질문
인증 및 다중 WSA가 있는 WCCP는 루프를 발생합니까(클라이언트 액세스를 제한하는 데 필요한 ACL)?
증상
WCCP, 인증 및 최소 2개의 WSA를 사용할 때 투명 인증 서버 URL에 액세스하려고 할 때 클라이언트가 리디렉션됩니다.이는 클라이언트의 심각한 레이턴시 또는 시간 초과로 나타납니다.
솔루션
WCCP에서 인증을 사용하는 경우 WSA는 인증을 수행하기 전에 먼저 클라이언트를 자신에게 리디렉션해야 합니다.동일한 대상에 대해 인증을 두 번 수행할 수 없으므로 이 단계는 필수입니다.
발생하는 문제는 클라이언트가 WSA에 대해 새 요청을 할 때 WCCP 라우터가 WCCP 풀을 통해 이 요청을 다시 리디렉션한다는 것입니다.이 요청은 다른 WSA를 통해 다시 프록시될 수 있습니다. 그러면 이 두 번째 WSA가 첫 번째 WSA에서 개체를 가져오려고 시도합니다.
이러한 원하지 않는 동작을 방지하려면 WCCP 라우터에 ACL을 생성해야 합니다.ACL은 다음과 비슷해야 합니다.
ACL 라인 |
목적 |
access-list 105 deny ip host <WSA 1> any |
WSA 1에서 시작되는 트래픽을 리디렉션하지 마십시오. |
access-list 105 deny ip host <WSA 2> any |
WSA 2에서 시작되는 트래픽을 리디렉션하지 마십시오. |
access-list 105 deny ip host any <WSA 2> |
WSA 1로 직접 이동하는 클라이언트를 리디렉션하지 마십시오(인증). |
access-list 105 deny ip host any <WSA 1> |
WSA 2로 직접 이동하는 클라이언트를 리디렉션하지 마십시오(인증). |
그러면 클라이언트가 WSA에 프록시 인증 요청을 위해 리디렉션되지 않습니다.
또한 그룹 목록을 활용하여 웹 캐시로 수락할 WSA를 제한할 수 있습니다.
ACL 라인 |
목적 |
access-list 15 permit <WSA 1> |
이 IP가 지정된 WCCP 서비스 ID에 포함되도록 허용 |
access-list 15 permit <WSA 2> |
이 IP가 지정된 WCCP 서비스 ID에 포함되도록 허용 |
이러한 ACL을 사용하여 WCCP를 구현하는 구문은 다음과 같습니다.
ip wccp <서비스 ID> 리디렉션 목록 105
ip wccp <service ID> redirect-list 105 group-list 15
참고:보유한 각 WSA에 대한 규칙을 추가해야 합니다.위 시나리오에서는 WSA가 2개만 있었습니다.