Problemas SYN-ACK con enrutamiento asimétrico

Problemas SYN-ACK con enrutamiento asimétrico

179337
Created On 09/25/18 17:19 PM - Last Modified 06/07/23 08:05 AM


Resolution


Problemas

Los problemas comunes para el enrutamiento asimétrico son:

  • Sitios web que cargan sólo parcialmente
  • Aplicaciones que no funcionan

Causa

De forma predeterminada, el indicador TCP rechazar no SYN se establece en Yes. Esto significa que la conexión debe iniciarse a través del mismo cortafuegos para que se permitan los datos de la aplicación. Si el paquete SYN entra a través de un cortafuegos y el paquete SYN/ACK sale de la red a través de otro cortafuegos, el paquete SYN/ACK se rechaza porque el primer paquete de la conexión usó un cortafuegos diferente.

Compruebe el contador global de flow_tcp_non_syn_drop para no-SYN TCP.

> Mostrar contador global | caída del fósforo

nombre tasa de valor categoría severidad Descripción de aspecto

-----------------------------------------------------------------------------------

flow_rcv_err 1705 0 paquetes de análisis de flujo de gota caídos: error de recepción de etapa de flujo

flow_rcv_dot1q_tag_err 7053 0 paquetes de análisis de flujo de gota caídos: 802.1 q Tag no configurado

flow_no_interface 7053 0 paquetes de análisis de flujo de gota caídos: interfaz no válida

flow_ipv6_disabled 20459 0 paquetes de análisis de flujo de gota caídos: IPv6 deshabilitado en la interfaz

flow_tcp_non_syn_drop 156 0 paquetes de sesión de flujo de gota caídos: no SYN TCP sin coincidencia de sesión

flow_fwd_l3_mcast_drop 14263 0 paquetes de flujo de gota hacia delante caídos: no hay ruta para multicast IP

flow_parse_l4_cksm 1 0 paquetes de análisis de flujo de gota eliminados: TCP/UDP suma de comprobación falla

flow_host_decap_err 31 0 paquetes de administración de flujo de gota caídos: error decapsulation del plano de control

flow_host_service_deny 90906 0 administración de dispositivos de flujo de Drop MGMT denegación de sesión

flow_lion_rcv_err 1700 0 paquetes de descarga de flujo de gota caídos: error de recepción del procesador de descarga

Ejecute el comando mostrar contador global | coincidencia de varias veces para ver el incremento de los contadores de gotas (campo valor).

Para comprobar la configuración actual:

> Mostrar info de sesión

-------------------------------------------------------------------------------

número de sesiones apoyadas: 262143

número de sesiones activas: 1

número de sesiones activas de TCP: 0

número de sesiones activas de UDP: 0

número de sesiones ICMP activas: 0

número de sesiones BEXPULSADOS activas: 0

número de sesiones MCAST activas: 0

número de sesiones de predicción: 0

utilización de tabla de sesión: 0%

número de sesiones creadas desde el sistema arranque: 7337

Tarifa del paquete: 8/s

Rendimiento de procesamiento: 3 Kbps

-------------------------------------------------------------------------------

tiempo de espera de sesión

  Tiempo de espera TCP predeterminado: 3600 segundos

  Tiempo de espera de sesión TCP antes del apretón de dirección de 3 vías: 5 segundos

  Tiempo de espera de sesión TCP después de FIN/RST: 30 segundos

  Timeout default de UDP: 30 segundos

  Timeout default de ICMP: 6 segundos

  otro tiempo de espera predeterminado de IP: 30 segundos

  Tiempo de espera de sesión en estado de descarte:

    TCP: 90 segundos, UDP: 60 segundos, otros protocolos del IP: 60 segundos

-------------------------------------------------------------------------------

sesión acelerado envejecimiento: habilitado

  umbral de envejecimiento acelerado: el 80% de utilización

  factor de escalamiento: 2 X

-------------------------------------------------------------------------------

configuración de la sesión

  TCP - SYN no rechazar primer paquete: sí

  sesión de hardware descarga: sí

  Firewall IPv6: no

-------------------------------------------------------------------------------

parámetros de exploración percoladores de aplicación:

  tiempo de espera para determinar el filtrado de aplicaciones: 10 segundos

  umbral de utilización de recursos para iniciar el análisis: 80%

  factor de escalamiento de la exploración sobre el envejecimiento regular: 8

-------------------------------------------------------------------------------

Resolución

Existen dos soluciones alternativas para este problema:

  • Cambiar la arquitectura de red para eliminar el enrutamiento asimétrico, de forma que todo el tráfico de retorno pase por el mismo cortafuegos en el que se originó el tráfico
  • Desactivar la opción (TCP-rechazar-no-SYN) para rechazar conexiones donde el primer paquete no era un paquete SYN

Ejecute los siguientes comandos para desactivar temporalmente TCP rechazar no SYN (hasta reiniciar)

> establecer sesión TCP-rechazar-no SYN no

Ejecute los siguientes comandos para deshabilitar la opción permanentemente:

> configurar

# Set deviceconfig sesión de configuración TCP-rechazar-no-SYN no

# commit

Ejecute el siguiente comando para confirmar que las sesiones se establecerán para paquetes TCP no SYN en el cortafuegos

> Mostrar info de sesión

. . . .

--------------------------------------------------------------------------------

Configuración de sesión

  TCP-rechazar no SYN primer paquete: false

  Descarga de sesión de hardware: true

  Firewall IPv6: true

Propietario: panagent
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClEwCAK&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language