So mildern Sie einen abnormalen Anstieg des globalen "tcp_drop_packet"-Zählers
12938
Created On 11/29/23 20:08 PM - Last Modified 12/19/23 05:19 AM
Objective
Der Zähler tcp_drop_packet erhöht, wenn ein Paket von der Firewall empfangen wird, das ungültige/falsche Daten in einem Paketfeld enthält, oder wenn der Paketfluss nicht den herkömmlichen TCP-Vorgängen und -Standards entspricht, was dazu führt, dass die TCP-Reassemblierung fehlschlägt. Der Zähler tcp_drop_packet ist in der Regel ein Catch-All-Zähler für alle Verwerfungen bei der TCP-Reassemblierung und wird am häufigsten zusammen mit einem anderen "tcp_"-Zähler angezeigt, der die spezifische Grundursache angibt.
Im Folgenden finden Sie ein Beispiel für das Inkrement des globalen Zählers tcp_drop_packet in der Firewall:
> show counter global name value rate severity category aspect description -------------------------------------------------------------------------------- tcp_drop_packet 2 0 warn tcp pktproc packets dropped because of failure in tcp reassemblyHinweis: Dieser globale Zähler ist nur dann von Bedeutung, wenn er bei der Fehlerbehebung für einen bestimmten Datenverkehrsfluss mithilfe von globalen Zählern mit Filtern für eine bestimmte Quell- und Ziel-IP-Adresse angezeigt wird und dieser globale Zähler diesen Datenverkehrsfluss speziell verwirft. In allen anderen Fällen kann dieser globale Leistungsindikator ignoriert werden, und fahren Sie nicht mit den folgenden Schritten in diesem Dokument fort. Wenn der globale Zähler "tcp_drop_packet" einen bestimmten Datenverkehrsfluss verwirft, der mithilfe globaler Zähler behoben wird, fahren Sie mit den folgenden Schritten fort.
Environment
- Firewall der nächsten Generation
Procedure
- Ermitteln Sie, welcher Datenverkehrsfluss nach Quell-IP, Quell-Port, Ziel-IP, Ziel-Port im Netzwerk aufgrund dieses Zählers (falls vorhanden) von der Firewall verworfen wird, indem Sie globale Leistungsindikatoren mit Filtern verwenden
Hinweis: Wenn der globale Zähler tcp_drop_packet im Allgemeinen angezeigt wird, aber kein Datenverkehrsproblem bekannt ist, kann dieser Zähler ignoriert werden. Wenn Sie eine Fehlerbehebung für einen bestimmten Datenverkehrsfluss durchführen und dieser Datenverkehrsfluss aufgrund des Zählers "tcp_drop_packet" unterbrochen wird, fahren Sie mit Schritt 2 unten fort.
- Führen Sie den folgenden CLI-Befehl aus:
> show counter globalSuchen Sie nach anderen globalen Leistungsindikatoren, die "tcp_" enthalten, die gleichzeitig mit tcp_drop_packet inkrementiert werden,
und beheben Sie stattdessen den Grund für diesen spezifischeren globalen Leistungsindikator.Beispiel:
Wenn sowohl "tcp_drop_packet" als auch "tcp_drop_out_of_wnd" inkrementiert werden, fahren Sie mit der Fehlerbehebung fort, indem Sie stattdessen einen abnormalen Anstieg des globalen Zählers "tcp_drop_out_of_wnd" abmildern Wenn sowohl "tcp_drop_packet" als auch "tcp_invalid_ts_option" inkrementiert werden, fahren Sie stattdessen
mit der Fehlerbehebung fort, indem Sie TCP-Pakete verwenden, die von der Firewall aufgrund der Option "Ungültiger Zeitstempel" verworfen wurdenWenn sowohl "tcp_drop_packet" als auch "tcp_exceed_flow_seg_limit" inkrementiert werden, fahren Sie stattdessen mit der Fehlerbehebung in der PAN-OS-Webinterface-Hilfe - TCP-Einstellungen fort
- Wenden Sie sich an den Anbieter der Softwareanwendung, die diese TCP-Pakete sendet, um das ungültige oder falsche TCP-Verhalten korrigieren zu lassen
- Wenn eine Firewall-Einstellung vorhanden ist (abhängig vom Grund für den Paketverlust), passen Sie die spezifische Firewall-Konfigurationseinstellung an, die dem globalen TCP-Ausnahmezähler entspricht, den Sie oben in Schritt 2 gefunden haben
Vorsicht: Gemäß den Best Practices für PAN-OS wird empfohlen, die Standardwerte für die meisten PAN-OS-Einstellungen beizubehalten. Jede Änderung der PAN-OS-Standardeinstellungen sollte sorgfältig abgewogen werden, um eine sorgfältige Bewertung zu gewährleisten, bevor eine Änderung vorgenommen wird.
Beispiel: PAN-OS bietet die Möglichkeit, die Option "Zeitstempel prüfen" zu deaktivieren und so zu verhindern, dass Pakete mit dem globalen Zähler "tcp_invalid_ts_option" verworfen werden, aber es wird nicht empfohlen, diese Einstellung zu deaktivieren, um eine sichere Bereitstellung zu gewährleisten und aus Konnektivitätsgründen.
Beispiel: PAN-OS bietet die Möglichkeit, die Option "Zeitstempel prüfen" zu deaktivieren und so zu verhindern, dass Pakete mit dem globalen Zähler "tcp_invalid_ts_option" verworfen werden, aber es wird nicht empfohlen, diese Einstellung zu deaktivieren, um eine sichere Bereitstellung zu gewährleisten und aus Konnektivitätsgründen.
Additional Information
Weitere globale Leistungsindikatoren, die neben tcp_drop_packet angezeigt werden und die auf die spezifische Ursache des Paketverlusts hinweisen, sind:
tcp_out_of_sync warn can't continue tcp reassembly because it is out of sync tcp_drop_out_of_wnd warn out-of-window packets dropped tcp_invalid_ts_option info packets with invalid timestamp option tcp_syn_missing info miss SYN packet for tcp session tcp_exceed_flow_seg_limit warn packets dropped due to the limitation on tcp out-of-order queue sizeDie meisten der oben genannten ungültigen/falschen TCP-Paketausnahmen können mithilfe einer Paketerfassung angezeigt und überprüft werden. Führen Sie bei Bedarf eine Paketerfassung durch, um die Felder eines TCP-Pakets oder -Datenflusses anzuzeigen und die Informationen in den einzelnen Feldern zu überprüfen.