Cmo puedo hacer que los navegadores de mis usuarios utilizan mi cach sin tener que configurar los

navegadores para los proxy?

Contenido 1. Conceptos de Interceptacin Caching 2. Requisitos y mtodos de interceptacin Caching 3. Pasos necesarios para configurar Interceptacin Caching 1. Compilar una versin de quid que acepta cone!iones para otras direcciones 1. "a eleccin de las opciones correctas para pasar a. # Configure 2. Configurar quid para aceptar y procesar las $% cone!iones de los puertos redirigidos 2. Para que tu tr&fico al puerto de la derecha en su cach quid 1. Redireccin de paquetes Caching Interceptacin para olaris' un( y ) * sistemas 1. Instale el filtro IP 2. Configure ipnat 2. Redireccin de paquetes Caching intercepcin para (pen) * P+ 3. Consiga los paquetes de los clientes finales a su servidor de cach 1. Caching Interceptacin redireccin de paquetes con los routers Cisco utili,ando la pol-tica de enrutamiento ./( 0CCP1 1. *eficiencias del mtodo de la ruta pol-tica2mapa IP de Cisco 2. Caching Interceptacin redireccin de paquetes con interruptores +oundry "3 3. Interceptacin Caching redireccin de paquetes con un 4lcatel (mny 5itch 66%% 3. Caching Interceptacin redireccin de paquetes con productos de Ca7letron # 8ntrasys 9. Redireccin de paquetes Caching Interceptacin con 4CC :igris servidor de acceso digital 3. Protocolo de Coordinacin de 0e7 Cache 2 0CCP 1. ;4dmite quid 0CCP< 2. ;/ecesito un router cisco para funcionar 0CCP< 3. ;Puedo e=ecutar 0CCP con el puerto de 0indo5s del calamar< 3. ;*nde puedo encontrar m&s informacin so7re 0CCP< 9. oft5are del router Cisco requiere para 0CCP

1. 4poyo en I( de Cisco Routers 2. 4poyo en conmutadores Cisco I( 3. 8l soporte de soft5are de Cisco +ire5alls .PI> ( 1 3. ;?u pasa con 0CCPv2< 9. Configuracin del enrutador @. Configuracin del cach # Aost de 0CCP 1. Configuracin de quid para ha7lar 0CCP 2. Configurando +ree) * 3. +ree) * 3.$ y m&s tarde 3. +ree) * @.! y m&s tarde 9. "inu! tandard BR8 tCnel 9. :Pro!y Intercepcin 1. :Pro!y v2.2 2. :Pro!y v3.1 D @. (tros 8=emplos de configuracin 6. Completo $. olucin de pro7lemas y preguntas 1. /o tra7a=a. ;Cmo puedo depurarlo< 2. Por qu no puedo utili,ar la autenticacin =unto con el pro!y de interceptacin< 3. ;Puedo utili,ar pro!yEauthFFFF con la intercepcin< 3. GCone!in resta7lecida por el interlocutorG y la pol-tica de enrutamiento de Cisco H. Para m&s informacin so7re la configuracin de Interceptacin Caching con quid 3. Pro7lemas con Aotmail

Conceptos de Interceptacin Caching

Caching Interceptacin va 7a=o muchos nom7res 2 Interceptacin de almacenamiento en cach' el pro!y transparente' la reescritura de IR"' "2)ump y cach de redireccin. Caching Interceptacin es el proceso por el cual las cone!iones A::P procedentes de clientes remotos son redirigidos a un servidor de cach' sin su conocimiento o configuracin e!pl-cita. Aay algunas 7uenas ra,ones por las que es posi7le que desee utili,ar esta tcnicaJ

/o hay ninguna configuracin de cliente necesario.

8sta es la ra,n m&s popular para la investigacin de intercepcin de A::P 2 hay muchos programas cliente que no aplican el soporte de pro!y A::P.

/o hay cone!in pro!y " de cliente necesario. o 8sta es la ra,n m&s popular para la investigacin de intercepcin A::P 2 hay muy pocos clientes que soportan cone!iones pro!y ". 8l servidor puede estar usando el hosting virtual 7asado en IR".
o

8sta es la Cnica ra,n conocida a necesitar forma de IR" reescritura de intercepcin 2 hay dos sistemas CK populares que dependen de esta forma de manipulacin IR" para operar. Cuando la direccin IR" pC7lica es presentada por el servidor 5e7 como se necesita una re2escritor de GarreglarG el sistema del servidor 5e7 roto.

:enga en cuenta que todos los otros usos conocidos de re2escritura pueden evitarse con me=ores alternativasL

in em7argo tam7in hay desventa=as significativas para esta estrategia' como se indica por KarM 8lsenJ

Interceptar A::P rompe los est&ndares :CP # IP porque los agentes de usuario piensan que est&n ha7lando directamente al servidor de origen. Requiere IPv3 con /4: en la mayor-a de los sistemas operativos' aunque algunos ahora apoyan :PR(>N o /4: para IPv@ tam7in. Causa trayectoria K:I .PK:I*1 falle' posi7lemente haciendo algunos sitios remotos inaccesi7les. 8sto no suele ser un pro7lema si los equipos cliente se conectan a travs de 8thernet o * " PPPo4:K donde la K:I de todos los v-nculos entre la cach y el cliente es de 19%% o m&s. i los clientes se conectan a travs de * " PPPo8 entonces esto es pro7a7le que sea un pro7lema' ya que los enlaces de PPPo8 a menudo tienen una K:I reducida .1.362 es muy comCn1. 8n versiones anteriores de I8 antes de la versin @' la funcin Ctrl2reload no funcion como se espera7a. Kultiple!acin de cone!in no funciona. "os clientes conscientes del pro!y pueden enviar solicitudes de varios dominios hacia a7a=o una cone!in pro!y y el ahorro de recursos' mientras que de=ar teh Pro!y hacer mCltiples cone!iones de 7acM2end. 4l ha7lar con un cliente de origen no se les permite hacer esto y se le a7rir&n muchas cone!iones :CP por los recursos. 8sto hace que la interceptacin de pro!y para consumir m&s socMets de red que un pro!y regular. 4utenticacin del pro!y no funciona. 4utenticacin 7asada en IP por el origen falla porque los usuarios son vistos por venir de la propia direccin de IP de la interceptacin de cach. /o se puede utili,ar 7Csquedas de identidad .que son inherentemente muy inseguro de todos modos1 4RP rel descansos en la m&quina pro!y. Interceptacin de almacenamiento en cach slo es compati7le con el protocolo A::P' no Bopher' " o +:P. /o se puede configurar una redireccin en reglas

para el servidor pro!y para otros protocolos distintos de A::P desde el cliente no sa7r& qu hacer con l.

