Comment atténuer une augmentation anormale du compteur global « pkt_recv_err »

Comment atténuer une augmentation anormale du compteur global « pkt_recv_err »

10136
Created On 11/28/23 19:03 PM - Last Modified 07/24/25 07:42 AM


Objective


Le compteur s pkt_recv_err’incrémente lorsqu’un paquet est reçu par le pare-feu avec des informations L2-L4 incorrectes ou non valides. Le pare-feu ne parvient pas à analyser ou à traiter le paquet, abandonne le paquet et incrémente le compteur global pkt_recv_err.

Vous trouverez ci-dessous un exemple d’incrémentation du compteur global pkt_recv_err dans le pare-feu : 
> show counter global

name value rate severity category aspect description
--------------------------------------------------------------------------------
pkt_recv_err 100 100 drop packet pktproc Packet receive error
Bien que cela soit rare, certaines applications peuvent envoyer des paquets qui ne respectent pas la norme RFC en vigueur pour les réseaux TCP/IP, ce qui entraîne ce problème. Dans ces cas, le fournisseur de l’application logicielle doit résoudre ce problème avec son logiciel.

Remarque : Ce compteur global n’est significatif que s’il est détecté lors du dépannage d’un flux de trafic spécifique à l’aide de compteurs globaux avec filtres pour une adresse IP source et de destination spécifique et que ce compteur global est perçu comme abandonnant spécifiquement ce flux de trafic. Dans tous les autres cas, ce compteur global peut être ignoré en toute sécurité et ne suivez pas les étapes ci-dessous dans ce document. Si le compteur global 'pkt_recv_err' est perçu comme abandonnant un flux de trafic spécifique en cours de dépannage à l'aide de compteurs globaux, procédez ci-dessous.

Environment


  • Pare-feu nouvelle génération

Procedure


  1. Identifiez le flux de trafic par adresse IP source, port source, adresse IP de destination, port de destination dans le réseau qui est abandonné par le pare-feu en raison de ce compteur (le cas échéant) à l’aide de compteurs globaux avec filtres
Remarque : Si le compteur global pkt_recv_err est vu en général, mais qu’aucun problème de trafic n’est connu, ce compteur peut être ignoré en toute sécurité. Si vous dépannez un flux de trafic spécifique et que ce flux de trafic est interrompu en raison du compteur « pkt_recv_err », passez à l'étape 2 ci-dessous.
  1. Exécutez la commande CLI ci-dessous :
> show counter global
Recherchez tous les autres compteurs globaux commençant par « pkt_recv » qui s’incrémentent en même temps que pkt_recv_err et résolvez la raison de ce compteur global à la place.

Exemple :Si « pkt_recv_err » et « pkt_recv_multiple_bufs » s’incrémentent tous les deux, procédez au dépannage à l’aide de Comment atténuer une augmentation anormale du compteur global « pkt_recv_multiple_bufs » à la place Si « pkt_recv_err » et « pkt_recv_short_pkt » sont tous deux incrémentés, procédez au dépannage à l’aide -ERR:REF-NOT-FOUND-de Comment atténuer une augmentation anormale du compteur global « pkt_recv_short_pkt » à la place

  1. Effectuez une capture de paquets (avec des filtres) aux points de capture suivants :
a. le port de sortie du commutateur/périphérique connecté au pare-feu (d’où provient ce paquet)b. le port d’entrée du pare-feu (où ce paquet est destiné)
  1. Ouvrez la ou les captures de paquets dans Wireshark et inspectez les informations L2-L4 dans les paquets abandonnés pour l’un des problèmes ci-dessous :
L2 : longueur incorrecte de la balise VLAN, encapsulation
incorrecte L3 : somme de contrôle incorrecte, paquet IP tronqué, paquet trop court, paquet trop volumineux, erreur de somme de contrôle des paquets, incompatibilité de longueur IP et UDP/TCP, paquet plus grand que la MTU de l’interface du pare-feu (peut nécessiter l’activation des trames Jumbo)
L4 : port TCP/UDP 0, indicateur TCP non valide, etc.
  1. Prenez les mesures appropriées pour résoudre le problème conformément aux conclusions ci-dessus. Les exemples incluent:
  • Si l’appareil ou l’application source de ces paquets les envoie de manière incorrecte ou contient des informations L2-L4 non valides, contactez le fournisseur de cette application logicielle au sujet du comportement signalé pour qu’il le corrige
  • Si le VLAN n’est pas configuré correctement sur le pare-feu par rapport à la balise VLAN dans les paquets, ajustez la balise VLAN pour qu’elle soit correcte sur le pare-feu ou dans les paquets
  • Si les trames Jumbo sont désactivées mais que votre réseau utilise des trames Jumbo, envisagez d’activer les trames Jumbo sur le pare-feu (pour les paquets dont la MTU d’interface par défaut est de 1500)
  • Si les paquets arrivent avec un port source ou un port de destination égal à 0, accédez à l’application source générant ces paquets non valides et corrigez ce problème

Additional Information


D’autres compteurs globaux qui sont généralement vus s’incrémenter en même temps que pkt_recv_err sont les suivants : 
>show counter global | match pkt_recv
pkt_recv_err_large                              drop      Packet receive error due to large packet
pkt_recv_short_pkt                              drop      Packet receive short packets
pkt_recv_empty_buf                              drop      packet    pktproc   Packet WQE without buffer
pkt_recv_multiple_bufs                          drop      packet    pktproc   Packets received with multiple buffers
pkt_recv_throttle_cos                           drop      packet    pktproc   Packets throttled by QoS control
pkt_recv_flush_link                             drop      Packets dropped due to link down in dpdk mode
pkt_recv_flush_passive                          drop      Packets drop due to passive VM in dpdk mode
pkt_recv_skip_inflight                          info      Packet receive skipped due to high inflight num
pkt_recv_multiple_bufs                          drop      Packets received with multiple buffers not from content engine
pkt_recv_multiple_bufs_ce                       info      Packets received with multiple buffers from content engine
pkt_recv_retry                                  info      Full Burst Packets received on retry
pkt_recv_sso_wa_err                             warn      Packets received with atomic type but without SSO workaround
pkt_recv_zero                                   info      Packets received from QoS 0
flow_ipfrag_large_pkt_recv                      info      IP fragment large packet(>16k) received
pkt_recv_hop_err                                drop      Packet received with IP HOP error
pkt_recv_lro                                    info      LRO Packets received
pkt_recv_lro_cksum_err                          drop      LRO Packets received but dropped due incorrect cksum
pkt_recv_lro_dvflt_err                          drop      LRO Packets received but dropped due to DV Filter
pkt_recv_lro_err                                drop      LRO Packets receive error
pkt_recv_lro_ipfrag_err                         drop      LRO Packets received but dropped due to IP fragment
pkt_recv_lro_mem_err                            drop      LRO Packets received but no memory
pkt_recv_lro_notip_err                          drop      LRO Packets drop due to non-IP
pkt_recv_lro_prepend_err                        drop      LRO Packets received but prepend error
Si un paquet de plus de 1500 octets entre dans une interface de pare-feu dont l’interface est la MTU d’interface par défaut de 1500, le paquet peut être abandonné et pkt_recv_err incréments. L’activation des trames Jumbo peut résoudre ce problème.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000XhFDCA0&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language