High を軽減する方法DP CPUインターフェイス カウンタの増加による問題

• パロアルト Firewall
• DP CPU
• 受信したインターフェイス バイト/パケット
• インターフェイスの送信バイト数/パケット数
• インターフェイス受信エラー
• ドロップされたインターフェイス パケット

1. 高値の前後に増加したインターフェイス カウンターを特定します。DP CPU検出：
   1. 問題の判別に役立つツールが提供する情報を信頼してください。
   2. 以下を発行するCLIハイの間に何度もDP CPU高い割合で増加するカウンターを発行して追跡する

      show counter interface all

   3. を確認してくださいインターフェイスのスループットハイの間にDP CPUを使った問題CLI:

      show system state browser

      Shift+を押しますL入力します。
   4. 使用ACCタブで設定グローバル フィルタートラフィック増加の原因であると疑われるインターフェイスに基づいています。 過去のデータを見る必要がある場合時間を設定する高いものになるDP CPUの検出。

2. 問題に修復を適用します。

1. 受信したバイト数またはパケット数が増加した場合を使用してトラフィックの送信元を特定しました。ACCタブまたはトラフィック ログには、次のことが必要です。
   1. ネットワークで増加が予想される場合は、次の点を考慮してください。
      1. このトラフィックのネットワーク パスを変更して、FW .
      2. トラフィックのソースの構成または設定を変更して、このトラフィックの量を減らします。
      3. 可能であれば、このトラフィック フローの予定時刻をピーク時間外に変更します。
   2. ネットワークで予期しない増加が発生した場合は、次の点を考慮してください。
      1. ネットワークからのトラフィックを排除します。
      2. トラフィックがあなたに到達するのをブロックするFW.
      3. を使用してFWゾーンとDOS保護問題のあるトラフィックに対して。
   3. 保護するFirewallを有効にしてリソースをバッファリングします。パケット バッファ保護.
   4. あなたのFWサポートHWオフロード;その場合は、オフロードが有効になっているかどうかを確認し、有効になっていない場合は有効にします。

      set session offload yes

   5. 高い期間中の合計セッション数を確認しますDP CPUサポートされているセッション数を超えましたFWプラットホーム. この大量のセッションが予想される場合は、アップグレードを検討してください。FWより大容量のプラットフォームに。

      show session info

2. 送信されたバイト数またはパケット数が増加した場合次に、を使用した調査に基づいてACCタブまたはトラフィックログは、それらのパケットがカプセル化されたトンネルを介して送信されているかどうかを確認し、FWまたQOSそのトラフィックに適用され、これが負荷を追加していることを理解してくださいFWのデータプレーンCPUしたがって、適切な修復を適用することを検討してください。
   1. 送信されるトラフィックがトンネルを介して送信されている場合は、このトラフィックの量を減らすことを検討してください。
   2. 送信されたトラフィックが復号化されたセッションに属している場合は、そのトラフィックを復号化から除外します。
   3. もしもQOSがそのトラフィックに適用されている場合は、無効にすることを検討してくださいQOSそのトラフィックで。
3. ドロップされたパケットの数が増加した場合インターフェイスで、ドロップが HW_PACKETS_DROPPED または CPU_PACKETS_DROPPED であるかどうかを確認してから、論理インターフェイス パケット ドロップ カウンタの説明適切な修復を適用します。
4. 増加が受信エラーの数にある場合インターフェイスで、ドロップが HW_RECEIVE_ERRORS または CPU_RECEIVE_ERRORS であるかどうかを確認してから、の受信エラーの違いHardwareおよび論理インターフェイス カウンター適切な修復を適用します。

show counter interface all

show counter interface all