WSA和节日穿连接问题

已更新: 2014 年 6 月 12 日

文档 ID:117808

关于翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

简介

本文描述节日穿的Citrix不通过思科Web安全工具的问题(WSA)连接。

Cisco 建议您了解以下主题：

注意：本文假设，思科WSA在透明模式部署。

本文档中的信息基于下列硬件和软件版本：

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

注意：本文参考没有维护也思科不支持的软件。信息被提供作为礼貌为您的便利。对于进一步协助，请联系软件供应商。

当思科WSA用于一透明代理部署时，节日穿的Citrix不通过WSA连接。并且，当您配置节日穿在解密策略时的HTTPS转接操作的，它没有效果。

正如Citrix白皮书所描述，节日穿进行这些操作为了连接：

当节日穿终端软件开始时，尝试通过终端网关(EGW)与节日穿服务经纪联系通过首次在端口8200， 443并且/或者80的一个或更多出站SSL保护的TCP连接。连接响应首先将使用，并且其他将丢弃。

在一个明确代理环境，节日穿连接HTTP连接请求，并且WSA建立隧道在客户端和服务器之间的数据。没有与此种连接的问题。然而，在透明模式，节日穿客户端无法执行验证。

思科建议您绕过与客户端IP基于地址的(子网)标识为了应急方案的认证过程有效此问题。然而，请注意与启用的解密，节日穿应该工作，当验证禁用时。

此部分描述如何绕过节日穿流量的认证过程在WSA。完成这些步骤为了添加在一新的自定义URL类别列表的节日穿服务器IP地址：

注意：这些IP地址也许在任何时间更改。思科建议您验证与Citrix IP地址列表的当前IP地址范围。

警告：被参考本文的Citrix链路提供作为仅礼貌。思科不保证他们的准确性或效果。