que utilizan los servicios anteriormente:
grupodeserviciodelapolticawebportsweb80web8080
Y el uso de estos para crear una condicin de interseccin:
grupodereddefuenteWebFlowcondicinpolticawebportsgrupo
deserviciosMiGrupo
Ahora bien, definir una accin para redirigir el trfico hacia el host que ejecuta el calamar:
accinpolticaRediralternativogatewayIP10.1.2.3
Finalmente, cree una regla con esta condicin y la accin correspondiente:
RegladepolticadeaccinWebFlowcondicionesIntercepcinRedir
Aplicar las reglas para el sistema de calidad de servicio para hacerlos efectivos

aplicanqos
No olvide que usted todava tiene que configurar el sistema operativo y Squid Squid para
manejar las conexiones interceptados. Ver arriba para Squid y los detalles especficos de
OS.

Caching Interceptacin redireccin de paquetes con productos de

Cabletron / Entrasys
Por Dave Wintrip, dave en purevanity punto net, 3 de junio de 2004.
He comprobado esta configuracin como trabajar en un Cabletron
inteligenteInterruptorRouter 2000, y que debera funcionar en cualquier producto
conscientes capa-4 Cabletron o Entrasys.
Primero debe configurar Squid para permitir el almacenamiento en cach de intercepcin,
se indic anteriormente.
A continuacin, asegrese de que dispone de conectividad del dispositivo de capa-4 a su
casilla de calamar, calamar y que est correctamente configurado para interceptar puerto
80 peticiones tirado su camino.
En general, puedo crear dos conjuntos de ACL de redireccionamiento, una para la
memoria cach, y otro para pasar por el cach. Este mtodo de intercepcin es muy
similar a la ruta-mapa de Cisco.
Inicie sesin en el dispositivo y acceder al modo de habilitar, as como el modo de
configuracin.
ssr>es
Contrasea:
ssr#conf
ssr(conf)#
En general, puedo crear dos conjuntos de ACL de redireccionamiento, una para especificar
quin cach, y otro para las direcciones de destino que hay que pasar por alto el
cach. Este mtodo de intercepcin es muy similar a la ruta-mapa de Cisco de esta
manera. La ACL cach sin saltos es una lista de direcciones de destino que no queremos
volver a dirigir de forma transparente a los calamares.
ssr(conf)#aclcacheskiptcpcualquierpermiso
192.168.1.100/255.255.255.255cualquierhttp
La ACL cache-permite una lista de direcciones de origen que ser redirigido a Squid.
ssr(conf)#cacheaclpermitirtcppermiso10.0.22.0/255.255.255.0
anyanyhttp

Guarde sus nuevas ACL para la configuracin en ejecucin.

