Citrix SD-WAN WANOP

ファイアウォールについての考慮事項

Citrix SD-WAN WANOPアプライアンスでTCPオプションを使用すると、あまり一般的ではないTCPオプションを使用した接続へのサービスの拒否に関する積極的なルールを持つファイアウォールからの高速トラフィックが危険にさらされます。

一部のファイアウォールは、「不明な」オプションを取り除き、パケットを転送します。このアクションは加速を防ぎますが、接続を損なうことはありません。

他のファイアウォールは、不明なオプションの接続へのサービスを拒否します。つまり、Citrix SD-WAN WANOPオプションを使用したSYNパケットはファイアウォールによってドロップされます。アプライアンスが繰り返し接続試行の失敗を検出すると、オプションなしで再試行します。これにより、通常20〜60秒の範囲で、加速なしで可変長の遅延後に接続が復元されます。

Citrix SD-WAN WANOPオプションを変更せずに通過させないファイアウォールは、24〜31(10進数)の範囲のTCPオプションを受け入れるように再構成する必要があります。

ほとんどのファイアウォールはこれらのオプションをブロックしません。ただし、リリース7.xファームウェアを搭載したCisco ASAおよびPIXファイアウォール(およびおそらく他のファイアウォール)は、デフォルトでこれを行う場合があります。

リンクの両端にあるファイアウォールを調べる必要があります。どちらかが発信接続ではオプションを許可しているが、着信接続ではそれらをブロックしている可能性があるためです。

次の例は、7.xファームウェアを使用するCisco ASA55x0ファイアウォールで機能するはずです。24〜31の範囲のオプションをグローバルに許可するため、カスタマイズされたインターフェイスごとまたはユニットごとの構成はありません。

 ====================================================================
 CONFIGURATION FOR CISCO ASA 55X0 WITH 7.X CODE TO ALLOW TCP OPTIONS
 ====================================================================
 hostname(config)# tcp-map WSOptions
 hostname(config-tcp-map)# tcp-options range 24 31 allow
 hostname(config-tcp-map)# class-map WSOptions-class
 hostname(config-cmap)# match any
 hostname(config-cmap)# policy-map WSOptions
 hostname(config-pmap)# class WSOptions-Class
 hostname(config-pmap-c)# set connection advanced-options WSOptions
 hostname(config-pmap-c)# service-policy WSOptions global
<!--NeedCopy-->

PIXファイアウォールの構成は次のとおりです。

 =====================================================
 POLICY MAP TO ALLOW APPLIANCE TCP OPTIONS TO PASS (PIX 7.x)
 =====================================================
 pixfirewall(config)#access-list tcpmap extended permit tcp any any
 pixfirewall(config)# tcp-map tcpmap
 pixfirewall(config-tcp-map)# tcp-opt range 24 31 allow
 pixfirewall(config-tcp-map)# exit
 pixfirewall(config)# class-map tcpmap
 pixfirewall(config-cmap)# match access-list tcpmap
 pixfirewall(config-cmap)# exit
 pixfirewall(config)# policy-map global_policy
 pixfirewall(config-pmap)# class tcpmap
 pixfirewall(config-pmap-c)# set connection advanced-options tcpmap
<!--NeedCopy-->
ファイアウォールについての考慮事項

この記事の概要