Proxy web transparant menggunakan cisco, squid, dan wccp

Ada sejumlah alasan yang baik bagi perusahaan untuk menyebarkan proxy untuk akses pengguna ke Internet. Antara ini adalah :

1. Pemantauan situs web dan volume lalu lintas
2. Membatasi akses web - oleh pengguna, situs web, waktu, dll
3. Menggunakan caching untuk mengurangi volume lalu lintas
4. mengelola bandwidth

Ada juga sejumlah tantangan yang dihadapi ketika mengimplementasikan proxy. Pertama yang harus dilakukan adalah pekerjaan mengkonfigurasi semua web browser untuk menggunakan proxy, dan kemudian muncul masalah apa yang harus dilakukan jika proxy gagal.

JARINGAN DASAR WEB PROXY
Pada jaringan gambar di bawah ini saya menunjukkan jaringan dasar dengan akses ke Internet, ini adalah konfigurasi yang sangat umum untuk jaringan bisnis kecil.

Gambar 1: Sebuah jaringan dasar dan Proxy

Dalam organisasi dengan kesadaran akan keamanan yang besar, perlu untuk melindungi server proxy terhadap serangan dan penyalahgunaan. Hal ini biasanya dilakukan dengan menghubungkan proxy ke jaringan DMZ seperti yang ditunjukkan pada gambar berikutnya.

Gambar 2: Sebuah jaringan dasar dengan Proxy DMZ dilindungi

Sebuah solusi umum untuk transparan proxy adalah untuk memiliki semua lalu lintas keluar melewati server yang akan mendeteksi akses web dan mengarahkan permintaan untuk proxy internal. Ini memiliki sejumlah masalah dan tidak sedikit di antaranya adalah bahwa ia tidak dapat mendukung beberapa proxy, dan ketika server gagal maka semua akses web gagal bersama dengan itu.

PENGENALAN WCCP

Sebagian besar router Cisco mendukung protokol yang disebut Web Cache Communication Protocol, atau WCCP. Protokol ini digunakan oleh proxy server, seperti server LInux menjalankan proxy Squid, untuk memberitahu router yang masih hidup dan siap untuk memproses permintaan akses web. WCCP menggunakan protokol UPD pada port 2048 - ini pada dasarnya adalah komunikasi satu arah dari proxy ke router.

Gambar 3: WCCP antara proxy dan router

WCCP memiliki sejumlah keuntungan bila digunakan antara proxy dan router gerbang.

1. Anda dapat memiliki beberapa server proxy. Bahkan, Anda dapat memiliki hampir jumlah apapun jika router Anda cukup besar untuk menangani mereka. Ini berarti untuk organisasi besar beban akan tersebar di antara mereka meningkatkan kinerja.
2. Akses tahan terhadap kegagalan. Jika proxy gagal, maka router akan segera mulai menggunakan lain (jika Anda punya lebih dari satu dikonfigurasi), selain itu akan berhenti menggunakan proxy dan permintaan maju langsung ke Internet. Router juga dapat dikonfigurasi untuk memblokir akses web internet jika tidak ada proxy berjalan tersedia.
3. Hashing Dioptimalkan oleh URL. Bila Anda memiliki lebih dari satu proxy pengguna akan meminta halaman web yang kemudian akan di-cache oleh proxy. Lain kali setiap pengguna meminta halaman yang sama, router akan mengirimkan permintaan ke proxy yang sama dengan salinan cache dari halaman.

Hal yang penting untuk diketahui yakni meskipun WCCP dipatenkan oleh Cisco, dan umumnya hanya tersedia pada Cisco router dan beberapa high-end switch Cisco. Beberapa vendor lain seperti BlueCoat juga mendukung WCCP, tapi tidak banyak.

WCCP proksi arus lalu lintas yang sedikit tidak biasa, dan bisa sangat membingungkan untuk memulai dengan. Gambar berikut menunjukkan arus utama untuk proxy WCCP :

Gambar 4 : lalu lintas arus WCCP

Ada beberapa hal yang menarik untuk dicatat tentang arus lalu lintas di sini .

1. The Squid Proxy mengirimkan paket WCCP ke router setiap 10 detik untuk memberitahu router proxy yang masih hidup dan siap menerima permintaan web. Anda sekarang dapat melihat di sini bahwa mudah untuk memiliki beberapa server proxy yang dapat bekerja dengan router.
2. Ketika klien membuat permintaan untuk halaman web internet, mengirimkan secara langsung ke Internet melalui bagian luar.
3. Router menangkap permintaan, merangkum dalam paket GRE, dan meneruskannya ke proxy.
4. Sistem linux un suatu paket GRE dan mengirimkan permintaan ke proxy Squid dengan melakukan operasi Destination NAT pada paket. Diketahui bahwa Squid sekarang menerima paket asli dengan sumber aslinya dan alamat IP tujuan.
5. The Squid Proxy sekarang menjemput halaman web dari server internet dalam mode normal ditunjukkan dalam gambar 3 di atas - menggunakan alamat IP sendiri sebagai sumber dan alamat IP tujuan awalnya untuk tujuan . Perhatikan bahwa router tidak mencegat dan berusaha ke proxy permintaan ini.
6. Setelah Squid telah di-download halaman, itu menyimpan data dalam cache sendiri, kemudian menjawab secara langsung kembali ke client pada jaringan dalam negeri. Dan ini adalah hal yang rumit di sini - ketika Squid balasan menggunakan alamat IP dari server internet sebagai sumber dalam paket, dan alamat IP klien sebagai tujuan.

Jadi, sementara klien berpikir, sistem berinteraksi dengan web server jauh melalui router Internet. Jika pengguna lain pada klien lain membuat permintaan untuk halaman yang sama mereka pergi melalui aliran yang sama, tetapi karena halaman di-cache tidak perlu untuk Squid untuk mengambil halaman dari server internet lagi.