Cómo mitigar un aumento anormal en el contador global de "tcp_alloc_wqe_failed"
6383
Created On 11/03/23 20:27 PM - Last Modified 12/19/23 05:20 AM
Objective
Para mitigar un aumento anormal en tcp_alloc_wqe_failed contador global.
Descripción del contador:
Este contador tcp_alloc_wqe_failed incrementa cuando falla la asignación de un TCP (Transmission Control Protocol) WQE (Work Queue Entry) probablemente debido a un agotamiento del grupo WQE del plano de datos (DP).
Este error de asignación puede deberse a varias razones, como restricciones de recursos del plano de datos, limitaciones de memoria o problemas de software.
Environment
- Firewall de próxima generación
- tcp_alloc_wqe_failed
Procedure
- Compruebe los recursos actuales del plano de datos y, en particular, el grupo WQE:
> debug dataplane pool statistics Hardware Pools [21] Blast Pool : 1024/1024 0x800000040f21d600 0 [22] LWM Pool : 1024/1024 0x800000040f25e900 0 [23] Timer Pool : 4093/4096 0x800000040f29fc00 0 [24] DFA Pool : 4096/4096 0x800000040f6a4800 0 [25] Output Buffer Po : 1024/1024 0x800000040faa9400 0 [26] WQE Pool : 60103/552960 0x800000038b0b1f80 0 <<<<<<<<< [27] ZIP Pool : 1023/1024 0x800000040fdfe800 0 [28] Dma Cmd Buffers : 1016/1024 0x800000038f440000 0 [29] PKI POOL DFLT : 53246/53248 0x800000038f568800 0 [30] PKO3 AURA : 34926/35506 0x8000000395dbd000 0 [31] SSO AURA : 1794/1890 0x800000039e896000 0
Nota: Este comando devuelve el estado de todos los búferes que utiliza el sistema y su estado:
El número de la izquierda indica la cantidad de búfer que aún está disponible.
El número de la derecha indica el tamaño total.
Si el número de la izquierda cae a 0, el búfer se agota. - Realice un seguimiento del uso del grupo WQE mediante la CLI:
grep pattern "Work Queue Entries" dp-log dp-monitor.log
Donde dp-log se puede reemplazar con mp-log, dp0-log, dp1-log o dp2.log dependiendo de la ubicación de dp-monitor.log y el tipo de plataforma NGFW.- Esto ayudará a aislar el problema si hay alguna fuga de recursos, si la alta utilización de WQE se produce durante períodos de tráfico pesado o cuando se reciben tipos específicos de tráfico.
- Use la pestaña ACC para comprobar el tipo de tráfico recibido en el firewall durante el tiempo de uso elevado del grupo WQE.
- Use la pestaña Registros de tráfico: Supervisar registros de > > Tráfico para comprobar el tipo de tráfico recibido en el firewall durante el tiempo de uso elevado del grupo de WQE.
- Revise el uso general de los recursos del plano de datos y supervise el número de sesiones recibidas y el tipo de tráfico recibido:
show running resource-monitor show session info show system statistics session
- Compruebe si se cumplen los requisitos del sistema de la serie VM y, si es necesario, considere la posibilidad de actualizar a una plataforma de mayor capacidad para la plataforma de hardware de la serie NGFW.
- Asegúrese de que el tráfico de red se distribuya correctamente entre los dispositivos de red y en los planos de datos del firewall para plataformas multi-dp
- Optimice el flujo de su tráfico de red para reducir los paquetes TCP desordenados y la fragmentación de paquetes, ya que estos dos pueden ser los principales contribuyentes al agotamiento del grupo WQE.
- Asegúrese de que el firewall esté ejecutando una de las versiones de PAN-OS indicadas como la versión preferida, consulte la Guía de versiones de software de compatibilidad con PAN-OS.
- Si el firewall sigue experimentando problemas con los errores de asignación de WQE a pesar de seguir los pasos anteriores, recopile el archivo de soporte técnico del firewall y considere la posibilidad de ponerse en contacto con el equipo de atención al cliente de Palo Alto Networks.
Additional Information
Entrada de cola de trabajo (WQE)
Esta estructura de datos es extremadamente importante; representa una unidad de trabajo y contendrá información para determinar cómo los núcleos de la CPU programarán y procesarán el paquete.