Explicación del contador de caída de paquetes de interfaz lógica
74070
Created On 07/28/20 20:04 PM - Last Modified 03/26/21 18:31 PM
Symptom
Observó un aumento de los paquetes de caída en la interfaz lógica.
Environment
- PAN-OS Toda la próxima generación Firewall
Cause
Diferencia entre hardware las estadísticas de interfaz y las estadísticas de interfaz lógica
- Cada interfaz en el firewall (por ejemplo Ethernet1/1) se compone de un componente físico y lógico
- El componente físico ( hardware ) es responsable del procesamiento de fotogramas de capa 1 y capa 2
- El componente lógico es responsable del procesamiento de paquetes de capa 3 y superior
- Las caídas de paquetes en la interfaz física generalmente indican un hardware error (ya sea en firewall el, dispositivo conectado, o cableado) o discordancía de capa 2 de algún tipo MTU (, CRC errores, etc.).
- Las caídas de paquetes en la interfaz lógica indican el tráfico que es caído por el procesamiento antes de la firewall base de reglas de seguridad debido al tráfico recibido que es de un tipo que el no puede firewall procesar. Este comportamiento es de esperar.
- Hardware las caídas de paquetes de interfaz son manejadas directamente por el procesador de red del dispositivo (tales como FE20, FE100, FE101); las caídas de paquetes de interfaz lógica son manejadas por las CPU del plano de datos
- Los detalles sobre las caídas de paquetes de interfaz lógica se pueden ver a través de los contadores globales del sistema, que se detallan a continuación
Razones de las caídas de paquetes de interfaz lógica
Usted puede experimentar caídas lógicas de paquetes de interfaz por una o más de las siguientes razones
- A Paquete no Syn TCP atravesando el firewall cuando el no ha visto el firewall SYN paquete
- Dirección de destino no válida MAC
- Destino no válido VLAN tag
- Destino no válido IP
- No válido TCP / UDP puerto
- Paquete multidifusión recibido en la misma interfaz
- No IP paquetes ARP (distintos) recibidos
- No se configura ninguna topología (es decir, ninguna ruta disponible)
- Error en la configuración de la sesión / sin firewall recursos disponibles
- A ruta de descarte se encuentra
- Paquete caído PBP por ( Protección del búfer depaquetes)
- Paquete caído por SYN-COOKIES o RED (Caída temprana aleatoria)
Resolution
Este comportamiento es por diseño/esperado
Additional Information
Ejemplo de caídas lógicas de la interfaz
mostrar interfaz ethernet1/1
...
Contadores de interfaz lógicos leídos CPU de:
-------------------------------------------------------------------- bytes
recibidos 26089926955
bytes transmitidos 4755803472
paquetes recibidos 58418264
paquetes transmitidos 10517325
reciben errores 0 paquetes
caídos 30037
...
--------------------------------------------------------------------
...
Contadores de interfaz lógicos leídos CPU de:
-------------------------------------------------------------------- bytes
recibidos 26089926955
bytes transmitidos 4755803472
paquetes recibidos 58418264
paquetes transmitidos 10517325
reciben errores 0 paquetes
caídos 30037
...
--------------------------------------------------------------------
Después del análisis acertado L2 tal como verificar las sumas de comprobación del encabezado del paquete en hardware , se hacen más comprobaciones L3-L4 en el paquete.
Podemos marcar la razón exacta de la caída del paquete de los contadores globales. Por ejemplo, los paquetes en este ejemplo se caen debido a la razón resaltada en los contadores globales abajo:
show counter global filter delta yes With this command verá
contadores de interfaz lógicos con este ejemplo específico:
mostrar contra | global partido flow_tcp_non_syn_drop
Contadores globales:
Tiempo transcurrido desde el último muestreo: 1.150 segundos
nombre valor tasa gravedad descripción de aspecto
---------------------------------------------------------------
flow_tcp_non_syn_drop 34028 0 caída de la sesión de flujo de caída: no SYN TCP sin coincidencia de sesión
Tiempo transcurrido desde el último muestreo: 1.150 segundos
nombre valor tasa gravedad descripción de aspecto
---------------------------------------------------------------
flow_tcp_non_syn_drop 34028 0 caída de la sesión de flujo de caída: no SYN TCP sin coincidencia de sesión
El ejemplo siguiente muestra cómo la hardware caída no está aumentando sin embargo el recuento lógico de caídas es; esto indica que no hay hardware problemas de nivel y puede ser normal en su entorno dependiendo del flujo de tráfico.
