Firewallオフロード トラフィックを無効にする
111739
Created On 09/27/18 09:07 AM - Last Modified 09/16/21 08:01 AM
Symptom
- パロアルトネットワークスのデータプレーンによってセッショントラフィックが処理されると firewall 、セッションの統計とタイマーがパケットごとに更新されます。
- ハイエンドプラットフォームの多くは FPGA 、セッションを完全にオフロードし( CTS STC フロー)、コアを完全にバイパスするチップを持っています。
Environment
- PA-3200 シリーズ
- PA-5200 シリーズ
- PA-7000 シリーズ
Cause
プラットフォームのモデルによって異なる規則が適用されます。
- PA3050 - 50 xx シリーズ
- オフロード チップは、1 つのフロー (または) で16 個のパケットを受信した後、フローごとの stat メッセージをデータプレーンに送信 CTS STC しています。
- データ プレーン ・ ソフトウェアはセッション マップ広告を更新し、それに応じてタイマーを更新します。
Note: On PA3050 and 50xx series devices, you can have a scenario where a low-traffic session has been aged-out due to TTL expiration. This can happen if the 16 packets condition has not been met before the end of this timer.
- PA70xx シリーズ
- 1 つのフローの合計の 64 パケットを蓄積してきた
- Aこの特定のフローに対してスキャン タイマーが期限切れになりました
2. ソフトウェアはセッションの統計情報を更新し、それに応じてタイマーを更新します。
Resolution
Additional Information
NOTE:
バージョン 8.1 より前のバージョンでは PANOS 、カスタム アプリケーションを作成し、カスタム アプリケーションのタイムアウト値を調整することは、最悪のシナリオに対応するために、回避策の必要な手順でした。
PANOSバージョン 8.1 以降では、サービスベースのセッション タイムアウトに関する次の techdoc に記載されているように、この処理は不要になりました。