如何解决由于会话表耗尽而导致的 DP 性能问题
12221
Created On 06/21/23 17:08 PM - Last Modified 08/23/23 22:45 PM
Objective
根本原因并缓解由于并发会话数量达到防火墙容量限制而导致的 DP 性能问题。 DP 性能问题的根本原因可以通过注意到固件数据平面上丢失连接的增加与会话表利用率增加并达到固件支持的限制同时发生来确定。
Environment
- 帕洛阿尔托防火墙
- DP性能
- 会话表耗尽
Procedure
- 确定占用并发会话数最多的流量的源 IP、目标 IP 和应用:
- 要查找终止会话的流量:
- 搜索流量日志监控 > 日志 > 流量使用高 DP CPU 检测的时间戳和过滤器:(receive_time leq <时间值>) 和 (receive_time geq <时间值>)。
- 使用高 DP CPU 检测的时间戳检查 ACC 选项卡和过滤器时间 > 自定义 > 时间范围;搜索具有大量会话的流量,选择单选按钮会议在所有 ACC 小部件中。
- 要查找具有活动会话的流量:
- 检查监控 > 会话浏览器。
- 检查 CLI 命令的输出:
show session all
参考如何在 CLI 中监控实时会话
- 要查找终止会话的流量:
- 如果流量会话激增是由于计划更新、数据轮询或数据同步等计划活动造成的,请考虑将该计划设置在正常生产时间之外,即高峰流量时间之外。
- 如果需要阻止流量溢出,请尝试从源头阻止它,否则最好使用区域保护和DOS保护FW 上的配置。
- 如果会话表利用率达到最高容量的原因是由于此类流量的会话超时设置默认设置得太高或太低,在这种情况下请参阅提示与技巧 会话超时。
- 如果上述步骤均无法将会话表利用率降低到FW的容量限制以下,且FW接收到的会话符合条件且会话超时设置有效,则可以考虑将FW升级到更高容量的平台。
Additional Information
作为最佳实践,为了保护防火墙的资源,始终建议启用数据包缓冲区保护全球范围内设备 > 设置 > 会话设置和每个区域下网络 > 区域。