Comment résoudre le problème de performances du DP dû à l’épuisement de la table de session

Comment résoudre le problème de performances du DP dû à l’épuisement de la table de session

12275
Created On 06/21/23 17:08 PM - Last Modified 08/23/23 22:45 PM


Objective


Identifier et atténuer les problèmes de performances du Programme du diplôme dus au nombre de sessions simultanées atteignant la limite de capacité du FW. Cette cause première du problème de performances du DP aurait été déterminée en remarquant que l'augmentation des connexions interrompues dans le plan de données du FW coïncidait avec l'augmentation de l'utilisation des tables de session et l'atteinte de la limite prise en charge par le FW.

Environment


  • Pare-feu De Palo Alto
  • Performance du
  • Épuisement de la table de session

Procedure


  1. Déterminez l’adresse IP source, l’adresse IP de destination et l’application des flux de trafic qui occupent le plus grand nombre de sessions simultanées :
    1. Pour rechercher le trafic avec les sessions terminées :
      1. Recherchez dans les journaux de trafic MONITOR > Logs > Traffic en utilisant l'horodatage de la détection de CPU DP élevé avec les filtres : (receive_time leq <time value>) et (receive_time geq <time value>).
      2. Vérifiez l’onglet ACC et filtrez à l’aide de l’horodatage de détection du temps CPU DP élevé > plage de temps > personnalisée ; Recherchez le trafic qui a un nombre élevé de sessions Sélectionnez les sessions de bouton radio dans tous les widgets ACC.
    2. Pour rechercher le trafic avec des sessions actives :
      1. Vérifiez le navigateur de session MONITOR >.
      2. Vérifiez la sortie de la commande CLI : 
        show session all
        Reportez-vous à Comment surveiller les sessions en direct dans l’interface de ligne de commande 
  2. Si l’augmentation du trafic des sessions est due à une activité planifiée telle que les mises à jour planifiées, l’interrogation ou la synchronisation des données, envisagez de définir cette planification en dehors des heures normales de production, c’est-à-dire en dehors des heures de pointe.
  3. Si le débordement du trafic doit être arrêté, essayez de l’arrêter à sa source, sinon il est préférable d’utiliser la protection de zone et la configuration de protection DOS sur le FW.
  4. Si la raison pour laquelle l’utilisation de la table de session atteint sa capacité maximale est due au fait que le paramètre de délai d’expiration de session pour ce type de trafic est défini trop haut ou trop bas par défaut, dans ce cas, reportez-vous à Tips & Tricks Session Timeout.
  5. Dans le cas où aucune des étapes ci-dessus ne peut être utilisée pour réduire l’utilisation de la table de session en dessous de la limite de capacité du FW, les sessions reçues par le FW sont éligibles et les paramètres de délai d’expiration de session sont valides, envisagez de mettre à niveau votre FW vers une plate-forme de capacité supérieure.

Additional Information


Il est toujours recommandé d'activer la protection de la mémoire tampon des paquets globalement sous Configuration > session du périphérique > et par zone sous Zones > réseau.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000bq7iCAA&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language