Перейти к содержимому
Калькуляторы

Juniper SRX сбрасывает активные сессии сквозные сессии сбрасываются через 20-25сек

Проблема простая, любой сквозной трафик из зоны trust в зону trust сбрасыватя через 25сек, и сессия обрываетя. В логи причину обрыва пока вывести не смог, хотя на более младших железках теже настройки таких проблем не давали. Речи идёт о простейшей настроке с выключенным всем и разрешить всё. Чтобы убедится что проблема в srx мэпил фильтром трафик в режим packet-mode, сессии не рвутся. Команда show security flow sessions отображает сессии. После чего сессия сбрасывается и отображатся перестаёт. Сессии на саму железку не сбрасываются на интерфейс в зоне trust цепляюсь по телнету без проблем.

show security policies from-zone trust to-zone trust

policy trust-to-trust-10 {

match {

source-address any;

destination-address any;

application [ tcp-oracle junos-telnet ];

}

then {

permit;

log {

session-init;

session-close;

}

}

}

policy trust-to-trust-20 {

match {

source-address any;

destination-address any;

application tcp-all;

}

then {

permit;

log {

session-close;

}

}

}

policy trust-to-trust-30 {

match {

source-address any;

destination-address any;

application any;

}

then {

permit;

}

}

 

-------

 

show system syslog

 

}

file session-log {

any any;

}

-------

 

show applications

application tcp-all {

protocol tcp;

inactivity-timeout 9000;

}

application tcp-oracle {

application-protocol sqlnet-v2;

protocol tcp;

destination-port 1521;

inactivity-timeout 16000;

}

 

 

 

 

Подозреваю что:

1)Багует софт

2)Где то выставлен лимит по времени активных транзитных сессий по времени

3)Juniper гумно)

 

Как быть что делать?)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

motor503

1) Juniper не рекомендует включать сразу session-init и session-close, уберите один из низ, если не рекомендует, значит как вариант глюк есть.

2) Поставить последний рекомендуемый софт

3)

To configure an explicit timeout value, use the following command. This set security flow command removes a TCP session from the session table after 280 seconds.

 

user@host# set security flow tcp-session tcp-initial-timeout 280

 

Оригинал

Изменено пользователем MonaxGT

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.