IP : Protocole TCP (Transmission Control Protocol)

MPTCP et aperçu de support produit

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Introduction

Ce document fournit un aperçu du TCP multivoie (MPTCP), son incidence sur l'inspection d'écoulement, et les Produits Cisco qui sont et ne sont pas affectés par elle.

Contribué par geai Young et aile de Daniel, ingénieurs TAC Cisco.

Aperçu MPTCP

Informations générales

Des hôtes connectés à l'Internet ou dans un environnement de centre de traitement des données sont souvent connectés par des plusieurs chemins. Cependant, quand le TCP est utilisé pour le transport de données, la transmission est limitée à un chemin de réseau simple. Il est possible que quelques chemins entre les deux hôtes soient congestionnés, tandis que les voies de déroutement sont peu employées. Une utilisation plus efficace des ressources de réseau est possible si ces plusieurs chemins sont utilisés simultanément. En outre, l'utilisation de plusieurs connexions améliore l'expérience utilisateur, parce qu'elle fournit le haut débit et la résilience améliorée contre des pannes de réseau.

MPTCP est un ensemble d'extensions au TCP régulier qui permet à un flux de données simple d'être séparé et porté à travers de plusieurs connexions. Référez-vous à RFC6824 : Extensions de TCP pour l'exécution multivoie avec le pour en savoir plus de plusieurs adresses.

Suivant les indications de ce diagramme, MPTCP peut séparer le 9mbps circule dans trois sous-titre-écoulements différents sur le noeud d'expéditeur, qui est ultérieurement agrégé de nouveau dans le flux de données d'origine sur le noeud récepteur.

Les données qui écrivent la connexion MPTCP agissent exactement comme elles font par une connexion TCP régulière ; la donnée transmise a garanti et la livraison de dans-commande. Puisque MPTCP ajuste la pile de réseau et fonctionne dans la couche transport, il est utilisé d'une manière transparente par l'application.

Établissement de session

MPTCP emploie des options de TCP afin de négocier et orchestrer la séparation et le réassemblage des données au-dessus des plusieurs sous-titre-écoulements. L'option 30 de TCP est réservée par l'Internet Assigned Numbers Authority (IANA) pour l'usage exclusif de MPTCP. Référez-vous au pour en savoir plus de paramètres de Protocole TCP (Transmission Control Protocol). Dans l'établissement d'une session TCP régulière, une option MP_CAPABLE est incluse dans l'initiale synchronisent le paquet (de synchronisation). Si les supports de responder et choisit de négocier MPTCP, il répond également avec l'option MP_CAPABLE dans le paquet de la Synchronisation-reconnaissance (ACK). Les clés permutées dans cette prise de contact sont utilisées à l'avenir afin d'authentifier se joindre et la suppression d'autres sessions TCP dans ce MPTCP circulent.

Joignez les Sous-titre-écoulements supplémentaires

Une fois considéré nécessaire, l'hôte-Un pourrait initier des sous-titre-écoulements supplémentaires originaires d'une interface ou d'une adresse différente à l'hôte B. Comme avec le sous-titre-écoulement initial, des options de TCP sont utilisées afin d'indiquer le désir de fusionner cet sous-titre-écoulement avec l'autre sous-titre-écoulement. Les clés qui sont permutées dans l'établissement initial de sous-titre-écoulement (avec un algorithme de hachage) sont utilisées par l'hôte B afin de confirmer que la demande de jonction est en effet envoyée par l'hôte A. Le sous-titre-écoulement secondaire 4-tuple (source ip, IP de destination, port de source, et destination port) est différent que celui du sous-titre-écoulement primaire ; cet écoulement pourrait prendre un différent chemin par le réseau.

