如何配置 IP 欺骗功能？
文档编号：117949
作者：Cordelia Naumann 和 Siddharth Rajpathak，Cisco TAC 工程师。
2014 年 7 月 16 日
目录
问题
问题
如何配置 IP 欺骗功能？
环境：思科网络安全设备 (WSA)，所有 AsyncOS 版本
摘要：
在传统代理部署中，客户端的 IP 地址将替换为代理/缓存服务器的 IP 地址。 当通过屏蔽最终用户的
地址提供内在安全时，在某些情况下，有些 Web 应用会要求访问发起方客户端的 IP 地址。
通过在思科网络安全设备 (WSA) 中实施“IP 欺骗”功能并在 Cisco IOS 设备上配置相应的 WCCP 服务
组，可以向 Web 应用显示客户端的 IP 地址，以代替 WSA 的 IP 地址。 下面的内容介绍了此实施的
必要配置步骤。
说明：
要实施“IP 欺骗”功能，需要在 Cisco IOS® 路由器上创建两个唯一的 WCCP 服务组。 第一个
WCCP“Web-缓存”组用于将来自用户的 http/端口 80 流量重新定向到 WSA。 可通过配置特定访问控
制列表（如下例所示）来控制哪些用户受思科网络安全设备保护。 路由器上的用户接口可配置为将
入站流量重新定向到此 WCCP 服务组。
第二个 WCCP 服务组需要定义为动态服务 ID（即服务 ID 95）。 同样，使用访问列表来控制哪些用
户可受保护（例如允许全部绕过系统）。 对于返回的 Web 流量，路由器上的外部接口可配置为将其
入站流量重新定向到 WCCP 服务组 95。
更新日期：2014 年 7 月 16 日
文档编号：117949