ADC

Questions fréquemment posées

Délais d’ expiration

Important

Avant d’utiliser un bouton nsapimgr, consultez le support client Citrix.

Vous trouverez ci-dessous une liste des différents délais d’inactivité de connexion qui peuvent être définis sur les serveurs et services virtuels NetScaler T1. Les délais d’inactivité définis pour les connexions client ou serveur au niveau du serveur virtuel ou du service ne s’appliquent qu’aux connexions dans l’état TCP ESTABLISHED et qui sont inactives.

  • Le paramètre CLTTimeout du serveur virtuel d’équilibrage de charge spécifie la durée en secondes pendant laquelle une connexion entre un client et un serveur virtuel d’équilibrage de charge doit être inactive avant que l’appliance ne ferme la connexion.
  • Le paramètre Service SvrTimeout spécifie la durée en secondes pendant laquelle une connexion entre l’appliance et un service ou un serveur doit être inactive avant que l’appliance ne ferme la connexion.
  • Le paramètre Service CLTTimeout spécifie la durée en secondes pendant laquelle une connexion entre un client et un service doit être inactive avant que l’appliance ne ferme la connexion.

Lorsqu’un service est lié à un serveur virtuel d’équilibrage de charge, le CLTTimeout du serveur virtuel d’équilibrage de charge est prioritaire et le service CLTTimeout pour le service est ignoré.

Dans le cas où aucun service n’est lié au serveur virtuel d’équilibrage de charge, le délai d’inactivité global, à savoir TCPServer, est utilisé pour les connexions côté serveur. Il peut être configuré comme suit :

Commande :

set ns timeout –tcpServer 9000
<!--NeedCopy-->

Les connexions dans un autre état ont des valeurs de délai d’expiration différentes :

  • Délai d’inactivité des connexions semi-ouvertes : 120 secondes (valeur codée en dur)
  • Délai d’inactivité des connexions TIME_WAIT : 40 secondes (valeur codée en dur)
  • Délai d’inactivité des connexions à moitié fermées. Par défaut, il est de 10 s et peut être configuré entre 1 s et 600 à l’aide de l’extrait de code

Commande :

 set ns timeout –halfclose 10
<!--NeedCopy-->

Lorsque le délai de demi-fermeture est déclenché, la connexion passe à l’état zombie. Lorsque le délai d’expiration pour les zombies expire, le nettoyage des zombies démarre et T1 envoie par défaut du RST côté client et côté serveur pour une connexion donnée.

  • Délai d’expiration pour les zombies : intervalle pendant lequel le processus de nettoyage des zombies doit s’exécuter pour nettoyer les connexions TCP inactives. La valeur du délai d’expiration par défaut est de 120 s et peut être configurée entre 1 s et 600 s.

Commande :

set ns timeout –zombie 120
<!--NeedCopy-->

Tableau des tailles de segment maximales

Une appliance NetScaler T1 se défend contre les attaques SYN flood en utilisant des cookies SYN au lieu de maintenir des connexions semi-ouvertes sur la pile de mémoire système. L’appliance envoie un cookie à chaque client qui demande une connexion TCP, mais elle ne conserve pas l’état des connexions semi-ouvertes. Au lieu de cela, l’appliance alloue de la mémoire système à une connexion uniquement lors de la réception du dernier paquet ACK ou, pour le trafic HTTP, lors de la réception d’une demande HTTP. Cela empêche les attaques SYN et permet aux communications TCP normales avec des clients légitimes de se poursuivre sans interruption. Une fonction spécifique est activée par défaut sans option de désactivation.

Toutefois, il existe une mise en garde car les cookies SYN standard limitent les connexions à l’utilisation de huit valeurs de taille maximale de segment (MSS) uniquement. Si le MMS de connexion ne correspond à aucune valeur prédéfinie, il récupérera la prochaine valeur inférieure disponible à la fois côté client et côté serveur.

Les valeurs de taille maximale de segment (MSS) TCP prédéfinies sont les suivantes et peuvent être configurées via un nouveau bouton nsapimgr.

