購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
投稿メッセージを作成する
8821
閲覧回数
0
いいね!
3
返信

ASA5510 http(80) タイムアウトについて

Takayuki Kakimura
Level 1
Level 1

‎2012-04-10 08:01 PM

(現象)

ASA5510において、Webサーバへのhttp接続がidle(sleep)になり、300秒経過すると切れてしまう

WEBサーバの通信においてsleep状態が約400秒続いた後に応答するものがあります。

セキュリティ的にアプリ側で300秒以内にするように開発をお客様側でしておりますが間に合わないため

NW側で対応できないか求められています。

(設定)

Ver 8.2(5)

nameif dmz

   security-level 0

nameif inside

   security-level 100

nameif inside2

   security-level 90

WebサーバはdmzとInside(テスト用)に配置

(接続確認)

Inside2--->dmzのWebサーバへhttp(80)で接続>300秒で切れる

Inside2--->insideのWebサーバへhttp(80)で接続>300秒で切れない

inside--->dmzのWebサーバへhttp(80)で接続>300秒で切れる

inside--->insideのWebサーバへhttp(80)で接続>300秒で切れない

dmz--->insideのWebサーバへhttp(80)で接続>300秒で切れる

dmz--->idmzのWebサーバへhttp(80)で接続>300秒で切れない

WebサーバでApacheのListenポートを、80から8080に変更すると上記で切れていたものが300秒で切れなくなる

(結果)

dmz から他のインターフェースおよび他のインターフェースからdmzへのhttp(80)で発生します。

ASA5510のtimeout等の設定は全く設定および変更しておりません。

対処方法をご教示いただけないでしょうか?

ラベル:
0 いいね!
3件の返信3

zhaqin
Level 1
Level 1

‎2012-04-14 06:05 PM

ASA の timeout を変更していないなら、デフォルトでは tcp connection が 1時間の timeout になります。

300秒という timeout 値から考えると、おそらく ASA は原因ではないと思います。

Apache の設定を見てみたらどうでしょうか。

http://httpd.apache.org/docs/2.0/ja/mod/core.html#timeout

また、サーバとクライアントそれぞれでパケットキャプチャして、セッション切断時の FIN/RST がどちらから送っているかを確認したほうがいいです。

0 いいね!

Takayuki Kakimura
Level 1
Level 1
zhaqinに対する応答

‎2012-08-09 03:49 PM

大変返信遅くなりました。

DMZのサーバとの間にACE4710がおり、そのタイムアウトで対応できましたのでご報告までに。。。

0 いいね!

k-harumoto
Level 1
Level 1
zhaqinに対する応答

‎2012-11-09 04:19 PM

zhaqinさん

ASAのsessionタイムアウト値についてしらべています。

>ASA の timeout を変更していないなら、デフォルトでは tcp connection が 1時間の timeout になります。

こちらのソースになるリンク先をおしえていただきたいのですがいかがでしょうか。

0 いいね!
Customers Also Viewed These Support Documents