Sécurité : Dispositifs de sécurité Web Cisco IronPort

Le WCCP avec l'authentification et le multiple WSAs entraîne une boucle (l'ACL exigé pour limiter l'accès client)

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Question

Le WCCP avec l'authentification et le multiple WSAs entraîne-t-il une boucle (ACL requis pour limiter l'accès client) ?

Contribué par des ingénieurs TAC Cisco.

Symptômes

En utilisant le WCCP, l'authentification, et au moins deux WSAs, des clients sont réorientés quand ils tentent d'accéder à l'URL authentique transparent de serveur. Ceci apparaît en tant que sorties graves de latence ou de temps sur le client.

Solution

Quand l'authentification est utilisée avec le WCCP, le WSA doit d'abord réorienter le client à lui-même, avant qu'il puisse exécuter l'authentification. C'est une étape nécessaire, puisque l'authentification ne peut pas être faite deux fois pour la même destination.

Le problème qui se produit est que quand le client fait une nouvelle demande de WSA, le routeur WCCP réoriente cette demande de retour par le groupe WCCP. Cette demande peut être re-proxied par un WSA différent, qui fera tenter ce deuxième WSA de chercher l'objet du premier WSA.

Afin d'empêcher un tel comportement non souhaité, un ACL devra être créé sur le routeur WCCP. L'ACL devrait sembler semblable à ce qui suit :

 Ligne d'ACL But
 la liste d'accès 105 en refusent l'hôte <WSA 1> d'IP Ne réorientez pas le trafic qui provient de WSA 1
 la liste d'accès 105 en refusent l'hôte <WSA 2> d'IP Ne réorientez pas le trafic qui provient de WSA 2
 la liste d'accès 105 refusent à hôte d'IP n'importe quel <WSA 2> Ne réorientez aucun client allant directement à WSA 1 (l'authentification)
 la liste d'accès 105 refusent à hôte d'IP n'importe quel <WSA 1> Ne réorientez aucun client allant directement à WSA 2 (l'authentification)

Ceci empêchera les clients d'être réorientée pour les demandes d'authentification de proxy au WSAs.

Vous pouvez également limiter quel WSAs sera reçu comme Web-caches en utilisant la liste de groupe :

 Ligne d'ACL But
 autorisation <WSA 1> de la liste d'accès 15 Permettez cet IP à inclure dans l'ID de service spécifié WCCP
 autorisation <WSA 2> de la liste d'accès 15 Permettez cet IP à inclure dans l'ID de service spécifié WCCP

La syntaxe pour implémenter le WCCP avec des ces ACLs est :

réorienter-liste 105 du <service ID> d'ip wccp
groupe-liste 15 de la réorienter-liste 105 du <service ID> d'ip wccp

REMARQUE: Vous devrez ajouter une règle pour chaque WSA que vous avez. Dans le scénario ci-dessus, il y avait seulement de deux WSAs.



Document ID: 118416