ssr(conf)#ahorrar
A continuacin, tenemos que crear las ip-polticas que trabajarn para llevar a cabo la
redireccin. Por favor, tenga en cuenta que 10.0.23.2 es mi servidor Squid, y que 10.0.24.1
es mi estndar por defecto del siguiente salto. Pulsando el cach-skip ACL a la puerta de
enlace predeterminada, la solicitud web se enva como si el cuadro de calamares no
estaba presente. Esto podra ser igual de fcil hacer usando la configuracin de calamar,
pero preferira Squid No toque los datos si no tiene ninguna razn para hacerlo.
ssr(conf)#ipcachepolicypermiteaclpermisodecachepermite
nicapolticadesaltosiguientelista10.0.23.2accin
ssr(conf)#ipcachepolicyskipaclpermisodecacheskipnext
hoplistnicapoltica10.0.24.1accin
Aplicar estas nuevas polticas en la configuracin activa.
ssr(conf)#ahorrar
Ahora tenemos que aplicar las ip-polticas a las interfaces que queremos almacenar en
cach peticiones desde. Suponiendo que localnet-gw es el nombre de la interfaz a la red
que queremos almacenar en cach las solicitudes de, primero aplicamos la ACL cacheskip para interceptar peticiones en nuestra lista de tareas pendientes-no-cache, y las
remitir a la puerta de enlace predeterminada. A continuacin, aplicamos la cach ACL
permitir a la misma interfaz para redirigir todas las otras peticiones al servidor de cach.
ssr(conf)#ipcachepolicyskipaplicarinterfazlocalnetgw
ssr(conf)#ipcachepolicypermitiraplicarinterfazlocalnetgw
Ahora tenemos que aplicar y guardar los cambios permanentemente. Nada de lo que
hemos hecho antes de este punto afectara nada sin la adicin de las aplicaciones IPpolticas en la configuracin activa, por lo que permite probarlo.
ssr(conf)#ahorrar
ssr(conf)#salvars
Siempre y cuando su cuadro de Squid es correcta configurado, ahora debera ser capaz de
navegar, y ser almacenado en cach transparente si est utilizando la direccin-localnet
gw como su puerta de enlace.
Algunos productos Cabletron / Entrasys incluyen otro mtodo de aplicacin de una cach
Web, pero los detalles sobre la configuracin que no est prevista en el presente
documento, sin embargo es lo bastante sencillo.
Tambin tenga en cuenta, que si el cuadro de Squid est conectado directamente a un
puerto del switch de capa-4, y que el puerto es parte de su propia VLAN, y su propia
subred, si ese puerto fuera a cambiar los estados para abajo, o la direccin se convierte en

uncontactable, entonces el interruptor se anular automticamente las ip-polticas y remitir

su peticin de web, aunque los medios normales. Esto es til, podra aadir.

Redireccin de paquetes Caching Interceptacin con ACC Tigris

servidor de acceso digital
por John Saunders
Esto tiene que ver con la configuracin de proxy de intercepcin para un servidor de
acceso digital ACC Tigris (como un CISCO 5200/5300 o un Ascend MAX 4000).He
descubierto que haciendo esto en el NAS reduce el trfico en la LAN y reduce la carga de
procesamiento en el CISCO. El Tigris tiene amplio CPU para el filtrado.
Paso 1 es crear filtros que permiten que el trfico local para pasar. Agregue los que sean
necesarios para todas sus rangos de direcciones.
AgregarfiltroIPPERFILlocal1ENTRADAENTRADA10.0.3.0
255.255.255.00.0.0.00.0.0.0NORMAL
AgregarfiltroIPPERFILlocal2ENTRADAENTRADA10.0.4.0
255.255.255.00.0.0.00.0.0.0NORMAL
Paso 2 es para crear un filtro para atrapar trfico del puerto 80.
AgregarfiltroIPPERFILhttpENTRADAENTRADA0.0.0.00.0.0.0
0.0.0.00.0.0.0=0x6D=80NORMAL
Paso 3 es establecer la "APPLICATION_ID" en el puerto de trfico 80 a 80. Esto hace que
todos los paquetes que coincidan con este filtro para tener ID 80 en lugar del ID
predeterminado de 0.
FILTROIPSETPROFILEAPPLICATION_IDhttp80
El paso 4 es para crear una ruta especial que se utiliza para los paquetes con
"APPLICATION_ID" establecidos a 80. El motor de enrutamiento usa el ID para seleccionar
qu rutas utilizan.
AADIRENTRADARUTAIP0.0.0.00.0.0.0PROXYIP1
SETIPRUTAAPPLICATION_ID0.0.0.00.0.0.0PROXYIP80
Paso 5 es unir todo a un filtro llamado ID transproxy. Enumerar todos los filtros locales
primero y el http ltima.
AadirperfilENTRADAtransproxylocal1local2http
Con esto en lugar de utilizar el servidor RADIUS para devolver el "Framed-Filter-Id =
transproxy" par clave / valor a la NAS.

