O WCCP com autenticação e vários WSAs causa um loop (ACL necessária para limitar o acesso do cliente)

Opções de download

  • PDF     (234.7 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (90.1 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (73.7 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:13 de outubro de 2014
ID do documento:118416

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Pergunta

O WCCP com autenticação e vários WSAs causa um loop (ACL necessária para limitar o acesso do cliente)?

Sintomas

Ao usar WCCP, Autenticação e pelo menos dois WSAs, os clientes estão sendo redirecionados quando tentam acessar a URL do Servidor de Autenticação Transparente. Isso aparece como latência grave ou timeouts no cliente.

Solução

Quando a autenticação está sendo usada com o WCCP, o WSA deve primeiro redirecionar o cliente para ele mesmo, antes de executar a autenticação. Essa é uma etapa necessária, já que a autenticação não pode ser feita duas vezes para o mesmo destino.

O problema que está acontecendo é que quando o cliente faz uma nova solicitação para o WSA, o roteador WCCP está redirecionando essa solicitação de volta através do pool WCCP. Essa solicitação pode ser redirecionada por meio de um WSA diferente, o que fará com que esse segundo WSA tente buscar o objeto do primeiro WSA.

Para evitar esse comportamento indesejado, uma ACL precisará ser criada no roteador WCCP. A ACL deve ser semelhante a esta:

 linha ACL  Propósito
 access-list 105 deny ip host <WSA 1> any  NÃO redirecione o tráfego que se origina do WSA 1
 access-list 105 deny ip host <WSA 2> any  NÃO redirecione o tráfego originado no WSA 2
 access-list 105 deny ip host any <WSA 2>  NÃO redirecione nenhum cliente que vá diretamente para WSA 1 (autenticação)
 access-list 105 deny ip host any <WSA 1>  NÃO redirecione nenhum cliente que vá diretamente para o WSA 2 (autenticação)

Isso impedirá que os clientes sejam redirecionados para as solicitações de autenticação de proxy para os WSAs.

Você também pode limitar quais WSAs serão aceitos como caches da Web utilizando a lista de grupos:

 linha ACL  Propósito
 access-list 15 permit <WSA 1>  Permitir que este IP seja incluído na ID de serviço do WCCP especificada
 access-list 15 permit <WSA 2>  Permitir que este IP seja incluído na ID de serviço do WCCP especificada

A sintaxe para implementar o WCCP com essas ACLs é:

ip wccp <service ID> redirect-list 105
ip wccp <service ID> redirect-list 105 group-list 15

OBSERVAÇÃO: você precisará adicionar uma regra para cada WSA que tiver. No cenário acima, havia apenas dois WSAs.

Histórico de revisões

Revisão Data de publicação Comentários
1.0
13-Oct-2014
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos