La perte de paquets est observée sur l' interface du tunnel lorsque la QoS est activée.
4975
Created On 06/24/24 02:26 AM - Last Modified 01/07/25 13:17 PM
Symptom
The packet drop on a tunnel interface is observed with following situation.
- L' interface physique termine des interfaces de tunnel massives. Par exemple, ethernet1/1 termine plus de 500 interfaces de tunnel , ce qui signifie qu'ethernet1/1 possède plus de 500 tunnels IPSec .
- Les deux SA IKE et IPSec sont SA et aucun battement/rebond n'est observé.
- La QoS est activée sur cette interface physique.
- ?flow_qos_pol_drop_pkt? of the global counter is increased when the packet drop on a tunnel interface is observed.
:flow_qos_pkt_enque 41366012547 24808 :flow_qos_pkt_deque 41366012510 24638 :flow_qos_pkt_flush 2380 0 :flow_qos_pol_drop_pkt 26353697 21 :flow_qos_pol_continue 13902024 0 - On the tunnel interface that the packet drop is observed, the qlimit(qlmt) isn?t assigned correctly and it is always 0.
admin@PA-450> show qos interface ethernet1/1 counter QoS counter for interface ethernet1/1: number of queued packets: 0 Parent Qid node base-bw ldshare max-bw pass-pak drop-pak time-out delay vtime qlen qlmt ------------------------------------------------------------------------------- 575 0 default-group 1 999999 1000000 0 0 0 0 0 150 576 1 tunnel.1069 0 0 0 0 0 0 0 0 0 576 2 tunnel.193 0 0 0 0 0 0 0 0 0 576 3 tunnel.121 0 0 0 0 0 0 0 0 0 576 4 tunnel.643 0 0 0 0 0 0 0 0 0 576 5 tunnel.1159 0 0 0 0 0 0 0 0 0 576 6 tunnel.511 0 0 0 0 0 0 0 0 0 576 7 tunnel.725 0 0 0 0 0 0 0 0 0 576 8 tunnel.691 0 0 0 0 0 0 0 0 0 (snip) 576 21 tunnel.1067 1 999999 1000000 0 0 0 0 0 150 576 22 tunnel.77 1 999999 1000000 0 0 0 0 0 150 576 23 tunnel.877 1 999999 1000000 0 0 0 0 0 150 576 24 tunnel.329 1 999999 1000000 0 0 0 0 0 150 576 25 tunnel.203 1 999999 1000000 0 0 0 0 0 150 576 26 tunnel.751 1 999999 1000000 0 0 0 0 0 150 576 27 tunnel.993 1 999999 1000000 0 0 0 0 0 150 (snip)
Environment
- Pare-feu de nouvelle génération
- Système d'exploitation PAN : 9.1, 10.2, 11.0, 11.1
Cause
La limitation de capacité des interfaces tunnel avec QoS.
Il s'agit du nombre maximal de classes codées en dur. Dans le cas d'une interface physique qui termine des interfaces de tunnel massives, des classes massives sont utilisées lorsque la QoS est activée par la conception. Par conséquent, si le nombre maximal de classes est dépassé, ces interfaces de tunnel ne se voient pas attribuer de qlimit. On observe alors une perte de paquets sur ces interface de tunnel .
Resolution
Il n'y a pas de solution alternative.
Lorsque cette perte de paquets est observée, il convient de désactiver la QoS sur l' interface physique.