IP : Protocolo de control de transmisión (TCP)

MPTCP y descripción del soporte de productos

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios

Introducción

Este documento proporciona una descripción de TCP de trayectoria múltiple (MPTCP), su impacto en el examen del flujo, y los Productos Cisco que están y no son afectados por él.

Contribuido por los jóvenes de Jay y el ala de Daniel, ingenieros de Cisco TAC.

Descripción MPTCP

Antecedentes

Los host conectados con Internet o dentro de un entorno del centro de datos son conectados a menudo por los trayectos múltiples. Sin embargo, cuando el TCP se utiliza para el transporte de datos, la comunicación se restringe a una trayectoria de red única. Es posible que algunas trayectorias entre los dos host están congestionadas, mientras que los trayectos alternos están inutilizados. Un uso más eficiente de los recursos de red es posible si estos trayectos múltiples se utilizan en paralelo. Además, el uso de las conexiones múltiples aumenta la experiencia del usuario, porque proporciona el más alto rendimiento y la resistencia mejorada contra los desperfectos de la red.

MPTCP es un conjunto de las Extensiones al TCP regular que habilita un solo flujo de datos que se separará y llevado a través de las conexiones múltiples. Refiera al RFC6824: Extensiones TCP para la operación de trayectoria múltiple con las múltiples direcciones para más información.

Tal y como se muestra en de este diagrama, MPTCP puede separar el 9mbps fluye en tres diversos sub-flujos en el nodo emisor, que se agrega posteriormente nuevamente dentro del flujo de las informaciones originales en el nodo de recepción.

Los datos que ingresan la conexión MPTCP actúan exactamente como hacen a través de una conexión TCP regular; los datos transmitidos ha garantizado y la salida de la en-orden. Puesto que MPTCP ajusta el stack de la red y actúa dentro de la capa de transporte, es utilizado transparente por la aplicación.

Establecimiento de sesión

MPTCP utiliza las opciones TCP para negociar y orquestrar la separación y el nuevo ensamble de los datos sobre los sub-flujos múltiples. La opción TCP 30 es reservada por el Internet Assigned Numbers Authority (IANA) para el uso exclusivo por MPTCP. Refiera a los parámetros del Transmission Control Protocol (TCP) para más información. En el establecimiento de una sesión TCP regular, una opción MP_CAPABLE se incluye en la inicial sincroniza el paquete (SYN). Si los soportes del respondedor y eligen negociar MPTCP, él también responden con la opción MP_CAPABLE en el paquete del SYN-reconocimiento (ACK). Las claves intercambiadas dentro de este apretón de manos se utilizan en el futuro para autenticar unirse a y el retiro de otras sesiones TCP en este MPTCP fluye.

Únase a los Sub-flujos adicionales

Cuando estaba juzgado necesario, el Host-a pudo iniciar los sub-flujos adicionales originados de una diversa interfaz o direccionamiento al Host-b. Como con el sub-flujo inicial, las opciones TCP se utilizan para indicar el deseo de combinar este sub-flujo con el otro sub-flujo. Las claves que se intercambian dentro del establecimiento inicial del sub-flujo (junto con un algoritmo de troceo) son utilizadas por el Host-b para confirmar que la petición del unido es enviada de hecho por el Host-a. El sub-flujo secundario 4-tuple (IP de la fuente, IP de destino, puerto de origen, y puerto destino) es diferente que el del sub-flujo primario; este flujo pudo tomar una diversa trayectoria a través de la red.

