問題
如何讓Google Earth與思科網路安全裝置配合使用?
環境
Google地球4.2
症狀
當客戶端連線到思科網路安全裝置(WSA)時,應用Google Earth不起作用。這可能是由於客戶端上的代理設定或WSA的身份驗證要求導致的。
案例1
當您通過WSA使用Google Earth時,會看到錯誤代碼26或指示無法訪問伺服器的消息。如果在網路中以顯式模式設定WSA,則需要配置Google Earth以使用Proxy。
這可以通過在Internet Explorer中進行某些更改來完成:
- 按一下「Start(開始)」並選擇「Control Panel(控制面板)」。
- 按兩下「Internet選項」。
- 選擇「連線」頁籤。
- 按一下「LAN設定」。
- 在「Proxy server」下,選擇「Use a proxy server for your LAN」並輸入代理資訊。
- 完成此操作後,選擇「確定」以儲存這些更改。
案例2
Google Earth未通過WSA工作,但顯示一條消息,指示需要失敗的身份驗證/憑據。如果處理請求需要身份驗證,Google Earth將需要一種身份驗證方法。要解決此問題,我們需要免除Google Earth伺服器的身份驗證。
要免除Google Earth的身份驗證豁免,請執行以下操作:
對於6.x以下的AsyncOS版本:
- 在WSA GUI上,瀏覽到「網絡安全管理器」。
- 選擇Destination Authentication Exements > Destinations。
- 新增地址 — kh.google.com、geo.keyhole.com和auth.keyhole.com、.pack.google.com、pack.google.com、mw1.google.com、clients1.google.com、earth.google.com、maps.google.com maps.gstatic.com csi.gstatic.com .gstatic.com、nexus和nexus。
- 提交更改。
對於AsyncOS 6.x及更高版本:
- 建立一個名為「Destination Authentication Exemption Destinations」的新自定義URL策略,並將kh.google.com、geo.keyhole.com、auth.keyhole.com、.pack.google.com、pack.google.com、mw1.google.com、clients1.google.com、earth.google.com、maps.google.com和maps.gstatic.com新增到清單中。
- 建立一個名為「應用旁路身份」的身份,並將其設定為無需身份驗證。 在高級部分,選擇名為「目標身份驗證免除目標」的URL類別。
- 建立名為「應用旁路策略」的訪問策略,並為其分配「應用旁路標識」。 現在,您將繞過Google Earth的身份驗證請求。
案例3
如果網路流量被透明地重定向到WSA,Google Earth客戶端將無法響應透明身份驗證請求,並且發生故障。
在這些情況下,可以將WSA配置為基於客戶端IP地址快取使用者憑證。 在這種情況下,只要存在來自客戶端的先前網路流量,Google Earth客戶端就不需要重新進行身份驗證。
對於AsyncOS 6.x及更高版本,可在Network > Authentication > Surrogate Type: IP Address下配置此功能。