「tcp_exceed_seg_limit」グローバルカウンターの異常な増加を軽減する方法

• 次世代ファイアウォール
• DPパケットドロップ
• tcp_exceed_seg_limit

緩和：

1. 同じセッションまたはフローのセグメントがネットワークを通過し、その結果、同じパスを使用してファイアウォールを通過することを確認してください。
   1. ネットワーク レベル: パケットごとの負荷分散 (別名) を避けます。 「ラウンドロビン」負荷共有メカニズム）、セッションごとまたはフローごとの負荷共有メカニズムが優先されます。
   2. 送信元について:
      1. 送信デバイスの NIC にオフロード メカニズムがあるかどうかを確認します。 その場合は、オフロード メカニズムを無効にします。
      2. マルチリンク経由で伝送する場合は、負荷分散メカニズムを確認してください。
   3. パケットの並べ替えが発生する可能性があるため、エラーが発生しやすいリンクを補うレイヤー 2 再送信プロトコルを使用しているデバイスがネットワークにあるかどうかを確認してください。
   4. 何らかの理由で、受信したパケットがバッファリングされ、到着順に送信されないデバイスがネットワーク内にあるかどうかを確認してください。これにより、パケットの順序が変更される可能性があります。
2. ファイアウォールには、順序が乱れたセグメントのキュー サイズに達した場合にコンテンツ検査をバイパスするオプションを有効にする設定があります。
   1. CLI コマンドを使用して設定を確認します。

       > show running tcp state
      
      session with asymmetric path            : drop packet
      Bypass if OO queue limit is reached     : no    <<<
      Favor new seg data                      : no
      Urgent data                             : clear
      Drop if zero after clear urgent flag    : yes
      Check Timestamp option                  : yes
      Allow Challenge Ack                     : no
      Remove MPTCP option                     : yes
      

   2. CLI コマンドを使用して、その設定を有効にできます (デフォルトでは無効になっています)。

      > config
      # set deviceconfig setting tcp bypass-exceed-oo-queue yes
      # commit

      1. 「yes」は、カウンター tcp_exceed_seg_limit は増加しますが、キュー内のセグメントは転送されることを意味します。 デフォルト (オプションなし) でドロップされるセグメントは、アウトオブオーダーキューがいっぱいの場合にコンテンツスキャンをバイパスします。これにより、エンドポイントのセキュリティが危険にさらされるため、エンドポイントが他のメカニズムを使用して保護されている場合にのみ、このオプションを使用してください。
      2. 「no」は、順序が乱れたセグメントのキュー サイズ制限に達した場合、受信した順序が乱れたセグメントはすべてドロップされることを意味します。 カウンタ tcp_exceed_seg_limit は、順序が乱れたセグメントが追加されると増加します。 これらのドロップはユーザー エクスペリエンスに影響を与え、パケットの再送信により TCP 接続が遅くなる可能性があります。