安全 : Cisco IronPort Web 安全设备

路由器/交换机的WCCP会话,但是浏览不发生由于路由问题

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈

目录

贡献用布伊扬Muhaimeen和Jai Koolwal, Cisco TAC工程师。

问题:

路由器/交换机的WCCP会话,但是浏览不发生由于路由问题

环境:

思科Web安全工具
Catalyst交换机,路由器, ASA

症状:

WCCP会话启用和工作,但是浏览不工作。

在某些情况下,思科Web安全工具能与路由器谈,但是客户端的流量也许不通过。我们看到WCCP会话是UP,但是浏览仍然不发生。

在Catalyst交换机的WCCP配置最小(redirect-list不是有密切关系的对此讨论,然而为完整性没有被再生产得此处) :

ip WCCP 91 redirect-list 130 Group-list 30

接口Vlan20
说明客户端VLAN 20
ip address 192.168.20.1 255.255.255.0
ip WCCP 91重定向

access-list 30 permit 10.66.71.17
access-list 130 permit ip任何主机192.168.20.103日志
access-list 130 permit ip主机192.168.20.103其中任一记录

我们看到WCCP是UP :

Switch#sh ip WCCP 91 d
WCCP客户端信息:

       WCCP客户端ID :         10.66.71.17
       协议版本:       2.0
       状态:                  可用       
       重定向:            L2
       数据包返回:          L2
       重定向的数据包:     0
       连接时间:           00:12:49
       分配:             MASK

但是浏览能不能发生。

问题位于随着在思科Web安全工具的路由配置。例如,思科Web安全工具也许没有路由有上一步VLAN 20。非工作的路由配置如下:

问题通常被看到仅一个接口(M1)是否使用管理和数据流的思科Web安全工具。在上述示例中,我们有路由到VLAN 30通过第二个条目并且路由到WCCP设备通过第三个条目和默认路由对所有其它网络的10.66.71.1。然而,如果10.66.71.1是网关到互联网,但是不知道关于如何路由到192.168.20.0/24然后路由将出故障,并且客户端浏览器不能浏览。

简单的ping试验证明我们是否有一个路由回到客户端。

s650a.lab (服务) > ping 192.168.20.103

终止的ctrl-c普雷斯。
PING 192.168.20.103 (192.168.20.103) :56个数据字节
^C---192.168.20.103 ping统计信息---
传送的17数据包, 0接收的数据包, 100%包丢失

对此问题的解决方案是在一个路由的添加在思科Web安全工具回到客户端VLAN。 这可以完成由:

WebUI >网络>路由>Add路由 

在添加此以后, ping应该从思科Web安全工具流到客户端,并且我们应该看到浏览发生在VLAN 20的(在本例中的主机192.168.20.103客户端)。

s650a.lab (服务) > ping 192.168.20.103

ctrl-c普雷斯stop.PING的192.168.20.103 (192.168.20.103) :56个数据字节
从192.168.20.103的64个字节:icmp_seq=0 ttl=127 time=0.835毫秒
从192.168.20.103的64个字节:icmp_seq=1 ttl=127 time=0.343毫秒

^C---192.168.20.103 ping统计信息---
传送的2数据包,接收的2数据包, 0%包丢失
往返分钟/avg/最大/stddev = 0.343/0.589/0.835/0.246毫秒

请注意:它露出重复这是一个原因浏览也许发生故障。可能有其他原因为什么WCCP是UP,但是浏览不会工作,但是这是更多常见问题之一。



Document ID: 118257