华为USG防火墙与思科ASA防火墙session aging time不同导致业务异常

数据中心进行了一次网络割接,
原防火墙: Cisco ASA
新防火墙：华为 USG

替换后有用户反馈 SAP应用经常出现断联的情况
经过排查发现ASA的tcp session agingtime为3600秒，USG默认为1200秒。
而SAP的一些心跳报文就是1200秒1次，会导致USG上因为超时已经被清空，但客户端和server端仍使用原来session ，最终被USG drop.

1 查看防火墙默认的session aging time

1.1 思科ASA

Cisco-ASA# sh run timeout
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02

1.2 华为USG

<USG 6000>display firewall session aging-time 
2026-03-06 09:28:01.399 +08:00
Sequence  Pre-defined                        Default-Time(s)    Timeout(s)
--------------------------------------------------------------------------
1           tcp                                    1200 (s)      1200 (s)
2           udp                                     120 (s)       120 (s)
3           icmp                                     20 (s)        20 (s)
4           syn                                       5 (s)         5 (s)

2 如何处理？

将USG的tcp 默认aging time也修改为3600秒。

操作命令：

<usg6000> System-view
[usg6000]  firewall session aging-time service-set tcp 3600

修改完成后，进行确认

<USG 6000>display firewall session aging-time 
2026-03-06 09:28:01.399 +08:00
Sequence  Pre-defined                        Default-Time(s)    Timeout(s)
--------------------------------------------------------------------------
1           tcp                                    1200 (s)      3600 (s)    **//已经生效**
2           udp                                     120 (s)       120 (s)
3           icmp                                     20 (s)        20 (s)
4           syn                                       5 (s)         5 (s)

Q&A

修改过程是否会影响业务？
不会影响
新的timeout只会应用于新建tcp session, 对于已经存在的 tcp session不会影响。