データプレーン処理の遅延が長い場合のトラブルシューティング方法
12436
Created On 05/14/24 16:51 PM - Last Modified 08/14/24 01:48 AM
Objective
- 遅延の根本原因を調査します。
- データプレーン トラフィック処理の遅延を軽減します。
Environment
- パケットバッファ保護。
- データプレーン リソース。
Procedure
根本原因の調査:
- パケット バッファ保護 (PBP) がグローバルに、および問題のあるソース ゾーンで有効になっていることを確認します。
- システムと脅威のログを確認します。 次のログ・メッセージを探します。
- 脅威 ID: 8507 / 脅威タイプ: フラッド / 脅威名: PBP パケット ドロップ。
- 脅威 ID: 8508 / 脅威の種類: フラッド / 脅威名: PBP セッションが破棄されました。
- 脅威 ID: 8509 / 脅威の種類: フラッド / 脅威名: PBP IP。
- PBP モジュールのステータス、遅延測定値、およびブロックリストを CLI コマンドで確認します。
- PBPおよびDP:
> show session packet-buffer-protection > show session packet-buffer-protection buffer-latency > show running resource-monitor ingress-backlogs > debug dataplane pow performance > debug dataplane pow performance | match pbp
- ブロックリスト:
> show dos-block-table all > show dos-block-table software > show dos-block-table hardware > debug dataplane show dos block-table
- PBPおよびDP:
- グローバルカウンタを確認します。
> show counter global
探してください:- flow_dos_pbp_drop //REDドロップアクションのパケットごとに増分します。
- flow_dos_pbp_block_session //セッションが破棄されると 1 回増加します (10.0 のみ)。
- flow_dos_pbp_block_host //ホストがブロックリスト(10.0)に配置されると1回増加します。
- flow_dos_drop_ip_blocked //パケットごとの一般的なDoSブロックカウンター
- トラフィック ログと ACC は、問題のあるトラフィックを分離できない場合は使用します。
- CLI コマンドを実行します。
> show running resource monitor
出力に基づいて、データプレーンの処理遅延が高い期間中に、データプレーンの CPU 使用率が高いか、パケット バッファーの使用率が高いか、パケット記述子の使用率が高いか、パケット記述子 (オンチップ) の使用率が高いかを確認します。 - 次に、トラフィックの遅延が次の日と一致する場合は、次の記事で説明されている緩和手順を参照してください。
- 高データプレーン CPU: 高データプレーン CPU のトラブルシューティング方法。
- パケット バッファーまたはパケット記述子の使用率が高い: パケット バッファーまたはパケット記述子の使用率が高い場合のトラブルシューティング方法。
- 高パケット記述子(オンチップ):トラフィック遅延 - パケット記述子(オンチップ)。
- パケットバッファ保護に適切なしきい値が設定されていることを確認し、PBPがグローバルに、およびゾーンレベルで有効になっていることを確認して、ブロック/破棄アクションが機能するようにします。