IP : Transmission Control Protocol (TCP)

MPTCP e vista geral da sustentação do produto

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Este documento fornecem uma vista geral de TCP Multipath (MPTCP), seu impacto na inspeção do fluxo, e o Produtos da Cisco que é e não é afetado por ela.

Contribuído por jovens do gaio e por asa de Daniel, engenheiros de TAC da Cisco.

Vista geral MPTCP

Informações de Apoio

Os anfitriões conectados ao Internet ou dentro de um ambiente do centro de dados são conectados frequentemente por caminhos múltiplos. Contudo, quando o TCP é usado para o transporte de dados, uma comunicação é restringida a um trajeto de rede única. É possível que alguns trajetos entre os dois anfitriões estão congestionados, visto que os caminhos alternativos são pouco utilizados. Um uso dos mais eficiente dos recursos de rede é possível se estes caminhos múltiplos são usados simultaneamente. Além, o uso das conexões múltiplas aumenta a experiência do usuário, porque fornece o throughput elevado e a resiliência melhorada contra falhas de rede.

MPTCP é um grupo de Ramais ao TCP regular que permite um único fluxo de dados de ser separado e levado através das conexões múltiplas. Refira o RFC6824: Extensões de TCP para a operação Multipath com os endereços múltiplos para mais informação.

Segundo as indicações deste diagrama, MPTCP pode separar o 9mbps flui em três secundário-fluxos diferentes no nó de remetente, que é agregado subseqüentemente de novo no fluxo dos dados originais no nó de recepção.

Os dados que incorporam a conexão MPTCP atuam exatamente como fazem através de uma conexão de TCP regular; os dados transmitidos garantiram e a entrega da em-ordem. Desde que MPTCP ajusta a pilha da rede e se opera dentro da camada de transporte, é usado transparentemente pelo aplicativo.

Estabelecimento de sessão

MPTCP usa opções de TCP a fim negociar e orquestrar a separação e a remontagem dos dados sobre os secundário-fluxos múltiplos. A opção de TCP 30 é reservada pelo Internet Assigned Numbers Authority (IANA) para o uso exclusivo por MPTCP. Refira parâmetros do Transmission Control Protocol (TCP) para mais informação. No estabelecimento de uma sessão de TCP regular, uma opção MP_CAPABLE é incluída no pacote inicial do sincronizar (SYN). Se os apoios do que responde e escolhem negociar MPTCP, ele igualmente respondem com a opção MP_CAPABLE no pacote do SYN-reconhecimento (ACK). As chaves trocadas dentro deste aperto de mão são usadas no futuro a fim autenticar a junta e a remoção de outras sessões de TCP neste MPTCP flui.

Junte-se a Secundário-fluxos adicionais

Quando julgado necessário, o Host-a pôde iniciar os secundário-fluxos adicionais originado de uma relação ou de um endereço diferente ao Host-b. Como com o secundário-fluxo inicial, as opções de TCP são usadas a fim indicar o desejo fundir este secundário-fluxo com o outro secundário-fluxo. As chaves que são trocadas dentro do estabelecimento inicial do secundário-fluxo (junto com um algoritmo de hashing) são usadas pelo Host-b a fim confirmar que o pedido da junta está enviado certamente pelo Host-a. O secundário-fluxo secundário 4-tuple (IP da fonte, IP de destino, porta de origem, e porta do destino) é diferente do que aquele do secundário-fluxo preliminar; este fluxo pôde tomar um trajeto diferente através da rede.

