Los paquetes se eliminan debido al reensamblaje TCP

Los paquetes se eliminan debido al reensamblaje TCP

193877
Created On 09/25/18 20:34 PM - Last Modified 03/21/24 07:54 AM


Resolution


Incidencia

Los paquetes se están eliminando debido al reensamblaje TCP.

Causa

Normalmente, esto sucederá si hay enrutamiento asimétrico en la red. Por ejemplo, si un paquete SYN pasa por el cortafuegos de Palo Alto Networks, pero SYN-ACK nunca pasa por el firewall y el Firewall recibe un ACK. El cortafuegos dejará caer los paquetes debido a una falla en el reensamblaje TCP.

Para confirmar, ejecute las capturas de paquetes y compruebe el contador global. Para obtener más información sobre las capturas de paquetes, vea: uso del filtrado de paquetes a través de GUI con pan-os 4,1

Reassembly-global. Png

Como se muestra a continuación, en los contadores vea que los paquetes se están eliminando debido al reensamblaje TCP. Capturas muestran que está recibiendo un paquete SYN y un paquete ACK, pero nunca recibe un SYN ACK:

recibir-reensamblaje. Png

Resolución

Utilice el siguiente comando para configurar el cortafuegos para omitir el enrutamiento asimétrico globalmente.

> configurar

# Set deviceconfig Setting TCP asimétrico-path bypass

# commit


Los cambios se pueden volver a invertir con lo siguiente:

> configurar

# Delete deviceconfig Setting TCP asimétrico-path

# commit

Utilice el siguiente comando para comprobar la acción actual en el tráfico asimétrico:

> Mostrar ejecutando TCP State | Match asimétrico

sesión con trazado asimétrico: colocar paquete

Alternativamente, los usuarios pueden reducir el enrutamiento asimétrico de bypass sólo para el tráfico que va a una zona de destino específica mediante la creación de un perfil de protección de zona.

  1. Ir a la red > Perfil de protección de zona.
  2. Añada un nuevo perfil y déle un nombre.
  3. Vaya a la ficha protección de ataques basada en paquetes y, en el menú desplegable, seleccione lo siguiente:
    rechazar no SYN TCP: sin
    trazado asimétricoScreen Shot 2014-11-14 en 12.03.49 PM. png : omitir
  4. Vaya a la zona de destino en cuestión y asigne el perfil de protección de zona.
    Screen Shot 2014-11-14 en 12.04.27 PM. png
  5. Cometan sus cambios.

Nota: si el tráfico abarca dos zonas de seguridad, las teclas de Perfil de protección de zona la zona de destino. Aplique el perfil de protección de zona a una zona o ambas, dependiendo de si se requiere tráfico asimétrico. Puede iniciarse unidireccional y aplicarse sólo a la zona de destino, o bidireccionalmente y aplicarse a ambas zonas.

Propietario: ashaikh
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClhsCAC&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language