Usted puede comprobar si se est asignando el filtro a inicios de sesin con el siguiente
comando:
mostrartabladepuertosperfil

Protocolo de Coordinacin de Web Cache - WCCP

Colaboradores: Glenn Chisholm , Lincoln Dale y ReubenFarrelly .
WCCP es una manera muy comn y de hecho una buena de hacer Interceptacin
Caching, ya que aade caractersticas y de inteligencia adicionales para el proceso de
redireccionamiento del trfico. WCCP es un servicio dinmico en el que un motor de cach
se comunica a un router sobre su estatus, y se basa en que el router decide si o no para
redirigir el trfico. Esto significa que si la cach no est disponible, el router
automticamente dejar de intentar reenviar el trfico a la misma y los usuarios finales no
se vern afectados (y probablemente ni siquiera note que la memoria cach est fuera de
servicio).
WCCPv1 est documentado en el proyecto Internet -proyecto forster-Demol-WCCP-v100.txt y WCCPv2 est documentado en el proyecto-wilson-Demol WCCP-v2-00.txt .
Para WCCP funcione, en primer lugar, deber configurar su cach Squid, y, adems,
configurar el sistema operativo anfitrin para redirigir el trfico HTTP del puerto 80 a
cualquier puerto de su cuadro de Squid est escuchando el trfico en. Una vez hecho esto,
entonces puede proceder a configurar WCCP en el router.

Admite Squid WCCP?

Protocolo de Coordinacin de cach Web V1.0 de Cisco y WCCPv2 se apoyaron en todas
las versiones actuales de Squid.

Necesito un router cisco para funcionar WCCP?

No. Originalmente apoyo WCCP slo se poda encontrar en los dispositivos de Cisco, pero
algunos otros proveedores de la red ahora son compatibles con WCCP tambin. Si usted
tiene alguna informacin sobre cmo configurar dispositivos no-cisco, por favor, puesto
esto aqu.

Puedo ejecutar WCCP con el puerto de Windows del calamar?

Tcnicamente es posible, pero no hemos odo hablar de alguien hacerlo. La forma ms
fcil sera utilizar un conmutador de capa 3 y haciendo Layer 2 MAC reescritura para
enviar el trfico a su cach. Si est utilizando un router, entonces tendr que encontrar una
manera de decapsulate el trfico GRE / WCCP que el router enva a su cach de Windows
(esto es una funcin de su SO, no Squid).

Dnde puedo encontrar ms informacin sobre WCCP?

Cisco tiene un buen contenido en su sitio web acerca de WCCP. Uno de los mejores
documentos que enumera las caractersticas y describe cmo configurar WCCP en sus
routers se pueden encontrar en la pgina web existe aqu .
Tambin hay un documento ms tcnico que describe el formato de los paquetes de
WCCP en Colasoft

Software del router Cisco requiere para WCCP

Esto depende de si est ejecutando un switch o un router.

Apoyo en IOS de Cisco Routers

Casi todos los routers Cisco soportan WCCP siempre est ejecutando IOS versin 12.0 o
superior, sin embargo, algunos routers que ejecutan software anterior requieren una
actualizacin a sus conjuntos de caractersticas de software a un featureset 'PLUS' o
mejor. WCCPv2 se admite en casi todos los routers en versiones ipbase recientes.
Cisco Feature Navigator en http://www.cisco.com/go/fn dirige una lista actualizada de las
cuales las plataformas soportan WCCPv2.
En general, usted debe ejecutar la ltima serie de actualizaciones de IOS del router que se
puede. No se recomienda ejecutar T o de la rama comunicados a menos que plenamente
los ha probado en un entorno de prueba antes de la implementacin como WCCP requiere
muchas partes del IOS para funcionar de forma fiable.Los ltimos de la lnea principal de
12,1, 12,2, 12,3 y 12,4 comunicados son generalmente las mejores para su uso y deben
ser el ms libre de problemas.
Tenga en cuenta que tendr que configurar un tnel GRE o WCCP en su cach para
decapsulate los paquetes de su router enva a la misma.

