?????? : Cisco LocalDirector 400 系列

排除在LocalDirector前面的未翻译的信息包故障

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2014 年 10 月 1 日) | 反馈


Cisco已宣布Cisco LocalDirector终止销售。更多信息,请参见LocalDirector 400系列生命周期终止和销售终止通知以及产品公告


目录


简介

本文提供信息关于怎样排除故障在LocalDirector前面的未翻译的数据包。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档不限于特定的软件和硬件版本。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

症状

数据包可能在与服务器的实际IP地址的源IP地址的LocalDirector前面被找到而不是虚拟地址。这些数据包属于外部客户端开始的会话对LocalDirector的虚拟地址,并且他们通常是属于正常TCP连接终止(FIN)或连接重置(RST)顺序的数据包。由于这些数据包作为关闭会话的部分,连通性问题不是有经验的。

这变得可视在服务器使用一个专用IP地址的配置方面,虚拟使用公共地址,并且网关是防火墙而不是路由器。在这种情况下,消息也许由建议的防火墙记录一意外的源IP地址从内部网络接收。

LocalDirector体系结构

为了了解此行为的原因, LocalDirector的体系结构的简要描述在此部分提供。

当客户端打开对虚拟地址时的一连接,流的一个标识符被输入到转换表。这些条目包含关于流的所有信息为了跟踪它和做必要的处理到下一个信息包。这些条目有一个生命周期,并且,当TCP会话结束了时,他们通常删除避免浪费内存资源。

实际上, LocalDirector继续查看会话流量,并且,当看到特定会话终止数据包时,从转换表删除条目。

LocalDirector删除转换条目,当二者之一看到标准连接终端(FIN)时或连接重置(RST)。

在某些情况下,当条目在转换表里已经删除时,根据实现的拓扑结构、网络延迟、被实施的TCP堆叠和应用程序,关闭会话的一些延迟数据包重新传输到达对LocalDirector。在这种情况下, LocalDirector桥接取消转译的这些数据包,导致在本文初描述的症状。

此情况一详细分析总是要求同时嗅探器跟踪被采取在前面和在LocalDirector背面。通过向后跟随以一未翻译的数据包结束的TCP会话,清楚看见此行为的原因是可能的。

一旦确定原因,下一步是考虑是否这导致一个问题。非常少量数据包在此状态实际上将被看到,并且他们实际上不引起在重置数据包之外的可能的生成的一问题回到发送方。最坏情况可能是防火墙记录的警告消息。

解决方案

如果此问题影响您的网络,这些是可能的解决方案:

  • delay命令的问题。

  • 通过发出secure命令获取LocalDirector。

  • 访问列表(ACL)在网关也许应用。

delay命令在转换表还造成LocalDirector保留转换条目五分钟(此值不可能更改),在标准TCP连接终止或连接重置被看到了后。添加此命令允许LocalDirector正确地转换延迟数据包,但是可能浪费额外的LocalDirector资源(特别是在非常已加载环境)。这发生由于在内存必须保留转换条目的增加的时间。

secure命令造成LocalDirector阻塞通过在转换表里没有一个条目的LocalDirector的所有流量。这,万一内部服务器需要与在LocalDirector之外的设备联系在本地网络,必须考虑。一典型的示例也许是内部服务器的DNS服务器用于请求内容的客户端IP地址的反向查找。

如果网关是路由器而不是防火墙, ACL也许应用对此阻塞未翻译的数据包。

关于延迟安全命令的更多信息,参考您使用的发行版本的localdirector命令说明

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 12434