Problemas SYN-ACK con enrutamiento asimétrico
Resolution
Problemas
Los problemas comunes para el enrutamiento asimétrico son:
- Sitios web que cargan sólo parcialmente
- Aplicaciones que no funcionan
Causa
De forma predeterminada, el indicador TCP rechazar no SYN se establece en Yes. Esto significa que la conexión debe iniciarse a través del mismo cortafuegos para que se permitan los datos de la aplicación. Si el paquete SYN entra a través de un cortafuegos y el paquete SYN/ACK sale de la red a través de otro cortafuegos, el paquete SYN/ACK se rechaza porque el primer paquete de la conexión usó un cortafuegos diferente.
Compruebe el contador global de flow_tcp_non_syn_drop para no-SYN TCP.
> Mostrar contador global | caída del fósforo
nombre tasa de valor categoría severidad Descripción de aspecto
-----------------------------------------------------------------------------------
flow_rcv_err 1705 0 paquetes de análisis de flujo de gota caídos: error de recepción de etapa de flujo
flow_rcv_dot1q_tag_err 7053 0 paquetes de análisis de flujo de gota caídos: 802.1 q Tag no configurado
flow_no_interface 7053 0 paquetes de análisis de flujo de gota caídos: interfaz no válida
flow_ipv6_disabled 20459 0 paquetes de análisis de flujo de gota caídos: IPv6 deshabilitado en la interfaz
flow_tcp_non_syn_drop 156 0 paquetes de sesión de flujo de gota caídos: no SYN TCP sin coincidencia de sesión
flow_fwd_l3_mcast_drop 14263 0 paquetes de flujo de gota hacia delante caídos: no hay ruta para multicast IP
flow_parse_l4_cksm 1 0 paquetes de análisis de flujo de gota eliminados: TCP/UDP suma de comprobación falla
flow_host_decap_err 31 0 paquetes de administración de flujo de gota caídos: error decapsulation del plano de control
flow_host_service_deny 90906 0 administración de dispositivos de flujo de Drop MGMT denegación de sesión
flow_lion_rcv_err 1700 0 paquetes de descarga de flujo de gota caídos: error de recepción del procesador de descarga
Ejecute el comando mostrar contador global | coincidencia de varias veces para ver el incremento de los contadores de gotas (campo valor).
Para comprobar la configuración actual:
> Mostrar info de sesión
-------------------------------------------------------------------------------
número de sesiones apoyadas: 262143
número de sesiones activas: 1
número de sesiones activas de TCP: 0
número de sesiones activas de UDP: 0
número de sesiones ICMP activas: 0
número de sesiones BEXPULSADOS activas: 0
número de sesiones MCAST activas: 0
número de sesiones de predicción: 0
utilización de tabla de sesión: 0%
número de sesiones creadas desde el sistema arranque: 7337
Tarifa del paquete: 8/s
Rendimiento de procesamiento: 3 Kbps
-------------------------------------------------------------------------------
tiempo de espera de sesión
Tiempo de espera TCP predeterminado: 3600 segundos
Tiempo de espera de sesión TCP antes del apretón de dirección de 3 vías: 5 segundos
Tiempo de espera de sesión TCP después de FIN/RST: 30 segundos
Timeout default de UDP: 30 segundos
Timeout default de ICMP: 6 segundos
otro tiempo de espera predeterminado de IP: 30 segundos
Tiempo de espera de sesión en estado de descarte:
TCP: 90 segundos, UDP: 60 segundos, otros protocolos del IP: 60 segundos
-------------------------------------------------------------------------------
sesión acelerado envejecimiento: habilitado
umbral de envejecimiento acelerado: el 80% de utilización
factor de escalamiento: 2 X
-------------------------------------------------------------------------------
configuración de la sesión
TCP - SYN no rechazar primer paquete: sí
sesión de hardware descarga: sí
Firewall IPv6: no
-------------------------------------------------------------------------------
parámetros de exploración percoladores de aplicación:
tiempo de espera para determinar el filtrado de aplicaciones: 10 segundos
umbral de utilización de recursos para iniciar el análisis: 80%
factor de escalamiento de la exploración sobre el envejecimiento regular: 8
-------------------------------------------------------------------------------
Resolución
Existen dos soluciones alternativas para este problema:
- Cambiar la arquitectura de red para eliminar el enrutamiento asimétrico, de forma que todo el tráfico de retorno pase por el mismo cortafuegos en el que se originó el tráfico
- Desactivar la opción (TCP-rechazar-no-SYN) para rechazar conexiones donde el primer paquete no era un paquete SYN
Ejecute los siguientes comandos para desactivar temporalmente TCP rechazar no SYN (hasta reiniciar)
> establecer sesión TCP-rechazar-no SYN no
Ejecute los siguientes comandos para deshabilitar la opción permanentemente:
> configurar
# Set deviceconfig sesión de configuración TCP-rechazar-no-SYN no
# commit
Ejecute el siguiente comando para confirmar que las sesiones se establecerán para paquetes TCP no SYN en el cortafuegos
> Mostrar info de sesión
. . . .
--------------------------------------------------------------------------------
Configuración de sesión
TCP-rechazar no SYN primer paquete: false
Descarga de sesión de hardware: true
Firewall IPv6: true
Propietario: panagent