Übersicht
Dieses Dokument beschreibt, was von Paketaufnahmen ausgeschlossen ist, die auf der Palo Alto Networks Firewall aufgrund von Session-Abladen aufgenommen wurden, und wie man Session-Abladen vorübergehend deaktiviert, um den gesamten Verkehr zu erfassen.
Details
Paketaufnahmen in PAN-OS werden streng in der dataplane-CPU auf der Firewall durchgeführt. Während der Eindringen-Phase führt die Firewall Paket-Parsing-Checks durch, und alle Pakete, die in diesem Schritt verworfen werden, werden nicht in die Paket Aufnahme aufgenommen. Jeder Verkehr, der von der Firewall entladen wird, wird auch nicht in die Paket Erfassung aufgenommen. Traffic wie verschlüsselter Traffic (SSL/SSH), Netzwerkprotokolle (OSPF, BGP, RIP), Applikations Überfahrten und Kündigungs Anwendungen können offloaded werden. Weitere Informationen zur Session-Offloading finden Sie unter: warum und wann werden Sessions vorgeladen ?
Bei der Fehlerbehebung eines Problems, das die Paket Erfassung des gesamten Datenverkehrs erfordert, kann die Abladen vorübergehend deaktiviert werden. Die Deaktivierung von Session-abzuladen zwingt den gesamten Traffic, der von der dataplane-CPU verarbeitet wird. Verwenden Sie den folgenden CLI-Befehl to vorübergehend deaktivieren Abladen aus dem CLI:
> Session-abzuladen-No
Warnung! Csind zu nehmen, bevor die Session-abzuladen-Funktion deaktiviert wird: das Deaktivieren von Abladen erhöht die dataplane-CPU. Wenn die dataplane-CPU bereits hoch ist, können Sie zunächst ein Wartungsfenster einplanen. Einige Arten von Sessions werden nie entladen, wie ARP, alle nicht-IP-Traffic, IPSEC, VPN-Sessions, SYN, FIN und RST-Pakete. Der zu scannenden Verkehr wird in der Paket Aufnahme enthalten sein.
Nachdem die Paketaufnahmen abgeschlossen sind, stellen Sie bitte sicher, dass die Session-Offload wieder aktiviert ist:
> Session abzuladen ja
Der obige Befehl "Session-abzuladen-No" wird im operativen Modus ausgeführt und ist nicht hartnäckig: er überlebt eine Übergabe oder einen Neustart des Geräts nicht. Wenn eine manuelle Übergabe durchgeführt wird, eine automatische Übergabe ausgelöst wird oder wenn das Gerät neu gestartet wird, kehrt die Einstellung der Sitzungs abzuladen zurück zu den Standardeinstellungen, dem aktivierten Zustand.
Um die Einstellungen dauerhaft zu machen und eine Übergabe oder einen Neustart zu überleben, müssen wir Sie aus dem Konfigurations Modus mit folgendem Befehl konfigurieren:
> Konfiguration
# Set DeviceConfig-Einstell Sitzung abzuladen keine
# Commit
Um die Änderungen aus dem Konfigurations Modus rückgängig zu machen, führen Sie bitte die folgenden Befehle aus,
# Set DeviceConfig-Setting-Session abzuladen ja
# Commit
oder
# DELETE DeviceConfig-Setting-Session abzuladen
# Commit
Die folgenden Palo Alto Networks-Plattformen unterstützen das Offloading:
PA-2000, PA-3050, PA-3060, PA-3060, PA-4000, PA-5000, PA-7000
Besitzer: Pmak