Riverbed WAN-Optimierung hinter Cisco ASA: Unterschied zwischen den Versionen
Ansp (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „==='''Symptom'''=== Riverbed Steelhead Appliances finden sich über einen VPN Tunnel mittels Cisco ASA nicht gegenseitig. ==='''Ursache und Lösung'''=== Die…“) |
Deko (Diskussion | Beiträge) |
||
| Zeile 2: | Zeile 2: | ||
Riverbed Steelhead Appliances finden sich über einen VPN Tunnel mittels Cisco ASA nicht gegenseitig. | Riverbed Steelhead Appliances finden sich über einen VPN Tunnel mittels Cisco ASA nicht gegenseitig. | ||
==='''Ursache und Lösung'''=== | ==='''Ursache und Lösung'''=== | ||
| − | Die WAN-Optimierung von Riverbed arbeitet als transparenter Proxy zwischen Firewall und dem lokalen LAN. Um mit der Gegenseite zu kommunizieren, wird ein proprietäres Protokoll verwendet.<br /> | + | Die WAN-Optimierung von Riverbed arbeitet als transparenter Proxy zwischen Firewall und dem lokalen LAN. Um mit der Gegenseite zu kommunizieren,<br /> |
| − | Da die Eintragung statischer Peers nicht möglich ist, wird im TCP Paket der Header 76 bzw. 78 mit Daten gefüllt. Die Gegenseite lauscht auf die Werte im Header und erkennt so dynamisch die Gegenseite. Anschließend werden die Caches über Port 7800 bzw. 7810 gegenseitig gefüllt.<br /> | + | wird ein proprietäres Protokoll verwendet.<br /> |
| + | Da die Eintragung statischer Peers nicht möglich ist, wird im TCP Paket der Header 76 bzw. 78 mit Daten gefüllt. Die Gegenseite lauscht<br /> | ||
| + | auf die Werte im Header und erkennt so dynamisch die Gegenseite. Anschließend werden die Caches über Port 7800 bzw. 7810 gegenseitig gefüllt.<br /> | ||
Problematisch wird es nur, wenn die Firewall dazwischen TCP Options entfernt wird, so wie es die ASA von Cisco immer macht.<br /> | Problematisch wird es nur, wenn die Firewall dazwischen TCP Options entfernt wird, so wie es die ASA von Cisco immer macht.<br /> | ||
<br /> | <br /> | ||
| Zeile 21: | Zeile 23: | ||
https://supportforums.cisco.com/document/9876636/cisco-asa-riverbed-tcp-option | https://supportforums.cisco.com/document/9876636/cisco-asa-riverbed-tcp-option | ||
=== '''Kontakt''' === | === '''Kontakt''' === | ||
| − | Wenn Sie Fragen oder Anmerkungen zu diesem Artikel haben, melden Sie sich bitte bei uns: mailto:techcorner@max-it.de.<br /> | + | Wenn Sie Fragen oder Anmerkungen zu diesem Artikel haben, melden Sie sich bitte bei uns:<br /> |
| + | [http://mailto:techcorner@max-it.de techcorner@max-it.de].<br /> | ||
Über m.a.x. Informationstechnologie AG:<br /> | Über m.a.x. Informationstechnologie AG:<br /> | ||
| − | Als etabliertes Münchner Systemhaus zeichnen wir uns seit 1989 als verlässlicher IT-Partner mittelständischer und großer Unternehmen aus. Unser Portfolio reicht von IT- Services über individuelle Softwareentwicklung bis hin zur ERP-Beratung.<br /> | + | Als etabliertes Münchner Systemhaus zeichnen wir uns seit 1989 als verlässlicher IT-Partner mittelständischer und<br /> |
| + | großer Unternehmen aus. Unser Portfolio reicht von IT- Services über individuelle Softwareentwicklung bis hin zur ERP-Beratung.<br /> | ||
=== '''Tags''' === | === '''Tags''' === | ||
Riverbed Steelhead Cisco ASA WAN-Optimierung TCP Options 76 | Riverbed Steelhead Cisco ASA WAN-Optimierung TCP Options 76 | ||
[[Kategorie: Netzwerk-Software]] | [[Kategorie: Netzwerk-Software]] | ||
Version vom 22. Januar 2020, 10:16 Uhr
Inhaltsverzeichnis
Symptom
Riverbed Steelhead Appliances finden sich über einen VPN Tunnel mittels Cisco ASA nicht gegenseitig.
Ursache und Lösung
Die WAN-Optimierung von Riverbed arbeitet als transparenter Proxy zwischen Firewall und dem lokalen LAN. Um mit der Gegenseite zu kommunizieren,
wird ein proprietäres Protokoll verwendet.
Da die Eintragung statischer Peers nicht möglich ist, wird im TCP Paket der Header 76 bzw. 78 mit Daten gefüllt. Die Gegenseite lauscht
auf die Werte im Header und erkennt so dynamisch die Gegenseite. Anschließend werden die Caches über Port 7800 bzw. 7810 gegenseitig gefüllt.
Problematisch wird es nur, wenn die Firewall dazwischen TCP Options entfernt wird, so wie es die ASA von Cisco immer macht.
Um das Feature zu erlauben, sind folgende Befehle einzugeben:
access-list riverbed_tcp extended permit tcp any any class-map tcp-traffic match access-list riverbed_tcp tcp-map allow-probes tcp-options range 76 78 allow policy-map global_policy class tcp-traffic set connection advanced-options allow-probes service-policy global_policy global
Links und Quellen
https://supportforums.cisco.com/document/9876636/cisco-asa-riverbed-tcp-option
Kontakt
Wenn Sie Fragen oder Anmerkungen zu diesem Artikel haben, melden Sie sich bitte bei uns:
techcorner@max-it.de.
Über m.a.x. Informationstechnologie AG:
Als etabliertes Münchner Systemhaus zeichnen wir uns seit 1989 als verlässlicher IT-Partner mittelständischer und
großer Unternehmen aus. Unser Portfolio reicht von IT- Services über individuelle Softwareentwicklung bis hin zur ERP-Beratung.
Tags
Riverbed Steelhead Cisco ASA WAN-Optimierung TCP Options 76
