Desactivar Firewall el tráfico de descarga - Knowledge Base - Palo Alto Networks

Desactivar Firewall el tráfico de descarga

123921

Created On 09/27/18 09:07 AM - Last Modified 09/16/21 08:01 AM

Symptom

Cuando el tráfico de sesión es procesado por el plano de datos de las redes de Palo firewall Alto, las estadísticas de la sesión y los temporizadores se actualizarán para cada paquete.
La mayoría de nuestras plataformas de gama alta tienen un FPGA chip para descargar por completo una sesión CTS (y STC flujos) y omitir los núcleos por completo.

Environment

PA-3200 Serie
PA-5200 Serie
PA-7000 Serie

Cause

Dependiendo del modelo de plataforma, diferentes reglas:

PA3050 - 50xx series

El chip de descarga está enviando un mensaje de estadísticas por flujo al plano de datos después de que se reciban 16 paquetes en un flujo ( CTS o STC ).
El software dataplane actualización de estadísticas de la sesión y actualizar el contador de tiempo en consecuencia.

Note: On PA3050 and 50xx series devices, you can have a scenario where a low-traffic session has been aged-out due to TTL expiration. This can happen if the 16 packets condition has not been met before the end of this timer.

Serie PA70xx

1. Los dispositivos de la serie PA7000 manejan las actualizaciones de manera diferente.Enviará la estadística por flujo al dataplane en las próximas situaciones:

Un flujo ha acumulado 64 paquetes de stat
Atemporizador de escaneo ha expirado para este flujo en particular

2. Software actualizar estadísticas de sesión y actualizar el contador de tiempo en consecuencia.

Resolution

Verificación

1. Puede comprobar si una sesión se ha descargado mediante el siguiente CLI comando:

> show session id <id_num>

2. Este es un ejemplo de una SSL sesión que se descarga porque no se está descifrando. El firewall no puede hacer ninguna detección de amenazas de contenido, por lo que se descarga para un procesamiento más hardware rápido:

admin@PAN_firewall> show session id 96776

Session           96776

        c2s flow:
                source:      172.20.13.132 [L3-Trust]
                dst:         50.17.226.145
                proto:       6
                sport:       61973           dport:      443
                state:       ACTIVE          type:       FLOW
                src user:    unknown
                dst user:    unknown

        s2c flow:
                source:      50.17.226.145 [L3-Untrust]
                dst:         10.46.198.13
                proto:       6
                sport:       443             dport:      14690
                state:       ACTIVE          type:       FLOW
                src user:    unknown
                dst user:    unknown

        start time                           : Thu Oct 12 09:30:35 2017
        timeout                              : 1800 sec
        time to live                         : 1799 sec 
        total byte count(c2s)                : 54759
        total byte count(s2c)                : 134469
        layer7 packet count(c2s)             : 103
        layer7 packet count(s2c)             : 200
        vsys                                 : vsys1
        application                          : ssl  
        rule                                 : Trust-Untrust
        session to be logged at end          : True
        session in session ager              : True
        session updated by HA peer           : False
        address/port translation             : source
        nat-rule                             : Trust-NAT(vsys1)
        layer7 processing                    : completed
        URL filtering enabled                : True
        URL category                         : computer-and-internet-info
        session via syn-cookies              : False
        session terminated on host           : False
        session traverses tunnel             : False
        captive portal session               : False
        ingress interface                    : ethernet1/6
        egress interface                     : ethernet1/3
        session QoS rule                     : N/A (class 4)
        tracker stage l7proc                 : ctd decoder bypass
        end-reason                           : unknown

Nota: En PAN-OS 7.1 y versiones posteriores, una sesión descargada tendrá un valor l7proc de etapa de seguimiento de derivación de decodificador ctd.

3. Todos los temporizadores y estadísticas de sesión se mantienen en el software.Por lo tanto, es necesario que el chip de descarga envíe actualizaciones periódicas al software.Estas actualizaciones no se pueden enviar para cada paquete, debido a problemas de rendimiento.

Solución

Para evitar la descarga de las sesiones, hay un par de soluciones alternativas para lograr esto:

1. Desactivar hardware la descarga

Apague temporalmente la descarga dura, utilice el CLI comando:

> set session offload no

O permanentemente, utilice el comando : CLI (incluso después de un reinicio, la descarga se deshabilitará)

> configure
# set deviceconfig setting session offload no
# commit

Nota: Este enfoque puede tener un impacto notable en el CPU archivo .

2. Ajustar el temporizador de keepalive de tcp y el intervalo de tiempo en los servidores de aplicaciones.

Additional Information

NOTE:
Antes de PANOS la versión 8.1, crear una aplicación personalizada y ajustar el valor de tiempo de espera para la aplicación personalizada era un paso necesario en la solución alternativa para dar cabida al peor de los casos.
A partir de PANOS la versión 8.1 y posteriores, esto ya no es necesario como se indica en el siguiente techdoc para tiempos de espera de sesión basados en servicios.

Other users also viewed:

How to download GlobalProtect from the Customer Support Portal

Download and Install the GlobalProtect App for Windows

Resource List: GlobalProtect Configuring and Troubleshooting

PAN-OS Software Updates

Where to find the current preferred software versions? (PAN-OS, GlobalProtect, User-ID Agent, Plugins)