Palo Alto - SYN-ACK-Probleme mit asymmetrischem Routing - Wie Man

Palo Alto - SYN-ACK-Probleme mit asymmetrischem Routing

Probleme
Häufige Probleme beim asymmetrischen Routing sind:
Websites werden nur teilweise geladen
Anwendungen funktionieren nicht

Ursache
Standardmäßig ist das TCP-Zurückweisungs-Nicht-SYN-Flag auf yes gesetzt. Dies bedeutet, dass die Verbindung über dieselbe Firewall initiiert werden muss, damit Anwendungsdaten durchgelassen werden können. Wenn das SYN-Paket eine Firewall durchlaufen hat und das SYN / ACK-Paket das Netzwerk durch eine andere Firewall verlassen hat, wird das SYN / ACK-Paket abgelehnt, da das erste Paket der Verbindung eine andere Firewall durchläuft.

Überprüfen Sie den globalen Zähler flow_tcp_non_syn_drop auf Nicht-SYN-TCP.
> Zähler anzeigen global | Spiel fallen lassen
Name Wert Rate Schweregrad Kategorie Beschreibung
-----------------------------------------------------------------------------------
flow_rcv_err 1705 0 drop flow parse Pakete fallen gelassen: Fehler der Flussstufe empfangen
flow_rcv_dot1q_tag_err 7053 0 drop flow parse Pakete fallengelassen: 802.1q-Tag nicht konfiguriert
flow_no_interface 7053 0 drop flow parse Pakete fallen gelassen: Ungültige Schnittstelle
flow_ipv6_disabled 20459 0 drop flow parse Pakete fallen gelassen: IPv6 auf Schnittstelle deaktiviert
flow_tcp_non_syn_drop 156 0 Drop-Flow-Sitzung Pakete fallen gelassen: Nicht-SYN-TCP ohne Sitzungsübereinstimmung
flow_fwd_l3_mcast_drop 14263 0 Drop Flow Forward Pakete fallen gelassen: Keine Route für IP-Multicast
flow_parse_l4_cksm 1 0 drop flow parse Pakete fallengelassen: TCP / UDP-Prüfsummenfehler
flow_host_decap_err 31 0 drop flow mgmt Pakete fallen gelassen: Dekapsulationsfehler von der Steuerebene
flow_host_service_deny 90906 0 drop flow mgmt Geräteverwaltungssitzung abgelehnt
flow_lion_rcv_err 1700 0 drop flow offload Pakete fallen gelassen: Fehler vom Offload-Prozessor erhalten

Führen Sie den Showcounter global aus passen Sie den drop-Befehl mehrmals an, um die Inkrementierung der Drop-Zähler (Wertefeld) zu sehen.

So überprüfen Sie die aktuelle Einstellung:

> Sitzungsinfo anzeigen
-------------------------------------------------------------------------------
Anzahl der unterstützten Sitzungen: 262143
Anzahl aktiver Sitzungen: 1
Anzahl aktiver TCP-Sitzungen: 0
Anzahl aktiver UDP-Sitzungen: 0
Anzahl aktiver ICMP-Sitzungen: 0
Anzahl aktiver BCAST-Sitzungen: 0
Anzahl aktiver MCAST-Sitzungen: 0
Anzahl vorhergesagter Sitzungen: 0
Sitzungstabellenauslastung: 0%
Anzahl der seit dem Systemstart erstellten Sitzungen: 7337
Paketrate: 8 / s
Durchsatz: 3 Kbps
-------------------------------------------------------------------------------
Session-Timeout
TCP-Standardzeitlimit: 3600 Sekunden
Timeout für TCP-Sitzung vor dem 3-Wege-Handshake: 5 Sekunden
TCP-Sitzungszeitüberschreitung nach FIN / RST: 30 Sekunden
UDP-Standardzeitlimit: 30 Sekunden
ICMP-Standardzeitlimit: 6 Sekunden
anderes IP-Standardzeitlimit: 30 Sekunden
Sitzungszeitüberschreitung im Verwerfungszustand:
TCP: 90 Sekunden, UDP: 60 Sekunden, andere IP-Protokolle: 60 Sekunden
-------------------------------------------------------------------------------
Sitzungsbeschleunigung: aktiviert
Beschleunigte Alterungsschwelle: 80% der Auslastung
Skalierungsfaktor: 2 X
-------------------------------------------------------------------------------
Sitzung einrichten
TCP - Nicht-SYN-erstes Paket abweisen: Ja
Hardware-Session-Offloading: Ja
IPv6-Firewall: Nein
-------------------------------------------------------------------------------
Scanparameter für die Anwendung:
Timeout, um das Anwendungs-Rieseln zu bestimmen: 10 Sekunden
Schwellenwert für die Ressourcennutzung zum Starten des Scans: 80%
Scan-Skalierungsfaktor bei normaler Alterung: 8
-------------------------------------------------------------------------------

Auflösung
Es gibt zwei Problemumgehungen für dieses Problem:
Ändern Sie die Netzwerkarchitektur, um asymmetrisches Routing zu vermeiden, sodass der gesamte zurückgeleitete Datenverkehr durch dieselbe Firewall geleitet wird, aus der der Datenverkehr stammt
Deaktivieren Sie die Option (tcp-reject-non-syn), um Verbindungen zurückzuweisen, bei denen das erste Paket kein SYN-Paket ist

Führen Sie die folgenden Befehle aus, um die TCP-Zurückweisung für Nicht-SYN vorübergehend zu deaktivieren (bis zum Neustart).
> Sitzung einstellen tcp-reject-non-syn no

Führen Sie die folgenden Befehle aus, um die Option dauerhaft zu deaktivieren:
> konfigurieren
# set deviceconfig setze Sitzung tcp-reject-non-syn no
# verpflichten

Führen Sie den folgenden Befehl aus, um zu bestätigen, dass Sitzungen für Nicht-SYN-TCP-Pakete in der Firewall eingerichtet werden
> Sitzungsinfo anzeigen
. . . .
--------------------------------------------------------------------------------
Sitzungssetup
TCP - Nicht-SYN-erstes Paket abweisen: False
Hardware-Session-Offloading: Richtig
IPv6-Firewalling: Richtig