Güvenlik duvarı paketlere zarar veriyor/gecikiyor gibi görünüyor

Şeffaf bir güvenlik duvarı ile birbiriyle iletişim halinde olan iki ağım var. Benim sorunum, bu ağları kullanan yazılımın paketlerini kaybettiğini bildirmesi. Kayıp paketlerin sayısı değişir, ancak yaklaşık% 0.1 olabilir. Bu, güvenlik duvarındaki her iki yönde de "herhangi bir" kural ile bile geçerlidir. Güvenlik duvarının bir tarafında Wireshark ile bazı yakalama yaptım ve güvenlik duvarı bağlandığında bazı ICMP paketlerinin üretildiğini görüyorum. Güvenlik duvarını bir yama kablosuyla değiştirirsem, ICMP paketlerinin sayısı önemli ölçüde azalır.

Güvenlik duvarı olan ve olmayan 1.5M paketlerindeki yakalamalarda:

  • Güvenlik duvarı ile: Canlıya geçme süresi aşılmış yaklaşık 100 ICMP paketi (Parça yeniden kurma süresi aşıldı) ve 40 ila 50 Hedefe ulaşılamıyor (Bağlantı noktası ulaşılamıyor) paketler.

  • Güvenlik duvarı olmadan: Yaklaşık 40 Canlıya geçme süresi aşıldı (Parça yeniden kurma süresi aşıldı) paketleri ve Hedefe ulaşılamıyor paketlerinden hiçbiri .

Bana göre, bazı paketler güvenlik duvarı tarafından geciktirilmiş/hasar görmüş gibi görünüyor, dolayısıyla ICMP mesajları, ama bunun nasıl olabileceğini hayal bile edemiyorum. Bunun neden olduğuyla ilgili herhangi bir fikir veya en iyi şekilde sorun giderme adımlarına nasıl devam edersiniz? Herhangi bir girdi için minnettarım!

Güvenlik duvarı Phoenix Contact mGuard GT/GT'dir ve tüm anahtarlar Cisco 3650'dir.

DÜZENLEME: Ağ çıkışı ile ilgili olarak, anahtar üzerindeki yansıtılmış arabirim, sadece yaklaşık% 0,25'lik kullanım, yani 2.5 Mbit'den gelen trafik çekiyorum. Bu, güvenlik duvarındaki sınırlamalar içinde iyi olmalıdır.

EDIT2: Güvenlik duvarı üzerinden bazı bant genişliği testleri yaptım ve sonuçlar oldukça kötüydü. Güvenlik duvarının her iki tarafındaki anahtarlara bağlı iki makinede iperf3 kullanıyorum ve aralarında UDP trafiğini (normal trafiğin büyük kısmı UDP) zorlarken, yalnızca 30Mbit/saniye veri göndermeye başlamadan önce gönderebilirim. paketleri kaybet. 50Mbit/sn'de, paketlerin yaklaşık% 16'sı kaybolur ve 200Mbit/s'de% 80'in üzerinde devasa bir paket kaybı olur.

Güvenlik duvarı bu kadar kötü olamaz mı, yoksa bir şey mi özlüyorum?

0
Herhangi bir cevap size yardımcı oldu mu? Eğer öyleyse, cevabı kabul etmelisiniz, böylece soru sonsuza kadar haşhaş olmayacak, bir cevap aramayacaktır. Alternatif olarak, kendi cevabınızı sağlayabilir ve kabul edebilirsiniz.
katma yazar Ron Maupin, kaynak

1 cevap

ICMP Canlıya geçme süresi (Parça yeniden kurma süresi aşıldı) iletileriniz güvenlik duvarı değil, uç noktalar tarafından oluşturulur. Sorun, güvenlik duvarının gönderdiğiniz veri hızını karşılayamamasıdır. Gigabit bağlantılarınız varsa, çok fazla trafik kaybediyorsunuz ve bu da TCP segmentlerinin yeniden gönderilmesine neden oluyor, bunların birçoğu tekrar düşüyor ve TCP yeniden birleştirme zaman aşımına uğramaktadır.

Router - FL MGUARD GT/GT - 2700197 (emphasis is mine):

Akıllı güvenlik duvarına sahip yönlendiriciler, 200 Mbps veri çıkışına kadar ,   Gigabit bağlantısı, SFP Yuvaları Durum Denetimi Güvenlik Duvarı için   maksimum güvenlik ve çok basit yapılandırma, değiştirilebilir   yapılandırma hafızası

Başka bir deyişle, güvenlik duvarınız, veri aktarmaya çalıştığınız hızın üstesinden gelme kapasitesine sahip değil.

1
katma
Bir parçayı yeniden iletmek için bir mekanizma yoktur, bu yüzden bir parçanın kaybedilmesi tüm paketin yeniden gönderilmesine neden olur ve bu da kaybedilebilecek daha fazla parçayı ortaya çıkaracaktır. * FRAGMENTS BAD * (tm) Hiçbir modern ağ yığını parça gönderemez.
katma yazar Neall, kaynak
Sanal birleştirme yapıyorsa, güvenlik duvarı tarafından oluşturulabilirler. Ancak bu şeffaf modda mümkün değildir.
katma yazar Neall, kaynak