So verringern Sie das Problem "Hoch" DP CPU aufgrund einer hohen Anwendungsauslastung

• Palo Alto Firewall
• DP CPU
• Anwendungsnutzung

1. Identifizieren Sie, welche Ports, Quelle IP und Ziel IP diese Anwendung verwendet.
   1. Gehen Sie zu Monitor FW UI > Protokolle > Datenverkehr.
   2. Filtern nach: (app eq <Name der Anwendung>)
2. Überprüfen Sie applipedia, um mehr über die stark genutzte Anwendung und ihre Standardports zu erfahren.
3. Überprüfen Sie, ob die Zunahme oder Spitze des Datenverkehrs dieser Anwendung in Ihrem Netzwerk erwartet wird oder nicht:
   1. Falls erwartet, dann bedenken Sie:
      1. Ändern des Netzwerkpfads dieses Datenverkehrs, um die FW.
      2. Ändern der Konfiguration oder der Einstellungen der Datenverkehrsquelle, um die Menge dieses Datenverkehrs zu reduzieren.
      3. Ändern Sie die geplante Zeit dieses Verkehrsflusses, wenn möglich, um außerhalb der Stoßzeiten zu liegen.
      4. Konfigurieren und Erzwingen von QoS, um zu begrenzen, dass der Datenverkehr dieser Anwendung in Zukunft die Ressourcen von FWbeeinträchtigt
   2. Wenn unerwartet dann:
      1. Eliminieren Sie den Datenverkehr aus Ihrem Netzwerk.
      2. Blockieren Sie den Datenverkehr, der Ihre FW.
      3. Verwenden Sie die FW Zone und DOS schützen Sie sich vor dem störenden Anwendungsdatenverkehr.
4. Überprüfen Sie, ob Ihre FW Stützen HW entlastet werden. Wenn ja, überprüfen Sie, ob Offload aktiviert ist.    
   1. Hardware Offload wird von den folgenden Firewalls unterstützt: PA-3200 Series, Series, PA-5200 PA-7000 Series und PA-5450 firewall.
   2. Um zu überprüfen, ob HW Offload aktiviert ist.

      > show session info | match offload 

   3. So aktivieren Sie HW die Entlastung

      > set session offload yes

   4. Die VM-FWs der Serie mit Version 10.1.0 und höher können intelligente Traffic-Offload unterstützen.
   5. A -Sitzung, die keine Pakete mehr an die CPU L7-Verarbeitung sendet, wird als ausgelagert betrachtet, und der Layer7-Prozess wird in der Ausgabe von als abgeschlossen angezeigt:

      > show session id <id#> 

5. Überprüfen Sie, ob die Gesamtzahl der Sitzungen während der Hochphase DP CPU die unterstützten Sitzungen Ihrer FW Plattform überschritten hat.Wenn diese große Anzahl von Sitzungen erwartet wird, sollten Sie ein Upgrade auf FW Plattformen mit höherer Kapazität in Betracht ziehen.
6. Wenn der Datenverkehr legitim, erwartet und vertrauenswürdig ist, dann:
   1. Fügen Sie eine Sicherheitsregel über der aktuellen Regel hinzu, auf die sie trifft, aber mit weniger aktivierten Sicherheitsprofilen policy auf der Registerkarte Aktionen der Regel; oder
   2. Aktivieren Sie das DSRI Kontrollkästchen (Serverantwortüberprüfung deaktivieren) in der Sicherheitsregel policy , die nur diesen Anwendungsdatenverkehr zulässt. Dadurch wird die Layer-7-Überprüfung in der Server-zu-Client-Richtung des Datenverkehrsflusses deaktiviert und sollte nur für Regeln konfiguriert werden, bei denen der Datenverkehr des Servers vertrauenswürdig ist.
   3. Erwägen Sie die Verwendung einer Anwendungsüberschreibung für diesen Datenverkehr, um die Belastung der DP Ressourcen zu reduzieren. Beachten Sie, dass dies bedeutet, dass dieser Datenverkehr die Inhaltsüberprüfung umgehen würde. Die Außerkraftsetzung von Anwendungen sollte ein letzter Ausweg sein und nur als vorübergehender Ansatz zur Reduzierung der CPU Nutzung verwendet werden.
7. Zusätzlich zu den oben genannten Schritten und basierend auf der Anwendung, die vermutet wird, die hohe DP CPU Überprüfung zu verursachen, die unten aufgeführten Schritte oder Hinweise in Bezug auf jede Anwendung: syslog, paloalto-logging-service, unknown-udp, meraki-cloud-controller, ssl, dns-base, crowdstrike, paloalto-updates, google-base, open-vpn, ping, vmware, ms-ds-smbv2, ms-ds-smbv3, ipsec-esp-udp, ms-update, netflow, rtsp, rtp-base, rtcp, web-browsing, panorama.

