AWS Gateway Load Balancer 后面的 VM 系列防火墙中的 TCP 会话结束原因老化

13525

Created On 11/25/22 16:07 PM - Last Modified 02/02/24 06:03 AM

Symptom

通过网关负载均衡器（GWLB）后面的多个 VM 系列防火墙之一的 TCP 会话在“监控>日志>流量”下将“会话结束原因”显示为“过期”

在接收来自 AWS GWLB 的流量并创建原始会话（PA-VM-1）的 VM 系列防火墙上的接收阶段捕获数据包，显示（i） GWLB （172.21.200.78）和防火墙的不信任接口（172.21.200.84）之间的底层 GENEVE 隧道、（ii） TCP 3 次握手和（iii） TLS 交换的正确建立，以及在客户端（172.21.43.170）和服务器（XXX.18.226.52）之间发送和接收一些应用程序数据流量和 TCP 确认（ACK），作为覆盖 TCP 会话的一部分，在 AWS 环境之外并面向公共互联网。

在某些时候，数据包流会停止（例如，因为客户端处于空闲状态）。如果客户端或服务器达到其 TCP 会话超时限制（例如，以下服务器为 400 秒），它们将发送 TCP FIN-ACK 消息以正常终止 TCP 会话。

但是， AWS GWLB 的 TCP 会话超时为 350 秒，因此该 TCP 会话的带有 PA-VM-1 的底层 GENEVE 隧道已被拆除。因此，在传输阶段，服务器的原始 TCP FIN-ACK 和后续的重新传输（因为它没有收到来自客户端的回复）将不会在 PA-VM-1 的数据包捕获中看到。
在某些时候，客户端将向服务器发送另一个请求，但 AWS GWLB 会将其视为全新的 TCP 会话。因此，GWLB 将在其目标组中选择一个防火墙，该防火墙可能与最初创建 TCP 会话的防火墙相同，也可能不同，并使用所述防火墙创建新的底层 GENEVE 隧道。例如，在本例中，它选择不同的防火墙 PA-VM-2。由于 PA-VM-2 从未看到初始的 TCP 3 向握手，因此它将丢弃客户端发送到服务器的数据包。这可以从 PA-VM-2 在接收和丢弃阶段同时捕获 PA-VM-1 的数据包中看出。

同时，PA-VM-1 中的原始 TCP 会话最终将超时，并在“ 监控>流量>日志”下显示为“会话结束原因”“老化”。 PA-VM-2 的流量日志下不会显示任何会话，因为原始的 3 向 TCP 握手未被捕获，因此不会创建会话。

Environment

亚马逊网络服务（AWS）
通过 Transit Gateway 连接到安全 VPC 的使用者 VPC
安全 VPC 在网关负载均衡器（GWLB）后面的不同可用区（AZ）中包含多个虚拟机系列防火墙
安全 VPC 中的每个可用区都包含一个网关负载均衡器终端节点（GWLBE）
VM 系列防火墙（PAN-OS 10.2.2-h2）

Cause

AWS GWLB 的 TCP 会话超时为 350 秒，而客户端和服务器的超时时间更高。

Resolution

将客户端或服务器的 TCP 会话超时减少到小于 AWS GWLB 的值（例如 325 秒）;或
在客户端上启用 TCP 保持连接消息，设置为小于 AWS GWLB 的值（例如 325 秒）。

注意：将 VM 系列防火墙的 TCP 超时从其全局默认值 3,600 秒或特定于对象> 应用程序下受影响应用程序的默认 TCP 超时（例如，SSL 为 1,800 秒）减少到小于 AWS GWLB 的值（例如 325 秒）将无法解决问题，因为 VM 系列防火墙还会以静默方式终止 TCP 会话（即不向客户端和服务器发送 TCP RESET 消息），就像 AWS GWLB 一样。因此，客户端和服务器都将不知道 TCP 会话已终止。无法修改此防火墙行为。

Additional Information