问如何理解Juniper流的创建？

EN

默认情况下，SRX上的TCP握手超时时间是20秒，您不能手动将它设置为低于4秒，所以这绝对不是问题所在。

你有没有在另一个方向追踪安全流？最好能看到会话初始化( SRX处理初始TCP SYN)来查看初始会话的实际外观。这可能会为返回流量与会话不匹配的原因提供一些启示。

但是，为了回答您的问题，在检查是否已经建立了会话时，SRX将查看六个匹配标准：

要确定数据包是否属于现有流，设备试图根据以下六个匹配条件将数据包的信息与现有会话的信息匹配：·源地址·目的地地址·源端口·目的端口·协议·来自给定区域的唯一令牌和虚拟路由器

资料来源：

http://www.juniper.net/techpubs/en_US/junos12.1x47/information-products/pathway-pages/security/security-processing-flow-based.pdf

http://www.juniper.net/techpubs/en_US/junos12.1/information-products/topic-collections/security/software-all/security/junos-security-swconfig-security.pdf

特定的入口/出口接口不必与初始会话创建相同，只要它们与用于设置会话的接口位于相同的安全区域内。

来源：

https://kb.juniper.net/InfoCenter/index?page=content&id=KB21983

*见该说明，仅供参考。

此外，如果接口/区域是一个问题，您通常会得到特定的输出基于此。在我的经验中，我看到了安全流跟踪的下降，它引用的原因是出口接口(在返回方向)不在建立会话的初始入口流量所在的安全区域。大部分时间都很冗长。

即使是底盘集群，在“会话”匹配的范围内也不应该有什么不同，尽管在某些情况下会发生一些额外的事情。

如果您正在运行一个活动/活动集群，其中转发冗余组在不同的节点上是主/活动的，那么您可能以z模式通信结束。因此，如果入口位于节点0，出口位于节点1，则活动会话将在节点1(初始同步的出口)上维护，备份会话将在节点0上维护。

通过Z模式处理，在一个集群节点(入口节点)上接收会话的第一个数据包.当流确定出口接口位于第二节点上时，通过在入口节点上的前向会话设置在fabric链路上转发分组。然后，由安装anActive会话的第二节点处理该数据包，并将该分组转发出出口链路。最后，为初始入口节点中的活动会话创建备份会话。

来源：

http://kb.juniper.net/library/CUSTOMERSERVICE/GLOBAL_JTAC/NT260 260/SRX_高可用性_部署_Guide.pdf

除非您使用非对称路由进行此操作，而且返回的通信量离开了节点1上的接口，返回到节点0上(反之亦然)，否则我们不需要进一步探讨这个问题--尽管我相信可以使用备份会话，并且如果区域匹配和通信量仍然应该通过。如果事情是这样的话，我得进一步探索一下。