So verringern Sie das Problem "Hoch" DP CPU aufgrund einer Erhöhung eines Schnittstellenzählers

• Palo Alto Firewall
• DP CPU
• Empfangene Schnittstellenbytes/-pakete
• Übertragene Schnittstellenbytes/-pakete
• Schnittstellenempfangsfehler
• Verworfene Schnittstellenpakete

1. Ermitteln Sie, welcher Schnittstellenzähler um den Zeitpunkt der hohen DP CPU Erkennung zugenommen hat:
   1. Verlassen Sie sich auf die Informationen des Tools, mit dem das Problem ermittelt wurde.
   2. Geben Sie während der hohen Ausgabe mehrmals Folgendes CLI aus und verfolgen Sie, welcher Zähler mit einer hohen DP CPU Rate ansteigt.

      show counter interface all

   3. Überprüfen Sie den Durchsatz der Schnittstellen während der hohen DP CPU Ausgabe mit dem CLI:

      show system state browser

      und drücken Sie UMSCHALT+L und dann die Eingabetaste.
   4. Verwenden Sie die ACC Registerkarte und legen Sie einen globalen Filter basierend auf der vermuteten Schnittstelle als Quelle für den Anstieg des Datenverkehrs fest. Wenn Sie sich historische Daten ansehen müssen, stellen Sie die Zeit auf die Erkennung des Hohen DP CPUein.

2. Wenden Sie die Behebung auf das Problem an:

1. Wenn die Anzahl der empfangenen Bytes oder Pakete zunimmt und Sie die Quelle des Datenverkehrs mithilfe der Registerkarte oder der ACC Datenverkehrsprotokolle ermittelt haben, müssen Sie:
   1. Wenn der Anstieg in Ihrem Netzwerk erwartet wird, sollten Sie Folgendes berücksichtigen:
      1. Ändern des Netzwerkpfads dieses Datenverkehrs, um die FW.
      2. Ändern der Konfiguration oder der Einstellungen der Datenverkehrsquelle, um die Menge dieses Datenverkehrs zu reduzieren.
      3. Ändern Sie die geplante Zeit dieses Verkehrsflusses, wenn möglich, um außerhalb der Stoßzeiten zu liegen.
   2. Wenn der Anstieg in Ihrem Netzwerk unerwartet ist, sollten Sie Folgendes berücksichtigen:
      1. Eliminieren des Datenverkehrs aus Ihrem Netzwerk.
      2. Blockieren des Datenverkehrs beim Erreichen Ihrer FW.
      3. Nutzung der FW Zone und DOS Schutz vor dem störenden Verkehr.
   3. Schützen Sie die Firewall Pufferressourcen, indem Sie den Paketpufferschutz aktivieren.
   4. Überprüfen Sie, ob Ihre FW Stützen HW entlastet werden. Wenn ja, überprüfen Sie, ob Offload aktiviert ist, wenn nicht, dann aktivieren Sie es.

      set session offload yes

   5. Überprüfen Sie, ob die Gesamtzahl der Sitzungen während der Hochphase DP CPU die unterstützten Sitzungen Ihrer FW Plattform überschritten hat. Wenn diese große Anzahl von Sitzungen erwartet wird, sollten Sie ein Upgrade auf FW Plattformen mit höherer Kapazität in Betracht ziehen.

      show session info

2. Wenn die Anzahl der übertragenen Bytes oder Pakete zunimmt, überprüfen Sie basierend auf Ihrer Untersuchung mithilfe der Registerkarte oder der Datenverkehrsprotokolle, ob diese Pakete über einen Tunnel gesendet werden, dh gekapselt, zu einem verschlüsselten Datenverkehr gehören, der von der entschlüsselt wird oder QOS auf diesen Datenverkehr angewendet wurde, und verstehen, dass dies eine Last auf der FWACC FW Datenebene CPU von hinzufügt, so erwägen Sie, die entsprechende Behebung anzuwenden:
   1. Wenn der übertragene Datenverkehr durch einen Tunnel gesendet wird, sollten Sie die Menge dieses Datenverkehrs reduzieren.
   2. Wenn der übertragene Datenverkehr zu einer entschlüsselten Sitzung gehört, schließen Sie diesen Datenverkehr von der Entschlüsselung aus.
   3. Wenn QOS auf diesen Datenverkehr angewendet wurde, sollten Sie erwägen, QOS diesen Datenverkehr zu deaktivieren.
3. Wenn die Anzahl der verworfenen Pakete auf der Schnittstelle zunimmt , überprüfen Sie, ob der Abfall HW_PACKETS_DROPPED oder CPU_PACKETS_DROPPED ist, beziehen Sie sich dann auf die Informationen, die in der Erläuterung des Paketablagezählers für logische Schnittstellen aufgeführt sind, und wenden Sie die entsprechende Korrektur an.
4. Wenn die Anzahl der Empfangsfehler auf der Schnittstelle zunimmt , überprüfen Sie, ob der Abfall HW_RECEIVE_ERRORS oder CPU_RECEIVE_ERRORS ist, beziehen Sie sich dann auf die Informationen, die unter Unterschied zwischen Empfangsfehlern für Hardware und logischen Schnittstellenleistungsindikatoren aufgeführt sind, und wenden Sie die ordnungsgemäße Behebung an.

show counter interface all

show counter interface all