由于 TCP 重组, 数据包被丢弃
193865
Created On 09/25/18 20:34 PM - Last Modified 03/21/24 07:54 AM
Resolution
问题
由于 TCP 重组, 数据包被丢弃。
原因
如果网络中存在不对称路由, 通常会发生这种情况。例如, 如果 syn 数据包通过帕洛阿尔托网络防火墙, 但 syn 从不通过防火墙, 并且防火墙收到 ACK。由于 TCP 重组失败, 防火墙将丢弃数据包。
为了确认, 请运行数据包捕获并检查全局计数器。有关数据包捕获的更多信息, 请参见:使用泛型 OS 4.1 通过 GUI 进行数据包筛选
如下所示, 在计数器中, 可以看到由于 TCP 重组, 数据包被丢弃。捕获显示它正在接收 syn 数据包和 ACK 数据包, 但从未收到 syn ACK:
解决办法
使用以下命令将防火墙配置为绕过全局不对称路由。
>>配置
# 设置 deviceconfig 设置 tcp 非对称路径旁路
#提交
可以通过以下步骤还原更改:
>>配置
# 删除 deviceconfig 设置 tcp 非对称路径
#提交
使用以下命令检查当前对非对称通信的操作:
>> 显示运行的 tcp 状态 |匹配不对称
不对称路径的会话: 丢弃数据包
或者, 用户可以通过创建区域保护配置文件 来缩小绕过非对称路由的范围, 仅用于访问特定目标区域的通信。
- 转到网络>区域保护配置文件.
- 添加一个新的配置文件并给它一个名称。
- 转到基于数据包的攻击保护选项卡, 然后在下拉菜单中选择以下内容:
拒绝非 SYN TCP: 不
对称路径: 旁路 - 转到问题的目标区域, 并分配区域保护配置文件。
- 提交更改.
注意:如果通信量跨越两个安全区域, 则区域保护配置文件将为目标区域指定密钥. 将区域保护配置文件应用于一个区域或两者, 具体取决于是否需要非对称通信量。它可以启动单向并仅应用于目标区域, 或双向并应用于这两个区域.
所有者: ashaikh