ヒントとコツ: セッションのタイムアウト
Resolution
セッションタイムアウトは、セッションで非アクティブになった後に、パン OS がファイアウォール上でセッションを維持する期間を定義します。既定では、プロトコルのセッションタイムアウトが切れると、パン OS はセッションを閉じます。
ファイアウォールでは、TCP、UDP、および ICMP セッションのタイムアウトの数を定義できます。既定のタイムアウトは、他の種類のセッションに適用されます。これらのタイムアウトはすべてグローバルであり、ファイアウォール上のそのタイプのすべてのセッションに適用されることを意味します。
パロアルトネットワークデバイスは、これらのタイムアウトに最適な値を提供します。ただし、シナリオによっては、これらの値がネットワークのニーズに対して機能しない場合があります。数値を低く設定すると、ネットワークの遅延が軽微になり、ファイアウォールとの接続に悪影響を及ぼす可能性があります。セッションタイムアウトの設定が高すぎると、障害検出を遅らせることができます。言い換えれば、あなたがここでいくつかの調整をしたいのですが状況に自分自身を見つけるかもしれません。
WebGUI では、[デバイス] > [セットアップ] > [セッション] でこれらの設定を確認できます。
TCP、UDP、ICMP、キャプティブポータル認証、またはその他の種類のセッションのグローバルセッションタイムアウト設定の既定値を変更する必要がある場合は、[編集] アイコンをクリックします。
すべての値が秒単位であることに注意してください。
各タイムアウトについての詳細な説明については、次のドキュメントを参照してください。
グローバル設定に加えて、[オブジェクト] > [アプリケーション] タブで、個々のアプリケーションのタイムアウトを定義することもできます。ファイアウォールは、アプリケーションのタイムアウトを、確立された状態のアプリケーションに適用します。構成すると、アプリケーションのタイムアウトはグローバルセッションのタイムアウトをオーバーライドします。
次の例では、DNS アプリケーションで使用できるオプションに注目してください。
また、CLI を使用してこれらのタイムアウトを表示することもできます。
> セッション情報
セッションタイムアウトを表示
tcp のデフォルトのタイムアウト: 3600 秒
SYN-ACK を受信する前に tcp セッションタイムアウト:5 秒 tcp
セッションタイムアウトの前に3ウェイハンドシェイク:10 秒
tcp ハーフクローズドセッションタイムアウト:120秒
TIME_WAIT の tcp セッションタイムアウト:15 秒未
検証 RST の tcp セッションタイムアウト:30 秒 UDP のデフォルトのタイムアウト:
30 秒
ICMP のデフォルトのタイムアウト: 6 秒
その他の IP デフォルトのタイムアウト:30 秒
キャプティブポータルセッションタイムアウト:30 秒
破棄状態のセッションタイムアウト:
TCP:90 秒、UDP の:60 秒、その他の IP プロトコル :60 秒
CLI で値を編集することもできます。操作モードで表示されるグローバルタイムアウト値の一覧を 次に示します。
> セッションタイムアウトの設定-tcp > セッションタイムアウトの設定-udp > セッションタイムアウトの設定-icmp > セッションタイムアウトの設定-デフォルト > セッションタイムアウトの設定-tcpinit > set セッションタイムアウト-tcphandshake > set セッションタイムアウト- <1-15999999>
<1-15999999>
<1-15999999>
<1-15999999>
<1-60>
<1-60>
tcp-ハーフクローズド<1-604800>
> setセッションタイムアウト-tcp-未確認-rst > セッションタイムアウトの<1-600>
設定-tcp-時間-待ち時間 > セッションタイムアウトの設定-キャプティブ-ポータル > set セッションタイムアウト-スキャン > セッションタイムアウトの設定- <1-600>
<1-15999999>
<5-30>
破棄-tcp > set セッション<1-15999999>
タイムアウト-破棄-udp <1-15999999>
> set セッションタイムアウト-破棄-デフォルト<1-15999999></1-15999999> </1-15999999> </1-15999999> </5-30> </1-15999999> </1-600> </1-600> </1-604800> </1-60> </1-60> </1-15999999> </1-15999999> </1-15999999> </1-15999999>
