Comment atténuer une augmentation anormale du compteur global « tcp_alloc_wqe_failed »
6387
Created On 11/03/23 20:27 PM - Last Modified 12/19/23 05:21 AM
Objective
Pour atténuer une augmentation anormale de tcp_alloc_wqe_failed compteur global.
Description du compteur :
Ce compteur s'incrémente tcp_alloc_wqe_failed lorsque l'allocation d'un protocole TCP (Transmission Control Protocol) WQE (Work Queue Entry) échoue, probablement en raison d'un épuisement du pool WQE du plan de données (DP).
Cet échec d’allocation peut être dû à diverses raisons, telles que des contraintes de ressources de plan de données, des limitations de mémoire ou des problèmes logiciels.
Environment
- Pare-feu nouvelle génération
- tcp_alloc_wqe_failed
Procedure
- Vérifier les ressources actuelles du plan de données et en particulier le Pool WQE :
> debug dataplane pool statistics Hardware Pools [21] Blast Pool : 1024/1024 0x800000040f21d600 0 [22] LWM Pool : 1024/1024 0x800000040f25e900 0 [23] Timer Pool : 4093/4096 0x800000040f29fc00 0 [24] DFA Pool : 4096/4096 0x800000040f6a4800 0 [25] Output Buffer Po : 1024/1024 0x800000040faa9400 0 [26] WQE Pool : 60103/552960 0x800000038b0b1f80 0 <<<<<<<<< [27] ZIP Pool : 1023/1024 0x800000040fdfe800 0 [28] Dma Cmd Buffers : 1016/1024 0x800000038f440000 0 [29] PKI POOL DFLT : 53246/53248 0x800000038f568800 0 [30] PKO3 AURA : 34926/35506 0x8000000395dbd000 0 [31] SSO AURA : 1794/1890 0x800000039e896000 0
Remarque : Cette commande renvoie l’état de toutes les mémoires tampons utilisées par le système et leur état :
le nombre à gauche indique la quantité de mémoire tampon encore disponible.
Le chiffre à droite indique la taille totale.
Si le nombre à gauche tombe à 0, la mémoire tampon est épuisée. - Suivez l’utilisation du pool WQE à l’aide de l’interface de ligne de commande :
grep pattern "Work Queue Entries" dp-log dp-monitor.log
Où dp-log peut être remplacé par mp-log, dp0-log, dp1-log ou dp2.log en fonction de l’emplacement de dp-monitor.log et du type de plate-forme NGFW.- Cela permettra d’isoler le problème en cas de fuite de ressources, si l’utilisation élevée du WQE se produit pendant les périodes de trafic intense ou lorsque des types de trafic spécifiques sont reçus.
- Utilisez l’onglet ACC pour vérifier le type de trafic reçu sur le firewall pendant la période d’utilisation intensive du Pool WQE.
- Utilisez l’onglet Journaux de trafic : Surveiller > Journaux > Trafic pour vérifier le type de trafic reçu sur le firewall pendant la période d’utilisation intensive du pool WQE.
- Examinez l’utilisation globale des ressources du plan de données et surveillez le nombre de sessions reçues et le type de trafic reçu :
show running resource-monitor show session info show system statistics session
- Vérifiez les machines virtuelles PA si la configuration système requise de la série VM est respectée et, pour la plate-forme matérielle NGFW, envisagez une mise à niveau vers une plate-forme de capacité supérieure si nécessaire.
- Assurez-vous que votre trafic réseau est correctement réparti entre vos périphériques réseau et entre les plans de données de votre pare-feu pour les plates-formes multi-DP
- Optimisez le flux de votre trafic réseau pour réduire les paquets TCP dans le désordre et la fragmentation des paquets, car ces deux éléments peuvent être les principaux contributeurs à l’épuisement du pool WQE.
- Assurez-vous que le pare-feu exécute l’une des versions de PAN-OS indiquées comme version préférée, reportez-vous à la section Prise en charge de la version logicielle de PAN-OS.
- Si le pare-feu continue de rencontrer des problèmes d'échec d'allocation WQE malgré les étapes ci-dessus, récupérez le fichier de support technique du pare-feu et envisagez de contacter l'équipe d'assistance client de Palo Alto Networks.
Additional Information
Entrée dans la file d’attente de travail (WQE)
Cette structure de données est extrêmement importante ; il représente une unité de travail et contiendra des informations permettant de déterminer comment le paquet sera planifié et traité par les cœurs du processeur.