Deaktivieren Firewall des Auslagerungsverkehrs

Deaktivieren Firewall des Auslagerungsverkehrs

111727
Created On 09/27/18 09:07 AM - Last Modified 09/16/21 08:01 AM


Symptom


  • Wenn Sitzungsdatenverkehr von der Datenebene der Palo Alto Networks verarbeitet firewall wird, werden Sitzungsstatistiken und Timer für jedes Paket aktualisiert.
  • Die meisten unserer High-End-Plattformen haben einen FPGA Chip, um eine Sitzung (und Flows) vollständig zu entladen und die Kerne vollständig zu CTS STC umgehen.

Environment


  • PA-3200 Serie
  • PA-5200 Serie
  • PA-7000 Serie

Cause


Je nach Plattform gelten unterschiedliche Regeln:

  • PA3050 - Serie 50xx
  1. Der Ausladechip sendet eine Nachrichtenpro-Flow-Statistik an die Datenebene, nachdem 16 Pakete auf einem Flow ( CTS oder ) empfangen wurden. STC
  2. Die Dataplane Software aktualisieren Sitzung Statistics und den Timer entsprechend zu aktualisieren.
Note: On PA3050 and 50xx series devices, you can have a scenario where a low-traffic session has been aged-out due to TTL expiration. This can happen if the 16 packets condition has not been met before the end of this timer.
  • PA70xx Serie
1. Die Geräte der PA7000-Serie behandeln die Updates unterschiedlich.In den nächsten Situationen wird der Pro-Flow-Wert an die Datenebene gesendet:
  • Ein Fluss hat 64 Pakete von Stat angesammelt.
  • AScan-Timer für diesen bestimmten Flow abgelaufen

2. Software aktualisieren Sitzungsstatistiken und den Timer entsprechend zu aktualisieren.

 

Resolution


  • Überprüfung

1. Sie können überprüfen, ob eine Sitzung mit dem folgenden Befehl ausgelagert CLI wurde:

> show session id <id_num>
 

2. Hier ist ein Beispiel für eine SSL Sitzung, die ausgelagert wird, weil sie nicht entschlüsselt wird. Die kann keine Erkennung von Inhalten durch Bedrohungen tun, daher wird sie für eine firewall schnellere Verarbeitung ausgelagert: hardware

admin@PAN_firewall> show session id 96776

Session           96776

        c2s flow:
                source:      172.20.13.132 [L3-Trust]
                dst:         50.17.226.145
                proto:       6
                sport:       61973           dport:      443
                state:       ACTIVE          type:       FLOW
                src user:    unknown
                dst user:    unknown

        s2c flow:
                source:      50.17.226.145 [L3-Untrust]
                dst:         10.46.198.13
                proto:       6
                sport:       443             dport:      14690
                state:       ACTIVE          type:       FLOW
                src user:    unknown
                dst user:    unknown

        start time                           : Thu Oct 12 09:30:35 2017
        timeout                              : 1800 sec
        time to live                         : 1799 sec 
        total byte count(c2s)                : 54759
        total byte count(s2c)                : 134469
        layer7 packet count(c2s)             : 103
        layer7 packet count(s2c)             : 200
        vsys                                 : vsys1
        application                          : ssl  
        rule                                 : Trust-Untrust
        session to be logged at end          : True
        session in session ager              : True
        session updated by HA peer           : False
        address/port translation             : source
        nat-rule                             : Trust-NAT(vsys1)
        layer7 processing                    : completed
        URL filtering enabled                : True
        URL category                         : computer-and-internet-info
        session via syn-cookies              : False
        session terminated on host           : False
        session traverses tunnel             : False
        captive portal session               : False
        ingress interface                    : ethernet1/6
        egress interface                     : ethernet1/3
        session QoS rule                     : N/A (class 4)
        tracker stage l7proc                 : ctd decoder bypass
        end-reason                           : unknown

Hinweis: In PAN-OS 7.1 und höher hat eine ausgelagerte Sitzung einen Tracker-Stufe l7proc-Wert von ctd decoder bypass.

3. Alle Sitzungsstatistiken und Timer sind in Software gepflegt.Daher ist es notwendig, dass der Offload-Chip regelmäßig Updates an die Software sendet.Diese Aktualisierungen können aufgrund von Leistungsproblemen nicht für jedes Paket gesendet werden.

 

  • Problemumgehung

Um das Auslagern der Sitzungen zu vermeiden, gibt es ein paar Problemumgehungen, um dies zu erreichen:

1. Ausschalten der hardware Auslagerung
Schalten Sie das harte Ausladen vorübergehend aus, verwenden Sie den CLI Befehl:
> set session offload no
Oder Permanent, verwenden Sie den CLI Befehl :(auch nach einem Neustart wird das Ausladen deaktiviert)
> configure
# set deviceconfig setting session offload no
# commit

 Hinweis: Dieser Ansatz kann spürbare Auswirkungen auf die CPU haben.
 

2. Stimmen Sie die TCP-Keepalive-Timer und das Intervall auf den Anwendungsservern.

Additional Information


 NOTE:
Vor PANOS Version 8.1 war das Erstellen einer benutzerdefinierten Anwendung und das Anpassen des Timeoutwerts für die benutzerdefinierte Anwendung ein notwendiger Schritt in der Problemumgehung, um dem Worst-Case-Szenario gerecht zu werden.
Ab PANOS Version 8.1 und höher ist dies nicht mehr erforderlich, wie im folgenden Techdoc für servicebasierte Sitzungstimeoutsangegeben ist.  
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm8cCAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language