Caches Interceptar son incompati7les con el filtrado de IP diseOada para prevenir la falsificacin de direcciones. :odav-a se espera que los clientes tienen de */ de Internet completa la resolucin de las capacidades' en ciertas configuraciones de intranet # cortafuegos' esto no siempre se quer-a. 8n cuanto a arri7aJ supongamos que el navegador del usuario se conecta a un sitio que est& a7a=o. in em7argo' de7ido al pro!y transparente' se vuelve un estado conectado al interceptor. 8l usuario final puede o7tener mensa=es de error incorrectos o un navegador colgado' por ra,ones aparentemente desconocidas para ellos. Carga de */ se duplica' ya que los clientes hacen una 7Csqueda de */ ' y el pro!y de intercepcin repite. tCnel de protocolo so7re los interceptados puerto $% o 333 saltos. 0e7 ocMets conectividad no funciona. Conectividad P*N no funciona .pro!y A::P intercepcin1. "a reescritura de IR" y formas "2)ump de intercepcin por lo general no son compati7les. "2)ump genera un certificado falso servidor para que coincida con lo que presenta el servidor. i IR" reescritura altera lo que se est& en contacto con sever el cliente reci7ir& certificados equivocadas. (' en un intento de volver a escri7ir una IR" A::P para httpJJ## 2 el servidor no presentar ningCn certificado ". 4m7os se traducir& en errores visi7les de usuario.

i usted siente que las venta=as superan a los inconvenientes en su red' puede optar por seguir leyendo y ver la implementacin de Interceptacin de almacenamiento en cach.

Requisitos y mtodos de interceptacin Caching

Isted necesita tener una 7uena comprensin de lo que est& haciendo antes de empe,ar. 8sto implica entender a una capa de :CP lo que est& sucediendo a las cone!iones. 8sto le ayudar& tanto configurar el sistema y' adem&s' le ayudar& si sus clientes finales e!perimentan pro7lemas despus de ha7er implementado su solucin. In calamar actual .2.9 D1. *e7e e=ecutar la Cltima versin de quid que est& disponi7le en el momento. In sistema operativo actual puede facilitar las cosas. Kuy pro7a7lemente necesitar& un dispositivo de red que puede redirigir el tr&fico a su cach. i el cuadro de quid tam7in funciona como un router y todo el tr&fico desde y hacia la red se encuentra en el camino' puede saltarse este paso. i la cach es una ca=a independiente en un "4/ que normalmente no ver su clientes 5e7 tr&fico de navegacin' tendr& que elegir un mtodo de redirigir el tr&fico A::P desde los equipos cliente a la cach. 8sto se hace t-picamente con un dispositivo de red' como un router o s5itch de Capa 3 que' o 7ien volver a escri7ir la direccin K4C de destino o' alternativamente' encapsular el tr&fico de red a travs de un tCnel BR8 o 0CCP en la memoria cach.

/otaJ i utili,a routers y s5itches Cisco en su red puede que desee investigar el uso de 0CCP. 0CCP es una forma muy fle!i7le de redirigir el tr&fico y es lo suficientemente inteligente como para detener autom&ticamente redirigir el tr&fico del cliente si la cach se queda sin cone!in. 8sto puede implicar que la actuali,acin de su router o s5itch a una li7eracin de I( o un featureset me=orado que soporta 0CCP. Aay una seccin escrita espec-ficamente en 0CCP a continuacin.

Pasos necesarios para configurar Interceptacin Caching

"a construccin de un calamar con las opciones correctas para. # Configure para apoyar el cam7io de direccin y mane=ar los clientes correctamente. 8nrutamiento del tr&fico del puerto $% al puerto de su quid est& configurado para aceptar las cone!iones en *ecapsulating el tr&fico que su dispositivo de red env-a a quid .slo si est& utili,ando o BR8 0CCP para interceptar el tr&fico1 Configuracin del dispositivo de red para redirigir el tr&fico del puerto $%.

e requieren los dos primeros pasos y los dos Cltimos pueden o pueden no ser necesarios en funcin de cmo se va a enrutar el tr&fico A::P en la memoria cach. L 8s importante leer los comentarios completos en el archivo squid.conf y en este documento en su totalidad antes de comen,ar. (7tencin de Interceptacin de almacenamiento en cach para tra7a=ar con el calamar no es trivial y requiere de muchos su7sistemas de quid y su red para ser configurado e!actamente correcto o de lo contrario se encontrar& con que no va a funcionar y los usuarios no ser& capa, de navegar en a7soluto. Isted de7e pro7ar la configuracin en un entorno no vivo antes de dar rienda suelta a esta caracter-stica en sus usuarios finales.

Compilar una versin de Squid que acepta conexiones para otras direcciones
8n primer lugar usted necesita para construir quid con las opciones correctas a. # Configure' y entonces usted necesita para configurar squid.conf para apoyar Intercepcin Caching.

La eleccin de las opciones correctas para pasar a. Configure

:odas las versiones compati7les de quid actualmente apoyo disponi7le Interceptacin Caching' sin em7argo' para que esto funcione correctamente' tam7in es necesario configurar el sistema operativo y red. 8n algunos sistemas operativos' es necesario ha7er configurado y construido una versin de quid que puede reconocer las cone!iones secuestrados y discernir las direcciones de destino.

Para "inu! configure quid con la opcin - enable-linux-netfilter opcin. Para los sistemas 7asados en ) * P2con filtro IP configurar quid con la opcin enable-ipf-transparente opcin.

i est& utili,ando de (pen) * P+ configure quid con - enable--pf

transparente .

Aacer un make clean si ha configurado previamente y sin esa opcin' o los a=ustes correctos pueden no estar presentes. quid22.@ D y quid23.% D apoyar tanto 0CCPv1 y 0CCPv2 por defecto .a menos que desactives e!pl-citamente1.

Configurar Squid para aceptar y procesar las !" conexiones de los puertos redirigidos
:ienes que cam7iar los a=ustes de configuracin de quid para reconocer las cone!iones secuestrados y discernir las direcciones de destino. In nCmero de diferentes mtodos de interceptacin y de su configuracin espec-fica se detalla en Config8!amples # Intercepcin Beneralmente' usted puede configurar manualmente los navegadores para conectarse a la direccin IP y el puerto que ha especificado como interceptado. 8l Cnico inconveniente es que ha7r& una muy leve .y pro7a7lemente impercepti7le1 impacto en el rendimiento como syscall hecho para ver si la cone!in es interceptada. i no se encuentra el estado de intercepcin se procesa igual que una cone!in normal.

Para que tu tr#fico al puerto de la derecha en su cach Squid

Isted tiene que configurar el host de cach para aceptar los paquetes redirigidas 2 cualquier direccin IP' el puerto $% 2 y entregarlos a la aplicacin de cach. 8sto se hace normalmente con las caracter-sticas de filtrado de IP # reenv-o integrados en el Mernel.

8n "inu! 2.3 y por encima de este se llama iptables 8n +ree) * su llamada ipfw . (tros sistemas ) * puede usar el filtro IP ' ipnat o pf .

8n la mayor-a de los sistemas' puede requerir la reconstruccin del Mernel o aOadir un nuevo mdulo de Mernel. i est& e=ecutando una distri7ucin de "inu! moderno y utili,ando el proveedor Mernel suministrado usted pro7a7lemente no tendr& que hacer ninguna reconstruccin como los mdulos necesarios se ha7r&n construido de forma predeterminada.

Redireccin de paquetes Caching Interceptacin para Solaris$ Sun%S y &S' sistemas

/o es necesario utili,ar el filtro IP de +ree) *. Itilice el 7uilt2in ipfw funcin directamente. Qea la su7seccin +ree) * continuacin.

Instale el filtro IP

8n primer lugar' o7tener e instalar el paquete de filtros IP .

