Verkehrsprobleme mit Sitzungsende Grund der "Wiederverwendung"TCP-
36130
Created On 05/20/22 11:55 AM - Last Modified 09/08/23 06:45 AM
Symptom
- Unter Monitor > Traffic Logs gibt es Sitzungen mit dem Sitzungsendgrund "TCP-Wiederverwendung".
- Die Konnektivität durch die firewall ist beeinträchtigt.
- Der globale Zähler " flow_tcp_non_syn_drop" nimmt zu.
- Bei Paketerfassungen werden alle eingehenden Pakete für eine Sitzung, die firewall nach 15 Sekunden seit dem ersten TCP FIN Paket auf dem firewall erreicht wird, verworfen.
Environment
- PA-5400 serie Firewall
- PAN-OS Versionen 10.1.0 - 10.1.5
Cause
- Der Sitzungszeitstempel wird seit dem ersten FIN Eintreffen nicht mehr aktualisiert
- Das Sitzungstimeout wird aktualisiert, um zu half_close_timeout, wann FW die erste FIN.
- Das Sitzungstimeout wird auf Timeout (standardmäßig 15 Sekunden) aktualisiert, wenn FW die zweite FIN.
- Wenn der Zeitunterschied zwischen dem letzten Paket, das auf dem und dem firewall ersten FIN gesehen wird, mehr als 15 Sekunden beträgt, würde das firewall Paket verwerfen.
- Wenn die die zweite oder eine RSTempfängt, ist die firewall FIN Sitzung gut zum Schließen in 15 Sekunden.Wenn Sie firewall innerhalb dieser 15 Sekunden einen neuen SYN mit demselben TCP Quellport zum gleichen Ziel empfangen, PAN-OS wird die vorherige Sitzung mit einem Sitzungsendgrund als TCP-Wiederverwendung beendet.Wenn der Zeitunterschied zwischen dem auf dem und dem SYN ersten angezeigten Paket mehr als 15 Sekunden beträgt, wird das firewall SYN Paket verworfen, obwohl in Datenverkehrsprotokollen ein TCP-Wiederverwendungseintrag angezeigt wird.FIN firewall
Resolution
Aktualisieren Sie die firewall auf PAN-OS Version 10.1.6 oder höher.
Problemumgehungen
- Navigieren Sie zu Device > Setup > Session > Session Timeouts und stellen Sie die "TCPTime Wait" auf 1 Sekunde ein. Dies kann auch auf Anwendungsebene unter Objekte > Anwendungen erfolgen, indem Sie die Anwendung auswählen und ihre Optionen ändern.
- Hinweis: Dies verringert die Wahrscheinlichkeit, dass das Problem auftritt, da es keine Wiederverwendung der Sitzung auslöst.
- Navigieren Sie zu Device > Setup > Session > Session Timeouts und setzen Sie "TCPTime Wait" und "TCPHandshake" auf einen Wert, der groß genug ist, um den Abfall zu vermeiden (größer als die Differenz zwischen dem /RST und dem FINverworfenen Paket).
- Hinweis: Die Werte können je nach Verkehrsverhalten variieren.
Additional Information
Eine Erklärung, warum eine Sitzung mit dem Grund "Wiederverwendung"TCP- endet, finden Sie hier.