Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

SCTP – Überblick

Stream Control Transmission Protocol (SCTP) ist ein Protokoll der Transportschicht, das einen zuverlässigen, sequenziellen Transport von Daten gewährleistet. SCTP bietet Multihoming-Unterstützung, bei der ein oder beide Endpunkte einer Verbindung aus mehr als einer IP-Adresse bestehen können. Dies ermöglicht ein transparentes Failover zwischen redundanten Netzwerkpfaden.

Grundlegendes zum Stream Control Transmission Protocol

Stream Control Transmission Protocol (SCTP) ist ein robustes Transportschichtprotokoll innerhalb der Internet Protocol Suite, das neben UDP und TCP betrieben wird. Es wurde entwickelt, um einen zuverlässigen, verbindungsorientierten Transport für verschiedene Internetanwendungen zu bieten. Zu den wichtigsten Funktionen von SCTP gehören:

  1. Multi-Stream-Protokoll: SCTP unterstützt mehrere Nachrichtenströme für jeden Endpunkt und eignet sich für Anwendungen, die unterschiedliche Nachrichtenprioritäten und eine strikte Reihenfolge innerhalb der Datenströme erfordern.

  2. Fragmentierung der Benutzerdaten: Um Nachrichten zu verarbeiten, die die MTU (Maximum Transmission Unit) des Pfads überschreiten, fragmentiert SCTP die Daten in Blöcke und markiert den letzten Block mit einem bestimmten Flag. Die Empfängerseite setzt diese Blöcke wieder zusammen, bevor die vollständige Nachricht an das Protokoll der oberen Schicht übergeben wird.

  3. Chunk-Bündelung:

    SCTP ermöglicht die Bündelung von Blöcken aus mehreren Nachrichten in einem einzigen SCTP-Paket, was eine effiziente Datenübertragung erleichtert. Der Empfänger zerlegt diese Blöcke, bevor er sie an das Upper-Layer-Protokoll liefert.

  4. Paketvalidierung:

    SCTP enthält ein Verifizierungs-Tag in seinem Header zur eindeutigen Identifizierung von Zuordnungssitzungen. Dieses Tag schützt vor Maskierungsangriffen und verhindert die Verarbeitung veralteter SCTP-Pakete aus früheren Verbindungen.

  5. Unterstützung für Multihoming:

    SCTP ermöglicht es Endgeräten, während der Einrichtung der Verbindung eine Liste lokaler Transportadressen anzugeben, wodurch eine hohe Verfügbarkeit für die Datenübertragung gefördert wird, indem Routen für jede Zieladresse festgelegt werden.

Darüber hinaus bietet SCTP ein transparentes Failover zwischen redundanten Netzwerkpfaden und ist damit die ideale Wahl für Anwendungen, die einen zuverlässigen, sequenziellen Datentransport erfordern. Es arbeitet auf verbindungslosen Paketnetzwerken wie IP und unterstützt Einzel- oder Multi-IP-Szenarien.

Darüber hinaus findet SCTP Anwendung beim Transport von Signalisierungsnachrichten für 3G-Mobilfunknetze über Protokolle wie M3UA, M2UA oder SUA. Es wurde optimiert, um Multithread-Infrastrukturprobleme bei hohem Datenverkehr zu vermeiden, die Assoziationssuchrate zu erhöhen und die Finite State Machine (FSM) für Neuübertragungsfälle zu verbessern.

SCTP eignet sich besonders gut für Anwendungen, die Überwachung und Loss-of-Session-Erkennung erfordern. Sein Heartbeat-Mechanismus überwacht die Sitzungskonnektivität und gewährleistet einen zuverlässigen und sicheren Transport mit minimaler End-to-End-Verzögerung und schneller Failover-Zeit im Falle von Netzwerkausfällen.

