Comment atténuer le problème élevé DP CPU dû à une augmentation d’un compteur d’interface

• Palo Alto (Palo Alto) Firewall
• DP CPU
• Octets/paquets d’interface reçus
• Octets/paquets d’interface transmis
• Erreurs de réception de l’interface
• Paquets d’interface abandonnés

1. Identifiez le compteur d’interface qui a augmenté au moment de la détection élevée DP CPU :
   1. Fiez-vous aux informations fournies par l’outil qui a permis de déterminer le problème.
   2. Émettez les éléments suivants plusieurs fois au cours de l’émission élevée DP CPU et suivez les augmentations de CLI compteur à un taux élevé

      show counter interface all

   3. Vérifiez le débit des interfaces pendant le problème élevé DP CPU à l’aide de l’icône CLI:

      show system state browser

      et appuyez sur Maj+L puis sur Entrée.
   4. Utilisez l’onglet et définissez un filtre global basé sur l’interface suspectée comme source de l’augmentation ACC du trafic. Si vous avez besoin de consulter des données historiques, définissez l'heure pour qu'elle soit celle de la détection du haut DP CPU.

2. Appliquez la correction au problème :

1. Si l’augmentation du nombre d’octets ou de paquets reçus et que vous avez déterminé la source du trafic à l’aide de l’onglet ou des ACC journaux de trafic, vous devez :
   1. Si l’augmentation est attendue dans votre réseau, considérez :
      1. Modification du chemin réseau de ce trafic pour contourner le FWfichier .
      2. Modification de la configuration ou des paramètres de la source de trafic pour réduire la quantité de ce trafic.
      3. Changer l’heure prévue de ce flux de trafic si possible pour être en dehors des heures de pointe.
   2. Si l’augmentation est inattendue dans votre réseau, considérez :
      1. Élimination du trafic de votre réseau.
      2. Empêcher le trafic d’atteindre votre FWfichier .
      3. Utilisation de la FW zone et DOS protection contre le trafic incriminé.
   3. Protégez les ressources de la mémoire tampon en activant la protection de la Firewall mémoire tampon des paquets.
   4. Vérifiez si vos FW supports HW se déchargent; Si c’est le cas, vérifiez si le déchargement est activé si ce n’est pas le cas, activez-le.

      set session offload yes

   5. Vérifiez si le nombre total de sessions pendant le high DP CPU a dépassé les sessions prises en charge par votre FW plate-forme. Si un tel nombre de sessions est attendu, envisagez de mettre à niveau vos FW plates-formes vers des plates-formes de plus grande capacité.

      show session info

2. Si l'augmentation du nombre d'octets ou de paquets transmis puis, en fonction de votre enquête à l'aide de lACC'onglet ou des journaux de trafic, vérifiez si ces paquets sont envoyés via un tunnel, c'est-à-dire encapsulés, appartiennent à un trafic chiffré qui est déchiffré par le ou QOS a été appliqué à ce trafic et comprenez que cela ajoute une charge sur le FW FWplan CPU de données de , envisagez donc d'appliquer la correction appropriée :
   1. Si le trafic transmis est envoyé par un tunnel, envisagez de réduire la quantité de ce trafic.
   2. Si le trafic transmis appartient à une session déchiffrée, excluez ce trafic du déchiffrement.
   3. Si QOS a été appliqué à ce trafic, envisagez de QOS désactiver ce trafic.
3. Si l’augmentation concerne le nombre de paquets déposés sur l’interface, vérifiez si la perte est HW_PACKETS_DROPPED ou CPU_PACKETS_DROPPED reportez-vous aux informations répertoriées dans l’explication du compteur de dépôt de paquets de l’interface logique et appliquez la correction appropriée.
4. Si l’augmentation concerne le nombre d’erreurs de réception sur l’interface , vérifiez si la suppression est HW_RECEIVE_ERRORS ou CPU_RECEIVE_ERRORS reportez-vous aux informations répertoriées dans la différence entre les compteurs d’erreurs de réception pour Hardware et l’interface logique et appliquez la correction appropriée.

show counter interface all

show counter interface all