motor503 Опубликовано 28 марта, 2014 · Жалоба Проблема простая, любой сквозной трафик из зоны trust в зону trust сбрасыватя через 25сек, и сессия обрываетя. В логи причину обрыва пока вывести не смог, хотя на более младших железках теже настройки таких проблем не давали. Речи идёт о простейшей настроке с выключенным всем и разрешить всё. Чтобы убедится что проблема в srx мэпил фильтром трафик в режим packet-mode, сессии не рвутся. Команда show security flow sessions отображает сессии. После чего сессия сбрасывается и отображатся перестаёт. Сессии на саму железку не сбрасываются на интерфейс в зоне trust цепляюсь по телнету без проблем. show security policies from-zone trust to-zone trust policy trust-to-trust-10 { match { source-address any; destination-address any; application [ tcp-oracle junos-telnet ]; } then { permit; log { session-init; session-close; } } } policy trust-to-trust-20 { match { source-address any; destination-address any; application tcp-all; } then { permit; log { session-close; } } } policy trust-to-trust-30 { match { source-address any; destination-address any; application any; } then { permit; } } ------- show system syslog } file session-log { any any; } ------- show applications application tcp-all { protocol tcp; inactivity-timeout 9000; } application tcp-oracle { application-protocol sqlnet-v2; protocol tcp; destination-port 1521; inactivity-timeout 16000; } Подозреваю что: 1)Багует софт 2)Где то выставлен лимит по времени активных транзитных сессий по времени 3)Juniper гумно) Как быть что делать?) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 28 марта, 2014 · Жалоба traceoptions Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MonaxGT Опубликовано 29 марта, 2014 (изменено) · Жалоба motor503 1) Juniper не рекомендует включать сразу session-init и session-close, уберите один из низ, если не рекомендует, значит как вариант глюк есть. 2) Поставить последний рекомендуемый софт 3) To configure an explicit timeout value, use the following command. This set security flow command removes a TCP session from the session table after 280 seconds. user@host# set security flow tcp-session tcp-initial-timeout 280 Оригинал Изменено 29 марта, 2014 пользователем MonaxGT Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...