Abbildung 1: 4-Wege-SCTP-Handshake und TCP-3-Wege-Handshake SCTP 4-way Handshake and TCP 3-way Handshake

SCTP-Services

SCTP bietet folgende Dienstleistungen an:

  • Aggregate Server Access Protocol (ASAP)

  • Trägerunabhängige Call Control (BICC)

  • Direkte Datenplatzierung Segment-Chunk (DDP-Segment)

  • Direkte Datenplatzierung Stream-Sitzungssteuerung (DDP-Stream)

  • Durchmesser in einem DTLS/SCTP-DATENBLOCK (Diameter-DTLS)

  • Durchmesser in einem SCTP-DATA-Block (Diameter-SCTP)

  • DPNSS/DASS 2-Erweiterungen des IUA-Protokolls (DUA)

  • Endpunkt Handlescape Redundancy Protocol (ENRP)

  • H.248-Protokoll (H248)

  • H.323-Protokoll (H323)

  • ISDN User Adaptation Layer (IUA)

  • MTP2-Benutzer Peer-to-Peer-Anpassungsschicht (M2PA)

  • MTP2-Benutzeranpassungsschicht (M2UA)

  • MTP3-Benutzeranpassungsschicht (M3UA)

  • Andere nicht näher spezifizierte konfigurierte SCTP-Nutzlastprotokolle (andere)

  • Q.IPC

  • Reserviert

  • S1-Anwendungsprotokoll (S1AP)

  • Simple Middlebox Configuration (SIMCO)

  • SCCP-Benutzeranpassungsschicht (SUA)

  • Transport Adapter Layer Interface (TALI)

  • V5.2 Benutzeranpassungsschicht (V5UA)

  • X2-Anwendungsprotokoll (X2AP)

SCTP-Einschränkungen und -Einschränkungen

Für SCTP gelten die folgenden Einschränkungen und Einschränkungen:

  • IP-Adressen

    • Es wird nur statische IP-NAT unterstützt. Die eingehenden Schnittstellenpakete (von der einen Seite: Client oder Server) müssen zur gleichen Zone gehören.

  • Politik

    • Dynamische Richtlinien werden nicht unterstützt. Sie müssen alle Richtlinien für SCTP-Sitzungen konfigurieren.

    • Wenn Richtlinien gelöscht werden, werden die zugehörigen Sitzungen und Zuordnungen gelöscht.

    • Sie konfigurieren eine Richtlinie, um SCTP-Datenverkehr von allen Client-IPs zu allen Server-IPs zuzulassen, und eine andere Richtlinie, um SCTP-Datenverkehr von Server-IPs zu Client-IPs zuzulassen. Wenn eine Richtlinie über ein SCTP-Profil verfügt, wird dasselbe SCTP-Profil für die umgekehrte Richtlinie benötigt.

    • Wenn Sie für jede Sitzung, die zu einer Verbindung gehört, unterschiedliche Richtlinien konfigurieren, gibt es mehrere Richtlinien, die sich auf eine Verbindung beziehen, und die SCTP-Paketverwaltung (Drop, Ratenbegrenzung usw.) verwendet das Profil, das an die Richtlinie der behandelnden SCTP-Sitzung angehängt ist.

    • Die Anwendungen, die in den Sicherheitsrichtlinien verwendet werden, um den SCTP-ALG-Datenverkehr zuzulassen, können nicht mit dieser application-protocol ignore Option konfiguriert werden. Diese Bedingung gilt auch dann, wenn die SCTP-ALG-Prüfung nicht konfiguriert ist.

  • Die Aktivieren/Deaktivieren von SCTP wird darüber gesteuert, ob ein SCTP-Profil konfiguriert ist.

    • Wenn kein Profil an eine Richtlinie angehängt ist, werden SCTP-Pakete ohne Prüfung weitergeleitet.

    • Wenn ein Profil mit dieser nat-only Option an eine Richtlinie angehängt ist, wird nur die NAT-Übersetzung für die SCTP-Pakete durchgeführt, die der Richtlinie entsprechen. Wenn für ein Profil die Option nicht festgelegt ist, werden sowohl die NAT-Übersetzung als auch die nat-only SCTP-Überprüfung für jedes SCTP-Paket durchgeführt, das der Richtlinie entspricht.

    • Wenn Sie SCTP deaktivieren, werden alle Zuordnungen gelöscht, und nachfolgende SCTP-Pakete werden gemäß der Richtlinie übergeben oder gelöscht.

