Caída de paquetes causada por la regla de protección de dos con src-dest-IP-ambos ajustes clasificados
Resolution
Síntomas de
La caída de paquetes se observa después de aplicar la regla de protección DoS.
No se generan registros de amenazas para la protección de DoS.
Esto suele suceder cuando se crea la regla de protección de dos con la configuración clasificada yse selecciona "src-dest-IP-both" para la configuración de la dirección.
El problema puede ocurrir incluso si el número de sesiones activas es mucho menor que el número máximo de sesión que admite la plataforma y también inferior a laconfiguración de "sesiones simultáneas máximas" en el perfil de protección de dos.
Durante ese tiempo, se incrementan los siguientes contadores globales.
flow_dos_rule_drop paquetes eliminados: tasa limitada o IP bloqueada
flow_dos_rule_drop_classified paquetes eliminados: debido a la limitación de la tasa clasificada
flow_dos_no_empty_entp no puede encontrar la entrada clasificada vacía durante la inserción
Causa
Si esos contadores muestran el mismo valor, indica que la inserción de hash en la tabla de clasificación falló, por lo que los paquetes se cayeron.
La inserción de hash falla cuando la tabla de clasificación está llena o cuando ocurre una colisión de hash.
Mediante la configuración de "src-dest-IP-both", el cortafuegos tiene que realizar un seguimiento de las sesiones basándose en la IP de origen y el par de IP de destino, lo que resulta en la utilización de más entradas en la tabla de clasificación. Cuando se crean más entradas, hay más posibilidades de que ocurra la colisión de hash.
Solución
-Seleccione "fuente-IP-Only"o "destino-IP-Only" en lugar de usar "src-dest-IP-both" en la configuración clasificada.
-Utilice el ajuste agregado en vez de clasificado.
- el comando "depurar el plan de datos de la clasificación de dos-tabla" se puede utilizar como una solución temporal para borrar la tabla de clasificación. Nota: esto no es una solución permanente.
-Configure la regla de protección de dos para que sea más específica, por ejemplo, reduzca el número de zonas para aplicar la Directiva en lugar de seleccionar todas las zonas existentes.