Problèmes de trafic avec la raison de fin de session de « TCP-réutilisation »
35938
Created On 05/20/22 11:55 AM - Last Modified 09/08/23 06:45 AM
Symptom
- Sous Surveiller > Journaux de trafic , il y a des sessions avec la raison de fin de session « TCP-Réutilisation ».
- La connectivité via le firewall est affectée.
- Augmentation de la « flow_tcp_non_syn_drop » mondiale des compteurs.
- Lors des captures de paquets, tous les paquets entrants pour une session qui atteint le après 15 secondes depuis que le premier TCP FIN paquet est vu sur le firewall firewall seront supprimés.
Environment
- PA-5400 série Firewall
- PAN-OS versions 10.1.0 - 10.1.5
Cause
- L’horodatage de session n’est plus mis à jour depuis l’arrivée du premier FIN
- Le délai d’expiration de la session est mis à jour pour half_close_timeout lorsque FW le premier FIN.
- Le délai d’expiration de la session est mis à jour en délai d’expiration (15 secondes par défaut) lorsque FW le second FIN.
- Si la différence de temps entre le dernier paquet vu sur le et le firewall premier FIN est supérieure à 15 secondes, ferait tomber ce firewall paquet.
- Lorsque le firewall reçoit la seconde FIN ou un RST, la session est bonne pour se fermer en 15 secondes.Dans ces 15 secondes, si le reçoit un nouveau avec le firewall même port source vers la même TCP destination, termine PAN-OS la session précédente avec une raison de fin de session comme TCP-réutilisation.SYNSi la différence de temps entre le paquet vu sur le et le premier FIN est supérieure à 15 secondes, le supprimera le SYN SYN firewall firewall paquet, bien que sur les journaux de trafic, une TCP-entrée Réutilisation soit visible.
Resolution
Mettez à niveau le vers PAN-OS la firewall version 10.1.6 ou supérieure.
Solutions de contournement
- Accédez à Device > Setup > Session > Session Timeouts et définissez le « TCPTime Wait » sur 1 seconde. Cela peut également être fait au niveau de l’application sous Objets > Applications, en sélectionnant l’application et en modifiant ses options.
- Remarque : Cela réduit la probabilité que le problème se produise car il ne déclenchera pas la réutilisation de la session.
- Accédez à Device > Setup > Session > Session Timeouts et définissez le «TCP Time Wait » et le «TCP handshake » sur une valeur suffisamment grande pour éviter la chute (supérieure à la différence entre le FIN/RST et le paquet abandonné).
- Remarque : Les valeurs peuvent varier en fonction du comportement du trafic.
Additional Information
Une explication de la raison pour laquelle une session se terminera par une raison de « TCP-réutilisation » peut être trouvée ici.