Consejos y trucos: tiempos de espera de sesión

Consejos y trucos: tiempos de espera de sesión

293886
Created On 09/25/18 18:55 PM - Last Modified 10/03/23 23:05 PM


Resolution


Un timeout de sesión define el tiempo que el pan-os mantiene una sesión en el cortafuegos después de la inactividad en la sesión. De forma predeterminada, cuando expira el tiempo de espera de la sesión para el protocolo, pan-os cierra la sesión.

 

En el cortafuegos, puede definir un número de tiempos de espera para las sesiones TCP, UDP e ICMP. El tiempo de espera predeterminado se aplica a cualquier otro tipo de sesión. Todos estos tiempos de espera son globales, lo que significa que se aplican a todas las sesiones de ese tipo en el cortafuegos.

 

Los dispositivos de red palo alto ofrecen valores óptimos para estos tiempos de espera. Sin embargo, en algunos escenarios, es posible que estos valores no funcionen para las necesidades de su red. El ajuste de un número demasiado bajo puede causar sensibilidad a retrasos menores de la red y afectar adversamente la conexión con el firewall. Establecer un tiempo de espera de sesión demasiado alto puede retrasar la detección de fallas. En otras palabras, usted puede encontrarse en una situación en la que le gustaría hacer algunos ajustes aquí y allá.

 

En el WebGUI, encontrará estos ajustes en el dispositivo > configuración > sesión:

 

Tiempos de espera de sesión

 

 

Si necesita cambiar los valores predeterminados de la configuración de timeout de la sesión global para TCP, UDP, ICMP, autenticación de portal cautivo u otros tipos de sesiones, haga clic en el icono ' editar ':

 

Editar tiempos de espera de sesión

 

Tenga en cuenta que todos los valores son en segundos:

 

segundos de tiempo de espera de sesión

 

Por favor, consulte el siguiente documento para obtener una explicación más detallada acerca de cada tiempo de espera:

Configurar tiempos de espera de sesión

 

Además de la configuración global, puede definir de forma opcional tiempos de espera para una aplicación individual en la ficha objetos > aplicaciones. El cortafuegos aplica los tiempos de espera de la aplicación a las aplicaciones en un estado establecido. Cuando se configura, los tiempos de espera para una aplicación anulan los tiempos de espera globales de la sesión.

 

Observe las opciones disponibles para la aplicación DNS en el siguiente ejemplo:

 

Opciones de timeout

 

 Como alternativa, también puede utilizar CLI para ver estos tiempos de espera: 

 

> Mostrar sesión información tiempo de espera


TCP default timeout: 3600 secs
sesión TCP timeout antes de SYN-ACK recibido:5 secs
sesión de TCP timeout antes de protocolo de sincronización de 3 vías:10 segundos
TCP medio cerrado tiempo de espera de sesión:120 secs
tiempo de espera de la sesión TCP en TIME_WAIT:15 secs
tiempo de espera de la sesión TCP para no verificado RST:30 secs tiempo de espera
por defecto: 30 segundos
ICMP default timeout: 6 secs
otro timeout de default de IP:30 secs
portal cautivo timeout de la sesión:30 secs
tiempo de espera de sesión en estado de descarte:
TCP: 90 secs, UDP: 60 secs  , otros protocolos IP: 60 secs                                                                                                                                                                                                                          

 

También puede editar los valores en la CLI. A continuación se indica la lista de valores de tiempo de espera globales como se ve en modo operacional:

 

> establecer tiempo de espera de sesión-TCP <1-15999999> 
> establecer tiempo de espera de sesión-UDP <1-15999999>
> establecer tiempo de espera de sesión-ICMP <1-15999999>
> establecer tiempo de espera de sesión-predeterminado <1-15999999>
> establecer tiempo de espera de sesión-tcpinit <1-60>
> establecer tiempo de espera de sesión-tcphandshake <1-60>
> establecer timeout de sesión-TCP-medio-cerrado <1-604800>
> set timeout de sesión-TCP-unverified-RST <1-600>
> set timeout de sesión-TCP-tiempo-espera <1-600>
> set timeout de sesión-cautivo-portal <1-15999999>
> establecer timeout de sesión-Scan <5-30>
> establecer timeout de sesión-descartar-TCP <1-15999999>
> establecer timeout de sesión-descartar-UDP <1-15999999>
> establecer sesión timeout-descartar <1-15999999></1-15999999> -predeterminado</1-15999999> </1-15999999> </5-30> </1-15999999> </1-600> </1-600> </1-604800> </1-60> </1-60> </1-15999999> </1-15999999> </1-15999999> </1-15999999>

 

Aquí está la misma lista con un Comentario sobre cada tiempo de espera:

 

> establecer tiempo de espera de sesión 
  -cautivo-portal establecer el valor de tiempo de espera de la sesión de portal cautivo en segundos tiempo de espera
 -configuración predeterminada valor de tiempo de espera predeterminado en segundos
 tiempo de espera-descartar-predeterminadoestablecer tiempo de espera de sesión no TCP/UDP en descartar estado
 timeout-descartar-TCPset timeout de la sesión TCP en descartar estado
 timeout-descartar-UDPset timeout de UDP sesión en descartar estado
 timeout-ICMP timeout-ICMP
 timeout-Scan aplicación filtrado de tiempo de espera valor en segundos
 tiempo de espera-TCP timeout-TCP
 timeout-TCP-medio-cerrado sesión de conjunto TCP medio tiempo de espera cerrado valor en segundos tiempo de espera
 -TCP-hora-esperaconjunto de sesión TCP medio cerrado timeout valor en segundos
 timeout-TCP-no verificado-RST  definir el valor de tiempo de espera del TCP de sesión después de recibir un RST 
con número de secuencia no verificado en segundos
 timeout-tcphandshake set Session tiempo de espera de enlace TCP valor en segundos
 timeout-tcpinitestablecer sesión valor de timeout inicial de TCP en segundos 
timeout-UDPtimeout-UDP                                                                                                                                                            

 

Aquí hay ejemplos:

> establecer   tiempode espera de sesión-UDP 60
> establecer  timeoutde  sesión-ICMP 15

 

Tenga en cuenta que los comandos CLI anteriores no son persistentes, lo que significa que los valores predeterminados regresan después de reiniciar el dispositivo.

 

 

Para que los cambios sean persistentes, tendrá que realizar los cambios de configuración en el modo de configuración.

 

> configure
#

 

A continuación se muestra la lista de valores de tiempo de espera global como se ve en el modo de configuración y dos comandos de ejemplo:

 

# Set deviceconfig de ajuste de sesión 
  + timeout-cautivo-portal conjunto de sesión de portal cautivo valor de tiempo de espera en segundos
+ tiempo de espera-configuración predeterminada de lasesión valor de tiempo de espera predeterminado en segundos
+ tiempo de espera-descartar-predeterminadoestablecer timeout de sesión no TCP/UDP en descartar estado
+ timeout-descartar-TCPestablecer tiempo de espera de sesión TCP en descartar estado
+ timeout-descartar-UDPestablecer tiempo de espera de sesión UDP en descartar estado
+ timeout-ICMP establecer el valor de tiempo de espera ICMP en segundos
+ tiempo de espera-análisis tiempo de espera filtrado de la aplicación en segundos
+ timeout-TCPset tiempo de espera de TCP en segundos
+ tiempo de espera-TCP-medio cerradosesión de configuración TCP medio tiempo de espera de cierre (después de recibir la primera 
aleta/RST) valor en segundos
+ tiempo de espera-TCP-tiempo-espera dela sesión del TCP hora de espera (después de recibir segundo 
fin/RST) valor en segundos
+ timeout-TCP-unverified-RST sesión valor de tiempo de espera de TCP después de recibir un RST con 
número de secuencia no verificado en segundos 
+ timeout-tcphandshake set de tiempo de espera de sesión de TCP (antes de que 
se complete el protocolo de enlace de 3 vías) valor en segundos
+ timeout-tcpinitconjunto de tiempo de espera de la sesión inicial de TCP (antes de que se reciba SYN-ACK) 
valor en segundos
+ timeout-UDPestablece el valor de tiempo de  espera UDP en segundos                                                                                                                                                                                   

 

Comandos de ejemplo para establecer tiempos de espera de sesión:

 

# establecer deviceconfig de sesión de ajuste de tiempo de espera-cautivo-portal 60
# set deviceconfig configuración  de la sesión timeout-UDP 60

 

Realizar una confirmación para guardar los cambios en la configuración:

commit de #

 

Si estos tiempos de espera de aplicación globales y integrados siguen siendo demasiado amplios y desea un control más detallado, configure una anulación de la aplicación para que una determinada conexión desencadene una aplicación personalizada. Al igual que cualquier aplicación incorporada, una aplicación personalizada también tiene tiempos de espera configurables, como se ilustra a continuación:

 

aplicación personalizada

 

 

Consulte el siguiente documento si necesita más información sobre cómo configurar un reemplazo de la aplicación:

Cómo crear un reemplazo de la aplicación

 

Como siempre, siéntase libre de enviar comentarios o comentario a continuación.

 

Por favor, también como si este artículo le ha ayudado de alguna manera.

 

Gracias por leerme,


Kim Wens
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClRiCAK&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language