F5会话超时

Question

我们的F5负载平衡器运行10.2.4版本。我们从催化剂6500上的Cisco负载均衡器卡迁移到solaris和linux服务器，并且可以在15分钟后会话不死的情况下运行xterm会话。

我们的老板害怕在我们的F5 tcp配置文件中增加900秒，因为在另一家公司他是这样做的，并且它从挂起的连接中耗尽了F5中的所有资源。

是否有另一种方法可以防止会话重置而不更改超时？这是我们的配置

profile fastL4 fwd_fastL4_15m {
  defaults from fastL4
  idle timeout 900
}

virtual route_outbound {
  destination any:any
  mask none
  ip forward
  profile fwd_fastL4_15m
}

Answer 1

是否有另一种方法可以防止会话重置而不更改超时？

您已经提到在您的旧思科负载均衡器上没有使用keepalives，所以我将集中讨论您可以使用F5做什么。

有两个问题你需要解决。

• 当TCP会话从状态表过期时，F5向客户端发送重置。
• F5在TCP会话过期后删除它。

这两个问题似乎是相关的，但它们在F5上有不同的解决方案。

解决TCP重置：

默认情况下，F5重置超时TCP会话。您可以在您的TCP配置文件中使用reset on timeout disable禁用该行为。然而，所有这些都是防止F5重置客户端连接，但是会话仍将从F5's状态表中过期，下次有人休息几个小时，然后在xterm中再次移动鼠标指针。

解决F5内部的会话过期：

在TCP配置文件中使用loose initiation enable。loose initiation允许F5在看到未知的TCP数据包时在TCP状态表中创建条目。只要这些连接是可信的，并且在您的公司内部，打开loose initiation就没有问题。

本质上，loose initiation使F5的行为更像路由器，而不是负载均衡器，这正是您在这种情况下所需要的。xterm会话创建从TCP/6000到客户端的TCP套接字。在这种情况下，不管怎么说，您都不是在负载平衡xterm会话。

终解

你的最后侧写应该是这样的。

profile fastL4 fwd_fastL4_5m_loose {
  defaults from fastL4
  reset on timeout disable
  idle timeout 300
  loose initiation enable
}
virtual route_outbound {
  destination any:any
  mask none
  ip forward
  profile fwd_fastL4_5m_loose
}

从技术上讲，您可以将超时从900秒更改为300秒，因为您在route_outbound服务上启用了松散的会话初始化。F5解决方案文件7595是转发这样的虚拟服务器配置的一个很好的参考。请参阅题为“使用大IP LTM转发虚拟服务器模拟无状态IP路由”一节。

Answer 2

对于术语会话，我认为最好的选择是使用app或OS keepalives通过SLB维护连接，这允许您将空闲超时保持在您想要的位置。

这取决于应用程序和操作系统。将防止Linux会话断开连接视为一种可能有效的方法。

您的经理在提高空闲超时时的关注是非常主观的。您的环境与他的最后一个环境之间的典型流量(conn/秒)和空闲时间可能有很大的不同。如果您的流量或空闲时间要低得多，您可以增加超时。你将需要达到零的流量容量，你有什么免费的，以及你有多快通过它们。

CSM的默认空闲超时是3600。空闲TCP连接的连接的ACE也是如此。