So mildern Sie einen abnormalen Anstieg des globalen "tcp_alloc_wqe_failed"-Zählers
6383
Created On 11/03/23 20:27 PM - Last Modified 12/19/23 05:21 AM
Objective
Um einen abnormalen Anstieg tcp_alloc_wqe_failed globalen Zählers abzumildern.
Beschreibung des Zählers:
Dieser Zähler erhöht sich tcp_alloc_wqe_failed , wenn die Zuweisung eines TCP (Transmission Control Protocol) WQE (Work Queue Entry) wahrscheinlich aufgrund einer Erschöpfung des WQE-Pools der Datenebene (DP) fehlschlägt.
Dieser Zuordnungsfehler kann verschiedene Gründe haben, z. B. Ressourceneinschränkungen auf der Datenebene, Speicherbeschränkungen oder Softwareprobleme.
Environment
- Firewall der nächsten Generation
- tcp_alloc_wqe_failed
Procedure
- Überprüfen Sie die aktuellen Datenebenenressourcen und insbesondere den WQE-Pool:
> debug dataplane pool statistics Hardware Pools [21] Blast Pool : 1024/1024 0x800000040f21d600 0 [22] LWM Pool : 1024/1024 0x800000040f25e900 0 [23] Timer Pool : 4093/4096 0x800000040f29fc00 0 [24] DFA Pool : 4096/4096 0x800000040f6a4800 0 [25] Output Buffer Po : 1024/1024 0x800000040faa9400 0 [26] WQE Pool : 60103/552960 0x800000038b0b1f80 0 <<<<<<<<< [27] ZIP Pool : 1023/1024 0x800000040fdfe800 0 [28] Dma Cmd Buffers : 1016/1024 0x800000038f440000 0 [29] PKI POOL DFLT : 53246/53248 0x800000038f568800 0 [30] PKO3 AURA : 34926/35506 0x8000000395dbd000 0 [31] SSO AURA : 1794/1890 0x800000039e896000 0
Hinweis: Dieser Befehl gibt den Status aller vom System verwendeten Puffer und deren Status zurück: Die Zahl auf der linken Seite gibt an,
wie viel Puffer noch verfügbar ist.
Die Zahl auf der rechten Seite gibt die Gesamtgröße an.
Wenn die Zahl auf der linken Seite auf 0 fällt, ist der Puffer erschöpft. - Verfolgen Sie die Nutzung des WQE-Pools mithilfe der CLI nach:
grep pattern "Work Queue Entries" dp-log dp-monitor.log
Dabei kann dp-log durch mp-log, dp0-log, dp1-log oder dp2.log ersetzt werden, abhängig vom Speicherort von dp-monitor.log und dem Typ der NGFW-Plattform.- Dies hilft bei der Isolierung des Problems, wenn es zu Ressourcenverlusten kommt, wenn eine hohe WQE-Auslastung in Zeiten mit hohem Datenverkehr oder wenn bestimmte Arten von Datenverkehr empfangen werden.
- Verwenden Sie die Registerkarte ACC, um den Typ des Datenverkehrs zu überprüfen , der während der Zeit der hohen Auslastung des WQE-Pools von der Firewall empfangen wird.
- Verwenden Sie die Registerkarte Datenverkehrsprotokolle: >Protokolle überwachen > Datenverkehr , um den Typ des Datenverkehrs zu überprüfen, der während der Zeit der hohen Auslastung des WQE-Pools von der Firewall empfangen wird.
- Überprüfen Sie die gesamte Ressourcennutzung der Datenebene, und überwachen Sie die Anzahl der empfangenen Sitzungen und die Art des empfangenen Datenverkehrs:
show running resource-monitor show session info show system statistics session
- Überprüfen Sie, ob die Systemanforderungen der VM-Serie erfüllt sind, und erwägen Sie für die NGFW-HW-Plattform bei Bedarf ein Upgrade auf eine Plattform mit höherer Kapazität.
- Stellen Sie sicher, dass Ihr Netzwerkverkehr ordnungsgemäß auf Ihre Netzwerkgeräte und auf Ihre Firewall-Datenebenen für Multi-DP-Plattformen verteilt ist
- Optimieren Sie den Fluss Ihres Netzwerkverkehrs, um die fehlerhaften TCP-Pakete und die Paketfragmentierung zu reduzieren, da diese beiden die Hauptursachen für die Erschöpfung des WQE-Pools sein können.
- Stellen Sie sicher, dass auf der Firewall eine der PAN-OS-Versionen ausgeführt wird, die als bevorzugte Version angegeben sind, siehe Support PAN-OS Software Release Guidance.
- Wenn die Firewall trotz Befolgung der oben genannten Schritte weiterhin Probleme mit WQE-Zuweisungsfehlern hat, sammeln Sie die technische Supportdatei der Firewall und wenden Sie sich an das Kundensupportteam von Palo Alto Networks.
Additional Information
Arbeitswarteschlangeneintrag (WQE)
Diese Datenstruktur ist äußerst wichtig. Es stellt eine Arbeitseinheit dar und enthält Informationen, um zu bestimmen, wie das Paket von den CPU-Kernen geplant und verarbeitet wird.