Configure ipnat
Ponga estas l-neas en / etc / ipnat.rules J # Redireccionar el trfico web directo al servidor web local. rdr de0 1.2.3.4/32 puerto 80 -> 1.2.3.4 puerto 80 tcp # Redireccionar todo lo dems a los calamares en el puerto 8080 rdr de0 0.0.0.0 / 0 el puerto 80 -> 1.2.3.4 puerto 8080 tcp Kodifique sus scripts de arranque para permitir ipnat . Por e=emplo' en +ree) * que se ve algo como estoJ / Sbin / modlo / lkm / if_ipl.o / Sbin / ipnat-f / etc / ipnat.rules chgrp nadie / dev / ipnat chmod 644 / dev / ipnat Bracias a ?uinton *olan .

Redireccin de paquetes Caching intercepcin para %pen&S' P(

R*espus de ha7er compilado quid con las opciones para aceptar y procesar las cone!iones de los puertos redirigidos $% enumerados anteriormente' de forma manual o con SABOR = transparente para / usr / ports / www / s ui! ' hay que agregar una regla de redireccin a P+ . / etc / pf.conf 1. 8n el e=emplo siguiente'S"# es la interfa, en la que el tr&fico que usted desea de forma transparente redireccionado llegar&J i = "SK0" rdr en $ i inet proto tcp de cualquier a cualquier puerto 80 -> $ i el puerto 3128 transmito $ i inet proto tcp desde $ i: Red de $ i el puerto 3128 (' dependiendo de qu tan reciente su implementacin de P+ esJ i = "SK0" rdr transmitir $ i inet proto tcp a cualquier puerto 80 -> $ i el puerto 3128 4simismo' consulte la p&gina de *aniel Aartmeier so7re el tema.

Consiga los paquetes de los clientes finales a su servidor de cach

Aay varias maneras de hacer esto. 8n primer lugar' si su m&quina de pro!y ya est& en el camino de los paquetes .es decir' est& de enrutamiento entre los usuarios de pro!y e Internet1' entonces usted no tiene que preocuparse por este paso como la interceptacin Caching ahora de7er-a estar tra7a=ando. 8sto ser-a cierto si instala quid en una m&quina de servidor de seguridad o en un router 7asado en I/I>. i la cach no est& en la ruta de acceso natural de las cone!iones' entonces usted tiene que desviar los paquetes de la ruta normal a su host de cach mediante un router o s5itch. i utili,a un dispositivo e!terno para dirigir el tr&fico a su cach' hay varias formas de hacer esto. Isted puede ser capa, de hacer esto con un router Cisco mediante 0CCP' o la funcin de Gho=a de rutaG. :am7in puede utili,ar una capa23 encienda la llamada' como el 4C82director 4lteon o el +oundry /et5orMs erverIron. Por Cltimo' es posi7le que pueda utili,ar un tipo de router # equili7rador de carga producto independiente' o capacidades de enrutamiento de un servidor de acceso.

Caching Interceptacin redireccin de paquetes con los routers Cisco utili)ando la pol*tica de enrutamiento +,% -CCP.
por Sohn aunders 8sto funciona con un m-nimo de I( 11.1 y posteriores. i el router est& haciendo nada m&s complicado que los paquetes 7ara=ar entre una interfa, 8thernet y un puerto serial o puerto )RI' entonces usted de7e tra7a=ar a travs de si esto funcionar& para usted. 8n primer lugar definir una ho=a de ruta con un nom7re de pro!y redireccionamiento .nom7re no importa1 y especifique el siguiente salto a ser la m&quina quid se e=ecuta en. ! route-map permiso de proxy redireccionamiento 10 IP address partido 110 SET IP del siguiente salto 203.24.133.2 ! *efinir una lista de acceso a las peticiones A::P de trampa. "a segunda l-nea permite el acceso directo de acogida quid por lo que no se forma un 7ucle de enrutamiento. 4l escri7ir cuidadosamente su lista de acceso como mostraremos a continuacin' los casos m&s comunes se encuentran r&pidamente' lo que puede reducir en gran medida la carga en el procesador de su router. ! access-list 110 tcp negar cualquier cualquier neq www access-list 110 tcp negar acogida 203.24.133.2 cualquier access-list 110 tcp cualquier permiso de cualquier ! 4plicar la ho=a de ruta para la interfa, ethernet. !

interfaz FastEthernet0 / 0 poltica ip route-map proxy redireccionamiento !

'eficiencias del mtodo de la ruta pol*tica/mapa IP de Cisco

)ruce Korgan seOala que hay un error de Cisco en relacin con el pro!y de intercepcin mediante mapas de ruta pol-tica de propiedad intelectual' que causa /+ y otras aplicaciones de romper. 4l parecer hay dos informes de errores planteados en Cisco' pero no est&n disponi7les para su difusin pC7lica. 8l pro7lema se produce con los paquetes o # s con m&s de 1362 7ytes de datos. i intenta hacer ping a un host con m&s de 1362 7ytes de datos a travs de una interfa, de Cisco' con las listas de acceso y la pol-tica ip mapa de rutas' la peticin ICKP fallar&. 8l paquete se fragmenta' y el primer fragmento se comprue7a con la lista de acceso y recha,ado 2 va el Gcamino normalG' ya que es un paquete ICKP 2 sin em7argo' cuando el segundo fragmento se comprue7a con la lista de acceso se acepta . no se mira como un paquete ICKP1' y se va a la accin determinada por el mapa de rutas pol-ticaL Sohn seOala que es posi7le que pueda conseguir evitar este error al escri7ir cuidadosamente sus listas de acceso. i la regla de Cltima # default es permitir entonces este error ser-a un pro7lema' pero si la norma Cltima # default era negar entonces no va a ser un pro7lema. upongo fragmentos' e!cepto el primero' no cuentan con la informacin de que disponga adecuadamente de ruta pol-tica de ellos. /ormalmente los paquetes :CP no de7en ser fragmentados' por lo menos mi red funciona una K:I de 19%% de todo el mundo para evitar la fragmentacin. 4s- que esto afectar-a slo el tr&fico I*P e ICKP. )&sicamente' usted tendr& que elegir entre vivir con la 7ug o un me=or rendimiento. 8ste con=unto tiene un me=or rendimiento' pero adolece del errorJ access-list 110 tcp negar cualquier cualquier neq www access-list 110 tcp negar acogida 10.1.2.3 cualquier access-list 110 tcp cualquier permiso de cualquier Por el contrario' este con=unto tiene un peor rendimiento' sino que tra7a=a para todos los protocolosJ access-list 110 tcp negar acogida 10.1.2.3 cualquier access-list 110 tcp cualquier permiso de cualquier eq www access-list 110 tcp negar cualquier cualquier

Caching Interceptacin redireccin de paquetes con interruptores (oundry L0

por al shreve punto net )rian +eeny . 8n primer lugar' configurar quid para el almacenamiento en cach de intercepcin como se detalla en el principio de esta seccin .

