Las descargas fallan HTTPS alcanzando el límite de bucle predeterminado CTD con el motivo final de la sesión: recursos-no disponibles y la etapa de seguimiento l7proc: ctd pkt loop

Las descargas fallan HTTPS alcanzando el límite de bucle predeterminado CTD con el motivo final de la sesión: recursos-no disponibles y la etapa de seguimiento l7proc: ctd pkt loop

15515
Created On 03/15/22 00:27 AM - Last Modified 02/22/24 07:03 AM


Symptom


  • Durante el procesamiento de paquetes de un archivo Zip comprimido PDF , alcanza el número máximo de bucles configurados por defecto, CTD lo que activa el contador ctd-pkt-proc-loop y la sesión termina con el mensaje resources-unavailable.
  • Mirando los detalles de la sesión en CLI puede ver ctd pkt loop y end-reason resources-unavailable
admin@palfws01-bnep> show session id 2702 
*
*
*
        application                          : web-browsing  
        nat-rule                             : Test(vsys1)
        layer7 processing                    : completed
        URL filtering enabled                : True
        URL category                         : government, low-risk
        ingress interface                    : ethernet1/3
        egress interface                     : ethernet1/1
        session QoS rule                     : N/A (class 4)
      " tracker stage l7proc                 : ctd pkt loop"
      " end-reason                           : resources-unavailable"

 

Environment


  • Palo Alto Firewall
  • PAN-OS Versiones 9.1.0-9.1.7 o 10.0.4

Cause


  • Palo Alto Networks realizó mejoras (versiones 9.1.8, 10.1.0 y superiores) introduciendo 2 niveles (dependiendo de la longitud del paquete) un nivel bajo y un nivel alto con valores predeterminados de 1024 para bucles bajos y 4096 para bucles altos, que son lo suficientemente buenos para la mayoría de los clientes.
  • Normalmente, los paquetes que son más grandes probablemente necesitarán más bucles para finalizar el procesamiento en tales escenarios, estos se pueden aumentar a un valor máximo de 8190 sin causar impactos adversos en la utilización de recursos del plano de datos.

 

Resolution


Actualice a 9.1.8, 10.0.5 o superior para resolver PAN-156891


la solución alternativa
  1. Aumente el número de bucles hasta el máximo permitido (8190) para terminar de procesar los búferes de paquetes utilizando los siguientes comandos de CTD modo operativo disponibles en PAN-OS 9.1.8 y versiones posteriores.
> set system setting ctd pkt-proc-loop-low 8190
> set system setting ctd pkt-proc-loop-high 8190
  1. Compruebe los nuevos valores de bucle mediante el siguiente comando.
> show system setting ctd state | match loop

Additional Information


En las versiones 8.1.x, los paquetes se omiten de forma predeterminada cuando se detecta una relación de compresión alta y después de las versiones 9.1.x, los paquetes se descartan de forma predeterminada cuando se detecta una relación de compresión alta, pero el comportamiento se puede cambiar para omitir con el siguiente comando.
> configure # set deviceconfig setting session resource-limit-behavior bypass # commit # exit

> configure
# set deviceconfig setting session resource-limit-behavior bypass
# commit
# exit
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oNNICA2&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language