ここでは、各タイムアウトについてのコメントと同じリストです:
> セッションタイムアウトの設定-
キャプティブ-ポータルセットキャプティブポータルセッションタイムアウト値
(秒) タイムアウト-デフォルト設定セッションデフォルトタイムアウト値 (秒)
タイムアウト-破棄-非 tcp/udp セッションのデフォルト設定タイムアウト破棄状態タイムアウト-
破棄-tcpセッションのタイムアウトを破棄状態タイムアウト-
破棄-udpセッションのタイムアウトを破棄状態
タイムアウト-icmp タイムアウト-icmp タイムアウト-
スキャンアプリケーションのタイムアウト値を設定します。秒単位のタイムアウト-tcp タイムアウト-tcp タイムアウト-tcp
-半閉セットセッション tcp ハーフクローズドタイムアウト値 (秒
) タイムアウト-tcp-時間-待機セットセッション tcp ハーフクローズドタイムアウト値
(秒タイムアウト)-tcp-未確認-rst 秒単位で未確認のシーケンス番号を持つ RST を受信した後にセッションの tcp タイムアウト値を設定するタイムアウト-
tcphandshakeセッション tcp ハンドシェイクタイムアウト値を秒単位で設定
タイムアウト-tcpinit設定セッション tcp の初期タイムアウト値 (秒)
タイムアウト-udpタイムアウト- udp
以下に例を示します。
> セッションタイムアウトの設定-udp 60
>セッションタイムアウトの設定- icmp 15
上記の CLI コマンドは永続的ではないため、デバイスの再起動後にデフォルト値が返されることに注意してください。
変更を永続的にするには、構成モードで構成の変更を行う必要があります。
> 設定
#
以下は、構成モードと 2 つのサンプルコマンド に見られるグローバルタイムアウト値の一覧です。
# set deviceconfig 設定セッション
+ タイムアウト-キャプティブ-ポータルセットキャプティブ-ポータルセッションタイムアウト値 (秒
+ タイムアウト)-デフォルト設定セッションデフォルトタイムアウト値 (秒
+ タイムアウト-破棄-デフォルト設定タイムアウト)非 tcp/udp セッションを破棄状態で
+ タイムアウト-破棄-tcp は、破棄状態の tcp セッションのタイムアウトを設定します + タイムアウト-
破棄-udp のタイムアウトを設定します。icmp
タイムアウト値を設定
します。タイムアウト-スキャンアプリケーションのタイムアウト値 (秒 +
タイムアウト)-tcp設定 tcp タイムアウト値
(秒 + タイムアウト)-tcp-半閉セットセッション tcp ハーフクローズタイムアウト (最初の FIN/RST を受信した後
) の値を秒
+タイムアウト-tcp-時間待機セットセッション tcp 時間待機タイムアウト (2 番目の FIN/RST を受信した後
) 秒での値
+ タイムアウト-tcp-未確認-rstセットセッション tcp タイムアウト値
秒で未確認のシーケンス番号を持つ rst を受信した後
+ タイムアウト-tcphandshake設定 tcp ハンドシェイクセッションタイムアウト (3 ウェイハンドシェイクが完了する前に
) 秒単位の値
+ タイムアウト-tcpinittcp 初期セッションタイムアウト (SYN-ACK を受信する前) の
値を秒
単位で設定します。タイムアウト-udp設定の udp タイムアウト値 ( 秒 )
セッションタイムアウトを設定するコマンドの例:
# set deviceconfig 設定セッションタイムアウト-キャプティブ-ポータル 60
# set deviceconfig 設定セッションタイムアウト-udp 60
コミットを実行して、構成に対する変更を保存します。
# コミット
これらのグローバルおよび組み込みのアプリケーションのタイムアウトが依然として広範であり、さらに細かく制御する場合は、特定の接続がカスタムアプリケーションをトリガーするように、アプリケーションのオーバーライドを構成します。組み込みアプリケーションと同様に、カスタムアプリケーションには、次に示すように構成可能なタイムアウトもあります。
アプリケーションのオーバーライドを構成する方法の詳細については、次のドキュメントを参照してください。
いつものように、以下のフィードバックやコメントを投稿してお気軽に。
また、この資料では、任意の方法であなたを助けている場合のようにしてください。
読書のおかげで
キム Wens