TCP Firewall無効なタイムスタンプ オプションにより破棄されたパケット

• TCP SYN および TCP SYN / ACK パケットはによってドロップされず firewall 、期待どおりに転送されます
• Firewallランダムにパケットとグローバルカウンタ「tcp_invalid_ts_option」の増分をドロップします。

      >は、カウンタ グローバル フィルタ パケット フィルタはい delta はい

グローバル カウンタ:

最後のサンプリングからの経過時間: 3.298 秒

名前値レート重大度カテゴリ の側面の説明

--------------------------------------------------------------------------------

tcp_drop_packet 1 0 は tcp 再アセンブリで障害が発生したために tcp pktproc パケットがドロップされた場合に警告します

tcp_invalid_ts_option 1 0 情報 tcp pktproc tcp パケット (タイムスタンプが無効なオプション>>>>>> カウンタのインクリメント)

• 特定のトラフィックのグローバル カウンタを確認する方法を説明する以下のドキュメントを参照してください。

• TCP タイムスタンプオプションは、クライアントとサーバの間で交換されます
• 「タイムスタンプの確認オプション」が有効になっています firewall

• Firewall TCPは、TSVal (タイムスタンプ値) がゼロである syn および syn-ack パケットを除くすべてのパケットをドロップします。
• パケット内の TSVal を確認するには TCP 、次のスクリーンショットを参照してください。

• デフォルトでは「タイムスタンプの確認オプション」が有効になっています。 したがって firewall 、このパケットはドロップされます。 以下のコマンドを実行して設定を確認できます。 CLI

      >実行中の TCP 状態を表示する

非対称パスとのセッション : バイパス検査

OOキューの制限に達した場合はバイパス : いいえ

新しいセグデータを優先する: いいえ

緊急データ : クリア

緊急フラグのクリア後にゼロの場合はドロップ: はい

タイムスタンプオプションの確認 : はい -----> このオプションはデフォルトで[はい]に設定されています

許可チャレンジアック : はい

MPTCP削除オプション : はい

• 現在の設計では、 firewall は TSVal が 0 に設定されたパケットをドロップします。
• これが正当なトラフィックであり、許可したい場合は、「タイムスタンプチェック」を無効にすることができます。

• から CLI :

      >
設定 # デバイス設定設定 tcp チェック タイムスタンプ オプション no
# コミット
 

• から GUI :