安全 : Cisco IronPort Web 安全设备

在路径MTU发现的WSA行为与使用WCCP

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈

简介

本文描述遇到的问题路由器丢弃数据包的地方,当您的配置包括WEB缓存通信协议(WCCP)和路径最大传输单元(MTU)发现时,并且提供一解决方案给问题。

贡献用伊沃Sabev, Cisco TAC工程师。

背景信息

PRE相位

当分开查看,许多功能是非常好处理一特定问题。有时虽则,如果结合两个或三个技术,它引起若干笨拙行为,并且您必须引入另一功能或应急方案为了使它适当地工作。例如,请使用生成树,并且开放最短路径优先(OSPF)和Layer2 (L2)收敛采取长(20s)比OSPF (1,如果使用最低的Dead间隔),但是用多个生成树替换生成树,并且再正常运行。

同一种互通性行为被观察了在WCCP和路径MTU发现之间;许多认为它是通用路由封装(GRE)报头问题。然而,本文解释实时原因。

路径MTU发现和WCCP如何分开运作

路径MTU发现

每条线路有其关于怎样的限制大数据包可以是。如果比支持发送一更加大的数据包,则丢弃。其中一个L3设备(路由器)的角色在途中是小心和剁从其中一条的大数据包线路到人一个为了确保,端到端通信是透明对每条线路的功能。

有时虽则,终端主机配置,在这种情况下他们的数据包不可能被砍(例如,已加密文件,语音呼叫)。此信息通过不要分段(DF)位被传达在IP报头里面。路由器丢弃数据包类似这些,但是路由器设法汇报到终端主机通过互联网控制消息协议(ICMP)消息(类型3目的地不可达的,编码4 -需要的分段,但是设置的DF位)。这样,主机知道在将来发送更加小的数据包。

这是路径MTU发现的重点。您能发送大数据包用设置的DF位为了发现他们是否做它往末端或,如果如前所述收到ICMP报告。一旦确定最大可使用的数据包大小,请使用它任何另外通信。参考RFC 1191欲知更多信息。

Web安全工具(WSA)默认情况下使用路径MTU发现。因此,所有其生成的数据包有默认配置设置的DF位。

WCCP

如果需要强加安全到您的网络给Web流量,不用其他的知识,您通过不可视的代理运行他们的流量。WCCP是使用通信在设备之间拦截的协议(路由器/防火墙)和Web缓存引擎/代理,在这种情况下是WSA。

此图表说明如何在此方案的通信流:

它象这样工作:

  1. 客户端发送与IP源、其IP地址(客户端IP地址)和目标服务器IP地址的HTTP GET。

  2. 防火墙或路由器拦截HTTP GET并且通过WCCP GRE转发它或纯L2对Web cache/WSA。来源仍然是客户端IP地址,并且目的地仍然是Web服务器IP地址。

  3. WSA检查请求,如果合法,反映它往Web服务器。在这里目的IP地址Web服务器IP地址,并且源IP地址也许是WSA或客户端,根据您是否启用客户端IP地址伪装。对于此示例,因为回程数据流必须在两种情况下点击WSA,不重要。

  4. 回程数据流被检查在WSA。

  5. WSA发送对客户端的答复有源IP地址的,总是Web服务器IP地址(因此客户端没获得可疑)和destiantion客户端IP地址。

问题

如果其中一从图表的路由器必须分段流量,什么发生?WSA在数据包编号5放置DF位,但是必须被分段。路由器下降它并且告诉发送方分段是需要的,但是DF位设置(ICMP type3代码4)。终究RFC 1191必须当前运作,并且发送方必须降低其数据包大小。

使用WCCP,源IP地址是Web服务器IP地址,因此此ICMP从未去WSA;相反,它设法去真正的网络服务器(请记住,在底部的此路由器不知道WCCP)。这是WCCP和路径MTU发现如何有时一起中断您的网络设计。

解决方案

有四种方式解决此问题:

  • 发现实时MTU然后请使用在WSA的etherconfig降低接口MTU。切记TCP报头是60, IP是20,并且,当您使用ICMP,添加8个字节到IP报头。

  • 禁用路径MTU发现(pathmtudiscovery CLI WSA命令)。这导致TCP MSS 536,也许引起性能问题。

  • 更改网络那么那里是在WSA和客户端之间的没有L3分段。

  • 请使用ip tcp MSS调节1360个(或其他计算的编号) on命令在途中的每个Cisco路由器在相关接口。

其他说明

当此问题在调查中时,发现,如果明确地设置代理到客户端两三分钟然后删除它,问题是解决的在以后四个到五个小时。这归结于事实,在明确模式,路径MTU发现机制在WSA和客户端工作之间。一旦WSA发现路径MTU,与在内部表上的已发现TCP MSS一起存储它供参考。表面上此表刷新每四个到五个小时,回报解决方案不在时间之后非常再运作。


相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


Document ID: 118843