禁用 Firewall 卸载流量
111729
Created On 09/27/18 09:07 AM - Last Modified 09/16/21 08:01 AM
Symptom 当会话流量由 Palo Alto 网络的数据平面处理时 firewall ,每个数据包都会更新会话统计数据和计时器。 我们的大多数高端平台都有 FPGA 一个芯片,可以完全卸载会话( CTS 和 STC 流量),并完全绕过核心。
Environment PA-3200 系列 PA-5200 系列 PA-7000 系列
Cause 根据平台模型,适用不同的规则:
卸载芯片在一个流(或)收到16 个数据包 后向数据平面发送每流量 统计消息 CTS STC 。 Dataplane 软件将更新会话 statitics 和相应地刷新计时器。
Note: On PA3050 and 50xx series devices, you can have a scenario where a low-traffic session has been aged-out due to TTL expiration. This can happen if the 16 packets condition has not been met before the end of this timer.
1. PA7000 系列设备以不同的方式处理更新。在下次情况下,它会将每流统计发送到数据平面:一个流积累了 64 数据包的统计 A此特定流的扫描定时器已过期
2. 软件将更新会话统计信息和相应地刷新计时器。
Resolution
1. 您可以使用以下命令验证会话是否已卸载 CLI :
> show session id <id_num>
2. 下面是因 SSL 未解密而卸载会话的示例。 firewall无法进行任何内容威胁检测,因此将其卸载到 hardware 以进行更快的处理:
admin@PAN_firewall> show session id 96776
Session 96776
c2s flow:
source: 172.20.13.132 [L3-Trust]
dst: 50.17.226.145
proto: 6
sport: 61973 dport: 443
state: ACTIVE type: FLOW
src user: unknown
dst user: unknown
s2c flow:
source: 50.17.226.145 [L3-Untrust]
dst: 10.46.198.13
proto: 6
sport: 443 dport: 14690
state: ACTIVE type: FLOW
src user: unknown
dst user: unknown
start time : Thu Oct 12 09:30:35 2017
timeout : 1800 sec
time to live : 1799 sec
total byte count(c2s) : 54759
total byte count(s2c) : 134469
layer7 packet count(c2s) : 103
layer7 packet count(s2c) : 200
vsys : vsys1
application : ssl
rule : Trust-Untrust
session to be logged at end : True
session in session ager : True
session updated by HA peer : False
address/port translation : source
nat-rule : Trust-NAT(vsys1)
layer7 processing : completed
URL filtering enabled : True
URL category : computer-and-internet-info
session via syn-cookies : False
session terminated on host : False
session traverses tunnel : False
captive portal session : False
ingress interface : ethernet1/6
egress interface : ethernet1/3
session QoS rule : N/A (class 4)
tracker stage l7proc : ctd decoder bypass
end-reason : unknown
注意:在 PAN-OS 7.1及以后,卸载会话将有一个 跟踪阶段l7proc 值的 ctd解码器旁路 。
3. 软件维护所有会话统计信息和计时器。因此,卸载芯片需要定期向软件发送更新。由于性能问题,无法为每个数据包发送这些更新。
为了避免会话的卸载,有几种解决方法可以实现:
1. 关闭 hardware 卸载
暂时 关闭硬卸载,使用 CLI 命令:
> set session offload no
或永久 使用 CLI 命令:(即使在重新启动后,卸载也将被禁用)
> configure
# set deviceconfig setting session offload no
# commit
注意: 这种方法可以对 CPU 。
2. 调整 tcp 保活定时器和应用程序服务器上的时间间隔。
Additional Information NOTE: 在 PANOS 版本 8.1 之前,创建自定义应用程序并调整自定义应用程序的超时值是解决方法中适应最坏情况的必要步骤。 从 PANOS 版本 8.1 到以后,这不再需要,如以下 基于服务的会话超时 技术doc 中所述。