PA-VMNutanixプラットフォームに導入されたバッファの枯渇 virtualization
9269
Created On 03/18/20 16:30 PM - Last Modified 03/26/21 18:11 PM
Symptom
パケット バッファの使用率が高く、通過するすべてのユーザ トラフィック firewall に影響が及ぶ
- 以下のコマンドの出力を確認 CLI する
> debug dataplane pool statistics
Pow Atomic Memory Pools
[ 0] Work Queue Entries : 98276/98304 0xe02965bf80
[ 1] Packet Buffers : 44/24576 0xe02ae9bf80
- dp-monitor ログを確認する
dp-monitor Logs:
dp-monitor.log.4 2019-09-23 18:36:51 :[ 1] Packet Buffers : 18358/24576 0xe02ae9bf80
dp-monitor.log.4 2019-09-23 18:46:50 :[ 1] Packet Buffers : 18304/24576 0xe02ae9bf80
dp-monitor.log.4 2019-09-23 18:56:51 :[ 1] Packet Buffers : 18306/24576 0xe02ae9bf80
dp-monitor.log 2019-09-26 14:17:16 :[ 1] Packet Buffers : 44/24576 0xe02ae9bf80
dp-monitor.log 2019-09-26 14:27:18 :[ 1] Packet Buffers : 42/24576 0xe02ae9bf80
dp-monitor.log 2019-09-26 14:37:20 :[ 1] Packet Buffers : 28/24576 0xe02ae9bf80
dp-monitor.log 2019-09-26 14:47:18 :[ 1] Packet Buffers : 24/24576 0xe02ae9bf80
dp-monitor.log 2019-09-26 14:57:17 :[ 1] Packet Buffers : 17/24576 0xe02ae9bf80
dp-monitor.log 2019-09-26 15:07:15 :[ 1] Packet Buffers : 5/24576 0xe02ae9bf80
Run below CLI command to verify if the below counters are incrementing> show counter global filter delta yes | match clone pkt_swbuf_clone 251453 0 info packet pktproc Packets replicated using software buffer flow_tunnel_ipsec_esp_encap_swbuf 142403 0 info flow tunnel Packet encapped: IPSec ESP encrypt clear text pkts with cloned swbuf
Environment
- プラットフォーム: PAN-OS
- 展開: VM- シリーズ
Cause
- クリアテキストの pkts の中には、ソフトウェアクローン pkts が存在するものもあります。 ESPクリア テキスト pkt の空きフラグが割り当てられた hw pkt にコピーされ(暗号化される)ため、暗号化された pkt が漏洩します。
Resolution
- 回避策: 以下のコマンドを使用して、ソフトウェアパケットバッファのクローンを無効に CLI します。
> configure
# set deviceconfig setting pow wqe-swbuf-ref no
# commitこの問題は PAN-OS 9.0.8 以降および 9.1 以降で解決されています。