Reply to Рекомендуемое расположение PAC на WSA on Fri, 27 Feb 2026 23:42:17 GMT

amojarra — Fri, 27 Feb 2026 23:42:17 GMT

Привет
[, @LY YIHEANG] Спасибо, что связались с нами
![] [1] Для обновления записи DNS мне нужно вручную обновить IP-адрес WSA1? Да, если WSA1 находится на техническом обслуживании или не отвечает на запросы прокси или PAC, и вы хотите перенаправить своих клиентов для запроса файла PAC от WSA2, вам необходимо вручную изменить IP-адрес в вашем DNS-сервере для этой записи A. [2] Что касается переключения PAC, есть ли какой-либо способ предотвратить попытки браузера связаться с неработающим WSA1? Или увеличить время ожидания? К сожалению, я должен сказать «нет». Файл PAC не является продуктом Cisco, и поведение браузеров полностью зависит от самих браузеров. Но, насколько я помню, они начинают с первого прокси, если в браузерах нет каких-либо улучшений, позволяющих запомнить, какой прокси не отвечал, и удерживать перенаправление трафика к нему в течение некоторого времени. [3] Я полагаю, что у вас есть следующие опасения: [3-1] Как перенаправить трафик на второй WSA, если первый WSA не работает. [3-2] Как разместить файл PAC в таком месте, чтобы в случае сбоя первого WSA отвечал второй. Если вы планируете использовать оба WSA в режиме отказоустойчивости (активный-пассивный), в WSA есть настройка failoverconfig, с помощью которой вы можете это сделать. В этом случае WSA выберут виртуальный IP-адрес, и активный будет отвечать на запросы прокси, а если активный выйдет из строя, второй WSA автоматически возьмет на себя ответственность за ответы на запросы прокси. Таким образом, в этом случае у вас будет только один виртуальный IP-адрес, который вы можете установить в файле PAC. Для получения дополнительной информации см. раздел «Настройка групп отказоустойчивости для обеспечения высокой доступности» в руководстве пользователя:
Руководство пользователя по AsyncOS 14.5 для Cisco Secure Web Appliance — GD (общее развертывание) Если вы хотите использовать режим «активный-активный», вам необходимо настроить записи DNS и выполнить некоторые настройки вручную на случай сбоя одного из WSA. В большинстве случаев для активного-активного производства более эффективно использовать WCCP (для прозрачного прокси) или балансировщик нагрузки. Надеемся, что это соответствует вашим ожиданиям. Если у вас есть какие-либо вопросы или замечания, пожалуйста, сообщите нам. С уважением, Амирхоссейн Моджаррад +++++++++++++++++++++++++++++++++++++++++++++++++++ ++++ Если этот ответ оказался полезным, пожалуйста, оцените его ++++ +++++++++++++++++++++++++++++++++++++++++++++++++++ С уважением,
Амирхоссейн Моджаррад
+++++++++++++++++++++++++++++++++++++++++++++++++++
++++ Если этот ответ был вам полезен, пожалуйста, оцените его ++++
+++++++++++++++++++++++++++++++++++++++++++++++++++

Reply to Рекомендуемое расположение PAC на WSA on Fri, 27 Feb 2026 23:42:16 GMT

LY YIHEANG — Fri, 27 Feb 2026 23:42:16 GMT

Уважаемый
@amojarra
, Для обновления записи DNS мне нужно вручную обновить IP-адрес WSA1?
Для переключения PAC при сбое, есть ли способ предотвратить попытки браузера подключиться к неработающему WSA1? Или увеличить время ожидания? Спасибо.