1. Syslog
   1. Wenn der Syslog-Datenverkehr aus dem FW stammt, sollten Sie diesen Datenverkehr durch Ändern der FW Konfiguration reduzieren.
   2. Wenn Ihre FW Protokolle bereits an Panoramagesendet werden, sollten Sie Protokolle von statt direkt von Firewallan den Syslog-Server sendenPanorama.

Anmerkung 1: Wenn Sie sich den Beginn der Sitzung in den Datenverkehrsprotokollen ansehen, überprüfen Sie, ob die Syslog-Sitzung sehr langlebig war (vielleicht Tage oder sogar Wochen) und dann kürzlich geschlossen wurde, dies könnte dann eine Spitze in der ACC für die Syslog-Anwendung verwendeten Anwendungen anzeigen, die dann erwartet würde und nicht alarmierend sein sollte.
Anmerkung 2: Das Verweigern von Syslog-Datenverkehr UDP kann zu einer hohen DP Ressourcenauslastung führen. Es empfiehlt sich, entweder den Datenverkehr zuzulassen oder diesen Datenverkehr zu umgehen FW.

2. Paloalto-Logging-Service
   1. Überprüfen Sie, ob die oder Panorama Quelle dieses Datenverkehrs ordnungsgemäß konfiguriert sind, und reduzieren Sie die FW Anzahl der an Cortex Data LakeCDL () gesendeten Protokolle basierend auf dem Schweregrad des Protokolls, dem Protokolltyp und den Protokollen der Sicherheitsregelpolicy(n).
3. unbekannt-udp
   1. Erstellen Sie benutzerdefinierte Anwendungen für die Anwendung(en), die von der nicht erkannt und als unknown-udp identifiziert wurden, um die legitimen Apps zuzulassen, die unerwünschten Apps abzulehnen, und je nach Art und Verwendung der FW app(en) überprüfen Sie, ob Sie erwägen sollten, eine Anwendung zu überschreiben .
   2. Wenn eine Anwendung zuvor von der FW erkannt wurde und nach einer Inhaltsaktualisierung nicht mehr erkannt wird, setzen Sie die Inhaltsaktualisierung zurück und öffnen Sie ein Supportticket, um dieses Problem zu melden und zu beheben.
4. meraki-cloud-controller
   1. Überprüfen Sie, ob der Datenverkehr der meraki-cloud-controller-Anwendung in Ihrem Netzwerk vertrauenswürdig ist, und ob Sie eine Anwendungsüberschreibung in Betracht ziehen können.
5. Ssl
   1. Der SSL Datenverkehr, wenn er nicht entschlüsselt wird, wird ausgelagert und sollte daher nicht der Hauptbeitrag zur hohen Nutzung von Datenebenenressourcen sein, wenn die Gesamtzahl der auf der Plattform empfangenen Sitzungen innerhalb der FW Grenzen dessen liegt, was die Plattform unterstützt. In diesem Fall wird empfohlen, die anderen Anwendungen mit hoher Auslastung zu untersuchen.
   2. Wenn SSL der Datenverkehr auf der dann während der Zeit des hohen dp CPU entschlüsselt wird, überprüfen Sie, ob der Wert in der firewall Ausgabe von :

