Hohe Datenebene CPU verursacht durch "zu kleine" oder "zu große" Pakete für die Inhaltsinspektion
34180
Created On 04/29/19 16:43 PM - Last Modified 03/26/21 17:39 PM
Symptom
Hohe Datenebene CPU verursacht durch ungewöhnliche Zunahme von "zu kleinen" oder "zu großen" Paketen für die Inhaltsprüfung.
Die folgenden globalen Zähler scheinen mit einem entsprechenden Anstieg der Nutzung zu DP CPU steigen:
aho_sw_min_threshold aho_sw_max_threshold dfa_sw_min_threshold
dfa_sw_max_threshold
Environment
Palo Alto Networks firewall mit App- ID und Content Inspection
Cause
Auf Plattformen, auf denen der Inhalt abgleicht, FPGA werden die und die AHO DFA Inhaltsinspektionsalgorithmen standardmäßig ausgelagert. Es ist ein Mindest- und Einmaximum-Schwellenwert für Pakete festgelegt, die per Datenebene an die für Inspektionen gesendet werden FPGA sollen.
Wenn die Paketgröße außerhalb der Mindest- und Maximalschwellenwerte liegt, werden diese Pakete in der Datenebene verarbeitet, was zu einer erhöhten Datenebenenauslastung führt.
Die Grenzwerte sind wie in der Ausgabe des Befehls "debug dataplane fpga state" dargestellt.
> debug dataplane fpga state
DP dp0:
aho offload setup
Use offload
Minimum Threshold for using offload: 32 bytes
Maximum Threshold for using offload: 9900 bytes
Max. outstanding request to offloading: 1024
Current outstanding request to offloading: 0
---SKIP ---
dfa offload setup
Use offload
Minimum Threshold for using offload: 48 bytes
Maximum Threshold for using offload: 9900 bytes
Max. outstanding request to offloading: 1024
Current outstanding request to offloading: 0
Für AHO :
Mindestschwellenwert : 32 Bytes
Maximaler Schwellenwert : 9900 Bytes
Globale Leistungsindikatoren:
• aho_sw_min_threshold - Usage of software AHO caused by packet length min threshold • aho_sw_max_threshold - Usage of software AHO caused by packet length max threshold
Für DFA :
Mindestschwellenwert : 48 Bytes
Maximaler Schwellenwert : 9900 Bytes
Globale Leistungsindikatoren:
• dfa_sw_min_threshold - Usage of software dfa caused by packet length min threshold • dfa_sw_max_threshold - Usage of software dfa caused by packet length max threshold
Eine ungewöhnliche Zunahme der Anzahl der Pakete, die für die oben genannten Leistungsindikatoren beobachtet werden, kann dazu führen, dass die Datenebene CPU hoch geht.
Resolution
Bei einem ungewöhnlichen Anstieg von "zu kleinen" und "zu großen" Paketen wird eine Spitze in der Datenebene CPU erwartet. Es wird empfohlen, einen Vergleich der folgenden Zähler mit der Baseline unter normalen Bedingungen zu CPU tun:
• aho_sw_min_threshold - Verwendung von Software verursacht AHO durch Paketlänge min Schwelle
• aho_sw_min_threshold - Nutzung der Software verursacht AHO durch Paketlänge max Schwelle •
dfa_sw_min_threshold - Nutzung der Software dfa verursacht durch Paketlänge min Schwellenwert
• dfa_sw_max_threshold - Nutzung der Software dfa verursacht durch Paketlänge max Schwelle
Additional Information
Hier erfahren Sie, ob ein Gerät content matching FPGA hat:
> debug dataplane fpga state no offload for aho no offload for dfa
Die obige Ausgabe zeigt an, dass es keinen Inhaltsabgleich FPGA gibt:
> debug dataplane fpga state
DP dp0:
aho offload setup
Use offload
Minimum Threshold for using offload: 32 bytes
Maximum Threshold for using offload: 9900 bytes
Max. outstanding request to offloading: 1024
Current outstanding request to offloading: 0
---SKIP ---
dfa offload setup
Use offload
Minimum Threshold for using offload: 48 bytes
Maximum Threshold for using offload: 9900 bytes
Max. outstanding request to offloading: 1024
Current outstanding request to offloading: 0Die obige Anzeige zeigt an, dass der Inhaltsabgleich FPGA verfügbar ist.
**Hier sind die Plattformen, die den Inhalt übereinstimmen : , , , , FPGA PA-3000 PA-3200 PA-5000 PA-5200 PA-7000 .
**Hier sind die Plattformen, die nicht über den Inhaltsabgleich verfügen : , , , FPGA PA-200 PA-220 PA-500 PA-800 .