Alto plano de datos CPU causado por paquetes "demasiado pequeños" o "demasiado grandes" para la inspección de contenido
34178
Created On 04/29/19 16:43 PM - Last Modified 03/26/21 17:38 PM
Symptom
Plan de datos alto CPU causado debido al aumento anormal de paquetes "demasiado pequeños" o "demasiado grandes" para la inspección de contenido.
Los mostradores globales siguientes parecen aumentar con un aumento correspondiente en DP CPU el uso:
aho_sw_min_threshold aho_sw_max_threshold
dfa_sw_min_threshold
dfa_sw_max_threshold
Environment
Palo Alto Networks firewall con inspección de aplicaciones y ID contenidos
Cause
En las plataformas que tienen la coincidencia de FPGA contenido, los AHO algoritmos de inspección de contenido y DFA contenido se descargan de forma predeterminada. Hay un umbral mínimo y máximo fijado para que los paquetes sean enviados por el plano de datos a las FPGA inspecciones for.
Si el tamaño del paquete cae fuera de los umbrales mínimo y máximo, estos paquetes se procesan en el plano de datos, que dan lugar al aumento de la utilización del plano de datos.
Los límites son como se muestra en la salida del comando "debug dataplane fpga state".
> debug dataplane fpga state
DP dp0:
aho offload setup
Use offload
Minimum Threshold for using offload: 32 bytes
Maximum Threshold for using offload: 9900 bytes
Max. outstanding request to offloading: 1024
Current outstanding request to offloading: 0
---SKIP ---
dfa offload setup
Use offload
Minimum Threshold for using offload: 48 bytes
Maximum Threshold for using offload: 9900 bytes
Max. outstanding request to offloading: 1024
Current outstanding request to offloading: 0
Para AHO :
Umbral mínimo : 32 bytes
Umbral máximo : 9900 bytes
Contadores globales:
• aho_sw_min_threshold - Usage of software AHO caused by packet length min threshold • aho_sw_max_threshold - Usage of software AHO caused by packet length max threshold
Para DFA :
Umbral mínimo : 48 bytes
Umbral máximo : 9900 bytes
Contadores globales:
• dfa_sw_min_threshold - Usage of software dfa caused by packet length min threshold • dfa_sw_max_threshold - Usage of software dfa caused by packet length max threshold
Un aumento anormal en el número de paquetes observados para los contadores anteriores puede hacer que el plano de datos CPU vaya alto.
Resolution
Con un aumento anormal en los paquetes "demasiado pequeños" y "demasiado grandes", se espera un aumento en el plano de CPU datos. Se recomienda hacer una comparación de los contadores siguientes con la línea base durante las condiciones normales: • aho_sw_min_threshold - Uso del software causado por el umbral min de la longitud del paquete • aho_sw_min_threshold - Uso del software causado por el CPU umbral máximo de longitud del paquete • dfa_sw_min_threshold -
Uso de AHO
AHO
dfa de software causado por el umbral mínimo de longitud del paquete •
dfa_sw_max_threshold - Uso de dfa de software causado por el umbral máximo de longitud del paquete
Additional Information
A continuación se explica cómo comprobar si un dispositivo tiene coincidencia de FPGA contenido:
> debug dataplane fpga state no offload for aho no offload for dfa
La salida anterior indica que, no hay coincidencia de FPGA contenido:
> debug dataplane fpga state
DP dp0:
aho offload setup
Use offload
Minimum Threshold for using offload: 32 bytes
Maximum Threshold for using offload: 9900 bytes
Max. outstanding request to offloading: 1024
Current outstanding request to offloading: 0
---SKIP ---
dfa offload setup
Use offload
Minimum Threshold for using offload: 48 bytes
Maximum Threshold for using offload: 9900 bytes
Max. outstanding request to offloading: 1024
Current outstanding request to offloading: 0Lo anterior indica que la coincidencia de contenido FPGA está disponible.
**Aquí están las plataformas que tienen la coincidencia de FPGA contenido: , , , PA-3000 , PA-3200 PA-5000 PA-5200 PA-7000 .
**Aquí están las plataformas que no tienen la coincidencia de FPGA contenido: , , , PA-200 PA-220 PA-500 PA-800 .