Erklärung der logischen Schnittstellenpaket-Drop-Counter
74080
Created On 07/28/20 20:04 PM - Last Modified 03/26/21 18:31 PM
Symptom
Beobachtete eine Zunahme der Drop-Pakete auf der logischen Schnittstelle.
Environment
- PAN-OS Alle nächste Generation Firewall
Cause
Unterschied zwischen hardware Schnittstellenstatistiken und logischen Schnittstellenstatistiken
- Jede Schnittstelle auf der firewall (z. B. Ethernet1/1) besteht aus einer physikalischen und logischen Komponente
- Die physikalische Komponente ( ) ist für die hardware Layer-1- und Layer-2-Rahmenverarbeitung verantwortlich.
- Die logische Komponente ist für Layer-3 und höher für die Paketverarbeitung verantwortlich.
- Paketverluste auf der physischen Schnittstelle weisen im Allgemeinen auf einen Fehler (entweder auf dem , verbundenen Gerät oder der hardware firewall Verkabelung) oder Layer-2-Konflikt einer Art ( MTU , Fehler CRC usw.) hin.
- Paketverluste auf der logischen Schnittstelle zeigen datenverkehrsabhängig an, der von der Verarbeitung der vor Sicherheitsregelbasis gelöscht wird, firewall da der empfangene Datenverkehr von einem Typ ist, den der firewall nicht verarbeiten kann. Dieses Verhalten ist zu erwarten.
- Hardware Schnittstellenpaket-Drops werden direkt vom Netzwerkprozessor des Geräts (z. B. FE20, FE100, FE101) behandelt. logische Schnittstellenpaket-Drops werden von den Datenebenen-CPUs behandelt
- Details zu logischen Schnittstellenpaket-Drops finden Sie über die globalen Systemzähler, die unten aufgeführt sind
Gründe für logische Schnittstellenpaket-Tropfen
Aus einem oder mehreren der folgenden Gründe können logische Schnittstellenpaketverluste auftreten
- A Nicht-Syn-Paket, TCP das das Paket firewall durchquert, wenn der firewall das Paket nicht gesehen hat SYN
- Ungültige MAC Zieladresse
- Ungültiges Ziel VLAN tag
- Ungültiges Ziel IP
- Ungültig TCP / UDP Port
- Multicastpaket, das auf derselben Schnittstelle empfangen wird
- IPNicht-Pakete (außer ARP ) empfangen
- Es ist keine Topologie konfiguriert (d. h. keine Route verfügbar)
- Sitzungseinrichtungsfehler / keine firewall Ressourcen verfügbar
- A Verwerfen-Route gefunden
- Paket, das von PBP ( Packet BufferProtection) abgelegt wurde
- Paket von SYN-COOKIES oder RED (Random Early Drop) gelöscht
Resolution
Dieses Verhalten ist nach Design/erwartet
Additional Information
Beispiel für logische Schnittstellenverluste
Schnittstelle ethernet1/1 anzeigen
...
Logische Schnittstellenzähler gelesen von CPU : -------------------------------------------------------------------- Bytes empfangen
26089926955
Bytes übertragen 4755803472
Pakete empfangen 58418264
Pakete übertragen 10517325
Empfangsfehler 0 Pakete fallen 30037
...
--------------------------------------------------------------------
...
Logische Schnittstellenzähler gelesen von CPU : -------------------------------------------------------------------- Bytes empfangen
26089926955
Bytes übertragen 4755803472
Pakete empfangen 58418264
Pakete übertragen 10517325
Empfangsfehler 0 Pakete fallen 30037
...
--------------------------------------------------------------------
Nach erfolgreicher L2-Analyse, wie z. B. der Überprüfung von Header-Prüfsummen des Pakets in hardware , werden weitere L3-L4-Prüfungen für das Paket durchgeführt.
Wir können den genauen Grund für den Paketabwurf von den globalen Zählern überprüfen. Beispielsweise werden die Pakete in diesem Beispiel aufgrund des hervorgehobenen Grunds in den folgenden globalen Leistungsindikatoren verworfen:
Zähler globales Filterdelta anzeigen ja
Mit diesem Befehl werden logische Schnittstellenzähler mit diesem speziellen Beispiel angezeigt:
Globalen | anzeigen Match flow_tcp_non_syn_drop
Globale Zähler:
Verstrichene Zeit seit dem letzten Sampling: 1.150 Sekunden
Namenswertrate Schweregrad Kategorie Beschreibung
---------------------------------------------------------------
flow_tcp_non_syn_drop 34028 0 Drop Flow Session Pakete gelöscht: SYN TCP nicht- ohne Sitzungsübereinstimmung
Verstrichene Zeit seit dem letzten Sampling: 1.150 Sekunden
Namenswertrate Schweregrad Kategorie Beschreibung
---------------------------------------------------------------
flow_tcp_non_syn_drop 34028 0 Drop Flow Session Pakete gelöscht: SYN TCP nicht- ohne Sitzungsübereinstimmung
Das folgende Beispiel zeigt, wie der hardware Drop nicht zunimmt, egal wie die logische Abwurfzahl ist; dies zeigt an, dass es keine Levelprobleme gibt und in Ihrer Umgebung je nach Datenverkehr normal sein hardware kann.
