論理インターフェイス パケット ドロップ カウンタの説明
74084
Created On 07/28/20 20:04 PM - Last Modified 03/26/21 18:31 PM
Symptom
論理インターフェイスでドロップ パケットが増加した。
Environment
- PAN-OS すべての次世代 Firewall
Cause
hardwareインターフェース統計と論理インターフェース統計の違い
- firewall(例えば Ethernet1/1) の各インターフェイスは、物理コンポーネントと論理コンポーネントの両方で構成されます。
- 物理 ( hardware ) コンポーネントは、レイヤ 1 およびレイヤ 2 フレーム処理を担当します。
- 論理コンポーネントは、レイヤ 3 以上のパケット処理を担当します。
- 物理インターフェイス上のパケット ドロップは、一般 hardware にエラー ( firewall 接続デバイス、またはケーブル接続) またはレイヤ 2 の不一致 MTU CRC (、エラーなど) を示します。
- 論理インターフェイス上のパケット ドロップは、受信トラフィックが firewall 処理できないタイプであるために、セキュリティ ルールベース処理前によってドロップされたトラフィックを示 firewall します。 この動作は予期されます。
- Hardware インターフェイス パケット ドロップは、デバイスのネットワーク プロセッサ (FE20、FE100、FE101 など) によって直接処理されます。論理インターフェイス パケット ドロップは、データ プレーン CPU によって処理されます。
- 論理インターフェイス パケット ドロップの詳細は、以下のシステム グローバル カウンタを通じて確認できます。
論理インターフェイス パケットドロップの理由
次の理由の 1 つ以上の論理インターフェイス パケット ドロップが発生する可能性があります。
- A 非 Syn TCP パケットがパケットを firewall firewall 見ていない場合に通過する SYN
- 宛先アドレスが無効です MAC
- 無効な宛先 VLAN tag
- 無効な宛先 IP
- 無効 TCP / UDP ポート
- 同じインターフェイスで受信されたマルチキャスト パケット
- 受信した非 IP パケット ( ARP 以外)
- トポロジが構成されていません(つまり、使用可能なルートがありません)
- セッションのセットアップエラー / firewall 使用可能なリソースがありません
- A 廃棄ルートが見つかりました
- パケットの破棄方法 PBP (パケット バッファ保護)
- パケットが破棄 SYN-COOKIES されるか RED (ランダム早期ドロップ)
Resolution
この動作は仕様/予期される
Additional Information
論理インターフェース・ドロップの例
インターフェイスイーサネットを表示します 1/1..
論理インターフェイス カウンタは、 から読み取る CPU :
--------------------------------------------------------------------
バイトは 26089926955
バイトを受信し、送信された 4755803472 パケットは
58518264 パケットを受信し、10517325 パケットは
エラー 0
パケットが 30037
をドロップしました。
--------------------------------------------------------------------
論理インターフェイス カウンタは、 から読み取る CPU :
--------------------------------------------------------------------
バイトは 26089926955
バイトを受信し、送信された 4755803472 パケットは
58518264 パケットを受信し、10517325 パケットは
エラー 0
パケットが 30037
をドロップしました。
--------------------------------------------------------------------
でパケットのヘッダー チェックサムの検証などの L2 解析が成功すると hardware 、パケットに対してさらに L3-L4 チェックが実行されます。
グローバル カウンタからパケットドロップの正確な理由を確認できます。 たとえば、この例のパケットは、以下のグローバル カウンタで強調表示された理由によりドロップされます:
[カウンタ グローバル フィルタの delta yes を表示する
] このコマンドを使用すると、次の例で論理インターフェイス カウンタが表示されます。
カウンタグローバル|を表示するマッチflow_tcp_non_syn_drop
グローバル カウンタ:
前回のサンプリングからの経過時間: 1.150 秒
の名前値の値の重要度カテゴリのアスペクトの説明
---------------------------------------------------------------
flow_tcp_non_syn_drop34028 0 ドロップ フロー セッション ドロップされたパケット: セッション SYN TCP 一致なし以外
前回のサンプリングからの経過時間: 1.150 秒
の名前値の値の重要度カテゴリのアスペクトの説明
---------------------------------------------------------------
