So mildern Sie einen abnormalen Anstieg des globalen Zählers "tcp_exceed_seg_limit"

• Firewall der nächsten Generation
• DP-Paketverwerfung
• tcp_exceed_seg_limit

Minderung:

1. Stellen Sie sicher, dass die Segmente für dieselbe Sitzung oder denselben Datenfluss das Netzwerk und folglich die Firewall mit demselben Pfad durchlaufen.
   1. Auf Netzwerkebene: Vermeiden Sie jede Lastverteilung pro Paket (a.k.a. "Round-Robin"-Lastverteilung) und bevorzugen Sie einen Lastverteilungsmechanismus pro Sitzung oder pro Flow.
   2. Auf der Sendequelle:
      1. Überprüfen Sie, ob die Netzwerkkarte des übertragenden Geräts über einen Entlademechanismus verfügt. Wenn dies der Fall ist, deaktivieren Sie den Auslagerungsmechanismus.
      2. Überprüfen Sie den Lastverteilungsmechanismus, wenn die Übertragung über mehrere Verbindungen erfolgt.
   3. Überprüfen Sie, ob das Netzwerk über ein Gerät verfügt, das ein Layer-2-Neuübertragungsprotokoll verwendet, das eine fehleranfällige Verbindung kompensiert, da dies zu einer Neuanordnung von Paketen führen kann.
   4. Überprüfen Sie, ob Sie ein Gerät in Ihrem Netzwerk haben, bei dem die empfangenen Pakete aus irgendeinem Grund gepuffert und dann nicht in der Reihenfolge ihres Eintreffens gesendet werden, da dies dazu führen kann, dass sich die Reihenfolge der Pakete ändert.
2. Es gibt eine Einstellung in der Firewall, die die Option zum Umgehen der Inhaltsüberprüfung aktiviert, wenn die Warteschlangengröße der Out-of-Order-Segmente erreicht ist:
   1. Überprüfen Sie diese Einstellung mit dem CLI-Befehl:

       > show running tcp state
      
      session with asymmetric path            : drop packet
      Bypass if OO queue limit is reached     : no    <<<
      Favor new seg data                      : no
      Urgent data                             : clear
      Drop if zero after clear urgent flag    : yes
      Check Timestamp option                  : yes
      Allow Challenge Ack                     : no
      Remove MPTCP option                     : yes
      

   2. Sie können diese Einstellung (sie ist standardmäßig deaktiviert) mit CLI-Befehlen aktivieren:

      > config
      # set deviceconfig setting tcp bypass-exceed-oo-queue yes
      # commit

      1. "Ja" bedeutet, dass der Zähler tcp_exceed_seg_limit weiterhin inkrementiert wird, aber Segmente in der Warteschlange weitergeleitet werden. Segmente, die standardmäßig gelöscht werden würden (keine Option), umgehen den Inhaltsscan, wenn die Warteschlange für nicht in der richtigen Reihenfolge voll ist. Dies würde die Sicherheit der Endpunkte gefährden Verwenden Sie diese Option nur, wenn die Endpunkte mit anderen Mechanismen geschützt sind.
      2. "Nein" bedeutet, dass, wenn die Warteschlangengrößenbeschränkung für die Out-of-Order-Segmente erreicht ist, alle zusätzlichen empfangenen Out-of-Order-Segmente verworfen werden. Der Zähler tcp_exceed_seg_limit wird für jedes zusätzliche Out-of-Order-Segment erhöht. Diese Verwerfungen können sich auf die Benutzererfahrung auswirken und aufgrund der erneuten Paketübertragung eine langsame TCP-Verbindung verursachen.