Comment résoudre les problèmes de latence de traitement de plan de données élevés

Comment résoudre les problèmes de latence de traitement de plan de données élevés

12448
Created On 05/14/24 16:51 PM - Last Modified 08/14/24 01:42 AM


Objective


  • Examinez la cause première de la latence.
  • Limitez la latence dans le traitement du trafic du plan de données.

Environment


  • Protection par tampon de paquets.
  • Ressources de plan de données.

Procedure


Enquête sur les causes profondes :
  1. Assurez-vous que la protection par tampon de paquets (PBP) est activée à l’échelle mondiale et sur les zones sources suspectées d’être incriminées.
  2. Vérifiez les journaux système et les journaux des menaces. Recherchez les messages de journal suivants :
    1. ID de la menace : 8507 / Type de menace : Flood / Nom de la menace : PBP Packet Drop.
    2. ID de menace : 8508 / Type de menace : Flood / Nom de la menace : Session PBP ignorée.
    3. ID de menace : 8509 / Type de menace : Flood / Nom de la menace : PBP IP.
Les journaux des menaces ci-dessus ne seront consignés que si la protection contre la mémoire tampon de paquets (PBP) est activée.
  1. Vérifiez l’état du module PBP, des mesures de latence et de la liste de blocage à l’aide des commandes CLI :
    1. PBP et DP : 
      > show session packet-buffer-protection
> show session packet-buffer-protection buffer-latency
> show running resource-monitor ingress-backlogs
> debug dataplane pow performance
> debug dataplane pow performance | match pbp
    2. Listes de blocage : 
      > show dos-block-table all
> show dos-block-table software
> show dos-block-table hardware
> debug dataplane show dos block-table
  2. Vérifiez les compteurs globaux : 
    > show counter global
    Chercher:
    1. flow_dos_pbp_drop //Incréments par paquet pour l’action de suppression RED.
    2. flow_dos_pbp_block_session //Incrémente une fois lorsque la session est supprimée (10.0 uniquement).
    3. flow_dos_pbp_block_host //Incrémente une fois lorsque l’hôte est placé dans la liste de blocage (10.0).
    4. flow_dos_drop_ip_blocked //Bloc DoS générique par compteur de paquets
  3. Utilisez les journaux de trafic et ACC si le trafic incriminé ne peut pas être isolé autrement.
Mesures d’atténuation :
  1. Exécutez la commande CLI : 
    > show running resource monitor
    En fonction de la sortie, vérifiez si le plan de données présente une utilisation élevée du processeur, une utilisation élevée de la mémoire tampon de paquets, une utilisation élevée du descripteur de paquets ou une utilisation élevée du descripteur de paquets (sur puce) pendant les périodes de latence de traitement du plan de données élevée.
  2. Reportez-vous ensuite aux étapes d’atténuation décrites dans les articles suivants lorsque la latence du trafic coïncide avec :
    1. Processeur à plan de données élevé : comment résoudre les problèmes liés au processeur à plan de données élevé.
    2. Utilisation d’une mémoire tampon de paquets ou de descripteurs de paquets élevée : Comment résoudre l’utilisation d’une mémoire tampon de paquets ou de descripteurs de paquets élevée.
    3. Descripteurs de paquets élevés (sur puce) : latence du trafic - Descripteurs de paquets (sur puce).
  3. Assurez-vous que les seuils appropriés sont définis pour la protection de la mémoire tampon de paquets et confirmez que PBP est activé globalement et au niveau de la zone pour que l’action Bloquer/Ignorer fonctionne :
    1. Protection de la mémoire tampon des paquets.
    2. Protection de la mémoire tampon de paquets basée sur la latence.

Additional Information




 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HDA0CAO&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language