Zeitüberschreitungen für F5-Sitzungen

7

Unsere F5 Load Balancer führen Version 10.2.4 aus. Wir haben von Cisco Load Balancer-Karten auf dem Catalyst 6500 migriert und konnten früher xterm-Sitzungen auf unseren Solaris- und Linux-Servern ausführen, ohne dass die Sitzungen nach 15 Minuten unterbrochen wurden.

Unser Chef hat Angst, die 900-Sekunden-Zahl in unserem F5-TCP-Profil zu erhöhen, weil er dies bei einer anderen Firma getan hat und alle Ressourcen im F5 durch blockierte Verbindungen erschöpft sind.

Gibt es eine andere Möglichkeit, das Zurücksetzen der Sitzungen zu verhindern, ohne das Zeitlimit zu ändern? Dies ist unsere Konfiguration

profile fastL4 fwd_fastL4_15m {
  defaults from fastL4
  idle timeout 900
}

virtual route_outbound {
  destination any:any
  mask none
  ip forward
  profile fwd_fastL4_15m
}
ipv4  tcp  f5  load-balancer 
user2561
quelle
Hat dir eine Antwort geholfen? Wenn ja, sollten Sie die Antwort akzeptieren, damit die Frage nicht für immer auftaucht und nach einer Antwort sucht. Alternativ können Sie Ihre eigene Antwort bereitstellen und akzeptieren.
Ron Maupin

Antworten:

9

Gibt es eine andere Möglichkeit, das Zurücksetzen der Sitzungen zu verhindern, ohne das Zeitlimit zu ändern?

Sie haben bereits erwähnt, dass Keepalives auf Ihrem alten Cisco Load Balancer nicht verwendet wurden, daher werde ich mich darauf konzentrieren, was Sie mit dem F5 tun können.

Es gibt zwei Probleme, die Sie lösen müssen ...

  • Der F5 sendet einen Reset an den Client, wenn die TCP-Sitzung aus der Statustabelle abläuft
  • Der F5 entfernt die TCP-Sitzung nach Ablauf

Diese beiden Probleme scheinen miteinander verbunden zu sein, aber sie haben beim F5 unterschiedliche Lösungen.

Lösen von TCP-Resets :

F5 setzt standardmäßig abgelaufene TCP-Sitzungen zurück. Sie können dieses Verhalten reset on timeout disablein Ihrem TCP-Profil deaktivieren . Dies verhindert jedoch nur, dass der F5 die Clientverbindung zurücksetzt. Die Sitzung läuft jedoch weiterhin aus der Statustabelle des F5 ab, wenn jemand das nächste Mal einige Stunden Pause macht, und bewegt dann den Mauszeiger erneut im xterm .

Lösen des Sitzungsablaufs im F5 :

Verwenden Sie loose initiation enablein Ihrem TCP-Profil. loose initiationErmöglicht dem F5, einen Eintrag in der TCP-Statustabelle zu erstellen, wenn ein unbekanntes TCP-Paket angezeigt wird. Solange diese Verbindungen vertrauenswürdig sind und sich in Ihrem Unternehmen befinden, ist das Einschalten problemlos möglich loose initiation.

Im Wesentlichen loose initiationverhält sich der F5 eher wie ein Router als wie ein Load-Balancer, was Sie in dieser Situation benötigen. xterm-Sitzungen erstellen einen TCP-Socket, der von TCP / 6000 an den Client gesendet wird. In diesem Fall gleichen Sie die xterm-Sitzungen ohnehin nicht aus.

Endgültige Lösung :

Ihr endgültiges Profil sollte so aussehen ...

profile fastL4 fwd_fastL4_5m_loose {
  defaults from fastL4
  reset on timeout disable
  idle timeout 300
  loose initiation enable
}
virtual route_outbound {
  destination any:any
  mask none
  ip forward
  profile fwd_fastL4_5m_loose
}

Technisch gesehen können Sie das Zeitlimit von 900 Sekunden auf 300 Sekunden ändern, da Sie die Initiierung einer losen Sitzung für den route_outboundDienst aktivieren . F5 Lösungsdokument 7595 ist eine gute Referenz für die Weiterleitung von Konfigurationen virtueller Server wie diese ... siehe Abschnitt "Emulieren des zustandslosen IP-Routings mit virtuellen BIG-IP LTM-Weiterleitungsservern".

Mike Pennington
quelle
6

Ich glaube, dass die beste Option für Semestersitzungen die Verwendung von App- oder OS-Keepalives ist zu verwenden, um die Verbindung über die SLB aufrechtzuerhalten, sodass Sie Ihr Leerlaufzeitlimit dort halten können, wo Sie es möchten.

Dies ist abhängig von der App und dem Betriebssystem. Siehe Verhindern, dass Ihre Linux-SSH-Sitzung die Verbindung trennt als eine Methode, die möglicherweise funktioniert.

Die Sorge Ihres Managers, das Leerlaufzeitlimit zu erhöhen, ist höchst subjektiv. Die typische Durchflussrate (conn / sec) und die Leerlaufdauer zwischen Ihrer Umgebung und seiner letzten können sehr unterschiedlich sein. Wenn Ihre Durchflussrate oder Leerlaufdauer viel geringer ist, können Sie es sich leisten, das Timeout zu verlängern. Sie müssen die Durchflusskapazität auf Null setzen, was Sie frei haben und wie schnell Sie sie durchlaufen.

Das Standard-Leerlaufzeitlimit des CSM beträgt 3600. Gleiches gilt für den ACE für inaktive TCP-Verbindungen .

generalnetworkerror
quelle
Das habe ich vorgeschlagen. Das Entwicklungsteam fragt mich immer wieder, warum es Exceed Keep Alives nicht aktivieren musste, als es den Cisco Load Balancer verwendete. Wissen Sie, warum? Sie sagen, dass dies ein Problem mit unserem F5 ist.
user2561
@ user2561 haben Sie das CSM (oder ACE-Modul) verwendet? [Ich habe gerade ein Problem mit dem Cisco CSS behoben, dessen Standard-Leerlaufzeitlimit nur 16 Sekunden beträgt. Sie sind also bereits besser dran als ich mit 900!]
Generalnetworkerror
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.