Les téléchargements sur HTTPS échouent à atteindre la limite de boucle par défaut CTD avec la fin de session raison: ressources-indisponibles et étape de suivi l7proc: ctd pkt loop

Les téléchargements sur HTTPS échouent à atteindre la limite de boucle par défaut CTD avec la fin de session raison: ressources-indisponibles et étape de suivi l7proc: ctd pkt loop

15501
Created On 03/15/22 00:27 AM - Last Modified 02/22/24 07:03 AM


Symptom


  • Pendant le traitement par paquets d’un fichier Zip compressé PDF , atteint le nombre maximal de boucles configurées par défaut, CTD ce qui déclenche le compteur ctd-pkt-proc-loop et la session se termine par un message ressources non disponibles.
  • En regardant les détails de la session sur CLI peut voir ctd pkt loop et end-reason resources-unavailable
admin@palfws01-bnep> show session id 2702 
*
*
*
        application                          : web-browsing  
        nat-rule                             : Test(vsys1)
        layer7 processing                    : completed
        URL filtering enabled                : True
        URL category                         : government, low-risk
        ingress interface                    : ethernet1/3
        egress interface                     : ethernet1/1
        session QoS rule                     : N/A (class 4)
      " tracker stage l7proc                 : ctd pkt loop"
      " end-reason                           : resources-unavailable"

 

Environment


  • Palo Alto (Palo Alto) Firewall
  • PAN-OS versions 9.1.0-9.1.7 ou 10.0.4

Cause


  • Palo Alto Networks a apporté des améliorations (versions 9.1.8, 10.1.0 et supérieures) en introduisant 2 niveaux (en fonction de la longueur des paquets) un niveau bas et un niveau élevé avec des valeurs par défaut de 1024 pour les boucles basses et 4096 pour les boucles hautes, ce qui est suffisant pour la plupart des clients.
  • En règle générale, les paquets plus volumineux auront probablement besoin de plus de boucles pour terminer le traitement dans de tels scénarios, celles-ci peuvent être augmentées à une valeur maximale de 8190 sans avoir d’impact négatif sur l’utilisation des ressources du plan de données.

 

Resolution


Mise à niveau vers la version 9.1.8, 10.0.5 ou ultérieure pour résoudre cette PAN-156891


solution de contournement
  1. Augmentez le nombre de CTD boucles au maximum autorisé (8190) pour terminer le traitement des tampons de paquets à l’aide des commandes de mode opérationnel suivantes disponibles sur PAN-OS 9.1.8 et versions ultérieures.
> set system setting ctd pkt-proc-loop-low 8190
> set system setting ctd pkt-proc-loop-high 8190
  1. Vérifiez les nouvelles valeurs de boucle à l’aide de la commande suivante.
> show system setting ctd state | match loop

Additional Information


Dans les versions 8.1.x, les paquets sont contournés par défaut lorsqu’un taux de compression élevé a été détecté et après les versions 9.1.x, les paquets sont supprimés par défaut lorsqu’un taux de compression élevé est détecté, mais le comportement peut être modifié pour contourner avec la commande suivante.
> configure # set deviceconfig setting session resource-limit-behavior bypass # commit # exit

> configure
# set deviceconfig setting session resource-limit-behavior bypass
# commit
# exit
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oNNICA2&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language