Cómo mitigar un aumento anormal en el contador global de "pkt_recv_err"

Cómo mitigar un aumento anormal en el contador global de "pkt_recv_err"

10150
Created On 11/28/23 19:03 PM - Last Modified 07/24/25 07:42 AM


Objective


El pkt_recv_err de contador se incrementa cuando el firewall recibe un paquete con información L2-L4 incorrecta o no válida. El firewall no puede analizar ni procesar el paquete, descarta el paquete e incrementa el contador global pkt_recv_err.

A continuación se muestra un ejemplo del incremento de la pkt_recv_err de contador global en el firewall: 
> show counter global

name value rate severity category aspect description
--------------------------------------------------------------------------------
pkt_recv_err 100 100 drop packet pktproc Packet receive error
Aunque es poco frecuente, algunas aplicaciones pueden enviar paquetes que no se adhieren al estándar RFC válido actual para redes TCP/IP, lo que provoca este problema. En esos casos, el proveedor de la aplicación de software debe resolver ese problema con su software.

Nota: Este contador global solo es significativo si se ve durante la resolución de problemas de un flujo de tráfico específico mediante contadores globales con filtros para una dirección IP de origen y destino específica y se ve que este contador global descarta ese flujo de tráfico específicamente. El resto del tiempo, este contador global puede ignorarse de forma segura y no continuar con los pasos que se indican a continuación en este documento. Si se ve que el contador global 'pkt_recv_err' está descartando un flujo de tráfico específico que se está solucionando con contadores globales, continúe a continuación.

Environment


  • Firewall de próxima generación

Procedure


  1. Identifique qué flujo de tráfico por IP de origen, puerto de origen, IP de destino, puerto de destino en la red está siendo descartado por el firewall debido a este contador (si lo hay) utilizando contadores globales con filtros
Nota: Si el contador global pkt_recv_err se ve en general, pero no se sabe que se esté produciendo ningún problema de tráfico, este contador se puede ignorar de forma segura. Si soluciona problemas de un flujo de tráfico específico y ese flujo de tráfico se descarta debido al contador 'pkt_recv_err' específicamente, continúe con el paso 2 a continuación.
  1. Ejecute el siguiente comando CLI:
> show counter global
Busque cualquier otro contador global que comience con "pkt_recv" que se incremente al mismo tiempo que pkt_recv_err y solucione el motivo de ese contador global en su lugar.

Ejemplo:
Si "pkt_recv_err" y "pkt_recv_multiple_bufs" son incrementales, continúe con la solución de problemas usando Cómo mitigar un aumento anormal en el contador global "pkt_recv_multiple_bufs" en su lugar Si "pkt_recv_err" y "pkt_recv_short_pkt" están aumentando, continúe con la solución de problemas usando -ERR:REF-NOT-FOUND-Cómo mitigar un aumento anormal en el contador global "pkt_recv_short_pkt" en su lugar
  1. Realice una captura de paquetes (con filtros) en los siguientes puntos de captura :
A. el puerto de salida del conmutador/dispositivo conectado al cortafuegos (de donde procede este paquete)
B. el puerto de entrada del cortafuegos (a donde va este paquete)
  1. Abra la(s) captura(s) de paquetes en Wireshark e inspeccione la información L2-L4 en los paquetes descartados en busca de cualquiera de los siguientes problemas:
L2: longitud incorrecta de la etiqueta VLAN, encapsulación
incorrecta L3: suma de comprobación incorrecta, el paquete IP está truncado, el paquete es demasiado corto, el paquete es demasiado grande, el error de suma de comprobación del paquete, la falta de coincidencia de longitud de IP y UDP/TCP, el paquete es más grande que la MTU de la interfaz del firewall (es posible que sea necesario habilitar las tramas gigantes)
L4: puerto TCP/UDP 0, indicador TCP no válido, etc.
  1. Tome las medidas adecuadas para resolver el problema de acuerdo con los hallazgos anteriores. Los ejemplos incluyen:
  • Si el dispositivo o la aplicación de origen de estos paquetes los envía incorrectamente o con información L2-L4 no válida, póngase en contacto con el proveedor de esa aplicación de software sobre el comportamiento notificado para que lo corrija
  • Si la VLAN está configurada incorrectamente en el firewall en comparación con la etiqueta VLAN en los paquetes, ajuste la etiqueta VLAN para que sea correcta en el firewall o en los paquetes
  • Si las tramas gigantes están deshabilitadas pero la red utiliza tramas gigantes, considere la posibilidad de habilitar tramas gigantes en el firewall (para paquetes más grandes que la MTU de interfaz predeterminada de 1500)
  • Si los paquetes llegan con un puerto de origen o un puerto de destino de 0, vaya a la aplicación de origen que genera estos paquetes no válidos y corrija ese problema

Additional Information


Otros contadores globales que comúnmente se ven incrementados al mismo tiempo que pkt_recv_err incluyen: 
>show counter global | match pkt_recv
pkt_recv_err_large                              drop      Packet receive error due to large packet
pkt_recv_short_pkt                              drop      Packet receive short packets
pkt_recv_empty_buf                              drop      packet    pktproc   Packet WQE without buffer
pkt_recv_multiple_bufs                          drop      packet    pktproc   Packets received with multiple buffers
pkt_recv_throttle_cos                           drop      packet    pktproc   Packets throttled by QoS control
pkt_recv_flush_link                             drop      Packets dropped due to link down in dpdk mode
pkt_recv_flush_passive                          drop      Packets drop due to passive VM in dpdk mode
pkt_recv_skip_inflight                          info      Packet receive skipped due to high inflight num
pkt_recv_multiple_bufs                          drop      Packets received with multiple buffers not from content engine
pkt_recv_multiple_bufs_ce                       info      Packets received with multiple buffers from content engine
pkt_recv_retry                                  info      Full Burst Packets received on retry
pkt_recv_sso_wa_err                             warn      Packets received with atomic type but without SSO workaround
pkt_recv_zero                                   info      Packets received from QoS 0
flow_ipfrag_large_pkt_recv                      info      IP fragment large packet(>16k) received
pkt_recv_hop_err                                drop      Packet received with IP HOP error
pkt_recv_lro                                    info      LRO Packets received
pkt_recv_lro_cksum_err                          drop      LRO Packets received but dropped due incorrect cksum
pkt_recv_lro_dvflt_err                          drop      LRO Packets received but dropped due to DV Filter
pkt_recv_lro_err                                drop      LRO Packets receive error
pkt_recv_lro_ipfrag_err                         drop      LRO Packets received but dropped due to IP fragment
pkt_recv_lro_mem_err                            drop      LRO Packets received but no memory
pkt_recv_lro_notip_err                          drop      LRO Packets drop due to non-IP
pkt_recv_lro_prepend_err                        drop      LRO Packets received but prepend error
Si un paquete de más de 1500 bytes entra en una interfaz de firewall cuya interfaz es la MTU de interfaz predeterminada de 1500, el paquete puede descartarse y pkt_recv_err incrementos. Habilitar tramas gigantes puede resolver este problema.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000XhFDCA0&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language