解决USG5300使用oracle传数据时掉包问题

发布时间:  2012-07-20 浏览次数:  128 下载次数:  0
问题描述
 某用户使用USG5300防火墙,利用两个安全区域,一个为trust 一个为创建dzzw 区域,传输oracle 数据,出现的问题是,在传输oracle数据时,一共需要传输3个小时,而当传输到一半即一个小时左右,出现oracle连接中断,传输数据不成功问题。
告警信息
处理过程
配置了域间detect sql 多端口通道协议,问题依旧。怀疑就是因为数据库特定的机制造成连接中断。配置区域长连接。并顺带在域内配置基于域间的长连接。配置ACL,匹配需要长时间保持会话的报文。
 acl number 3998
 rule 0 permit tcp  destination-port eq sqlnet
 rule 1 permit tcp  source-port eq sqlnet

在域间开启长连接功能
firewall interzone trust dzzw 
firewall long-link 3998 inbound     
firewall long-link 3998 outbound                               
在匹配为长连接后,该会话会被保存7*24小时,在这段时间内只要该会话上有数据通过,会话的计时时间就会被重新刷新到7*24小时。
配置后,建议客户测试,使用oracle进行数据传输,可以正常传输,问题解决。
根因

1.可能和多通道相关,在域间开启detect sql.
 

2.可能由于数据库的传输机制相关,适当的配置会话长连接。

最好抓包分析问题
建议与总结
会话老化导致SQL连接中断,造成用户访问SQL服务器慢或使用该数据服务的应用程序报错的问题。

END