Question
Le protocole WCCP avec authentification et plusieurs WSA provoque-t-il une boucle (liste de contrôle d'accès requise pour limiter l'accès client) ?
Symptômes
Lors de l'utilisation de WCCP, de l'authentification et d'au moins deux WSA, les clients sont redirigés lorsqu'ils tentent d'accéder à l'URL du serveur d'authentification transparente. Il s'agit d'une latence ou d'un délai d'attente sévère sur le client.
Solution
Lorsque l'authentification est utilisée avec WCCP, le WSA doit d'abord rediriger le client vers lui-même, avant de pouvoir effectuer l'authentification. Il s'agit d'une étape nécessaire, car l'authentification ne peut pas être effectuée deux fois pour la même destination.
Le problème qui se produit est que lorsque le client effectue une nouvelle demande pour le WSA, le routeur WCCP redirige cette demande à travers le pool WCCP. Cette demande peut être ré-envoyée par proxy via un WSA différent, ce qui entraînera la tentative de ce second WSA de récupérer l'objet du premier WSA.
Afin d'empêcher un tel comportement indésirable, une liste de contrôle d'accès devra être créée sur le routeur WCCP. La liste de contrôle d’accès doit ressembler à ce qui suit :
ligne ACL |
Objectif |
access-list 105 deny ip host <WSA 1> any |
Ne PAS rediriger le trafic provenant de WSA 1 |
access-list 105 deny ip host <WSA 2> any |
Ne PAS rediriger le trafic provenant de WSA 2 |
access-list 105 deny ip host any <WSA 2> |
Ne redirigez AUCUN client directement vers WSA 1 (authentification) |
access-list 105 deny ip host any <WSA 1> |
Ne redirigez AUCUN client directement vers WSA 2 (authentification) |
Cela empêchera les clients d'être redirigés vers les WSA pour les demandes d'authentification proxy.
Vous pouvez également limiter les WSA qui seront acceptés comme Web-caches en utilisant la liste de groupes :
ligne ACL |
Objectif |
access-list 15 permit <WSA 1> |
Autoriser l'inclusion de cette adresse IP dans l'ID de service WCCP spécifié |
access-list 15 permit <WSA 2> |
Autoriser l'inclusion de cette adresse IP dans l'ID de service WCCP spécifié |
La syntaxe pour implémenter WCCP avec ces ACL est la suivante :
ip wccp <ID de service> redirect-list 105
ip wccp <ID de service> redirect-list 105 group-list 15
REMARQUE : vous devrez ajouter une règle pour chaque WSA dont vous disposez. Dans le scénario ci-dessus, il n'y avait que deux WSA.