会话结束原因为“的流量问题”TCP-重用”

会话结束原因为“的流量问题”TCP-重用”

35930
Created On 05/20/22 11:55 AM - Last Modified 09/08/23 06:45 AM


Symptom


  • 在下面监视器>交通日志有会话结束原因“TCP-重用”。
  • 连通性通过firewall正在受到影响。
  • 全球柜台“flow_tcp_non_syn_drop”增加。
  • 在数据包捕获中,一个会话的所有传入数据包都会到达firewall自第一次开始 15 秒后TCP FIN数据包上看到firewall将被丢弃。

Environment


  • PA-5400 系列 Firewall
  • PAN-OS 版本 10.1.0 - 10.1.5

Cause


  • 会话时间戳不再更新,因为第一次FIN到达
  • 会话超时更新为 half_close_timeout 时FW看到第一个FIN.
  • 会话超时更新为超时(默认 15 秒)时FW看到第二个FIN.
  • 如果在上看到的最后一个数据包之间的时间差firewall和第一个FIN超过 15 秒,将使firewall丢弃这个数据包。
  • 当。。。的时候firewall收到第二个FIN或一个RST,会话适合在 15 秒内结束。在这 15 秒内,如果firewall收到一个新的SYN与相同TCP源端口到相同的目的地,然后PAN-OS以会话结束原因结束上一个会话TCP-重用。如果两者之间的时间差SYN上看到的数据包firewall和第一个FIN超过 15 秒时,firewall会掉落SYN数据包虽然在流量日志上TCP-重用条目将可见。

Resolution


升级firewall到PAN-OS版本 10.1.6 或以上。


解决方法
  • 导航设备>设置>会议>会议超时并设置“TCP时间的等待“到 1 秒。 这也可以在应用程序级别完成对象 > 应用程序,选择应用程序并修改其选项。
    • 注意:这会降低问题发生的可能性,因为它不会触发会话重用。
  • 导航设备>设置>会议>会议超时并设置“TCP时间的等待“ 和 ”TCP握手“到一个足够大的值以避免下降(大于两者之间的差异FIN/RST和丢弃的数据包)。
    • 注意:值可能因流量行为而异。

Additional Information


解释为什么会话会以原因结束“TCP-重用”可以找到这里.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000CpfKCAS&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language