4 continuacin' configure el conmutador +oundry capa 3 de redirigir el tr&fico a su ca=a o ca=as de quid. Por defecto' el +oundry redirige al puerto $% de su ca=a de calamar. 8sto se puede cam7iar a un puerto diferente si es necesario' pero no ser& cu7ierto aqu-. 4dem&s' el interruptor hace un GchequeoG del puerto para verificar que el calamar est& contestando. i el calamar no contesta' los valores predeterminados del conmutador para enviar el tr&fico directamente a travs en ve, de redireccionarlo. Cuando el calamar vuelve a su7ir' comien,a redirigir una ve, m&s. 8n este e=emplo se supone que tiene dos caches squidJ squid1.foo.com 192.168.1.10 squid2.foo.com 192.168.1.11 Qamos a suponer que usted tiene varias estaciones de tra7a=o' clientes' etc' conectados al conmutador para el que desea que sean interceptados y enviados a quid. 8l calamar cachea mismos de7en ser conectados en el conmutador tam7in. lo la interfa, que el router est& conectado a es importante. Cuando usted pone los cachs de calamar o ther cone!iones no importa. 8n este e=emplo se asume que su router est& conectado a la interfa, 12 de conmutador. i no es as-' a=uste los siguientes comandos en consecuencia.

8ntre en el modo de configuracinJ

telnet @ ServerIron # conf t

Configure cada calamar de la tipograf-aJ

telnet @ ServerIron (config) # servidor de cach de nombres squid1 192.168.1.10 telnet @ ServerIron (config) # servidor de cach de nombres squid2 192.168.1.11

4Oadir los calamares a un grupo de cachJ

telnet @ ServerIron (config) # servidor de cach del grupo 1 telnet @ ServerIron (config-tc-1) # cach de nombres squid1 telnet @ ServerIron (config-tc-1) # cach de nombres squid2

Crear una pol-tica de la memoria cach A::P en un puerto local

telnet @ ServerIron (config) # ip poltica de cach 1 tcp http locales

Aa7ilitar esta pol-tica en el puerto conectado a su router

telnet @ ServerIron (config) # int e 17 telnet @ ServerIron (config-if-17) # ip-poltica 1

*ado que todo el tr&fico de salida a Internet se apaga la interfa, $% .el router1' y la interfa, $% tiene la directiva de cach que se le aplica' el tr&fico A::P va a ser interceptada y redirige a los cachs que haya configurado. 8l puerto por defecto para redirigir a se puede cam7iar. 8l algoritmo de equili7rio de carga utili,ado se puede cam7iar .Kenor de ocasin' Ronda Ro7in' etc1. "os puertos pueden estar e!entos de almacenamiento en cach si es necesario. "istas de acceso se pueden aplicar para que slo determinadas direcciones IP de origen se redirigen' etc 8sta informacin ha quedado fuera de este documento' ya que esto era slo un ho5to r&pida que se aplicar-a para la mayor-a de la gente' no pretende ser un manual completo de cmo configurar un conmutador +oundry. in em7argo' puedo revisar esto con toda la informacin necesaria si la gente siente que de7er-a ser incluido.

Interceptacin Caching redireccin de paquetes con un 3lcatel %mnyS4itch 22""

por Pedro Q&,que, 4K 8n el interruptor de definir un grupo de red para ser interceptadoJ grupo de la red poltica MiGrupo 10.1.1.0 mask 255.255.255.0 *efinir los servicios tcp ser interceptadosJ servicio de la poltica de destino web80 puerto tcp 80 servicio de la poltica de destino web8080 tcp puerto 8080 *efinir un con=unto de servicios que utili,an los servicios anteriormenteJ grupo de servicio de la poltica webports web80 web8080 N el uso de estos para crear una condicin de interseccinJ grupo de red de fuente WebFlow condicin poltica webports grupo de servicios MiGrupo 4hora 7ien' definir una accin para redirigir el tr&fico hacia el host que e=ecuta el calamarJ accin poltica Redir alternativo gateway IP 10.1.2.3 +inalmente' cree una regla con esta condicin y la accin correspondienteJ Regla de poltica de accin WebFlow condiciones Intercepcin Redir 4plicar las reglas para el sistema de calidad de servicio para hacerlos efectivos

aplican qos /o olvide que usted todav-a tiene que configurar el sistema operativo y quid quid para mane=ar las cone!iones interceptados. Qer arri7a para quid y los detalles espec-ficos de ( .

Caching Interceptacin redireccin de paquetes con productos de Ca5letron 6ntrasys

Por *ave 0intrip' dave en purevanity punto net' 3 de =unio de 2%%3. Ae compro7ado esta configuracin como tra7a=ar en un Ca7letron inteligenteInterruptorRouter 2%%%' y que de7er-a funcionar en cualquier producto conscientes capa23 Ca7letron o 8ntrasys. Primero de7e configurar quid para permitir el almacenamiento en cach de intercepcin' se indic anteriormente. 4 continuacin' asegCrese de que dispone de conectividad del dispositivo de capa23 a su casilla de calamar' calamar y que est& correctamente configurado para interceptar puerto $% peticiones tirado su camino. 8n general' puedo crear dos con=untos de 4C" de redireccionamiento' una para la memoria cach' y otro para pasar por el cach. 8ste mtodo de intercepcin es muy similar a la ruta2mapa de Cisco. Inicie sesin en el dispositivo y acceder al modo de ha7ilitar' as- como el modo de configuracin. ssr> es Contrasea: ssr # conf ssr (conf) # 8n general' puedo crear dos con=untos de 4C" de redireccionamiento' una para especificar quin cach' y otro para las direcciones de destino que hay que pasar por alto el cach. 8ste mtodo de intercepcin es muy similar a la ruta2mapa de Cisco de esta manera. "a 4C" cach sin saltos es una lista de direcciones de destino que no queremos volver a dirigir de forma transparente a los calamares. ssr (conf) # acl cache-skip tcp cualquier permiso 192.168.1.100/255.255.255.255 cualquier http "a 4C" cache2permite una lista de direcciones de origen que ser& redirigido a quid. ssr (conf) # cache-acl permitir tcp permiso 10.0.22.0/255.255.255.0 any any http

Buarde sus nuevas 4C" para la configuracin en e=ecucin. ssr (conf) # ahorrar 4 continuacin' tenemos que crear las ip2pol-ticas que tra7a=ar&n para llevar a ca7o la redireccin. Por favor' tenga en cuenta que 1%.%.23.2 es mi servidor quid' y que 1%.%.23.1 es mi est&ndar por defecto del siguiente salto. Pulsando el cach2sMip 4C" a la puerta de enlace predeterminada' la solicitud 5e7 se env-a como si el cuadro de calamares no esta7a presente. 8sto podr-a ser igual de f&cil hacer usando la configuracin de calamar' pero preferir-a quid /o toque los datos si no tiene ninguna ra,n para hacerlo. ssr (conf) # ip-cache policy-permite acl permiso de cache-permitenica poltica de salto siguiente lista 10.0.23.2 accin ssr (conf) # ip-cache policy-skip acl permiso de cache-skip nexthop-list-nica poltica 10.0.24.1 accin 4plicar estas nuevas pol-ticas en la configuracin activa. ssr (conf) # ahorrar 4hora tenemos que aplicar las ip2pol-ticas a las interfaces que queremos almacenar en cach peticiones desde. uponiendo que localnet2g5 es el nom7re de la interfa, a la red que queremos almacenar en cach las solicitudes de' primero aplicamos la 4C" cache2 sMip para interceptar peticiones en nuestra lista de tareas pendientes2no2cache' y las remitir& a la puerta de enlace predeterminada. 4 continuacin' aplicamos la cach 4C" permitir a la misma interfa, para redirigir todas las otras peticiones al servidor de cach. ssr (conf) # ip-cache policy-skip aplicar interfaz localnet gw ssr (conf) # ip-cache policy-permitir aplicar interfaz localnet gw 4hora tenemos que aplicar y guardar los cam7ios permanentemente. /ada de lo que hemos hecho antes de este punto afectar-a nada sin la adicin de las aplicaciones IP2 pol-ticas en la configuracin activa' por lo que permite pro7arlo. ssr (conf) # ahorrar ssr (conf) # salvar s iempre y cuando su cuadro de quid es correcta configurado' ahora de7er-a ser capa, de navegar' y ser almacenado en cach transparente si est& utili,ando la direccin2localnet g5 como su puerta de enlace. 4lgunos productos Ca7letron # 8ntrasys incluyen otro mtodo de aplicacin de una cach 0e7' pero los detalles so7re la configuracin que no est prevista en el presente documento' sin em7argo es lo 7astante sencillo. :am7in tenga en cuenta' que si el cuadro de quid est& conectado directamente a un puerto del s5itch de capa23' y que el puerto es parte de su propia Q"4/' y su propia su7red' si ese puerto fuera a cam7iar los estados para a7a=o' o la direccin se convierte en

