Explication logique de compteur de drop de paquet d’interface
74072
Created On 07/28/20 20:04 PM - Last Modified 03/26/21 18:31 PM
Symptom
Observé une augmentation des paquets de drop sur l’interface logique.
Environment
- PAN-OS Toute la prochaine génération Firewall
Cause
Différence entre les statistiques hardware d’interface et les statistiques d’interface logique
- Chaque interface sur le firewall (par exemple Ethernet1/1) est composée à la fois d’une composante physique et logique
- Le composant physique hardware () est responsable du traitement des images de couche 1 et de couche-2
- Le composant logique est responsable du traitement des paquets de couche-3 et au-dessus
- Les chutes de paquets sur l’interface physique indiquent généralement hardware une erreur (soit sur firewall l’appareil connecté, soit sur le câblage) ou un décalage de couche-2 quelconque MTU (, CRC erreurs, etc.).
- Les chutes de paquets sur l’interface logique indiquent que le trafic qui est supprimé par le traitement de la base de règles de sécurité avant en raison du trafic reçu étant firewall d’un type que le firewall ne peut pas traiter. Ce comportement est à prévoir.
- Hardware les gouttes de paquets d’interface sont traitées directement par le processeur réseau de l’appareil (tels que FE20, FE100, FE101); les gouttes de paquets d’interface logique sont traitées par les processeurs de dataplane
- Les détails sur les gouttes de paquets d’interface logique peuvent être vus via les compteurs mondiaux du système, détaillés ci-dessous
Raisons pour les baisses de paquet d’interface logique
Vous pouvez éprouver des baisses de paquets d’interface logiques pour une ou plusieurs des raisons suivantes
- A Paquet non syn TCP traversant le lorsque firewall le firewall n’a pas vu le SYN paquet
- Adresse de destination MAC non valide
- Destination invalide VLAN tag
- Destination invalide IP
- Invalide TCP / UDP port
- Paquet multicast reçu sur la même interface
- IPNon-paquets (autres que ARP ) reçus
- Aucune topologie n’est configurée (c’est-à-dire aucun itinéraire disponible)
- Échec de configuration de session / aucune firewall ressources disponible
- A l’itinéraire de rejet est trouvé
- Paquet déposé par PBP ( Protection tamponpaquet)
- Paquet déposé par SYN-COOKIES ou RED (Random Early Drop)
Resolution
Ce comportement est par conception/ attendu
Additional Information
Exemple de baisse de l’interface logique
afficher interface ethernet1/1
...
Compteurs d’interface logique lu CPU à partir de : --------------------------------------------------------------------
octets reçus 26089926955
octets transmis 4755803472
paquets reçus 58418264
paquets transmis 10517325
recevoir des erreurs 0
paquets supprimés 30037
...
--------------------------------------------------------------------
...
Compteurs d’interface logique lu CPU à partir de : --------------------------------------------------------------------
octets reçus 26089926955
octets transmis 4755803472
paquets reçus 58418264
paquets transmis 10517325
recevoir des erreurs 0
paquets supprimés 30037
...
--------------------------------------------------------------------
Après un analyse L2 réussi, comme la vérification des contrôles de l’en-tête du hardware paquet, d’autres contrôles L3-L4 sont effectués sur le paquet.
Nous pouvons vérifier la raison exacte de la chute du paquet des compteurs mondiaux. Par exemple, les paquets dans cet exemple sont supprimés en raison de la raison surlignée dans les compteurs mondiaux ci-dessous:
afficher le contre-filtre global delta oui
Avec cette commande, vous verrez des compteurs d’interface logique avec cet exemple spécifique:
montrer contre les problèmes | match flow_tcp_non_syn_drop
Compteurs mondiaux :
Temps écoulé depuis le dernier échantillonnage : 1,150 seconde description de l’aspect de la catégorie de gravité du taux
de valeur nominative ---------------------------------------------------------------
flow_tcp_non_syn_drop34028 0 session de débit de chute Paquets supprimés : correspondance sans SYN TCP session
Temps écoulé depuis le dernier échantillonnage : 1,150 seconde description de l’aspect de la catégorie de gravité du taux
de valeur nominative ---------------------------------------------------------------
flow_tcp_non_syn_drop34028 0 session de débit de chute Paquets supprimés : correspondance sans SYN TCP session
L’exemple ci-dessous montre comment hardware la baisse n’augmente pas mais le nombre logique de baisses est; cela indique qu’il n’y a pas de problèmes de niveau hardware et peut être normal dans votre environnement en fonction du flux de trafic.
