Pergunta
O WCCP com autenticação e vários WSAs causa um loop (ACL necessária para limitar o acesso do cliente)?
Sintomas
Ao usar WCCP, Autenticação e pelo menos dois WSAs, os clientes estão sendo redirecionados quando tentam acessar a URL do Servidor de Autenticação Transparente. Isso aparece como latência grave ou timeouts no cliente.
Solução
Quando a autenticação está sendo usada com o WCCP, o WSA deve primeiro redirecionar o cliente para ele mesmo, antes de executar a autenticação. Essa é uma etapa necessária, já que a autenticação não pode ser feita duas vezes para o mesmo destino.
O problema que está acontecendo é que quando o cliente faz uma nova solicitação para o WSA, o roteador WCCP está redirecionando essa solicitação de volta através do pool WCCP. Essa solicitação pode ser redirecionada por meio de um WSA diferente, o que fará com que esse segundo WSA tente buscar o objeto do primeiro WSA.
Para evitar esse comportamento indesejado, uma ACL precisará ser criada no roteador WCCP. A ACL deve ser semelhante a esta:
linha ACL |
Propósito |
access-list 105 deny ip host <WSA 1> any |
NÃO redirecione o tráfego que se origina do WSA 1 |
access-list 105 deny ip host <WSA 2> any |
NÃO redirecione o tráfego originado no WSA 2 |
access-list 105 deny ip host any <WSA 2> |
NÃO redirecione nenhum cliente que vá diretamente para WSA 1 (autenticação) |
access-list 105 deny ip host any <WSA 1> |
NÃO redirecione nenhum cliente que vá diretamente para o WSA 2 (autenticação) |
Isso impedirá que os clientes sejam redirecionados para as solicitações de autenticação de proxy para os WSAs.
Você também pode limitar quais WSAs serão aceitos como caches da Web utilizando a lista de grupos:
linha ACL |
Propósito |
access-list 15 permit <WSA 1> |
Permitir que este IP seja incluído na ID de serviço do WCCP especificada |
access-list 15 permit <WSA 2> |
Permitir que este IP seja incluído na ID de serviço do WCCP especificada |
A sintaxe para implementar o WCCP com essas ACLs é:
ip wccp <service ID> redirect-list 105
ip wccp <service ID> redirect-list 105 group-list 15
OBSERVAÇÃO: você precisará adicionar uma regra para cada WSA que tiver. No cenário acima, havia apenas dois WSAs.