uncontacta7le' entonces el interruptor se anular& autom&ticamente las ip2pol-ticas y remitir su peticin de 5e7' aunque los medios normales. 8sto es Ctil' podr-a aOadir.

Redireccin de paquetes Caching Interceptacin con 3CC 7igris servidor de acceso digital
por Sohn aunders 8sto tiene que ver con la configuracin de pro!y de intercepcin para un servidor de acceso digital 4CC :igris .como un CI C( 92%%#93%% o un 4scend K4> 3%%%1.Ae descu7ierto que haciendo esto en el /4 reduce el tr&fico en la "4/ y reduce la carga de procesamiento en el CI C(. 8l :igris tiene amplio CPI para el filtrado. Paso 1 es crear filtros que permiten que el tr&fico local para pasar. 4gregue los que sean necesarios para todas sus rangos de direcciones. Agregar filtro IP PERFIL local1 ENTRADA ENTRADA 10.0.3.0 255.255.255.0 0.0.0.0 0.0.0.0 NORMAL Agregar filtro IP PERFIL local2 ENTRADA ENTRADA 10.0.4.0 255.255.255.0 0.0.0.0 0.0.0.0 NORMAL Paso 2 es para crear un filtro para atrapar tr&fico del puerto $%. Agregar filtro IP PERFIL http ENTRADA ENTRADA 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 = 0x6 D = 80 NORMAL Paso 3 es esta7lecer la G4PP"IC4:I(/EI*G en el puerto de tr&fico $% a $%. 8sto hace que todos los paquetes que coincidan con este filtro para tener I* $% en lugar del I* predeterminado de %. FILTRO IP SET PROFILE APPLICATION_ID http 80 8l paso 3 es para crear una ruta especial que se utili,a para los paquetes con G4PP"IC4:I(/EI*G esta7lecidos a $%. 8l motor de enrutamiento usa el I* para seleccionar qu rutas utili,an. AADIR ENTRADA RUTA IP 0.0.0.0 0.0.0.0 PROXY-IP 1 SET IP RUTA APPLICATION_ID 0.0.0.0 0.0.0.0 PROXY-IP 80 Paso 9 es unir todo a un filtro llamado I* transpro!y. 8numerar todos los filtros locales primero y el http Cltima. Aadir perfil ENTRADA transproxy local1 local2 http Con esto en lugar de utili,ar el servidor R4*II para devolver el G+ramed2+ilter2Id T transpro!yG par clave # valor a la /4 .

Isted puede compro7ar si se est& asignando el filtro a inicios de sesin con el siguiente comandoJ mostrar tabla de puertos perfil

Protocolo de Coordinacin de -e5 Cache / -CCP

Cola7oradoresJ Blenn Chisholm ' "incoln *ale y Reu7en+arrelly . 0CCP es una manera muy comCn y de hecho una 7uena de hacer Interceptacin Caching' ya que aOade caracter-sticas y de inteligencia adicionales para el proceso de redireccionamiento del tr&fico. 0CCP es un servicio din&mico en el que un motor de cach se comunica a un router so7re su estatus' y se 7asa en que el router decide si o no para redirigir el tr&fico. 8sto significa que si la cach no est& disponi7le' el router autom&ticamente de=ar& de intentar reenviar el tr&fico a la misma y los usuarios finales no se ver&n afectados .y pro7a7lemente ni siquiera note que la memoria cach est& fuera de servicio1. 0CCPv1 est& documentado en el proyecto Internet 2proyecto forster2*emol20CCP2v12 %%.t!t y 0CCPv2 est& documentado en el proyecto25ilson2*emol 0CCP2v22%%.t!t . Para 0CCP funcione' en primer lugar' de7er& configurar su cach quid' y' adem&s' configurar el sistema operativo anfitrin para redirigir el tr&fico A::P del puerto $% a cualquier puerto de su cuadro de quid est& escuchando el tr&fico en. Ina ve, hecho esto' entonces puede proceder a configurar 0CCP en el router.

83dmite Squid -CCP9

Protocolo de Coordinacin de cach 0e7 Q1.% de Cisco y 0CCPv2 se apoyaron en todas las versiones actuales de quid.

8,ecesito un router cisco para funcionar -CCP9

/o. (riginalmente apoyo 0CCP slo se pod-a encontrar en los dispositivos de Cisco' pero algunos otros proveedores de la red ahora son compati7les con 0CCP tam7in. i usted tiene alguna informacin so7re cmo configurar dispositivos no2cisco' por favor' puesto esto aqu-.

8Puedo e:ecutar -CCP con el puerto de -indo4s del calamar9

:cnicamente es posi7le' pero no hemos o-do ha7lar de alguien hacerlo. "a forma m&s f&cil ser-a utili,ar un conmutador de capa 3 y haciendo "ayer 2 K4C reescritura para enviar el tr&fico a su cach. i est& utili,ando un router' entonces tendr& que encontrar una manera de decapsulate el tr&fico BR8 # 0CCP que el router env-a a su cach de 0indo5s .esto es una funcin de su (' no quid1.

8'nde puedo encontrar m#s informacin so5re -CCP9

Cisco tiene un 7uen contenido en su sitio 5e7 acerca de 0CCP. Ino de los me=ores documentos que enumera las caracter-sticas y descri7e cmo configurar 0CCP en sus routers se pueden encontrar en la p&gina 5e7 e!iste aqu- . :am7in hay un documento m&s tcnico que descri7e el formato de los paquetes de 0CCP en Colasoft

Soft4are del router Cisco requiere para -CCP

8sto depende de si est& e=ecutando un s5itch o un router.

