安全 : Cisco IronPort Web 安全设备

与验证和多个WSAs的WCCP引起一条环路(要求的ACL限制访客接入)

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈

问题

与验证和多个WSAs的WCCP是否引起一条环路(要求的ACL限制访客接入) ?

由思科 TAC 工程师撰稿。

症状

当曾经WCCP,验证和至少两WSAs时,客户端重定向,当他们尝试访问透明认证服务器URL时。这出现作为在客户端的严重延迟或时间缩小。

解决方案

当验证与WCCP一起使用时, WSA必须首先重定向客户端到本身,在可执行验证前。因为验证不可能为同一个目的地,两次执行这是必要步骤。

发生是的问题,当客户端做WSA的时一新要求, WCCP路由器通过WCCP池重定向此请求上一步。此请求可能是再被代理的通过不同的WSA,将造成此第二个WSA尝试拿来从第一个WSA的对象。

为了防止这样负面的情况, ACL在WCCP路由器将需要创建。ACL应该看起来类似于以下:

 ACL线路 目的
 access-list 105拒绝IP主机<WSA 1>中的任一个 请勿重定向于WSA 1起源的流量
 access-list 105拒绝IP主机<WSA 2>中的任一个 请勿重定向于WSA 2起源的流量
 access-list 105拒绝IP主机所有<WSA 2> 请勿重定向去直接地WSA 1 (验证)的任何客户端
 access-list 105拒绝IP主机所有<WSA 1> 请勿重定向去直接地WSA 2 (验证)的任何客户端

这将防止客户端代理验证请求的重定向对WSAs。

您能也限制哪WSAs将接受作为Web缓存通过使用组列表:

 ACL线路 目的
 access-list 15 permit <WSA 1> 允许在指定的WCCP服务ID将包括的此IP
 access-list 15 permit <WSA 2> 允许在指定的WCCP服务ID将包括的此IP

实现与这些ACL的WCCP的语法是:

ip WCCP <service ID> redirect-list 105
ip WCCP <service ID> redirect-list 105 Group-list 15

注意:您将需要添加每个WSA的一个规则您有。在上述方案中,只有两WSAs。


相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


Document ID: 118416