Segurança : Cisco Web Security Appliance

O WCCP com autenticação e múltiplo WSAs causa um laço (o ACL exigido para limitar o acesso do cliente)

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Pergunta

O WCCP com autenticação e múltiplo WSAs causa um laço (ACL exigido para limitar o acesso do cliente)?

Contribuído por engenheiros de TAC da Cisco.

Sintomas

Ao usar o WCCP, a autenticação, e pelo menos o dois WSAs, os clientes estão sendo reorientados quando tentam alcançar o servidor de autenticação transparente URL. Isto aparece como saídas severas da latência ou do tempo no cliente.

Solução

Quando a autenticação está sendo usada com WCCP, o WSA deve primeiramente sereorientar- o cliente, antes que possa executar a autenticação. Esta é uma etapa necessária, desde que a autenticação não pode ser feita duas vezes para o mesmo destino.

O problema que está acontecendo é que quando o cliente faz um pedido novo para o WSA, o roteador WCCP está reorientando este pedido para trás com o pool WCCP. Este pedido pode ser re-proxied com um WSA diferente, que faça com que este segundo WSA tente buscar o objeto do primeiro WSA.

A fim impedir tal comportamento indesejado, um ACL deverá ser criado no roteador WCCP. O ACL deve olhar similar ao seguinte:

 Linha ACL Propósito
 a lista de acesso 105 nega o host <WSA 1> algum IP Não reoriente o tráfego que origina de WSA 1
 a lista de acesso 105 nega o host <WSA 2> algum IP Não reoriente o tráfego que origina de WSA 2
 a lista de acesso 105 nega a host IP todo o <WSA 2> Não reoriente nenhuns clientes que vão diretamente a WSA 1 (a autenticação)
 a lista de acesso 105 nega a host IP todo o <WSA 1> Não reoriente nenhuns clientes que vão diretamente a WSA 2 (a autenticação)

Isto impedirá que os clientes estejam reorientados para os pedidos da autenticação de proxy ao WSAs.

Você pode igualmente limitar que WSAs será aceitado como caches de web utilizando a lista do grupo:

 Linha ACL Propósito
 licença <WSA 1> da lista de acesso 15 Permita que este IP seja incluído no ID de serviço especificado WCCP
 licença <WSA 2> da lista de acesso 15 Permita que este IP seja incluído no ID de serviço especificado WCCP

A sintaxe para executar o WCCP com estes ACL é:

reorientar-lista 105 do <service ID> do wccp IP
lista de grupos 15 da reorientar-lista 105 do <service ID> do wccp IP

NOTA: Você precisará de adicionar uma regra para cada WSA que você tem. Na encenação acima, havia somente dois WSAs.



Document ID: 118416