質問
認証と複数WSAのWCCPによってループ(クライアント アクセスを制限するためのACL)が生じますか。
症状
WCCP、認証、および最低 2 つの WSA を使用する場合、クライアントが透過的な認証サーバ URL にアクセスしようとすると、リダイレクトされます。これはクライアントで、深刻な遅延またはタイムアウトと表示されます。
解決方法
認証を WCCP と共に使用する場合、WSA は認証を実行する前に、まず始めにクライアントを自身にリダイレクトする必要があります。認証は同じ宛先に対して 2 度実行できないため、これは必要な手順です。
発生している問題は、クライアントが WSA に新しい要求を作成するとき、WCCP ルータが WCCP プールを通じて、この要求をリダイレクトして戻すことです。この要求は、異なる WSA によって再プロキシされる可能性があり、これにより 2 番目の WSA が最初の WSA からオブジェクトを取得しようとします。
このような望ましくない動作を防ぐために、ACL を WCCP ルータ上に作成する必要があります。ACL の設定は次のようになります。
| ACL 行 |
目的 |
| access-list 105 deny ip host <WSA 1> any |
WSA 1 から送信されるトラフィックをリダイレクトしない |
| access-list 105 deny ip host <WSA 2> any |
WSA 2 から送信されるトラフィックをリダイレクトしない |
| access-list 105 deny ip host any <WSA 2> |
WSA 1 に直接送信されるクライアントをリダイレクトしない(認証) |
| access-list 105 deny ip host any <WSA 1> |
WSA 2 に直接送信されるクライアントをリダイレクトしない(認証) |
これは、クライアントが WSA へのプロキシ認証要求に転送されることを防ぎます。
また、グループ リストを利用して、Web キャッシュとして受け入れられる WSA を制限することもできます。
| ACL 行 |
目的 |
| access-list 15 permit <WSA 1> |
この IP が指定した WCCP サービス ID に含まれるようにする |
| access-list 15 permit <WSA 2> |
この IP が指定した WCCP サービス ID に含まれるようにする |
これらの WCCP を ACL で実行する構文は次のとおりです。
ip wccp <service ID> redirect-list 105
ip wccp <service ID> redirect-list 105 group-list 15
注:所有するWSAごとにルールを追加する必要があります。上記のシナリオでは、2 つの WSA のみがありました。
フィードバック