La pérdida de paquetes se observa en la interfaz del túnel cuando QoS está habilitado.
5102
Created On 06/24/24 02:26 AM - Last Modified 01/07/25 13:21 PM
Symptom
The packet drop on a tunnel interface is observed with following situation.
- La interfaz física finaliza interfaces de túnel masivas. Por ejemplo, ethernet1/1 finaliza más de 500 interfaces de túnel , lo que significa que ethernet1/1 tiene más de 500 túneles IPSec .
- Tanto IKE SA como IPSec SA están activos y no se observan oscilaciones ni rebotes en ellos.
- QoS está habilitado en esa interfaz física.
- ?flow_qos_pol_drop_pkt? of the global counter is increased when the packet drop on a tunnel interface is observed.
:flow_qos_pkt_enque 41366012547 24808 :flow_qos_pkt_deque 41366012510 24638 :flow_qos_pkt_flush 2380 0 :flow_qos_pol_drop_pkt 26353697 21 :flow_qos_pol_continue 13902024 0 - On the tunnel interface that the packet drop is observed, the qlimit(qlmt) isn?t assigned correctly and it is always 0.
admin@PA-450> show qos interface ethernet1/1 counter QoS counter for interface ethernet1/1: number of queued packets: 0 Parent Qid node base-bw ldshare max-bw pass-pak drop-pak time-out delay vtime qlen qlmt ------------------------------------------------------------------------------- 575 0 default-group 1 999999 1000000 0 0 0 0 0 150 576 1 tunnel.1069 0 0 0 0 0 0 0 0 0 576 2 tunnel.193 0 0 0 0 0 0 0 0 0 576 3 tunnel.121 0 0 0 0 0 0 0 0 0 576 4 tunnel.643 0 0 0 0 0 0 0 0 0 576 5 tunnel.1159 0 0 0 0 0 0 0 0 0 576 6 tunnel.511 0 0 0 0 0 0 0 0 0 576 7 tunnel.725 0 0 0 0 0 0 0 0 0 576 8 tunnel.691 0 0 0 0 0 0 0 0 0 (snip) 576 21 tunnel.1067 1 999999 1000000 0 0 0 0 0 150 576 22 tunnel.77 1 999999 1000000 0 0 0 0 0 150 576 23 tunnel.877 1 999999 1000000 0 0 0 0 0 150 576 24 tunnel.329 1 999999 1000000 0 0 0 0 0 150 576 25 tunnel.203 1 999999 1000000 0 0 0 0 0 150 576 26 tunnel.751 1 999999 1000000 0 0 0 0 0 150 576 27 tunnel.993 1 999999 1000000 0 0 0 0 0 150 (snip)
Environment
- Cortafuegos de próxima generación
- Sistema operativo: 9.1, 10.2, 11.0, 11.1
Cause
La limitación de capacidad de las interfaces de túnel con QoS.
Está relacionado con el número máximo de clases que está codificado de forma rígida. En el caso de que la interfaz física termine interfaces de túnel masivas, se utilizan clases masivas cuando el diseño habilita la QoS) . Por lo tanto, si se excede el número máximo de clases, a esas interfaces de túnel no se les asigna el límite q. Luego, se observa la pérdida de paquetes en esas interfaz de túnel .
Resolution
No hay solución alternativa.
Cuando se observa esta pérdida de paquetes, se debe desactivar la QoS) en la interfaz física.