Was bedeutet TCP-Session-Timeout nach FIN/RST?

Was bedeutet TCP-Session-Timeout nach FIN/RST?

53976
Created On 09/25/18 19:21 PM - Last Modified 06/08/23 08:47 AM


Resolution


Übersicht

Die "TCP-Session Timeout nach FIN/RST" für ein Gerät von Palo Alto Networks ist der TIME-WAIT-Zustand-Duration-Wert. Der Info-Befehl der Show-Session auf dem Palo Alto Networks-Gerät zeigt den angezeigten Wert an:

> zeigen Sitzungsinformationen

--------------------------------------------------------------------------------

Zeitlimit für Sitzung

  TCP-Standardtimeout: 3600 Sek.

  TCP-Session-Timeout vor SYN-ACK empfangen: 5 Sek.

  TCP-Session-Timeout vor 3-Wege-Handshake: 10 Sek.

  TCP Session Timeout nach FIN/RST: 30 Sekunden  

  UDP Standardtimeout: 30 Sek.

  ICMP Standardtimeout: 6 Sek.

  andere IP Standardtimeout: 30 Sek.

  Captive Portal-Session-Timeout: 30 Sek.

  Session-Timeout im Ablagestapel Zustand:

    TCP: 90 Sekunden, UDP: 60 Sekunden, andere IP-Protokolle: 60 Sek.

--------------------------------------------------------------------------------

Details

Der Endpunkt, der die erste FIN sendet geht in TIME_WAIT-Zustand, wie es auch der Endpunkt, der die letzte ACK sendet Dieser Endpunkt pflegt den Verbindungsstatus und hat genügend Informationen, um die endgültige Bestätigung Weiterverbreitung im Falle des Endpunkts FIN oder die endgültige Bestätigung verloren geht.

Die Dauer der TIME_WAIT-Zustand ist 2 * MSL (Maximum Segment Lifetime). Wird angenommen, dass die maximale Zeitspanne, die ein Paket um ein Netzwerk wandern kann MSL Sekunden betragen. Der Faktor 2 ist für die hin-und Rückfahrt. Der ursprünglich empfohlene Wert (RFC 1337) für MSL betrug 120 Sekunden. Berkeley-abgeleitete Implementierungen verwenden normalerweise 30 Sekunden.

Heute, der TIME_WAIT-Wert variiert von Anbieter zu Anbieter und reicht von 30 bis 60 Sekunden für allgemeine Netzwerk-Geräte. Palo Alto Networks-Geräte verfügen über einen TIME_WAIT-Wert von 30 Sekunden.

Konfigurations-Optionen

In PAN-OS 4.1.x und 5.0.x, die wartend kann durch Ausführen der folgenden CLI-Befehls geändert werden:

> set Session Timeout-Tcpwait<1-60></1-60>

In PAN-OS 4.1.14 und 5.0.6 hat der Timer bis zu 10 Minuten verlängert:

> set Session Timeout-Tcpwait<1-600></1-600>

Diese Einstellung kann auch von der WebGUI unter Gerät geändert > Setup > Sitzung > Sitzungstimeouts und TCP warten:

tcpwait.jpg

Siehe auch

Näheres hierzu finden Sie unter RFC 1337, TIME_WAIT Ermordung Gefahren in TCP.

Besitzer: Kkondo
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClWDCA0&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language