Apoyo en conmutadores Cisco IOS

De gama alta de Cisco switches soportan Layer 2 WCCPv2, lo que significa que en lugar
de un transporte tnel GRE, las tramas Ethernet tienen su prxima direccin MAC hop /
destino reescrito a la de su motor de cach. Este es mucho ms rpida para procesar por
el hardware que el mtodo router / GRE de redireccin, y de hecho en algunas
plataformas, como el 6500s puede ser la nica manera WCCP se puede
configurar. Redireccin L2 es supuestamente capaz de redirigir ms de 30 millones de
PPS en el extremo superior 6500 Sup tarjetas.
Los switches de Cisco se sabe que son capaces de hacer WCCPv2 incluyen el Catalyst
3550 (WCCP muy bsico solamente), Catalyst 4500-SUP2 y superiores, y todos los
modelos del 6000/6500.
Tenga en cuenta que el catalizador 2900, 3560, 3750 y 4000 primeros Supervisores no
apoyan WCCP (en absoluto).
Layer 2 WCCP es una caracterstica WCCPv2 y no existe en la implementacin WCCPv1
de cisco.

WCCPv2 Layer 2 redireccin se aadi en 12.1E y 12.2S.

Siempre es recomendable leer las notas de lanzamiento para la versin de software que
se ejecuta en su interruptor antes de implementar WCCP.

El soporte de software de Cisco Firewalls (PIX OS)

Versin 7.2 (1) del software PIX de Cisco ahora tambin soporta WCCP, que le permite
hacer WCCP redireccionamiento con este aparato en lugar de tener que disponer de un
router hacer la redireccin.
7,2 (1) ha sido probado y verificado el funcionamiento con Squid-2.6.

Qu pasa con WCCPv2?

WCCPv2 es una nueva caracterstica a Squid-2.6 y Squid-3.0 . WCCPv2 configuracin es
similar a la configuracin WCCPv1. Las directivas en squid.conf son un poco diferentes,
pero estn bien documentados dentro de ese archivo. Configuracin del router para
WCCPv2 es idntica, excepto que no se debe obligar al router para utilizar WCCPv1 (el
valor predeterminado es WCCPv2 a menos que usted le indique lo contrario).

Configuracin del enrutador

Hay dos mtodos diferentes para configurar WCCP en los routers Cisco. El primer mtodo
es para los routers que slo soportan V1.0 del protocolo. El segundo es para los routers
que soportan ambos.

Configuracin del cach / Host de WCCP

Hay dos partes en este. En primer lugar es necesario configurar Squid para hablar WCCP,
y, adems, tendr que configurar el sistema operativo para decapsulate el trfico WCCP ya
que viene desde el router.

Configuracin de Squid para hablar WCCP

Las directivas de configuracin de este estn bien documentados en squid.conf.
Para WCCPv1, necesita estas directivas:
wccp_routerabcd
wccp_version4
wccp_incoming_addressefgh
wccp_outgoing_addressefgh

abcd es la direccin de su router WCCP

efgh es la direccin que usted quisiera que sus peticiones WCCP entrar y salir
de. Si no est seguro o tiene slo una direccin IP en su cach, no especifique
estos.

Nota: No configure tanto a las directivas WCCPv1 (wccp_ *) y WCCPv2 (wccp2_ *)

opciones al mismo tiempo en su squid.conf. Squid slo soporta la configuracin de una
versin a la vez, ya sea WCCPv1 o WCCPv2. Sin configuracin, la versin sin configurar
(s) no estn habilitadas. Cosas impredecibles pueden ocurrir si configura ambos conjuntos
de opciones.
Para WCCPv2, entonces usted tendr que algo como esto:
wccp2_routerabcd
wccp2_version4
wccp2_forwarding_method1
wccp2_return_method1
wccp2_serviceestndar0
wccp2_outgoing_addressefgh

Utilice un wccp_forwarding_method y wccp2_return_method de 1 si est usando

un router y GRE / WCCP tnel, o 2 si est utilizando un conmutador de capa 3 para
hacer el reenvo.
Su wccp2_service debe establecerse en estndar 0 , que es la redireccin HTTP
estndar.
abcd es la direccin de su router WCCP
efgh es la direccin que usted quisiera que sus peticiones WCCP entrar y salir
de. Si no est seguro o tiene slo una direccin IP en su cach, no especifique
estos parmetros, ya que por lo general no son necesarios.

