IWSS 2.5と PIX 7.2(1) 間でWCCP動作せず

IWSS 2.5とPIX 7.2(1)間で、WCCP正常に動作せず。

PIX 7.2コマンドでの検討。
access-list WCCP_Group-list extended permit ip 10.1.1.0 255.255.255.0 any
access-list WCCP_Redirect-list extended permit tcp 10.1.1.0 255.255.255.0 any eq www
access-list WCCP_Redirect-list extended permit tcp 10.1.1.0 255.255.255.0 any eq ftp

wccp 80 redirect-list WCCP_Redirect-list group-list WCCP_Group-list
wccp interface inside 80 redirect in

Command Line Configration Guideには、以下の記述がある。

WCCP redirect is supported only on the ingress of an interface.
The only topology that the security appliance supports is when
client and cache engine are behind the same interface of the
security appliance and the cache engine can directly communicate
with the client without going through the security appliance.

そのためinterface insideの同一セグメント上に
IWSS 2.5とクライアントPCを配置する構成とする。

IWSSでは、WCCPを利用可能にし、ルータIPアドレスリストに10.1.1.1を指定する。

クライアントPCのwww、ftp要求は、redirectされるが、
IWSSからは、PIXのRouter Identifier IPアドレスに対する GREトラフィックが、
送出されるばかりで、正常に動作しない。

次にIOSで同条件で検討。

IOS 12.3コマンド
access-list 22 permit 10.1.1.0 0.0.0.255
access-list 101 permit tcp host 10.1.1.0 0.0.0.255 any eq www
access-list 101 permit tcp host 10.1.1.0 0.0.0.255 any eq ftp

ip wccp 80 redirect-list 101 group-list 22

interface FastEthernet0/1
ip addres 10.1.1.1 255.255.255.0
no ip redirects
ip wccp 80 redirect in

ip route 0.0.0.0 0.0.0.0 10.1.1.10

IOS 12.3(0)～12.3(9)は、使用避けるようにとのこと。

FastEthernet0/1の同一セグメント上に
IWSS 2.5とクライアントPCを配置する構成とする。

クライアントPCのデフォルトゲートウェイは、10.1.1.1とする。

このとき不意に、クライアントPCがICMP redirect メッセージを受けて、
ip redirectしないように、no ip redirectsコマンドを入力する。

このとき、クライアントPCのwww、ftp要求は、redirectされ、
IWSSは、透過プロキシとして正常に動作する。