Der Paketverlust wird an der Tunnel beobachtet , wenn QoS aktiviert ist.
5087
Created On 06/24/24 02:26 AM - Last Modified 01/07/25 13:19 PM
Symptom
The packet drop on a tunnel interface is observed with following situation.
- Die physische Schnittstelle beendet massive Tunnel . Beispielsweise beendet Ethernet1/1 über 500 Tunnel . Das bedeutet, dass Ethernet1/1 über 500 IPSec Tunnel verfügt.
- Sowohl IKE SA als auch IPSec SA sind aktiv und es wird kein Flattern/Springen derselben beobachtet.
- QoS ist auf dieser physischen Schnittstelle aktiviert.
- ?flow_qos_pol_drop_pkt? of the global counter is increased when the packet drop on a tunnel interface is observed.
:flow_qos_pkt_enque 41366012547 24808 :flow_qos_pkt_deque 41366012510 24638 :flow_qos_pkt_flush 2380 0 :flow_qos_pol_drop_pkt 26353697 21 :flow_qos_pol_continue 13902024 0 - On the tunnel interface that the packet drop is observed, the qlimit(qlmt) isn?t assigned correctly and it is always 0.
admin@PA-450> show qos interface ethernet1/1 counter QoS counter for interface ethernet1/1: number of queued packets: 0 Parent Qid node base-bw ldshare max-bw pass-pak drop-pak time-out delay vtime qlen qlmt ------------------------------------------------------------------------------- 575 0 default-group 1 999999 1000000 0 0 0 0 0 150 576 1 tunnel.1069 0 0 0 0 0 0 0 0 0 576 2 tunnel.193 0 0 0 0 0 0 0 0 0 576 3 tunnel.121 0 0 0 0 0 0 0 0 0 576 4 tunnel.643 0 0 0 0 0 0 0 0 0 576 5 tunnel.1159 0 0 0 0 0 0 0 0 0 576 6 tunnel.511 0 0 0 0 0 0 0 0 0 576 7 tunnel.725 0 0 0 0 0 0 0 0 0 576 8 tunnel.691 0 0 0 0 0 0 0 0 0 (snip) 576 21 tunnel.1067 1 999999 1000000 0 0 0 0 0 150 576 22 tunnel.77 1 999999 1000000 0 0 0 0 0 150 576 23 tunnel.877 1 999999 1000000 0 0 0 0 0 150 576 24 tunnel.329 1 999999 1000000 0 0 0 0 0 150 576 25 tunnel.203 1 999999 1000000 0 0 0 0 0 150 576 26 tunnel.751 1 999999 1000000 0 0 0 0 0 150 576 27 tunnel.993 1 999999 1000000 0 0 0 0 0 150 (snip)
Environment
- Firewall der nächsten Generation
- PAN-Betriebssysteme: 9.1, 10.2, 11.0, 11.1
Cause
Die Kapazitätsbegrenzung von Tunnel mit QoS.
Dies hängt mit der maximalen Anzahl von Klassen zusammen, die fest codiert ist. Wenn die physische Schnittstelle massive Tunnel beendet, werden massive Klassen verwendet, wenn QoS vom Design her aktiviert ist. Wenn daher die maximale Anzahl von Klassen überschritten wird, wird diesen Tunnel kein Qlimit zugewiesen. Schnittstelle ein Paketverlust beobachtet.
Resolution
Es gibt keine Workaround.
Wenn dieser Paketverlust beobachtet wird, sollte die QoS auf der physischen Schnittstelle deaktiviert werden.