      > show session all filter ssl-decrypt yes count yes 

      zu irgendeinem Zeitpunkt die maximale Anzahl gleichzeitiger Entschlüsselungssitzungen der Plattform überschreitet, und wenn dies der Fall ist, sollten Sie entweder Ihre firewall Konfiguration ändern, um die Menge des entschlüsselten Datenverkehrs zu reduzieren, indem Sie eine Entschlüsselungsausschlussregel für den von der Entschlüsselung befreiten Datenverkehr erstellen oder ein Upgrade FW auf eine Plattform mit höherer Kapazität planen.
6. DNS-Basis
   1. Wenn sich herausstellt, dass die Zunahme oder Spitze des DNS-basierten Datenverkehrs in Ihrem Netzwerk böswillig oder unerwartet ist, sollten Sie die wichtigsten DNS-basierten Angriffe verstehen, über die Ihre Organisation Bescheid wissen sollte , und die Möglichkeiten, diese zu mindern.
7. Crowdstrike
   1. Überprüfen Sie, ob der Crowdstrike-Anwendungsverkehr in Ihrem Netzwerk vertrauenswürdig ist und ob Sie dann eine Anwendungsüberschreibung darauf anwenden können.
8. paloalto-updates
   1. Planen Sie die Aktualisierungen außerhalb der Spitzenzeiten.
   2. Wenn Sie die Verwendung von Application Override in Betracht ziehen, basieren Sie die Regeln auf offiziellen Palo Alto Networks-Update-Servern.
9. Google-base
   1. Überprüfen Sie Lösung 5 oben. Andernfalls, wenn die Gesamtzahl der Sitzungen innerhalb des unterstützten Grenzwerts liegt, sollten Sie andere Anwendungen mit hoher Auslastung untersuchen.
10. Open-VPN
    1. Das offene,VPN wenn nicht entschlüsselte wird ausgelagert und sollte daher nicht der Hauptbeitrag zu einem hohen FW Ressourcenverbrauch sein. In einem Szenario, in dem sich der open-vpn-Server hinter dem firewallbefindet, deaktivieren Sie die eingehende Entschlüsselung für diese Verbindungen am firewall, und lassen Sie SSL den open-vpn-Server den Entschlüsselungsvorgang allein durchführen. Nachdem der open-vpn-Server den Datenverkehr entschlüsselt hat, leiten Sie Klartextverkehr zur Überprüfung an das firewall weiter.
11. Ping
    1. Es gibt mindestens vier Bereiche im Zonenschutz, die sich speziell mit dem ICMP Problem befassen können:
       1. Hochwasserschutz von ICMP / ICMPv6.
       2. Paketbasierter Angriffsschutz von ICMP / ICMPv6.
       3. Konfigurieren Sie den DoS-Schutz.
       4. Von allen hier vorgestellten Lösungen ist Packet Buffer Protection die am einfachsten zu implementierende unter den dreien.
12. Vmware
    1. Wenn Verkehr erwartet wird, sollten Sie die in 3.a vorgestellte Lösung in Betracht ziehen.
13. ms-ds-smbv2
    1. Diese Anwendung, wenn sie mit einer hohen Menge von der FW empfangen wird, kann möglicherweise ihre Ressourcen stark nutzen, erwägen Sie die Konfiguration einer Anwendungsüberschreibung für diesen Datenverkehr.
    2. Überprüfen Sie, ob die Dateikomprimierung verwendet wird, SMB indem Sie den Datenverkehr nach dieser Anwendung unter Monitor > Packet Capture filtern und dann den folgenden Befehl ausgeben CLI:

       > show counter global filter packet-filter yes delta yes | match zip

       Anhand des Ergebnisses der Leistungsindikatoren sollten Sie feststellen können, ob SMB der Datenverkehr komprimiert wird, und wenn ja, ihn seitlich deaktivierenSMB.Dies sollte die CPU Zyklen für SMBreduzieren.
14. ms-ds-smbv3
    1. Palo Alto Networks empfiehlt, die Mehrkanalaufteilung von Dateien über Windows PowerShell zu deaktivieren, um den Schutz und die SMB Überprüfung von Dateien zu maximieren.
    2. Wenn nach Schritt n immer noch Hoch DP CPU angezeigt wird. A Verwenden Sie dann den gleichen Ansatz wie den oben für MS-DS-SMBV2 aufgeführten.
15. IPSec-ESP-UDP
    1. Fehlerbehebung bei hohen Problemen DP CPU Wegen des IPsec-Datenverkehrs , um zu überprüfen, ob dies die Ursache für das hohe DP CPU ist (zu viel Kapselung/Entkapselung, Tunneloperationen usw.):
       Beachten Sie, dass die Konfiguration eines Chiffre- und/oder Verschlüsselungsalgorithmus mit geringerer Stärke auf dem Tunnel, der auf dem VPN FW initiiert oder beendet wird, die Verarbeitungslast von in einigen Fällen reduzieren FWkann.
       Für eine hohe Menge an IPsec-Datenverkehr, der durch die verursachende firewall High Use How to Troubleshoot High CPUDP CPU Dataplane .
    2. Traffic-Sitzungen, die als Anwendung 'ipsec-esp-udp' markiert sind, können auch die Sitzungen GlobalProtect VPN Ihrer Benutzer sein (Port 4501) Stellen Sie in diesem Fall sicher, dass Ihre firewall Konfiguration die maximale Anzahl der GlobalProtect VPN unterstützten Tunnel Firewall nicht überschreitet, und befolgen Sie die Schritte, die unternommen werden können, um die Leistung aufgrund einer erhöhten Anzahl von Verbindungen zu erhöhen GlobalProtect VPN .  (Nutzen Sie die Split-Tunnel-Funktion, tunneln Sie den Videoverkehr nicht, entfernen Sie inaktive Benutzer usw.), wodurch die Nutzung der Datenebenenressourcen dieser GlobalProtect VPN Benutzer reduziert wird.
       Weitere Informationen zur Fehlerbehebung GlobalProtect finden Sie in der Ressourcenliste.
16. MS-update
    1. Überprüfen Sie, welcher mögliche Grund für den Anstieg des ms-update-Datenverkehrs ist:
       1. A Das Microsoft Windows-Update war für mehrere Windows-Geräte in Ihrem Netzwerk gleichzeitig geplant.
       2. A große Gruppe Policy wurde gleichzeitig von der Abteilung Ihres Unternehmens IT auf viele Windows-Geräte gleichzeitig gepusht.
    2. Wenden Sie die Lösung basierend auf dem gefundenen Grund an:
       1. Deaktivieren Sie automatische Updates für Domänencomputer, und verwalten Sie stattdessen Windows-Updates über Gruppe Policy , und wählen Sie aus, wann sie selektiv übertragen werden sollen.
       2. Planen Sie die Windows-Updates so, dass sie zu einem weniger wirkungsvollen Zeitpunkt außerhalb der Spitzenzeiten erfolgen.
       3. Legen Sie einen gestaffelten Windows-Update-Zeitplan fest, damit die Windows-Geräte in Ihrem Netzwerk ihre Updates nicht gleichzeitig ausführen.
17. Netflow
    1. Unabhängig davon, ob es FW sich um den Empfänger oder den Absender des netflow-Datenverkehrs handelt, überprüfen Sie die Konfiguration, ihre Sicherheitpolicy, die diesen Datenverkehr zulässt, und wie sich die FW netflow-Datenverkehrszähler erhöhen, wenn sie auf der FW Datenebene empfangen oder gesendet werden. Verwenden Sie CLI Befehle: 

