Problemas de tráfico con motivo de "reutilización"TCP- al final de la sesión

Problemas de tráfico con motivo de "reutilización"TCP- al final de la sesión

36092
Created On 05/20/22 11:55 AM - Last Modified 09/08/23 06:45 AM


Symptom


  • En Supervisar registros de tráfico > hay sesiones con motivo final de sesión "TCP-Reutilizar".
  • La conectividad a través del firewall se está viendo afectada.
  • Aumenta el "flow_tcp_non_syn_drop" del contador global.
  • En las capturas de paquetes, todos los paquetes entrantes para una sesión que llega al después de firewall 15 segundos desde que se ve el primer TCP FIN paquete se firewall descartarán.

Environment


  • PA-5400 Serie Firewall
  • PAN-OS Versiones 10.1.0 - 10.1.5

Cause


  • La marca de tiempo de la sesión ya no se actualiza desde que llega la primera FIN
  • El tiempo de espera de la sesión se actualiza a half_close_timeout cuando FW ve el primer FINarchivo .
  • El tiempo de espera de la sesión se actualiza a tiempo de espera (predeterminado 15 segundos) cuando FW ve el segundo FIN.
  • Si la diferencia de tiempo entre el último paquete visto en el y el primero FIN es de más de 15 segundos, haría que el firewall firewall drop este paquete.
  • Cuando el recibe el firewall segundo FIN o un RST, la sesión es buena para cerrar en 15 segundos.Dentro de esos 15 segundos, si recibe firewall un nuevo SYN con el mismo puerto de origen al mismo TCP destino, finaliza PAN-OS la sesión anterior con un motivo de finalización de sesión como TCP-reutilización.Si la diferencia de tiempo entre el paquete visto en el y el primero FIN es de más de 15 segundos, el descartará el SYN firewall SYN firewall paquete, aunque en los registros de tráfico será visible una TCP-entrada de reutilización.

Resolution


Actualice el a PAN-OS la firewall versión 10.1.6 o superior.


Soluciones provisionales
  • Vaya a Configuración del dispositivo > > Tiempo de espera de sesión > sesión y establezca el "TCPTiempo de espera" en 1 segundo. Esto también se puede hacer a nivel de aplicación en Objetos > Aplicaciones, seleccionando la aplicación y modificando sus Opciones.
    • Nota: Esto reduce la probabilidad de que ocurra el problema, ya que no activará la reutilización de la sesión.
  • Navegue hasta Configuración de > de dispositivos > Tiempos de espera de sesión > sesión y establezca el "Tiempo deTCP espera" y el "TCPapretón de manos" en un valor que sea lo suficientemente grande como para evitar la caída (mayor que la diferencia entre el /RST y el FINpaquete descartado).
    • Nota: Los valores pueden variar en función del comportamiento del tráfico.

Additional Information


Una explicación de por qué una sesión terminará con la razón "reutilización"TCP- se puede encontrar aquí.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000CpfKCAS&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language