SNMPv3 响应延迟或超时发生在 PA-220/PA-800 系列上。
5247
Created On 02/13/24 02:14 AM - Last Modified 03/31/25 05:42 AM
Symptom
- 从 10.1 或更高版本开始,PA-220/PA-800 系列上会出现 SNMPv3 响应延迟或超时。
- 这是通过从客户端执行以下命令来观察的。
Client:~$ snmpwalk -v 3 -u paloalto -l authPriv -a SHA -A paloalto -x AES -X paloalto 10.x.x.206 1.3.6.1.2.1.25.2.3.1.6.1020
- 当上述请求发送到 PA-220 设备时,实际捕获数据如下所示。
16:27:01.316042 IP 10.x.x.117.39234 > 10.x.x.206.snmp: F=r U="" E= C="" GetRequest(14)
16:27:02.316898 IP 10.x.x.117.39234 > 10.x.x.206.snmp: F=r U="" E= C="" GetRequest(14)
16:27:03.318021 IP 10.x.x.117.39234 > 10.x.x.206.snmp: F=r U="" E= C="" GetRequest(14)
16:27:04.319139 IP 10.x.x.117.39234 > 10.x.x.206.snmp: F=r U="" E= C="" GetRequest(14)
16:27:05.320251 IP 10.x.x.117.39234 > 10.x.x.206.snmp: F=r U="" E= C="" GetRequest(14)
16:27:06.321428 IP 10.x.x.117.39234 > 10.x.x.206.snmp: F=r U="" E= C="" GetRequest(14)
16:27:07.009269 IP 10.x.x.206.snmp > 10.x.x.117.39234: F= U="" E=_80_00_1f_88_04_30_31_32_38_30_31_30_30_31_30_38_36 C="" Report(31) S:snmpUsmMIB.usmMIBObjects.usmStats.usmStatsUnknownEngineIDs.0=4
16:27:07.014131 IP 10.x.x.206.snmp > 10.x.x.117.39234: F= U="" E=_80_00_1f_88_04_30_31_32_38_30_31_30_30_31_30_38_36 C="" Report(31) S:snmpUsmMIB.usmMIBObjects.usmStats.usmStatsUnknownEngineIDs.0=5
16:27:07.014357 IP 10.x.x.206.snmp > 10.x.x.117.39234: F= U="" E=_80_00_1f_88_04_30_31_32_38_30_31_30_30_31_30_38_36 C="" Report(31) S:snmpUsmMIB.usmMIBObjects.usmStats.usmStatsUnknownEngineIDs.0=6
16:27:07.014579 IP 10.x.x.206.snmp > 10.x.x.117.39234: F= U="" E=_80_00_1f_88_04_30_31_32_38_30_31_30_30_31_30_38_36 C="" Report(31) S:snmpUsmMIB.usmMIBObjects.usmStats.usmStatsUnknownEngineIDs.0=7
16:27:07.014775 IP 10.x.x.206.snmp > 10.x.x.117.39234: F= U="" E=_80_00_1f_88_04_30_31_32_38_30_31_30_30_31_30_38_36 C="" Report(31) S:snmpUsmMIB.usmMIBObjects.usmStats.usmStatsUnknownEngineIDs.0=8
16:27:07.014984 IP 10.x.x.206.snmp > 10.x.x.117.39234: F= U="" E=_80_00_1f_88_04_30_31_32_38_30_31_30_30_31_30_38_36 C="" Report(31) S:snmpUsmMIB.usmMIBObjects.usmStats.usmStatsUnknownEngineIDs.0=9
- 在此捕获数据中,大约需要 7 秒才能获得第一个响应。
Environment
- PA-220、PA-800 系列
- 泛操作系统 10.1、10.2、11.0、11.1
- SNMPv3的
Cause
PA-220 / PA-800 平台的处理能力低于其他高级平台,并且会导致速度变慢。
Resolution
可以使用以下方法作为解决方法。
- 使用 SNMPv2。
- 设置 timeout 以接受客户端请求中大约 30~60 秒的延迟,如下所示。
Client:~$ snmpwalk -v 3 -u paloalto -l authPriv -a SHA -A paloalto -x AES -X paloalto 10.x.x.206 1.3.6.1.2.1.25.2.3.1.6.1020 -t 30