"のセッション終了理由によるトラフィックの問題TCP-再利用"

35920

Created On 05/20/22 11:55 AM - Last Modified 09/08/23 06:45 AM

Symptom

最初のセッション以降、セッションのタイムスタンプは更新されていませんFIN到着
セッションタイムアウトは、次の場合に half_close_timeout に更新されます。FW最初に見るFIN.
次の場合、セッションタイムアウトはタイムアウト (デフォルトは 15 秒) に更新されます。FW 2番目を見るFIN.
で見られる最後のパケット間の時間差がfirewallそして最初のFINが 15 秒を超えると、firewallこのパケットをドロップします。
ときfirewall2番目を受け取りますFINまたはRST、セッションは 15 秒で閉じるのに適しています。その 15 秒以内に、firewall新しいSYN同じでTCP送信元ポートを同じ宛先に送信し、次にPAN-OS次のようなセッション終了理由で前のセッションを終了しますTCP-再利用。間の時差の場合SYNで見られるパケットfirewallそして最初のFINが 15 秒を超える場合、firewallを落としますSYNパケットはトラフィックログに記録されますが、TCP-再利用エントリが表示されます。

アップグレードfirewallにPAN-OSバージョン 10.1.6 以降。

回避策

案内するデバイス>設定>セッション>セッションタイムアウトを設定し、"TCP時間待ち"から1秒。これは、以下のアプリケーションレベルでも実行できます。オブジェクト > アプリケーション、アプリケーションを選択し、そのオプションを変更します。
- 注: これにより、セッションの再利用がトリガーされないため、問題が発生する可能性が低くなります。
案内するデバイス>設定>セッション>セッションタイムアウトを設定し、"TCP時間待ち" と "TCPハンドシェークドロップを回避するのに十分な大きさの値に (FIN /RSTおよびドロップされたパケット)。
- 注: 値は、トラフィックの動作によって異なる場合があります。

セッションが理由で終了する理由の説明 "TCP-リユース」が見られるここ.