Ahora lo que necesita para leer sobre los detalles de la configuracin de su sistema
operativo para apoyar WCCP.

Configurando FreeBSD
FreeBSD primero necesita ser configurado para recibir y despojar a la encapsulacin GRE
de los paquetes del enrutador. Los pasos dependen de la versin del kernel.

FreeBSD 4.8 y ms tarde

El sistema operativo que viene de serie con algn apoyo GRE. Es necesario hacer un
kernel con el cdigo GRE permitido:
GREpseudodispositivo
Y a continuacin, configurar el tnel de manera que se aceptan los paquetes GRE del
router:
#Ifconfiggre0crear
#Ifconfiggre0$squid_ip$router_ipmscaradered
255.255.255.255hasta
#Ifconfiggre0tnelsquid_ip$$router_ip
#Routedelete$router_ip

Como alternativa, se puede tratar de esta manera:

gre0ifconfigcrean
ifconfiggre0$squid_ip10.20.30.40mscaradered255.255.255.255
enlace1tnelsquid_ip$$router_iphasta
Desde el tnel WCCP / GRE es unidireccional, Squid nunca enva los paquetes al
10.20.30.40 y esa direccin particular, no importa.

FreeBSD 6.x y ms tarde

FreeBSD 6.x tiene soporte GRE en el kernel por defecto. Tambin es compatible tanto
WCCPv1 y WCCPv2. Desde gre (4) pgina de manual: ".. Puesto que no hay manera
confiable de distinguir entre versiones WCCP, debe configurarse manualmente utilizando la
bandera link2 Si la bandera link2 no est configurado (por defecto), entonces se selecciona
WCCP versin 1" El resto de la configuracin es igual que lo fue en 4.8 +

Linux Standard GRE tnel

Versiones de Linux anteriores a 2.6.9 pueden necesitar ser parcheado para soportar
WCCP. Es por eso que le recomendamos que ejecute una versin reciente del kernel de
Linux, como si estuviera slo hay que modprobe mdulo para ganar su funcionalidad.
Asegrese de que el cdigo de GRE se construye ya sea esttica o como un mdulo al
escoger la opcin adecuada en la configuracin del ncleo. Luego compilamos. Si se trata
de un mdulo, necesitar:
modprobeip_gre
El siguiente paso es decirle Linux para establecer un tnel IP entre el router y el host.
tnelIPAadirwccp0modogreremoto<RouterExternalIP>locales
<HostIP>dev<interface>
ipaddradd<HostIP>/32devwccp0
conjuntodeenlacesIPwccp0hasta
o si el uso de las herramientas de la red de ms edad
iptunnelaadirelmodogrewccp0remoto<RouterExternalIP>
locales<HostIP>dev<interface>
ifconfigwccp0<HostIP>mscaradered255.255.255.255hasta
<Router-External-IP> es la direccin IP de su router Extrnal que est interceptando los
paquetes HTTP. <Host-IP> es la direccin IP de su cach y <interface> es la interfaz

de red que recibe esos paquetes (probablemente eth0 ).

Tenga en cuenta que WCCP es incompatible con la funcin rp_filter en Linux y se debe
desactivar esta si est habilitado. Si se habilita todos los paquetes redirigidos por WCCP y
interceptadas por Netfilter / iptables se silendly descartada por la pila TCP / IP debido a su
origen "inesperado" de la interfaz gre.
echo0>/proc/sys/net/ipv4/conf/wccp0/rp_filter
Y entonces usted tiene que decirle al ncleo de Linux NAT para redirigir el trfico entrante
en la interfaz wccp0 en Squid
iptablestnatAPREROUTINGiwccp0jREDIRECTredirigira3128

