Servicios de redes de aplicaciones : Cisco LocalDirector de la serie 400

Paquetes sin traducir del Troubleshooting delante del LocalDirector

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Cisco ha anunciado la fin-de-venta para el Cisco LocalDirector. Para más información, refiera al fin de vida de las 400 Series de LocalDirector y los avisos y los boletines de productos del Fin de la Venta.


Contenido


Introducción

Este documento proporciona la información sobre cómo resolver problemas los Paquetes sin traducir delante del LocalDirector.

prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Para obtener más información sobre las convenciones del documento, consulte las Convenciones de Consejos Técnicos de Cisco.

Síntomas

Los paquetes se pueden encontrar delante del LocalDirector con la dirección IP de origen del IP Address real de los servidores en vez de la dirección virtual. Estos paquetes pertenecen a las sesiones abiertas por los clientes externos en las direcciones virtuales del LocalDirector, y son generalmente paquetes que pertenecen a una secuencia normal de la terminación de la conexión TCP (FIN) o de la restauración de la conexión (RST). Porque estos paquetes son apenas parte de a la sesión de cierre, no se experimenta ningunos problemas de conectividad.

Esto llega a ser más visible en configuraciones donde los servidores utilizan un IP Address privado, el virtual utiliza a una dirección pública, y el gateway es un Firewall y no un router. En este caso, un mensaje se pudo registrar por el Firewall que aconsejaba que una dirección IP de origen inesperada se ha recibido de la red interna.

Arquitectura de LocalDirector

Para entender las razones de este comportamiento, una Breve descripción de la arquitectura del LocalDirector se proporciona en esta sección.

Cuando un cliente abre una conexión a una dirección virtual, un identificador para el flujo se ingresa en la tabla de traducción. Estas entradas contienen toda la información sobre el flujo para seguirlo y hacer las manipulaciones necesarias a los próximos paquetes. Estas entradas tienen un ciclo vital y cuando la sesión TCP ha acabado, se quitan normalmente para evitar la pérdida de recursos de memoria.

En la práctica, el LocalDirector guarda el mirar del tráfico de sesión y cuando ve los paquetes específicos de la terminación de la sesión, quita las entradas de la tabla de traducción.

El LocalDirector quita las entradas de traducción cuando cualquiera ve una terminación de la conexión estándar (FIN) o una restauración de la conexión (RST).

En algunos escenarios, dependiendo de la topología implementada, los retrasos de la red, los stack implementados TCP, y las aplicaciones, retransmisión de algunos últimos paquetes de una sesión de cierre llegan al LocalDirector cuando la entrada en la tabla de traducción se ha quitado ya. En este caso, el LocalDirector interliga estos paquetes sin traducir, causando los síntomas descritos al principio de este documento.

Un análisis profundizado de esta situación requiere siempre que una traza de sniffer simultánea esté adquirida el frente y en la parte de atrás del LocalDirector. Por posterior siguiendo a una sesión TCP que terminó con un Paquete sin traducir, es posible ver claramente la causa de este comportamiento.

La causa se determina una vez, el siguiente paso es considerar si éste está causando un problema o no. Muy pocos paquetes serán vistos realmente en este estado, y no causan realmente problema mas allá la generación posible de un paquete de la restauración de nuevo al remitente. El peor caso puede ser mensajes de advertencia registrados por el Firewall.

Soluciones

Si este problema está afectando a su red, éstas son Soluciones posibles:

  • Comando delay del problema.

  • Asegure el LocalDirector publicando el comando secure.

  • Las listas de acceso (ACL) se pudieron aplicar en el gateway.

El comando delay hace el LocalDirector mantener la entrada de traducción por cinco más minutos (este valor no puede ser cambiado) la tabla de traducción después de que se haya considerado una terminación estándar de la conexión TCP o una restauración de la conexión. Agregar este comando permite que el LocalDirector traduzca correctamente los últimos paquetes, pero puede consumir a los recursos LocalDirectores excesivos (especialmente en los entornos muy cargados). Esto sucede debido al tiempo creciente que la entrada de traducción se debe mantener la memoria.

El comando secure hace el LocalDirector bloquear todo el tráfico que pasa con el LocalDirector que no tiene una entrada en la tabla de traducción. Esto debe ser considerada en caso de que los servidores internos necesiten entrar en contacto dispositivos más allá el LocalDirector en la red local. Un Ejemplo ejemplo típico pudo ser servidor DNS usado por los servidores internos para la búsqueda inversa de un dirección IP del cliente que pedían el contenido.

Si el gateway es un router y no un Firewall, un ACL se pudo aplicar en él para bloquear los Paquetes sin traducir.

Para más información sobre los comandos delay y secure, refiera a las descripciones del comando localdirector para la versión que usted está utilizando.


Información Relacionada


Document ID: 12434