    • Wenn Sie SCTP aktivieren, müssen alle vorhandenen SCTP-Sitzungen gelöscht werden, oder der Datenverkehr, der mit alten Sitzungen übereinstimmt, wird ohne Überprüfung durch das SCTP-Modul weitergeleitet.

      Wenn Sie SCTP wieder aktivieren möchten, wird die gesamte ausgeführte SCTP-Kommunikation gelöscht, da keine Zuordnungen vorhanden sind. Neue SCTP-Kommunikationen können eine Assoziation herstellen und die Inspektionen durchführen.

      Anmerkung:

      Löschen Sie alte SCTP-Sitzungen, wenn SCTP wieder aktiviert wird. Dadurch werden Auswirkungen der alten SCTP-Sitzungen auf die neue SCTP-Kommunikation vermieden.

    • Wenn Sie einer vorhandenen Richtlinie ein SCTP-Profil hinzufügen, müssen Sie einen der folgenden Schritte ausführen: Verwandte Sitzungen löschen oder die alte Richtlinie entfernen und eine neue Richtlinie erstellen.

    • Wenn Sie den Timeout-Wert im SCTP-Profil ändern, ändern sich der konfigurierte Handshake und der Timeout-Wert in vorhandenen Zuordnungen nicht.

  • SCTP-Ratenbegrenzung

    • Änderungen an der Konfiguration der Ratenbegrenzung wirken sich nicht auf den nachfolgenden Datenverkehr vorhandener Verbindungen aus. Sie gilt für die neu gegründeten Verbände.

    • Der unterstützte Dezimalwert des Protokolls liegt zwischen 0 und 63. Dieser Wert umfasst 48 IANA-zugewiesene Protokolle und 16 nicht zugewiesene Protokolle.

    • Maximal 80 Adressen sind in einem Profil ratenbeschränkt.

    • Maximal 10 Protokolle sind für eine Adresse in einem Profil ratenbeschränkt.

    • Der unterstützte Ratengrenzwert liegt zwischen 1 und 12000.

  • SCTP Payload Protocol Blockierung

    • Jede Änderung in der Konfiguration zum Blockieren des Protokolls wirkt sich sofort auf den nachfolgenden Datenverkehr bestehender Verbindungen aus.

    • Der unterstützte Dezimalwert des Protokolls liegt zwischen 0 und 63. Dieser Wert umfasst 48 IANA-zugewiesene Protokolle und 16 nicht zugewiesene Protokolle.

  • Ein SCTP-Endgerät unterstützt außerdem NAT-PT in zwei Richtungen: vom IPv4-Adressformat zum IPv6-Adressformat und umgekehrt. Das SCTP-Modul unterstützt kein IPv4- oder IPv6-Multihoming und kein IPv4- oder IPv6-Verwechslungs-NAT-PT.

  • Damit statische NAT funktioniert, müssen die eingehenden Schnittstellenpakete (von einer Seite: Client- oder Serverseite) derselben Zone angehören.

  • Für Multihome-Fälle wird nur der IPv4-Adressparameter in INIT oder INIT_ACK unterstützt.

  • Für SCTP wird nur statische NAT unterstützt.

  • Nur eingerichtete SCTP-Zuordnungen werden mit Peer-Sitzungen synchronisiert.

  • SCTP-Sitzungen werden nicht mit Zuordnungen gelöscht. Sie laufen in 30 Minuten ab, was der Standardwert ist. Der Timeout-Wert ist konfigurierbar und kann geändert werden.

  • Wenn der 4-Wege-Handshake-Prozess nicht auf einem Knoten, sondern auf zwei Knoten behandelt wird (z. B. zwei Sitzungen auf zwei Knoten im Aktiv/Aktiv-Modus) oder wenn sich der Cluster im Failover befindet, bevor der 4-Wege-Handshake abgeschlossen ist, wird die Zuordnung nicht erfolgreich hergestellt.

  • Ein einheitliches In-Service-Software-Upgrade (ISSU) auf frühere Junos OS-Versionen wird nicht unterstützt.

  • Die M3UA/SCCP-Nachrichtenanalyse ist aktiviert, die M3UA/SCCP-Stateful Inspection jedoch nicht.

