PA-VM部署在 Nutanix 平台上的缓冲耗 virtualization 竭
10636
Created On 03/18/20 16:30 PM - Last Modified 10/30/24 21:10 PM
Symptom
数据包缓冲区利用率高,所有通过的用户流量 firewall 都会受到影响
- 查看以下命令的输出 CLI
> debug dataplane pool statistics
Pow Atomic Memory Pools
[ 0] Work Queue Entries : 98276/98304 0xe02965bf80
[ 1] Packet Buffers : 44/24576 0xe02ae9bf80
- 查看 dp 监视器 日志
dp-monitor Logs:
dp-monitor.log.4 2019-09-23 18:36:51 :[ 1] Packet Buffers : 18358/24576 0xe02ae9bf80
dp-monitor.log.4 2019-09-23 18:46:50 :[ 1] Packet Buffers : 18304/24576 0xe02ae9bf80
dp-monitor.log.4 2019-09-23 18:56:51 :[ 1] Packet Buffers : 18306/24576 0xe02ae9bf80
dp-monitor.log 2019-09-26 14:17:16 :[ 1] Packet Buffers : 44/24576 0xe02ae9bf80
dp-monitor.log 2019-09-26 14:27:18 :[ 1] Packet Buffers : 42/24576 0xe02ae9bf80
dp-monitor.log 2019-09-26 14:37:20 :[ 1] Packet Buffers : 28/24576 0xe02ae9bf80
dp-monitor.log 2019-09-26 14:47:18 :[ 1] Packet Buffers : 24/24576 0xe02ae9bf80
dp-monitor.log 2019-09-26 14:57:17 :[ 1] Packet Buffers : 17/24576 0xe02ae9bf80
dp-monitor.log 2019-09-26 15:07:15 :[ 1] Packet Buffers : 5/24576 0xe02ae9bf80
Run below CLI command to verify if the below counters are incrementing> show counter global filter delta yes | match clone pkt_swbuf_clone 251453 0 info packet pktproc Packets replicated using software buffer flow_tunnel_ipsec_esp_encap_swbuf 142403 0 info flow tunnel Packet encapped: IPSec ESP encrypt clear text pkts with cloned swbuf
Environment
- 平台: PAN-OS
- 部署: VM- 系列
Cause
- 一些明文 pkts 可能是软件克隆 pkt 。 这将导致加密的 ESP pkt泄漏,因为清除文本pkt的无自由标志被复制到分配的hw pkt(加密)。
Resolution
- 解决方法:使用以下命令禁用软件包缓冲区克隆 CLI :
> configure
# set deviceconfig setting pow wqe-swbuf-ref no
# commit此问题在 PAN-OS 9.0.8 或更晚、9.1 或更晚时得到解决