QoSが有効になっている場合、トンネルインターフェイスでパケット ドロップが観察されます。

QoSが有効になっている場合、トンネルインターフェイスでパケット ドロップが観察されます。

4979
Created On 06/24/24 02:26 AM - Last Modified 01/07/25 13:23 PM


Symptom


The packet drop on a tunnel interface is observed with following situation.
  • 物理インターフェイスは、大量のトンネルインターフェースを終了します。たとえば、ethernet1/1 は 500 を超えるトンネルインターフェースを終了します。つまり、ethernet1/1 には 500 を超えるIPSecトンネルがあることになります。
  • IKE SAとIPSec SA は両方とも稼働しており、フラッピングやバウンスは観察されません。
  • その物理インターフェイスではQoSが有効になっています。
  • ?flow_qos_pol_drop_pkt? of the global counter is increased when the packet drop on a tunnel interface is observed. 
    :flow_qos_pkt_enque             41366012547    24808
:flow_qos_pkt_deque             41366012510    24638
:flow_qos_pkt_flush                    2380        0
:flow_qos_pol_drop_pkt             26353697       21
:flow_qos_pol_continue             13902024        0
  • On the tunnel interface that the packet drop is observed, the qlimit(qlmt) isn?t assigned correctly and it is always 0. 
    admin@PA-450> show qos interface ethernet1/1 counter

QoS counter for interface ethernet1/1:
number of queued packets: 0
 Parent     Qid node            base-bw ldshare  max-bw   pass-pak   drop-pak   time-out delay      vtime qlen qlmt
-------------------------------------------------------------------------------
    575       0 default-group         1  999999 1000000          0          0          0                0    0  150
    576       1 tunnel.1069           0       0       0          0          0          0                0    0    0
    576       2 tunnel.193            0       0       0          0          0          0                0    0    0
    576       3 tunnel.121            0       0       0          0          0          0                0    0    0
    576       4 tunnel.643            0       0       0          0          0          0                0    0    0
    576       5 tunnel.1159           0       0       0          0          0          0                0    0    0
    576       6 tunnel.511            0       0       0          0          0          0                0    0    0
    576       7 tunnel.725            0       0       0          0          0          0                0    0    0
    576       8 tunnel.691            0       0       0          0          0          0                0    0    0
(snip)
    576      21 tunnel.1067           1  999999 1000000          0          0          0                0    0  150
    576      22 tunnel.77             1  999999 1000000          0          0          0                0    0  150
    576      23 tunnel.877            1  999999 1000000          0          0          0                0    0  150
    576      24 tunnel.329            1  999999 1000000          0          0          0                0    0  150
    576      25 tunnel.203            1  999999 1000000          0          0          0                0    0  150
    576      26 tunnel.751            1  999999 1000000          0          0          0                0    0  150
    576      27 tunnel.993            1  999999 1000000          0          0          0                0    0  150
(snip)


Environment


  • 次世代ファイアウォール
  • PAN-OS: 9.1、10.2、11.0、11.1

Cause


QoSによるトンネルインターフェイスの容量制限。

これは、ハードコードされているクラスの最大数に関係しています。 大規模なトンネルインターフェイスを終端する物理インターフェイスの場合、設計によってQoSが有効になっていると、大規模なクラスが使用されます。 したがって、クラスの最大数を超えると、それらのトンネルインターフェイスには qlimit が割り当てられません。 その後、それらのトンネルインターフェイスでパケット ドロップが観察されます。

Resolution


回避策はありません。
このパケットドロップが観察された場合、物理インターフェイスでQoS を無効にする必要があります。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000TotCCAS&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language