Cómo solucionar problemas de latencia de procesamiento de plano de datos alta

Cómo solucionar problemas de latencia de procesamiento de plano de datos alta

12444
Created On 05/14/24 16:51 PM - Last Modified 08/14/24 01:42 AM


Objective


  • Investigue la causa raíz de la latencia.
  • Mitigue la latencia en el procesamiento del tráfico del plano de datos.

Environment


  • Protección de búfer de paquetes.
  • Recursos del plano de datos.

Procedure


Investigación de la causa raíz:
  1. Asegúrese de que la protección de búfer de paquetes (PBP) esté habilitada globalmente y en las zonas de origen sospechosas de infracción.
  2. Compruebe el sistema y los registros de amenazas. Busque los siguientes mensajes de registro:
    1. Id. de amenaza: 8507 / Tipo de amenaza: Inundación / Nombre de la amenaza: PBP Packet Drop.
    2. Id. de amenaza: 8508 / Tipo de amenaza: Inundación / Nombre de la amenaza: Sesión PBP descartada.
    3. Id. de amenaza: 8509 / Tipo de amenaza: Inundación / Nombre de la amenaza: IP PBP.
Los registros de amenazas anteriores solo se registrarán si la protección de búfer de paquetes (PBP) está habilitada.
  1. Verifique el estado del módulo PBP, las mediciones de latencia y la lista de bloqueo a través de los comandos CLI:
    1. PBP y DP: 
      > show session packet-buffer-protection
> show session packet-buffer-protection buffer-latency
> show running resource-monitor ingress-backlogs
> debug dataplane pow performance
> debug dataplane pow performance | match pbp
    2. Listas de bloqueo: 
      > show dos-block-table all
> show dos-block-table software
> show dos-block-table hardware
> debug dataplane show dos block-table
  2. Compruebe los contadores globales: 
    > show counter global
    Busca:
    1. flow_dos_pbp_drop //Incrementos por paquete para la acción de caída RED.
    2. flow_dos_pbp_block_session //Se incrementa una vez cuando se descarta la sesión (solo 10.0).
    3. flow_dos_pbp_block_host //Se incrementa una vez cuando el host se coloca en la lista de bloqueo (10.0).
    4. flow_dos_drop_ip_blocked //Bloque DoS genérico por contador de paquetes
  3. Utilice los registros de tráfico y ACC si el tráfico infractor no se puede aislar de otra manera.
Medidas de mitigación:
  1. Ejecute el comando de la CLI: 
    > show running resource monitor
    En función de la salida, compruebe si el plano de datos presenta un uso elevado de la CPU, un uso elevado del búfer de paquetes, un uso elevado del descriptor de paquetes o un uso elevado del descriptor de paquetes (en el chip) durante períodos de alta latencia de procesamiento del plano de datos.
  2. A continuación, consulte los pasos de mitigación descritos en los siguientes artículos cuando la latencia del tráfico coincida con:
    1. CPU de plano de datos alto: Cómo solucionar problemas de CPU de plano de datos alto.
    2. Uso de búfer de paquetes o descriptores de paquetes: Cómo solucionar problemas de uso de búfer de paquetes o descriptores de paquetes altos.
    3. Descriptores de paquetes altos (en chip): Latencia de tráfico - Descriptores de paquetes (en chip).
  3. Asegúrese de que se establezcan los umbrales adecuados para la protección del búfer de paquetes y confirme que PBP esté habilitado globalmente y en el nivel de zona para que funcione la acción Bloquear/Descartar:
    1. Protección de búfer de paquetes.
    2. Protección del búfer de paquetes basada en la latencia.

Additional Information




 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HDA0CAO&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language