In der Ausgabe unten ist die erste "Packets Dropped"-Nummer aus dem Abschnitt Hardware "Schnittstellenzähler von CPU :" und zeigt hardware Pakettropfen an.
Die zweite "Packets Dropped"-Nummer stammt aus dem Abschnitt "Logische Schnittstellenzähler, die von :" gelesen werden CPU und zeigt logische Paketverluste an. Dies weist darauf hin, dass der hardware ordnungsgemäß funktioniert.
Interface ethernet1/1 | anzeigen Match-Drop
admin@fw01> zeigen Schnittstelle ethernet1/1 | Match-Drop-Pakete
fielen 0
Pakete 42709
Beispieltest mit HPing3fielen 0
Pakete 42709
Mit dem hping3-Paketgenerator initialisierte Palo Alto Networks nur Nicht-Syn-Datenverkehr mit dem folgenden Befehl:
hping3 8.8.8.8 -a X . X . . X X -s 3000 -p 80 - P -c l
Wo . . . die Quelle darstellt - ist die X X X X IP
P Push-Flagge
Wo . . . die Quelle darstellt - ist die X X X X IP
P Push-Flagge
Über die Befehlsausgabe unten können Sie sehen, dass ein Paket in den Schnittstellenpaketzählern ordnungsgemäß empfangen und verarbeitet hardware wurde, während ein Paket empfangen und dann aufgrund flow_tcp_non_syn_drop in den logischen Schnittstellenpaketzählern abgelegt wurde, wie von den globalen Leistungsindikatoren angezeigt.
Hardware Schnittstellenzähler gelesen von CPU : ----------------------------------------------------------------------------- Bytes empfangen
60 Bytes übertragen 0 Pakete empfangen
1 Pakete gesendet
1
Pakete übertragen 0 empfangen eingehende Fehler 0 empfangen
0
Empfangsfehler
0 Pakete fallen gelassen 0 -----------------------------------------------------------------------------
Logische Schnittstelle Zähler gelesen von : ----------------------------------------------------------------------------- Bytes empfangen CPU
60 Bytes übertragen 0
Pakete gesendet 1 Pakete gesendet
0
Empfangsfehler 0
Pakete fallen gelassen 1
Txt gelöscht...
-----------------------------------------------------------------------------
60 Bytes übertragen 0 Pakete empfangen
1 Pakete gesendet
1
Pakete übertragen 0 empfangen eingehende Fehler 0 empfangen
0
Empfangsfehler
0 Pakete fallen gelassen 0 -----------------------------------------------------------------------------
Logische Schnittstelle Zähler gelesen von : ----------------------------------------------------------------------------- Bytes empfangen CPU
60 Bytes übertragen 0
Pakete gesendet 1 Pakete gesendet
0
Empfangsfehler 0
Pakete fallen gelassen 1
Txt gelöscht...
-----------------------------------------------------------------------------
Globales Filterdelta anzeigen ja
Globale Zähler:
Verstrichene Zeit seit dem letzten Sampling: 34,640 Sekunden
Namenswertrate Schweregrad Beschreibung Kategorie Beschreibung
----------------------------------------------------------------------------- flow_tcp_non_syn 1 0
Info-Flow-Sitzung SYN TCP Nicht-Pakete ohne Sitzungsübereinstimmung flow_tcp_non_syn_drop 1 0
Drop-Flow-Sitzung Pakete verworfen: SYN TCP nicht- ohne Sitzungsübereinstimmung
Globale Zähler:
Verstrichene Zeit seit dem letzten Sampling: 34,640 Sekunden
Namenswertrate Schweregrad Beschreibung Kategorie Beschreibung
----------------------------------------------------------------------------- flow_tcp_non_syn 1 0
Info-Flow-Sitzung SYN TCP Nicht-Pakete ohne Sitzungsübereinstimmung flow_tcp_non_syn_drop 1 0
Drop-Flow-Sitzung Pakete verworfen: SYN TCP nicht- ohne Sitzungsübereinstimmung
