SYN-ACK-Probleme mit asymmetrischem Routing
Resolution
Probleme
Häufige Themen für asymmetrisches Routing sind:
- Webseiten laden nur teilweise
- Bewerbungen nicht funktionieren
Ursache
Standardmäßig wird das TCP-Ablehnungs-nicht-SYN-Flag auf Ja gesetzt. Das bedeutet, dass die Verbindung über dieselbe Firewall eingeleitet werden muss, damit die Anwendungsdaten erlaubt sind. Wenn das SYN-Paket über eine Firewall eindringt und das SYN/ACK-Paket das Netzwerk über eine andere Firewall verlässt, wird das SYN/ACK-Paket abgelehnt, weil das erste Paket der Verbindung eine andere Firewall verwendet.
ÜberPrüfen Sie den flow_tcp_non_syn_drop Global Counter für nicht-SYN TCP.
> Counter Global | Match Drop
Name Value Rate schwere Kategorie Aspekt Beschreibung
-----------------------------------------------------------------------------------
flow_rcv_err 1705 0 Drop-Flow-parieren-Pakete fallen gelassen: Strömungs Stufe erhalten Fehler
flow_rcv_dot1q_tag_err 7053 0 Drop-Flow-parieren-Pakete fallen gelassen: 802.1 q-Tag nicht konfiguriert
flow_no_interface 7053 0 Drop Flow parieren Pakete fallen gelassen: Ungültige Schnittstelle
flow_ipv6_disabled 20459 0 Drop-Flow-parieren-Pakete fallen gelassen: IPv6 deaktiviert auf Interface
flow_tcp_non_syn_drop 156 0 Drop-Flow-Session-Pakete fallen gelassen: nicht-SYN TCP ohne Session-Match
flow_fwd_l3_mcast_drop 14263 0 Drop-Flow-vorwärts-Pakete fallen gelassen: keine Route für IP Multicast
flow_parse_l4_cksm 1 0 Drop-Flow-parieren-Pakete fallen gelassen: TCP/UDP-Prüfsumme-Ausfall
flow_host_decap_err 31 0 Drop Flow Mgmt-Pakete entfallen: entkapselungs Fehler von der Steuerebene
flow_host_service_deny 90906 0 Tropfen Fluss Mgmt Device Management Session verweigert
flow_lion_rcv_err 1700 0 Drop-Flow-abzuladen-Pakete fallen gelassen: Fehler vom abzuladen-Prozessor erhalten
Führen Sie den Befehl Show Counter Global | Match Drop mehrere Zeit aus, um die Drop-Zähler (Wertfeld) zu erhöhen.
Um die aktuelle Einstellung zu überprüfen:
> zeigen Sitzungsinformationen
-------------------------------------------------------------------------------
Anzahl der unterstützten Sitzungen: 262143
Anzahl der aktiven Sitzungen: 1
Anzahl der aktiven TCP-Sessions: 0
Anzahl der aktiven UDP-Sessions: 0
Anzahl der aktiven ICMP-Sessions: 0
Anzahl der aktiven BCAST-Sessions: 0
Anzahl der aktiven MCAST-Sessions: 0
Anzahl der Vorhersage Sitzungen: 0
Session-Tabelle-Auslastung: 0 %
Anzahl der Sessions, die seit dem System-bootup erstellt wurden: 7337
Paket-Rate: 8/s
Durchsatz: 3 kbps
-------------------------------------------------------------------------------
Session-timeout
TCP Default Timeout: 3600 Sekunden
TCP-Session-Timeout vor 3-Wege-Hand schütteln: 5 Sekunden
TCP-Session-Timeout nach FIN/RST: 30 Sekunden
UDP Default Timeout: 30 Sekunden
ICMP Default Timeout: 6 Sekunden
Weitere IP-Standard-Timeout: 30 Sekunden
Session-Timeout im Ablagestapel Zustand:
TCP: 90 Sekunden, UDP: 60 Sekunden, andere IP-Protokolle: 60 Sekunden
-------------------------------------------------------------------------------
Sitzung beschleunigte Alterung: aktiviert
beschleunigte Alterung Schwelle: 80 % Auslastung
Skalierungsfaktor: 2 X
-------------------------------------------------------------------------------
Session setup
TCP - ablehnen-SYN erste Paket: Ja
Hardware Sitzung auslagern: Ja
IPv6 Firewalling: Nein
-------------------------------------------------------------------------------
Anwendung rieselnde Scan-Parameter:
Timeout zur Ermittlung der Anwendungs Trickling: 10 Sekunden
Ressourcen Nutzungs Schwelle zum Start Scan: 80%
Scan-Skalierungsfaktor über regelmäßiges Altern: 8
-------------------------------------------------------------------------------
Lösung
Es gibt zwei Problemumgehungen für dieses Problem:
- Ändern Sie die Netzwerkarchitektur, um asymmetrisches Routing zu eliminieren, so dass der gesamte Rück Verkehr durch die gleiche Firewall geht, in der der Verkehr entstanden ist
- Schalten Sie die Option (TCP-ablehnen-Non-SYN) aus, um Verbindungen abzulehnen, bei denen das erste Paket kein SYN-Paket war
Führen Sie die folgenden Befehle aus, um TCP-ablehne nicht-SYN vorübergehend zu deaktivieren (bis zum Neustart)
> Session TCP-ablehnen-nicht-SYN Nein
Führen Sie die folgenden Befehle aus, um die Option dauerhaft zu deaktivieren:
> configure
# Set DeviceConfig Setting Session TCP-ablehnen-Non-SYN Nein
# Commit
Führen Sie den folgenden Befehl aus, um zu bestätigen, dass die Sitzungen für nicht-SYN TCP-Pakete auf der Firewall eingerichtet werden.
> zeigen Sitzungsinformationen
. . . .
--------------------------------------------------------------------------------
Session Setup
TCP-ablehnen Sie nicht-SYN erstes Paket : falsch
Hardware Session Offloading: true
IPv6 Firewalling: true
Besitzer: Panagent