Ajoutez l'adresse

L'hôte-Un a des plusieurs interfaces, et il est possible que l'hôte B ait de plusieurs connexions réseau. L'hôte B se renseigne sur les adresses A1 et A2 implicitement en raison des sous-titre-écoulements d'approvisionnement d'hôte-Un de chacune de ses adresses destiné à B1. Il est possible que l'hôte B annonce son hôte-Un supplémentaire de l'adresse (B2) de sorte que d'autres sous-titre-écoulements soient faits à B2. Ceci est terminé par l'intermédiaire de l'option 30 de TCP. Suivant les indications de ce diagramme, l'hôte B annonce son hôte-Un de l'adresse secondaire (B2), et deux sous-titre-écoulements supplémentaires sont créés. Puisque MPTCP fonctionne au-dessus de la couche réseau de la pile ouverte de System Interconnection (OSI), les adresses IP annoncées peuvent être ipv4, IPv6, ou tous deux. Il est possible que certains des sous-titre-écoulements soient transportés par ipv4 simultanément pendant que d'autres sous-titre-écoulements sont transportés par IPv6.

Segmentation, multivoie, et réassemblage

Un flux de données donné à MPTCP par l'application doit être segmenté et distribué à travers les plusieurs sous-titre-écoulements par l'expéditeur. Il alors doit être rassemblé dans le flux de données simple avant qu'il soit livré de nouveau à l'application.

MPTCP examine la représentation et la latence de chaque sous-titre-écoulement, et ajuste dynamiquement la distribution des données afin de gagner le débit total le plus élevé. Pendant le transfert des données, l'option d'en-tête de TCP inclut des informations sur les nombres d'ordre/accusé de réception MPTCP, l'ordre en cours de sous-titre-écoulement/nombre d'accusé de réception, et une somme de contrôle.

Incidence sur l'inspection d'écoulement

Beaucoup de périphériques de sécurité pourraient zero-out ou remplacer les en-têtes inconnues de TCP par une aucune valeur de l'option (NOOP). Si le périphérique de réseau fait ceci au paquet de synchronisation de TCP sur le sous-titre-écoulement initial, la publicité MP_CAPABLE est retirée. En conséquence, il s'avère pour le serveur que le client ne prend en charge pas MPTCP, et il retourne à l'exécution normale de TCP.

Si l'en-tête est préservée et MPTCP peut établir de plusieurs sous-titre-écoulements, l'analyse intégrée de paquet par des périphériques de réseau ne pourrait pas fonctionner sûrement. C'est parce que seulement des parties du flux de données sont reportées à chaque sous-titre-écoulement. L'effet de l'inspection de protocole sur MPTCP pourrait varier de rien à la pleine interruption du service. L'effet varie basé sur ce qui et combien de données sont examinées. L'analyse de paquet pourrait inclure la passerelle de couche application de Pare-feu (ALG ou fixup), le Traduction d'adresses de réseau (NAT) ALG, la visibilité d'application et le contrôle (AVC), ou le Reconnaissance d'application fondée sur le réseau (NBAR). Si l'inspection d'application est exigée dans votre environnement, l'il est recommandé que effaçant de l'option 30 de TCP est activé.

Si l'écoulement ne peut pas être dû examiné au cryptage ou si le protocole est inconnu, alors le périphérique intégré ne devrait avoir aucune incidence sur le MPTCP circulent.

Produits Cisco affectés par MPTCP

Ces Produits sont affectés par MPTCP :

  • Appliance de sécurité adaptable (ASA)
  • Services de la deuxième génération de Pare-feu de Cisco ASA
  • Système de prévention d'intrusion (IPS)
  • Cisco IOS®
  • Moteur de contrôle des applications (ACE)
  • Sécurité Web de nuage (ScanSafe)

Chaque produit est décrit en détail dans les parties suivantes de ce document.

ASA

Exécutions de TCP

Par défaut, le Pare-feu de Cisco ASA remplace les options non vérifiées de TCP, qui incluent l'option 30 MPTCP, par l'option NOOP (option 1). Afin de permettre l'option MPTCP, utilisez cette configuration :

  1. Définissez la stratégie afin de permettre l'option 30 de TCP (utilisée par MPTCP) par le périphérique :
    tcp-map my-mptcp
       tcp-options range 30 30 allow
  2. Définissez la sélection du trafic :
    class-map my-tcpnorm
       match any
  3. Définissez une carte du trafic à l'action :
    policy-map my-policy-map
       class my-tcpnorm
           set connection advanced-options my-mptcp
  4. Lancez-le sur la case ou la par-interface :
    service-policy my-policy-map global

Inspection de Protocol

L'ASA prend en charge l'inspection de beaucoup de protocoles. L'effet que l'engine d'inspection pourrait avoir sur l'application varie. L'il est recommandé que, si l'inspection est exigée, la TCP-MAP décrite précédemment n'est pas appliqué.