TProxy Intercepcin
TProxy v2.2
TProxy es una nueva caracterstica en Squid-2.6 que mejora el almacenamiento en cach
Interceptacin estndar, por lo que oculta an ms la presencia de la memoria
cach. Normalmente con Interceptacin Caching el servidor remoto ve a su motor de
cach como la fuente de la solicitud HTTP. TProxy lleva esto un paso ms all de la
clandestinidad su motor de cach para que el cliente final se ve como el origen de la
solicitud (a pesar de que realmente no lo son).
He aqu algunas notas de StevenWilton sobre cmo conseguir TProxy funciona
correctamente:
Tengo TProxy + WCCPv2 trabajar con squid 2.6. Hay algunas cosas que hay que hacer:

El ncleo e iptables necesitan ser parcheadas con las manchas tproxy (y el tproxy
archivo de inclusin tiene que ser colocado en /
usr/include/linux/netfilter_ipv4/ip_tproxy.h o include/netfilter_ipv4/ip_tproxy.h en el
rbol de fuentes calamar).
La regla de iptables necesita usar el objetivo TPROXY (en lugar del objetivo
REDIRECT) para redirigir el trfico del puerto 80 al proxy. es decir:

iptablesttproxyAPREROUTINGieth0ptcpmtcpdport80j
TPROXYenelpuerto80

El kernel debe despojar a la cabecera GRE de los paquetes de entrada (ya sea
utilizando el mdulo ip_wccp, o por tener un tnel GRE establecido en Linux que
seala en el router (no se requiere ninguna configuracin GRE en el router)).
Dos servicios WCCP se deben utilizar, una para el trfico saliente y una inversa
para el trfico de retorno a travs de Internet. Utilizamos las siguientes definiciones
WCCP en squid.conf:

wccp2_servicedinmica80
wccp2_service_info80protocol=tcpflags=prioritarias
src_ip_hash=240=80puertos

wccp2_servicedinmica90
wccp2_service_info90protocol=tcpflags=prioritarias
dst_ip_hash,ports_source=240=80puertos
Es muy recomendable que las definiciones anteriores se utilizarn para los dos servicios
WCCP, de lo contrario las cosas van a romper si usted tiene ms de un cach (en
concreto, tendr problemas cuando el nombre de un servidor web tiene mltiples
direcciones IP).

El puerto http que est redirigiendo a debe tener las opciones transparentes y
tproxy habilitados como sigue (modificar el puerto en su caso): 80 http_port tproxy
transparente
No debe ser una direccin tcp_outgoing definido. Esto tendr que ser vlida para
satisfacer cualquier conexin no tproxied.
En el router, es necesario asegurarse de que todo el trfico que va hacia / desde el
cliente sern tratados por ambas normas WCCP. La forma que tenemos

implementado esto es aplicar el servicio WCCP 80 a todo el trfico que viene de una
interfaz de cara al cliente, y el servicio WCCP 90 aplica a todo el trfico de salir de una
interfaz de cara al cliente. Tambin hemos aplicado el WCCP excluir en regla para todo el
trfico que viene desde la interfaz de proxy-frente aunque esto probablemente no suele ser
necesario si todos los cachs se han registrado para el router WCCP. es decir:
interfazGigabitEthernet0/3.100
DescripcinclientesdeADSL
dot1Qencapsulacin502
IPaddressxxxxaaaa
ipWCCP80Remitirdentro
ipWCCP90redirigiracabo
interfazGigabitEthernet0/3.101
Descripcinclientesdeaccesotelefnico
dot1Qencapsulacin502
IPaddressxxxxaaaa
ipWCCP80Remitirdentro
ipWCCP90redirigiracabo
interfazGigabitEthernet0/3.102
servidoresProxyDescripcin
dot1Qencapsulacin506
IPaddressxxxxaaaa
redireccinWCCPipexcluyeen

Es muy recomendable para convertir httpd_accel_no_pmtu_disc en el squid.conf.

