Cisco WSA Traffic Flow с балансировщиком нагрузки
-
Всем привет! У нас есть 2 WSA в ЦОД и балансировщик нагрузки Citrix. Нам необходимо использовать оба интернет-провайдера из Cisco WSA. Каким будет трафик, если мы будем использовать балансировщик нагрузки Citrix для распределения нагрузки? Мы используем явный прокси-сервер на основе браузера для всех пользователей. Может ли кто-нибудь объяснить поток трафика и взаимосвязь WSA с точки зрения анализа файлов с TG? Если мы будем использовать балансировщик нагрузки, то как будет проходить трафик/балансировка нагрузки и сможем ли мы отправлять файлы в On-Prem TG для анализа файлов? @amojarra
@webproxy @wsa -
Когда я указываю IP-адрес источника и IP-адрес назначения, я имею в виду, что не следует использовать номер порта.
Если вы выбираете только IP-адрес источника, то трафик от одного клиента всегда будет перенаправляться на один WSA, и проблем с согласованностью файлов не возникнет. С уважением, Амирхоссейн Моджаррад +++++++++++++++++++++++++++++++++++++++++++++++++++ ++++ Если этот ответ оказался вам полезным, пожалуйста, оцените его ++++ +++++++++++++++++++++++++++++++++++++++++++++++++++ С уважением,
Амирхоссейн Моджаррад
+++++++++++++++++++++++++++++++++++++++++++++++++++
++++ Если этот ответ оказался вам полезным, пожалуйста, оцените его как таковой ++++
+++++++++++++++++++++++++++++++++++++++++++++++++++ -
Трафик должен проходить следующим образом (рекомендуется использовать WPAD, если вы ищете прокси-сервер для браузера) пользователи ---LB ---(P1) WSA (P2) - внешний интернет ---FW --ISP BB
=====Preenayamo Vasudevam=====
***** Оцените все полезные ответы *****
Как обратиться за помощью к сообществу Cisco -
Здравствуйте, Баладжи, Прежде всего, мы не будем использовать файл PAC. Вместо этого мы просто определим данные прокси-сервера в настройках прокси браузера. Во-вторых, я хорошо понимаю поток трафика, который вы прислали. Единственное, что меня беспокоит, — это то, что у нас также есть локальный TG для анализа файлов. Итак, в случае использования балансировщика нагрузки, возникнут ли какие-либо проблемы, если WSA будет отправлять данные со своего интерфейса P1 на интерфейс TG Clean для анализа файлов?
-
Вам нужно составить небольшую схему подключения вашей сети. Если вы указываете настройки прокси в браузере, вам нужно указать VIP-адрес LB. TG зависит от того, где он находится в сети и маршрутизации, вы должны указать TG в WSA, чтобы WSA мог подключиться к нему. (Возможно, вам нужно посмотреть руководство по развертыванию TG на месте). Ознакомьтесь с некоторыми руководствами по развертыванию: https://www.cisco.com/c/dam/en/us/products/collateral/security/web-security-appliance/guide-c07-740816.pdf Прилагаю руководство, которое я использовал (но TG в облаке) — вместо F5 мы использовали Citrix LB BB
=====Preenayamo Vasudevam=====
***** Оцените все полезные ответы *****
Как обратиться за помощью к сообществу Cisco -
Здравствуйте, Баладжи Надеюсь, у вас все хорошо. Со стороны клиента, скорее всего, вы добавляете IP-адрес LB в качестве прокси-сервера, который балансирует HTTP- и HTTPS-трафик. Что касается TG, WSA будет связываться с TG через свой интерфейсный IP-адрес и случайный номер порта, отправляя трафик на ваш сервер TG (скорее всего, TCP443). Таким образом, трафик, выходящий из WSA в TG, не будет балансироваться на обратном пути, с другой стороны, вы можете использовать интерфейс M1 для связи с вашими TG. Если у вас есть какие-либо вопросы или замечания, пожалуйста, сообщите нам. С уважением, Амирхоссейн Моджаррад +++++++++++++++++++++++++++++++++++++++++++++++++++ ++++ Если этот ответ оказался вам полезным, пожалуйста, оцените его ++++ +++++++++++++++++++++++++++++++++++++++++++++++++++ С уважением,
Амирхоссейн Моджаррад
+++++++++++++++++++++++++++++++++++++++++++++++++++
++++ Если этот ответ оказался вам полезным, пожалуйста, оцените его ++++
+++++++++++++++++++++++++++++++++++++++++++++++++++ -
Вы можете использовать интерфейс M1 для связи с вашими TG. - Это имеет смысл, интерфейс M1 должен знать об этой маршрутизации. BB
=====Пренаямо Васудевам=====
***** Оценить все полезные ответы *****
Как обратиться за помощью к сообществу Cisco -
Все наши интерфейсы M1 будут находиться в одной подсети. Интерфейс TG Clean и интерфейс WSA P1 будут находиться в одной подсети. Таким образом, мы будем осуществлять интеграцию между интерфейсами Clean и P1, а не M1.
-
Таким образом, если они находятся в одной подсети, трафик, выходящий из интерфейса P1 WSA, никогда не попадет в ваш LB. Единственное, что вам нужно учесть в своем проекте, — это выбрать лучший алгоритм для LB, например, с использованием как IP-адреса источника, так и IP-адреса назначения. В этом случае трафик загрузки одного файла всегда будет находиться в одном и том же WSA, и этот WSA будет взаимодействовать с одним из ваших TG. С уважением, Амирхоссейн Моджаррад +++++++++++++++++++++++++++++++++++++++++++++++++++ ++++ Если этот ответ оказался вам полезным, пожалуйста, оцените его ++++ +++++++++++++++++++++++++++++++++++++++++++++++++++ С уважением,
Амирхоссейн Моджаррад
+++++++++++++++++++++++++++++++++++++++++++++++++++
++++ Если этот ответ оказался вам полезным, пожалуйста, оцените его ++++
+++++++++++++++++++++++++++++++++++++++++++++++++++ -
Что произойдет, если мы будем выполнять балансировку нагрузки только на основе исходного IP-адреса? Возникнут ли какие-либо проблемы?
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти