如何排除 BFD 故障
12029
Created On 10/04/23 05:06 AM - Last Modified 01/07/25 19:31 PM
Objective
识别并解决 BFD会话丢失的原因。
Environment
- Palo Alto 防火墙
- 支持的 PAN OS
- 双向链路检测
Procedure
- 对等端是否支持 Palo Alto 不支持的 BFD RFC 组件?有关详细信息,请参阅BFD 不支持的 RFC 组件。确定这一点的最佳方法是执行packet capture(数据包捕获-pcap),使用入门:数据包捕获作为指南。
- 确定 Palo Alto防火墙中可能存在的资源耗尽情况。
- 如果防火墙由 Strata Cloud Manager(以前称为 AIOps)监控,请使用如何使用 Strata Cloud Manager 识别防火墙中的高中央处理器 、数据包缓冲区和数据包描述符
- 对于非 Strata Cloud Manager 监控的防火墙,请使用以下步骤
- 使用“如何排除高数据包缓冲区或数据包描述符使用率故障”来检查您的防火墙是否具有高数据平面资源使用率。
- 确定数据平面中央处理器利用率是否高
- 在防火墙的 GUI 下,转到“仪表板”>“小部件”>“系统”>单击“系统资源”
- 要解决此问题,请使用如何排除 DataPlane 中央处理器过高故障
- 确定management plane(管理平面-MP)中央处理器利用率是否较高
- 在防火墙的 GUI 下,转到“仪表板”>“小部件”>“系统”>单击“系统资源”
- 要解决此问题,请使用提示和技巧:减少管理平面负载
- 为了最大限度地减少 DP加载,理想情况下,BFD会话应由防火墙卸载。但是,由于安全策略和安全配置文件,会话不会被卸载。要减少中央处理器-DP加载,请参阅提示和技巧:如何创建应用程序覆盖。
- 尝试使用以下方法识别可能的接口问题
- 防火墙的BFD 是否会间歇性地出现“flow_bfd_tx_err”和“flow_bfd_tx_l2”错误计数器?
- 多跳 BFD
- 事件发生期间,BFD 所依赖的路由是否发生过故障?请检查路由的使用年限。
admin@Lab70-133-PA-3220> show routing route
----SNIPPED----
destination nexthop metric flags age interface next-AS
0.0.0.0/0 77.77.77.100 10 A S ethernet1/1
77.75.77.0/24 0.0.0.0 10 Oi 1387850 ethernet1/2
77.75.77.0/24 77.75.77.133 0 A C ethernet1/2
77.75.77.133/32 0.0.0.0 0 A H
77.77.77.0/24 0.0.0.0 10 Oi 138 ethernet1/1
77.77.77.0/24 77.77.77.133 0 A C ethernet1/1
- 通过配置更长的计时器来降低敏感度,转到网络 > 网络配置文件 > BFD 配置文件