Avez-vous un compte?

  •   Contenu personnalisé
  •   Vos produits et votre soutien technique

Vous voulez un compte?

Créer un compte

MPTCP et vue d'ensemble de support produit

Options de téléchargement

  • PDF     (205.5 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (166.4 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (182.1 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:20 juin 2019
ID du document:116519
À propos des traductions

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document fournit une vue d'ensemble du TCP multivoie (MPTCP), son incidence sur l'inspection d'écoulement, et les Produits Cisco qui sont et ne sont pas affectés par elle.

    Vue d'ensemble MPTCP

    Informations générales

    Des hôtes connectés à l'Internet ou dans un environnement de centre de traitement des données sont souvent connectés par des plusieurs chemins. Cependant, quand le TCP est utilisé pour le transport de données, la transmission est limitée à un chemin de réseau simple. Il est possible que quelques chemins entre les deux hôtes soient congestionnés, tandis que les voies de déroutement sont peu employées. Une utilisation plus efficace des ressources de réseau est possible si ces plusieurs chemins sont utilisés simultanément. En outre, l'utilisation de plusieurs connexions améliore l'expérience utilisateur, parce qu'elle fournit le haut débit et la résilience améliorée contre des pannes de réseau.

    MPTCP est un ensemble d'extensions au TCP régulier qui permet à un flux de données simple d'être séparé et porté à travers de plusieurs connexions. Référez-vous à RFC6824 : Extensions de TCP pour l'exécution multivoie avec le pour en savoir plus de plusieurs adresses.

    Suivant les indications de ce diagramme, MPTCP peut séparer le 9mbps circule dans trois sous-titre-écoulements différents sur le noeud d'expéditeur, qui est ultérieurement agrégé de nouveau dans le flux de données d'origine sur le noeud récepteur.

    Les données qui écrivent la connexion MPTCP agissent exactement comme elles font par une connexion TCP régulière ; la donnée transmise a garanti une livraison de dans-commande. Puisque MPTCP ajuste la pile de réseau et fonctionne dans la couche transport, il est utilisé d'une manière transparente par l'application.

    Établissement de session

    MPTCP emploie des options de TCP afin de négocier et orchestrer la séparation et le réassemblage des données au-dessus des plusieurs sous-titre-écoulements. L'option 30 de TCP est réservée par l'Internet Assigned Numbers Authority (IANA) pour l'usage exclusif de MPTCP. Référez-vous au pour en savoir plus de paramètres de Protocole TCP (Transmission Control Protocol). Dans l'établissement d'une session TCP régulière, une option MP_CAPABLE est incluse dans l'initiale synchronisent le paquet (de synchronisation). Si les supports de responder et choisit de négocier MPTCP, il répond également avec l'option MP_CAPABLE dans le paquet de la Synchronisation-reconnaissance (ACK). Les clés permutées dans cette prise de contact sont utilisées à l'avenir afin d'authentifier se joindre et la suppression d'autres sessions TCP dans ce MPTCP circulent.

    Joignez les Sous-titre-écoulements supplémentaires

    Une fois considéré nécessaire, l'hôte-Un pourrait initier des sous-titre-écoulements supplémentaires originaires d'une interface ou d'une adresse différente à l'hôte B. Comme avec le sous-titre-écoulement initial, des options de TCP sont utilisées afin d'indiquer le désir de fusionner cet sous-titre-écoulement avec l'autre sous-titre-écoulement. Les clés qui sont permutées dans l'établissement initial de sous-titre-écoulement (avec un algorithme de hachage) sont utilisées par l'hôte B afin de confirmer que la demande de jonction est en effet envoyée par l'hôte A. Le sous-titre-écoulement secondaire 4-tuple (source ip, IP de destination, port de source, et destination port) est différent que celui du sous-titre-écoulement primaire ; cet écoulement pourrait prendre un différent chemin par le réseau.

    Ajoutez l'adresse

    L'hôte-Un a des plusieurs interfaces, et il est possible que l'hôte B ait de plusieurs connexions réseau. L'hôte B se renseigne sur les adresses A1 et A2 implicitement en raison des sous-titre-écoulements d'approvisionnement d'hôte-Un de chacune de ses adresses destiné à B1. Il est possible que l'hôte B annonce son hôte-Un supplémentaire de l'adresse (B2) de sorte que d'autres sous-titre-écoulements soient faits à B2. Ceci est terminé par l'intermédiaire de l'option 30 de TCP. Suivant les indications de ce diagramme, l'hôte B annonce son hôte-Un de l'adresse secondaire (B2), et deux sous-titre-écoulements supplémentaires sont créés. Puisque MPTCP fonctionne au-dessus de la couche réseau de la pile ouverte de System Interconnection (OSI), les adresses IP annoncées peuvent être ipv4, IPv6, ou tous deux. Il est possible que certains des sous-titre-écoulements soient transportés par ipv4 simultanément pendant que d'autres sous-titre-écoulements sont transportés par IPv6.

    Segmentation, multivoie, et réassemblage

    Un flux de données donné à MPTCP par l'application doit être segmenté et distribué à travers les plusieurs sous-titre-écoulements par l'expéditeur. Il alors doit être rassemblé dans le flux de données simple avant qu'il soit livré de nouveau à l'application.

    MPTCP examine la représentation et la latence de chaque sous-titre-écoulement, et ajuste dynamiquement la distribution des données afin de gagner le débit total le plus élevé. Pendant le transfert des données, l'option d'en-tête de TCP inclut des informations sur les nombres d'ordre/accusé de réception MPTCP, l'ordre en cours de sous-titre-écoulement/nombre d'accusé de réception, et une somme de contrôle.

