L’échec du trafic se produit avec la raison de fin de session « ressources non disponibles » après la mise à niveau vers PAN-OS 9.1.13 ou 10.0.10

76803

Created On 04/21/22 04:49 AM - Last Modified 04/24/24 17:50 PM

Symptom

Après la mise à niveau vers la version 9.1.13 ou 10.0.10, une défaillance inattendue du trafic peut se produire et le journal de trafic indique la PAN-OS raison de fin de session « ressources non disponibles ».

Environment

Toutes les plates-formes, y compris VM les pare-feu
Pare-feu fonctionnant sur PAN-OS 9.1.13 (inclut h1 et h3) ou 10.0.10 (n’inclut pas h1)
D’autres PAN-OS versions sont NOT concernées par ce problème

Cause

Si vous pouvez voir la raison de fin de session « ressources-indisponible » sous le journal de trafic sans pic d’utilisation des ressources après la mise à niveau PAN-OS vers les versions affectées, veuillez vérifier si le compteur « aho_alloc_lookup_failed » augmente ou non.

> show counter global name aho_alloc_lookup_failed

Name:           aho_alloc_lookup_failed
Value:          184328    <<<<<<---------------!!!!!!
Severity:       Warning
Category:       aho
Aspect:         resource
Description:    failed to alloc regex lookup

Si vous pouvez voir que le compteur ci-dessus augmente, veuillez également vérifier si les « Résultats Regex » sont épuisés.

> debug dataplane pool statistics | match "Regex Results"
[12] Regex Results             (13272):     15/8192     0x8000000109219180

Si votre firewall correspond aux symptômes ci-dessus, le problème peut atteindre PAN-189468.
Veuillez ouvrir un nouveau dossier de support via CSP le téléchargement du fichier de support technique, si vous avez besoin de notre aide pour vérifier l’état.

Resolution

Ce problème a été résolu dans PAN-OS les versions 9.1.14 et 10.0.10-h1 et 10.1.5
Effectuez une mise à niveau PAN-OS pour résoudre le problème.
Pour libérer le pool de mémoire « Regex Result » sur affecté PAN-OS, vous devez redémarrer le firewall.

Additional Information