セッションテーブルの枯渇による DP パフォーマンスの問題をトラブルシューティングする方法
12179
Created On 06/21/23 17:08 PM - Last Modified 08/23/23 22:45 PM
Objective
同時セッション数が FW の容量制限に達したことによる DP パフォーマンスの問題の根本原因を解決し、軽減するため。 DP パフォーマンス問題のこの根本原因は、FW のデータプレーン全体で切断された接続の増加が、セッション テーブルの使用率の増加と FW のサポートされる制限に達するのと同時に発生したことに注目することで特定できます。
Environment
- パロアルト ファイアウォール
- DPパフォーマンス
- セッションテーブルの枯渇
Procedure
- 最大数の同時セッションを占有しているトラフィック フローの送信元 IP、宛先 IP、およびアプリケーションを特定します。
- 終了したセッションを含むトラフィックを見つけるには:
- トラフィックログを検索する監視 > ログ > トラフィック(receive_time leq <time value>) および (receive_time geq <time value>) フィルターを使用して、高 DP CPU の検出のタイムスタンプを使用します。
- [ACC] タブを確認し、高 DP CPU の検出のタイムスタンプを使用してフィルタリングします。時間 > カスタム > 時間範囲;セッション数が多いトラフィックを検索するラジオ ボタンを選択しますセッションすべての ACC ウィジェットで。
- アクティブなセッションのあるトラフィックを見つけるには:
- チェックしてくださいモニター > セッションブラウザ。
- CLI コマンドの出力を確認します。
show session all
参照するCLI でライブ セッションを監視する方法
- 終了したセッションを含むトラフィックを見つけるには:
- トラフィック セッションの急増が、スケジュールされた更新、データ ポーリング、データ同期などのスケジュールされたアクティビティによるものである場合は、そのスケジュールを通常の運用時間外、つまりトラフィックのピーク時間外に設定することを検討してください。
- トラフィックのオーバーフローを停止する必要がある場合は、ソースで停止するようにしてください。それ以外の場合は、次のコマンドを使用するのが最善です。ゾーン保護と DOS 保護FW上の設定。
- セッション テーブルの使用率が最大容量に達する原因が、このタイプのトラフィックのセッション タイムアウト設定がデフォルトで高すぎるか低すぎることにある場合、その場合は次を参照してください。ヒントとコツ セッションのタイムアウト。
- 上記のどの手順を使用してもセッション テーブルの使用率を FW の容量制限未満に減らすことができない場合は、FW が受信したセッションが適格であり、セッション タイムアウト設定が有効であるため、FW をより高容量のプラットフォームにアップグレードすることを検討してください。
Additional Information
ベスト プラクティスとして、ファイアウォールのリソースを保護するために、常に有効にすることをお勧めします。パケットバッファ保護グローバルにデバイス > セットアップ > セッション設定そしてゾーンごとにネットワーク > ゾーン。