Adicionar o endereço

O Host-a tem interfaces múltiplas, e é possível que o Host-b tem conexões de rede múltipla. O Host-b aprende sobre o A1 e o A2 dos endereços implicitamente em consequência dos secundário-fluxos da fonte do Host-a de cada um de seus endereços destinados ao B1. É possível que o Host-b anuncia seu endereço adicional (B2) ao Host-a de modo que outros secundário-fluxos sejam feitos ao B2. Isto é terminado através da opção de TCP 30. Segundo as indicações deste diagrama, o Host-b anuncia seu endereço secundário (B2) ao Host-a, e dois secundário-fluxos adicionais são criados. Porque MPTCP se opera acima da camada de rede da pilha do abrir interconexão do sistema (OSI), os endereços IP de Um ou Mais Servidores Cisco ICM NT anunciados podem ser IPv4, IPv6, ou ambos. É possível que alguns dos secundário-fluxos estão transportados pelo IPv4 simultaneamente enquanto outros secundário-fluxos são transportados pelo IPv6.

Segmentação, Multipath, e remontagem

Um fluxo de dados dado a MPTCP pelo aplicativo deve ser segmentado e distribuído através dos secundário-fluxos múltiplos pelo remetente. Então deve ser remontado no único fluxo de dados antes que esteja entregado de volta ao aplicativo.

MPTCP inspeciona o desempenho e a latência de cada secundário-fluxo, e ajusta dinamicamente a distribuição dos dados a fim ganhar o ritmo de tranferência agregado o mais alto. Durante transferência de dados, a opção de cabeçalho de TCP inclui a informação sobre os números da sequência/reconhecimento MPTCP, a sequência atual do secundário-fluxo/número do reconhecimento, e uma soma de verificação.

Impacto na inspeção do fluxo

Muitos dispositivos de segurança puderam zero-out ou para substituir cabeçalhos de TCP desconhecidos com nenhum valor da opção (NOOP). Se o dispositivo de rede faz este ao pacote SYN de TCP no secundário-fluxo inicial, a propaganda MP_CAPABLE está removida. Em consequência, parece ao server que o cliente não apoia MPTCP, e reverte à operação normal TCP.

Se o encabeçamento é preservado e MPTCP pode estabelecer secundário-fluxos múltiplos, a em-linha análise do pacote por dispositivos de rede não pôde funcionar confiantemente. Isto é porque somente as parcelas do fluxo de dados são transferidas a cada secundário-fluxo. O efeito da inspeção do protocolo em cima de MPTCP pôde variar de nada ao rompimento completo do serviço. O efeito varia baseado em que e no quanto dados são inspecionados. A análise do pacote pôde incluir a gateway de camada de aplicativo do Firewall (ALG ou reparares), o Network Address Translation (NAT) ALG, a visibilidade do aplicativo e o controle (AVC), ou o Network Based Application Recognition (NBAR). Se a inspeção de aplicativo é exigida em seu ambiente, recomenda-se que o cancelamento da opção de TCP 30 está permitido.

Se o fluxo não pode ser inspecionado devido à criptografia ou se o protocolo é desconhecido, a seguir o dispositivo inline deve não ter nenhum impacto no MPTCP flui.

Produtos da Cisco impactado por MPTCP

Este Produtos é impactado por MPTCP:

  • Ferramenta de segurança adaptável (ASA)
  • Serviços de firewall da próxima geração de Cisco ASA
  • Intrusion Prevention System (IPS)
  • ® do Cisco IOS
  • Motor do controle de aplicativo (ACE)
  • Segurança da Web da nuvem (ScanSafe)

Cada produto é descrito em detalhe nas seções subsequente deste documento.

ASA

Operações TCP

À revelia, o Firewall de Cisco ASA substitui as opções de TCP unsupported, que incluem a opção 30 MPTCP, com a opção NOOP (opção 1). A fim permitir a opção MPTCP, use esta configuração:

  1. Defina a política a fim permitir a opção de TCP 30 (usada por MPTCP) através do dispositivo:
    tcp-map my-mptcp
       tcp-options range 30 30 allow
  2. Defina a seleção do tráfego:
    class-map my-tcpnorm
       match any
  3. Defina um mapa do tráfego à ação:
    policy-map my-policy-map
       class my-tcpnorm
           set connection advanced-options my-mptcp
  4. Ative-a na caixa ou na interface per.:
    service-policy my-policy-map global

Inspeção do protocolo

O ASA apoia a inspeção de muitos protocolos. O efeito que o motor da inspeção pôde ter no aplicativo varia. Recomenda-se que, se a inspeção é exigida, o TCP-mapa descrito previamente não é aplicado.

