Riverbed WAN-Optimierung hinter Cisco ASA: Unterschied zwischen den Versionen

(Ursache und Lösung)
Zeile 2: Zeile 2:
 
Riverbed Steelhead Appliances finden sich über einen VPN Tunnel mittels Cisco ASA nicht gegenseitig.  
 
Riverbed Steelhead Appliances finden sich über einen VPN Tunnel mittels Cisco ASA nicht gegenseitig.  
 
==='''Ursache und Lösung'''===
 
==='''Ursache und Lösung'''===
Die WAN-Optimierung von Riverbed arbeitet als transparenter Proxy zwischen Firewall und dem lokalen LAN. Um mit der Gegenseite zu kommunizieren,<br />
+
Die WAN-Optimierung von Riverbed arbeitet als transparenter Proxy zwischen Firewall und dem lokalen LAN. Um mit der Gegenseite zu kommunizieren, wird ein proprietäres Protokoll verwendet. Da die Eintragung statischer Peers nicht möglich ist, wird im TCP Paket der Header 76 bzw. 78 mit Daten gefüllt. Die Gegenseite lauscht auf die Werte im Header und erkennt so dynamisch die Gegenseite. Anschließend werden die Caches über Port 7800 bzw. 7810 gegenseitig gefüllt. Problematisch wird es nur, wenn die Firewall dazwischen TCP Options entfernt wird, so wie es die ASA von Cisco immer macht.<br />
wird ein proprietäres Protokoll verwendet.<br />
 
Da die Eintragung statischer Peers nicht möglich ist, wird im TCP Paket der Header 76 bzw. 78 mit Daten gefüllt. Die Gegenseite lauscht<br />
 
auf die Werte im Header und erkennt so dynamisch die Gegenseite. Anschließend werden die Caches über Port 7800 bzw. 7810 gegenseitig gefüllt.<br />
 
Problematisch wird es nur, wenn die Firewall dazwischen TCP Options entfernt wird, so wie es die ASA von Cisco immer macht.<br />
 
 
<br />
 
<br />
 
Um das Feature zu erlauben, sind folgende Befehle einzugeben:
 
Um das Feature zu erlauben, sind folgende Befehle einzugeben:
Zeile 20: Zeile 16:
 
service-policy global_policy global
 
service-policy global_policy global
 
</pre>
 
</pre>
 +
 
==='''Links und Quellen'''===
 
==='''Links und Quellen'''===
 
https://supportforums.cisco.com/document/9876636/cisco-asa-riverbed-tcp-option
 
https://supportforums.cisco.com/document/9876636/cisco-asa-riverbed-tcp-option

Version vom 13. Mai 2020, 13:45 Uhr

Symptom

Riverbed Steelhead Appliances finden sich über einen VPN Tunnel mittels Cisco ASA nicht gegenseitig.

Ursache und Lösung

Die WAN-Optimierung von Riverbed arbeitet als transparenter Proxy zwischen Firewall und dem lokalen LAN. Um mit der Gegenseite zu kommunizieren, wird ein proprietäres Protokoll verwendet. Da die Eintragung statischer Peers nicht möglich ist, wird im TCP Paket der Header 76 bzw. 78 mit Daten gefüllt. Die Gegenseite lauscht auf die Werte im Header und erkennt so dynamisch die Gegenseite. Anschließend werden die Caches über Port 7800 bzw. 7810 gegenseitig gefüllt. Problematisch wird es nur, wenn die Firewall dazwischen TCP Options entfernt wird, so wie es die ASA von Cisco immer macht.

Um das Feature zu erlauben, sind folgende Befehle einzugeben:

access-list riverbed_tcp extended permit tcp any any
class-map tcp-traffic
match access-list riverbed_tcp
tcp-map allow-probes
tcp-options range 76 78 allow
policy-map global_policy
class tcp-traffic
set connection advanced-options allow-probes
service-policy global_policy global

Links und Quellen

https://supportforums.cisco.com/document/9876636/cisco-asa-riverbed-tcp-option

Kontakt

Wenn Sie Fragen oder Anmerkungen zu diesem Artikel haben, melden Sie sich bitte bei uns:
techcorner@max-it.de.

Über m.a.x. Informationstechnologie AG:
Als etabliertes Münchner Systemhaus zeichnen wir uns seit 1989 als verlässlicher IT-Partner mittelständischer und
großer Unternehmen aus. Unser Portfolio reicht von IT- Services über individuelle Softwareentwicklung bis hin zur ERP-Beratung.

Tags

Riverbed Steelhead Cisco ASA WAN-Optimierung TCP Options 76