逻辑接口数据包丢弃计数器说明
74078
Created On 07/28/20 20:04 PM - Last Modified 03/26/21 18:31 PM
Symptom
观察到逻辑界面上的掉落数据包增加。
Environment
- PAN-OS 所有下一代 Firewall
Cause
hardware界面统计与逻辑界面统计之间的差异
- firewall(例如以太网1/1)上的每个接口均由物理和逻辑组件组成
- 物理 ( hardware ) 组件负责第 1 层和第 2 层框架处理
- 逻辑组件负责第 3 层及以上数据包处理
- 物理界面上的分组掉落通常表示 hardware 错误(无论是在 firewall 连接的设备上,还是在布线上)或第 2 层不匹配 MTU (、 CRC 错误等)。
- 逻辑界面上的分组掉落表示 firewall 由于接收的流量是无法处理的类型,在安全规则基础处理之前丢弃的流量 firewall 。 这种行为是意料之中的。
- Hardware 接口数据包掉落由设备的网络处理器直接处理(如 FE20、FE100、FE101):逻辑界面数据包掉落由数据飞机CPU处理
- 有关逻辑界面数据包掉落的详细信息,请通过系统全球计数器看到,详情如下
逻辑界面数据包掉落的原因
由于以下一个或多个原因,您可能会遇到逻辑界面数据包掉落
- A 非同步 TCP 数据包穿越 firewall 时尚未 firewall 看到 SYN 的数据包
- 无效的目的地 MAC 地址
- 无效目的地 VLAN tag
- 无效目的地 IP
- 无效 TCP / UDP 端口
- 在同一接口上接收的多播数据包
- 收到非 IP 包(除 ARP 外)
- 未配置拓扑(即没有可用的路线)
- 会话设置失败/无 firewall 可用资源
- A 已找到丢弃路线
- 数据包掉落 PBP (数据包缓冲区保护)
- 数据包掉落 SYN-COOKIES 或 RED (随机早期掉落)
Resolution
这种行为是设计/预期的
Additional Information
逻辑界面下降示例
显示界面以太网1/1.
逻辑界面计数器从 CPU :
--------------------------------------------------------------------
字节收到 26089926955
字节传输 4755803472
包收到 58418264
包传输 10517325
接收错误 0
包下降 30037.。。
--------------------------------------------------------------------
逻辑界面计数器从 CPU :
--------------------------------------------------------------------
字节收到 26089926955
字节传输 4755803472
包收到 58418264
包传输 10517325
接收错误 0
包下降 30037.。。
--------------------------------------------------------------------
在成功进行 L2 解析(如验证数据包的标题检查)后 hardware ,在数据包上进行进一步的 L3-L4 检查。
我们可以检查数据包从全球柜台掉落的确切原因。 例如,由于以下全球计数器中的突出原因,此示例中的数据包被丢弃:
通过此命令显示计数器全球滤波三角洲是
,您将看到具有此特定示例的逻辑界面计数器:
显示计数器全球|匹配flow_tcp_non_syn_drop
全球柜台:
自上次采样以来的删除时间:1.150 秒
名称值率严重性类别方面描述
---------------------------------------------------------------flow_tcp_non_syn_drop
34028 0 掉落流量会话数据包丢弃:非 SYN TCP 无会话匹配
自上次采样以来的删除时间:1.150 秒
名称值率严重性类别方面描述
---------------------------------------------------------------flow_tcp_non_syn_drop
34028 0 掉落流量会话数据包丢弃:非 SYN TCP 无会话匹配
下面的示例显示了 hardware 下降如何没有增加,但逻辑下降计数是;这表明没有 hardware 级别问题,并且根据流量在您的环境中可能是正常的。
在下面的输出中,第一个"掉落的包"号码是从" Hardware 界面计数器"部分读取 CPU 的:并显示 hardware 数据包掉落。
第二个"掉落的包"号码来自"逻辑界面计数器从 CPU "部分读取:并显示逻辑数据包掉落。 这表明 hardware 该功能正常。
显示界面以太网1/1|匹配下降
admin@fw01>显示界面以太网1/1|匹配滴
数据包下降0
包下降42709
带 HPing3 的示例测试数据包下降0
包下降42709
使用 hping3 数据包生成器,Palo Alto 网络仅初始化了以下命令中的非同步流量:
hping3 8.8.8.8 - X X X X a. - s 30 - p 80 P - c l
X 代表来源的地方 - X X X IP
P 是推旗
X 代表来源的地方 - X X X IP
P 是推旗
从下面的命令输出中,您可以看到在 hardware 界面数据包计数器中接收并正确处理了一个数据包,而接收了一个数据包,然后由于全球计数器所示的flow_tcp_non_syn_drop而掉落在逻辑界面数据包计数器中。
Hardware 界面计数器从 CPU :
-----------------------------------------------------------------------------
字节收到 60
字节传输 0
包收到 1
包传输 0
接收接收错误
0 收到丢弃 0
接收错误
0 包下降 0
-----------------------------------------------------------------------------
逻辑界面计数器读取 CPU :
-----------------------------------------------------------------------------
字节收到 60
字节传输 0
包收到 1
包传输
0 接收错误
0 包下降 1
Txt 删除。。。
-----------------------------------------------------------------------------
-----------------------------------------------------------------------------
字节收到 60
字节传输 0
包收到 1
包传输 0
接收接收错误
0 收到丢弃 0
接收错误
0 包下降 0
-----------------------------------------------------------------------------
逻辑界面计数器读取 CPU :
-----------------------------------------------------------------------------
字节收到 60
字节传输 0
包收到 1
包传输
0 接收错误
0 包下降 1
Txt 删除。。。
-----------------------------------------------------------------------------
显示计数器全球滤波器 delta 是
全球计数器:
自上次采样以来的经过时间:34.640 秒
名称值率严重性类别方面描述
