安全 : Cisco IronPort Web 安全设备

Error:通知编码:NO_MORE_FORWARDS

2016 年 10 月 27 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈

贡献用Josh Wolfer和Siddharth Rajpathak, Cisco TAC工程师。

问题:

为什么执行互联网访问或访问到某些网站失效与Error:通知编码:NO_MORE_FORWARDS ?

症状:通知编码:NO_MORE_FORWARDS,当尝试通过代理时浏览


环境:思科Web安全工具(WSA)

“NO_MORE_FORWARDS”错误消息表明有继续的环路,并且代理拒绝转发请求。这典型地是在WSA设备和防火墙/第4层交换机之间的一条环路。

示例:

客户端<->交换机<->防火墙<->互联网
                        |
                      WSA

在此方案中,防火墙配置重定向为在端口80的一个外部网络注定的所有流量对WSA。这是代理部署一个普遍的透明样式。

防火墙未设置例外规则发送起源于WSA的流量到外部。

这造成一切WSA发送被退还的到本身。在多尝试以后, socket关闭,并且此错误消息被退还的给客户端。

要解决此,您需要建立在ASA (或路由器/交换机的一访问列表,如果作为拒绝WSA设备的IP地址从WCCP重定向的WCCP路由器),但是允许其他流量的重定向。此访问列表可以应用到wccp网站缓存语句。

示例:

access-list被延伸的wccp_redirect拒绝IP主机<WSA_IP_addrees>其中任一
访问列表wccp_redirect延长的permit ip any any
!
redirect-list WCCP <service-id> wccp_redirect
!
WCCP接口<interface-name> <service-id>重定向

!
wr mem



Document ID: 118269