Dans la sortie ci-dessous, le premier numéro « Paquets abandonnés » est de la section " Hardware compteurs d’interface lus à CPU partir de : » et affiche les gouttes hardware de paquets.
Le deuxième numéro « Paquets supprimés » est de la section « Compteurs d’interface logique lu à partir CPU de : » et affiche des gouttes de paquets logiques. Cela indique que hardware le fonctionne correctement.
afficher l’interface ethernet1/1 | baisse de match
admin@fw01> l’interface d’exposition ethernet1/1 | paquets de drop match
a chuté de
0 paquets a chuté 42709
Exemple de test avec HPing3a chuté de
0 paquets a chuté 42709
À l’aide du générateur de paquets hping3, Palo Alto Networks n’a para paraméralisé que le trafic non syn avec la commande ci-dessous :
hping3 8.8.8.8 -a X X . . . X X -s 3000 -p 80 - P -c l
Où . . . représente la source - X est le drapeau X X X IP
P push
Où . . . représente la source - X est le drapeau X X X IP
P push
À partir de la sortie de commande ci-dessous, vous pouvez voir qu’un paquet a été reçu et traité correctement dans les hardware compteurs de paquets d’interface, tandis qu’un paquet a été reçu, puis déposé dans les compteurs de paquets d’interface logique en raison de flow_tcp_non_syn_drop comme le montrent les compteurs mondiaux.
Hardware compteurs d’interface lus CPU à partir de : -----------------------------------------------------------------------------
octets reçus 60
octets transmis 0 paquets reçus
1
paquets transmis 0 reçoivent des
erreurs entrantes 0 reçoivent jeté 0 recevoir des erreurs
0
paquets supprimés 0
-----------------------------------------------------------------------------
Compteurs d’interface logique lus CPU à partir de : -----------------------------------------------------------------------------
octets reçus 60
octets transmis 0
paquets reçus 1
paquets transmis 0 recevoir
des erreurs 0
paquets supprimés 1
Txt supprimé...
-----------------------------------------------------------------------------
octets reçus 60
octets transmis 0 paquets reçus
1
paquets transmis 0 reçoivent des
erreurs entrantes 0 reçoivent jeté 0 recevoir des erreurs
0
paquets supprimés 0
-----------------------------------------------------------------------------
Compteurs d’interface logique lus CPU à partir de : -----------------------------------------------------------------------------
octets reçus 60
octets transmis 0
paquets reçus 1
paquets transmis 0 recevoir
des erreurs 0
paquets supprimés 1
Txt supprimé...
