Downloads über HTTPS schlägt fehl, wenn das CTD Standard-Schleifenlimit mit Sitzungsendgrund: resources-unavailable und Tracker-Phase erreicht wird l7proc: ctd pkt-Schleife

Downloads über HTTPS schlägt fehl, wenn das CTD Standard-Schleifenlimit mit Sitzungsendgrund: resources-unavailable und Tracker-Phase erreicht wird l7proc: ctd pkt-Schleife

15501
Created On 03/15/22 00:27 AM - Last Modified 02/22/24 07:03 AM


Symptom


  • Während der Paketverarbeitung einer komprimierten Zip-Datei CTD wird die standardmäßig konfigurierte maximale Anzahl von Schleifen PDF erreicht, wodurch der Zähler ctd-pkt-proc-loop ausgelöst wird und die Sitzung mit der Meldung "Ressourcen nicht verfügbar" endet.
  • Wenn Sie sich die Sitzungsdetails ansehenCLI, können Sie die ctd-pkt-Schleife und die nicht verfügbaren Ressourcen für den Endgrund sehen
admin@palfws01-bnep> show session id 2702 
*
*
*
        application                          : web-browsing  
        nat-rule                             : Test(vsys1)
        layer7 processing                    : completed
        URL filtering enabled                : True
        URL category                         : government, low-risk
        ingress interface                    : ethernet1/3
        egress interface                     : ethernet1/1
        session QoS rule                     : N/A (class 4)
      " tracker stage l7proc                 : ctd pkt loop"
      " end-reason                           : resources-unavailable"

 

Environment


  • Palo Alto Firewall
  • PAN-OS Versionen 9.1.0-9.1.7 oder 10.0.4

Cause


  • Palo Alto Networks hat Verbesserungen vorgenommen (9.1.8, 10.1.0 und höhere Versionen) und 2 Ebenen (abhängig von der Paketlänge) eingeführt: eine niedrige Ebene und eine hohe Ebene mit Standardwerten von 1024 für niedrige Schleifen und 4096 für hohe Schleifen, die für die meisten Kunden gut genug sind.
  • In der Regel benötigen Pakete, die größer sind, wahrscheinlich mehr Schleifen, um die Verarbeitung abzuschließen, in solchen Szenarien können diese auf einen Maximalwert von 8190 erhöht werden, ohne nachteilige Auswirkungen auf die Ressourcenauslastung der Datenebene zu haben

 

Resolution


Führen Sie ein Upgrade auf 9.1.8, 10.0.5 oder höher durch, um das PAN-156891


Problem zu beheben
  1. Erhöhen Sie die Anzahl der Schleifen auf das maximal zulässige Maß (8190), um die Verarbeitung der CTD Paketpuffer mit den folgenden Befehlen im Betriebsmodus abzuschließen, die in PAN-OS Version 9.1.8 und höher verfügbar sind.
> set system setting ctd pkt-proc-loop-low 8190
> set system setting ctd pkt-proc-loop-high 8190
  1. Überprüfen Sie die neuen Schleifenwerte mit dem folgenden Befehl.
> show system setting ctd state | match loop

Additional Information


In 8.1.x-Versionen werden die Pakete standardmäßig umgangen, wenn eine hohe Komprimierungsrate erkannt wurde, und nach 9.1.x-Versionen werden die Pakete standardmäßig verworfen, wenn eine hohe Komprimierungsrate erkannt wird, aber das Verhalten kann mit dem folgenden Befehl zur Umgehung geändert werden.
> configure # set deviceconfig setting session resource-limit-behavior bypass # commit # exit

> configure
# set deviceconfig setting session resource-limit-behavior bypass
# commit
# exit
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oNNICA2&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language