未知的 IP 率限制缓解用户 ID 映射

概述

设计用户 ID 拓扑时，既不公司域中的组件，也有一个真正的用户，在他们身后的服务设备往往会被忽视。这些设备，带给您自己的设备 (BYOD) 智能手机，作为员工工作站并生成到公司防火墙，在用户 ID 拓扑上创建附加应力的会话。智能手机需要进行识别和匹配到正确的安全策略的用户数量增加一倍。由于这种情况下，有可能达到未知的 IP 地址和用户 ID 代理探讨帕洛阿尔托网络防火墙的限制。

问题

用户不确定和显示为 '未知' 在防火墙的用户 IP 映射。这可以导致用户匹配错误的规则并导致交通要删除或阻止。

用户 ID 日志 (useridd.log) 中将显示以下消息：

> 尾跟随是 mp 日志 useridd.log

2014-01-20 14:07:45.498 +0100 pan_user_id_agent_update_unknown_ip_rate_limit： 未知的 IP 率现在是 101，使速率限制为 VM1_collector

对未知的 IP 用户映射的数量检查返回值很高，例如： 

> 显示给用户 ip 用户映射类型所有未知的选项计数

总数： 349 用户

原因

这个过程中发生率将为未知的 IP 地址查询从防火墙发送到用户 ID 代理时每秒超过 100 未知的 IP 地址。在生成此日志的时候的时候，防火墙用户 IP 映射中有许多未知的 IP 地址。在这一点上，如果任何请求一个未知的 IP 地址需要发送到用户 ID 代理，查询被丢弃并映射不要求从用户 ID 代理。

注意:防火墙的限制是每秒未知 IP 地址的100个请求, 即使是最大的实现, 这也是一个很高的速率. 大多数用户，甚至默认的设置，可能没有注意到这一问题在防火墙的使用寿命期间。

速率限制通常持续几秒 （取决于网络） 和管理员可以看到速率限制在同一个日志文件 (useridd.log) 被删除：

2014-01-20 14:07:45.498 +0100 pan_user_id_agent_update_unknown_ip_rate_limit： 未知的 IP 率现在是 101，使速率限制为 VM1_collector

2014-01-20 14:07:47.504 +0100 pan_user_id_agent_update_unknown_ip_rate_limit： 未知的 IP 率现在是 76，禁用速率限制为 VM1_collector

速率限制后完成的结果中的未知用户数目显著较少，运行相同的操作命令。例如：

> 显示给用户 ip 用户映射类型所有未知的选项计数

总数： 21 用户

在此期间 （在上面的示例 2 秒），所有用户都需要 IP 用户映射而被都丢弃。速率限制期是小和"未知"的 ip 用户映射有显著较少过期计时器比所确定的用户。然而，它是可能用户相匹配到错误的规则，由于这一原因限制过程。这将伴随着不寻常的通信日志，用户是映射为一个流量来源的其次是"未知"的用户作为源从相同的 IP 地址，然后随后而来的再一次被正确映射的用户。这一进程取决于用户的活动。如果用户启动另一个会话，然后一个新的请求是发送到用户 ID 代理因为防火墙已分配给该 IP 地址的"未知"用户。与映射代理答复。

不要让用户在他们身后的许多系统时会出现的未知的用户 IP 请求从防火墙的高的速率。他们包括 IP 电话、移动电话、打印机、无线访问点、服务器和工作站不是域的一部分，和其他的机器用在该公司。由于这些设备经常启动会话, 并且没有用户在后面, 帕洛阿尔托网络防火墙不断地试图映射它们.

解决办法

要解决这一问题，请使用在启用了用户标识的区域用户识别 Acl。

1. 转到网络 > 区。
2. 选择在启用了用户标识的区域。
3. 添加排除或 / 和包括列表，如果需要的话。这两个列表是空的默认情况下，这意味着防火墙尝试找出背后的交通量的所有 IP 地址的用户。如果包含列表是空的防火墙包括除排除列表中的 IP 地址。
   

若要查看的区域配置，在 CLI 上看到相同的设置。例如：

> 配置

# 显示区信托 L3

信任-L3 {

  网络 {

    layer3 [ethernet1/2 loopback.4 vlan.30];

  }

启用用户鉴定是;

  用户 acl {

    排除列表 [10.2.13.0/24 10.8.97.0/27 172.120.5.0/25 机器人"http 服务器动态组"Iphone];

  }

}

这就限制了防火墙将发送到用户 ID 代理，通过排除列表中未显示任何感兴趣的对象给出的请求的数量。后面这些地址的用户不确定和不在日志中显示。列表可以包含 IP 地址、网络、对象或对象组 （静态或动态）。

常见问题解答-更多的信息

请参阅下面的一些常见问题和有关此问题的详细信息：

• 用户 Id 有利速率限制为未知 IPs 的实际影响是什么？ 
  1. PA 速率限制 ip 用户映射的发送请求因为有超过 100 个未知用户每被击中 DP 的第二个发电交通。
  2. 速率限制期是小和"未知"的 ip 用户映射有显著较少过期计时器比所确定的用户。然而，它是可能用户相匹配到错误的规则，由于这一原因限制过程。这将伴随着不寻常的通信日志，用户是作为一个流量来源的映射，从相同的 IP 地址，接着又作为源"未知"的用户，然后随后而来的用户再次被正确映射。这一进程取决于用户的活动。如果用户启动另一个会话，然后一个新的请求是发送到用户 ID 代理因为防火墙已分配给该 IP 地址的"未知"用户。代理将回复的映射。
• 是那里任何缓解措施可用除了区包括/排除 Acl 是我们应该知道的吗？ 
  1. 全球在防火墙上
     1. 你可能想要使用下面的功能，但这只意味到你想要学习的用户 ip 映射。
        • 定义要为用户映射包括/排除的子网
        • 设备 > 用户标识 > 用户映射
        • 使用包含/排除网络列表来定义子网的用户 ID 代理将包含或排除执行 IP 地址用户名映射 （发现） 时。
     2. 每个区域在防火墙上它启用 w/用户 Id:
        1. 请参阅文档中当前文章
        2. 重要警告-从联机帮助:
           • "如果你将条目添加到排除列表中，但不是包括的列表中，防火墙不包括在该区域内的所有子网的用户映射信息，不只是子网添加。
           • 我们是 RFC1918 网络包括在列表中包括自排除优先于包含。

• 有"书呆子旋钮"，可以在更大的平台，提高阈值调整吗？ 
  1. 不，率是硬编码为 100 个未知用户每秒平台无关。

所有者： ialeksov