En la salida abajo, el primer número "Paquetes caídos" es de la sección Hardware "contadores de interfaz leídos de CPU :" y visualiza las caídas de hardware paquetes.
El segundo número "Paquetes caídos" es de la sección "Contadores de interfaz lógicos leídos de CPU :" y muestra las caídas lógicas del paquete. Esto indica que el hardware funciona correctamente.
mostrar interfaz ethernet1/1 | caída del partido
admin@fw01> mostrar interfaz ethernet1/1 | paquetes de caída de coincidencia
caídos 0
paquetes caídos 42709
Prueba de ejemplo con HPing3caídos 0
paquetes caídos 42709
Usando el generador de paquetes hping3, Palo Alto Networks inicializó solamente el tráfico no syn con el siguiente comando:
hping3 8.8.8.8 -a X . . . . X X X -s 3000 -p 80 - P -c l
Donde . . representa la fuente - es el indicador X X X X IP
P push
Donde . . representa la fuente - es el indicador X X X X IP
P push
De la salida del comando abajo, usted puede ver que un paquete fue recibido y procesado correctamente en los contadores de paquetes de la hardware interfaz, mientras que un paquete fue recibido y después caído en los contadores de paquetes de la interfaz lógica debido a flow_tcp_non_syn_drop como lo muestran los contadores globales.
Hardware Contadores de interfaz leídos CPU de:
----------------------------------------------------------------------------- bytes
recibidos 60
bytes transmitidos 0
paquetes recibidos 1
paquetes transmitidos 0
reciben errores entrantes 0
reciben errores de recepción
descartados 0
paquetes caídos 0
-----------------------------------------------------------------------------
Contadores de interfaz lógica leídos CPU de: ----------------------------------------------------------------------------- bytes
recibidos 60
bytes transmitidos 0 paquetes
recibidos 1
paquetes transmitidos 0
errores de recepción 0 paquetes
caídos 1 Txt eliminados...
-----------------------------------------------------------------------------
----------------------------------------------------------------------------- bytes
recibidos 60
bytes transmitidos 0
paquetes recibidos 1
paquetes transmitidos 0
reciben errores entrantes 0
reciben errores de recepción
descartados 0
paquetes caídos 0
-----------------------------------------------------------------------------
Contadores de interfaz lógica leídos CPU de: ----------------------------------------------------------------------------- bytes
recibidos 60
bytes transmitidos 0 paquetes
recibidos 1
paquetes transmitidos 0
errores de recepción 0 paquetes
caídos 1 Txt eliminados...
