¿Qué significa tiempo de espera de sesión TCP después de FIN/RST?
Resolution
Resumen
El "TCP timeout de session después de aleta/RST" para un dispositivo de Palo Alto Networks es efectivamente el valor de duración del estado de espera de tiempo. El comando Mostrar información de sesión en el dispositivo Palo Alto Networks mostrará el valor como se muestra:
> Mostrar info de sesión
--------------------------------------------------------------------------------
Tiempo de espera de sesión
Tiempo de espera predeterminado TCP: 3600 segundos
Tiempo de espera de sesión TCP antes de SYN-ACK recibido: 5 segundos
Tiempo de espera de sesión TCP antes de 3-way handshaking: 10 seg
Tiempo de espera de sesión TCP después de FIN/RST: 30 secs
Tiempo de espera UDP predeterminado: 30 segundos
Tiempo de espera predeterminado ICMP: 6 segundos
otro tiempo de espera IP predeterminado: 30 segundos
Tiempo de espera de sesión Portal cautivo: 30 segundos
Tiempo de espera de sesión en estado de descarte:
TCP: 90 segundos, UDP: 60 segundos, otros protocolos IP: 60 segundos
--------------------------------------------------------------------------------
Detalles
El punto final que envía la primera aleta entra en el estado TIME_WAIT, como también es el punto final que envía el ACK final. Este punto final mantiene el estado de conexión y tiene suficiente información para retransmitir el ACK final en caso de que la aleta del otro extremo o el ACK final se pierde.
La duración del estado TIME_WAIT es 2 * MSL (vida útil máxima de segmento). La cantidad máxima de tiempo que un paquete puede recorrer una red se supone que para ser MSL segundos. El factor de 2 es para la ida y vuelta. El valor recomendado originalmente (RFC 1337) para MSL fue de 120 segundos. Derivados del Berkeley implementaciones utilizan normalmente 30 segundos.
Hoy en día, el valor TIME_WAIT varía de proveedor a proveedor y oscila entre 30 y 60 segundos para los dispositivos de la red general. Los dispositivos de Palo Alto Networks tienen un valor TIME_WAIT de 30 segundos.
Opciones de configuración
En PAN-OS 4.1.x y 5.0. x, el TIME_WAIT puede modificarse ejecutando la siguiente orden CLI:
> establece el tiempo de espera de sesión-tcpwait<1-60></1-60>
En PAN-OS 4.1.14 y 5.0.6, el temporizador se ha extendido hasta 10 minutos:
> establece el tiempo de espera de sesión-tcpwait<1-600></1-600>
Este ajuste puede modificarse también del WebGUI bajo dispositivo > Configuración > sesión > esperan tiempos de espera de sesión y TCP:
Ver también
Ver RFC 1337, TIME_WAIT asesinato peligros en TCP, para más detalles.
Propietario: kkondo