La pgina de inicio para el software TProxy est en balabit.com .

TProxy v4.1 +
A partir de Squid 3.1 soporte para TProxy est estrechamente ligada al componente
netfilter de kernels de Linux. ver TProxy v4.1 Feature para los detalles actuales.

Otros Ejemplos de configuracin

Contribucin de los usuarios que tienen instalaciones de trabajo se encuentran en
el ConfigExamples / Intercepcin seccin para la mayora de los datos actuales.
Si ha logrado configurar el sistema operativo para apoyar WCCP con Squid por favor
pngase en contacto con nosotros o agregar los detalles de este wiki para que otros
puedan beneficiarse.

Completo
Por ahora, si has seguido la documentacin que debe tener un sistema de interceptacin
de almacenamiento en cach de trabajo. Verifique esto desconfigurar cualquier
configuracin de proxy en el navegador y navegar a travs de su sistema. Debera ver las
entradas que aparecen en su access.log para los sitios que va a visitar en su
navegador. Si su sistema no funciona como es de esperar, usted querr seguir leyendo
para nuestra seccin de solucin de problemas a continuacin.

Solucin de problemas y preguntas

No trabaja. Cmo puedo depurarlo?

Para empezar, las pruebas de su cach. Compruebe que ha configurado Squid con
la opcin de configure derecha - Calamar-v le dir qu opciones Squid se configura
con.
Se puede configurar manualmente el navegador para hablar con el puerto del
servidor proxy? Si no es as, lo ms probable es que tenga un problema de
configuracin de proxy.

Ha intentado descargar TODAS las reglas de firewall en la memoria cach y / o la

direccin interna de su dispositivo de red para ver si eso ayuda? Si su router o
cach estn inadvertidamente bloqueando o dejando caer ya sea el trfico de
control WCCP o el GRE, las cosas no van a funcionar.

Si est utilizando WCCP en un router o switch Cisco, el router est viendo su

cach? Utilice el comando show ip WCCP detalle de tribanda-cache

Mira en sus registros, tanto en Calamar (cache.log), y en el router / switch donde

un registro espectculo probablemente dir si se ha detectado el motor de registro
de cach.

En su cach de Squid, establezca opciones_de_depuracin ALL, 1 80,3 o

incluso para ms detalle opciones_de_depuracin ALL, 1 80,5 . La salida
de este ser en su cache.log.
En el router cisco, encienda WCCP depuracin:

lunenrutador#trmino
eventosdelrouter#debugipWCCP
EventosWCCPdepuracinesten
paquetesWCCPRouter#debugip
WCCPpaquetedeinformacindedepuracinesten

Router#
No te olvides de desactivar esta opcin despus de haber terminado la sesin de
depuracin, ya que impone un impacto en el rendimiento de su router.

Ejecute tcpdump o etreo en su interfaz de memoria cach y mirar el trfico, tratar

de averiguar lo que est pasando. Usted debe ver los paquetes UDP desde y hacia
el puerto 2048 y GRE encapsulados trfico TCP con su interior. Si usted est
viendo los mensajes sobre el "protocolo no soportado" o "protocolo no vlido",
entonces su GRE o mdulo WCCP no se carga, y su cach est rechazando el
trfico, ya que no saba qu hacer con l.
Ha configurado tanto wccp_ y opciones wccp2_? Slo debe configurar uno o el
otro y no los dos.

El problema ms comn que la gente tiene es que el router y cach estn

hablando el uno al otro y el trfico se redirige desde el router, pero el proceso
decapsulation trfico es roto o (como casi siempre es el caso) mal
configurado. Esto es a menudo un caso de su trfico de reglas de reescritura de la
memoria cach no se estn aplicando correctamente (vase la seccin 2 - Para
que tu trfico al puerto de la derecha en su cach Squid).

