Протокол IP : Протокол TCP

MPTCP и обзор поддержки продуктов

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Введение

Этот документ предоставляет обзор Многопутевого TCP (MPTCP), его влияния на контроль потока и продуктов Cisco, которые являются и не влияются им.

Внесенный Джеем Янгом и Дэниелом Вингом, специалистами службы технической поддержки Cisco.

Обзор MPTCP

Общие сведения

Хосты, связанные с Интернетом или в среде ЦОД, часто связываются разнообразными путями. Однако, когда TCP используется для передачи данных, связь ограничена путем одиночной сети. Возможно, что некоторые пути между двумя хостами переполнены, тогда как недостаточно использованы альтернативные пути. Если эти разнообразные пути используются одновременно, более эффективное использование сетевых ресурсов возможно. Кроме того, использование множественных соединений улучшает пользовательский опыт, потому что это предоставляет более высокую пропускную способность и улучшенную упругость против ошибок сети.

MPTCP является рядом расширений к обычному TCP, который позволяет одиночному потоку данных быть разделенным и перенесенным по множественным соединениям. Обратитесь к RFC6824: Расширения TCP для Многопутевой Операции со Множественными Адресами для получения дополнительной информации.

Как показано в этой схеме, MPTCP в состоянии разделить поток на 9 Мбит/с на три других субпотка на узле отправителя, который впоследствии объединен назад в поток исходных данных на узле получения.

Данные, которые вводят соединение MPTCP, действуют точно, как это делает посредством обычного TCP - подключения; передаваемые данные гарантировали и последовательная доставка. Так как MPTCP отрегулировал сетевой стек и работает в транспортном уровне, это используется прозрачно приложением.

Установка сеанса

MPTCP использует параметры TCP, чтобы выполнить согласование и организовать разделение и повторную сборку данных по множественным субпоткам. Параметр TCP 30 зарезервирован Комитетом по цифровым адресам в интернете (IANA) для монопольного использования MPTCP. Обратитесь к Параметрам Протокола TCP для получения дополнительной информации. В установлении обычного сеанса TCP опция MP_CAPABLE включена в начальную букву, синхронизируют (SYN) пакет. Если респондент поддерживает и принимает решение выполнить согласование о MPTCP, он также отвечает опцией MP_CAPABLE в SYN - подтверждают (ACK) пакет. Ключи, которыми обмениваются в этом квитировании, используются в будущем для аутентификации присоединения и удаления других сеансов TCP в этот поток MPTCP.

Присоединитесь к дополнительным субпоткам

Когда считается необходимый, Хост A мог бы инициировать дополнительные субпотки, полученные от другого интерфейса, или адресовать к Хосту B. Как с начальным субпотком, параметры TCP используются для указания на требование объединить этот субпоток с другим субпотком. Ключи, которыми обмениваются в начальном установлении субпотка (вместе с алгоритмом хеширования) используются Хостом B, чтобы подтвердить, что запрос соединения действительно отправлен Хостом A. Вторичный субпоток, с 4 кортежами (source IP, IP - адрес назначения, исходный порт и порт назначения), является другим, чем тот из основного субпотка; этот поток мог бы взять другой путь через сеть.

Добавьте адрес

Хост A имеет несколько интерфейсов, и возможно, что Хост B имеет несколько сетей соединения. Хост B изучает об адресах A1 и A2 неявно в результате субпотков определения источника Хоста A от каждого из его адресов, предназначенных к B1. Возможно, что Хост B объявляет свой дополнительный адрес (B2) к Хосту A так, чтобы другие субпотки были сделаны к B2. Это завершено через параметр TCP 30. Как показано в этой схеме, Хост B объявляет свой вторичный адрес (B2) к Хосту A, и созданы два дополнительных субпотка. Поскольку MPTCP работает выше Сетевого уровня стека Открытого взаимодействия системы (OSI), объявленные IP-адреса могут быть IPv4, IPv6 или обоими. Возможно, что некоторые субпотки транспортируются IPv4 одновременно, как другие субпотки транспортируются IPv6.

Сегментация, многопутевая, и повторная сборка

Поток данных, данный MPTCP приложением, должен быть сегментирован и распределен по множественным субпоткам отправителем. Это тогда должно быть повторно собрано в одиночный поток данных, прежде чем это будет отправлено назад приложению.

MPTCP осматривает производительность и задержку каждого субпотка, и динамично отрегулировал распределение данных для получения самой высокой суммарной пропускной способности. Во время передачи данных Опция заголовка TCP включает информацию о количестве последовательности/подтверждения MPTCP, текущем количестве последовательности/подтверждения субпотка и контрольной сумме.

Влияние на контроль потока

Много устройств безопасности могли бы обнулить или заменить неизвестные заголовки TCP Никакой Опцией (NOOP) значение. Если сетевое устройство делает это к Пакету TCP SYN на начальном субпотке, реклама MP_CAPABLE удалена. В результате кажется к серверу, что клиент не поддерживает MPTCP, и это возвращается к обычной операции TCP.

Если заголовок сохранен, и MPTCP в состоянии установить множественные субпотки, встроенный пакетный анализ сетевыми устройствами не мог бы функционировать надежно. Это вызвано тем, что только части потока данных перенесены на каждый субпоток. Эффект контроля протокола на MPTCP не мог бы варьироваться ни от чего до полного разрушения сервиса. Эффект варьируется на основе того, что и сколько данных осмотрено. Пакетный анализ мог бы включать Шлюз уровня приложения межсетевого экрана (ALG или устройство), Технология NAT ALG, Видимость Приложения и Контроль (AVC) или Сетевое распознавание приложений (NBAR). Если контроль приложения требуется в среде, рекомендуется, чтобы была включена очистка параметра TCP 30.

