ダウンロード終了HTTPSデフォルトに達しないCTDセッション終了理由: リソースが利用できない、およびトラッカー ステージ l7proc: ctd pkt ループによるループ制限
15501
Created On 03/15/22 00:27 AM - Last Modified 02/22/24 07:03 AM
Symptom
- 圧縮ファイルのパケット処理中PDFZIPファイル、CTDデフォルトで設定されているループの最大数に達すると、カウンター ctd-pkt-proc-loop がトリガーされ、リソースが使用できないメッセージが表示されてセッションが終了します。
- セッションの詳細を見ると、CLI見えるCTD PKT ループそして終了理由リソースが利用できない
admin@palfws01-bnep> show session id 2702 * * * application : web-browsing nat-rule : Test(vsys1) layer7 processing : completed URL filtering enabled : True URL category : government, low-risk ingress interface : ethernet1/3 egress interface : ethernet1/1 session QoS rule : N/A (class 4) " tracker stage l7proc : ctd pkt loop" " end-reason : resources-unavailable"
Environment
- パロアルト Firewall
- PAN-OS バージョン 9.1.0 ~ 9.1.7、または 10.0.4
Cause
- パロアルトネットワークスは改善を行い (9.1.8、10.1.0 以降のバージョン)、(パケット長に応じて) 低層と高層の 2 層を導入しました。デフォルト値は低ループの場合は 1024、高ループの場合は 4096 です。ほとんどの顧客にとっては十分です。
- 通常、パケットが大きい場合、そのようなシナリオで処理を完了するにはより多くのループが必要になる可能性があります。データプレーンのリソース使用率に悪影響を与えることなく、最大値 8190 まで増やすことができます。
Resolution
解決するには、9.1.8、10.0.5 以降にアップグレードしてくださいPAN-156891
回避策
- 数を増やすCTD許容最大値 (8190) までループし、次の動作モード コマンドを使用してパケット バッファの処理を終了します。PAN-OS 9.1.8以降。
> set system setting ctd pkt-proc-loop-low 8190 > set system setting ctd pkt-proc-loop-high 8190
- 次のコマンドを使用して、新しいループ値を確認します。
> show system setting ctd state | match loop
Additional Information
8.1.x リリースでは、高い圧縮率が検出された場合、パケットはデフォルトでバイパスされ、9.1.x リリース以降では、高い圧縮率が検出された場合、パケットはデフォルトでドロップされますが、この動作は、次のコマンド。
> configure # set deviceconfig setting session resource-limit-behavior bypass # commit # exit
> configure # set deviceconfig setting session resource-limit-behavior bypass # commit # exit