flow_tcp_non_syn_drop34028 0 ドロップ フロー セッション ドロップされたパケット: セッション SYN TCP 一致なし以外
次の例 hardware は、論理的なドロップ カウントが増加していない方法を示しています。 hardware
以下の出力では、最初の「パケットがドロップされた」番号は Hardware 、「:」から読み取られた「インターフェイス カウンタ」セクションから、 CPU パケット ドロップを表示 hardware します。
2 番目の「ドロップされたパケット」番号は、「論理インターフェイス カウンタが読み取る :」セクションから、 CPU 論理パケット ドロップを表示します。 これは、が hardware 正常に機能していることを示します。
インターフェイスのイーサネット1/1 |を表示マッチドロップ
admin@fw01>はインターフェイスのイーサネット1/1|を示すマッチ ドロップ
パケットは 0
パケットがドロップされた 42709
HPing3 を使用したテスト例パケットは 0
パケットがドロップされた 42709
以下のコマンドを使用して、hping3 パケットジェネレータを使用して、パロアルトネットワークスは、非 syn トラフィックのみを初期化しました。
hping3 8.8.8.8 -a X X . . X X .-s 3000 -p 80 - P -c l
場所 . X X X X IP
P
場所 . X X X X IP
P
以下のコマンド出力から、1 つのパケットが受信され、インターフェイス パケット カウンタで適切に処理された hardware のに対し、1 つのパケットが受信され、グローバル カウンタによって示されるflow_tcp_non_syn_dropにより、論理インターフェイス パケット カウンタにドロップされたことがわかります。
Hardware インターフェイス カウンタから読み取られた : -----------------------------------------------------------------------------バイトは 60 バイトを受信し、0 受信したパケットは受信 0 受信 0 受信 エラー 0 受信 エラー 0 受信 0 受信 エラー ----------------------------------------------------------------------------- 0 受信 CPU
0
パケット
から
読み取られた論理インターフェイス カウンタ : ----------------------------------------------------------------------------- バイトは CPU
60 バイトを受信
しました。
-----------------------------------------------------------------------------
0
パケット
から
読み取られた論理インターフェイス カウンタ : ----------------------------------------------------------------------------- バイトは CPU
60 バイトを受信
しました。
-----------------------------------------------------------------------------
カウンター グローバル フィルター の delta yes
グローバル カウンタを表示する:
前回のサンプリングからの経過時間: 34.640 秒
の名前値のレートの重要度カテゴリのアスペクト説明 ----------------------------------------------------------------------------- flow_tcp_non_syn 1 0 情報フロー セッション 1
0
情報フロー セッションなし SYN TCP の非- セッション一致なしのパケット flow_tcp_non_syn_drop 1
0 ドロップ フロー セッション パケットがドロップされました: セッションマッチ SYN TCP なし以外の
グローバル カウンタを表示する:
前回のサンプリングからの経過時間: 34.640 秒
の名前値のレートの重要度カテゴリのアスペクト説明 ----------------------------------------------------------------------------- flow_tcp_non_syn 1 0 情報フロー セッション 1
0
情報フロー セッションなし SYN TCP の非- セッション一致なしのパケット flow_tcp_non_syn_drop 1
0 ドロップ フロー セッション パケットがドロップされました: セッションマッチ SYN TCP なし以外の
パロアルトネットワークスのラボで「フロー基本」からの追加のデバッグ情報 TAC は、これらのドロップの理由に関する追加の洞察を提供します。
== 2020-07-27 10:01:04.458 -0700 ==
入力段階で受信されたパケット tag 、0、タイプ ORDERED
パケット情報:len 60 ポート 69 インターフェイス 69 vsys 1
wqe インデックス 2097054 パケット 0x0x800001fd5f8e0f6, HA 0, 0, IC : 0
パケットデコード ダンプ:
L2: 00:50:56:81:9c:f2->00:86:9c:07:55:45, タイプ 0x0800
