升级到后出现流量失败,会话结束原因为“资源不可用”PAN-OS 9.1.13 或 10.0.10

升级到后出现流量失败,会话结束原因为“资源不可用”PAN-OS 9.1.13 或 10.0.10

76788
Created On 04/21/22 04:49 AM - Last Modified 04/24/24 17:50 PM


Symptom


升级后PAN-OS到 9.1.13 或 10.0.10,可能会发生意外流量故障,流量日志显示会话结束原因“资源不可用”。

Environment


  • 所有平台包括VM防火墙
  • 运行的防火墙PAN-OS9.1.13(包括 h1 和 h3)或 10.0.10(不包括 h1)
  • 其他PAN-OS版本是NOT受此问题影响

Cause


如果在升级后没有资源使用高峰的情况下,您可以在流量日志下看到会话结束原因“资源不可用”PAN-OS对于受影响的版本,请检查计数器“aho_alloc_lookup_failed”是否在增加。
> show counter global name aho_alloc_lookup_failed

Name:           aho_alloc_lookup_failed
Value:          184328    <<<<<<---------------!!!!!!
Severity:       Warning
Category:       aho
Aspect:         resource
Description:    failed to alloc regex lookup
如果您看到上面的计数器在增加,请同时检查“正则表达式结果”是否耗尽。
> debug dataplane pool statistics | match "Regex Results"
[12] Regex Results             (13272):     15/8192     0x8000000109219180

如果你的firewall符合上述症状,问题可能出在PAN-189468.
请通过打开一个新的支持案例CSP上传技术支持文件,如果您需要我们的帮助来检查情况。

Resolution


  • 此问题已修复PAN-OS9.1.14 和 10.0.10-h1 以及 10.1.5 版本
  • 升级PAN-OS解决问题。
  • 释放受影响的“正则表达式结果”内存池PAN-OS,你必须重新启动firewall.

Additional Information


PAN-189468在以下发行说明中列为已解决的问题:
PAN-OS 9.1.14 解决的问题
PAN-OS10.0.10-h 1 解决的问题
解决的关键问题PAN-OS发布
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004ODICA2&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language