非対称ルーティングに関する SYN-ACK の問題
Resolution
問題
非対称ルーティングの一般的な問題は次のとおりです。
- 部分的にのみロードするウェブサイト
- アプリケーションが動作しない
原因
デフォルトでは、TCP 拒否非 SYN フラグは yes に設定されています。つまり、アプリケーションデータを許可するには、同じファイアウォールを介して接続を開始する必要があります。syn パケットが1つのファイアウォールを通過し、syn/ack パケットが別のファイアウォールを介してネットワークを抜ける場合、接続の最初のパケットが別のファイアウォールを使用しているため、syn/ack パケットは拒否されます。
非 syn tcp の flow_tcp_non_syn_drop グローバルカウンタをチェックします。
> カウンターグローバル表示 |マッチドロップ
名前値レート重大度カテゴリのアスペクトの説明
-----------------------------------------------------------------------------------
flow_rcv_err 1705 0 ドロップフロー解析パケットが削除されました: フローステージの受信エラー
flow_rcv_dot1q_tag_err 7053 0 ドロップフロー解析パケットの削除: 802.1 q タグが構成されていません
flow_no_interface 7053 0 ドロップフロー解析パケットが削除されました: 無効なインターフェイス
flow_ipv6_disabled 20459 0 ドロップフロー解析パケットが削除されました: インターフェイスで ipv6 が無効になっています
flow_tcp_non_syn_drop 156 0 ドロップフローセッションパケットが削除されました: 非 syn tcp セッションの一致なし
flow_fwd_l3_mcast_drop 14263 0 ドロップフロー転送パケットが削除されました: IP マルチキャストのためのルートなし
flow_parse_l4_cksm 1 0 ドロップフロー解析パケットが削除されました: TCP/UDP チェックサムエラー
flow_host_decap_err 31 0 ドロップフロー管理パケットが削除されました: コントロールプレーンからの開封エラー
flow_host_service_deny 90906 0 ドロップフロー管理デバイスマネージメントセッションが拒否されました
flow_lion_rcv_err 1700 0 ドロップフローオフロードパケットが削除されました: オフロードプロセッサからのエラーを受信します。
[カウンタのグローバル表示 | 一致] ドロップコマンドを複数回実行して、ドロップカウンタ (値フィールド) の増分を確認します。
現在の設定を確認するには:
> セッション情報の表示
-------------------------------------------------------------------------------
サポートされているセッション数: 262143
アクティブなセッションの数: 1
アクティブな TCP セッション数: 0
アクティブな UDP セッションの数: 0
アクティブな ICMP セッションの数: 0
アクティブな BCAST セッション数: 0
アクティブな MCAST セッション数: 0
予測セッション数: 0
セッション テーブル使用率: 0%
システムの起動以降に作成されたセッション数: 7337
パケットレート: 8/s
スループット: 3 Kbps の
-------------------------------------------------------------------------------
セッションのタイムアウト
TCP のデフォルトのタイムアウト: 3600 秒
3ウェイハンドシェイク前の TCP セッションタイムアウト: 5 秒
フィン/RST の後の TCP セッションタイムアウト:30 秒
UDP のデフォルトのタイムアウト:30 秒
ICMP のデフォルトのタイムアウト: 6 秒
その他の IP デフォルトタイムアウト:30 秒
破棄状態のセッションのタイムアウト:
TCP:90 秒、UDP の:60 秒、その他の IP プロトコル:60 秒
-------------------------------------------------------------------------------
セッションは、老化を加速: 有効になっています。
老化のしきい値: の使用率 80%
倍率: 2 倍
-------------------------------------------------------------------------------
セッションのセットアップ
TCP - 拒否非 SYN 最初のパケット: はい
ハードウェア セッション オフロード: はい
IPv6 ファイアウォール対策: いいえ
-------------------------------------------------------------------------------
アプリケーションしたたるスキャン パラメーター:
アプリケーションの散水を決定するタイムアウト:10 秒
スキャンを開始するためのリソース使用率のしきい値:80%
通常のエージングでのスキャン倍率: 8
-------------------------------------------------------------------------------
解決方法
この問題に対する 2 つの回避策があります。
- ネットワークアーキテクチャを変更して、すべてのリターントラフィックがトラフィックの発生元と同じファイアウォールを通過するように、非対称ルーティングを排除します。
- 最初のパケットが syn パケットでなかった接続を拒絶するために、オプション (tcp-拒絶-非 syn)を無効にしてください
次のコマンドを実行して、一時的に非 SYN (再起動まで) を拒否する TCP を無効にする
> set セッションの tcp-拒否-非 syn いいえ
このオプションを完全に無効にするには、次のコマンドを実行します。
>構成
# set deviceconfig 設定セッション tcp-拒否-非 syn いいえ
#コミット
次のコマンドを実行して、ファイアウォール上の非 SYN tcp パケットに対してセッションが確立されることを確認します。
> セッション情報の表示
. . . .
--------------------------------------------------------------------------------
セッションの設定
TCP-非 SYN 最初のパケットを拒否する: False
ハードウェアセッションのオフロード: True
IPv6 ファイアウォール対策: True
所有者: panagent