Explicación del mensaje de conflicto de sesión

Descripción

Los mensajes de conflicto de sesión aparecen en los registros cuando se crea una nueva sesión pero ya existe una sesión similar en conflicto.

Cuando ocurre un conflicto de sesión, la sesión anterior se cerrará y se reemplazará por la nueva.

La única consecuencia es que puede provocar algunas retransmisiones.

Solución

Para monitorear los conflictos de las sesiones a lo largo del tiempo, hay un contador disponible en la siguiente salida de la CLI:

# diagnose la estadística de la sesión del sistema

FGVM080000—–2 # diagnose la
información miscelánea de las estadísticas de la sesión del sistema: session_count=27 setup_rate=0 exp_count=0 clash=1
        memory_tension_drop=0 ephemeral=0/65536 removeable=0
delete=0, flush=0, dev_down=0/ 0
sesiones TCP:
         3 en ESTABLECIDO estado
         1 en el estado de SYN_SENT
stat error firewall:
error1 = 00000000
error2 = 00000000
error3 = 00000000
error4 = 00000000
tt = 00000000
cont = 00000000
ids_recv = 00000000
url_recv = 00000000
av_recv = 00000000
fqdn_count = 0000001c
tcp stat RESET:
        syncqf=1 acceptqf=0 no-oyente=559 datos=0 ses=0 ips=0
global: ses_limit=0 ses6_limit=0 rt_limit=0 rt6_limit=0


Ejemplo 1.

date=2015-09-04 time=05:54:03 logid=0100020085 type=event subtype=system level=information vd=»root» logdesc=»sesión de choque» status=»clash» proto=6 msg=»sesión de choque »
new_status=»state=00000200 tuple-num=2 policyid=1 dir=0 act=1 hook=4 10.129.0.25:5001->10.58.2.61:5001(172.31.19.186:5001) dir=1 act=2 hook =0 10.58.2.61:5001->172.31.19.186:5001(10.129.0.25:5001)»
old_status=»state=00000200 tuple-num=2 policyid=1 dir=0 act=1 hook=4 10.129.0.98:5001 ->10.58.2.61:5001(172.31.19.186:5001) dir=1 acto=2 gancho=0 10.58.2.61:5001->172.31.19.186:5001(10.129.0.98:5001)»


En este ejemplo, se genera un mensaje de conflicto de sesión porque la tupla (NAT_srcip, NAT_srcport, destip, destport) es la misma para las IP de origen 10.129.0.25 y 10.129.0.98.

Por lo tanto, no hay forma de asociar el tráfico de retorno (a 172.31.19.186:5001) al objetivo 10.129.0.25 o 10.129.0.98.

Ejemplo 2.

Si en el ejemplo 1/, si la IP de origen 10.129.0.98 intentara establecer una sesión en una IP de destino diferente (10.58.2.62) pero con las mismas características (NATed_address=172.31.19.186, NAT_sport=5001, dstport=5001), esto no habría generado un mensaje de conflicto de sesión.

Sesión: 10.129.0.98:5001->10.58.2.62:5001(172.31.19.186:5001)

Esto se debe a que la tupla (NAT_srcip, NAT_srcport, destip, destport) es diferente, el destip cambia, por lo que el srcport elegido aleatoriamente puede ser el mismo, no generará un mensaje de conflicto de sesión.

Artículos relacionados  Cómo solucionar el problema de carga de contenido en Fortinet cuando la página de inicio se carga pero no el resto del sitio

El hecho de que una diferencia de tupla permita reutilizar el mismo puerto NAT src, permite que el firewall tenga más de 65K sesiones con una sola IP pública utilizada para SNAT.

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *