Avion de données élevé CPU causé par des paquets « trop petits » ou « trop grands » pour l’inspection du contenu
36198
Created On 04/29/19 16:43 PM - Last Modified 03/26/21 17:39 PM
Symptom
Avion de données élevé CPU causé par une augmentation anormale des paquets « trop petits » ou « trop gros » pour l’inspection du contenu.
Les compteurs mondiaux ci-dessous semblent augmenter avec une augmentation correspondante de DP CPU l’utilisation :
aho_sw_min_threshold aho_sw_max_threshold dfa_sw_min_threshold
dfa_sw_max_threshold
Environment
Palo Alto Networks avec firewall inspection des applications et des ID contenus
Cause
Sur les plates-formes qui ont FPGA l’appariement du AHO contenu, les DFA algorithmes d’inspection du contenu et du contenu sont déchargés par défaut. Il y a un seuil minimum et maximum fixé pour les paquets à envoyer par avion de données à FPGA l’inspection.
Si la taille du paquet ne se situe pas en dehors des seuils minimum et maximum, ces paquets sont traités dans l’avion de données, ce qui entraîne une utilisation accrue des dataplanes.
Les limites sont représentées dans la sortie de la commande fpga de l’avion de données debug fpga.
> debug dataplane fpga state
DP dp0:
aho offload setup
Use offload
Minimum Threshold for using offload: 32 bytes
Maximum Threshold for using offload: 9900 bytes
Max. outstanding request to offloading: 1024
Current outstanding request to offloading: 0
---SKIP ---
dfa offload setup
Use offload
Minimum Threshold for using offload: 48 bytes
Maximum Threshold for using offload: 9900 bytes
Max. outstanding request to offloading: 1024
Current outstanding request to offloading: 0
Pour AHO :
Seuil minimum : 32 octets
Seuil maximum : 9900 octets
Compteurs mondiaux :
• aho_sw_min_threshold - Usage of software AHO caused by packet length min threshold • aho_sw_max_threshold - Usage of software AHO caused by packet length max threshold
Pour DFA :
Seuil minimum : 48 octets
Seuil maximum : 9900 octets
Compteurs mondiaux :
• dfa_sw_min_threshold - Usage of software dfa caused by packet length min threshold • dfa_sw_max_threshold - Usage of software dfa caused by packet length max threshold
Une augmentation anormale du nombre de paquets observés pour les compteurs ci-dessus peut faire augmenter CPU l’avion de données.
Resolution
Avec une augmentation anormale des paquets « trop petits » et « trop gros », on s’attend à une pointe dans CPU l’avion de données. Il est recommandé de faire une comparaison des compteurs ci-dessous avec la ligne de base dans des conditions normales: • aho_sw_min_threshold - Utilisation de logiciels causés par le seuil de longueur de paquet min • aho_sw_min_threshold - Utilisation de logiciels causés par la CPU longueur du paquet seuil max • dfa_sw_min_threshold - Utilisation du logiciel dfa causé par la longueur du paquet min seuil • dfa_sw_max_threshold -
Utilisation du logiciel AHO
AHO
dfa causé
par la longueur du paquet seuil maximum
Additional Information
Voici comment vérifier si un appareil a correspondant au contenu FPGA :
> debug dataplane fpga state no offload for aho no offload for dfa
La sortie ci-dessus indique qu’il n’y a pas de correspondance de contenu FPGA :
> debug dataplane fpga state
DP dp0:
aho offload setup
Use offload
Minimum Threshold for using offload: 32 bytes
Maximum Threshold for using offload: 9900 bytes
Max. outstanding request to offloading: 1024
Current outstanding request to offloading: 0
---SKIP ---
dfa offload setup
Use offload
Minimum Threshold for using offload: 48 bytes
Maximum Threshold for using offload: 9900 bytes
Max. outstanding request to offloading: 1024
Current outstanding request to offloading: 0Ce qui précède indique que l’appariement FPGA du contenu est disponible.
**Voici les plates-formes qui ont le contenu correspondant FPGA : , , , PA-3000 PA-3200 PA-5000 PA-5200 . PA-7000
**Voici les plates-formes qui n’ont pas le contenu correspondant FPGA : , , , PA-200 PA-220 PA-500 PA-800 .