就業時間中にWebサイトにアクセスするとpan_http2_alloc()が失敗しました

就業時間中にWebサイトにアクセスするとpan_http2_alloc()が失敗しました

8219
Created On 12/19/22 03:32 AM - Last Modified 02/02/24 06:09 AM


Symptom


  • ユーザーはどの Web サイトにもアクセスできません。
  • 「HTTP2_Protocol_Error」は Web Inspector コンソールのログに存在します。
  • この問題は、少数のユーザーには発生しません。
  • この問題は、「Strip ALPN」が無効になっている場合にのみ発生します
グローバル カウンタ(show counter global)
http2_process                              4        0 info      http2     pktproc   Number of http2 connection process
http2_stream_session_alloc                16        0 info      http2     pktproc   Number of http2 stream sessions allocated
http2_connection_window_update_sent        8        0 info      http2     pktproc   Number of http2 connection window updates sent
http2_rst_stream_recv                      4        0 info      http2     pktproc   Number of http2 RST_STREAM frames received
http2_connection_protocol_error            2        0 error     http2     pktproc   Number of http2 connections closed due to protocol violation
http2_stream_protocol_error                1        0 error     http2     pktproc   Number of http2 streams closed due to protocol violation
http2_connection_cant_write                1        0 warn      http2     pktproc   Number of http2 send frames dropped after GOAWAY is sent or received
http2_stream_map_alloc_failure             4        0 warn      http2     resource  Number of http2 stream map allocation failure
http2_header_inflate_failed                2        0 error     http2     pktproc   Number of http2 hpack inflate failures
http2_frame_drop_ingress                   2        0 info      http2     pktproc   Number of http2 frame dropped at ingress stage
http2_frame_drop_egress                    9        0 info      http2     pktproc   Number of http2 frame dropped at egress stage
http2_continuation_internal               42        0 info      http2     pktproc   Number of http2 continuation frames for CTD processing
http2_goaway_sent                          6        0 info      http2     pktproc   Number of http2 goaway frames sent
http2_rst_stream_sent                      1        0 info      http2     pktproc   Number of http2 rst_stream frames sent
http2_send_frame_queued                    6        0 info      http2     pktproc   Number of http2 send frames queued for order
http2_headers_frame_queued                42        0 info      http2     pktproc   Number of http2 send headers frames queued
http2_data_frame_queued                  143        1 info      http2     pktproc   Number of http2 send data frames queued
packet-diag ログ(dp0-log pan_packet_diag.logを差し引いたもの):
+0200 Error:  header_table_add(pan_hpack.c:365): pan_http2_alloc() failed
+0200 Error:  header_table_add(pan_hpack.c:365): pan_http2_alloc() failed
 

Environment


  • Palo Alto PA-3400シリーズファイアウォール
  • PAN-OS 10.2.2 および 10.2.3
  • 復号化が有効になっているか、HTTPS 要求の応答ページを表示するために url-proxy が構成されています

Cause


PAN-206005 によるソフトウェアの問題。

Resolution


  1. 回避策として、復号化ポリシーで「Strip-ALPN 」をオンにして、HTTP2の使用を停止します。
  2. 恒久的な修正を行うには、PAN-OS を 10.2.4、11.0.1 以降のバージョンにアップグレードします。 この問題は、PAN-206005 で対処されています。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kFiBCAU&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language