BFD のトラブルシューティング方法

BFD のトラブルシューティング方法

12090
Created On 10/04/23 05:06 AM - Last Modified 01/07/25 19:30 PM


Objective


BFDセッションのドロップの原因を特定して解決します。

Environment


  • パロアルトファイアウォール
  • サポートされているPAN-OS
  • ビッグバン

Procedure


  1. ピアは、Palo Alto がサポートしていない BFD RFC コンポーネントをサポートしていますか? 詳細については、「BFD のサポートされていない RFC コンポーネント」を参照してください。これを確認する最良の方法は、 「Getting Started: Packet Capture」をガイドとして使用してpacket capture ( パケット キャプチャ - pcap)を実行することです。
  2. Palo Altoファイアウォールで発生する可能性のあるリソース枯渇を特定します。
    1. ファイアウォールが Strata Cloud Manager (旧称 AIOps) によって監視されている場合は、 Strata Cloud Manager を使用してファイアウォールのCPU 、パケット バッファ、パケット記述子の高使用率を特定する方法を参照してください。
    2. Strata Cloud Managerで監視されていないファイアウォールの場合は、次の手順に従います。
      1. パケット バッファーまたはパケット記述子の使用率が高い場合のトラブルシューティング方法を使用して、ファイアウォールのデータプレーンリソースの使用率が高くなっているかどうかを確認します。
      2. データプレーンのCPU使用率が高いかどうかを判断する
        1. ファイアウォールのGUIで、ダッシュボード > ウィジェット > システム >システムリソースをクリックします。
        2. この問題を解決するには、 高データプレーンCPUのトラブルシューティング方法を参照してください。
      3. management plane ( 管理プレーン - MP )のCPU使用率が高いかどうかを判断する
        1. ファイアウォールのGUIで、ダッシュボード > ウィジェット > システム >システムリソースをクリックします。
        2. この問題を解決するには、 TIPS & TRICKS: 管理プレーンの負荷を軽減する
    3. CPUロードを最小限に抑えるには、理想的には、ファイアウォールによって BFDセッションをオフロードする必要があります。ただし、セキュリティ ポリシーとセキュリティ プロファイルにより、セッションはオフロードされません。CPU -DPロードを軽減するには、 「ヒントとコツ: アプリケーション オーバーライドを作成する方法」を参照してください。
  3. 以下の方法でインターフェイスの問題を特定してください
    1. インターフェース上の CRC エラーを確認する方法
    2. インターフェース上の論理エラーを確認する方法
    3. ハードウェア インターフェース カウンターと論理インターフェース カウンターの受信エラーの違い
  4. ファイアウォールのBFD は、「flow_bfd_tx_err」および「flow_bfd_tx_l2」エラー カウンターで断続的にフラップしていますか?
  5. マルチホップ BFD
    1. BFD が依存するルーティングは、インシデント発生時にフラップしましたか?ルーティングするの経過時間を確認してください。
admin@Lab70-133-PA-3220> show routing route 
----SNIPPED----
destination                                 nexthop                                 metric flags      age   interface          next-AS    
0.0.0.0/0                                   77.77.77.100                            10     A S              ethernet1/1                  
77.75.77.0/24                               0.0.0.0                                 10       Oi       1387850 ethernet1/2                   
77.75.77.0/24                               77.75.77.133                            0      A C              ethernet1/2                   
77.75.77.133/32                             0.0.0.0                                 0      A H                                            
77.77.77.0/24                               0.0.0.0                                 10       Oi       138   ethernet1/1                   
77.77.77.0/24                               77.77.77.133                            0      A C              ethernet1/1
  1. マルチホップ設定の不一致により BFD パケットがドロップされました.
  1. 感度を下げるには、タイマーを長く設定し、ネットワーク > ネットワークプロファイル > BFDプロファイルに移動します。
bfd3.png
NOTE: Only hardware-based firewalls with Active-Passive configurations are synchronized; other firewall setups/models, such as Active-Active and cloud-based firewalls, must be configured individually. That being said, ensure that the configurations are identical for both members of the HA pair.


Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000Xgl8CAC&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language