如何解决高数据平面处理延迟问题

如何解决高数据平面处理延迟问题

12319
Created On 05/14/24 16:51 PM - Last Modified 08/14/24 01:47 AM


Objective


  • 调查延迟的根本原因。
  • 缓解数据平面流量处理中的延迟。

Environment


  • 数据包缓冲区保护。
  • 数据平面资源。

Procedure


根本原因调查:
  1. 确保在全局和可疑违规的源区域上启用数据包缓冲区保护 (PBP )。
  2. 检查系统和威胁日志。 查找以下日志消息:
    1. 威胁 ID:8507 / 威胁类型:洪水 / 威胁名称:PBP 丢包。
    2. 威胁 ID:8508 / 威胁类型:洪水 / 威胁名称:已丢弃 PBP 会话。
    3. 威胁 ID:8509 / 威胁类型:洪水 / 威胁名称:PBP IP。
仅当启用 数据包缓冲区保护 (PBP) 时,才会记录上述威胁日志。
  1. 通过 CLI 命令检查 PBP 模块的状态、延迟测量值和阻止列表:
    1. PBP 和 DP: 
      > show session packet-buffer-protection
> show session packet-buffer-protection buffer-latency
> show running resource-monitor ingress-backlogs
> debug dataplane pow performance
> debug dataplane pow performance | match pbp
    2. 阻止列表: 
      > show dos-block-table all
> show dos-block-table software
> show dos-block-table hardware
> debug dataplane show dos block-table
  2. 检查全局计数器: 
    > show counter global
    查找:
    1. flow_dos_pbp_drop //RED 丢弃动作的每个数据包的增量。
    2. flow_dos_pbp_block_session //丢弃会话时增加一次(仅限 10.0)。
    3. flow_dos_pbp_block_host //当主机被置于阻止列表(10.0)时,递增一次。
    4. flow_dos_drop_ip_blocked //每个数据包计数器的通用DoS块
  3. 如果无法通过其他方式隔离违规流量,请使用流量日志和 ACC。
缓解措施:
  1. 运行 CLI 命令: 
    > show running resource monitor
    根据输出,检查数据平面在高数据平面处理延迟期间是否表现出高 CPU 使用率、高数据包缓冲区使用率、高数据包描述符使用率或高数据包描述符(片上)使用率。
  2. 然后,当流量延迟与以下文章同时发生时,请参阅以下文章中概述的缓解步骤:
    1. 高数据平面 CPU:如何对高数据平面 CPU 进行故障排除
    2. 高数据包缓冲区或数据包描述符使用情况:如何对高数据包缓冲区或数据包描述符使用情况进行故障排除。
    3. 高数据包描述符(片上):流量延迟 - 数据包描述符(片上)。
  3. 确保为数据包缓冲区保护设置了适当的阈值,并确认已在全局和区域级别启用 PBP,以便阻止/丢弃操作正常工作:
    1. 数据包缓冲区保护
    2. 基于延迟的数据包缓冲区保护

Additional Information




 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HDA0CAO&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language