Problèmes SYN-ACK avec routage asymétrique
Resolution
Problèmes
Les problèmes courants pour le routage asymétrique sont:
- Sites de chargement seulement partiellement
- Applications ne fonctionnant pas
Cause
Par défaut, l'indicateur TCP Reject non-SYN est défini sur Yes. Cela signifie que la connexion doit être lancée via le même pare-feu pour que les données d'application soient autorisées. Si le paquet SYN entre dans un pare-feu et que le paquet SYN/ACK quitte le réseau via un autre pare-feu, le paquet SYN/ACK est rejeté parce que le premier paquet de la connexion a utilisé un pare-feu différent.
Vérifiez le compteur global flow_tcp_non_syn_drop pour le TCP non-syn.
> Show Counter global | Drop de match
nom valeur taux gravité catégorie aspect Description
-----------------------------------------------------------------------------------
flow_rcv_err 1705 0 flux de goutte analyser les paquets supprimés: flux étape réception erreur
flow_rcv_dot1q_tag_err 7053 0 flux de goutte analyser les paquets supprimés: 802.1 q balise non configurée
flow_no_interface 7053 0 flux goutte analyser les paquets supprimés: interface non valide
flow_ipv6_disabled 20459 0 flux de goutte analyser les paquets supprimés: IPv6 désactivé sur l'interface
flow_tcp_non_syn_drop 156 0 flux Drop session paquets abandonnés: non-SYN TCP sans session match
flow_fwd_l3_mcast_drop 14263 0 flux de goutte vers l'avant lâchés: aucun itinéraire pour la multidiffusion IP
flow_parse_l4_cksm 1 0 flux goutte analyser les paquets supprimés: TCP/UDP échec de checksum
flow_host_decap_err 31 0 paquets de gestion de flux de goutte chuté: erreur décapsulation du plan de contrôle
flow_host_service_deny 90906 0 Drop Flow Mgmt gestion des périphériques session refusée
flow_lion_rcv_err 1700 0 paquets de déchargement de débit de goutte chuté: erreur de réception du processeur de déchargement
Exécutez la commande Afficher Counter global | match Drop plusieurs fois pour afficher l'incrémentation des compteurs de dépôt (champ valeur).
Pour vérifier le paramètre actuel:
> Afficher les infos de session
-------------------------------------------------------------------------------
nombre de sessions supportées: 262143
nombre de sessions actives: 1
nombre de sessions TCP actives: 0
nombre de sessions UDP actives: 0
nombre de sessions ICMP actives: 0
nombre de sessions BCAST actives: 0
nombre de sessions MCAST actives: 0
nombre de sessions de prédiction: 0
utilisation de table de session : 0 %
nombre de sessions créées depuis démarrage système: 7337
Taux de paquet: 8/s
Débit: 3 kbps
-------------------------------------------------------------------------------
timeout de session
TCP Timeout par défaut: 3600 secondes
Timeout session TCP avant 3-Way Handshake: 5 secondes
Temporisation de session TCP après fin/RST: 30 secondes
UDP default timeout: 30 secondes
Délai d'attente par défaut ICMP: 6 secondes
autre Timeout par défaut IP: 30 secondes
Timeout de session en état de jeter :
TCP: 90 secondes, UDP: 60 secondes, autres protocoles IP: 60 secondes
-------------------------------------------------------------------------------
session de vieillissement accéléré : activé
seuil de vieillissement accéléré : 80 % d’utilisation
facteur de mise à l'échelle: 2 X
-------------------------------------------------------------------------------
installation de la session
TCP - premier paquet de rejet non-SYN : Oui
déchargement de matériel session : Oui
Pare-feu IPv6: non
-------------------------------------------------------------------------------
paramètres de numérisation goutte à goutte l’application :
Timeout pour déterminer l'application de ruissellement: 10 secondes
seuil d'utilisation des ressources pour démarrer l'analyse: 80%
facteur d'échelle de balayage sur le vieillissement régulier: 8
-------------------------------------------------------------------------------
Résolution
Il existe deux solutions à ce problème :
- Modifier l'architecture réseau pour éliminer le routage asymétrique, de sorte que tout le trafic de retour passe par le même pare-feu dans lequel le trafic a pris naissance
- Désactivez l'option (TCP-Reject-non-syn) pour rejeter les connexions où le premier paquet n'était pas un paquet SYN
Exécutez les commandes suivantes pour désactiver le refus TCP non-SYN temporairement (jusqu'au redémarrage)
> Set session TCP-rejeter-non-syn non
Exécutez les commandes suivantes pour désactiver définitivement l'option:
> configurer
# Set deviceconfig Setting session TCP-rejeter-non-syn non
# Commit
Exécutez la commande suivante pour confirmer que des sessions seront établies pour les paquets TCP non syn sur le pare-feu
> Afficher les infos de session
. . . .
--------------------------------------------------------------------------------
Configuration de la session
TCP-rejeter le premier paquet non syn: false
Déchargement de session matérielle: true
Pare-feu IPv6: true
propriétaire : panagent