Cómo mitigar un aumento anormal en el contador global "tcp_exceed_seg_limit"

• Firewall de próxima generación
• Caída de paquetes DP
• tcp_exceed_seg_limit

Mitigación:

1. Asegúrese de que los segmentos de la misma sesión o flujo atraviesan la red y, en consecuencia, el firewall utilizando la misma ruta.
   1. A nivel de red: Evite cualquier uso compartido de carga por paquete (a.k.a. "round robin" de reparto de carga), y preferir por sesión o por mecanismo de reparto de carga por flujo.
   2. En la fuente transmisora:
      1. Compruebe si la NIC del dispositivo transmisor tiene algún mecanismo de descarga. Si es así, deshabilite el mecanismo de descarga.
      2. Revise el mecanismo de reparto de carga si la transmisión a través de múltiples enlaces.
   3. Compruebe si la red tiene algún dispositivo que utilice el protocolo de retransmisión de capa 2 que compense un enlace propenso a errores, ya que esto puede causar un reordenamiento de paquetes.
   4. Compruebe si tiene un dispositivo en su red en el que por cualquier motivo los paquetes recibidos se almacenan en búfer y luego no se envían en el orden de su llegada, ya que eso puede hacer que el orden de los paquetes cambie.
2. Hay una configuración en el firewall que habilita la opción de omitir la inspección de contenido si se alcanza el tamaño de la cola de los segmentos fuera de servicio:
   1. Compruebe esa configuración mediante el comando CLI:

       > show running tcp state
      
      session with asymmetric path            : drop packet
      Bypass if OO queue limit is reached     : no    <<<
      Favor new seg data                      : no
      Urgent data                             : clear
      Drop if zero after clear urgent flag    : yes
      Check Timestamp option                  : yes
      Allow Challenge Ack                     : no
      Remove MPTCP option                     : yes
      

   2. Puede habilitar esa configuración (está deshabilitada de forma predeterminada) mediante comandos de CLI:

      > config
      # set deviceconfig setting tcp bypass-exceed-oo-queue yes
      # commit

      1. "Sí" significa que la tcp_exceed_seg_limit de contador seguirá aumentando, pero los segmentos de la cola se reenviarán. Los segmentos que se eliminarían de forma predeterminada (sin opción), omitirán el escaneo de contenido cuando la cola fuera de servicio esté llena; Esto pondría en peligro la seguridad de los puntos finales Utilice esta opción sólo si los puntos finales están protegidos mediante otros mecanismos.
      2. "No" significa que si se alcanza el límite de tamaño de cola de los segmentos fuera de orden, se eliminará cualquier segmento fuera de orden adicional recibido. La tcp_exceed_seg_limit de contador aumentará para cualquier segmento adicional fuera de orden. Estas caídas pueden afectar la experiencia del usuario y causar una conexión TCP lenta debido a la retransmisión de paquetes.