E200 SSH用户登录几秒后自动掉线

发布时间:  2012-07-18 浏览次数:  77 下载次数:  0
问题描述

1.         组网(E200一主一备)



2.         描述
通过pc使用ssh登录到备机的10.1.7.180,几秒后自动断开。
  
告警信息
处理过程

在现网配置不变的情况下,ssh登陆备墙可以使用内网口地址,不要使用外网口地址

如果仍然要使用外网口地址,该现象会出现,属于软件实现问题。 

根因
PC访问备机,PC到备机的报文,通过Master防火墙再到备机,备机回来的报文直接发给PC,不经Master防火墙。
当连接为TCP时,主防火墙的情况是,syn报文通过主防火墙到备防火墙,但syn-ack报文不经过主防火墙。
防火墙收到syn报文后,连接状态为TCP_SYN_OPEN,此状态的连接默认保持时间为5秒。再收到syn-ack状态为TCP_SYN_ACK,在此状态下收到ack,状态才会变为TCP_READY,TCP_READY的tcp默认连接时间是正常的10分钟。
在当前的访问方式下,对于主防火墙由于无法收到syn-ack报文,导致tcp的连接状态一致处于TCP_SYN_OPEN,即连接状态的保持时间只有5秒。
当5秒内ssh登录或tcp登录没有任何动作时,连接将会断开,从而导致用户被退出。  
建议与总结

这种情况在其他设备上也会出现,问题的出现并非是配置等造成的,而是防火墙特性所决定的。

如果是usg的设备,我们可以使用undo firewall session link-state check,关闭会话检测来实现 

END