Riverbed WAN-Optimierung hinter Cisco ASA: Unterschied zwischen den Versionen
Deko (Diskussion | Beiträge) |
Deko (Diskussion | Beiträge) (→Ursache und Lösung) |
||
Zeile 2: | Zeile 2: | ||
Riverbed Steelhead Appliances finden sich über einen VPN Tunnel mittels Cisco ASA nicht gegenseitig. | Riverbed Steelhead Appliances finden sich über einen VPN Tunnel mittels Cisco ASA nicht gegenseitig. | ||
==='''Ursache und Lösung'''=== | ==='''Ursache und Lösung'''=== | ||
− | Die WAN-Optimierung von Riverbed arbeitet als transparenter Proxy zwischen Firewall und dem lokalen LAN. Um mit der Gegenseite zu kommunizieren, | + | Die WAN-Optimierung von Riverbed arbeitet als transparenter Proxy zwischen Firewall und dem lokalen LAN. Um mit der Gegenseite zu kommunizieren, wird ein proprietäres Protokoll verwendet. Da die Eintragung statischer Peers nicht möglich ist, wird im TCP Paket der Header 76 bzw. 78 mit Daten gefüllt. Die Gegenseite lauscht auf die Werte im Header und erkennt so dynamisch die Gegenseite. Anschließend werden die Caches über Port 7800 bzw. 7810 gegenseitig gefüllt. Problematisch wird es nur, wenn die Firewall dazwischen TCP Options entfernt wird, so wie es die ASA von Cisco immer macht.<br /> |
− | wird ein proprietäres Protokoll verwendet. | ||
− | Da die Eintragung statischer Peers nicht möglich ist, wird im TCP Paket der Header 76 bzw. 78 mit Daten gefüllt. Die Gegenseite lauscht | ||
− | auf die Werte im Header und erkennt so dynamisch die Gegenseite. Anschließend werden die Caches über Port 7800 bzw. 7810 gegenseitig gefüllt. | ||
− | Problematisch wird es nur, wenn die Firewall dazwischen TCP Options entfernt wird, so wie es die ASA von Cisco immer macht.<br /> | ||
<br /> | <br /> | ||
Um das Feature zu erlauben, sind folgende Befehle einzugeben: | Um das Feature zu erlauben, sind folgende Befehle einzugeben: | ||
Zeile 20: | Zeile 16: | ||
service-policy global_policy global | service-policy global_policy global | ||
</pre> | </pre> | ||
+ | |||
==='''Links und Quellen'''=== | ==='''Links und Quellen'''=== | ||
https://supportforums.cisco.com/document/9876636/cisco-asa-riverbed-tcp-option | https://supportforums.cisco.com/document/9876636/cisco-asa-riverbed-tcp-option |
Version vom 13. Mai 2020, 13:45 Uhr
Inhaltsverzeichnis
Symptom
Riverbed Steelhead Appliances finden sich über einen VPN Tunnel mittels Cisco ASA nicht gegenseitig.
Ursache und Lösung
Die WAN-Optimierung von Riverbed arbeitet als transparenter Proxy zwischen Firewall und dem lokalen LAN. Um mit der Gegenseite zu kommunizieren, wird ein proprietäres Protokoll verwendet. Da die Eintragung statischer Peers nicht möglich ist, wird im TCP Paket der Header 76 bzw. 78 mit Daten gefüllt. Die Gegenseite lauscht auf die Werte im Header und erkennt so dynamisch die Gegenseite. Anschließend werden die Caches über Port 7800 bzw. 7810 gegenseitig gefüllt. Problematisch wird es nur, wenn die Firewall dazwischen TCP Options entfernt wird, so wie es die ASA von Cisco immer macht.
Um das Feature zu erlauben, sind folgende Befehle einzugeben:
access-list riverbed_tcp extended permit tcp any any class-map tcp-traffic match access-list riverbed_tcp tcp-map allow-probes tcp-options range 76 78 allow policy-map global_policy class tcp-traffic set connection advanced-options allow-probes service-policy global_policy global
Links und Quellen
https://supportforums.cisco.com/document/9876636/cisco-asa-riverbed-tcp-option
Kontakt
Wenn Sie Fragen oder Anmerkungen zu diesem Artikel haben, melden Sie sich bitte bei uns:
techcorner@max-it.de.
Über m.a.x. Informationstechnologie AG:
Als etabliertes Münchner Systemhaus zeichnen wir uns seit 1989 als verlässlicher IT-Partner mittelständischer und
großer Unternehmen aus. Unser Portfolio reicht von IT- Services über individuelle Softwareentwicklung bis hin zur ERP-Beratung.
Tags
Riverbed Steelhead Cisco ASA WAN-Optimierung TCP Options 76