Reply to Рекомендуемое расположение PAC на WSA on Fri, 27 Feb 2026 23:42:15 GMT

amojarra — Fri, 27 Feb 2026 23:42:15 GMT

Привет
[, @LY YIHEANG] Вы можете разместить его на обоих WSA. Затем создайте запись A на вашем DNS-сервере, например PAC.network.local, установите TTL для этой записи равным 0 (без кэша) и направьте ее на WSA1. Если WSA1 вышел из строя, вы можете обновить запись DNS на IP-адрес второго WSA. Также имейте в виду, что файл PAC также будет кэшироваться в браузере. Поэтому для новых пользователей или пользователей с истекшим сроком действия PAC у вас возникнут проблемы в период между изменением записи A. С другой стороны, если WSA1 полностью вышел из строя (а не просто некоторые внутренние службы), и браузер разрешает 2 IP-адреса для вашего PAC, он попробует подключиться ко второму хосту PAC. И наконец, вы можете настроить оба IP-адреса WSA в самом файле PAC в качестве резервного варианта, но в случае выхода из строя WSA1 вы столкнетесь с задержкой, поскольку браузер всегда будет пытаться подключиться сначала к IP-адресу первого прокси, а затем к IP-адресу второго прокси. С уважением, Амирхоссейн Моджаррад +++++++++++++++++++++++++++++++++++++++++++++++++++ ++++ Если этот ответ оказался вам полезным, пожалуйста, оцените его ++++ +++++++++++++++++++++++++++++++++++++++++++++++++++ С уважением,
Амирхоссейн Моджаррад
+++++++++++++++++++++++++++++++++++++++++++++++++++
++++ Если этот ответ был вам полезен, пожалуйста, оцените его ++++
+++++++++++++++++++++++++++++++++++++++++++++++++++

Reply to Рекомендуемое расположение PAC на WSA on Fri, 27 Feb 2026 23:42:14 GMT

LY YIHEANG — Fri, 27 Feb 2026 23:42:14 GMT

Да, Кен. Мой вопрос касается местоположения, поскольку клиент хочет хранить файл pac как на WSA, так и на конечном устройстве, а мы не можем настроить 2 местоположения PAC на конечном устройстве. Каков же лучший способ достичь этой цели?

Reply to Рекомендуемое расположение PAC на WSA on Fri, 27 Feb 2026 23:42:13 GMT

Ken Stieers — Fri, 27 Feb 2026 23:42:13 GMT

Я думаю, что вы можете настроить файл PAC, чтобы сделать это...

Reply to Рекомендуемое расположение PAC на WSA on Fri, 27 Feb 2026 23:42:12 GMT

LY YIHEANG — Fri, 27 Feb 2026 23:42:12 GMT

Уважаемая команда, поскольку нам требуется разместить WSA в другом месте, я не думаю, что мы сможем обойтись без HA. Есть ли альтернативное решение? Например, DNS... Примечание: у нас нет Load Balancer.

Reply to Рекомендуемое расположение PAC на WSA on Fri, 27 Feb 2026 23:42:11 GMT

Ken Stieers — Fri, 27 Feb 2026 23:42:11 GMT

Если вы используете версию 11.0 или более позднюю (а вам следует использовать версию 14.x, которая уже доступна), вы можете настроить WSA в конфигурации высокой доступности. Она использует CARP, поэтому вы получаете виртуальный IP-адрес, который WSA передают друг другу, ваш файл PAC будет одинаковым, размещенным на обоих устройствах, и он должен быть настроен для направления трафика на VIP. https://medium.com/@abhijitanand/deploy-cisco-web-security-appliance-in-4-steps-3bc1eed14b8e

Reply to Рекомендуемое расположение PAC на WSA on Fri, 27 Feb 2026 23:42:10 GMT

Ken Stieers — Fri, 27 Feb 2026 23:42:10 GMT

То, что действительно хочет клиент, невозможно реализовать с тем, что у вас есть. Вы можете разместить его на обоих серверах, и DNS для местоположения файла PAC может указывать на оба сервера, но DNS с циклическим переключением не перенаправит вас на резервный сервер, если основной сервер не работает. Вам понадобится балансировщик нагрузки, который выполняет либо истинную балансировку нагрузки, либо балансировку на основе DNS, где он выдает DNS работающего сервера, так же как работает глобальная балансировка нагрузки.