CPUコンテンツインスペクション用の「小さすぎる」または「大きすぎる」パケットによる高いデータプレーン

34176

Created On 04/29/19 16:43 PM - Last Modified 03/26/21 17:39 PM

Symptom

CPUコンテンツインスペクション用に「小さすぎる」または「大きすぎる」パケットの異常増加が原因で発生する高データプレーン。
以下のグローバルカウンタは、対応する使用量の増加に伴って増加しているようです DP CPU
:aho_sw_min_threshold aho_sw_max_threshold dfa_sw_min_threshold dfa_sw_max_threshold

Environment

firewallアプリ ID とコンテンツの検査を伴うパロアルトネットワーク

Cause

コンテンツマッチングを持つプラットフォームでは FPGA 、 AHO および DFA コンテンツ検査アルゴリズムはデフォルトでオフロードされます。データプレーンからインスペクションに送信されるパケットには、最小および最大しきい値 FPGA が設定されています。

パケットサイズが最小しきい値と最大しきい値の範囲外にある場合、これらのパケットはデータプレーンで処理されるため、データプレーンの使用率が増加します。
制限は、"debug dataplane fpga state" コマンドの出力に示されているとおりです。


> debug dataplane fpga state

DP dp0:

aho offload setup
        Use offload
        Minimum Threshold for using offload: 32 bytes
        Maximum Threshold for using offload: 9900 bytes
        Max. outstanding request to offloading: 1024
        Current outstanding request to offloading: 0

---SKIP ---
dfa offload setup
        Use offload
        Minimum Threshold for using offload: 48 bytes
        Maximum Threshold for using offload: 9900 bytes
        Max. outstanding request to offloading: 1024
        Current outstanding request to offloading: 0

対象 AHO :
最小しきい値 : 32 バイト
最大しきい値: 9900 バイト

グローバルカウンタ:

•    aho_sw_min_threshold - Usage of software AHO caused by packet length min threshold 
•    aho_sw_max_threshold - Usage of software AHO caused by packet length max threshold

対象 DFA :
最小しきい値: 48 バイト
最大しきい値: 9900 バイト

グローバルカウンタ:

•    dfa_sw_min_threshold - Usage of software dfa caused by packet length min threshold 
•    dfa_sw_max_threshold - Usage of software dfa caused by packet length max threshold

上記のカウンタで観測されるパケット数が異常に増加すると、データプレーンが CPU 高くなる可能性があります。

Resolution

「小さすぎる」パケットと「大きすぎる」パケットの異常な増加に伴い、データプレーンのスパイク CPU が予想されます。通常の条件の間にベースラインと以下のカウンタの比較を行うことをお勧めします CPU :

• aho_sw_min_threshold - AHO パケット長最小しきい値によって生じるソフトウェアの使用
法 • aho_sw_min_threshold - AHO パケット長の最大しきい値によって生じるソフトウェアの

使用法 • dfa_sw_min_threshold - パケット長最小しきい値によって生じるソフトウェアdfa
の使用• dfa_sw_max_threshold - パケット長の最大しきい値によって引き起こされるソフトウェアdfaの使用法

Additional Information

デバイスにコンテンツが一致しているかどうかを確認する方法は次のとおりです FPGA 。

> debug dataplane fpga state

no offload for aho

no offload for dfa

上記の出力は、コンテンツが一致しない場合を示 FPGA します。

> debug dataplane fpga state

DP dp0:

aho offload setup
        Use offload
        Minimum Threshold for using offload: 32 bytes
        Maximum Threshold for using offload: 9900 bytes
        Max. outstanding request to offloading: 1024
        Current outstanding request to offloading: 0

---SKIP ---
dfa offload setup
        Use offload
        Minimum Threshold for using offload: 48 bytes
        Maximum Threshold for using offload: 9900 bytes
        Max. outstanding request to offloading: 1024
        Current outstanding request to offloading: 0

上記は、コンテンツマッチングが FPGA 利用可能であることを示しています。

**コンテンツマッチングを持つプラットフォームは次 FPGA のとおりです PA-3000 PA-3200 PA-5000 PA-5200 PA-7000 。

**コンテンツマッチングを持たないプラットフォームは次のとおりです FPGA PA-200 PA-220 PA-500 PA-800 。