セキュリティ : Cisco Web セキュリティ アプライアンス

認証および倍数 WSAs の WCCP により引き起こしますループ(クライアントアクセスを制限するために必要な ACL が)を

2015 年 11 月 25 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

質問

認証および倍数 WSAs の WCCP によりループ(クライアントアクセスを制限するために必要な ACL)を引き起こしますか。

著者:Cisco TAC エンジニア。

症状

WCCP、認証、および少なくとも 2 つ WSAs を使用するとき、クライアントは透過的な Authサーバ URL にアクセスするように試みるときリダイレクトされています。 これは厳しいレイテンシーとして現われますまたは時間はクライアントで暴露します。

解決策

認証が WCCP と使用されているとき、WSA はそれ自身に認証を行うことができる前に最初にクライアントをリダイレクトする必要があります。 これは認証が同じ宛先のために二度実行することができないので、必要な ステップです。

クライアントが WSA のための New 要求をするときであること起こっている問題は WCCP プールを通して、WCCP ルータこの要求をリダイレクトしています。 この要求はこの第 2 WSA が最初の WSA からのオブジェクトを取出すように試みます異なる WSA によって再proxied であるかもしれません。

そのような望ましくない動作を防ぐために、ACL は WCCP ルータで作成される必要があります。 ACL は次に類似したに検知 する必要があります:

 ACL行 目的
 access-list 105 拒否 IPホスト <WSA 1> トラフィックをリダイレクトしないで下さい WSA 1 から起こす
 access-list 105 拒否 IPホスト <WSA 2> トラフィックをリダイレクトしないで下さい WSA 2 から起こす
 access-list 105 拒否 IPホスト <WSA 2> リダイレクトしないで下さい WSA 1 (認証)に直接行っているクライアントを
 access-list 105 拒否 IPホスト <WSA 1> リダイレクトしないで下さい WSA 2 (認証)に直接行っているクライアントを

これはクライアントが WSAs にプロキシ認証 要求のためにリダイレクトされることを防ぎます。

またどの WSAs が Webキャッシュとしてグループ リストのか利用によって受け入れられるか制限できます:

 ACL行 目的
 access-list 15 割り当て <WSA 1> この IP が規定 された WCCP サービスID に含まれているようにして下さい
 access-list 15 割り当て <WSA 2> この IP が規定 された WCCP サービスID に含まれているようにして下さい

これらの ACL の WCCP を設定する構文は次のとおりです:

IP wccp <service ID> redirect-list 105
IP wccp <service ID> redirect-list 105 group-list 15

注: 持っていること各 WSA のためのルールを追加する必要があります。 上のシナリオでは、2 だけが WSAs ありました。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 118416