Ejecute el ms reciente despliegue Generales (DG) de liberacin del tren software

que tengas en tu router o switch. Rotos de IOS tambin puede resultar en la
redireccin roto. Una buena versin conocida de IOS de los routers sin aparente
rotura WCCP es 12,3 (7) T12. Hubo grandes daos a WCCP en 12.3 (8) T hasta e
incluyendo primeros 12,4 (x) versiones. 12.4 (8) se sabe que funciona bien,
siempre y cuando usted no est haciendo la inspeccin firewall IP en la interfaz
donde se encuentra la memoria cach.

Si ninguno de estos pasos di ningn pistas tiles, publicar la informacin vital que incluye
las versiones de su router, proxy, el sistema operativo, las reglas de redireccin de trfico,
la salida de depuracin y cualquier otra cosa que han tratado a la lista de correo de los
usuarios de calamar.

Por qu no puedo utilizar la autenticacin junto con el proxy de

interceptacin?
Interceptacin Proxying trabaja por tener un agente activo (el poder) donde debera haber
ninguna. El navegador no se esperaba que fuera all, y es para todos los efectos, siendo
engaados o, como mucho, confundido. Como usuario de este navegador, me requerir no
regalar las credenciales a un interlocutor inesperado, no le parece? Especialmente por lo
que cuando el agente de usuario puede hacerlo sin avisar al usuario, como los
navegadores de Microsoft pueden hacer cuando el proxy permite elegir cualquiera de los
esquemas de autenticacin Microsoft diseados como NTLM (ver .. /
ProxyAuthentication y Caractersticas / NegotiateAuthentication ).
En otras palabras, no es un error de calamar, pero la seguridad del
navegador caracterstica.

Puedo utilizar proxy_auth'''' con la intercepcin?

No, no puedes. Vea la respuesta a la pregunta anterior. Con proxy de intercepcin, el

cliente piensa que est hablando con un servidor de origen y que nunca enve
la Autorizacin proxy cabecera de la solicitud.

"Conexin restablecida por el interlocutor" y la poltica de

enrutamiento de Cisco
Fyodor ha rastreado la causa de la "conexin restablecer por pares" inusual mensajes
cuando se utiliza la poltica de enrutamiento de Cisco para secuestrar las peticiones HTTP.
Cuando el enlace de red entre el router y la cach no funciona por un momento, los
paquetes que se supone deben ser redirigidos en cambio se envan la ruta por defecto. Si
esto sucede, un ACK de TCP desde el equipo cliente puede enviar al servidor de origen,
en lugar de ser desviado a la memoria cach. El servidor de origen, al recibir un paquete
ACK inesperado, enva un RESET de TCP al cliente, que se anula la solicitud del cliente.
Para evitar este problema, puede instalar una ruta esttica a la null0 interfaz para la
direccin de memoria cach con una mtrica ms alta (baja prioridad), como 250.
Entonces, cuando el enlace se cae, paquetes del cliente slo se caen en lugar de enviarse
a la ruta por defecto. Por ejemplo, si 1.2.3.4 es la direccin IP de su cach de Squid,
puede agregar:
iproute1.2.3.4255.255.255.255Null0250
Esto parece causar el comportamiento correcto.

Para ms informacin sobre la configuracin de

Interceptacin Caching con Squid
ReubenFarrelly ha escrito una gua bastante completa pero algo incompleta de configurar
WCCP con routers de Cisco en su pgina web. Usted lo puede encontrar
en www.reub.net .
DuaneWessels ha escrito un libro de O'Reilly sobre el almacenamiento en cach Web, que
es una gua de referencia invaluable para Squid (y de hecho no Squid) administradores de
cach. Un captulo sobre la "interceptacin uso de proxy y almacenamiento en cach" de
su libro est en lnea, por lohttp://www.oreilly.com/catalog/webcaching/chapter/ch05.html .

Problemas con Hotmail

Hotmail se ha sabido para sufrir el problema de codificacin de transferencia de
HTTP/1.1. ver http://squidproxy.wordpress.com/2008/04/29/chunked-decoding/ para ms
detalles al respecto y algunas soluciones.