Pakete werden wegen TCP-wiederHerstellung fallen gelassen

Pakete werden wegen TCP-wiederHerstellung fallen gelassen

193885
Created On 09/25/18 20:34 PM - Last Modified 03/21/24 07:54 AM


Resolution


Problem

Pakete werden durch TCP-Reassembly gelöscht.

Ursache

Dies wird in der Regel geschehen, wenn es eine asymmetrische Routing-Funktion im Netzwerk gibt. Zum Beispiel, wenn ein SYN-Paket durch die Palo Alto Networks Firewall geht, aber SYN-ACK nie durch die Firewall geht und die Firewall ein ACK erhält. Die Firewall wird die Pakete wegen eines Ausfalls in der TCP-Wiederherstellung fallen lassen.

Um zu bestätigen, führen Sie Paketaufnahmen durch und überprüfen Sie den globalen Zähler. Weitere Informationen zu den Paketaufnahmen finden Sie unter: mit der Paketfilterung durch GUI mit Pan- OS 4,1

Reassembly-Global. Png

Wie unten gezeigt, sehen Sie in den Zählern, dass die Pakete aufgrund der TCP-Wiederherstellung fallen gelassen werden. Die Aufnahmen zeigen, dass es ein SYN-Paket und ein ACK-Paket erhält, aber nie einen SYN-ACK erhalten:

empfangen-wiederherstellen. Png

Lösung

Verwenden Sie den folgenden Befehl, um die Firewall zu konfigurieren, um asymmetrisches Routing weltweit zu umgehen.

> configure

# Set DeviceConfig Einstellung TCP asymmetrisch-Pfad Bypass

# Commit


Die Änderungen können mit folgenden rückgängig gemacht werden:

> configure

# DELETE DeviceConfig Einstellung TCP asymmetrischer Pfad

# Commit

Verwenden Sie den folgenden Befehl, um die aktuelle Aktion auf asymmetrischen Verkehr zu überprüfen:

> Show laufen TCP State | Match asymmetrisch

Session mit asymmetrischem Pfad: Drop-Paket

Alternativ können Nutzer Bypass-asymmetrisches Routing nur für den Verkehr eingrenzen, der durch die Erstellung eines Zonen Schutz Profils in eine bestimmte Zielzone geht.

  1. Gehen Sie zum Netzwerk > Zonen Schutzprofil.
  2. Fügen Sie ein neues Profil hinzu und geben Sie ihm einen Namen.
  3. Gehen Sie zum Paket-basierten Angriffs Schutz-Tab und wählen Sie im Pulldown-Menü Folgendes aus:
    ablehnen Sie nicht-SYN TCP: kein
    asymmetrischerScreenshot 2014-11-14 um 12.03.49 Uhr. png Pfad: Bypass
  4. Gehen Sie in die betreffende Zielzone und weisen Sie das Zonen SchutzProfil zu.
    Screenshot 2014-11-14 um 12.04.27 Uhr. png
  5. Ihre Änderungen zu übertragen.

Hinweis: Wenn der Verkehr zwei Sicherheitszonen umfasst, wird das Zonen Schutzprofil die Zielzone Schlüssel. Das Zonen Schutzprofil auf eine Zone oder beides anwenden, je nachdem, ob asymmetrischer Verkehr erforderlich ist. Es kann unidirektionell initiiert und nur auf die Zielzone angewendet werden, oder bidirektionell und auf beide Zonen angewendet werden.

Besitzer: ashaikh
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClhsCAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language