Agregue el direccionamiento

El Host-a tiene interfaces múltiples, y es posible que el Host-b tiene conexiones de Red múltiple. El Host-b aprende sobre los direccionamientos A1 y el a2 implícito como resultado de los sub-flujos de la compra de componentes del Host-a de cada uno de sus direccionamientos destinados al B1. Es posible que el Host-b hace publicidad de su dirección adicional (B2) al Host-a para hacer otros sub-flujos al B2. Esto se completa vía la opción TCP 30. Tal y como se muestra en de este diagrama, el Host-b hace publicidad de su dirección secundaria (B2) al Host-a, y se crean dos sub-flujos adicionales. Porque MPTCP actúa sobre la capa de red del stack del interconexión de sistema abierto (OSI), los IP Addresses des divulgación pueden ser IPv4, IPv6, o ambos. Es posible que algunos de los sub-flujos son transportados por el IPv4 simultáneamente mientras que otros sub-flujos son transportados por el IPv6.

Segmentación, de trayectoria múltiple, y nuevo ensamble

Una secuencia de datos dada a MPTCP por la aplicación se debe dividir en segmentos y distribuir a través de los sub-flujos múltiples por el remitente. Entonces debe ser vuelta a montar en la sola secuencia de datos antes de que se entregue de nuevo a la aplicación.

MPTCP examina el funcionamiento y el tiempo de espera de cada sub-flujo, y ajusta dinámicamente la distribución de datos para ganar el rendimiento total más alto. Durante la Transferencia de datos, la opción del encabezado de TCP incluye la información sobre los números de la secuencia/del acuse de recibo MPTCP, la secuencia actual del sub-flujo/el número del acuse de recibo, y una suma de comprobación.

Impacto en el examen del flujo

Muchos dispositivos de seguridad pudieron zero-out o substituir los encabezados TCP desconocidos por un ningún valor de la opción (NOOP). Si el dispositivo de red hace esto paquete TCP Syn encendido al sub-flujo inicial, se quita el anuncio MP_CAPABLE. Como consecuencia, aparece al servidor que el cliente no soporta MPTCP, e invierte a la operación normal TCP.

Si se preserva la encabezado y MPTCP puede establecer los sub-flujos múltiples, el análisis en línea del paquete por los dispositivos de red no pudo funcionar confiablemente. Esto es porque solamente las porciones del flujo de datos se transportan a cada sub-flujo. El efecto del examen del protocolo sobre MPTCP pudo variar nada a la interrupción completa del servicio. El efecto varía basado en lo que y se examinan cuántos datos. El análisis del paquete pudo incluir el gateway de capa de aplicación del Firewall (ALG o fixup), el Network Address Translation (NAT) ALG, visibilidad de la aplicación y el control (AVC), o Reconocimiento de aplicaciones basadas en la red (NBAR). Si la Inspección de la aplicación se requiere en su entorno, se recomienda que el borrar de la opción TCP 30 está habilitado.

Si el flujo no puede ser examinado debido al cifrado o si el protocolo es desconocido, después el dispositivo en línea no debe tener ningún impacto en el MPTCP fluye.

Productos Cisco afectados por MPTCP

Estos Productos son afectados por MPTCP:

  • Dispositivo de seguridad adaptante (ASA)
  • Servicios del Firewall de la última generación de Cisco ASA
  • Sistema de prevención de intrusiones (IPS)
  • ® del Cisco IOS
  • Motor del control de la aplicación (ACE)
  • Seguridad de la red de la nube (ScanSafe)

Cada producto se describe detalladamente en las secciones posteriores de este documento.

ASA

Operaciones TCP

Por abandono, el Firewall de Cisco ASA substituye las opciones TCP sin apoyo, que incluyen la opción 30 MPTCP, por la opción NOOP (opción 1). Para permitir la opción MPTCP, utilice esta configuración:

  1. Defina la directiva para permitir la opción TCP 30 (usada por MPTCP) a través del dispositivo:
    tcp-map my-mptcp
       tcp-options range 30 30 allow
  2. Defina la selección del tráfico:
    class-map my-tcpnorm
       match any
  3. Defina una correspondencia del tráfico a la acción:
    policy-map my-policy-map
       class my-tcpnorm
           set connection advanced-options my-mptcp
  4. Actívela en el cuadro o el por interface:
    service-policy my-policy-map global

Examen del protocolo

El ASA soporta el examen de muchos protocolos. El efecto que el motor del examen pudo tener en la aplicación varía. Se recomienda que, si se requiere el examen, el TCP-mapa descrito previamente no es aplicado.

