因老化时间配置导致某局USG5360视频卡问题

发布时间:  2012-07-23 浏览次数:  127 下载次数:  0
问题描述
组网结构:


  故障现象:
1、  从C区网访问A区视频业务慢很多;但是从B区服务器访问A区视频业务正常
告警信息
处理过程
1、  现网USG5360负载分担组网,为了排除双机热备组网问题,现场简化组网,将其中一台设备脱网,只有一台设备在网运行,现象依旧,说明问题与双机热备组网无关。
2、  查看防火墙会话,确认视频业务是RTSP协议,同时视频数据通过RTSP控制通道传输
  RTSP  (vpn: public -> public)
  zone: trust -> untrust  tag: 0xa0083588  State: 0x53
  ttl: 00:00:30  left: 00:00:30  Id: 2d299350  SlvId: 29c2ee70
  Interface: G0/0/1  Nexthop: 173.0.12.3  Mac: 00-25-9e-14-74-81
  <-- packets:24830 bytes:33835619   --> packets:12422 bytes:497596
  10.45.128.227:3146[173.0.12.8:28106]-->173.0.2.31:554
由于数据通道借用控制通道会话,即防火墙可以不需要打开detect rtsp,并且打开detect后数据报文也上送VRP处理(由于和控制通道是一条会话),对数据业务转发有影响,后来现网关闭detect后问题依旧。
3、  由于关闭链路状态检测后,RTSP会话老化时间为30秒,在做NAT的应用场景里,如果会话老化掉,后续再有相同五元组业务必然要新建会话,此时NAT后的端口与之前会话端口不一样,这样服务器就会把连接异常断开。怀疑会不会跟会话老化有关。现网把RTSP老化时间改为默认的1800秒后,再进行测试,发现业务正常,此时查看会话,发现修改老化时间前确实存在30秒没有流量会话老化情况,如下:
  RTSP  (vpn: public -> public)
  zone: trust -> untrust  tag: 0xa0083588  State: 0x53
  ttl: 00:30:00  left: 00:25:08  Id: 3526cfa8  SlvId: 2f78d710
  Interface: G0/0/1  Nexthop: 173.0.12.3  Mac: 00-25-9e-14-74-81
  <-- packets:1769 bytes:1686723   --> packets:938 bytes:41429
  10.45.128.227:4122[173.0.12.8:24737]-->173.2.2.14:554
 
4、后来现网把链路状态检测打开,并且打开快速备份,使用双机组网进行测试,业务正常。
根因
该网络中的USG5360关闭链路状态检测后,RTSP会话老化时间为30秒,视频业务存在大于30秒没有流量情况,此时NAT会话就老化掉,后续视频业务访问需要建新会话,NAT后的端口与之前会话不一样,导致被服务器异常断开,继而导致业务慢。
建议与总结
1、在关闭链路状态检测情况下,由于会话老化时间普遍比较短,在NAT场景下存在业务慢或者掉线情况,可能跟会话老化有关,可以把相应协议会话老化时间改长进行测试。

END