-----------------------------------------------------------------------------
afficher contre filtre global delta oui Compteurs mondiaux: Temps écoulé depuis le
dernier échantillonnage: 34.640 secondes
nom de la valeur de la catégorie de gravité de la catégorie description de
l’aspect -----------------------------------------------------------------------------
flow_tcp_non_syn 10 info flow session Non-paquets sans SYN TCP match de session flow_tcp_non_syn_drop
1 0 drop flow session Paquets supprimés: non- SYN TCP sans match de session
dernier échantillonnage: 34.640 secondes
nom de la valeur de la catégorie de gravité de la catégorie description de
l’aspect -----------------------------------------------------------------------------
flow_tcp_non_syn 10 info flow session Non-paquets sans SYN TCP match de session flow_tcp_non_syn_drop
1 0 drop flow session Paquets supprimés: non- SYN TCP sans match de session
Des informations supplémentaires de débogage de « base de flux » dans le laboratoire de Palo Alto Networks TAC fournit un aperçu supplémentaire de la raison de ces gouttes:
== 2020-07-27 10:01:04.458 -0700 ==
Packet received at ingress stage, tag 0, type ORDERED
Packet info: len 60 port 69 interface 69 vsys 1
wqe index 2097054 packet 0x0x8000001fd5f8e0f6, HA : 0, IC : 0
Packet decoded dump:
L2: 00:50:56:81:9c:f2->00:86:9c:07:55:45, type 0x0800
IP : 192.168.48.166->8.8.8.8, protocol 6
version 4, ihl 5, tos 0x00, len 40,
id 26991, frag_off 0x0000, ttl 64, checksum 4099(0x1003)
TCP : sport 3000, dport 80, seq 450715754, ack 538818507,
reserved 0, offset 5, window 512, checksum 19782,
flags 0x08 ( PSH ), urgent data 0, l4 data len 0
TCP option:
Flow lookup, key word0 0xbb8005000040600 word1 0 word2 0xffffc0a830a6 word3 0x0 word4 0xffff08080808
Flow not found, HA 0
Session setup: vsys 1
No active flow found, enqueue to create session
== 2020-07-27 10:01:04.458 -0700 ==
Packet received at slowpath stage , tag 583253716, type ATOMIC
Packet info: len 60 port 69 interface 69 vsys 1
wqe index 2097054 packet 0x0x8000001fd5f8e0f6, HA : 0, IC : 0
Packet decoded dump:
L2: 00:50:56:81:9c:f2->00:86:9c:07:55:45, type 0x0800
IP : 192.168.48.166->8.8.8.8, protocol 6
version 4, ihl 5, tos 0x00, len 40,
id 26991, frag_off 0x0000, ttl 64, checksum 4099(0x1003)
TCP : sport 3000, dport 80, seq 450715754, ack 538818507,
reserved 0, offset 5, window 512, checksum 19782,
flags 0x08 ( PSH ), urgent data 0, l4 data len 0
TCP option:
Session setup: vsys 1
Syncookie time count mismatch
* Dos Profile NULL ( NO ) Index (0/0) *
Packet dropped, non- SYN TCP packet during session setup
Packet dropped, Session setup failed
Packet received at ingress stage, tag 0, type ORDERED
Packet info: len 60 port 69 interface 69 vsys 1
wqe index 2097054 packet 0x0x8000001fd5f8e0f6, HA : 0, IC : 0
Packet decoded dump:
L2: 00:50:56:81:9c:f2->00:86:9c:07:55:45, type 0x0800
IP : 192.168.48.166->8.8.8.8, protocol 6
version 4, ihl 5, tos 0x00, len 40,
id 26991, frag_off 0x0000, ttl 64, checksum 4099(0x1003)
TCP : sport 3000, dport 80, seq 450715754, ack 538818507,
reserved 0, offset 5, window 512, checksum 19782,
flags 0x08 ( PSH ), urgent data 0, l4 data len 0
TCP option:
Flow lookup, key word0 0xbb8005000040600 word1 0 word2 0xffffc0a830a6 word3 0x0 word4 0xffff08080808
Flow not found, HA 0
Session setup: vsys 1
No active flow found, enqueue to create session
== 2020-07-27 10:01:04.458 -0700 ==
Packet received at slowpath stage , tag 583253716, type ATOMIC
Packet info: len 60 port 69 interface 69 vsys 1
wqe index 2097054 packet 0x0x8000001fd5f8e0f6, HA : 0, IC : 0
Packet decoded dump:
L2: 00:50:56:81:9c:f2->00:86:9c:07:55:45, type 0x0800
IP : 192.168.48.166->8.8.8.8, protocol 6
version 4, ihl 5, tos 0x00, len 40,
id 26991, frag_off 0x0000, ttl 64, checksum 4099(0x1003)
TCP : sport 3000, dport 80, seq 450715754, ack 538818507,
reserved 0, offset 5, window 512, checksum 19782,
flags 0x08 ( PSH ), urgent data 0, l4 data len 0
TCP option:
Session setup: vsys 1
Syncookie time count mismatch
* Dos Profile NULL ( NO ) Index (0/0) *
Packet dropped, non- SYN TCP packet during session setup
Packet dropped, Session setup failed