Cara Mengawal Lalu Lintas Web Menggunakan Cache Squid dan Cisco Router di Linux
- 1001
- 268
- Noah Torp
Salah satu tugas penting dalam rangkaian adalah mengawal dan menguruskan kakitangan Surfing Web Staffs, terdapat banyak penyelesaian yang dapat mengendalikan isu ini, salah satu penyelesaian terbaik menggunakan cache sotong pada mesin Linux. Sotong boleh memeriksa, mengehadkan dan mengalir aliran trafik web dari satu rangkaian ke rangkaian lain misalnya dari LAN ke Internet.
Kawalan Lalu Lintas Menggunakan Router Squid dan Cisco di CentOs Terdapat beberapa cara untuk mengalihkan permintaan web klien ke mesin sotong, dalam artikel ini kami akan menunjukkan kepada anda bagaimana untuk mengalihkan trafik web dari penghala Cisco ke mesin cache sotong menggunakan WCCP Protokol.
Gambar di bawah adalah contoh senario asas.
Kawal lalu lintas web menggunakan penghala squid cisco Seperti yang anda lihat di atas gambar semua trafik web pelanggan mula -mula pergi ke Cisco Router (Itu adalah gerbang lalai mereka), kemudian penghala secara senyap -senyap mengalihkan paket ke mesin sotong, kini sotong boleh memainkan peranannya, peranan utama adalah kandungan web caching, had akses berdasarkan domain, selang waktu, alamat IP, saiz fail, dan lain -lain ..
Kami mengkaji semula konfigurasi senario ini dalam dua langkah utama, pertama kita harus memasang dan mengkonfigurasi Squid dan Linux, kemudian konfigurasikan penghala untuk mengalihkan paket trafik web ke dalam cumi menggunakan WCCP Protokol.
Persekitaran ujian
Dalam senario ini saya gunakan Centos 6.5 sebagai pelayan linux saya dan Cisco 2691 sebagai sistem penghala saya.
Sistem operasi: Centos 6.5 Permohonan: Sotong Penghala: Cisco 2691
Langkah 1: Memasang cache sotong
Sotong boleh didapati di repositori lalai Centos, Kami mula -mula memasangnya menggunakan arahan Yum yang indah dan kemudian memulakan perkhidmatan mereka dan akhirnya menetapkan permulaan perkhidmatan sotong automatik.
# yum -y Install squid # squid squid Start # chkconfig squid on
Langkah 2: Menyediakan cache sotong
Sekarang kita mesti mengubah beberapa tingkah laku lalai sistem operasi CentOS, kita perlu membolehkan pemajuan paket dan melumpuhkan penapis laluan terbalik (Rpf), kami membolehkan pemajuan paket untuk membiarkan CentOS bertindak sebagai pengangkut telus (seperti a penghala).
Izinkan saya menerangkan dengan lebih terperinci, ketika Traffics mendapat di CentOS, ia mempunyai alamat sumber dan destinasi mereka, contohnya apabila pelanggan masuk www.Contoh.com Pada penyemak imbasnya, paket permintaan HTTP menjana dan ia mempunyai alamat IP sumber mesin klien (seperti 192.168.1.20) dan alamat IP destinasi dari Contoh.com pelayan (suka 2.2.2.2).
Oleh itu, apabila paket yang diterima oleh CentOS ia mengesan sebagai paket yang salah kerana alamat IP CentOS bukan sebagai alamat destinasi paket, atas sebab -sebab keselamatan CentOS menjatuhkan paket, tetapi kami mahu dari sotong untuk bertindak dalam mod telus. Kami memberitahu situasi ini kepada CentOS dengan membolehkan Potion Forwarding Packet.
Seterusnya kita harus melumpuhkan penapisan laluan terbalik untuk membiarkan centOS menerima paket yang tidak dapat diakses oleh mesin sotong atau paket yang tidak mempunyai alamat IP dalam subnet yang sama mesin sotong.
# nano /etc /sysctl.Conf
jaring.IPv4.ip_forward = 1 #set ke 1 untuk membolehkan ciri pemajuan paket jaring.IPv4.Conf.lalai.rp_filter = 0 # Tetapkan ke 0 untuk melumpuhkan tingkah laku penapis laluan terbalik
Seterusnya kita perlu membuat a GRE antara muka pada mesin centos, untuk apa?? Izinkan saya menerangkan lebih lanjut, yang WCCP Protokol berfungsi melalui a GRE Terowong, ini bermakna bahasa antara penghala dan cumi-cumi adalah GRE, jadi CentOS perlu mempunyai antara muka GRE untuk de-encapsulate GRE Packets.
