Безопасность : устройство защиты веб-трафика Cisco

WCCP с аутентификацией и множественным WSAs вызывает петлю (ACL, требуемый для ограничения доступа клиента)

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Вопрос

WCCP с Аутентификацией и множественным WSAs вызывает петлю (ACL, требуемый ограничить доступ клиента)?

Внесенный специалистами службы технической поддержки Cisco.

Признаки

При использовании WCCP, Аутентификации и по крайней мере двух WSAs, перенаправляются клиенты, когда они пытаются обратиться к Прозрачному URL Сервера проверки подлинности. Это появляется как серьезная задержка или время outs у клиента.

Решение

Когда аутентификация используется с WCCP, WSA должен сначала перенаправить клиент к себе, прежде чем это сможет выполнить аутентификацию. Это - обязательное действие, так как аутентификация не может быть сделана дважды для того же назначения.

Проблема, которая происходит, состоит в том, что, когда клиент выполняет новый запрос для WSA, маршрутизатор WCCP перенаправляет этот запрос назад через пул WCCP. Этот запрос может быть повторно проксирован через другой WSA, который заставит этот второй WSA пытаться выбрать объект сначала WSA.

Для предотвращения такого нежелательного поведения ACL должен будет быть создан на маршрутизаторе WCCP. ACL должен выглядеть подобным придерживающемуся:

 Строка ACL Цель
 access-list 105 запрещает ip host <WSA 1> любой Не перенаправляйте трафик, который происходит из WSA 1
 access-list 105 запрещает ip host <WSA 2> любой Не перенаправляйте трафик, который происходит из WSA 2
 access-list 105 запрещает ip host любой <WSA 2> Не перенаправляйте клиенты, идущие непосредственно в WSA 1 (аутентификация)
 access-list 105 запрещает ip host любой <WSA 1> Не перенаправляйте клиенты, идущие непосредственно в WSA 2 (аутентификация)

Это будет препятствовать тому, чтобы клиенты были перенаправлены для запросов проверки подлинности прокси-сервера к WSAs.

Можно также ограничить, какой WSAs будет принят как вебы - кэширования путем использования списка группы:

 Строка ACL Цель
 разрешение на access-list 15 <WSA 1> Позвольте этому IP быть включенным в указанный идентификатор сервиса WCCP
 разрешение на access-list 15 <WSA 2> Позвольте этому IP быть включенным в указанный идентификатор сервиса WCCP

Синтаксис для осуществления WCCP с этими ACL:

ip wccp <идентификатор сервиса> список перенаправления 105
ip wccp <идентификатор сервиса> список перенаправления 105 group-list 15

Примечание: Необходимо будет добавить правило для каждого WSA, что вы имеете. В вышеупомянутом сценарии было только два WSAs.


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.