Cómo solucionar problemas de rendimiento del DP debido al agotamiento de la tabla de sesión

Cómo solucionar problemas de rendimiento del DP debido al agotamiento de la tabla de sesión

12267
Created On 06/21/23 17:08 PM - Last Modified 08/23/23 22:45 PM


Objective


Para causar raíz y mitigar los problemas de rendimiento de DP debido al número de sesiones simultáneas que alcanzan el límite de capacidad del FW. Esta causa raíz del problema de rendimiento de DP se habría determinado al notar que el aumento de las conexiones caídas en el plano de datos del FW coincidió con el aumento de la utilización de la tabla de sesiones y el aumento del límite admitido del FW.

Environment


  • Palo Alto Firewall
  • Rendimiento del DP
  • Agotamiento de la mesa de sesión

Procedure


  1. Determine la IP de origen, la IP de destino y la aplicación de los flujos de tráfico que ocupan el mayor número de sesiones simultáneas:
    1. Para encontrar el tráfico con sesiones terminadas:
      1. Busque en los registros de tráfico MONITOR > Registros > tráfico utilizando la marca de tiempo de detección de CPU DP alta con los filtros: (receive_time leq <valor de tiempo>) y (receive_time geq <valor de tiempo>).
      2. Verifique la pestaña ACC y filtre utilizando la marca de tiempo de detección de tiempo de CPU DP alto > rango de tiempo de > personalizado; Busque el tráfico que tiene un alto número de sesiones, seleccione las sesiones del botón de opción en todos los widgets de ACC.
    2. Para encontrar el tráfico con sesiones activas:
      1. Compruebe el MONITOR > navegador de sesiones.
      2. Compruebe la salida del comando CLI: 
        show session all
        Consulte Cómo supervisar sesiones en vivo en la CLI 
  2. Si el aumento en las sesiones de tráfico se debe a una actividad programada como actualizaciones programadas, sondeo de datos o sincronización de datos, considere establecer ese horario fuera de las horas normales de producción, es decir, fuera de las horas pico de tráfico.
  3. Si es necesario detener el desbordamiento de tráfico, intente detenerlo en su origen, de lo contrario, es mejor usar la configuración de protección de zona y protección de DOS en el FW.
  4. Si la razón por la que la utilización de la tabla de sesión alcanza su capacidad más alta se debe al hecho de que la configuración del tiempo de espera de la sesión para este tipo de tráfico se establece demasiado alta o demasiado baja de forma predeterminada, consulte Tiempo de espera de sesión de sugerencias y trucos.
  5. En el caso de que ninguno de los pasos anteriores se pueda utilizar para reducir la utilización de la tabla de sesiones por debajo del límite de capacidad del FW, las sesiones recibidas por el FW son elegibles y la configuración de tiempo de espera de sesión es válida, considere actualizar su FW a una plataforma de mayor capacidad.

Additional Information


Como práctica recomendada y para proteger los recursos del firewall, siempre se recomienda habilitar la protección del búfer de paquetes globalmente en Configuración de > de dispositivo > Configuración de sesión y por zona en Zonas > de red.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000bq7iCAA&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language