Zusätzliche Debugging-Informationen aus 'flow basic' im Palo Alto Networks' TAC Labor bieten zusätzliche Einblicke in den Grund für diese Tropfen:
== 2020-07-27 10:01:04.458 -0700 ==
Paket empfangen in der Eingangsphase, tag 0, Typ ORDERED
Paketinfo: len 60 Port 69 Schnittstelle 69 vsys 1
wqe index 2097054 Paket 0x0x8000001fd5f8e0f6, HA : 0, : 0 IC
Paketdekodiertes Dump:
L2: 00:50:56:81:9c:f2->00:86:9c:07:55:45, Typ 0x0800
IP : 192.168.48.166->8.8.8.8, Protokoll 6 Version
4, ihl 5, tos 0x00, len 40,
id 26991, frag_off 0x0000, ttl 64, checksum 4099(0x1003) : sport
TCP 3000, dport 80, seq 450715754, ack 538818507,
reserviert 0, Offset 5, Fenster 512, checkum 19782, flags 0x08 ( ), dringende Daten
PSH 0, l4 data len 0
TCP option: Flow
Lookup, Schlüsselwort0 0xbb8005000040600 Word1 0 word2 0xffffc0a830a6 word3 0x0 word4 0xffff08080808
Flow nicht gefunden, 0 HA
Session-Setup: vsys 1
Kein aktiver Flow gefunden, enqueue, um Sitzung zu erstellen
==
2020-07-27 10:01:04.458 -0700 ==
Paket in der Slowpath-Phase empfangen , tag 583253716, Typ ATOMIC
Paketinfo: len 60 Port 69 Schnittstelle 69 vsys 1
wqe index 2097054 paket 0x0x8000001fd5f8e0f6, HA : 0, : 0 IC
Paketdekodiertes Dump:
L2: 00:50:56:81:9c:f2->00:86:9c:07:55:45, Typ 0x0800
IP : 192.168.48.166->8.8.8.8, Protokoll 6 Version
4, ihl 5, tos 0x00, len 40,
id 26991, frag_off 0x0000, ttl 64, checksum 4099(0x1003)
TCP : sport 3000, dport 80, seq 450715754, ack 538818507,
reserviert 0, Offset 5, Fenster 512, prüfsumme 19 7782,
flags 0x08 ( ), PSH dringliche Daten 0, l4 data len 0
TCP Option:
Session-Setup: vsys 1
Syncookie-Zeitzähler-Nichtübereinstimmung
* Dos-Profil NULL ( ) Index NO (0/0) *
Paket gelöscht, Nicht-Paket SYN TCP während Sitzungs-Setup
paketiert verworfen, Sitzungseinrichtung fehlgeschlagen
Paket empfangen in der Eingangsphase, tag 0, Typ ORDERED
Paketinfo: len 60 Port 69 Schnittstelle 69 vsys 1
wqe index 2097054 Paket 0x0x8000001fd5f8e0f6, HA : 0, : 0 IC
Paketdekodiertes Dump:
L2: 00:50:56:81:9c:f2->00:86:9c:07:55:45, Typ 0x0800
IP : 192.168.48.166->8.8.8.8, Protokoll 6 Version
4, ihl 5, tos 0x00, len 40,
id 26991, frag_off 0x0000, ttl 64, checksum 4099(0x1003) : sport
TCP 3000, dport 80, seq 450715754, ack 538818507,
reserviert 0, Offset 5, Fenster 512, checkum 19782, flags 0x08 ( ), dringende Daten
PSH 0, l4 data len 0
TCP option: Flow
Lookup, Schlüsselwort0 0xbb8005000040600 Word1 0 word2 0xffffc0a830a6 word3 0x0 word4 0xffff08080808
Flow nicht gefunden, 0 HA
Session-Setup: vsys 1
Kein aktiver Flow gefunden, enqueue, um Sitzung zu erstellen
==
2020-07-27 10:01:04.458 -0700 ==
Paket in der Slowpath-Phase empfangen , tag 583253716, Typ ATOMIC
Paketinfo: len 60 Port 69 Schnittstelle 69 vsys 1
wqe index 2097054 paket 0x0x8000001fd5f8e0f6, HA : 0, : 0 IC
Paketdekodiertes Dump:
L2: 00:50:56:81:9c:f2->00:86:9c:07:55:45, Typ 0x0800
IP : 192.168.48.166->8.8.8.8, Protokoll 6 Version
4, ihl 5, tos 0x00, len 40,
id 26991, frag_off 0x0000, ttl 64, checksum 4099(0x1003)
TCP : sport 3000, dport 80, seq 450715754, ack 538818507,
reserviert 0, Offset 5, Fenster 512, prüfsumme 19 7782,
flags 0x08 ( ), PSH dringliche Daten 0, l4 data len 0
TCP Option:
Session-Setup: vsys 1
Syncookie-Zeitzähler-Nichtübereinstimmung
* Dos-Profil NULL ( ) Index NO (0/0) *
Paket gelöscht, Nicht-Paket SYN TCP während Sitzungs-Setup
paketiert verworfen, Sitzungseinrichtung fehlgeschlagen