  • Es wird nur der Standard ITU-T Rec. Q.711-Q.714 (07/96) unterstützt. ANSI, ETSI, China und andere Standards werden nicht unterstützt.

  • Es wird nur RFC 4960 unterstützt.

  • Die VPN-Sitzungsaffinität unterstützt GPRS Tunneling Protocol (GTP) und Stream Control Transmission Protocol (SCTP) nicht.

SCTP-Funktionen – Übersicht

Im Folgenden sind die wichtigsten Funktionen von SCTP aufgeführt:

  • Multihoming-Unterstützung, bei der ein oder beide Endpunkte einer Verbindung aus mehr als einer IP-Adresse bestehen können. Dies ermöglicht ein transparentes Failover zwischen redundanten Netzwerkpfaden.

  • Die Bereitstellung von Daten in Blöcken innerhalb eines unabhängigen Datenstroms eliminiert unnötige Head-of-Line-Blockierungen.

  • Pfadauswahl- und Überwachungsfunktionen zur Auswahl eines primären Datenübertragungspfads und zum Testen der Konnektivität des Übertragungspfads.

  • Validierungs- und Bestätigungsmechanismen schützen vor Flooding-Angriffen und benachrichtigen über doppelte oder fehlende Datenpakete.

  • Verbesserte Fehlererkennung passend für Jumbo-Ethernet-Frames.

Grundlegendes zur Unterstützung der Central Point Architecture für SCTP

Eine SCTP-Zuordnung (Stream Control Transmission Protocol) ist eine Verbindung zwischen zwei SCTP-Endpunkten. Jeder SCTP-Endpunkt identifiziert die Zuordnung mit einem Tag. Während der Einrichtung einer SCTP-Zuordnung tauschen zwei SCTP-Endgeräte ihre eigenen Tags für den Empfang von Paketen aus. Während des Austauschs von Paketen zwischen zwei SCTP-Endpunkten können sich sowohl die Quelladresse als auch die Zieladresse im Lebenszyklus der Zuordnung ändern.

Die SCTP-Datenflusssitzung verwendet ein Verbindungs-Tag, um den SCTP-Datenverkehr auf SRX1500-, SRX4100-, SRX4200-, SRX5400-, SRX5600- und SRX5800-Geräten, die das SCTP-ALG unterstützen, feiner zu verteilen. Das Verbindungstag wird aus dem SCTP-vtag decodiert. Für jedes der ersten drei Pakete wird eine separate SCTP-Sitzung erstellt, d. h. jeweils eine Sitzung für INIT, INIT-ACK und COOKIE-ECHO. Da der Datenverkehr in umgekehrter Richtung über eine eigene Sitzung verfügt, kann die Sitzung nicht mehr mit der vorhandenen Sitzung in Vorwärtsrichtung übereinstimmen und wird automatisch weitergeleitet. Daher ist ähnlich wie bei der Forward-Richtlinie eine explizite Richtlinie für die Genehmigung des Reverse-Direction-SCTP-Datenverkehrs erforderlich. In diesem Szenario erfordert die SCTP-Datenflusssitzung selbst für eine einfache Verbindung eine bidirektionale Richtlinienkonfiguration.

SCTP-Unterstützung für virtuelles Routing und Weiterleitung (VRF)

Die VRF-Funktion (Virtual Routing and Forwarding) ermöglicht die Verwaltung von Remote-IP-Adressen. SCTP-Client sollte vor dem Initiieren einer neuen SCTP-Zuordnung die Socket-Option für den Routing-Tabellenindex/VRF-Index festlegen, wenn die Ausgangsschnittstelle zum SCTP-Server innerhalb von VRF konfiguriert ist, andernfalls wird die Verbindung nicht hergestellt, da der SCTP-Client die Standard-/globale Routing-Instanz für die Zuordnungseinrichtung verwendet. Wenn auf der SCTP-Serverseite die Option für den VRF-Index-Socket nicht auf dem abhörenden Socket festgelegt ist, wird die auf allen VRFs empfangene Assoziationsanforderung berücksichtigt, aber wenn die VRF-Index-Socket-Option auf dem lauschenden Socket festgelegt ist, wird die Zuweisungsaufstellungsanforderung, die auf diesem bestimmten VRF eingeht, nur berücksichtigt.  

