Que signifie la temporisation de session TCP après fin/RST?
Resolution
Vue d’ensemble
Le « TCP timeout de session après FIN/RST » pour un appareil de Palo Alto Networks est effectivement la valeur de durée d’état de TIME-WAIT. La commande show session info sur le périphérique Palo Alto Networks affiche la valeur comme indiqué:
> Afficher les infos de session
--------------------------------------------------------------------------------
Délai d'expiration de session
Délai par défaut TCP : 3600 secondes
Timeout de session TCP avant SYN-ACK reçu : 5 secondes
Timeout de session TCP avant 3 voies handshaking : 10 secs
Temporisation de session TCP après fin/RST: 30 secs
Délai UDP par défaut : 30 secondes
Délai ICMP par défaut : 6 secondes
autre délai IP par défaut : 30 secondes
Timeout de session portail captif : 30 secondes
Timeout de session en état de jeter :
TCP : 90 secondes, UDP : 60 secs, autres protocoles IP : 60 secs
--------------------------------------------------------------------------------
Détails
Le point de terminaison qui envoie la première nageoire se déroule dans l’état TIME_WAIT, comme c’est aussi le point de terminaison qui envoie l’accusé de réception final. Ce paramètre gère l’état de connexion et a suffisamment d’informations pour retransmettre l’accusé de réception final dans le cas où FIN de l’autre extrémité ou l’accusé de réception final est perdu.
La durée de l’état TIME_WAIT est 2 * MSL (durée de vie maximale de Segment). Le maximum de temps, qu'un paquet peut se promener dans un réseau est censé pour être MSL secondes. Le facteur 2 est pour l’aller-retour. La valeur initialement recommandée (RFC 1337) pour MSL a 120 secondes. Les implémentations dérivées de Berkeley utilisent habituellement 30 secondes.
Aujourd'hui, la valeur TIME_WAIT varie d’un fournisseur à l’autre et varie de 30 à 60 secondes pour les périphériques réseau général. Les dispositifs de Palo Alto Networks ont une valeur TIME_WAIT de 30 secondes.
Options de configuration
À PAN-OS 4.1.x et 5.0.x, le TIME_WAIT peuvent être modifiées en exécutant la commande suivante de la CLI :
> set session timeout-tcpwait<1-60></1-60>
À PAN-OS 4.1.14 et 5.0.6, la minuterie a été étendue vers le haut à 10 minutes :
> set session timeout-tcpwait<1-600></1-600>
Ce paramètre peut être modifié de l’interface WebGUI sous périphérique > Setup > Session > délais d’expiration de Session et TCP attendent :
Voir aussi
Voir RFC 1337, dangers TIME_WAIT en TCP, pour plus de détails.
propriétaire : kkondo