Riverbed WAN-Optimierung hinter Cisco ASA

Version vom 13. Mai 2020, 13:45 Uhr von Deko (Diskussion | Beiträge) (Ursache und Lösung)

Symptom

Riverbed Steelhead Appliances finden sich über einen VPN Tunnel mittels Cisco ASA nicht gegenseitig.

Ursache und Lösung

Die WAN-Optimierung von Riverbed arbeitet als transparenter Proxy zwischen Firewall und dem lokalen LAN. Um mit der Gegenseite zu kommunizieren, wird ein proprietäres Protokoll verwendet. Da die Eintragung statischer Peers nicht möglich ist, wird im TCP Paket der Header 76 bzw. 78 mit Daten gefüllt. Die Gegenseite lauscht auf die Werte im Header und erkennt so dynamisch die Gegenseite. Anschließend werden die Caches über Port 7800 bzw. 7810 gegenseitig gefüllt. Problematisch wird es nur, wenn die Firewall dazwischen TCP Options entfernt wird, so wie es die ASA von Cisco immer macht.

Um das Feature zu erlauben, sind folgende Befehle einzugeben:

access-list riverbed_tcp extended permit tcp any any
class-map tcp-traffic
match access-list riverbed_tcp
tcp-map allow-probes
tcp-options range 76 78 allow
policy-map global_policy
class tcp-traffic
set connection advanced-options allow-probes
service-policy global_policy global

Links und Quellen

https://supportforums.cisco.com/document/9876636/cisco-asa-riverbed-tcp-option

Kontakt

Wenn Sie Fragen oder Anmerkungen zu diesem Artikel haben, melden Sie sich bitte bei uns:
techcorner@max-it.de.

Über m.a.x. Informationstechnologie AG:
Als etabliertes Münchner Systemhaus zeichnen wir uns seit 1989 als verlässlicher IT-Partner mittelständischer und
großer Unternehmen aus. Unser Portfolio reicht von IT- Services über individuelle Softwareentwicklung bis hin zur ERP-Beratung.

Tags

Riverbed Steelhead Cisco ASA WAN-Optimierung TCP Options 76