-----------------------------------------------------------------------------
mostrar contador global de filtro global delta sí
Contadores globales:
Tiempo transcurrido desde el último muestreo: 34.640 segundos nombre valor tasa gravedad descripción del aspecto ----------------------------------------------------------------------------- flow_tcp_non_syn
1 0 sesión de flujo de información No SYN TCP paquetes sin coincidencia de sesión flow_tcp_non_syn_drop
1 0 caída de la sesión de flujo de caída Paquetes caídos: no SYN TCP sin coincidencia de sesión
Contadores globales:
Tiempo transcurrido desde el último muestreo: 34.640 segundos nombre valor tasa gravedad descripción del aspecto ----------------------------------------------------------------------------- flow_tcp_non_syn
1 0 sesión de flujo de información No SYN TCP paquetes sin coincidencia de sesión flow_tcp_non_syn_drop
1 0 caída de la sesión de flujo de caída Paquetes caídos: no SYN TCP sin coincidencia de sesión
La información adicional de depuración del laboratorio 'flow basic' en el laboratorio de Palo Alto Networks TAC proporciona información adicional sobre el motivo de estas caídas:
== 2020-07-27 10:01:04.458 -0700 ==
Packet received at ingress stage, tag 0, type ORDERED
Packet info: len 60 port 69 interface 69 vsys 1
wqe index 2097054 packet 0x0x8000001fd5f8e0f6, HA : 0, IC : 0
Packet decoded dump:
L2: 00:50:56:81:9c:f2->00:86:9c:07:55:45, type 0x0800
IP : 192.168.48.166->8.8.8.8, protocol 6
version 4, ihl 5, tos 0x00, len 40,
id 26991, frag_off 0x0000, ttl 64, checksum 4099(0x1003)
TCP : sport 3000, dport 80, seq 450715754, ack 538818507,
reserved 0, offset 5, window 512, checksum 19782,
flags 0x08 ( PSH ), urgent data 0, l4 data len 0
TCP option:
Flow lookup, key word0 0xbb8005000040600 word1 0 word2 0xffffc0a830a6 word3 0x0 word4 0xffff08080808
Flow not found, HA 0
Session setup: vsys 1
No active flow found, enqueue to create session
== 2020-07-27 10:01:04.458 -0700 ==
Packet received at slowpath stage , tag 583253716, type ATOMIC
Packet info: len 60 port 69 interface 69 vsys 1
wqe index 2097054 packet 0x0x8000001fd5f8e0f6, HA : 0, IC : 0
Packet decoded dump:
L2: 00:50:56:81:9c:f2->00:86:9c:07:55:45, type 0x0800
IP : 192.168.48.166->8.8.8.8, protocol 6
version 4, ihl 5, tos 0x00, len 40,
id 26991, frag_off 0x0000, ttl 64, checksum 4099(0x1003)
TCP : sport 3000, dport 80, seq 450715754, ack 538818507,
reserved 0, offset 5, window 512, checksum 19782,
flags 0x08 ( PSH ), urgent data 0, l4 data len 0
TCP option:
Session setup: vsys 1
Syncookie time count mismatch
* Dos Profile NULL ( NO ) Index (0/0) *
Packet dropped, non- SYN TCP packet during session setup
Packet dropped, Session setup failed
Packet received at ingress stage, tag 0, type ORDERED
Packet info: len 60 port 69 interface 69 vsys 1
wqe index 2097054 packet 0x0x8000001fd5f8e0f6, HA : 0, IC : 0
Packet decoded dump:
L2: 00:50:56:81:9c:f2->00:86:9c:07:55:45, type 0x0800
IP : 192.168.48.166->8.8.8.8, protocol 6
version 4, ihl 5, tos 0x00, len 40,
id 26991, frag_off 0x0000, ttl 64, checksum 4099(0x1003)
TCP : sport 3000, dport 80, seq 450715754, ack 538818507,
reserved 0, offset 5, window 512, checksum 19782,
flags 0x08 ( PSH ), urgent data 0, l4 data len 0
TCP option:
Flow lookup, key word0 0xbb8005000040600 word1 0 word2 0xffffc0a830a6 word3 0x0 word4 0xffff08080808
Flow not found, HA 0
Session setup: vsys 1
No active flow found, enqueue to create session
== 2020-07-27 10:01:04.458 -0700 ==
Packet received at slowpath stage , tag 583253716, type ATOMIC
Packet info: len 60 port 69 interface 69 vsys 1
wqe index 2097054 packet 0x0x8000001fd5f8e0f6, HA : 0, IC : 0
Packet decoded dump:
L2: 00:50:56:81:9c:f2->00:86:9c:07:55:45, type 0x0800
IP : 192.168.48.166->8.8.8.8, protocol 6
version 4, ihl 5, tos 0x00, len 40,
id 26991, frag_off 0x0000, ttl 64, checksum 4099(0x1003)
TCP : sport 3000, dport 80, seq 450715754, ack 538818507,
reserved 0, offset 5, window 512, checksum 19782,
flags 0x08 ( PSH ), urgent data 0, l4 data len 0
TCP option:
Session setup: vsys 1
Syncookie time count mismatch
* Dos Profile NULL ( NO ) Index (0/0) *
Packet dropped, non- SYN TCP packet during session setup
Packet dropped, Session setup failed