       > debug log-receiver netflow statistics
       > debug dataplane netflow statistics
       > show counter global | match netflow

    2. Stellen Sie sicher, dass dies nicht mit einer anormalen oder übermäßigen Rate empfangen oder gesendet wird, da dies FW auf eine Routingschleife oder andere Konfigurationsprobleme im FW, Absender oder Netzwerk hinweisen könnte. Netflow-Datensätze werden auf dem FW DP verarbeitet, was bedeutet, dass eine hohe Rate dieses Datenverkehrs, wenn er entweder empfangen oder gesendet wird, Auswirkungen haben FW DP CPUkann.
18. RTSP
    1. Das Real Time Streaming Protocol ist ein Protokoll auf Anwendungsebene zur Steuerung der Bereitstellung von Daten mit Echtzeiteigenschaften. Erwägen Sie die Verwendung der Anwendungsüberschreibung für diesen Datenverkehr nur, wenn die Application Layer Gateway-Funktion ALG nicht von .firewall Andernfalls riskieren Sie, den VOIP Datenverkehr zu unterbrechen. Andere Anwendungen, die verwendet ALG werden, sind hier aufgeführt.
19. rtp-base
    1. Dieser Datenverkehr enthält Audio- und Videopakete, es ist möglich, die Anwendungsüberschreibung darauf anzuwenden, wenn eine Verbesserung der Leistung erforderlich ist.
20. RTCP
    1. Dieser Datenverkehr enthält Audio- und Videopakete, es ist möglich, die Anwendungsüberschreibung darauf anzuwenden, wenn eine Verbesserung der Leistung erforderlich ist.
21. Web-browsing
    1. Erwägen Sie, die Entschlüsselung für den Webdatenverkehr zu deaktivieren SSL , der von der Entschlüsselung ausgenommen werden kann, da dies die Menge des als "Web-Browsing" klassifizierten Datenverkehrs verringert (stattdessen bleibt er als "ssl") und von der FW.Beachten Sie, dass im FW Allgemeinen mehr Ressourcen (CPU) für die Überprüfung des Web-Browsing-Datenverkehrs aufgewendet werden als für den "SSL"-Datenverkehr.
22. panorama
    1. Wenn eine große Menge an panorama Datenverkehr unerwartet ist, überprüfen Sie, ob eine Aktualisierung oder Konfigurationsänderung auf Panorama, Log Collector oder Managed By Panorama stattgefunden hat, die sie verursacht hat, und ob diese Konfigurationsänderung rückgängig gemacht oder firewall angepasst werden muss, um diese Menge an Datenverkehr zu reduzieren.