防火墙丢包问题分析报告.docVIP

厦门TD－SCDMA试验局防火墙丢包问题分析报告 组网描述1．核心网侧防火墙Netscreen和业务侧PIX防火墙的DMZ口通过业务侧三层交换机上的VLAN101互通，VLAN101不配置IP，使其和三层交换机上的其他VLAN不能通信，保证业务内部和外部设备的隔离。2． 业务侧内部，PIX防火墙的inside接入三层交换机上的VLAN10，WAP网关接入三层交换机上的VLAN50，VLAN10和VLAN50，WAP网关和PIX防火墙inside口通过三层交换机上VLAN间直连路由互通。 图1 系统组网图 问题描述： 厦门TD-SCDMA试验局割接新建WAP网关上线、替代旧系统，测试大彩信时发现当时TCP Segement Size为1460，会被PIX防火墙丢弃； 当时TCP Segement Size为1，不会被PIX防火墙。当TCP Segement Size为1会被PIX防火墙丢弃 2．从PIX的inside口抓包的结果可以看出，TCP三方握手时手机发送给WAP网关的SYN消息通过防火墙后，其中的MSS（TCP Max Segement Size）值被替换成了1380。如图3所示，行1中手机终端168.94.1.129发送到WAP的SYN消息中的MSS值为1380。 图3 码流文件如下： 因此我们和判断可能是防火墙允许通过的包的MSS值最大为1380，这时当手机发过来的MSS值为1460时，就被防火墙判断为超长包，被丢弃。和CISCO的工程师确认后，PIX默认的MSS值为1380，小于手机发送过来的1460的包，通过以下命令在全局模式下可以修改防火墙的MSS值：ZXIN-XM515-FR01(config)# sysopt connection tcpmss 1460 我们将这个值修改后测试，当WAP网关MTU为1500（这时WAP的MSS值为1500-40＝1460），TCP Segement Size为1460 图5 PIX防火墙Inside口数据包 图5对应的数据包如下： 对比DMZ口和Inside口的数据包我们可以判断防火墙DMZ口将数据包丢弃了。 另外我们从图5中可以看出，在手机完成PDP激活后，手机和WAP网关TCP三方握手时，WAP网关回送给手机的TCP SYN＋ACK消息经过中的MSS值为1023，因此手机手机如果支持MSS的协商功能，那么手机发出的数据包的MSS值就应当为1023而不是1024。 另仍有以下问题需要和防火墙厂商确认，为何在防火墙的MSS值为1380，手机发送的包的MSS为1460，且该数据包的Don’t Fragment字段的值为0，即可以分片的情况下，防火墙没有做分片处理，而是直接丢弃。