Citrix SD-WAN WANOP

防火墙注意事项

Citrix SD-WAN WANOP 设备使用 TCP 选项会使来自防火墙的加速流量面临风险,防火墙对使用不太常见的 TCP 选项拒绝连接提供服务的严格规则。

某些防火墙会剥离 “未知” 选项,然后转发数据包。此操作可防止加速,但不会影响连接性。

其他防火墙拒绝向具有未知选项的连接提供服务。也就是说,带有 Citrix SD-WAN WANOP 选项的 SYN 数据包将被防火墙丢弃。当设备检测到重复的连接尝试失败时,它会在没有选项的情况下重试。这在延迟可变长度后恢复连接,通常在 20-60 秒的范围内,但没有加速。

任何未通过未修改的 Citrix SD-WAN WANOP 选项的防火墙都必须重新配置,以接受 24—31(十进制)范围内的 TCP 选项。

大多数防火墙不会阻止这些选项。但是,思科 ASA 和 PIX 防火墙(可能还有其他版本 7.x 固件)默认情况下可能会这样做。

应检查链接两端的防火墙,因为任何一个都可能允许对传出连接进行选项,但在传入连接上阻止它们。

以下示例应使用 7.x 固件与思科 ASA 55x0 防火墙配合使用。由于它全局允许 24-31 范围内的选项,因此没有自定义的每个接口或每个单位配置:

 ====================================================================
 CONFIGURATION FOR CISCO ASA 55X0 WITH 7.X CODE TO ALLOW TCP OPTIONS
 ====================================================================
 hostname(config)# tcp-map WSOptions
 hostname(config-tcp-map)# tcp-options range 24 31 allow
 hostname(config-tcp-map)# class-map WSOptions-class
 hostname(config-cmap)# match any
 hostname(config-cmap)# policy-map WSOptions
 hostname(config-pmap)# class WSOptions-Class
 hostname(config-pmap-c)# set connection advanced-options WSOptions
 hostname(config-pmap-c)# service-policy WSOptions global
<!--NeedCopy-->

PIX 防火墙的配置类似:

 =====================================================
 POLICY MAP TO ALLOW APPLIANCE TCP OPTIONS TO PASS (PIX 7.x)
 =====================================================
 pixfirewall(config)#access-list tcpmap extended permit tcp any any
 pixfirewall(config)# tcp-map tcpmap
 pixfirewall(config-tcp-map)# tcp-opt range 24 31 allow
 pixfirewall(config-tcp-map)# exit
 pixfirewall(config)# class-map tcpmap
 pixfirewall(config-cmap)# match access-list tcpmap
 pixfirewall(config-cmap)# exit
 pixfirewall(config)# policy-map global_policy
 pixfirewall(config-pmap)# class tcpmap
 pixfirewall(config-pmap-c)# set connection advanced-options tcpmap
<!--NeedCopy-->
防火墙注意事项