如何缓解高DP CPU由于接口计数器增加而导致的问题

• 帕洛阿尔托 Firewall
• DP CPU
• 接收到的接口字节/数据包
• 传输的接口字节/数据包
• 接口接收错误
• 接口数据包丢弃

1. 确定哪个接口计数器在高电平时间附近增加DP CPU检测：
   1. 依靠帮助确定问题的工具提供的信息。
   2. 发出以下CLI在高潮期间多次DP CPU发出并跟踪哪个计数器以高速率增加

      show counter interface all

   3. 检查接口吞吐量在高DP CPU问题使用CLI:

      show system state browser

      然后按 Shift+L然后输入。
   4. 使用ACC选项卡并设置一个全局过滤器基于怀疑接口是流量增加的来源。 如果需要查看历史数据，则设置时间成为高人之一DP CPU的检测。

2. 对问题应用补救措施：

1. 如果接收到的字节数或数据包数增加并且您已使用ACC您需要的选项卡或流量日志：
   1. 如果您的网络预计会增加，请考虑：
      1. 更改此流量的网络路径以绕过FW.
      2. 更改流量源的配置或设置以减少此流量。
      3. 如果可能，将此交通流的预定时间更改为高峰时段以外。
   2. 如果您的网络中出现意外增加，请考虑：
      1. 消除网络中的流量。
      2. 阻止流量到达您的FW.
      3. 使用FW区和DOS保护反对违规交通。
   3. 保护Firewall通过启用缓冲资源数据包缓冲区保护.
   4. 检查你的FW支持HW卸载;如果是这样，则检查是否启用了卸载，如果没有则启用它。

      set session offload yes

   5. 检查高峰期间的总会话数是否DP CPU超出了您的支持会话FW平台. 如果预计会有如此大量的会话，请考虑升级您的FW到更高容量的平台。

      show session info

2. 如果传输的字节数或数据包数增加然后根据您的调查使用ACC选项卡或流量日志检查这些数据包是否通过隧道发送意味着封装，是否属于正在被解密的加密流量FW或者QOS已应用于该流量并了解这会增加负载FW的数据平面CPU所以考虑应用适当的补救措施：
   1. 如果传输的流量是通过隧道发送的，则考虑减少此流量的数量。
   2. 如果传输的流量属于解密会话，则将该流量排除在解密之外。
   3. 如果QOS已应用于该流量然后考虑禁用QOS在那交通上。
3. 如果增加的是丢弃的数据包数然后在接口上检查drop是HW_PACKETS_DROPPED还是CPU_PACKETS_DROPPED然后参考里面列出的信息逻辑接口丢包计数器说明并应用适当的补救措施。
4. 如果增加的是接收错误的数量在接口上然后检查drop是HW_RECEIVE_ERRORS还是CPU_RECEIVE_ERRORS然后参考里面列出的信息接收错误之间的区别Hardware和逻辑接口计数器并应用适当的补救措施。

show counter interface all

show counter interface all