FAQ-防火墙配置长连接后,会话的老化时间是否都为长连接的老化时间?

发布时间:  2012-07-18 浏览次数:  139 下载次数:  0
问题描述
防火墙配置了long-link后,发现某些符合条件的TCP会话带有长连接标记,但老化时间却不是配置的长连接的老化时间。
告警信息
处理过程
根因
配置了lonk-link后,对于符合长连接条件的TCP报文,在防火墙收到TCP的首包(即第一个syn报文)时,会置上长连接的标记,老化时间仍为设置的SYN报文的老化时间;只有TCP三次握手完成后,防火墙才会将session表的老化时间设置为长连接的老化时间;在TCP四次握手完全关闭连接(即防火墙收到第二个FIN-ACK报文)或收到RST报文后,防火墙会将该TCP对应的session的老化时间置为配置的fin-rst的老化时间,长连接标志并没有去掉。
建议与总结

END