Après l’activation du répartiteur de paquets réseau, la boucle de paquets au sein du répartiteur entraîne des débits de paquets élevés, ce qui entraîne une augmentation du processeur du plan de données
3005
Created On 01/10/23 01:28 AM - Last Modified 06/03/25 03:00 AM
Symptom
- En activant le courtier de paquets réseau, le processeur DP devient élevé en raison d’un débit de paquets très élevé. Le problème se produit par intermittence
- L’augmentation du débit de paquets est due à une boucle de paquets dans la session de répartiteur.
- Une fois la session de broker effacée, le débit de paquets ainsi que le processeur DP diminuent.
- Ignorer en raison de l’échec du déchiffrement du proxy.
- Du client, « Fatal, Certificat inconnu » reçu*
CMA-FW-PA01(active)> show session id 1349898 ...... session terminated on host : False session traverses tunnel : False session terminate tunnel : False captive portal session : False ingress interface : ae4.221 egress interface : ae5.533 session QoS rule : N/A (class 4) tracker stage firewall : proxy decrypt failure tracker stage l7proc : ctd proc changed end-reason : decrypt-error .....
- En raison de la boucle des paquets, la session de courtage peut atteindre 1G*
CMA-FW-PA01(active)> show session all filter ingress-interface ethernet1/6 min-kb 1048576 -------------------------------------------------------------------------------- ID Application State Type Flag Src[Sport]/Zone/Proto (translated IP[Port]) Vsys Dst[Dport]/Zone (translated IP[Port]) -------------------------------------------------------------------------------- 1673649 none ACTIVE FLOW 172.25.171.62[51410]/Packet-Broker/6 (172.25.171.62[51410]) vsys1 172.25.95.250[8080]/Packet-Broker (172.25.95.250[8080]) {noformat}
- Ce n’est que lorsque la session est tuée que le débit de paquets diminue. Avec plusieurs sessions similaires, le débit de paquets augmente (800000/s dans l’environnement client), ce qui correspond à l’augmentation du processeur DP.
FW-PA01(active)> show session info | match "Packet rate:" Packet rate: 53844/s FW-PA01(active)> show session info | match "Packet rate:" Packet rate: 68708/s FW-PA01(active)> show session info | match "Packet rate:" Packet rate: 83558/s FW-PA01(active)> show session info | match "Packet rate:" Packet rate: 101342/s
- La mémoire tampon des paquets est épuisée, ce qui entraîne un DP élevé du processeur.
admin@pa-850> show running resource-monitor second last 60 Resource monitoring sampling data (per second): CPU load sampling by group: flow_lookup : 100% flow_fastpath : 100% flow_slowpath : 100% flow_forwarding : 100% flow_mgmt : 100% flow_ctrl : 100% nac_result : 100% flow_np : 100% dfa_result : 100% module_internal : 100% aho_result : 100% zip_result : 100% pktlog_forwarding : 100% lwm : 0% flow_host : 100% fpga_result : 0% CPU load (%) during last 60 seconds: core 0 1 2 3 4 5 6 7 * 100 100 100 100 100 * * * 100 100 100 100 100 * * * 100 100 100 100 100 * * * 100 100 100 100 100 * * * 100 100 100 100 100 * * * 100 100 100 100 100 * * * 100 100 100 100 100 * * * 100 100 100 100 100 * * * 100 100 100 100 100 * * .....output omitted.... packet buffer: 56 67 79 98 98 99 98 94 95 95 99 94 99 99 90 99 100 100 99 99 99 93 52 28 8 7 2 1 1 1 0 4 12 18 24 22 26 18 2 0 2 0 0 11 22 32 51 57 74 74 52 57 56 61 61 67 83 77 72 75 ....
Environment
- Affecter tous les pare-feu qui se connectent au répartiteur de paquets réseau (NPB)
- Tout PANOS 10.1.7 ou version antérieure
Cause
Problème logiciel.
Resolution
- Le problème a été résolu PANOS 10.1.8 et 10.2.4 sous PAN-194441. La mise à niveau résoudra le problème.
- PAN-194441 - Correction d’un problème où l’utilisation du processeur du plan de données était plus élevée que prévu en raison de la boucle de paquets dans la session de répartiteur lorsque le répartiteur de paquets réseau était activé.