インターネット アクセス、または特定の Web サイトへのアクセスが失敗し、次のエラーが表示されるのはなぜですか。 通知コード: NO_MORE_FORWARDS?
症状: 通知コード: NO_MORE_FORWARDS(プロキシ経由で参照しようとする際)
環境: Cisco Web セキュリティ アプライアンス(WSA)
「NO_MORE_FORWARDS」エラー メッセージは、ループが発生していて、プロキシが後続のリクエストの転送を拒否していることを示しています。 これは通常、WSA アプライアンスとファイアウォール/レイヤ 4 スイッチ間のループです。
例:
クライアント <-> スイッチ <-> ファイアウォール <-> インターネット
|
WSA
このシナリオでは、ポート 80 における外部ネットワーク宛てのすべてのトラフィックを WSA にリダイレクトするようにファイアウォールが設定されています。 これは、プロキシ導入では一般的な透過的形式です。
ファイアウォールには、WSA からのトラフィックを外部に送信する例外規則が設定されていません。
これにより、WSA が送信するものはすべて、自身に送り返されます。 複数回の試行後、ソケットは閉じられ、このエラー メッセージがクライアントに送信されます。
これを解決するには、WCCP リダイレクションからの WSA アプライアンスの IP アドレスを拒否し、他のすべてのトラフィックのリダイレクションを許可するアクセス リストを、ASA(または WCCP ルータとして機能している場合はルータかスイッチ)上で作成する必要があります。 このアクセス リストは、wccp web-cache ステートメントに適用できます。
例:
access-list wccp_redirect extended deny ip host <WSA_IP_addrees> any
access-list wccp_redirect extended permit ip any any
!!
wccp <service-ID> redirect-list wccp_redirect
!!
wccp interface <Interface-name> <service-ID> redirect in
!!
wr mem