Servicios del Firewall de la última generación de Cisco ASA

Operaciones TCP

Permiso de 9.1.2.42 de las versiones CX y posterior la opción MPTCP, si el ASA se configura para permitirla. Las versiones de software CX antes de la versión 9.1.2.42 quitan la opción MPTCP.

Desciframiento en línea de Secure Sockets Layer (SSL)

El CX, cuando está configurado para el descifrado SSL, actúa como proxy de la FULL-sesión. Como consecuencia, personifica al servidor SSL cuando comunica al cliente, y también personifica al cliente cuando comunica al servidor SSL. Puesto que el CX termina las dos conexiones TCP, no utiliza MPTCP, y las operaciones invierten a las operaciones normales TCP.

IPS

Las alertas de producto del IPS de Cisco en la firma 1306/0 cuando la opción TCP 30 se considera en el TCP SYN. Porque la firma pertenece en la clase del normalizador, no hace nada en el modo promisicious. Es posible editar la firma para quitar la opción 30 de las condiciones del activador. Esto evita que la firma corresponda con.

Cisco IOS Firewall

Control de acceso basado en el contexto (CBAC)

El CBAC no quita los encabezados TCP de la secuencia TCP. MPTCP construye una conexión con el Firewall.

Firewall Zona-basado (ZBFW)

ZBF no quita los encabezados TCP de la secuencia TCP. MPTCP construye una conexión con el Firewall.

ACE

Por abandono, el dispositivo de ACE elimina las opciones TCP de las conexiones TCP. La conexión MPTCP recurre a las operaciones regulares TCP.

El dispositivo de ACE se pudo configurar para permitir las opciones TCP vía el comando de las TCP-opciones, según lo descrito en configurar cómo ACE maneja la sección de las opciones TCP de la guía de la Seguridad vA5(1.0), motor del control de la aplicación de Cisco ACE. Sin embargo, esto no se recomienda siempre, porque los sub-flujos secundarios se pudieron equilibrar a diversos servidores reales, y el unir a falla.

Seguridad de la red de la nube (ScanSafe)

La Seguridad de la red de la nube actúa como proxy Layer-7. Si usted utiliza el dispositivo de seguridad de la red (WSA) o las torres de Cisco ScanSafe, el cliente termina su conexión TCP en el proxy. Porque los servidores no soportan las opciones MPTCP, la conexión actúa como conexión TCP regular.

La solución alternativa para abordar el problema es configurar el conector de ScanSafe para prevenir una reorientación de los flujos MPTCP a ScanSafe. Cuando se desvían los flujos MPTCP, el conector de ScanSafe extrae el contenido directamente del servidor Web original-pedido sin entrar en contacto ScanSafe. Para más información, refiera a la exploración que desvía en ES sección en la página 12 de la Seguridad de la red de Cisco ISR con la guía de la solución de Cisco ScanSafe.

Productos Cisco no afectados por MPTCP

Generalmente, cualquier dispositivo que no examine los flujos TCP o la información Layer-7 no altera los encabezados TCP, y como consecuencia debe ser transparente a MPTCP. Estos dispositivos pudieron incluir:

  • La agregación de las Cisco 1000 Series mantiene al Routers (ASR), ISR 4451-X, el router de los servicios de la nube (CSR) (los Productos del Cisco IOS XE)
  • Cisco 5000 Series ASR (Starent)
  • Wide Area Application Services (WAAS)
  • Portador-grado NAT (CGN) (el Portador-grado mantiene la cuchilla del motor (CGSE) en el sistema de ruteo del portador (CRS)-1)
  • Todos los Productos del switch de Ethernet
  • Todos los Productos del router (a menos que se habilita el Firewall o la funcionalidad de NAT; vea los Productos afectados seccionar anterior en el documento para más detalles)


Document ID: 116519