TCP Firewall由于无效时间戳选项而丢弃的包
47306
Created On 11/19/19 02:09 AM - Last Modified 03/26/21 17:55 PM
Symptom
- TCP SYN 和 TCP SYN / ACK 包不丢弃, firewall 并按预期转发
- Firewall随机丢弃数据包和全球计数器"tcp_invalid_ts_option"增量。
>显示计数器全球过滤器包过滤器是三角洲耶
全球柜台:
上次采样后的过去时间: 3.298 秒
名称值率严重性类别方面描述
--------------------------------------------------------------------------------
tcp_drop_packet 1 0警告tcp pktproc数据包由于tcp重新组装失败而丢弃
tcp_invalid_ts_option 1 0信息tcp pktproc tcp数据包与无效的时戳选项 >>>>>>增量计数器
- 请参阅以下文档,其中说明如何检查全局计数器的特定流量:
Environment
- TCP 客户端和服务器之间交换时间戳选项
- 启用"检查时间戳选项" firewall
Cause
- Firewall 将丢弃所有数据包,但总和和同步 TCP 数据包除外,其中 TSVal(时间戳值)为零。
- 要检查 TCP 数据包中的 TSVal,请参阅下面的屏幕截图:
- 默认情况下,"检查时间戳选项"已启用。 因此, firewall 将删除此数据包。 我们可以通过运行以下命令来检查设置 CLI
>显示运行tcp状态
不对称路径会话:旁路检查
如果 OO 达到队列限制,则绕过:否
喜欢新的赛格数据:否
紧急数据 : 清晰
清除紧急标志后如果为零,请丢弃:是的
检查时间戳选项:是 ----->此选项在默认情况下设置为"是"
允许挑战阿克:是的
删除 MPTCP 选项:是
Resolution
- 根据当前设计,将 firewall TSVal 设置为 0 的包丢弃。
- 如果这是合法流量,并且您希望允许,则可以禁用"时间戳检查"。
如果您不想更改此选项,请查看服务器或客户端,了解其发送空时间戳值的原因 。
- 从 CLI :
>配置
#设置设备配置设置tcp检查时间戳选项没有
#提交
- 从 GUI :