Cómo saber el origen de cierto tráfico TCP en AIX

Tenemos dos cajas AIX, una para el sistema de producción y otra para las testings.

ambos sistemas están ejecutando conmutadores de máquinas ATM, donde el dispositivo ATM está conectado a través de socket TCP.

teníamos un problema en el sistema de producción donde la máquina se desconectaba o se desconectaba, pero el netstat -na | grep <IP of machine > netstat -na | grep <IP of machine > todavía menciona que el zócalo está hacia arriba

cuando simuló ese caso en el entorno UAT, el problema no ocurrió, donde el socket terminaría en 3 a 5 minutos.

cuando olisqueó el tráfico entre la máquina y el cajero automático encontramos que no hay tráfico en la producción, mientras que hay algún tipo de latido en UAT. pero no es iniciado por la aplicación.

 $>tcpdump | grep -v "10.2.2.71" | grep -v "HSRP" | grep "10.3.1.30" tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on en6, link-type 1, capture size 96 bytes 09:08:13.323421 IP server073.afs3-callback > 10.3.1.30.impera: . 278204201:278204202(1) ack 3307884029 win 164 09:08:13.335334 IP 10.3.1.30.impera > server073.afs3-callback: . ack 1 win 64180 09:08:23.425771 IP 10.3.1.30.impera > server073.afs3-callback: . 1:2(1) ack 1 win 64180 09:08:23.425789 IP server073.afs3-callback > 10.3.1.30.impera: . ack 2 win 65535 09:09:13.628985 IP server073.afs3-callback > 10.3.1.30.impera: . 0:1(1) ack 1 win 164 09:09:13.633900 IP 10.3.1.30.impera > server073.afs3-callback: . ack 1 win 64180 09:09:23.373634 IP 10.3.1.30.impera > server073.afs3-callback: . 1:2(1) ack 1 win 64180 09:09:23.373647 IP server073.afs3-callback > 10.3.1.30.impera: . ack 2 win 65535 

mientras que en la producción, ese tráfico no está allí.

queremos saber de dónde se inicia este tráfico desde implementar en producción para detectar la desconnection

nuestros parameters de comunicación son:

  tcp_keepcnt = 2 tcp_keepidle = 100 tcp_keepinit = 150 tcp_keepintvl = 150 tcp_finwait2 = 1200 

¿Alguien puede ayudar?

Pregunta de edición: Un punto que perdí porque estaba corriendo a una reunión. la diferencia entre la producción y UAT en la configuration es que en la producción tenemos una aplicación llamada F5 que funciona como equilibrador de carga entre los cajeros automáticos y la caja AIX, mientras que es una connection directa a través de MPLS en caso de UAT.

nota: teníamos un MPLS y un GPRS conectados cajeros automáticos en UAT, y ambas conexiones terminó cuando desconectado en unos 4 minutos

Editar 2

el command no -o tcp_timewait devuelve 1 en Producción y UAT