Deaktivieren Firewall des Auslagerungsverkehrs
111727
Created On 09/27/18 09:07 AM - Last Modified 09/16/21 08:01 AM
Symptom
- Wenn Sitzungsdatenverkehr von der Datenebene der Palo Alto Networks verarbeitet firewall wird, werden Sitzungsstatistiken und Timer für jedes Paket aktualisiert.
- Die meisten unserer High-End-Plattformen haben einen FPGA Chip, um eine Sitzung (und Flows) vollständig zu entladen und die Kerne vollständig zu CTS STC umgehen.
Environment
- PA-3200 Serie
- PA-5200 Serie
- PA-7000 Serie
Cause
Je nach Plattform gelten unterschiedliche Regeln:
- PA3050 - Serie 50xx
- Der Ausladechip sendet eine Nachrichtenpro-Flow-Statistik an die Datenebene, nachdem 16 Pakete auf einem Flow ( CTS oder ) empfangen wurden. STC
- Die Dataplane Software aktualisieren Sitzung Statistics und den Timer entsprechend zu aktualisieren.
Note: On PA3050 and 50xx series devices, you can have a scenario where a low-traffic session has been aged-out due to TTL expiration. This can happen if the 16 packets condition has not been met before the end of this timer.
- PA70xx Serie
- Ein Fluss hat 64 Pakete von Stat angesammelt.
- AScan-Timer für diesen bestimmten Flow abgelaufen
2. Software aktualisieren Sitzungsstatistiken und den Timer entsprechend zu aktualisieren.
Resolution
Additional Information
NOTE:
Vor PANOS Version 8.1 war das Erstellen einer benutzerdefinierten Anwendung und das Anpassen des Timeoutwerts für die benutzerdefinierte Anwendung ein notwendiger Schritt in der Problemumgehung, um dem Worst-Case-Szenario gerecht zu werden.
Ab PANOS Version 8.1 und höher ist dies nicht mehr erforderlich, wie im folgenden Techdoc für servicebasierte Sitzungstimeoutsangegeben ist.