Problèmes SYN-ACK avec routage asymétrique

Problèmes SYN-ACK avec routage asymétrique

179319
Created On 09/25/18 17:19 PM - Last Modified 06/07/23 08:05 AM


Resolution


Problèmes

Les problèmes courants pour le routage asymétrique sont:

  • Sites de chargement seulement partiellement
  • Applications ne fonctionnant pas

Cause

Par défaut, l'indicateur TCP Reject non-SYN est défini sur Yes. Cela signifie que la connexion doit être lancée via le même pare-feu pour que les données d'application soient autorisées. Si le paquet SYN entre dans un pare-feu et que le paquet SYN/ACK quitte le réseau via un autre pare-feu, le paquet SYN/ACK est rejeté parce que le premier paquet de la connexion a utilisé un pare-feu différent.

Vérifiez le compteur global flow_tcp_non_syn_drop pour le TCP non-syn.

> Show Counter global | Drop de match

nom valeur taux gravité catégorie aspect Description

-----------------------------------------------------------------------------------

flow_rcv_err 1705 0 flux de goutte analyser les paquets supprimés: flux étape réception erreur

flow_rcv_dot1q_tag_err 7053 0 flux de goutte analyser les paquets supprimés: 802.1 q balise non configurée

flow_no_interface 7053 0 flux goutte analyser les paquets supprimés: interface non valide

flow_ipv6_disabled 20459 0 flux de goutte analyser les paquets supprimés: IPv6 désactivé sur l'interface

flow_tcp_non_syn_drop 156 0 flux Drop session paquets abandonnés: non-SYN TCP sans session match

flow_fwd_l3_mcast_drop 14263 0 flux de goutte vers l'avant lâchés: aucun itinéraire pour la multidiffusion IP

flow_parse_l4_cksm 1 0 flux goutte analyser les paquets supprimés: TCP/UDP échec de checksum

flow_host_decap_err 31 0 paquets de gestion de flux de goutte chuté: erreur décapsulation du plan de contrôle

flow_host_service_deny 90906 0 Drop Flow Mgmt gestion des périphériques session refusée

flow_lion_rcv_err 1700 0 paquets de déchargement de débit de goutte chuté: erreur de réception du processeur de déchargement

Exécutez la commande Afficher Counter global | match Drop plusieurs fois pour afficher l'incrémentation des compteurs de dépôt (champ valeur).

Pour vérifier le paramètre actuel:

> Afficher les infos de session

-------------------------------------------------------------------------------

nombre de sessions supportées: 262143

nombre de sessions actives: 1

nombre de sessions TCP actives: 0

nombre de sessions UDP actives: 0

nombre de sessions ICMP actives: 0

nombre de sessions BCAST actives: 0

nombre de sessions MCAST actives: 0

nombre de sessions de prédiction: 0

utilisation de table de session : 0 %

nombre de sessions créées depuis démarrage système: 7337

Taux de paquet: 8/s

Débit: 3 kbps

-------------------------------------------------------------------------------

timeout de session

  TCP Timeout par défaut: 3600 secondes

  Timeout session TCP avant 3-Way Handshake: 5 secondes

  Temporisation de session TCP après fin/RST: 30 secondes

  UDP default timeout: 30 secondes

  Délai d'attente par défaut ICMP: 6 secondes

  autre Timeout par défaut IP: 30 secondes

  Timeout de session en état de jeter :

    TCP: 90 secondes, UDP: 60 secondes, autres protocoles IP: 60 secondes

-------------------------------------------------------------------------------

session de vieillissement accéléré : activé

  seuil de vieillissement accéléré : 80 % d’utilisation

  facteur de mise à l'échelle: 2 X

-------------------------------------------------------------------------------

installation de la session

  TCP - premier paquet de rejet non-SYN : Oui

  déchargement de matériel session : Oui

  Pare-feu IPv6: non

-------------------------------------------------------------------------------

paramètres de numérisation goutte à goutte l’application :

  Timeout pour déterminer l'application de ruissellement: 10 secondes

  seuil d'utilisation des ressources pour démarrer l'analyse: 80%

  facteur d'échelle de balayage sur le vieillissement régulier: 8

-------------------------------------------------------------------------------

Résolution

Il existe deux solutions à ce problème :

  • Modifier l'architecture réseau pour éliminer le routage asymétrique, de sorte que tout le trafic de retour passe par le même pare-feu dans lequel le trafic a pris naissance
  • Désactivez l'option (TCP-Reject-non-syn) pour rejeter les connexions où le premier paquet n'était pas un paquet SYN

Exécutez les commandes suivantes pour désactiver le refus TCP non-SYN temporairement (jusqu'au redémarrage)

> Set session TCP-rejeter-non-syn non

Exécutez les commandes suivantes pour désactiver définitivement l'option:

> configurer

# Set deviceconfig Setting session TCP-rejeter-non-syn non

# Commit

Exécutez la commande suivante pour confirmer que des sessions seront établies pour les paquets TCP non syn sur le pare-feu

> Afficher les infos de session

. . . .

--------------------------------------------------------------------------------

Configuration de la session

  TCP-rejeter le premier paquet non syn: false

  Déchargement de session matérielle: true

  Pare-feu IPv6: true

propriétaire : panagent
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClEwCAK&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language