Fehlerbehebung bei hohen Verarbeitungslatenzen auf Datenebene

Fehlerbehebung bei hohen Verarbeitungslatenzen auf Datenebene

12448
Created On 05/14/24 16:51 PM - Last Modified 08/14/24 01:48 AM


Objective


  • Untersuchen Sie die Ursache der Latenz.
  • Verringern Sie die Latenz bei der Verarbeitung des Datenverkehrs auf Datenebene.

Environment


  • Schutz des Paketpuffers.
  • Ressourcen auf Datenebene.

Procedure


Untersuchung der Ursache:
  1. Stellen Sie sicher, dass Packet Buffer Protection (PBP) global und in den mutmaßlich anstößigen Quellzonen aktiviert ist.
  2. Überprüfen Sie die System- und Bedrohungsprotokolle. Suchen Sie nach den folgenden Protokollmeldungen:
    1. Bedrohungs-ID: 8507 / Bedrohungstyp: Flood / Name der Bedrohung: PBP Packet Drop.
    2. Bedrohungs-ID: 8508 / Bedrohungstyp: Flood / Name der Bedrohung: PBP-Sitzung verworfen.
    3. Bedrohungs-ID: 8509 / Bedrohungstyp: Flood / Name der Bedrohung: PBP IP.
Die oben genannten Bedrohungsprotokolle werden nur protokolliert, wenn der Paketpufferschutz (PBP) aktiviert ist.
  1. Überprüfen Sie den Status des PBP-Moduls, die Latenzmessungen und die Sperrliste über CLI-Befehle:
    1. PBP und DP: 
      > show session packet-buffer-protection
> show session packet-buffer-protection buffer-latency
> show running resource-monitor ingress-backlogs
> debug dataplane pow performance
> debug dataplane pow performance | match pbp
    2. Sperrlisten: 
      > show dos-block-table all
> show dos-block-table software
> show dos-block-table hardware
> debug dataplane show dos block-table
  2. Überprüfen Sie die globalen Leistungsindikatoren: 
    > show counter global
    Schaue nach:
    1. flow_dos_pbp_drop //Inkremente pro Paket für die RED-Drop-Aktion.
    2. flow_dos_pbp_block_session //Einmal erhöht, wenn die Sitzung verworfen wird (nur 10.0).
    3. flow_dos_pbp_block_host //Wird einmal inkrementiert, wenn der Host in die Blockierliste aufgenommen wird (10.0).
    4. flow_dos_drop_ip_blocked //Generischer DoS-Block pro Paketzähler
  3. Verwenden Sie Verkehrsprotokolle und ACC, wenn störender Datenverkehr nicht anders isoliert werden kann.
Schritte zur Risikominderung:
  1. Führen Sie den CLI-Befehl aus: 
    > show running resource monitor
    Überprüfen Sie anhand der Ausgabe, ob die Datenebene in Zeiten hoher Verarbeitungslatenz auf der Datenebene eine hohe CPU-Auslastung, eine hohe Paketpufferauslastung, eine hohe Paketdeskriptorauslastung oder eine hohe Paketdeskriptorauslastung (On-Chip) aufweist.
  2. Beziehen Sie sich dann auf die in den folgenden Artikeln beschriebenen Entschärfungsschritte, wenn die Latenz des Datenverkehrs mit folgenden Schritten zusammenfällt:
    1. CPU mit hoher Datenebene: Fehlerbehebung bei CPUs mit hoher Datenebene.
    2. Verwendung von hohen Paketpuffern oder Paketdeskriptoren: Fehlerbehebung bei der Verwendung von hohen Paketpuffern oder Paketdeskriptoren.
    3. Hohe Paketdeskriptoren (On-Chip): Traffic Latency - Paketdeskriptoren (On-Chip).
  3. Stellen Sie sicher, dass die entsprechenden Schwellenwerte für den Paketpufferschutz festgelegt sind, und bestätigen Sie, dass PBP global und auf Zonenebene aktiviert ist, damit die Blockierungs-/Verwerfungsaktion funktioniert:
    1. Schutz des Paketpuffers.
    2. Paketpufferschutz basierend auf der Latenz.

Additional Information




 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HDA0CAO&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language