下载结束HTTPS未能达到默认值CTD会话结束原因的循环限制:资源不可用和跟踪器阶段 l7proc:ctd pkt 循环
15511
Created On 03/15/22 00:27 AM - Last Modified 02/22/24 07:03 AM
Symptom
- 在压缩包处理过程中PDF压缩文件,CTD达到默认配置的最大循环数,这会触发计数器 ctd-pkt-proc-loop 并且会话以资源不可用消息结束。
- 查看会话详细信息CLI可以看到ctd pkt循环和最终原因资源不可用
admin@palfws01-bnep> show session id 2702 * * * application : web-browsing nat-rule : Test(vsys1) layer7 processing : completed URL filtering enabled : True URL category : government, low-risk ingress interface : ethernet1/3 egress interface : ethernet1/1 session QoS rule : N/A (class 4) " tracker stage l7proc : ctd pkt loop" " end-reason : resources-unavailable"
Environment
- 帕洛阿尔托 Firewall
- PAN-OS 版本 9.1.0-9.1.7 或 10.0.4
Cause
- Palo Alto Networks 进行了改进(9.1.8、10.1.0 和更高版本)引入了 2 层(取决于数据包长度)一个低层和一个高层,低循环的默认值为 1024,高循环的默认值为 4096,它们是对于大多数客户来说已经足够好了。
- 通常,较大的数据包可能需要更多循环才能在这种情况下完成处理,这些可以增加到最大值 8190,而不会对 Dataplane 资源利用率造成不利影响
Resolution
升级到9.1.8、10.0.5或更高版本解决PAN-156891
解决方法
- 增加数量CTD循环到允许的最大值(8190),以使用以下可用的操作模式命令完成数据包缓冲区的处理PAN-OS9.1.8 及以上。
> set system setting ctd pkt-proc-loop-low 8190 > set system setting ctd pkt-proc-loop-high 8190
- 使用以下命令验证新的循环值。
> show system setting ctd state | match loop
Additional Information
在 8.1.x 版本中,当检测到高压缩比时默认绕过数据包,而在 9.1.x 版本之后,当检测到高压缩比时默认丢弃数据包,但可以更改行为以绕过以下命令。
> configure # set deviceconfig setting session resource-limit-behavior bypass # commit # exit
> configure # set deviceconfig setting session resource-limit-behavior bypass # commit # exit