So mildern Sie einen abnormalen Anstieg des globalen "pkt_recv_err"-Zählers

So mildern Sie einen abnormalen Anstieg des globalen "pkt_recv_err"-Zählers

10114
Created On 11/28/23 19:03 PM - Last Modified 07/24/25 07:42 AM


Objective


Der Zähler pkt_recv_err erhöht, wenn ein Paket mit falschen oder ungültigen L2-L4-Informationen von der Firewall empfangen wird. Die Firewall kann das Paket nicht analysieren oder verarbeiten, verwirft das Paket und erhöht den globalen Leistungsindikator pkt_recv_err.

Im Folgenden finden Sie ein Beispiel für das Inkrement des globalen Zählers pkt_recv_err in der Firewall: 
> show counter global

name value rate severity category aspect description
--------------------------------------------------------------------------------
pkt_recv_err 100 100 drop packet pktproc Packet receive error
Obwohl selten, können einige Anwendungen Pakete senden, die nicht dem aktuell gültigen RFC-Standard für TCP/IP-Netzwerke entsprechen, wodurch dieses Problem auftritt. In diesen Fällen muss der Anbieter der Softwareanwendung dieses Problem mit seiner Software beheben.

Hinweis: Dieser globale Zähler ist nur dann von Bedeutung, wenn er bei der Fehlerbehebung für einen bestimmten Datenverkehrsfluss mithilfe von globalen Zählern mit Filtern für eine bestimmte Quell- und Ziel-IP-Adresse angezeigt wird und dieser globale Zähler diesen Datenverkehrsfluss speziell verwirft. In allen anderen Fällen kann dieser globale Leistungsindikator ignoriert werden, und fahren Sie nicht mit den folgenden Schritten in diesem Dokument fort. Wenn festgestellt wird, dass der globale Zähler "pkt_recv_err" einen bestimmten Datenverkehrsfluss verwirft, bei dem die Fehlerbehebung mithilfe globaler Zähler durchgeführt wird, fahren Sie unten fort.

Environment


  • Firewall der nächsten Generation

Procedure


  1. Ermitteln Sie, welcher Datenverkehrsfluss nach Quell-IP, Quell-Port, Ziel-IP, Ziel-Port im Netzwerk aufgrund dieses Zählers (falls vorhanden) von der Firewall verworfen wird, indem Sie globale Leistungsindikatoren mit Filtern verwenden
Hinweis: Wenn der globale Zähler pkt_recv_err im Allgemeinen angezeigt wird, aber kein Datenverkehrsproblem bekannt ist, kann dieser Zähler ignoriert werden. Wenn Sie eine Fehlerbehebung für einen bestimmten Datenverkehrsfluss durchführen und dieser Datenverkehrsfluss aufgrund des "pkt_recv_err"-Zählers unterbrochen wird, fahren Sie mit Schritt 2 unten fort.
  1. Führen Sie den folgenden CLI-Befehl aus:
> show counter global
Suchen Sie nach anderen globalen Leistungsindikatoren, die mit "pkt_recv" beginnen und gleichzeitig mit pkt_recv_err inkrementiert werden,

