Cервисы организации сетевого доступа к приложениям : Cisco LocalDirector серии 400

Устранение неполадки с нетранслированными пакетами перед LocalDirector

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Cisco объявила о конце продажи для Cisco LocalDirector. "Для получения дополнительной информации см. касающиеся LocalDirector 400 Series ""Уведомления об окончании срока эксплуатации и продаж"" и ""Информационные бюллетени по продуктам (End-of-Life and End-of-Sale Notices and Product Bulletins).".


Содержание


Введение

Этот документ предоставляет сведения о том, как устранить неполадки непереданный пакетов перед LocalDirector.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Настоящий документ не имеет жесткой привязки к каким-либо конкретным версиям программного обеспечения и оборудования.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Технические рекомендации Cisco. Условные обозначения.

Признаки

Пакеты могут быть найдены перед LocalDirector с IP - адресом источника реального IP - адреса серверов вместо виртуального адреса. Эти пакеты принадлежат сеансам, открытым внешними клиентами виртуальным адресам LocalDirector, и они обычно - пакеты, принадлежащие обычному завершению TCP - подключения (FIN) или сброс соединения (RST) последовательность. Поскольку эти пакеты являются просто частью закрытия сеанса, никакие проблемы с подключением не испытаны.

Это становится более видимым в конфигурациях, где серверы используют закрытый IP - адрес, действительное использование общий адрес, и шлюз является межсетевым экраном и не маршрутизатором. В этом случае сообщение могло бы быть зарегистрировано межсетевым экраном, сообщив, что неожиданный IP - адрес источника был получен от внутренней сети.

Архитектура LocalDirector

Для понимания причин для этого поведения краткое описание архитектуры LocalDirector предоставлено в этом разделе.

Когда клиент открывает соединение с виртуальным адресом, идентификатор для потока введен в таблицу преобразования. Эти записи содержат всю информацию о потоке, чтобы отследить его и сделать необходимые действия к следующим пакетам. Эти записи имеют жизненный цикл и когда сеанс TCP закончился, они обычно удаляются для предотвращения траты ресурсов памяти.

На практике LocalDirector продолжает смотреть на трафик сеанса и когда это видит определенные пакеты завершения сеанса, это удаляет записи из таблицы преобразования.

LocalDirector удаляет транслируемые значения, когда он или видит завершение стандартного подключения (FIN) или сброс соединения (RST).

Когда запись в таблице преобразования была уже удалена, в некоторых сценариях, в зависимости от внедренной топологии, задержки сети, внедренные стеки TCP, и приложения, повторная передача некоторых последних пакетов закрытия сеанса поступает в LocalDirector. В этом случае LocalDirector соединяет эти непреобразованные пакеты, вызывая признаки, описанные в начале этого документа.

Всесторонний анализ этой ситуации всегда требует, чтобы одновременное отслеживание средств прослушивания было взято на передней стороне и в конце LocalDirector. Назад после сеанса TCP, который закончился непереданный пакетом, возможно ясно видеть причину этого поведения.

Как только причина определена, следующий шаг должен рассмотреть, причиняет ли это проблему или нет. Очень немного пакетов будут фактически замечены в этом состоянии, и они фактически не вызывают другие проблемы возможная генерация пакета сброса назад к отправителю. Наихудший случай может быть предупреждающими сообщениями, зарегистрированными межсетевым экраном.

Решения

Если эта проблема влияет на вашу сеть, это возможные решения:

  • Выполните команду задержки.

  • Защитите LocalDirector путем выдачи безопасной команды.

  • Access-lists (ACL) мог бы быть применен на шлюз.

Команда задержки заставляет LocalDirector поддерживать транслируемое значение в течение еще пяти минут (это значение не может быть изменено) в таблице преобразования после того, как были замечены стандартное завершение TCP - подключения или сброс соединения. Добавление этой команды позволяет LocalDirector правильно преобразовывать последние пакеты, но может использовать избыточные ресурсы LocalDirector (особенно в очень загруженных средах). Это происходит из-за увеличенного времени, которым транслируемое значение должно быть сохранено в памяти.

Безопасная команда заставляет LocalDirector блокировать весь трафик, проходящий LocalDirector, которые не имеют записи в таблице преобразования. Это нужно рассмотреть в случае, если внутренним серверам нужно к контактным устройствам вне LocalDirector в локальной сети. Типичный пример мог бы быть сервером DNS, используемым внутренними серверами для обратного просмотра содержания запроса IP-адреса клиента.

Если шлюз является маршрутизатором и не межсетевым экраном, ACL мог бы быть применен на него для блокирования непереданный пакетов.

Для получения дополнительной информации о задержке и безопасных командах, обратитесь к описаниям команды LocalDirector для окончательного релиза, который вы используете.


Дополнительные сведения


Document ID: 12434