特定のシナリオでは、外部サーバー、サービス、またはアプライアンスが FIN または RST パケットを送信する場合がありますが、セッションをすぐに閉じるのではなく、セッションは予想よりも長い時間開いたままになります。
PAN-OS 6.0 では、FIN/RST パケットを受信した後にセッションを閉じるためのデフォルトタイマは30秒です。
> セッション情報を表示する |マッチタイムアウト
セッションタイムアウト
tcp のデフォルトのタイムアウト: 3600 秒
SYN の前に tcp セッションタイムアウト-ACK を受信: 5 秒
tcp セッションタイムアウトの前に3ウェイハンドシェイク:10 秒
FIN/RST の後の tcp セッションタイムアウト:30秒
UDP のデフォルトのタイムアウト:30 秒
ICMP のデフォルトのタイムアウト: 6 秒
その他の IP デフォルトのタイムアウト:30 秒
キャプティブポータルセッションタイムアウト:30 秒</c4 >
このタイムアウトを最大600秒に増やすことができます。
# 設定 deviceconfig セッションタイムアウト-tcpwait
<value> 1-600> セッション tcp 待機タイムアウト (FIN/RST を受信した後) の値を秒単位で設定します。 </value>
> セッション情報を表示する |フィン/RST の後に一致するフィン
TCP セッションタイムアウト: 150 秒
PAN-OS 6.1 以降では、新しい機能は、2つの異なるタイマを使用して、1つだけのフィン/RST が受信されているセッションを閉じる前に、より多くの時間を許可するために、両方の側がフィンを送信したときに迅速な閉鎖を許可する ' 半Rst。フィン/rst を1つだけ受信した場合、タイムアウトはデフォルトで120秒に設定されていますが、両サイドがフィン/rst を送信した後のセッション終了のタイマは15秒になります。
> セッション情報を表示する |マッチタイムアウト
セッションタイムアウト
tcp のデフォルトのタイムアウト: 3600 秒
SYN の前に tcp セッションタイムアウト-ACK を受信: 5 秒 tcp
セッションタイムアウト3ウェイハンドシェイクの前に:10 秒
tcp ハーフクローズドセッションタイムアウト: 120 秒
tcp セッションタイムアウトTIME_WAIT:15 秒未
検証 RST の TCP セッションタイムアウト:30 秒 UDP のデフォルトのタイムアウト:
30 秒
ICMP のデフォルトのタイムアウト: 6 秒
その他の IP デフォルトのタイムアウト:30 秒
キャプティブポータルセッションタイムアウト:30 秒
上記のシナリオでさらに寛大を可能にするために、半分閉鎖された時間の天井は604800秒または完全な7日まで増加したが、両方の側面からのひれ/RST を受け取った後時間待ち時間は、まだ600秒まで増加することができるまたは下げられるさらに速いセッション終了のために1秒。
# set deviceconfig 設定セッションタイムアウト-tcp-半閉
<value><1-604800>セットセッション tcp ハーフクローズタイムアウト (最初の FIN/RST を受信した後) 秒の値
# セット deviceconfig 設定セッションタイムアウト-tcp-時間-待ち時間
<value><1-600>セットセッション tcp 時間待機タイムアウト (2番目のフィン/RST) 値を受信した後</1-600> </value> </1-604800> </value>