und beheben Sie stattdessen den Grund für diesen globalen Leistungsindikator.Beispiel:
Wenn sowohl "pkt_recv_err" als auch "pkt_recv_multiple_bufs" inkrementiert werden, fahren Sie mit der Fehlerbehebung fort, indem Sie stattdessen
einen abnormalen Anstieg des globalen Zählers "pkt_recv_multiple_bufs" abmildern Wenn sowohl "pkt_recv_err" als auch "pkt_recv_short_pkt" inkrementiert werden, fahren Sie mit der Fehlerbehebung fort, indem Sie stattdessen einen abnormalen Anstieg des globalen Zählers "pkt_recv_short_pkt" abmildern
  1. Führen Sie eine Paketerfassung (mit Filtern) an den folgenden Erfassungspunkten durch:
a. den Ausgangsport des Switches/Geräts, der mit der Firewall verbunden ist (woher dieses Paket kommt)
b. den Eingangsport der Firewall (wohin dieses Paket geht)
  1. Öffnen Sie die Paketerfassung(en) in Wireshark und überprüfen Sie die L2-L4-Informationen in den verworfenen Paketen auf eines der folgenden Probleme:
L2: falsche Länge des VLAN-Tags, falsche Kapselung
L3: falsche Prüfsumme, IP-Paket ist abgeschnitten, Paket zu kurz, Paket zu groß, Paket-Prüfsummenfehler, IP- und UDP/TCP-Längenkonflikt, Paket größer als Firewall-Schnittstelle MTU (muss möglicherweise Jumbo-Frames aktivieren)
L4: TCP/UDP-Port 0, ungültiges TCP-Flag usw.
  1. Ergreifen Sie die geeigneten Maßnahmen, um das Problem gemäß den oben genannten Ergebnissen zu beheben. Beispiele:
  • Wenn das Quellgerät oder die Anwendung dieser Pakete sie falsch sendet / ungültige L2-L4-Informationen enthält, wenden Sie sich an den Anbieter dieser Softwareanwendung, um das gemeldete Verhalten zu beheben
  • Wenn das VLAN in der Firewall im Vergleich zum VLAN-Tag in den Paketen falsch konfiguriert ist, passen Sie das VLAN-Tag so an, dass es in der Firewall oder in den Paketen korrekt ist
  • Wenn Jumbo-Frames deaktiviert sind, Ihr Netzwerk jedoch Jumbo-Frames verwendet, sollten Sie die Aktivierung von Jumbo-Frames in der Firewall in Betracht ziehen (für Pakete, die größer als die Standard-Schnittstellen-MTU von 1500 sind)
  • Wenn die Pakete mit einem Quellport oder Zielport von 0 eingehen, wechseln Sie zu der Quellanwendung, die diese ungültigen Pakete generiert, und beheben Sie das Problem

Additional Information


Andere globale Leistungsindikatoren, die häufig gleichzeitig mit pkt_recv_err inkrementiert werden, sind: 
>show counter global | match pkt_recv
pkt_recv_err_large                              drop      Packet receive error due to large packet
pkt_recv_short_pkt                              drop      Packet receive short packets
pkt_recv_empty_buf                              drop      packet    pktproc   Packet WQE without buffer
pkt_recv_multiple_bufs                          drop      packet    pktproc   Packets received with multiple buffers
pkt_recv_throttle_cos                           drop      packet    pktproc   Packets throttled by QoS control
pkt_recv_flush_link                             drop      Packets dropped due to link down in dpdk mode
pkt_recv_flush_passive                          drop      Packets drop due to passive VM in dpdk mode
pkt_recv_skip_inflight                          info      Packet receive skipped due to high inflight num
pkt_recv_multiple_bufs                          drop      Packets received with multiple buffers not from content engine
pkt_recv_multiple_bufs_ce                       info      Packets received with multiple buffers from content engine
pkt_recv_retry                                  info      Full Burst Packets received on retry
pkt_recv_sso_wa_err                             warn      Packets received with atomic type but without SSO workaround
pkt_recv_zero                                   info      Packets received from QoS 0
flow_ipfrag_large_pkt_recv                      info      IP fragment large packet(>16k) received
pkt_recv_hop_err                                drop      Packet received with IP HOP error
pkt_recv_lro                                    info      LRO Packets received
pkt_recv_lro_cksum_err                          drop      LRO Packets received but dropped due incorrect cksum
pkt_recv_lro_dvflt_err                          drop      LRO Packets received but dropped due to DV Filter
pkt_recv_lro_err                                drop      LRO Packets receive error
pkt_recv_lro_ipfrag_err                         drop      LRO Packets received but dropped due to IP fragment
pkt_recv_lro_mem_err                            drop      LRO Packets received but no memory
pkt_recv_lro_notip_err                          drop      LRO Packets drop due to non-IP
pkt_recv_lro_prepend_err                        drop      LRO Packets received but prepend error
Wenn ein Paket, das größer als 1500 Byte ist, in eine Firewall-Schnittstelle eingeht, deren Schnittstelle die Standard-Schnittstellen-MTU von 1500 ist, kann das Paket verworfen werden und pkt_recv_err inkrementiert werden. Das Aktivieren von Jumbo Frames kann dieses Problem beheben.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000XhFDCA0&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language