问题
与验证和多个WSAs的WCCP是否引起一条环路(要求的ACL限制访客接入) ?
症状
当曾经WCCP,验证和至少两WSAs时,客户端重定向,当他们尝试访问透明认证服务器URL时。这出现作为在客户端的严重延迟或时间缩小。
当验证与WCCP一起使用时, WSA必须首先重定向客户端到本身,在可执行验证前。因为验证不可能为同一个目的地,两次执行这是必要步骤。
发生是的问题,当客户端做WSA的时一新要求, WCCP路由器通过WCCP池重定向此请求上一步。此请求可能是再被代理的通过不同的WSA,将造成此第二个WSA尝试拿来从第一个WSA的对象。
为了防止这样负面的情况, ACL在WCCP路由器将需要创建。ACL应该看起来类似于以下:
ACL线路 |
目的 |
access-list 105拒绝IP主机<WSA 1>中的任一个 |
请勿重定向于WSA 1起源的流量 |
access-list 105拒绝IP主机<WSA 2>中的任一个 |
请勿重定向于WSA 2起源的流量 |
access-list 105拒绝IP主机所有<WSA 2> |
请勿重定向去直接地WSA 1 (验证)的任何客户端 |
access-list 105拒绝IP主机所有<WSA 1> |
请勿重定向去直接地WSA 2 (验证)的任何客户端 |
这将防止客户端代理验证请求的重定向对WSAs。
您能也限制哪WSAs将接受作为Web缓存通过使用组列表:
ACL线路 |
目的 |
access-list 15 permit <WSA 1> |
允许在指定的WCCP服务ID将包括的此IP |
access-list 15 permit <WSA 2> |
允许在指定的WCCP服务ID将包括的此IP |
实现与这些ACL的WCCP的语法是:
ip WCCP <service ID> redirect-list 105
ip WCCP <service ID> redirect-list 105 Group-list 15
注意:您将需要添加每个WSA的一个规则您有。在上述方案中,只有两WSAs。