Если поток не может быть осмотрен из-за шифрования или если протокол неизвестен, то встроенное устройство не должно оказывать влияние на поток MPTCP.

Продукты Cisco, затронутые MPTCP

На эти продукты влияет MPTCP:

  • Устройство адаптивной защиты (ASA)
  • Cisco ASA сервисы межсетевого экрана следующего поколения
  • Система предотвращения вторжений (IPS)
  • Cisco IOS®
  • Ядро управления приложениями (ACE)
  • Облачная веб-безопасность (ScanSafe)

Каждый продукт описан подробно в последующих разделах этого документа.

ASA

Операции TCP

По умолчанию межсетевой экран Cisco ASA заменяет неподдерживаемые параметры TCP, которые включают опцию 30 MPTCP с опцией NOOP (опция 1). Для разрешения опции MPTCP используйте эту конфигурацию:

  1. Определите политику для разрешения параметра TCP 30 (используемый MPTCP) через устройство:
    tcp-map my-mptcp
       tcp-options range 30 30 allow
  2. Определите выбор трафика:
    class-map my-tcpnorm
       match any
  3. Определите карту от трафика до действия:
    policy-map my-policy-map
       class my-tcpnorm
           set connection advanced-options my-mptcp
  4. Активируйте его на коробке или поинтерфейсный:
    service-policy my-policy-map global

Контроль протокола

ASA поддерживает контроль многих протоколов. Эффект, который инспекционный механизм мог бы иметь на приложение, варьируется. Рекомендуется, чтобы, если контроль требуется, ранее НЕ была применена карта TCP, описанная.

Cisco ASA сервисы межсетевого экрана следующего поколения

Операции TCP

Версии CX 9.1.2.42 и более позднее разрешение опция MPTCP, если ASA настроен для разрешения его. Версии программного обеспечения CX до Версии 9.1.2.42 удаляют опцию MPTCP.

Встроенная расшифровка уровня защищенных сокетов (SSL)

CX, когда настроено для расшифровки SSL, действует как прокси полного сеанса. В результате это является олицетворением SSL - сервера, когда это связывается с клиентом, и также исполняет роль клиента, когда это связывается с SSL - сервером. Так как CX завершает эти два TCP - подключения, он не использует MPTCP, и операции возвращаются к обычным операциям TCP.

IPS

Оповещения для продукта Cisco IPS на подписи 1306/0, когда параметр TCP 30 замечен в SYN TCP. Поскольку подпись принадлежит класса нормализатора, она ничего не делает в promisicious режиме. Возможно отредактировать подпись для удаления опции 30 из более аккуратных условий. Это препятствует тому, чтобы совпала подпись.

(межсетевой экран Cisco IOS)

Контроль доступа на основе контекста (CBAC)

CBAC не удаляет заголовки TCP из потока TCP. MPTCP создает соединение через межсетевой экран.

Зональный межсетевой экран (ZBFW)

ZBF не удаляет заголовки TCP из потока TCP. MPTCP создает соединение через межсетевой экран.

ACE

По умолчанию первоклассное устройство разделяет параметры TCP от TCP - подключений. Соединение MPTCP переключается на обычные операции TCP.

Первоклассное устройство могло бы быть настроено для разрешения параметров TCP через команду tcp-options, как описано в Настройке Как первоклассный раздел Параметров TCP Маркеров Руководства по обеспечению безопасности vA5 (1.0), Механизма Управления приложениями Cisco ACE. Однако это не всегда рекомендуется, потому что вторичные субпотки могли бы быть сбалансированы к другим реальным серверам и сбоям соединения.

Облачная веб-безопасность (ScanSafe)

Облачные веб-Законы о ценных бумагах как прокси Уровня 7. Используете ли вы Web Security Appliance (WSA) или Cisco Башни ScanSafe, клиент завершает его TCP - подключение в прокси. Поскольку серверы не поддерживают опции MPTCP, действия соединения как обычный TCP - подключение.

Обходной путь для рассмотрения проблемы должен настроить разъём ScanSafe для предотвращения перенаправления потоков MPTCP к ScanSafe. Когда потоки MPTCP обходятся, разъём ScanSafe получает содержание непосредственно от первоначально запрошенного Web-сервера, не связываясь с ScanSafe. Для получения дополнительной информации обратитесь к Сканированию Обхода на странице on 12 раздела IS веб-Безопасности ISR Cisco с Cisco Руководство по решениям ScanSafe.

Продукты Cisco, не Затронутые MPTCP

Обычно любое устройство, которое не осматривает потоки TCP или информацию об Уровне 7, не изменяет заголовки TCP, и в результате должно быть прозрачным к MPTCP. Эти устройства могли бы включать:

  • Маршрутизаторы агрегации Серии Cisco 1000 (ASR), 4451-X ISR, Маршрутизатор облачных сервисов (CSR) (продукты Cisco IOS XE)
  • Cisco ASR серии 5000 (Starent)
  • Сервисы WAAS (WAAS)
  • NAT класса носителя (CGN) (блейд Механизма Carrier-Grade Services (CGSE) в системе маршрутизации Cisco операторского класса-1)
  • Все продукты Коммутатора Ethernet
  • Все продукты маршрутизатора (пока не включены межсетевой экран или функциональные возможности NAT; посмотрите, что затрагиваемые продукты разделяют ранее в документе для получения дополнительной информации),

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Document ID: 116519