Después de habilitar Network Packet Broker, el bucle de paquetes dentro del agente provoca altas velocidades de paquetes que dan como resultado una CPU de plano de datos alta
3005
Created On 01/10/23 01:28 AM - Last Modified 06/03/25 03:00 AM
Symptom
- Al habilitar el agente de paquetes de red, la CPU DP aumenta debido a la velocidad de paquetes muy alta. El problema ocurre de forma intermitente
- El aumento en la velocidad de paquetes se debe a un bucle de paquetes en la sesión de intermediario.
- Una vez que se borra la sesión del intermediario, la velocidad de paquetes y la CPU de DP disminuyen.
- Descartar debido a un error de descifrado del proxy.
- Del cliente, "Fatal, Certificado desconocido" recibido*
CMA-FW-PA01(active)> show session id 1349898 ...... session terminated on host : False session traverses tunnel : False session terminate tunnel : False captive portal session : False ingress interface : ae4.221 egress interface : ae5.533 session QoS rule : N/A (class 4) tracker stage firewall : proxy decrypt failure tracker stage l7proc : ctd proc changed end-reason : decrypt-error .....
- Debido al bucle de paquetes, la sesión de intermediario puede llegar a ser tan grande como 1G*
CMA-FW-PA01(active)> show session all filter ingress-interface ethernet1/6 min-kb 1048576 -------------------------------------------------------------------------------- ID Application State Type Flag Src[Sport]/Zone/Proto (translated IP[Port]) Vsys Dst[Dport]/Zone (translated IP[Port]) -------------------------------------------------------------------------------- 1673649 none ACTIVE FLOW 172.25.171.62[51410]/Packet-Broker/6 (172.25.171.62[51410]) vsys1 172.25.95.250[8080]/Packet-Broker (172.25.95.250[8080]) {noformat}
- Solo cuando se cierra la sesión, la velocidad de los paquetes disminuye. Con varias sesiones similares, la velocidad de los paquetes aumenta (visto 800000/s en el entorno del cliente), que es cuando aumenta la CPU DP.
FW-PA01(active)> show session info | match "Packet rate:" Packet rate: 53844/s FW-PA01(active)> show session info | match "Packet rate:" Packet rate: 68708/s FW-PA01(active)> show session info | match "Packet rate:" Packet rate: 83558/s FW-PA01(active)> show session info | match "Packet rate:" Packet rate: 101342/s
- El búfer de paquetes se agota, lo que da como resultado una CPU DP alta.
admin@pa-850> show running resource-monitor second last 60 Resource monitoring sampling data (per second): CPU load sampling by group: flow_lookup : 100% flow_fastpath : 100% flow_slowpath : 100% flow_forwarding : 100% flow_mgmt : 100% flow_ctrl : 100% nac_result : 100% flow_np : 100% dfa_result : 100% module_internal : 100% aho_result : 100% zip_result : 100% pktlog_forwarding : 100% lwm : 0% flow_host : 100% fpga_result : 0% CPU load (%) during last 60 seconds: core 0 1 2 3 4 5 6 7 * 100 100 100 100 100 * * * 100 100 100 100 100 * * * 100 100 100 100 100 * * * 100 100 100 100 100 * * * 100 100 100 100 100 * * * 100 100 100 100 100 * * * 100 100 100 100 100 * * * 100 100 100 100 100 * * * 100 100 100 100 100 * * .....output omitted.... packet buffer: 56 67 79 98 98 99 98 94 95 95 99 94 99 99 90 99 100 100 99 99 99 93 52 28 8 7 2 1 1 1 0 4 12 18 24 22 26 18 2 0 2 0 0 11 22 32 51 57 74 74 52 57 56 61 61 67 83 77 72 75 ....
Environment
- Afectar a los firewalls conectados al agente de paquetes de red (NPB)
- Cualquier PANOS 10.1.7 o inferior
Cause
Problema de software.
Resolution
- El problema se ha solucionado PANOS 10.1.8 y 10.2.4 en PAN-194441. La actualización resolverá el problema.
- PAN-194441- Se ha corregido un problema por el que el uso de la CPU del plano de datos era mayor de lo esperado debido a un bucle de paquetes en la sesión del intermediario cuando el agente de paquetes de red estaba habilitado.