3poyo en I%S de Cisco Routers

Casi todos los routers Cisco soportan 0CCP siempre est& e=ecutando I( versin 12.% o superior' sin em7argo' algunos routers que e=ecutan soft5are anterior requieren una actuali,acin a sus con=untos de caracter-sticas de soft5are a un featureset FP"I F o me=or. 0CCPv2 se admite en casi todos los routers en versiones ip7ase recientes. Cisco +eature /avigator en httpJ##555.cisco.com#go#fn dirige una lista actuali,ada de las cuales las plataformas soportan 0CCPv2. 8n general' usted de7e e=ecutar la Cltima serie de actuali,aciones de I( del router que se puede. /o se recomienda e=ecutar : o de la rama comunicados a menos que plenamente los ha pro7ado en un entorno de prue7a antes de la implementacin como 0CCP requiere muchas partes del I( para funcionar de forma fia7le."os Cltimos de la l-nea principal de 12'1' 12'2' 12'3 y 12'3 comunicados son generalmente las me=ores para su uso y de7en ser el m&s li7re de pro7lemas. :enga en cuenta que tendr& que configurar un tCnel BR8 o 0CCP en su cach para decapsulate los paquetes de su router env-a a la misma.

3poyo en conmutadores Cisco I%S

*e gama alta de Cisco s5itches soportan "ayer 2 0CCPv2' lo que significa que en lugar de un transporte tCnel BR8' las tramas 8thernet tienen su pr!ima direccin K4C hop # destino reescrito a la de su motor de cach. 8ste es mucho m&s r&pida para procesar por el hard5are que el mtodo router # BR8 de redireccin' y de hecho en algunas plataformas' como el @9%%s puede ser la Cnica manera 0CCP se puede configurar. Redireccin "2 es supuestamente capa, de redirigir m&s de 3% millones de PP en el e!tremo superior @9%% up tar=etas. "os s5itches de Cisco se sa7e que son capaces de hacer 0CCPv2 incluyen el Catalyst 399% .0CCP muy 7&sico solamente1' Catalyst 39%%2 IP2 y superiores' y todos los modelos del @%%%#@9%%. :enga en cuenta que el catali,ador 2H%%' 39@%' 369% y 3%%% primeros upervisores no apoyan 0CCP .en a7soluto1. "ayer 2 0CCP es una caracter-stica 0CCPv2 y no e!iste en la implementacin 0CCPv1 de cisco.

0CCPv2 "ayer 2 redireccin se aOadi en 12.18 y 12.2 . iempre es recomenda7le leer las notas de lan,amiento para la versin de soft5are que se e=ecuta en su interruptor antes de implementar 0CCP.

6l soporte de soft4are de Cisco (ire4alls +PI; %S.

Qersin 6.2 .11 del soft5are PI> de Cisco ahora tam7in soporta 0CCP' que le permite hacer 0CCP redireccionamiento con este aparato en lugar de tener que disponer de un router hacer la redireccin. 6'2 .11 ha sido pro7ado y verificado el funcionamiento con quid22.@.

8<u pasa con -CCPv=9

0CCPv2 es una nueva caracter-stica a quid22.@ y quid23.% . 0CCPv2 configuracin es similar a la configuracin 0CCPv1. "as directivas en squid.conf son un poco diferentes' pero est&n 7ien documentados dentro de ese archivo. Configuracin del router para 0CCPv2 es idntica' e!cepto que no se de7e o7ligar al router para utili,ar 0CCPv1 .el valor predeterminado es 0CCPv2 a menos que usted le indique lo contrario1.

Configuracin del enrutador

Aay dos mtodos diferentes para configurar 0CCP en los routers Cisco. 8l primer mtodo es para los routers que slo soportan Q1.% del protocolo. 8l segundo es para los routers que soportan am7os.

Configuracin del cach >ost de -CCP

Aay dos partes en este. 8n primer lugar es necesario configurar quid para ha7lar 0CCP' y' adem&s' tendr& que configurar el sistema operativo para decapsulate el tr&fico 0CCP ya que viene desde el router.

Configuracin de Squid para ha5lar -CCP

"as directivas de configuracin de este est&n 7ien documentados en squid.conf. Para 0CCPv1' necesita estas directivasJ wccp_router abcd wccp_version 4 wccp_incoming_address efgh wccp_outgoing_address efgh

a7cd es la direccin de su router 0CCP efgh es la direccin que usted quisiera que sus peticiones 0CCP entrar y salir de. i no est& seguro o tiene slo una direccin IP en su cach' no especifique estos.

/otaJ /o configure tanto a las directivas 0CCPv1 .5ccpE P1 y 0CCPv2 .5ccp2E P1 opciones al mismo tiempo en su squid.conf. quid slo soporta la configuracin de una versin a la ve,' ya sea 0CCPv1 o 0CCPv2. in configuracin' la versin sin configurar .s1 no est&n ha7ilitadas. Cosas impredeci7les pueden ocurrir si configura am7os con=untos de opciones. Para 0CCPv2' entonces usted tendr& que algo como estoJ wccp2_router abcd wccp2_version 4 wccp2_forwarding_method 1 wccp2_return_method 1 wccp2_service estndar 0 wccp2_outgoing_address efgh

Itilice un 5ccpEfor5ardingEmethod y 5ccp2EreturnEmethod de 1 si est& usando un router y BR8 # 0CCP tCnel' o = si est& utili,ando un conmutador de capa 3 para hacer el reenv-o. u 5ccp2Eservice de7e esta7lecerse en est#ndar " ' que es la redireccin A::P est&ndar. a7cd es la direccin de su router 0CCP efgh es la direccin que usted quisiera que sus peticiones 0CCP entrar y salir de. i no est& seguro o tiene slo una direccin IP en su cach' no especifique estos par&metros' ya que por lo general no son necesarios.

4hora lo que necesita para leer so7re los detalles de la configuracin de su sistema operativo para apoyar 0CCP.

Configurando (ree&S'
+ree) * primero necesita ser configurado para reci7ir y despo=ar a la encapsulacin BR8 de los paquetes del enrutador. "os pasos dependen de la versin del Mernel.

(ree&S' 0.! y m#s tarde

8l sistema operativo que viene de serie con algCn apoyo BR8. 8s necesario hacer un Mernel con el cdigo BR8 permitidoJ GRE pseudo-dispositivo N a continuacin' configurar el tCnel de manera que se aceptan los paquetes BR8 del routerJ # Ifconfig gre0 crear # Ifconfig gre0 $ squid_ip $ router_ip mscara de red 255.255.255.255 hasta # Ifconfig gre0 tnel squid_ip $ $ router_ip # Route delete $ router_ip

Como alternativa' se puede tratar de esta maneraJ gre0 ifconfig crean ifconfig gre0 $ squid_ip 10.20.30.40 mscara de red 255.255.255.255 enlace1 tnel squid_ip $ $ router_ip hasta *esde el tCnel 0CCP # BR8 es unidireccional' quid nunca env-a los paquetes al 1%.2%.3%.3% y esa direccin particular' no importa.