Die Anwendung kann entweder eine Socket-Option mit einem benutzerdefinierten Flag setzen, um SCTP einen Routing-Tabellenindex zur Verfügung zu stellen, um die VRF-basierte SCTP-Assoziation zu verarbeiten, um die Assoziation in dieser bestimmten Verbindung zu platzieren, oder den SCTP-Kernel während der Einrichtung im Prozess des 4-Wege-Handshakes VRF für die Assoziation auswählen zu lassen, basierend auf VRF, in dem die Eingangsschnittstelle konfiguriert ist.

Wenn eine SCTP-Assoziation über eine VRF-Instanz hergestellt wird, muss der Kernel einen zusätzlichen Parameter, die eindeutige VRF-ID, berücksichtigen, wenn er nach eindeutigen Assoziationen sucht, indem er das vorhandene 4-Tupel verwendet, das in SCTP verwendet wird (Quell-IP, Quell-Port, Ziel-IP, Ziel-Port).

  • Eingehende SCTP-Pakete über VRF:

    Wenn ein SCTP-Paket auf einer Eingangsschnittstelle eintrifft, wird eine Suche mit dem 5-Tupel (Quell-IP, Quell-Port, Ziel-IP, Ziel-Port und 'VRF-ID, auf der das Paket empfangen wurde') durchgeführt, um festzustellen, ob eine vorhandene SCTP-Assoziation im Kernel vorhanden ist.

  • Ausgehende SCTP-Pakete über VRF:

    Für jedes SCTP-Paket, das vom Kernel gesendet wird, wird die entsprechende VRF-ID aus den Assoziationsdaten unter Verwendung des 5-Tupels (Quell-IP, Quell-Port, Ziel-IP, Ziel-Port und 'VRF-ID, an die das Paket gesendet werden soll') erhalten.

SCTP-Sockel im Eins-zu-Viele-Stil

SCTP unterstützt zwei Socket-Stile: 1 zu 1 (vergleichbar mit TCP) und 1 zu Viele (ermöglicht mehrere aktive Assoziationen auf einem einzigen Socket). Letzteres erleichtert die Kommunikation mit mehreren Peer-Endpunkten gleichzeitig, indem Assoziationskennungen (assoc-id) verwendet werden, um zwischen ihnen zu unterscheiden.

Die folgenden System-APIs werden von der Anwendung verwendet, die den SCTP-Socket im 1:1- oder 1:N-Stil verwendet:

Das System erfordert eine 1-zu-1-Steckdose

  • Serverrolle: socket(), bind(), listen(), accept(), write()/read(), close()

  • Client-Rolle: socket(), connect(), write()/read(), close()

Das System erfordert 1 bis viele Steckdosen

  • Serverrolle: socket(), bind(), listen(), recvmsg(), sendmsg(), close()

  • Client-Rolle: socket(), sendmsg(), recvmsg(), close()

Siehe auch

Übersicht über die SCTP-Paketstruktur

Ein SCTP-Paket besteht aus den folgenden Abschnitten:

Abbildung 2 veranschaulicht die Struktur des SCTP-Pakets.

Abbildung 2: SCTP-Paketstruktur SCTP Packet Structure

Allgemeiner Header-Abschnitt

Für alle SCTP-Pakete ist ein gemeinsamer Header-Abschnitt erforderlich. Dieser Abschnitt belegt die ersten 12 Bytes des Pakets. In Tabelle 1 werden die Felder im allgemeinen Header-Abschnitt beschrieben:

Tabelle 1: Gemeinsame Header-Felder

Feld

Beschreibung

Portnummer der Quelle

Identifiziert den sendenden Port.

Zielportnummer

Identifiziert den empfangenden Port. Die Hosts verwenden die Nummer des Zielports, um das Paket an das entsprechende Ziel oder eine Anwendung weiterzuleiten.

Verifizierungs-Tag

Unterscheidet veraltete Pakete von einer vorherigen Verbindung. Hierbei handelt es sich um einen 32-Bit-Zufallswert, der während der Initialisierung erstellt wird.

