在 PA 启用 QoS 的 3000 系列防火墙上观察到的高数据飞机利用率。
15626
Created On 01/10/20 08:01 AM - Last Modified 03/26/21 18:01 PM
Symptom
- 数据包缓冲区利用率正常。
- 数据包描述符将运行高。
- 全局计数器显示计数器"pkt_recv"flow_qos_pkt_enque"flow_qos_pkt_deque值的高值。
----------------------------------------------------计数器从 PA 3050---------------------------------------------------------------------------
pkt_recv 747016 183948 信息包 pktproc 数据包收到flow_qos_pkt_enque
703327 1 73190信息流qos数据包被包裹到QoS模块
flow_qos_pkt_deque 703343 173194信息流qos数据包从QoS模块
--------------------------------------------------------------------------------------------------------------------------------------------------------------
pkt_recv 747016 183948 信息包 pktproc 数据包收到flow_qos_pkt_enque
703327 1 73190信息流qos数据包被包裹到QoS模块
flow_qos_pkt_deque 703343 173194信息流qos数据包从QoS模块
--------------------------------------------------------------------------------------------------------------------------------------------------------------
- 禁用 QoS 后,可以观察到数据包描述符利用率下降,"pkt_recv"计数器显著下降,并且"flow_qos_pkt_enque"和"flow_qos_pkt_deque"没有计数器。 因此,您会看到数据平面利用率下降。
------------------------------------------------------计数器从 PA 3050-------------------------------------------------------------------------pkt_recv
46516 33634 信息包 pktproc 数据包收到pkt_recv
24067 34778 信息包 pktproc 包收到
----------------------------------------------------------------------------------------------------------------------------------------------------------------
46516 33634 信息包 pktproc 数据包收到pkt_recv
24067 34778 信息包 pktproc 包收到
----------------------------------------------------------------------------------------------------------------------------------------------------------------
Environment
- 一个尼 PAN-OS
- 帕洛阿尔托3000系列 Firewall 。
- 已启用 QoS。
Cause
- 在 PA-3000 一系列设备上,QoS 是在软件中完成 CPU 的(打开)。
- 启用 QoS 后,所有进入的流量 firewall 都将击中 CPU Dataplane(包括卸载的流量), firewall 以便决定哪些流量需要 QoS 限制,这将增加负载 DP 。
- 随着QoS禁用一些流量将被卸载,从而减少负载 DP 的。
Resolution
- 禁用 QoS
- 在这种情况下,使用支持 hardware QoS(3200系列 Firewall )的平台。