IPsec over TCP non riesce quando il traffico passa attraverso l'ASA

Opzioni per il download

  • PDF     (82.8 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (85.9 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (69.6 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:26 giugno 2012
ID documento:113578

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Introduzione

I client VPN Cisco che si connettono a un headend VPN utilizzando IPsec su TCP possono connettersi all'headend correttamente, ma in seguito la connessione non riesce. In questo documento viene descritto come passare a IPsec su UDP o all'incapsulamento IPsec ESP nativo per risolvere il problema.

Operazioni preliminari

Requisiti

Per risolvere questo problema specifico, i client VPN Cisco devono essere configurati per connettersi a un dispositivo headend VPN tramite IPsec su TCP. Nella maggior parte dei casi, gli amministratori di rete configurano l'ASA in modo che accetti le connessioni dei client VPN Cisco sulla porta TCP 1000.

Componenti usati

Le informazioni di questo documento si basano su Cisco VPN Client.

Convenzioni

Per ulteriori informazioni sulle convenzioni usate, consultare il documento Cisco sulle convenzioni nei suggerimenti tecnici.

Problema

Quando il client VPN è configurato per IPsec su TCP (cTCP), il software client VPN non risponderà se viene ricevuto un ACK TCP duplicato che richiede al client VPN di ritrasmettere i dati. Se si verifica una perdita di pacchetti tra il client VPN e l'headend ASA, è possibile che venga generato un ACK duplicato. La perdita intermittente dei pacchetti è una realtà abbastanza comune su Internet. Tuttavia, poiché gli endpoint VPN non utilizzano il protocollo TCP (si ricordi che utilizzano cTCP), gli endpoint continueranno a trasmettere e la connessione continuerà.

In questo scenario si verifica un problema se è presente un altro dispositivo, ad esempio un firewall, che tiene traccia della connessione TCP in modo statico. Poiché il protocollo cTCP non implementa completamente un client TCP e gli ACK duplicati del server non ricevono una risposta, è possibile che altri dispositivi in linea con questo flusso di rete scarichino il traffico TCP. La perdita di pacchetti deve verificarsi sulla rete causando la mancanza di segmenti TCP, che attiva il problema.

Questo non è un bug, ma un effetto collaterale della perdita di pacchetti sulla rete e del fatto che il protocollo cTCP non è un TCP reale. La tecnologia cTCP tenta di emulare il protocollo TCP incapsulando i pacchetti IPsec in un'intestazione TCP, ma questa è l'estensione del protocollo.

Questo problema si verifica in genere quando gli amministratori di rete implementano un'ASA con un IPS o eseguono una sorta di ispezione dell'applicazione sull'ASA che determina il funzionamento del firewall come proxy TCP completo della connessione. In caso di perdita di pacchetti, l'ASA invierà un ACK per i dati mancanti per conto del server o del client TCP c, ma il client VPN non risponderà mai. Poiché l'appliance ASA non riceve mai i dati che si aspetta, la comunicazione non può continuare. Di conseguenza, la connessione non riesce.

Soluzione

Per risolvere il problema, eseguire una delle azioni seguenti:

  • Passare da IPsec su TCP a IPsec su UDP o eseguire l'incapsulamento nativo con il protocollo ESP.

  • Passare al client AnyConnect per la terminazione VPN, che usa uno stack di protocolli TCP completamente implementato.

  • Configurare l'ASA in modo che applichi il bypass stato-tcp per questi flussi IPsec/TCP specifici. In questo modo vengono sostanzialmente disattivati tutti i controlli di sicurezza per le connessioni che soddisfano il criterio di bypass stato-tcp, ma le connessioni funzioneranno fino a quando non sarà possibile implementare un'altra risoluzione dall'elenco. Per ulteriori informazioni, fare riferimento a Linee guida e limitazioni per il bypass dello stato del protocollo TCP.

  • Identificare l'origine della perdita di pacchetti e adottare le misure correttive necessarie per impedire che i pacchetti IPsec/TCP vengano trasmessi sulla rete. Ciò è generalmente impossibile o estremamente difficile poiché la causa del problema è in genere la perdita di pacchetti su Internet e le cadute non possono essere evitate.

Informazioni correlate

Cronologia delle revisioni

Revisione Data di pubblicazione Commenti
1.0
26-Jun-2012
Versione iniziale
TAC Authored

Contributo dei tecnici Cisco

  • Jay Johnston
    Cisco TAC Engineer.

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci

Questo documento si applica a questi prodotti