シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
告知
シスコ サポート コミュニティへようこそ!あなたの ご意見 をお聞かせください。
New Member

ASA5510 http(80) タイムアウトについて

(現象)

ASA5510において、Webサーバへのhttp接続がidle(sleep)になり、300秒経過すると切れてしまう

WEBサーバの通信においてsleep状態が約400秒続いた後に応答するものがあります。

セキュリティ的にアプリ側で300秒以内にするように開発をお客様側でしておりますが間に合わないため

NW側で対応できないか求められています。

(設定)

Ver 8.2(5)

nameif dmz

   security-level 0

nameif inside

   security-level 100

nameif inside2

   security-level 90

WebサーバはdmzとInside(テスト用)に配置

(接続確認)

Inside2--->dmzのWebサーバへhttp(80)で接続>300秒で切れる

Inside2--->insideのWebサーバへhttp(80)で接続>300秒で切れない

inside--->dmzのWebサーバへhttp(80)で接続>300秒で切れる

inside--->insideのWebサーバへhttp(80)で接続>300秒で切れない

dmz--->insideのWebサーバへhttp(80)で接続>300秒で切れる

dmz--->idmzのWebサーバへhttp(80)で接続>300秒で切れない

WebサーバでApacheのListenポートを、80から8080に変更すると上記で切れていたものが300秒で切れなくなる

(結果)

dmz から他のインターフェースおよび他のインターフェースからdmzへのhttp(80)で発生します。

ASA5510のtimeout等の設定は全く設定および変更しておりません。

対処方法をご教示いただけないでしょうか?

3 件の返信
Silver

Re: ASA5510 http(80) タイムアウトについて

ASA の timeout を変更していないなら、デフォルトでは tcp connection が 1時間の timeout になります。

300秒という timeout 値から考えると、おそらく ASA は原因ではないと思います。

Apache の設定を見てみたらどうでしょうか。

http://httpd.apache.org/docs/2.0/ja/mod/core.html#timeout

また、サーバとクライアントそれぞれでパケットキャプチャして、セッション切断時の FIN/RST がどちらから送っているかを確認したほうがいいです。

New Member

Re: ASA5510 http(80) タイムアウトについて

大変返信遅くなりました。

DMZのサーバとの間にACE4710がおり、そのタイムアウトで対応できましたのでご報告までに。。。

New Member

ASA5510 http(80) タイムアウトについて

zhaqinさん

ASAのsessionタイムアウト値についてしらべています。

>ASA の timeout を変更していないなら、デフォルトでは tcp connection が 1時間の timeout になります。

こちらのソースになるリンク先をおしえていただきたいのですがいかがでしょうか。

4620
閲覧回数
0
いいね!
3
返信
作成コンテンツを作成するには してください