So beheben Sie DP-Leistungsprobleme aufgrund der Erschöpfung der Sitzungstabelle

So beheben Sie DP-Leistungsprobleme aufgrund der Erschöpfung der Sitzungstabelle

12271
Created On 06/21/23 17:08 PM - Last Modified 08/23/23 22:45 PM


Objective


Um DP-Leistungsprobleme aufgrund der Anzahl gleichzeitiger Sitzungen, die die Kapazitätsgrenze der FW erreichen, zu beheben und zu mindern. Diese Hauptursache für das DP-Leistungsproblem wäre ermittelt worden, indem festgestellt wurde, dass die Zunahme der unterbrochenen Verbindungen auf der Datenebene der FW mit dem Anstieg der Auslastung der Sitzungstabelle und dem Erreichen des unterstützten Grenzwerts der FW zusammenfiel.

Environment


  • Palo Alto Firewall
  • DP-Leistung
  • Erschöpfung der Sitzungstabelle

Procedure


  1. Bestimmen Sie die Quell-IP, die Ziel-IP und die Anwendung der Datenverkehrsströme, die die höchste Anzahl gleichzeitiger Sitzungen in Anspruch nehmen:
    1. So finden Sie den Datenverkehr mit beendeten Sitzungen:
      1. Durchsuchen Sie die Datenverkehrsprotokolle MONITOR > Protokolle > Datenverkehr unter Verwendung des Zeitstempels der Erkennung hoher DP-CPUs mit den Filtern: (receive_time leq <Zeitwert>) und (receive_time geq <Zeitwert>).
      2. Überprüfen Sie die Registerkarte ACC und filtern Sie anhand des Zeitstempels der Erkennung von CPU-Zeit mit hohem DP > benutzerdefinierter > Zeitbereich. Suchen Sie nach dem Datenverkehr mit einer hohen Anzahl von Sitzungen und wählen Sie das Optionsfeld Sitzungen in allen ACC-Widgets aus.
    2. So finden Sie den Datenverkehr mit aktiven Sitzungen:
      1. Überprüfen Sie den MONITOR > Session Browser.
      2. Überprüfen Sie die Ausgabe des CLI-Befehls: 
        show session all
        Weitere Informationen finden Sie unter So überwachen Sie Live-Sitzungen in der CLI 
  2. Wenn der Anstieg der Traffic-Sitzungen auf eine geplante Aktivität wie geplante Updates, Datenabfragen oder Datensynchronisierung zurückzuführen ist, sollten Sie diesen Zeitplan außerhalb der normalen Produktionszeiten, d. h. außerhalb der Hauptverkehrszeiten, festlegen.
  3. Wenn der Überlauf des Datenverkehrs gestoppt werden muss, versuchen Sie, ihn an der Quelle zu stoppen, andernfalls ist es am besten, den Zonenschutz und die DOS-Schutzkonfiguration auf der FW zu verwenden.
  4. Wenn der Grund dafür, dass die Auslastung der Sitzungstabelle ihre höchste Kapazität erreicht, darauf zurückzuführen ist, dass die Einstellung für die Sitzungszeitüberschreitung für diese Art von Datenverkehr standardmäßig zu hoch oder zu niedrig eingestellt ist, finden Sie in diesem Fall weitere Informationen unter Tipps & Tricks: Sitzungszeitüberschreitung.
  5. Für den Fall, dass keiner der oben genannten Schritte verwendet werden kann, um die Auslastung der Sitzungstabelle unter die Kapazitätsgrenze der FW zu reduzieren, die von der FW empfangenen Sitzungen berechtigt sind und die Einstellungen für das Sitzungstimeout gültig sind, sollten Sie ein Upgrade Ihrer FW auf eine Plattform mit höherer Kapazität in Betracht ziehen.

Additional Information


Als Best Practice und um die Ressourcen der Firewall zu schützen, wird immer empfohlen, den Paketpufferschutz global unter Device > Setup > Session Settings und pro Zone unter Network > Zones zu aktivieren.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000bq7iCAA&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language