Services de la deuxième génération de Pare-feu de Cisco ASA

Exécutions de TCP

Les versions 9.1.2.42 et ultérieures de la CX permettent l'option MPTCP, si l'ASA est configurée afin de la permettre. Les versions de logiciel de la CX avant la version 9.1.2.42 enlèvent l'option MPTCP.

Déchiffrement intégré de Secure Sockets Layer (SSL)

La CX, une fois configurée pour le déchiffrement SSL, agit en tant que proxy de plein-session. En conséquence, il personnifie le serveur SSL quand il communique au client, et personnifie également le client quand il communique au serveur SSL. Puisque la CX termine les deux connexions TCP, il n'utilise pas MPTCP, et les exécutions retournent aux exécutions normales de TCP.

IPS

Les alertes de produit de Cisco IPS à la signature 1306/0 quand l'option 30 de TCP est vue dans la synchronisation de TCP. Puisque la signature appartient dans la classe de normalisateur, elle ne fait rien en mode promisicious. Il est possible d'éditer la signature afin d'enlever l'option 30 des conditions de déclencheur. Ceci empêche la signature d'apparier.

Cisco IOS Firewall

Contrôle d'accès basé sur contexte (CBAC)

CBAC ne retire pas les en-têtes de TCP du flot de TCP. MPTCP établit une connexion par le Pare-feu.

Pare-feu basé sur zone (ZBFW)

ZBF ne retire pas les en-têtes de TCP du flot de TCP. MPTCP établit une connexion par le Pare-feu.

ACE

Par défaut, le périphérique d'ACE élimine des options de TCP des connexions TCP. La connexion MPTCP retombe aux exécutions régulières de TCP.

Le périphérique d'ACE pourrait être configuré afin de permettre les options de TCP par l'intermédiaire de la commande de tcp-options, comme décrit dans configurer comment ACE traite la section Options de TCP du guide de Sécurité vA5(1.0), engine de contrôle d'application de Cisco ACE. Cependant, ceci n'est pas toujours recommandé, parce que les sous-titre-écoulements secondaires pourraient être équilibrés à différents vrai-serveurs, et le joindre échoue.

Sécurité Web de nuage (ScanSafe)

La sécurité Web de nuage agit en tant que proxy Layer-7. Si vous utilisez l'appliance de sécurité Web (WSA) ou des towers de Cisco ScanSafe, le client termine sa connexion TCP au proxy. Puisque les serveurs ne prennent en charge pas les options MPTCP, la connexion agit en tant que connexion TCP régulière.

Le contournement pour aborder le problème est de configurer le connecteur de ScanSafe afin d'empêcher une réorientation des écoulements MPTCP à ScanSafe. Quand des écoulements MPTCP sont sautés, le connecteur de ScanSafe récupère le contenu directement du web server initial-demandé sans contacter ScanSafe. Le pour en savoir plus, se rapportent à la lecture sautante sur EST section à la page 12 de la sécurité Web de Cisco ISR avec le guide de solution de Cisco ScanSafe.

Produits Cisco non affectés par MPTCP

Généralement, n'importe quel périphérique qui n'examine pas des écoulements de TCP ou les informations Layer-7 ne modifie pas les en-têtes de TCP, et en conséquence devrait être transparent à MPTCP. Ces périphériques pourraient inclure :

  • L'agrégation de gamme Cisco 1000 entretient les Routeurs (ASR), ISR 4451-X, le routeur de services en nuage (CSR) (les Produits de Cisco IOS XE)
  • Gamme Cisco 5000 ASR (Starent)
  • Services d'applications de réseau étendu Cisco (WAAS)
  • Transporteur-niveau NAT (CGN) (le Transporteur-niveau entretient la lame de l'engine (CGSE) dans le système de routage de transporteur (CRS)-1)
  • Tous les Produits de commutateur ethernet
  • Tous les produits pour routeur (à moins que le Pare-feu ou la fonctionnalité NAT est activé ; voyez les Produits affectés sectionner plus tôt dans le document pour plus de détails)


Document ID: 116519