Serviços de firewall da próxima geração de Cisco ASA

Operações TCP

As versões 9.1.2.42 e mais recente CX permitem a opção MPTCP, se o ASA é configurado a fim a permitir. As versões de software CX antes da versão 9.1.2.42 removem a opção MPTCP.

Descriptografia Inline do secure sockets layer (SSL)

O CX, quando configurado para a decriptografia de SSL, atua como um proxy da FULL-sessão. Em consequência, encarna o servidor SSL quando se comunica ao cliente, e igualmente encarna o cliente quando se comunica ao servidor SSL. Desde que o CX termina as duas conexões de TCP, não usa MPTCP, e as operações revertem às operações normais TCP.

IPS

As alertas do produto do ips Cisco na assinatura 1306/0 quando a opção de TCP 30 for considerada no TCP SYN. Porque a assinatura pertence na classe do normalizador, não faz nada no modo promisicious. É possível editar a assinatura a fim remover a opção 30 das condições do disparador. Isto impede que a assinatura combine.

Cisco IOS Firewall

Context-Based Access Control (CBAC)

O CBAC não remove os cabeçalhos de TCP do córrego TCP. MPTCP constrói uma conexão com o Firewall.

Firewall Zona-baseado (ZBFW)

ZBF não remove os cabeçalhos de TCP do córrego TCP. MPTCP constrói uma conexão com o Firewall.

ACE

À revelia, o dispositivo ACE descasca opções de TCP das conexões de TCP. A conexão MPTCP cai de volta às operações regulares TCP.

O dispositivo ACE pôde ser configurado a fim permitir as opções de TCP através do comando das TCP-opções, como descrito em configurar como o ACE segura a seção das opções de TCP do guia da Segurança vA5(1.0), motor do controle de aplicativo de Cisco ACE. Contudo, isto não é recomendado sempre, porque os secundário-fluxos secundários puderam ser equilibrados aos servidores reais diferentes, e a junta falha.

Segurança da Web da nuvem (ScanSafe)

A Segurança da Web da nuvem atua como um proxy Layer-7. Se você usa a ferramenta de segurança da Web (WSA) ou torres de Cisco ScanSafe, o cliente termina sua conexão de TCP no proxy. Porque os server não apoiam as opções MPTCP, a conexão atua como uma conexão de TCP regular.

A ação alternativa para endereçar o problema é configurar o conector de ScanSafe a fim impedir uma reorientação de fluxos MPTCP a ScanSafe. Quando os fluxos MPTCP são contorneados, o conector de ScanSafe recupera o índice diretamente do servidor de Web originalmente-pedido sem ScanSafe de contato. Para mais informação, refira a exploração contorneando no É seção na página 12 da Segurança da Web de Cisco ISR com guia da solução de Cisco ScanSafe.

Produtos da Cisco não impactado por MPTCP

Geralmente, todo o dispositivo que não inspecionar fluxos de TCP ou a informação Layer-7 não altera os cabeçalhos de TCP, e em consequência deve ser transparente a MPTCP. Estes dispositivos puderam incluir:

  • A agregação do Cisco 1000 Series presta serviços de manutenção ao Roteadores (ASR), ISR 4451-X, o roteador dos serviços da nuvem (CSR) (o Produtos do Cisco IOS XE)
  • Cisco 5000 Series ASR (Starent)
  • Wide Area Application Services (WAAS)
  • Portador-categoria NAT (CGN) (a Portador-categoria presta serviços de manutenção à lâmina do motor (CGSE) no sistema de roteamento do portador (CRS)-1)
  • Todo o Produtos do Switch Ethernet
  • Todo o Produtos do roteador (a menos que o Firewall ou a funcionalidade de NAT são permitidos; veja o Produtos afetado secionar mais cedo no documento para mais detalhes)


Document ID: 116519