Network Packet Broker を有効にすると、ブローカー内のパケット ループによりパケット レートが高くなり、データプレーンの CPU 使用率が高くなる

Network Packet Broker を有効にすると、ブローカー内のパケット ループによりパケット レートが高くなり、データプレーンの CPU 使用率が高くなる

3005
Created On 01/10/23 01:28 AM - Last Modified 06/03/25 03:00 AM


Symptom


  • ネットワークパケット ブローカーを有効にすると、パケットレートが非常に高いため、DP CPUが高くなります。 問題が間欠的に発生する
  • パケットレートの増加は、ブローカーセッションでのパケットループが原因です。
  • ブローカー セッションがクリアされると、パケット レートと DP CPU が低下します。
  • プロキシ復号化の失敗により破棄します。
  • クライアントから「致命的、証明書不明」を受信しました*
CMA-FW-PA01(active)> show session id 1349898
......
        session terminated on host           : False
        session traverses tunnel             : False
        session terminate tunnel             : False
        captive portal session               : False
        ingress interface                    : ae4.221
        egress interface                     : ae5.533
        session QoS rule                     : N/A (class 4)
        tracker stage firewall               : proxy decrypt failure
        tracker stage l7proc                 : ctd proc changed
        end-reason                           : decrypt-error
.....
 
  • パケット ループにより、ブローカー セッションは 1G* にもなることがあります
CMA-FW-PA01(active)> show session all filter ingress-interface ethernet1/6 min-kb 1048576
--------------------------------------------------------------------------------
ID          Application    State   Type Flag  Src[Sport]/Zone/Proto (translated IP[Port])
Vsys                                          Dst[Dport]/Zone (translated IP[Port])
--------------------------------------------------------------------------------
1673649      none           ACTIVE  FLOW       172.25.171.62[51410]/Packet-Broker/6  (172.25.171.62[51410])
vsys1                                          172.25.95.250[8080]/Packet-Broker  (172.25.95.250[8080])
{noformat}
  • セッションが強制終了された場合にのみ、パケットレートが低下します。 同様のセッションが複数あると、パケットレートが増加し(お客様の環境では800000/s)、DP CPUが増加します。
FW-PA01(active)> show session info | match "Packet rate:"
Packet rate:                                     53844/s

FW-PA01(active)> show session info | match "Packet rate:"
Packet rate:                                     68708/s

FW-PA01(active)> show session info | match "Packet rate:"
Packet rate:                                     83558/s

FW-PA01(active)> show session info | match "Packet rate:"
Packet rate:                                     101342/s
  • パケットバッファが使い果たされ、DPのCPUが高くなります。
admin@pa-850> show running resource-monitor second last 60

Resource monitoring sampling data (per second):

CPU load sampling by group:
flow_lookup : 100%
flow_fastpath : 100%
flow_slowpath : 100%
flow_forwarding : 100%
flow_mgmt : 100%
flow_ctrl : 100%
nac_result : 100%
flow_np : 100%
dfa_result : 100%
module_internal : 100%
aho_result : 100%
zip_result : 100%
pktlog_forwarding : 100%
lwm : 0%
flow_host : 100%
fpga_result : 0%

CPU load (%) during last 60 seconds:
core 0 1 2 3 4 5 6 7
* 100 100 100 100 100 * *
* 100 100 100 100 100 * *
* 100 100 100 100 100 * *
* 100 100 100 100 100 * *
* 100 100 100 100 100 * *
* 100 100 100 100 100 * *
* 100 100 100 100 100 * *
* 100 100 100 100 100 * *
* 100 100 100 100 100 * *

.....output omitted....

packet buffer:
56 67 79 98 98 99 98 94 95 95 99 94 99 99 90
99 100 100 99 99 99 93 52 28 8 7 2 1 1 1
0 4 12 18 24 22 26 18 2 0 2 0 0 11 22
32 51 57 74 74 52 57 56 61 61 67 83 77 72 75
....



 

Environment


  • ネットワーク パケット ブローカー (NPB) に接続するすべてのファイアウォールに影響を与える
  • PANOS 10.1.7以下

Cause


ソフトウェアの問題。

Resolution


  1. この問題は、PAN-194441 の PANOS 10.1.8 および 10.2.4 で修正されています。 アップグレードすると問題が解決します。
  2. PAN-194441 - ネットワークパケットブローカーが有効になっている場合、ブローカーセッションでのパケットループが原因でデータプレーンのCPU使用率が予想よりも高くなる問題を修正しました。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kG9RCAU&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language