(ree&S' ?.x y m#s tarde

+ree) * @.! tiene soporte BR8 en el Mernel por defecto. :am7in es compati7le tanto 0CCPv1 y 0CCPv2. *esde gre .31 p&gina de manualJ G.. Puesto que no hay manera confia7le de distinguir entre versiones 0CCP' de7e configurarse manualmente utili,ando la 7andera linM2 i la 7andera linM2 no est& configurado .por defecto1' entonces se selecciona 0CCP versin 1G 8l resto de la configuracin es igual que lo fue en 3.$ D

Linux Standard @R6 tAnel

Qersiones de "inu! anteriores a 2.@.H pueden necesitar ser parcheado para soportar 0CCP. 8s por eso que le recomendamos que e=ecute una versin reciente del Mernel de "inu!' como si estuviera slo hay que modpro7e mdulo para ganar su funcionalidad. 4segCrese de que el cdigo de BR8 se construye ya sea est&tica o como un mdulo al escoger la opcin adecuada en la configuracin del nCcleo. "uego compilamos. i se trata de un mdulo' necesitar&J modprobe ip_gre 8l siguiente paso es decirle "inu! para esta7lecer un tCnel IP entre el router y el host. tnel IP Aadir wccp0 modo gre remoto <Router-External-IP> locales <Host-IP> dev <interface> ip addr add <Host-IP> / 32 dev wccp0 conjunto de enlaces IP wccp0 hasta o si el uso de las herramientas de la red de m&s edad iptunnel aadir el modo gre wccp0 remoto <Router-External-IP> locales <Host-IP> dev <interface> ifconfig wccp0 <Host-IP> mscara de red 255.255.255.255 hasta
&Router-'xternal-IP( es la direccin IP de su router 8!trnal que est& interceptando los paquetes A::P. &)ost-IP( es la direccin IP de su cach y &interface( es la interfa,

de red que reci7e esos paquetes .pro7a7lemente eth% 1.

:enga en cuenta que 0CCP es incompati7le con la funcin rpEfilter en "inu! y se de7e desactivar esta si est& ha7ilitado. i se ha7ilita todos los paquetes redirigidos por 0CCP y interceptadas por /etfilter # ipta7les se silendly descartada por la pila :CP # IP de7ido a su origen GinesperadoG de la interfa, gre. echo 0> / proc/sys/net/ipv4/conf/wccp0/rp_filter N entonces usted tiene que decirle al nCcleo de "inu! /4: para redirigir el tr&fico entrante en la interfa, 5ccp% en quid iptables-t nat-A PREROUTING-i wccp0-j REDIRECT - redirigir a 3128

7Proxy Intercepcin
7Proxy v=.=
:Pro!y es una nueva caracter-stica en quid22.@ que me=ora el almacenamiento en cach Interceptacin est&ndar' por lo que oculta aCn m&s la presencia de la memoria cach. /ormalmente con Interceptacin Caching el servidor remoto ve a su motor de cach como la fuente de la solicitud A::P. :Pro!y lleva esto un paso m&s all& de la clandestinidad su motor de cach para que el cliente final se ve como el origen de la solicitud .a pesar de que realmente no lo son1. Ae aqu- algunas notas de teven0ilton so7re cmo conseguir :Pro!y funciona correctamenteJ :engo :Pro!y D 0CCPv2 tra7a=ar con squid 2.@. Aay algunas cosas que hay que hacerJ

8l nCcleo e ipta7les necesitan ser parcheadas con las manchas tpro!y .y el tpro!y archivo de inclusin tiene que ser colocado en # usr#include#linu!#netfilterEipv3#ipEtpro!y.h o include#netfilterEipv3#ipEtpro!y.h en el &r7ol de fuentes calamar1. "a regla de ipta7les necesita usar el o7=etivo :PR(>N .en lugar del o7=etivo R8*IR8C:1 para redirigir el tr&fico del puerto $% al pro!y. es decirJ

iptables-t tproxy-A PREROUTING-i eth0-p tcp-m tcp - dport 80-j TPROXY - en el puerto 80

8l Mernel de7e despo=ar a la ca7ecera BR8 de los paquetes de entrada .ya sea utili,ando el mdulo ipE5ccp' o por tener un tCnel BR8 esta7lecido en "inu! que seOala en el router .no se requiere ninguna configuracin BR8 en el router11. *os servicios 0CCP se de7en utili,ar' una para el tr&fico saliente y una inversa para el tr&fico de retorno a travs de Internet. Itili,amos las siguientes definiciones 0CCP en squid.confJ

wccp2_service dinmica 80 wccp2_service_info 80 protocol = tcp flags = prioritarias src_ip_hash = 240 = 80 puertos

wccp2_service dinmica 90 wccp2_service_info 90 protocol = tcp flags = prioritarias dst_ip_hash, ports_source = 240 = 80 puertos 8s muy recomenda7le que las definiciones anteriores se utili,ar&n para los dos servicios 0CCP' de lo contrario las cosas van a romper si usted tiene m&s de un cach .en concreto' tendr& pro7lemas cuando el nom7re de un servidor 5e7 tiene mCltiples direcciones IP1.

8l puerto http que est& redirigiendo a de7e tener las opciones transparentes y tpro!y ha7ilitados como sigue .modificar el puerto en su caso1J $% httpEport tpro!y transparente /o de5e ser una direccin tcpEoutgoing definido. 8sto tendr& que ser v&lida para satisfacer cualquier cone!in no tpro!ied. 8n el router' es necesario asegurarse de que todo el tr&fico que va hacia # desde el cliente ser&n tratados por am5as normas 0CCP. "a forma que tenemos

implementado esto es aplicar el servicio 0CCP $% a todo el tr&fico que viene de una interfa, de cara al cliente' y el servicio 0CCP H% aplica a todo el tr&fico de salir de una interfa, de cara al cliente. :am7in hemos aplicado el 0CCP excluir en regla para todo el tr&fico que viene desde la interfa, de pro!y2frente aunque esto pro7a7lemente no suele ser necesario si todos los cachs se han registrado para el router 0CCP. es decirJ interfaz GigabitEthernet0/3.100 Descripcin clientes de ADSL dot1Q encapsulacin 502 IP address xxxx aaaa ip WCCP 80 Remitir dentro ip WCCP 90 redirigir a cabo interfaz GigabitEthernet0/3.101 Descripcin clientes de acceso telefnico dot1Q encapsulacin 502 IP address xxxx aaaa ip WCCP 80 Remitir dentro ip WCCP 90 redirigir a cabo interfaz GigabitEthernet0/3.102 servidores Proxy Descripcin dot1Q encapsulacin 506 IP address xxxx aaaa redireccin WCCP ip excluye en

8s muy recomenda7le para convertir httpdEaccelEnoEpmtuEdisc en el squid.conf.

"a p&gina de inicio para el soft5are :Pro!y est& en 7ala7it.com .

7Proxy v0.1 B
4 partir de quid 3.1 soporte para :Pro!y est& estrechamente ligada al componente netfilter de Mernels de "inu!. ver :Pro!y v3.1 +eature para los detalles actuales.

%tros 6:emplos de configuracin

Contri7ucin de los usuarios que tienen instalaciones de tra7a=o se encuentran en el Config8!amples # Intercepcin seccin para la mayor-a de los datos actuales. i ha logrado configurar el sistema operativo para apoyar 0CCP con quid por favor pngase en contacto con nosotros o agregar los detalles de este 5iMi para que otros puedan 7eneficiarse.

Completo
Por ahora' si has seguido la documentacin que de7e tener un sistema de interceptacin de almacenamiento en cach de tra7a=o. Qerifique esto desconfigurar cualquier configuracin de pro!y en el navegador y navegar a travs de su sistema. *e7er-a ver las entradas que aparecen en su access.log para los sitios que va a visitar en su navegador. i su sistema no funciona como es de esperar' usted querr& seguir leyendo para nuestra seccin de solucin de pro7lemas a continuacin.

