fin-invalidate-session
语法
fin-invalidate-session;
层次结构级别
[edit security flow tcp-session]
描述
在 4 次或 3 次握手结束后,使 TCP 会话无效,并且每个会话端点都独立地发出会话结束信号。新的传入 SYN 数据包需要建立新的 TCP 会话。
当任一会话端点想要终止会话时,它将发送一条 FIN(ish) 消息。当另一个会话端点收到设置了 FIN 标志的数据包时,将发送 ACK(nowlege) 消息。通常,断开会话涉及从每个会话端点传输一对 FIN-ACK 消息。
在发送第一个 FIN 的一方使用最终 ACK 做出响应后,它会等待超时期到期,然后再关闭连接。在超时期间,本地端口不能用于新连接。超时期限可防止在后续连接期间传输终止会话的延迟数据包。
在配置了 SRX 系列防火墙上,会话 fin-invalidate-session
会立即失效;而未 fin-invalidate-session
配置则会话设置为在 4 向或 3 向握手完成后 2 秒超时。
表 1 显示了终止会话的 4 向握手的数据包顺序。在这种情况下,客户端会向服务器发出信号,表明它正在终止会话。服务器以 ACK 消息进行响应,表示确认客户端的 FIN 消息。ACK 之后立即是服务器向客户端发送的 FIN 消息,表明它正在终止其终端的会话连接。最后,客户端向服务器发送 ACK 消息,表示它收到了服务器的 FIN 消息。
步 |
客户 |
服务器 |
1. |
鳍 |
|
2. |
|
ACK系列 |
3. |
|
鳍
|
4. |
ACK系列
|
|
会话可以通过 3 次握手终止。在这种情况下,客户端会向服务器发送 FIN 消息。服务器使用组合了 FIN 和 ACK 消息的消息进行响应。三向握手会话关闭的数据包交换顺序如下:
步 |
客户 |
服务器 |
1. |
鳍 |
|
2. |
|
FIN/ACK
|
3. |
ACK系列
|
|
所需权限级别
security - 在配置中查看此内容。
security-control - 将其添加到配置中。
发布信息
在 Junos OS 10.4 R13 版中引入的语句。