2022年防火墙丢包问题分析报告 .pdf

《2022年防火墙丢包问题分析报告 .pdf》由会员分享，可在线阅读，更多相关《2022年防火墙丢包问题分析报告 .pdf（3页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、厦门 TD SCDMA 试验局防火墙丢包问题分析报告组网描述 ：1核心网侧防火墙Netscreen和业务侧 PIX 防火墙的 DMZ 口通过业务侧三层交换机上的VLAN101 互通，VLAN101不配置 IP，使其和三层交换机上的其他VLAN 不能通信，保证业务内部和外部设备的隔离。2业务侧内部， PIX 防火墙的 inside 接入三层交换机上的VLAN10 ， WAP 网关接入三层交换机上的VLAN50 ，VLAN10 和 VLAN50配置 IP，WAP 网关和 PIX 防火墙 inside 口通过在三层交换机上启用IP Rouing 功能，实现 VLAN 间直连路由互通。组网如图1 所示

2、。图 1 系统组网图问题描述：厦门 TD-SCDMA试验局割接新建WAP 网关上线、替代旧系统，测试大彩信时发现：1 当 WAP 网关 MTU 为 1500 （这时 WAP 的 MSS 值为 1500-40 1460 ） 、PIX 的 MSS 为默认值时， TCP Segement Size为 1460 的手机发送大彩信、 ，数据包会被PIX 防火墙的 dmz 口丢弃；2 当 WAP 网关 MTU 为 1500（即 MSS 为 1460 ） 、PIX 的 MSS 为默认值时， TCP Segement Size为 1024的手机发送大彩信、 ，数据包不会被PIX 防火墙的 dmz 口丢弃。3

3、当 WAP 网关 MTU 为 1063 （即 MSS 为 1023 ） 、PIX 的 MSS 为 1460 时，TCP Segement Size为 1024的手机发送大彩信，数据包会被PIX 防火墙的 dmz 口丢弃。4 手机似乎不能实现MSS 值的协商，向外发包时MSS 值是固定的。注：使用 ZTE 和大唐的手机测试结果相同问题分析：我们在 PIX 防火墙的dmz 口和 inside 口抓包，结果如下1 从 PIX 的 dmz 口抓包的结果可以看出，手机PDP 激活后向 WAP 网关发起 TCP 三方握手时，手机发送名师资料总结 - - -精品资料欢迎下载 - - - - - - - -

4、- - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 3 页 - - - - - - - - - 给 WAP 网关的 TCP SYN 消息中 MSS （TCP Max Segement Size）值为 16384 ，即手机 TCP Buffer的大小 16K 。如图 2 所示，行 1 中手机终端168.94.1.129发送到 WAP 的 SYN 消息中的 MSS 值为 16384 。图 2 码流文件如下：2从 PIX 的 inside 口抓包的结果可以看出，TCP 三方握手时手机发送给WAP 网关的 SYN 消息通过防火墙后， 其中的 MSS （TC

5、P Max Segement Size） 值被替换成了1380 。 如图 3 所示，行 1 中手机终端168.94.1.129发送到 WAP 的 SYN 消息中的 MSS 值为 1380 。图 3 码流文件如下：因此我们和判断可能是防火墙允许通过的包的MSS 值最大为 1380 ， 这时当手机发过来的MSS 值为 1460时，就被防火墙判断为超长包，被丢弃。和CISCO 的工程师确认后，PIX 默认的 MSS 值为 1380 ，小于手机发送过来的1460 的包，通过以下命令在全局模式下可以修改防火墙的MSS 值：ZXIN-XM515-FR01(config)# sysopt connectio

6、n tcpmss 1460 我们将这个值修改后测试，当 WAP 网关 MTU 为 1500（这时 WAP 的 MSS 值为 1500-40 1460 ） ，TCP Segement Size为 1460 的手机发送大彩信可以通过防火墙。之后我们优化WAP 网关时，将 WAP 的 MTU 值修改为 1350 （这时 WAP 的 MSS 值为 1350-40 1310 ） ，这时我们测试发现无法MSS 值为 1460 的手机无法发送了。因此我们怀疑是防火墙有MSS 值协商的功能，当防火墙的MSS 值为 1460 ，WAP 的 MSS 值为 1310 时，协商后防火墙会将这次传输中自己的MSS 值修

7、改为 1310 ，且防火墙未做切片处理，这样MSS 为 1460 的包就无法通过防火墙的dmz 口。和供应商神州数码的工程师咨询PIX 是否支持 MSS 值的协商，对方答复不支持。为证实是否支持自协商，我们做了以下测试，结果表明 PIX 防火墙是支持MSS 值的协商的：将防火墙的 MSS 值修改为 1460 ， WAP 网关的 MTU 值修改为 1063 （这时 WAP 的 MSS 值为 1063-40 1023 ） ，名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 3

8、页 - - - - - - - - - 使用 MSS 值为 1024 的手机发送大彩信时，如果防火墙不支持MSS 值的协商，那么理论上这时数据包是能通过防火墙的，因为防火墙的MSS 值远大于手机发出的数据包的MSS 值。但是实际我们测试的结果是这种情况下手机发出的数据包无法通过防火墙。如图4 和图 5 所示所示。图 4 PIX 防火墙 DMZ 口数据包图 4 对应的数据包如下：图 5 PIX 防火墙 Inside 口数据包图 5 对应的数据包如下：对比 DMZ 口和 Inside 口的数据包我们可以判断防火墙DMZ 口将数据包丢弃了。另外我们从图5 中可以看出，在手机完成PDP 激活后，手机和

9、WAP 网关 TCP 三方握手时， WAP 网关回送给手机的TCP SYN ACK 消息经过中的MSS 值为 1023 ，因此手机手机如果支持MSS 的协商功能，那么手机发出的数据包的MSS 值就应当为1023 而不是 1024 。另仍有以下问题需要和防火墙厂商确认，为何在防火墙的MSS 值为 1380 ， 手机发送的包的MSS 为 1460 ，且该数据包的Don t Fragment字段的值为0，即可以分片的情况下，防火墙没有做分片处理，而是直接丢弃。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 3 页 - - - - - - - - -