    Incidence sur l'inspection d'écoulement

    Beaucoup de périphériques de sécurité pourraient zero-out ou remplacer des options inconnues de TCP par une aucune valeur de l'option (NOOP). Si le périphérique de réseau fait ceci au paquet de synchronisation de TCP sur le sous-titre-écoulement initial, la publicité MP_CAPABLE est retirée. En conséquence, il s'avère pour le serveur que le client ne prend en charge pas MPTCP, et il retourne à l'exécution normale de TCP.

    Si l'option est préservée et MPTCP peut établir de plusieurs sous-titre-écoulements, l'analyse intégrée de paquet par des périphériques de réseau ne pourrait pas fonctionner sûrement. C'est parce que seulement des parties du flux de données sont reportées à chaque sous-titre-écoulement. L'effet de l'inspection de protocole sur MPTCP pourrait varier de rien à la pleine interruption du service. L'effet varie basé sur ce qui et combien de données sont examinées. L'analyse de paquet pourrait inclure la passerelle de couche application de Pare-feu (ALG ou fixup), le Traduction d'adresses de réseau (NAT) ALG, la visibilité d'application et le contrôle (AVC), le Reconnaissance d'application fondée sur le réseau (NBAR) ou les services de détection d'intrusion (IDS/IPS). Si l'inspection d'application est exigée dans votre environnement, l'il est recommandé que effaçant de l'option 30 de TCP est activé.

    Si l'écoulement ne peut pas être dû examiné au cryptage ou si le protocole est inconnu, alors le périphérique intégré ne devrait avoir aucune incidence sur le MPTCP circulent.

    Produits Cisco affectés par MPTCP

    Ces Produits sont affectés par MPTCP :

    • Appliance de sécurité adaptable (ASA)
    • Défense contre des menaces de Cisco FirePOWER
    • Système de prévention d'intrusion (IPS)
    • Cisco IOS XE et ® IOS
    • Moteur de contrôle des applications (ACE)

    Chaque produit est décrit en détail dans les parties suivantes de ce document.

    ASA

    Exécutions de TCP

    Par défaut, le Pare-feu de Cisco ASA remplace les options non vérifiées de TCP, qui incluent l'option 30 MPTCP, par l'option NOOP (option 1). Afin de permettre l'option MPTCP, utilisez cette configuration :

    1. Définissez la stratégie afin de permettre l'option 30 de TCP (utilisée par MPTCP) par le périphérique :
      tcp-map my-mptcp
         tcp-options range 30 30 allow
    2. Définissez la sélection du trafic :
      class-map my-tcpnorm
         match any
    3. Définissez une carte du trafic à l'action :
      policy-map my-policy-map
         class my-tcpnorm
             set connection advanced-options my-mptcp
    4. Lancez-le sur la case ou la par-interface :
      service-policy my-policy-map global

    Inspection de Protocol

    L'ASA prend en charge l'inspection de beaucoup de protocoles. L'effet que l'engine d'inspection pourrait avoir sur l'application varie. L'il est recommandé que, si l'inspection est exigée, la TCP-MAP décrite précédemment n'est pas appliqué.

    Défense contre des menaces de Cisco FirePOWER

    Exécutions de TCP

    Pendant que le FTD exécute l'inspection profonde de paquet pour IPS/IDS l'entretient n'est pas recommandée de modifier la TCP-MAP pour permettre l'option de TCP.

    Cisco IOS Firewall

    Contrôle d'accès basé sur contexte (CBAC)

    CBAC n'enlève pas les options de TCP du flot de TCP. MPTCP établit une connexion par le Pare-feu.

    Pare-feu basé sur zone (ZBFW)

    Le Cisco IOS et l'IOS-XE ZBFW n'enlève pas les options de TCP du flot de TCP. MPTCP établit une connexion par le Pare-feu.

    ACE

    Par défaut, le périphérique d'ACE élimine des options de TCP des connexions TCP. La connexion MPTCP retombe aux exécutions régulières de TCP.

    Le périphérique d'ACE pourrait être configuré pour permettre les options de TCP par l'intermédiaire de la commande de tcp-options, comme décrit dans configurer comment ACE traite la section Options de TCP du guide de Sécurité vA5(1.0), engine de contrôle d'application de Cisco ACE. Cependant, ceci n'est pas toujours recommandé, parce que les sous-titre-écoulements secondaires pourraient être équilibrés à différents vrai-serveurs, et le joindre échoue.

    Produits Cisco non affectés par MPTCP

    Généralement, n'importe quel périphérique qui n'examine pas des écoulements de TCP ou les informations Layer-7 également ne modifie pas des options de TCP, et en conséquence devrait être transparent à MPTCP. Ces périphériques pourraient inclure :

    • Gamme Cisco 5000 ASR (Starent)
    • Services d’applications de réseau étendu (WAAS)
    • Transporteur-niveau NAT (CGN) (le Transporteur-niveau entretient la lame de l'engine (CGSE) dans le système de routage de transporteur (CRS)-1)
    • Tous les Produits de commutateur ethernet
    • Tous les produits pour routeur (à moins que le Pare-feu ou la fonctionnalité NAT est activé ; voyez les Produits Cisco affectés par MPTCP pour sectionner plus tôt dans le document pour plus de détails)
    TAC Authored

    Contribution d’experts de Cisco

    • Jay Young
      Ingénieur TAC Cisco
    • Daniel Wing
      Ingénieur TAC Cisco

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Discussions connexes de communautés de Cisco

    Ce document s’applique à ces produits

    Suivez-nous
    Salle de presseÉvénementsBloguesCommunauté
    À propos de nous
    Communiquer Avec Nous
    Travailler Avec Nous