Los paquetes se eliminan debido al reensamblaje TCP
Resolution
Incidencia
Los paquetes se están eliminando debido al reensamblaje TCP.
Causa
Normalmente, esto sucederá si hay enrutamiento asimétrico en la red. Por ejemplo, si un paquete SYN pasa por el cortafuegos de Palo Alto Networks, pero SYN-ACK nunca pasa por el firewall y el Firewall recibe un ACK. El cortafuegos dejará caer los paquetes debido a una falla en el reensamblaje TCP.
Para confirmar, ejecute las capturas de paquetes y compruebe el contador global. Para obtener más información sobre las capturas de paquetes, vea: uso del filtrado de paquetes a través de GUI con pan-os 4,1
Como se muestra a continuación, en los contadores vea que los paquetes se están eliminando debido al reensamblaje TCP. Capturas muestran que está recibiendo un paquete SYN y un paquete ACK, pero nunca recibe un SYN ACK:
Resolución
Utilice el siguiente comando para configurar el cortafuegos para omitir el enrutamiento asimétrico globalmente.
> configurar
# Set deviceconfig Setting TCP asimétrico-path bypass
# commit
Los cambios se pueden volver a invertir con lo siguiente:
> configurar
# Delete deviceconfig Setting TCP asimétrico-path
# commit
Utilice el siguiente comando para comprobar la acción actual en el tráfico asimétrico:
> Mostrar ejecutando TCP State | Match asimétrico
sesión con trazado asimétrico: colocar paquete
Alternativamente, los usuarios pueden reducir el enrutamiento asimétrico de bypass sólo para el tráfico que va a una zona de destino específica mediante la creación de un perfil de protección de zona.
- Ir a la red > Perfil de protección de zona.
- Añada un nuevo perfil y déle un nombre.
- Vaya a la ficha protección de ataques basada en paquetes y, en el menú desplegable, seleccione lo siguiente:
rechazar no SYN TCP: sin
trazado asimétrico : omitir - Vaya a la zona de destino en cuestión y asigne el perfil de protección de zona.
- Cometan sus cambios.
Nota: si el tráfico abarca dos zonas de seguridad, las teclas de Perfil de protección de zona la zona de destino. Aplique el perfil de protección de zona a una zona o ambas, dependiendo de si se requiere tráfico asimétrico. Puede iniciarse unidireccional y aplicarse sólo a la zona de destino, o bidireccionalmente y aplicarse a ambas zonas.
Propietario: ashaikh