Prüfsumme

Verwendet den CRC32-Algorithmus (Cyclic Redundancy Check), um Fehler zu erkennen, die möglicherweise während der Datenübertragung aufgetreten sind.

Abschnitt "Datenblock"

Datenblockabschnitt: Dieser Abschnitt nimmt den verbleibenden Teil des Pakets ein. In Tabelle 2 werden die Felder im Abschnitt "Datenblock" beschrieben:

Tabelle 2: Datenblockfelder

Feld

Beschreibung

Chunk-Typ

Gibt den Inhalt des Blockwertfelds an. Dies ist 1 Byte lang.

Chunk-Flags

Besteht aus 8 Flag-Bits, deren Definition je nach Chunk-Typ variiert. Der Standardwert ist Null. Dies weist darauf hin, dass von der oberen Schicht keine Anwendungskennung für die Daten angegeben wird.

Chunk-Länge

Gibt die Gesamtlänge des Blocks in Byte an. Dieses Feld ist 2 Bytes lang. Wenn der Block kein Vielfaches von 4 Byte bildet (d. h., die Länge ist kein Vielfaches von 4), wird er implizit mit Nullen aufgefüllt, die nicht in der Blocklänge enthalten sind.

Chunk-Wert

Ein allgemeines Datenfeld.

Der Ressourcen-Manager (RM) lässt während einer SCTP-Kommunikation 8 Quell-IP-Adressen und 8 Ziel-IP-Adressen zu.

Grundlegendes zu SCTP-Multihoming

Ein SCTP-Endpunkt (Stream Control Transmission Protocol) kann ein mehrfach vernetzter Host mit entweder allen IPv4- oder IPv6-Adressen sein. In Abbildung 3 ist Endpunkt A mit einer Firewall der SRX-Serie mit zwei IPv4-Adressen und Endpunkt B mit einer Firewall der SRX-Serie mit zwei IPv4-Adressen verbunden. Daher können Endpunkt A und Endpunkt B eine Verbindung mit vier verschiedenen Paaren von IP-Adressen einrichten, was zu vier gültigen Pfaden für die Kommunikation führt.

Abbildung 3: SCTP-Multihoming mit zwei IPv4-Endgeräten SCTP Multihoming with Two IPv4 Endpoints

In Abbildung 4 ist Endpunkt A mit einer Firewall der SRX-Serie mit zwei IPv6-Adressen und Endpunkt B mit einer Firewall der SRX-Serie mit zwei IPv6-Adressen verbunden. Daher können Endpunkt A und Endpunkt B eine Verbindung mit vier verschiedenen Paaren von IP-Adressen einrichten, was zu vier gültigen Pfaden für die Kommunikation führt.

Abbildung 4: SCTP-Multihoming mit zwei IPv6-Endgeräten SCTP Multihoming with Two IPv6 Endpoints

Grundlegendes zu SCTP Multichunk Inspection

Die SCTP-Firewall (Stream Control Transmission Protocol) überprüft alle Abschnitte in einer Nachricht und lässt das Paket dann basierend auf der Richtlinie zu oder verwirft sie. Verwenden Sie den Befehl, um die set security gprs sctp multichunk-inspection enable SCTP-Multichunk-Inspektion zu aktivieren, um alle Blöcke in einer Nachricht zu überprüfen. Verwenden Sie den Befehl oderset security gprs sctp multichunk-inspection disable, um die delete security gprs sctp multichunk-inspection enable SCTP-Multichunk-Inspektion zu deaktivieren und nur den ersten Block zu überprüfen.

Nach der Aktivierung der SCTP-Multichunk-Inspektion überprüft die SCTP-Firewall alle Blöcke in einer Nachricht und lässt das Paket zu oder verwirft es. Die SCTP-Firewall verwirft das Paket in den folgenden Fällen:

  • Das Layout der SCTP-Blöcke entspricht nicht RFC 4960.

  • Ein Steuerungsblock kann die Prüfung des SCTP Finite State Machine (FSM) oder die Plausibilitätsprüfung nicht bestehen.

