Alta utilización de dataplane observada en un PA firewall de la serie 3000 con QoS habilitado.
15633
Created On 01/10/20 08:01 AM - Last Modified 03/26/21 18:01 PM
Symptom
- La utilización del búfer de paquetes sería normal.
- Los descriptores de paquetes se estarían agotando.
- Los contadores globales muestran valores altos observados para los contadores"pkt_recv", "flow_qos_pkt_enque", flow_qos_pkt_deque como se ve a continuación.
----------------------------------------------------Counters de PA 3050---------------------------------------------------------------------------
pkt_recv 747016 183948 info packet pktproc Packets
recibidos flow_qos_pkt_enque 703327 17 3190 flujo de información qos paquete encacado al módulo QoS
flow_qos_pkt_deque 703343 173194 flujo de información qos paquete dequeued del módulo QoS
--------------------------------------------------------------------------------------------------------------------------------------------------------------
pkt_recv 747016 183948 info packet pktproc Packets
recibidos flow_qos_pkt_enque 703327 17 3190 flujo de información qos paquete encacado al módulo QoS
flow_qos_pkt_deque 703343 173194 flujo de información qos paquete dequeued del módulo QoS
--------------------------------------------------------------------------------------------------------------------------------------------------------------
- Con QoS inhabilitado, uno puede observar una caída en la utilización del descriptor de paquetes y una caída significativa en el contador "pkt_recv" y no habría contadores para"flow_qos_pkt_enque"y"flow_qos_pkt_deque". De este modo, verá una caída en la utilización del plano de datos.
------------------------------------------------------Counters de PA 3050------------------------------------------------------------------------- pkt_recv
46516 33634 paquetes pktproc de paquetes de información recibidos
pkt_recv 24067 34778 paquetes pktproc de paquetes de información recibidos
----------------------------------------------------------------------------------------------------------------------------------------------------------------
46516 33634 paquetes pktproc de paquetes de información recibidos
pkt_recv 24067 34778 paquetes pktproc de paquetes de información recibidos
----------------------------------------------------------------------------------------------------------------------------------------------------------------
Environment
- UnaNY PAN-OS
- Palo Alto Serie 3000 Firewall .
- QoS habilitado.
Cause
- En un PA-3000 dispositivo de serie, QoS se realiza en software (activado). CPU
- Con el QoS habilitado, todo el tráfico que entra en vigor firewall el golpeará el plan de datos CPU (incluido el tráfico descargado) para que el tomara la decisión de firewall qué tráfico necesita ser limitado QoS y esto aumentará la carga en el DP .
- Con QoS inhabilitado parte del tráfico se descargará reduciendo así la carga en el DP .
Resolution
- Desactivar QoS
- Utilice las Plataformas que soportan QoS en hardware (Para 3200 Firewall Series) en este caso.