IP : 192.168.48.166->8.8.8.8, len
40 バージョン 4, ihl 5, to 0x00 s, len 40, idtl 2tl 9c:f2-45 frag_off 0x0000,
t チェックサム4099(0x1003) : スポーツ
TCP 3000, dport 80, seq 450715754, ack 538818507,
予約 0, オフセット 5, ウィンドウ 512, チェックサム 19782, フラグ 0x08 ( ),
PSH 緊急データ 0, l4 データ len 0
TCP オプション :
フロールックアップ、0xbb8005000040600 word1 0word2 0xffffc0a830a6 word3 0x0 word4 0xffff08080808
フローが見つかりません HA 、0
セッション設定: vsys 1
アクティブなフローが見つかりません、セッションを作成するためのエンキュー
== 2020-07-27 10:01:04.458 -0700 ==
低速パス段階で受信されたパケット、 tag 583253716,タイプ ATOMIC
パケット情報: len 60 ポート 69 インターフェイス 69 vsys 1
wqe インデックス 2097054 パケット 0x0x800001fd5f8e0f6, HA : 0, : 0 IC
パケットデコード ダンプ:
L2: 00:50:56:81:9c:f2->00:86:9c:07:55:45, タイプ 0x0800
IP : 192.168.48.166->8.8.8.8, プロトコル 6 バージョン
4, ihl 5, 0x00, len 40,
idtl 2tl, frag_off 0x0000 699, frag_off 0x0000 チェックサム4099(0x1003)
TCP : スポーツ 3000, dport 80, seq 450715754, ack 538818507,
予約 0, オフセット 5, ウィンドウ 512, チェックサム 1 9782、
フラグ 0x08 ( ) PSH 緊急データ 0、 l4 データ len 0
TCP オプション:
セッションセットアップ: vsys 1
Syncookie 時間の不一致
* Dos Profile ( ) インデックス NULL NO (0/0) *
パケットがドロップされた、 SYN TCP セッションセットアップ中の非パケット
パケットがドロップされました、 セッションのセットアップが失敗しました
入力段階で受信されたパケット tag 、0、タイプ ORDERED
パケット情報:len 60 ポート 69 インターフェイス 69 vsys 1
wqe インデックス 2097054 パケット 0x0x800001fd5f8e0f6, HA 0, 0, IC : 0
パケットデコード ダンプ:
L2: 00:50:56:81:9c:f2->00:86:9c:07:55:45, タイプ 0x0800
IP : 192.168.48.166->8.8.8.8, len
40 バージョン 4, ihl 5, to 0x00 s, len 40, idtl 2tl 9c:f2-45 frag_off 0x0000,
t チェックサム4099(0x1003) : スポーツ
TCP 3000, dport 80, seq 450715754, ack 538818507,
予約 0, オフセット 5, ウィンドウ 512, チェックサム 19782, フラグ 0x08 ( ),
PSH 緊急データ 0, l4 データ len 0
TCP オプション :
フロールックアップ、0xbb8005000040600 word1 0word2 0xffffc0a830a6 word3 0x0 word4 0xffff08080808
フローが見つかりません HA 、0
セッション設定: vsys 1
アクティブなフローが見つかりません、セッションを作成するためのエンキュー
== 2020-07-27 10:01:04.458 -0700 ==
低速パス段階で受信されたパケット、 tag 583253716,タイプ ATOMIC
パケット情報: len 60 ポート 69 インターフェイス 69 vsys 1
wqe インデックス 2097054 パケット 0x0x800001fd5f8e0f6, HA : 0, : 0 IC
パケットデコード ダンプ:
L2: 00:50:56:81:9c:f2->00:86:9c:07:55:45, タイプ 0x0800
IP : 192.168.48.166->8.8.8.8, プロトコル 6 バージョン
4, ihl 5, 0x00, len 40,
idtl 2tl, frag_off 0x0000 699, frag_off 0x0000 チェックサム4099(0x1003)
TCP : スポーツ 3000, dport 80, seq 450715754, ack 538818507,
予約 0, オフセット 5, ウィンドウ 512, チェックサム 1 9782、
フラグ 0x08 ( ) PSH 緊急データ 0、 l4 データ len 0
TCP オプション:
セッションセットアップ: vsys 1
Syncookie 時間の不一致
* Dos Profile ( ) インデックス NULL NO (0/0) *
パケットがドロップされた、 SYN TCP セッションセットアップ中の非パケット
パケットがドロップされました、 セッションのセットアップが失敗しました