Vue d’ensemble
Ce document décrit ce qui est exclu des captures de paquets prises sur le pare-feu de Palo Alto Networks en raison de déchargement de session et la façon de désactiver temporairement le déchargement de session pour capturer tout le trafic.
Détails
Les captures de paquets dans Pan-os sont effectuées strictement dans le CPU dataplane sur le pare-feu. Au cours de l'étape d'infiltration, le pare-feu effectue des vérifications d'analyse de paquets et tous les paquets ignorés à cette étape ne seront pas inclus dans la capture de paquets. Tout trafic qui est déchargé par le pare-feu ne sera également pas inclus dans la capture de paquets. Vous pouvez décharger des logiciels tels que le trafic chiffré (SSL/SSH), les protocoles réseau (OSPF, BGP, RIP), les remplacements d'applications et les applications de terminaison. Pour plus d'informations sur le déchargement de session, voir: pourquoi et quand les sessions sont-elles déchargées?
Lors du dépannage d'un problème nécessitant la capture de paquets de tout le trafic, le déchargement peut être temporairement désactivé. La désactivation du déchargement de session force tout le trafic à être traité par l'uc dataplane. Utilisez la commande CLI suivante to désactiver temporairement le déchargement de l'interface CLI:
> Set session déchargement non
Avertissement! Csont doivent être prises avant de désactiver la fonction déchargement session: désactivation du déchargement va augmenter le CPU dataplane. Si le CPU dataplane est déjà élevé, vous pouvez planifier une fenêtre de maintenance en premier. Certains types de sessions ne seront jamais déchargés, tels que ARP, tous les trafics non-IP, IPSec, les sessions VPN, syn, fin et les paquets RST. Le trafic nécessitant un balayage sera inclus dans la capture de paquets.
Une fois les captures de paquets terminées, assurez-vous de réactiver le déchargement de session:
> Set session déchargement Oui
La commande ci-dessus "Set session déchargement no" est exécuté en mode opérationnel et n'est pas persistant: il ne survivra pas à un commit ou un redémarrage du périphérique. Si une validation manuelle est effectuée, une validation automatique est déclenchée ou si le périphérique est redémarré, le paramètre de déchargement de session revient aux paramètres par défaut, qui est l'état activé.
Pour rendre les paramètres persistants et survivre à une validation ou un redémarrage, nous avons besoin de le configurer à partir du mode de configuration avec la commande suivante:
> Configure
# Set deviceconfig Setting session déchargement no
# Commit
Pour rétablir les modifications effectuées à partir du mode configuration, veuillez exécuter les commandes ci-dessous,
# Set deviceconfig Setting session déchargement oui
# Commit
ou
# Delete deviceconfig Setting session déchargement
# Commit
Les plates-formes suivantes de Palo Alto Networks prennent en charge le déchargement:
PA-2000, PA-3050, PA-3060, PA-3060, PA-4000, PA-5000, et PA-7000
propriétaire : pmak