Kita harus membuat fail konfigurasi untuk antara muka GRE dalam "/etc/sysconfig/rangkaian-skrip/ifcfg-gre0"Laluan.
Masukkan kod di bawah IFCFG-GRE0 fail konfigurasi.
Peranti = GRE0 BOOTPROTO = statik ipaddr = 10.0.0.2 Alamat IP #Unused di NetMask rangkaian anda = 255.255.255.252 onboot = ya ipv6init = tidak
Setelah membuat a GRE antara muka kita perlu memulakan semula perkhidmatan rangkaian.
# Rangkaian Perkhidmatan Mulakan semula
Langkah 3: Mengkonfigurasi cache sotong
Kita perlu memberitahu cumi -cumi menerima WCCP paket dari penghala. Masukkan kod di bawah /etc/sotong/sotong.Conf fail.
http_port 3128 Intercept # Define Squid Mendengarkan Port WCCP2_Router 192.168.1.254 Alamat #IP penghala wccp2_forwarding_method gre wccp2_return_method gre wccp2_service standard 0
Simpan fail konfigurasi dan mulakan semula perkhidmatan sotong.
# Perkhidmatan sotong mulakan semula
Sotong mendengar paket di 3128 pelabuhan, tetapi nombor port destinasi paket kami adalah 80, Jadi untuk menukar pelabuhan destinasi 80 ke 3128, kita perlu membuat a Nat Peraturan di Centos bersepadu firewall (yang dinamakan IPPABLE).
# iptables -t nat -a prerouting -i gre0 -p tcp --dport 80 -j redirect -ke -port 3128 # iptables -t nat -a postrouting -j penyamaran
Langkah 4: Konfigurasi Router Cisco
Pertama kita harus membolehkan WCCP Pada penghala Cisco.
R1 (config)# ip wccp versi 2 maka kita mesti menggunakan ACL untuk memperkenalkan mesin cache sotong ke penghala r1 (config)# ip akses-senarai standard squid-mesin R1 (config-std-nacl)# Permit host 192.168.1.10
Seterusnya kita menentukan senarai akses lain untuk dua tujuan yang berbeza dahulu kita perlu kecuali Cumi traffik dari pengalihan oleh WCCP protokol (jika tidak kita jatuh ke dalam gelung tak terhingga!!) kedua kita menentukan yang mana Lan traffik yang ingin kita lalui WCCP dan Cumi.
R1 (Config) #IP Akses-senarai Lan-Traffics R1 (Config-Ext-NACL) #deny IP Host 192.168.1.10 Mana-mana cumi-cumi #prevent untuk mendapatkan gelung R1 (config-ext-nacl) #permit TCP 192.168.1.0 0.0.0.255 Mana -mana WWW #define Lan Traffics yang sama
Setelah membuat senarai akses kami, kami mesti mengkonfigurasi protokol WCCP pada penghala.
R1 (Config)# IP WCCP Web-Cache-Redirect-List Lan-Traffic Group-Squid-Machine
Setiap perkara siap untuk langkah akhir, kita mesti memberitahu penghala yang mana antara muka/antara muka ia mesti mengalihkan trafik menggunakan konfigurasi WCCP mereka.
R1 (Config) #Interface FastEthernet 0/0 R1 ((Config-IF)# IP WCCP Web-cache Redirect in
Ringkasan
Sudah tiba masanya untuk meringkaskan semua arahan dan teks dalam beberapa baris untuk pemahaman yang lebih baik, menurut senario kami mengalihkan paket melayari web (yang ada di port TCP 80) dari Penghala (itu adalah gerbang lalai pelanggan) ke arah mesin cache sotong menggunakan protokol WCCP.
Semua proses ini berlaku dengan senyap dan tidak ada konfigurasi tambahan di sisi klien. Oleh itu, kita dapat mengawal dan menetapkan dasar di traffik web di LAN. Sebagai contoh, kita boleh mendapatkan akses melayari web hanya dalam masa yang terhad, hadkan saiz muat turun maksimum, tentukan senarai hitam dan senarai putih kami, menghasilkan laporan penuh penggunaan aktiviti internet dan dll.
Salah satu fakta menarik dalam senario ini ialah apabila mesin sotong turun penghala mengesan isu ini dan berhenti mengalihkan paket ke arahnya, jadi anda boleh menikmati dari waktu sifar di rangkaian anda.
Sekiranya anda mempunyai sebarang pertanyaan mengenai artikel ini, sila tinggalkan jawapan melalui kotak komen di bawah.
- « Menggunakan skrip shell untuk mengautomasikan tugas penyelenggaraan sistem Linux - Bahagian 4
- Trik Linux Main Permainan di Chrome, Text-to-Speech, Jadualkan Pekerjaan dan Perintah Tonton di Linux »