So beheben Sie Probleme mit BFD

• Palo Alto-Firewalls
• Unterstützte PAN-OS
• BFD

1. Unterstützt der Peer eine BFD-RFC-Komponente, die Palo Alto nicht unterstützt? Weitere Informationen finden Sie unter Nicht unterstützte RFC-Komponenten von BFD . Dies lässt sich am besten durch eine Packet Capture (Paketdatenaufzeichnung, PCAP) ermitteln. Verwenden Sie dazu Erste Schritte: Paketerfassung als Anleitung.
2. Identifizieren Sie eine mögliche Ressourcenerschöpfung in der Palo Alto- Firewall.
   1. Wenn die Firewall von Strata Cloud Manager (früher bekannt als AIOps) überwacht wird, verwenden Sie So identifizieren Sie hohe CPU, Paketpuffer- und Paketdeskriptorauslastungen in der Firewall mit Strata Cloud Manager
   2. Für Firewalls, die nicht von Strata Cloud Manager überwacht werden, führen Sie die folgenden Schritte aus
      1. Überprüfen Sie mithilfe der Anleitung zur Fehlerbehebung bei hoher Paketpuffer- oder Paketdeskriptornutzung, ob Ihre Firewall eine hohe Nutzung der Datenebene aufweist.
      2. Ermitteln Sie, ob die CPU Auslastung der Datenebene hoch ist
         1. Gehen Sie in der GUI der Firewall zu DASHBOARD > Widgets > System > klicken Sie auf Systemressourcen
         2. Um dieses Problem zu beheben, verwenden Sie So beheben Sie Probleme mit hoher DataPlane- CPU
      3. Ermitteln Sie, ob die CPU Auslastung der Management Plane (Management-Ebene, MP) hoch ist
         1. Gehen Sie in der GUI der Firewall zu DASHBOARD > Widgets > System > klicken Sie auf Systemressourcen
         2. Um dieses Problem zu beheben, verwenden Sie TIPPS & TRICKS: Reduzierung der Management Plane-Last
   3. Um die DP- Last zu minimieren, sollte die BFD Sitzung idealerweise durch die Firewall entlastet werden. Aufgrund der Sicherheitsrichtlinie und der Sicherheitsprofile wird die Sitzung jedoch nicht entlastet. Informationen zum Reduzieren der CPU-DP- Last finden Sie unter Tipps und Tricks: So erstellen Sie eine Anwendungsüberschreibung .
3. Versuchen Sie, mögliche Schnittstelle anhand der folgenden
   1. So prüfen Sie eine Schnittstelle auf CRC-Fehler
   2. So prüfen Sie eine Schnittstelle auf logische Fehler
   3. Der Unterschied zwischen Empfangsfehlern für Hardware- und logische Schnittstellenzähler
4. Flattert das BFD der Firewall zeitweise mit den Fehlerzählern „flow_bfd_tx_err“ und „flow_bfd_tx_l2“?
5. Mehrhop-BFD
   1. Hat sich die Streckenführung, auf die BFD angewiesen ist, zum Zeitpunkt des Vorfalls geändert? Überprüfen Sie das Alter der weiterleiten.

admin@Lab70-133-PA-3220> show routing route 
----SNIPPED----
destination                                 nexthop                                 metric flags      age   interface          next-AS    
0.0.0.0/0                                   77.77.77.100                            10     A S              ethernet1/1                  
77.75.77.0/24                               0.0.0.0                                 10       Oi       1387850 ethernet1/2                   
77.75.77.0/24                               77.75.77.133                            0      A C              ethernet1/2                   
77.75.77.133/32                             0.0.0.0                                 0      A H                                            
77.77.77.0/24                               0.0.0.0                                 10       Oi       138   ethernet1/1                   
77.77.77.0/24                               77.77.77.133                            0      A C              ethernet1/1  

2. BFD-Pakete wurden aufgrund einer Nichtübereinstimmung der Multi-Hop-Einstellungen gelöscht.

6. Verringern Sie die Empfindlichkeit, indem Sie einen längeren Timer konfigurieren. Gehen Sie dazu zu Netzwerk > Netzwerkprofile > BFD-Profil