----------------------------------------------------------------------------- flow_tcp_non_syn
1 0 信息流会话 SYN TCP 无会话匹配的非包
flow_tcp_non_syn_drop 1 0 掉落流量会话数据包丢弃:非 SYN TCP 无会话匹配
全球计数器:
自上次采样以来的经过时间:34.640 秒
名称值率严重性类别方面描述
----------------------------------------------------------------------------- flow_tcp_non_syn
1 0 信息流会话 SYN TCP 无会话匹配的非包
flow_tcp_non_syn_drop 1 0 掉落流量会话数据包丢弃:非 SYN TCP 无会话匹配
帕洛阿尔托网络实验室中"流量基本"的其他调试信息 TAC 提供了对这些下降原因的更多见解:
== 2020-07-27 10:01:04.458 -0700 ==
Packet received at ingress stage, tag 0, type ORDERED
Packet info: len 60 port 69 interface 69 vsys 1
wqe index 2097054 packet 0x0x8000001fd5f8e0f6, HA : 0, IC : 0
Packet decoded dump:
L2: 00:50:56:81:9c:f2->00:86:9c:07:55:45, type 0x0800
IP : 192.168.48.166->8.8.8.8, protocol 6
version 4, ihl 5, tos 0x00, len 40,
id 26991, frag_off 0x0000, ttl 64, checksum 4099(0x1003)
TCP : sport 3000, dport 80, seq 450715754, ack 538818507,
reserved 0, offset 5, window 512, checksum 19782,
flags 0x08 ( PSH ), urgent data 0, l4 data len 0
TCP option:
Flow lookup, key word0 0xbb8005000040600 word1 0 word2 0xffffc0a830a6 word3 0x0 word4 0xffff08080808
Flow not found, HA 0
Session setup: vsys 1
No active flow found, enqueue to create session
== 2020-07-27 10:01:04.458 -0700 ==
Packet received at slowpath stage, tag 583253716, type ATOMIC
Packet info: len 60 port 69 interface 69 vsys 1
wqe index 2097054 packet 0x0x8000001fd5f8e0f6, HA : 0, IC : 0
Packet decoded dump:
L2: 00:50:56:81:9c:f2->00:86:9c:07:55:45, type 0x0800
IP : 192.168.48.166->8.8.8.8, protocol 6
version 4, ihl 5, tos 0x00, len 40,
id 26991, frag_off 0x0000, ttl 64, checksum 4099(0x1003)
TCP : sport 3000, dport 80, seq 450715754, ack 538818507,
reserved 0, offset 5, window 512, checksum 19782,
flags 0x08 ( PSH ), urgent data 0, l4 data len 0
TCP option:
Session setup: vsys 1
Syncookie time count mismatch
* Dos Profile NULL ( NO ) Index (0/0) *
Packet dropped, non- SYN TCP packet during session setup
Packet dropped, Session setup failed
Packet received at ingress stage, tag 0, type ORDERED
Packet info: len 60 port 69 interface 69 vsys 1
wqe index 2097054 packet 0x0x8000001fd5f8e0f6, HA : 0, IC : 0
Packet decoded dump:
L2: 00:50:56:81:9c:f2->00:86:9c:07:55:45, type 0x0800
IP : 192.168.48.166->8.8.8.8, protocol 6
version 4, ihl 5, tos 0x00, len 40,
id 26991, frag_off 0x0000, ttl 64, checksum 4099(0x1003)
TCP : sport 3000, dport 80, seq 450715754, ack 538818507,
reserved 0, offset 5, window 512, checksum 19782,
flags 0x08 ( PSH ), urgent data 0, l4 data len 0
TCP option:
Flow lookup, key word0 0xbb8005000040600 word1 0 word2 0xffffc0a830a6 word3 0x0 word4 0xffff08080808
Flow not found, HA 0
Session setup: vsys 1
No active flow found, enqueue to create session
== 2020-07-27 10:01:04.458 -0700 ==
Packet received at slowpath stage, tag 583253716, type ATOMIC
Packet info: len 60 port 69 interface 69 vsys 1
wqe index 2097054 packet 0x0x8000001fd5f8e0f6, HA : 0, IC : 0
Packet decoded dump:
L2: 00:50:56:81:9c:f2->00:86:9c:07:55:45, type 0x0800
IP : 192.168.48.166->8.8.8.8, protocol 6
version 4, ihl 5, tos 0x00, len 40,
id 26991, frag_off 0x0000, ttl 64, checksum 4099(0x1003)
TCP : sport 3000, dport 80, seq 450715754, ack 538818507,
reserved 0, offset 5, window 512, checksum 19782,
flags 0x08 ( PSH ), urgent data 0, l4 data len 0
TCP option:
Session setup: vsys 1
Syncookie time count mismatch
* Dos Profile NULL ( NO ) Index (0/0) *
Packet dropped, non- SYN TCP packet during session setup
Packet dropped, Session setup failed