Безопасность : устройство защиты веб-трафика Cisco

WCCP с аутентификацией и множественным WSAs вызывает петлю (ACL, требуемый для ограничения доступа клиента)

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Вопрос

WCCP с Аутентификацией и множественным WSAs вызывает петлю (ACL, требуемый ограничить доступ клиента)?

Внесенный специалистами службы технической поддержки Cisco.

Признаки

При использовании WCCP, Аутентификации и по крайней мере двух WSAs, перенаправляются клиенты, когда они пытаются обратиться к Прозрачному URL Сервера проверки подлинности. Это появляется как серьезная задержка или время outs на клиенте.

Решение

Когда аутентификация используется с WCCP, WSA должен сначала перенаправить клиента к себе, прежде чем это сможет выполнить аутентификацию. Это - обязательное действие, так как аутентификация не может быть сделана дважды для того же назначения.

Проблема, которая происходит, состоит в том, что, когда клиент выполняет новый запрос для WSA, маршрутизатор WCCP перенаправляет этот запрос назад через пул WCCP. Этот запрос может быть повторно проксирован через другой WSA, который заставит этот второй WSA пытаться выбрать объект сначала WSA.

Для предотвращения такого нежелательного поведения ACL должен будет быть создан на маршрутизаторе WCCP. ACL должен выглядеть подобным придерживающемуся:

 Строка ACL Цель
 access-list 105 запрещает ip host <WSA 1> любой Не перенаправляйте трафик, который происходит из WSA 1
 access-list 105 запрещает ip host <WSA 2> любой Не перенаправляйте трафик, который происходит из WSA 2
 access-list 105 запрещает ip host любой <WSA 2> Не перенаправляйте клиентов, идущих непосредственно в WSA 1 (аутентификация)
 access-list 105 запрещает ip host любой <WSA 1> Не перенаправляйте клиентов, идущих непосредственно в WSA 2 (аутентификация)

Это будет препятствовать тому, чтобы клиенты были перенаправлены для запросов проверки подлинности прокси-сервера к WSAs.

Можно также ограничить, какой WSAs будет принят как web-caches путем использования списка группы:

 Строка ACL Цель
 разрешение на access-list 15 <WSA 1> Позвольте этому IP быть включенным в указанный идентификатор сервиса WCCP
 разрешение на access-list 15 <WSA 2> Позвольте этому IP быть включенным в указанный идентификатор сервиса WCCP

Синтаксис для реализации WCCP с этими ACL:

ip wccp <идентификатор сервиса> список перенаправления 105
ip wccp <идентификатор сервиса> список перенаправления 105 group-list 15

Примечание: Необходимо будет добавить правило для каждого WSA, что вы имеете. В вышеупомянутом сценарии было только два WSAs.



Document ID: 118416