Resumen
Este documento describe lo que se excluye de las capturas de paquetes tomadas en el cortafuegos de Palo Alto Networks debido a la descarga de la sesión y cómo desactivar la descarga de sesiones temporalmente para capturar todo el tráfico.
Detalles
Las capturas de paquetes en pan-os se realizan estrictamente en la CPU del plan de seguridad en el firewall. Durante la etapa de ingreso, el cortafuegos realiza comprobaciones de análisis de paquetes y los paquetes descartados en este paso no se incluirán en la captura de paquetes. Cualquier tráfico que se descargue por el cortafuegos tampoco se incluirá en la captura de paquetes. T raffic como eltráfico cifrado (SSL/SSH), los protocolos de red (OSPF, BGP, RIP), las anulaciones de aplicaciones y las aplicaciones de terminación pueden descargarse. Para obtener más información sobre la descarga de la sesión, consulte: ¿por qué y cuándo se descargan las sesiones?
Cuando se soluciona un problema que requiere la captura de paquetes de todo el tráfico, la descarga se puede deshabilitar temporalmente. La desactivación de la descarga de sesión obliga a procesar todo el tráfico mediante la CPU del plan de proceso. Utilice el siguiente comando CLI to deshabilite temporalmente la descarga de la CLI:
> configurar sesión de descarga no
¡Advertencia! Cse deben tomar antes de deshabilitar la función de descarga de sesión: la desactivación de la descarga aumentará la CPU del plan de la misma. Si la CPU del plan de tiempo ya es alta, es posible que desee programar una ventana de mantenimiento primero. Algunos tipos de sesiones nunca se descargarán, como ARP, todas las sesiones de tráfico no IP, IPSec, VPN, Syn, fin y RST. El tráfico que requiera escaneo se incluirá en la captura de paquetes.
Una vez completadas las capturas de paquetes, asegúrese de volver a habilitar la descarga de sesión:
> configuración de descarga de sesión sí
El comando anterior "establecer la descarga de la sesión no" se ejecuta en modo operativo y no es persistente: no sobrevivirá a un commit o un reinicio del dispositivo. Si se realiza un commit manual, se activa una confirmación automática o se reinicia el dispositivo, el valor de la descarga de la sesión vuelve a la configuración predeterminada, que es el estado habilitado.
Para que los ajustes sean persistentes y sobrevivan un commit o Reboot, necesitamos configurarlo desde el modo de configuración con el siguiente comando:
> configure
# set deviceconfig sesión de configuración de descarga no
# commit
Para revertir los cambios realizados desde el modo de configuración, por favor ejecute los comandos siguientes,
# Set deviceconfig de sesión de configuración descargar sí
# commit
o
# Delete deviceconfig configuración de la sesión de descarga
# commit
Las siguientes plataformas de palo alto soportan la descarga:
PA-2000, PA-3050, PA-3060, PA-3060, PA-4000, PA-5000, y PA-7000
Propietario: pmak