Рекомендуемое расположение PAC на WSA
-
Уважаемая команда, У нас есть два WSA, работающие в режиме явного прокси. Мы хотим хранить файл proxy pac на WSA и хотим, чтобы клиент как всегда работал с основным WSA и переключался на резервный только в случае выхода из строя основного WSA. Есть ли способ достичь этой цели? Примечание: обычно конфигурация PAC-файла прокси может быть настроена только с одним конкретным URL/местоположением.
-
То, что действительно хочет клиент, невозможно реализовать с тем, что у вас есть. Вы можете разместить его на обоих серверах, и DNS для местоположения файла PAC может указывать на оба сервера, но DNS с циклическим переключением не перенаправит вас на резервный сервер, если основной сервер не работает. Вам понадобится балансировщик нагрузки, который выполняет либо истинную балансировку нагрузки, либо балансировку на основе DNS, где он выдает DNS работающего сервера, так же как работает глобальная балансировка нагрузки.
-
Если вы используете версию 11.0 или более позднюю (а вам следует использовать версию 14.x, которая уже доступна), вы можете настроить WSA в конфигурации высокой доступности. Она использует CARP, поэтому вы получаете виртуальный IP-адрес, который WSA передают друг другу, ваш файл PAC будет одинаковым, размещенным на обоих устройствах, и он должен быть настроен для направления трафика на VIP. https://medium.com/@abhijitanand/deploy-cisco-web-security-appliance-in-4-steps-3bc1eed14b8e
-
Уважаемая команда, поскольку нам требуется разместить WSA в другом месте, я не думаю, что мы сможем обойтись без HA. Есть ли альтернативное решение? Например, DNS... Примечание: у нас нет Load Balancer.
-
Я думаю, что вы можете настроить файл PAC, чтобы сделать это...
-
Да, Кен. Мой вопрос касается местоположения, поскольку клиент хочет хранить файл pac как на WSA, так и на конечном устройстве, а мы не можем настроить 2 местоположения PAC на конечном устройстве. Каков же лучший способ достичь этой цели?
-
Привет
[, @LY YIHEANG] Вы можете разместить его на обоих WSA. Затем создайте запись A на вашем DNS-сервере, например PAC.network.local, установите TTL для этой записи равным 0 (без кэша) и направьте ее на WSA1. Если WSA1 вышел из строя, вы можете обновить запись DNS на IP-адрес второго WSA. Также имейте в виду, что файл PAC также будет кэшироваться в браузере. Поэтому для новых пользователей или пользователей с истекшим сроком действия PAC у вас возникнут проблемы в период между изменением записи A. С другой стороны, если WSA1 полностью вышел из строя (а не просто некоторые внутренние службы), и браузер разрешает 2 IP-адреса для вашего PAC, он попробует подключиться ко второму хосту PAC. И наконец, вы можете настроить оба IP-адреса WSA в самом файле PAC в качестве резервного варианта, но в случае выхода из строя WSA1 вы столкнетесь с задержкой, поскольку браузер всегда будет пытаться подключиться сначала к IP-адресу первого прокси, а затем к IP-адресу второго прокси. С уважением, Амирхоссейн Моджаррад +++++++++++++++++++++++++++++++++++++++++++++++++++ ++++ Если этот ответ оказался вам полезным, пожалуйста, оцените его ++++ +++++++++++++++++++++++++++++++++++++++++++++++++++ С уважением,
Амирхоссейн Моджаррад
+++++++++++++++++++++++++++++++++++++++++++++++++++
++++ Если этот ответ был вам полезен, пожалуйста, оцените его ++++
+++++++++++++++++++++++++++++++++++++++++++++++++++ -
Уважаемый
@amojarra
, Для обновления записи DNS мне нужно вручную обновить IP-адрес WSA1?
Для переключения PAC при сбое, есть ли способ предотвратить попытки браузера подключиться к неработающему WSA1? Или увеличить время ожидания? Спасибо. -
Привет
[, @LY YIHEANG] Спасибо, что связались с нами
] [1] Для обновления записи DNS мне нужно вручную обновить IP-адрес WSA1? Да, если WSA1 находится на техническом обслуживании или не отвечает на запросы прокси или PAC, и вы хотите перенаправить своих клиентов для запроса файла PAC от WSA2, вам необходимо вручную изменить IP-адрес в вашем DNS-сервере для этой записи A. [2] Что касается переключения PAC, есть ли какой-либо способ предотвратить попытки браузера связаться с неработающим WSA1? Или увеличить время ожидания? К сожалению, я должен сказать «нет». Файл PAC не является продуктом Cisco, и поведение браузеров полностью зависит от самих браузеров. Но, насколько я помню, они начинают с первого прокси, если в браузерах нет каких-либо улучшений, позволяющих запомнить, какой прокси не отвечал, и удерживать перенаправление трафика к нему в течение некоторого времени. [3] Я полагаю, что у вас есть следующие опасения: [3-1] Как перенаправить трафик на второй WSA, если первый WSA не работает. [3-2] Как разместить файл PAC в таком месте, чтобы в случае сбоя первого WSA отвечал второй. Если вы планируете использовать оба WSA в режиме отказоустойчивости (активный-пассивный), в WSA есть настройка failoverconfig, с помощью которой вы можете это сделать. В этом случае WSA выберут виртуальный IP-адрес, и активный будет отвечать на запросы прокси, а если активный выйдет из строя, второй WSA автоматически возьмет на себя ответственность за ответы на запросы прокси. Таким образом, в этом случае у вас будет только один виртуальный IP-адрес, который вы можете установить в файле PAC. Для получения дополнительной информации см. раздел «Настройка групп отказоустойчивости для обеспечения высокой доступности» в руководстве пользователя:
Руководство пользователя по AsyncOS 14.5 для Cisco Secure Web Appliance — GD (общее развертывание) Если вы хотите использовать режим «активный-активный», вам необходимо настроить записи DNS и выполнить некоторые настройки вручную на случай сбоя одного из WSA. В большинстве случаев для активного-активного производства более эффективно использовать WCCP (для прозрачного прокси) или балансировщик нагрузки. Надеемся, что это соответствует вашим ожиданиям. Если у вас есть какие-либо вопросы или замечания, пожалуйста, сообщите нам. С уважением, Амирхоссейн Моджаррад +++++++++++++++++++++++++++++++++++++++++++++++++++ ++++ Если этот ответ оказался полезным, пожалуйста, оцените его ++++ +++++++++++++++++++++++++++++++++++++++++++++++++++ С уважением,
Амирхоссейн Моджаррад
+++++++++++++++++++++++++++++++++++++++++++++++++++
++++ Если этот ответ был вам полезен, пожалуйста, оцените его ++++
+++++++++++++++++++++++++++++++++++++++++++++++++++
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти