질문
WCCP with Authentication(인증 포함) 및 여러 WSA로 인해 루프가 발생합니까(클라이언트 액세스를 제한하려면 ACL이 필요합니까)?
증상
WCCP, 인증 및 최소 2개의 WSA를 사용하는 경우, 클라이언트가 투명 인증 서버 URL에 액세스하려고 시도할 때 리디렉션됩니다. 이는 클라이언트에서 심각한 레이턴시 또는 시간 초과로 나타납니다.
솔루션
인증이 WCCP와 함께 사용되는 경우, WSA는 인증을 수행하기 전에 먼저 클라이언트를 자신에게 리디렉션해야 합니다. 동일한 대상에 대해 인증을 두 번 수행할 수 없으므로 이는 필요한 단계입니다.
문제가 발생하는 것은 클라이언트가 WSA에 대해 새 요청을 할 때 WCCP 라우터가 WCCP 풀을 통해 이 요청을 다시 리디렉션하고 있다는 것입니다. 이 요청은 다른 WSA를 통해 다시 프록시될 수 있으며, 이는 이 제2 WSA가 제1 WSA에서 객체를 가져오려고 시도하게 합니다.
원하지 않는 동작을 방지하려면 WCCP 라우터에 ACL을 생성해야 합니다. ACL은 다음과 비슷해야 합니다.
ACL 라인 |
목적 |
access-list 105 deny ip host <WSA 1> any |
WSA 1에서 시작되는 트래픽을 리디렉션하지 않음 |
access-list 105 deny ip host <WSA 2> any |
WSA 2에서 시작되는 트래픽을 리디렉션하지 않음 |
access-list 105 deny ip host any <WSA 2> |
WSA 1(인증)로 직접 가는 클라이언트를 리디렉션하지 마십시오. |
access-list 105 deny ip host any <WSA 1> |
WSA 2(인증)로 직접 가는 클라이언트를 리디렉션하지 마십시오. |
이렇게 하면 클라이언트가 프록시 인증 요청을 위해 WSA로 리디렉션되는 것을 방지할 수 있습니다.
그룹 목록을 활용하여 웹 캐시로 허용할 WSA를 제한할 수도 있습니다.
ACL 라인 |
목적 |
access-list 15 permit <WSA 1> |
이 IP를 지정된 WCCP 서비스 ID에 포함하도록 허용 |
access-list 15 permit <WSA 2> |
이 IP를 지정된 WCCP 서비스 ID에 포함하도록 허용 |
이러한 ACL로 WCCP를 구현하는 구문은 다음과 같습니다.
ip wccp <서비스 ID> 리디렉션 목록 105
ip wccp <서비스 ID> redirect-list 105 group-list 15
참고: 보유하고 있는 각 WSA에 대한 규칙을 추가해야 합니다. 위 시나리오에서는 WSA가 두 개뿐이었습니다.