               
1460 1440 1330 1220 956 536 384 128

Le nouveau tableau MSS :

  • Il n’est pas nécessaire de contenir le support Jumbo-Frame. Même si, par défaut, 8 valeurs sont réservées dans le tableau MSS pour les trames Jumbo, les paramètres du tableau peuvent être modifiés pour inclure uniquement les trames de taille Ethernet standard.
  • Doit avoir 16 valeurs
  • Les valeurs doivent être classées par ordre décroissant
  • Devrait inclure 128 comme dernière valeur

Si la nouvelle table MSS est valide, elle est stockée et les anciennes valeurs sont supprimées au moment de la rotation du cookie SYN-cookie. Dans le cas contraire, la nouvelle table renvoie une erreur. Les modifications sont appliquées aux nouvelles connexions tandis que les connexions existantes conservent l’ancienne table MSS jusqu’à ce qu’elles expirent ou soient interrompues.

Pour afficher la table MSS actuelle dans une appliance NetScaler, tapez la commande suivante.

Commande :

>shell

#nsapimgr -d mss_table

Exemple :

#nsapimgr -d mss_table

MSS table

{9176,9156,8192,7168,6144,4196,3072,2048,1460,1440,1330,1212,956,536,384,128}

Done.

Pour modifier la table mss, tapez la commande suivante :

Commande :

>shell

#nsapimgr -s mss_table=<16 comma seperated values>

Exemple :

#nsapimgr -ys mss_table=9176,9156,8192,7168,6144,4196,3072,2048,1460,1400,1330,1212,956,536,384,128

# nsapimgr -d mss_table

MSS table

{9176,9156,8192,7168,6144,4196,3072,2048,1460,1400,1330,1212,956,536,384,128}

Done.

Un exemple d’utilisation de valeurs standard Ethernet est illustré ci-dessous :

Exemple :

#nsapimgr -ys mss_table=1460,1440,1420,1400,1380,1360,1340,1320,1300,1280,1260,1212,956,536,384,128

# nsapimgr -d mss_table

MSS table

{1460,1440,1420,1400,1380,1360,1340,1320,1300,1280,1260,1212,956,536,384,128}

Done.

Pour que cette modification soit permanente même après le redémarrage de l’appliance NetScaler, incluez la commande #nsapimgr -ys mss_table=<16 comma seperated values> dans le fichier « /nsconfig/rc.netscaler ». Si le fichier « rc.netscaler » n’existe pas, créez-le dans le dossier « /nsconfig », puis ajoutez la commande.

Protection contre les surcharges de mémoire

Un moteur de traitement des paquets (PPE) NetScaler commence à contourner les connexions issues de l’optimisation TCP si la mémoire utilisée par ce PPE est supérieure à une valeur de filigrane élevée spécifiée. Si l’utilisation de la mémoire d’un PPE dépasse environ 2,6 Go, il commence à contourner toute nouvelle connexion due à l’optimisation. Les connexions existantes (celles précédemment admises pour l’optimisation) continuent d’être optimisées. Cette valeur de filigrane a été sélectionnée à dessein et son réglage n’est pas recommandé.

Remarque

Si vous pensez qu’il existe une bonne raison de modifier la valeur de ce filigrane, contactez le support client.

Assistance pour les clients de Happy Eyeballs

Si l’appliance NetScaler reçoit un SYN pour une destination dont l’état est inconnu, elle vérifie d’abord l’accessibilité du serveur, puis accuse réception du client. Ce mécanisme de sondage permet aux clients disposant de deux piles IP de découvrir l’accessibilité des serveurs Internet à double pile. Si le client découvre que les accès IPv6 et IPv4 sont disponibles, il établit une connexion avec le serveur qui répond plus rapidement et réinitialise l’autre. Lorsque la connexion à l’appliance NetScaler est réinitialisée, elle réinitialisera la connexion côté serveur correspondante.

Remarque : Cette fonctionnalité ne comporte aucun paramètre TCP configurable par l’utilisateur pouvant être désactivé/activé sur l’appliance NetScaler.

Pour plus d’informations sur le support de Happy Eyeballs, consultez la RFC 6555.

Questions fréquemment posées