概述
本文档介绍在帕洛阿尔托网络防火墙上由于会话卸载而被排除在数据包捕获之外的内容, 以及如何暂时禁用会话卸载以捕获所有通信。
详细
泛型 OS 中的数据包捕获严格地在防火墙的 dataplane CPU 中执行。在进入阶段, 防火墙执行数据包分析检查, 并且在此步骤中丢弃的任何数据包都不会包含在数据包捕获中。任何由防火墙卸载的通信量也不会包括在数据包捕获中。raffic 例如加密通信量 (SSL/SSH)、网络协议 (OSPF、BGP、RIP)、应用程序重写和终止应用程序都可以卸载. 有关会话卸载的详细信息, 请参阅:何时和何时卸载会话?
在对需要对所有通信进行数据包捕获的问题进行故障排除时,可以暂时禁用卸载. 禁用会话卸载会强制 dataplane CPU 处理所有通信。使用以下 cli 命令o 暂时禁用从 CLI 卸载:
>> 设置会话卸载 no
警告!在禁用会话卸载功能之前, 应先采取 C 操作:禁用卸载将增加 dataplane CPU. 如果 dataplane CPU 已经很高, 您可能需要先计划维护窗口。某些类型的会话将永远不会被卸载, 例如 ARP、所有非 IP 通信、IPSEC、vpn 会话、SYN、鳍和 RST 数据包。需要扫描的通信量将包括在数据包捕获中。
在包捕获完成后, 请确保重新启用会话卸载:
>> 设置会话卸载是
上面的命令 "设置会话卸载 no" 是在操作模式下执行的, 并且不是持久性的: 它将无法生存提交或设备重新启动。如果完成手动提交, 则会触发自动提交, 或者如果设备重新启动, 会话卸载设置将恢复为默认设置 (即启用状态)。
要使设置持久化并在提交或重新启动时生存下来, 我们需要使用以下命令从配置模式配置它:
>> 配置
# 设置 deviceconfig 设置会话卸载 no
# 提交
要还原从配置模式进行的更改, 请执行以下命令:
# 设置 deviceconfig 设置会话卸载是
# 提交
或
# 删除 deviceconfig 设置会话卸载
# 提交
以下帕洛阿尔托网络平台支持卸载:
PA-2000、PA-3050、PA-3060、PA-3060、PA-4000、PA-5000 和 PA-7000
所有者: pmak