Seguridad : Dispositivo de seguridad web Cisco

El WCCP con la autenticación y el múltiplo WSAs causa un loop (el ACL requerido para limitar el acceso al cliente)

18 Octubre 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios

Pregunta

¿El WCCP con la autenticación y el múltiplo WSAs causa un loop (ACL requerido para limitar el acceso al cliente)?

Contribuido por los ingenieros de Cisco TAC.

Síntomas

Al usar el WCCP, la autenticación, y por lo menos dos WSAs, están reorientando a los clientes cuando intentan acceder el servidor de autenticación transparente URL. Esto aparece como salidas severas del tiempo de espera o del tiempo en el cliente.

Solución

Cuando la autenticación se está utilizando con el WCCP, el WSA debe primero reorientar al cliente a sí mismo, antes de que pueda realizar la autenticación. Esto es un paso necesario, puesto que la autenticación no se puede hacer dos veces para el mismo destino.

El problema que está sucediendo es que cuando el cliente hace una nueva petición para el WSA, el router WCCP está reorientando esta petición detrás con el pool WCCP. Esta petición puede ser re-proxied con un diverso WSA, que hará este segundo WSA intentar traer el objeto del primer WSA.

Para prevenir tal comportamiento no deseado, un ACL necesitará ser creado en el router WCCP. El ACL debe parecer similar al siguiente:

 Línea ACL Propósito
 la lista de acceso 105 niega el host <WSA 1> ninguno del IP No reoriente el tráfico que origina de WSA 1
 la lista de acceso 105 niega el host <WSA 2> ninguno del IP No reoriente el tráfico que origina de WSA 2
 la lista de acceso 105 niega a host del IP cualquier <WSA 2> No reoriente a ninguna clientes que van directamente a WSA 1 (la autenticación)
 la lista de acceso 105 niega a host del IP cualquier <WSA 1> No reoriente a ninguna clientes que van directamente a WSA 2 (la autenticación)

Esto evitará que reorienten a los clientes para las peticiones de la autenticación de representación al WSAs.

Usted puede también limitar qué WSAs será validado como cachés Web utilizando la lista del grupo:

 Línea ACL Propósito
 permiso <WSA 1> de la lista de acceso 15 Permita que este IP sea incluido en el ID del servicio especificado WCCP
 permiso <WSA 2> de la lista de acceso 15 Permita que este IP sea incluido en el ID del servicio especificado WCCP

El sintaxis para implementar el WCCP con estos ACL es:

del IP del wccp del <service reorientar-lista 105 ID>
del IP del wccp del <service lista de grupo 15 de la reorientar-lista 105 ID>

NOTA: Usted necesitará agregar una regla para cada WSA que usted tenga. En el escenario antedicho, había solamente dos WSAs.


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 118416