Hohe Datenebenenauslastung, die auf Firewalls der PA Serie 3000 mit aktiviertem QoS beobachtet wird.
15633
Created On 01/10/20 08:01 AM - Last Modified 03/26/21 18:01 PM
Symptom
- Die Paketpufferauslastung wäre normal.
- Paketdeskriptoren würden hoch laufen.
- Globale Zähler zeigen hohe Werte für Zähler" pkt_recv ", "flow_qos_pkt_enque", flow_qos_pkt_deque wie unten gesehen angezeigt.
----------------------------------------------------Zähler von PA 3050---------------------------------------------------------------------------
pkt_recv 747016 183948 Infopaket pktproc Packets
empfangen flow_qos_pkt_enque 703327 173190 Info Flow Qos Packet enqueued to QoS module
flow_qos_pkt_deque 703343 173194 info flow qos Packet dequeued from QoS module
--------------------------------------------------------------------------------------------------------------------------------------------------------------
pkt_recv 747016 183948 Infopaket pktproc Packets
empfangen flow_qos_pkt_enque 703327 173190 Info Flow Qos Packet enqueued to QoS module
flow_qos_pkt_deque 703343 173194 info flow qos Packet dequeued from QoS module
--------------------------------------------------------------------------------------------------------------------------------------------------------------
- Wenn QoS deaktiviert ist, kann man einen Rückgang der Paketdeskriptorauslastung und einen signifikanten Rückgang des "pkt_recv"-Zählers beobachten, und es gäbe keine Zähler für "flow_qos_pkt_enque" und "flow_qos_pkt_deque". Dadurch würde ein Rückgang der Datenebenenauslastung angezeigt.
------------------------------------------------------Zähler von PA 3050-------------------------------------------------------------------------
pkt_recv 46516 33634 Infopaket pktproc Pakete
empfangen pkt_recv 24067 34778 info paket pktproc Packets ----------------------------------------------------------------------------------------------------------------------------------------------------------------
pkt_recv 46516 33634 Infopaket pktproc Pakete
empfangen pkt_recv 24067 34778 info paket pktproc Packets ----------------------------------------------------------------------------------------------------------------------------------------------------------------
Environment
- Any PAN-OS
- Palo Alto 3000 Serie Firewall .
- QoS aktiviert.
Cause
- Auf einer PA-3000 Serie von Geräten wird QoS in Software (auf ) CPU durchgeführt.
- Wenn QoS aktiviert ist, wird der gesamte Datenverkehr, der in die Datenebene eingeht firewall (einschließlich des ausgelagerten Datenverkehrs), auf die Datenebene treffen, damit die Entscheidung getroffen werden kann, CPU welcher Datenverkehr von firewall QoS gedrosselt werden muss, und dies erhöht die Last auf der DP .
- Wenn QoS deaktiviert ist, wird ein Teil des Datenverkehrs entladen, wodurch die Last auf der reduziert DP wird.
Resolution
- Deaktivieren von QoS
- Verwenden Sie in diesem Fall die Plattformen, die QoS in hardware (für die 3200er-Serie) Firewall unterstützen.