CPU用于内容检查的"太小"或"太大"数据包引起的高数据平面 - Knowledge Base - Palo Alto Networks

CPU用于内容检查的"太小"或"太大"数据包引起的高数据平面

39175

Created On 04/29/19 16:43 PM - Last Modified 03/26/21 17:38 PM

Symptom

高数据平面 CPU 导致"太小"或"太大"数据包异常增加，无法进行内容检查。
以下全球柜台似乎随着使用量的相应增加而增加 DP CPU
：aho_sw_min_threshold aho_sw_max_threshold dfa_sw_min_threshold dfa_sw_max_threshold

Environment

帕洛阿尔托网络 firewall 与应用程序 ID 和内容检查

Cause

在内容匹配的平台 FPGA 上， AHO DFA 默认情况下将卸载内容检查算法。为数据包由数据飞机发送到检查数据包设定了最低和最大阈值 FPGA 。

如果数据包大小超出最低和最大阈值，则这些数据包在数据平面中处理，从而提高数据飞机的利用率。
这些限制如"调试数据飞机 fpga 状态"命令的输出所示。

> debug dataplane fpga state

DP dp0:

aho offload setup
        Use offload
        Minimum Threshold for using offload: 32 bytes
        Maximum Threshold for using offload: 9900 bytes
        Max. outstanding request to offloading: 1024
        Current outstanding request to offloading: 0

---SKIP ---
dfa offload setup
        Use offload
        Minimum Threshold for using offload: 48 bytes
        Maximum Threshold for using offload: 9900 bytes
        Max. outstanding request to offloading: 1024
        Current outstanding request to offloading: 0

对于 AHO ：
最低阈值： 32 字节
最大阈值： 9900 字节

全球计数器：

•    aho_sw_min_threshold - Usage of software AHO caused by packet length min threshold 
•    aho_sw_max_threshold - Usage of software AHO caused by packet length max threshold

对于 DFA ：
最低阈值： 48 字节
最大阈值： 9900 字节

全球计数器：

•    dfa_sw_min_threshold - Usage of software dfa caused by packet length min threshold 
•    dfa_sw_max_threshold - Usage of software dfa caused by packet length max threshold

观察到的上述计数器的数据包数量异常增加可能导致数据平面 CPU 过高。

Resolution

随着"太小"和"太大"数据包的异常增加，预计数据平面会激增 CPU 。建议在正常情况下将下面的计数器与基线进行比较： • CPU aho_sw_min_threshold

- AHO 由数据包长度最小阈值引起的软件的使用
• aho_sw_min_threshold - AHO 由数据包长度最大阈值引起的软件使用

• dfa_sw_min_threshold - 由数据包长度最小阈值引起的软件 dfa 的使用
• dfa_sw_max_threshold - 由数据包长度最大阈值引起的软件 dfa 的使用

Additional Information

下面是如何检查设备是否有内容匹配 FPGA ：

> debug dataplane fpga state

no offload for aho

no offload for dfa

上述输出表明，没有内容匹配 FPGA ：

> debug dataplane fpga state

DP dp0:

aho offload setup
        Use offload
        Minimum Threshold for using offload: 32 bytes
        Maximum Threshold for using offload: 9900 bytes
        Max. outstanding request to offloading: 1024
        Current outstanding request to offloading: 0

---SKIP ---
dfa offload setup
        Use offload
        Minimum Threshold for using offload: 48 bytes
        Maximum Threshold for using offload: 9900 bytes
        Max. outstanding request to offloading: 1024
        Current outstanding request to offloading: 0

以上表示内容匹配 FPGA 可用。

**下面是内容匹配的平台 FPGA ：。 PA-3000 PA-3200 PA-5000 PA-5200 PA-7000 。

**下面是没有内容匹配的平台：。 FPGA PA-200 PA-220 PA-500 PA-800 。