问题
如何让Google Earth与思科网络安全设备配合使用?
环境
Google Earth 4.2
症状
当客户端连接到思科网络安全设备(WSA)时,应用Google Earth不起作用。这可能是客户端上的代理设置或WSA的身份验证要求导致的。
例 1
当您通过WSA使用Google Earth时,会看到错误代码26或表明无法访问服务器的消息。如果在网络中以显式模式设置WSA,则需要将Google Earth配置为使用代理。
这可以通过在Internet Explorer中进行某些更改来完成:
- 单击“开始”并选择“控制面板”。
- 双击“Internet选项”。
- 选择“Connections”选项卡。
- 单击“LAN设置”。
- 在“Proxy server”下,选择“Use a proxy server for your LAN”并输入代理信息。
- 完成此操作后,请选择“确定”保存这些更改。
案例 2
Google Earth未通过WSA工作,并显示一条指示身份验证失败/需要凭证的消息。在需要身份验证才能处理请求的情况下,Google Earth将需要一种身份验证方法。要解决此问题,我们需要免除Google Earth服务器的身份验证。
要免除Google Earth的身份验证免除,请执行以下操作:
对于低于6.x的AsyncOS版本:
- 在WSA GUI上,浏览到“网络安全管理器”。
- 选择Destination Authentication Exemptions > Destinations。
- 添加以下地址:kh.google.com、geo.keyhole.com和auth.keyhole.com、.pack.google.com、pack.google.com、mw1.google.com、clients1.google.com、earth.google.com、maps.google.com maps.gstatic.com csi.gstatic.com .gstatic.com、和400和4000。
- 提交更改。
对于AsyncOS 6.x及更高版本:
- 创建名为“Destination Authentication Exemption Destinations”的新自定义URL策略,并将kh.google.com、geo.keyhole.com、auth.keyhole.com、.pack.google.com、pack.google.com、mw1.google.com、clients1.google.com、earth.google.com、maps.google.com和maps.gstatic.com添加到列表中。
- 创建名为“应用旁路身份”的身份,并将其设置为无需身份验证。 在高级部分,选择名为“目标身份验证免除目标”的URL类别。
- 创建名为“应用旁路策略”的访问策略,并为其分配“应用旁路身份”。 现在,您将绕过Google Earth身份验证请求。
案例 3
如果网络流量被透明地重定向到WSA,Google Earth客户端将无法响应透明身份验证请求,并且会发生故障。
在这些情况下,可以将WSA配置为根据客户端的IP地址缓存用户凭证。 在这种情况下,只要之前有来自客户端的网络流量,Google Earth客户端就不需要重新进行身份验证。
对于AsyncOS 6.x及更高版本,可在网络>身份验证>代理类型:IP地址下配置此项。