如何从中排除 Youtube 流量Globalprotect隧道?
29021
Created On 11/19/21 21:29 PM - Last Modified 06/26/25 20:30 PM
Objective
如何从中排除 Youtube 流量Globalprotect隧道?
Environment
- Pan-OS
- Globalprotect
- 拆分隧道
Procedure
以下是如何从中排除 youtube 流量的步骤Globalprotect隧道?
- 按照此文档创建 ssl 解密:https://docs.paloaltonetworks.com/pan-os /9-1/pan-os -admin/decryption/configure-ssl-forward-proxy.html
- 创建Globalprotect门户和网关配置文件
- 启用从中排除视频GPGateway>agent>Video Traffic 下的隧道。
注意:如果您启用此选项但不从中排除特定的视频流应用程序VPN隧道,排除所有视频流流量。
4. 添加*.googlevideo.com & *.youtube.com在排除域下:
笔记 :
- 根据目标域、应用程序进程名称或HTTP/HTTPS视频流应用程序需要GlobalProtect订阅。
Additional Information
请记住,我们仍然会看到第一个流量firewall即使我们排除了流量。 因为与 youtube 的第一次连接将通过firewall, 以识别它正在流式传输。
在 10.0 和 10.1 上,您将看到最终原因:为此流量拆分隧道。
show session id 211021
Session 211021
c2s flow:
source: 10.10.10.1 [L3-Trust]
dst: 74.125.170.124
proto: 6
sport: 50326 dport: 443
state: INIT type: FLOW
src user: admin
dst user: unknown
s2c flow:
source: 74.125.170.124 [L3-Untrust]
dst: 10.46.42.49
proto: 6
sport: 443 dport: 19738
state: INIT type: FLOW
src user: unknown
dst user: admin
Slot : 1
DP : 0
index(local): : 211021
start time : Mon Nov 8 14:29:30 2021
timeout : 90 sec
total byte count(c2s) : 2733
total byte count(s2c) : 50993
layer7 packet count(c2s) : 10
layer7 packet count(s2c) : 40
vsys : vsys1
application : youtube-streaming
rule : Trust-to-Untrust
service timeout override(index) : False
session to be logged at end : True
session in session ager : False
session updated by HA peer : False
address/port translation : source
nat-rule : Trust-NAT(vsys1)
layer7 processing : enabled
URL filtering enabled : True
URL category : streaming-media, low-risk
session via syn-cookies : False
session terminated on host : False
session traverses tunnel : True
session terminate tunnel : False
captive portal session : False
ingress interface : tunnel.10
egress interface : ethernet1/3
session QoS rule : N/A (class 4)
tracker stage firewall : split tunnel
end-reason : aged-out