  • Ein Datenblock darf das SCTP-Profil aufgrund der SCTP-FSM- oder Plausibilitätsprüfungen nicht passieren.

  • Ein Datenblock darf das SCTP-Profil aufgrund von Protokollblockierung oder Ratenbegrenzung nicht passieren. Die SCTP-Firewall setzt diesen Block auf eine NULL-Protokolldateneinheit (PNU) zurück und fährt fort, den nächsten Block zu überprüfen. Ein Datenblock wird basierend auf den folgenden Regeln auf eine NULL-PDU festgelegt:

    • Wenn Sie den NULL-PDU-Wert auf 0xFFFF Verwenden des set security gprs sctp nullpdu protocol ID-0xFFFF Befehls festlegen, wird der Wert für die Nutzlastprotokoll-ID durch 0xFFFF ersetzt, und das Benutzerdatenfeld wird nicht geändert.

    • Wenn Sie den NULL-PDU-Wert auf 0x0000 Verwenden des set security gprs sctp nullpdu protocol ID-0x0000 Befehls festlegen, wird der Wert für die Nutzlastprotokoll-ID durch 0x0000 ersetzt, und die ersten vier Bytes des Benutzerdatenfelds werden durch Nullen ersetzt.

    Wenn alle Blöcke in einem Paket NULL-PDUs sind, verwirft die SCTP-Firewall das Paket.

Grundlegendes zum SCTP-Verhalten im Chassis-Cluster

In einem Chassis-Cluster-Konfigurationsmodus werden die SCTP-Konfiguration und die eingerichtete SCTP-Zuordnung mit dem Peer-Gerät synchronisiert. Das SCTP-Modul unterstützt sowohl Aktiv-Aktiv- als auch Aktiv-Passiv-Modi.

Die eingerichtete SCTP-Verbindung sendet eine Erstellungs- oder Löschnachricht an den Peer, wenn eine Verbindung auf dem aktiven Gerät erstellt oder gelöscht wird. Das sekundäre Gerät fügt eine Zuordnung hinzu oder löscht sie, wenn es die Nachricht von der eingerichteten SCTP-Verbindung empfängt. Das SCTP-Modul registriert dann die entsprechende Callback-Funktion, um diese Nachricht zu empfangen und zu verarbeiten. Es gibt keine kontinuierliche Timer-Synchronisierung zwischen den beiden Zuordnungen.

Das SCTP-Modul registriert eine Kaltstart-Synchronisierungsfunktion, wenn ein sekundäres Gerät dem Cluster beitritt oder neu gestartet wird. Die SCTP-Kaltstartfunktion wird aufgerufen, um alle SCTP-Zuordnungen gleichzeitig mit den Peer-Geräten zu synchronisieren.

Nach der Umstellung bleiben die etablierten SCTP-Verbände funktionsfähig, aber die Verbände, die sich im Gründungsprozess befinden, gehen verloren, und das Gründungsverfahren muss neu eingeleitet werden. Es ist auch möglich, dass die Zuordnungen, die sich während des Entfernens befinden, die Bestätigungsmeldung übersehen und nicht etablierte SCTP-Zuordnungen in der Firewall hinterlassen. Diese Zuordnungen werden bereinigt, wenn der Timer abläuft (standardmäßig 5 Stunden), da keine Aktivität in der Zuordnung vorhanden ist.

  • Sie sollten alle Richtlinien für Ihre erforderlichen SCTP-Sitzungen konfigurieren. Angenommen, Sie haben die Endpunkte A und B. Endpunkt A hat eine SCTP-Zuordnung mit x IPs (IP_a1, IP_a2, IP_a3... IP_ax). Endpunkt B hat eine SCTP-Zuordnung mit y IP-Adressen (IP_b1, IP_b2, IP_b3 ... IP_by.) Die Richtlinie auf dem Sicherheitsgerät sollte alle möglichen x*y-Pfade in beide Richtungen zulassen.

  • Wenn eine SCTP-Zuordnung entfernt wird, sind die zugehörigen SCTP-Sitzungen weiterhin vorhanden und führen eine Zeitüberschreitung durch.

Zugehörige Dokumentation