概要
このドキュメントでは、セッションオフロードのためにパロアルトネットワークファイアウォールで取得したパケットキャプチャから除外される内容と、セッションオフロードを一時的に無効にしてすべてのトラフィックをキャプチャする方法について説明します。
詳細
PAN-OS のパケットキャプチャは、ファイアウォールの dataplane CPU で厳密に実行されます。侵入段階では、ファイアウォールはパケット解析チェックを実行し、この手順で破棄されたパケットはパケットキャプチャに含まれません。ファイアウォールによってオフロードされるトラフィックは、パケットキャプチャにも含まれません。暗号化されたトラフィック (SSL/SSH)、ネットワークプロトコル (OSPF、BGP、RIP)、アプリケーションのオーバーライド、および終了アプリケーションなどの T raffic をオフロードすることができます。セッションオフロードの詳細については、「セッションがオフロードされる理由とタイミング」を参照してください。
すべてのトラフィックのパケットキャプチャを必要とする問題のトラブルシューティングを行う場合は、一時的にオフロードを無効にできます。セッションオフロードを無効にすると、すべてのトラフィックが dataplane CPU によって処理されます。cliからのオフロードを一時的に無効にするには、次の cli コマンドを使用します。
> セッションオフロードの設定なし
警告!セッションオフロード機能を無効にする前に、C を取得する必要があります:オフロードを無効にすると、dataplane CPU が増加します。dataplane CPU が既に高い場合は、まずメンテナンスウィンドウをスケジュールすることをお望みです。ARP、IP 以外のすべてのトラフィック、IPSEC、vpn セッション、SYN、FIN、RST パケットなど、一部の種類のセッションはオフロードされません。スキャンが必要なトラフィックは、パケットキャプチャに含まれます。
パケットキャプチャが完了したら、セッションオフロードを再度有効にするようにしてください。
> セッションオフロードの設定はい
上記のコマンド "set セッションオフロードなし" は動作モードで実行され、永続的ではありません: それはコミットまたはデバイスの再起動存続しません。手動コミットが行われた場合、自動コミットがトリガされるか、デバイスが再起動されると、セッションオフロード設定はデフォルト設定 (有効状態) に戻ります。
設定を永続的にし、コミットまたは再起動を存続させるには、次のコマンドを使用して構成モードから構成する必要があります。
> 設定
# セット deviceconfig 設定セッションオフロード
# コミットなし
設定モードで行った変更を元に戻すには、以下のコマンドを実行してください。
# セット deviceconfig 設定セッションオフロードはい
# コミット
または
# 削除 deviceconfig 設定セッションオフロード
# コミット
次のパロアルトネットワークプラットフォームは、オフロードをサポートしています。
pa-2000、pa-3050、pa-3060、pa-3060、pa-4000、pa-5000、および pa-7000
所有者: pmak