Политика доступа между зоной LAN (пользователи) и зоной WAN (интернет) предусматривает, что в зоне LAN некоторым пользователям разрешен доступ к WAN по определенному набору протоколов, а остальным запрещен:
class-map type inspect match-any LAN-WAN-PROTOCOL-CLASS
match protocol http
match protocol https
match protocol aol
!
class-map type inspect match-all LAN-WAN-CLASS
match access-group name LAN-WAN-ACL
match class-map LAN-WAN-PROTOCOL-CLASS
!
ip access-list extended LAN-WAN-ACL
permit ip host 192.168.0.x any
permit ip host 192.168.0.y any
permit ip host 192.168.0.z any
Но вот особенность - если работает WCCP, то пользователи, не указанные в списке LAN-WAN-ACL, все равно имеют доступ к ресурсам WAN по протоколу http, так как WCCP делает редирект (в моем случае в зону DMZ, а между LAN и DMZ стоит правило "any any" ) и получается, что правило, которое должно было запретить доступ, не работает.
Решается указанием в редирект листе для WCCP того же списка доступа, что и в LAN-WAN-CLASS
ip wccp web-cache redirect-list LAN-WAN-ACL
понедельник, 20 апреля 2009 г.
Подписаться на:
Комментарии к сообщению (Atom)
Комментариев нет:
Отправить комментарий