Solucin de pro5lemas y preguntas

,o tra5a:a. 8Cmo puedo depurarlo9

Para empe,ar' las prue7as de su cach. Comprue7e que ha configurado quid con la opcin de configure derecha 2 Calamar2v le dir& qu opciones quid se configura con. ; e puede configurar manualmente el navegador para ha7lar con el puerto del servidor pro!y< i no es as-' lo m&s pro7a7le es que tenga un pro7lema de configuracin de pro!y. ;Aa intentado descargar :(*4 las reglas de fire5all en la memoria cach y # o la direccin interna de su dispositivo de red para ver si eso ayuda< i su router o cach est&n inadvertidamente 7loqueando o de=ando caer ya sea el tr&fico de control 0CCP o el BR8' las cosas no van a funcionar. i est& utili,ando 0CCP en un router o s5itch Cisco' el router est& viendo su cach< Itilice el comando sho5 ip 0CCP detalle de tri7anda2cache Kira en sus registros' tanto en Calamar .cache.log1' y en el router # s5itch donde un registro espect&culo pro7a7lemente dir& si se ha detectado el motor de registro de cach. 8n su cach de quid' esta7le,ca opciones*!e*!epuracin A++, $ -#,. o incluso para m&s detalle opciones*!e*!epuracin A++, $ -#,/ . "a salida de este ser& en su cache.log. 8n el router cisco' encienda 0CCP depuracinJ

lun enrutador # trmino eventos del router # debug ip WCCP Eventos WCCP depuracin est en paquetes WCCP Router # debug ip WCCP paquete de informacin de depuracin est en

Router # U/o te olvides de desactivar esta opcin despus de ha7er terminado la sesin de depuracin' ya que impone un impacto en el rendimiento de su router.

8=ecute tcpdump o etreo en su interfa, de memoria cach y mirar el tr&fico' tratar de averiguar lo que est& pasando. Isted de7e ver los paquetes I*P desde y hacia el puerto 2%3$ y BR8 encapsulados tr&fico :CP con su interior. i usted est& viendo los mensa=es so7re el Gprotocolo no soportadoG o Gprotocolo no v&lidoG' entonces su BR8 o mdulo 0CCP no se carga' y su cach est& recha,ando el tr&fico' ya que no sa7-a qu hacer con l. ;Aa configurado tanto 5ccpE y opciones 5ccp2E< lo de7e configurar uno o el otro y no los dos. 8l pro7lema m&s comCn que la gente tiene es que el router y cach est&n ha7lando el uno al otro y el tr&fico se redirige desde el router' pero el proceso decapsulation tr&fico es roto o .como casi siempre es el caso1 mal configurado. 8sto es a menudo un caso de su tr&fico de reglas de reescritura de la memoria cach no se est&n aplicando correctamente .vase la seccin 2 2 Para que tu tr&fico al puerto de la derecha en su cach quid1. 8=ecute el m&s reciente despliegue Benerales .*B1 de li7eracin del tren soft5are que tengas en tu router o s5itch. Rotos de I( tam7in puede resultar en la redireccin roto. Ina 7uena versin conocida de I( de los routers sin aparente rotura 0CCP es 12'3 .61 :12. Au7o grandes daOos a 0CCP en 12.3 .$1 : hasta e incluyendo primeros 12'3 .!1 versiones. 12.3 .$1 se sa7e que funciona 7ien' siempre y cuando usted no est& haciendo la inspeccin fire5all IP en la interfa, donde se encuentra la memoria cach.

i ninguno de estos pasos di ningCn pistas Ctiles' pu7licar la informacin vital que incluye las versiones de su router' pro!y' el sistema operativo' las reglas de redireccin de tr&fico' la salida de depuracin y cualquier otra cosa que han tratado a la lista de correo de los usuarios de calamar.

Por qu no puedo utili)ar la autenticacin :unto con el proxy de interceptacin9

Interceptacin Pro!ying tra7a=a por tener un agente activo .el poder1 donde de7er-a ha7er ninguna. 8l navegador no se espera7a que fuera all-' y es para todos los efectos' siendo engaOados o' como mucho' confundido. Como usuario de este navegador' me requerir no regalar las credenciales a un interlocutor inesperado' ;no le parece< 8specialmente por lo que cuando el agente de usuario puede hacerlo sin avisar al usuario' como los navegadores de Kicrosoft pueden hacer cuando el pro!y permite elegir cualquiera de los esquemas de autenticacin Kicrosoft diseOados como /:"K .ver .. # Pro!y4uthentication y Caracter-sticas # /egotiate4uthentication 1. 8n otras pala7ras' no es un error de calamar' pero la seguridad del navegador caracter-stica.

8Puedo utili)ar proxyCauthDDDD con la intercepcin9

/o' no puedes. Qea la respuesta a la pregunta anterior. Con pro!y de intercepcin' el cliente piensa que est& ha7lando con un servidor de origen y que nunca env-e la Autorizacin proxy ca7ecera de la solicitud.

EConexin resta5lecida por el interlocutorE y la pol*tica de enrutamiento de Cisco

+yodor ha rastreado la causa de la Gcone!in resta7lecer por paresG inusual mensa=es cuando se utili,a la pol-tica de enrutamiento de Cisco para secuestrar las peticiones A::P. Cuando el enlace de red entre el router y la cach no funciona por un momento' los paquetes que se supone de7en ser redirigidos en cam7io se env-an la ruta por defecto. i esto sucede' un 4CV de :CP desde el equipo cliente puede enviar al servidor de origen' en lugar de ser desviado a la memoria cach. 8l servidor de origen' al reci7ir un paquete 4CV inesperado' env-a un R8 8: de :CP al cliente' que se anula la solicitud del cliente. Para evitar este pro7lema' puede instalar una ruta est&tica a la null interfa, para la direccin de memoria cach con una mtrica m&s alta .7a=a prioridad1' como 29%. 8ntonces' cuando el enlace se cae' paquetes del cliente slo se caen en lugar de enviarse a la ruta por defecto. Por e=emplo' si 1.2.3.3 es la direccin IP de su cach de quid' puede agregarJ ip route 1.2.3.4 255.255.255.255 Null0 250 8sto parece causar el comportamiento correcto.

Para m#s informacin so5re la configuracin de Interceptacin Caching con Squid

Reu7en+arrelly ha escrito una gu-a 7astante completa pero algo incompleta de configurar 0CCP con routers de Cisco en su p&gina 5e7. Isted lo puede encontrar en 555.reu7.net . *uane0essels ha escrito un li7ro de (FReilly so7re el almacenamiento en cach 0e7' que es una gu-a de referencia invalua7le para quid .y de hecho no quid1 administradores de cach. In cap-tulo so7re la Ginterceptacin uso de pro!y y almacenamiento en cachG de su li7ro est& en l-nea' por lohttpJ##555.oreilly.com#catalog#5e7caching#chapter#ch%9.html .

Pro5lemas con >otmail

Aotmail se ha sa7ido para sufrir el pro7lema de codificacin de transferencia de A::P#1.1. ver httpJ##squidpro!y.5ordpress.com#2%%$#%3#2H#chunMed2decoding# para m&s detalles al respecto y algunas soluciones.