Comment atténuer une augmentation anormale du compteur mondial « tcp_exceed_seg_limit »

• Pare-feu nouvelle génération
• Perte de paquets DP
• tcp_exceed_seg_limit

Atténuation:

1. Assurez-vous que les segments de la même session ou flux traversent le réseau et, par conséquent, le pare-feu en utilisant le même chemin.
   1. Au niveau du réseau : Évitez tout partage de charge par paquet (a.k.a. « round robin » load-sharing), et préfèrent par session ou par flux mécanisme de partage de charge.
   2. Sur la source émettrice :
      1. Vérifiez si la carte réseau du périphérique émetteur dispose d'un mécanisme de déchargement. Si c’est le cas, désactivez le mécanisme de déchargement.
      2. Revoir le mécanisme de partage de charge en cas de transmission sur plusieurs liaisons.
   3. Vérifiez si le réseau dispose d’un périphérique utilisant un protocole de retransmission de couche 2 qui compense une liaison sujette aux erreurs, car cela peut entraîner un réordre des paquets.
   4. Vérifiez si vous avez un périphérique dans votre réseau dans lequel, pour une raison quelconque, les paquets reçus sont mis en mémoire tampon puis ne sont pas envoyés dans l’ordre de leur arrivée, car cela peut entraîner le changement de l’ordre des paquets.
2. Il existe un paramètre sur le pare-feu qui permet de contourner l'inspection du contenu si la taille de file d'attente des segments dans le désordre est atteinte :
   1. Vérifiez ce paramètre à l’aide de la commande CLI :

       > show running tcp state
      
      session with asymmetric path            : drop packet
      Bypass if OO queue limit is reached     : no    <<<
      Favor new seg data                      : no
      Urgent data                             : clear
      Drop if zero after clear urgent flag    : yes
      Check Timestamp option                  : yes
      Allow Challenge Ack                     : no
      Remove MPTCP option                     : yes
      

   2. Vous pouvez activer ce paramètre (il est désactivé par défaut) à l’aide des commandes CLI :

      > config
      # set deviceconfig setting tcp bypass-exceed-oo-queue yes
      # commit

      1. « Oui » signifie que le compteur tcp_exceed_seg_limit continuera d’incrémenter, mais que les segments de la file d’attente seront transférés. Les segments qui seraient supprimés par défaut (pas d’option) contourneront l’analyse du contenu lorsque la file d’attente dans le désordre est pleine; Cela compromettrait la sécurité des points de terminaison Utilisez cette option uniquement si les points de terminaison sont protégés à l’aide d’autres mécanismes.
      2. « Non » signifie que si la limite de taille de file d'attente des segments dans le désordre est atteinte, tout segment supplémentaire reçu dans le désordre sera supprimé. Le compteur tcp_exceed_seg_limit augmentera pour tout segment supplémentaire hors service. Ces baisses peuvent avoir un impact sur l’expérience utilisateur et ralentir la connexion TCP en raison de la retransmission des paquets.