So beheben Sie Probleme mit hohem Paketpuffer oder hoher Paketdeskriptornutzung

162097

Created On 02/14/22 21:53 PM - Last Modified 01/07/25 17:33 PM

Objective

Der Artikel enthält allgemeine Hinweise zur Fehlerbehebung bei großen Paketpuffern oder Paketdeskriptoren.
Eine hohe Paketpuffernutzung kann zu Verlangsamung und Latenz im Benutzer führen. Viele verschiedene Faktoren können eine hohe Paketpuffernutzung verursachen. Siehe mögliche Szenarien unten

Ausbruch unerwarteten Datenverkehrs, DoS Angriff.
Bei PA-3200, PA-5200, PA-7000: Hohe Rate an abgelehntem Datenverkehr, der zu einer einzelnen abgelehnten Sitzung gehört, hohe Rate an fragmentiertem Datenverkehr, der zu einer einzelnen Sitzung gehört.
Verbunden mit hoher Dataplane- CPU. Wenn die Datenebene CPU ausgelastet ist, können die Paketpuffer voll werden. Hier finden Sie Tipps zur Reduzierung der Datenebene CPU.
Softwaredefekt, bei dem Paketpuffer nicht freigegeben werden. In diesem Szenario ist die Paketpuffernutzung hoch, selbst wenn der Datenverkehr durch die Firewall sehr gering ist.

Erwägen Sie in solchen Fällen die folgenden Schritte, um das Gerät wieder in einen fehlerfreien Status zu versetzen:

Environment

Palo Alto-Firewalls
Unterstützte PAN-OS
Paketpuffer und Paketdeskriptoren

Procedure

Szenario A:

Suchen Sie nach Bedrohung .
Bedrohungsprotokolle werden nur protokolliert, wenn Packet Buffer Protection (PBP) aktiviert ist.
Überprüfen Sie, ob PBP aktiviert wurde. (Siehe Migrationsschritte unten)

Milderung der Folgen für Szenario A und B

Überprüfen Sie die Bedrohung , um festzustellen, ob Datenverkehr als Quelle des hohen Datenverkehrs identifiziert wurde.
Wenn keine Bedrohung angezeigt werden, stellen Sie sicher, dass der Paketpufferschutz (PBP) aktiviert ist und die konfigurierten Parameter ausreichen, um die Paketpuffernutzung zu senken. ( Der Aktivierungsschwellenwert für PBP liegt standardmäßig bei 80 %. Wenn die Firewall richtig dimensioniert ist, sollte die Puffernutzung deutlich unter 50 % liegen.)
1. Um zu überprüfen, ob PBP aktiviert wurde, verwenden Sie CLI show Sitzung packet-buffer-protection

Die folgende Ausgabe zeigt, dass PBP nicht aktiviert wurde.

> show session packet-buffer-protection
  Packet buffer protection is disabled.

Die folgende Ausgabe zeigt, dass PBP aktiviert, aber nicht aktiviert wurde. Ein aktiviertes PBP bedeutet, dass die Paketpuffernutzung den Schwellenwert überschritten hat und der Datenverkehr nun überprüft wird, um die Hauptnutzer der Paketpufferressource zu finden.

> show session packet-buffer-protection
 ------------------------------------------------------------------------------------------
dp0
------------------------------------------------------------------------------------------
Packet buffer count based
Congestion: 1/86016 (0%)
System resource usage is low, packet buffer protection not activated.
------------------------------------------------------------------------------------------
dp1
------------------------------------------------------------------------------------------
Packet buffer count based
Congestion: 1/86016 (0%)
System resource usage is low, packet buffer protection not activated.

Die folgende Ausgabe zeigt, dass PBP aktivieren wurde und dass die Sitzung mit der höchsten Missbrauchsrate die Sitzung ID 38492 ist.

> show session packet-buffer-protection
-------------------------------------------------------------------------------------------
dp0
-------------------------------------------------------------------------------------------
Packet buffer count based
Congestion: 12431/17203 (72%)
Drop probability: 74%. Percentage drop threshold: 48.
-------------------------------------------------------------------------------------------
|                   |      |            | Drop  |     Packets      |
Session/IP Address |       Zone        | PCS  | Percentage | State | Total  | Dropped | Time till discard
-------------------------------------------------------------------------------------------

38492              | replay_vw_trust   | 4088 | 49         | Yes   | 381171 | 121232  | 59
38492              | replay_vw_untrust | 4024 | 49         | Yes   | 392557 | 125172  | 57
172.16.1.1         | vw-trust          | 31   | 0          | No    | 721    | 0       | 60
51718              | vw-trust          | 9    | 0          | No    | 1      | 0       | 60
172.16.1.2         | vw-untrust        | 4    | 0          | No    | 71     | 0       | 60
51704              | vw-untrust        | 3    | 0          | No    | 0      | 0       | 60
51712              | vw-trust          | 3    | 0          | No    | 0      | 0       | 60
51714              | vw-untrust        | 3    | 0          | No    | 0      | 0       | 60
-------------------------------------------------------------------------------------------

Wenn die Paketpuffernutzung hoch ist, PBP jedoch nicht aktiviert wurde, legen Sie fest, ob die PBP-Schwellenwerte gesenkt werden sollten. Standard(-) wird PBP aktiviert, wenn die Puffernutzung 80 % erreicht. Der aktive Schwellenwert kann gesenkt werden, sodass eine missbräuchliche Sitzung früher verworfen werden kann. Um die Konfiguration für PBP zu ändern, gehen Sie hierhin: Paketpufferschutz konfigurieren

Stellen Sie sicher, dass Zonenschutzprofile zum Schutz vor Paketfluten vorhanden sind.
Nachfolgend druckt die CLI die konfigurierten Zonenschutz für eine bestimmte Zone aus. Passen Sie die Schwellenwerte so an, dass sie dem vom Gerät erkannten Verkehrsmuster entsprechen.

> show zone-protection zone <zone name>
------------------------------------------------------------------------------------------
Number of zones with protection profile: 1
------------------------------------------------------------------------------------------
Zone test, vsys vsys1, profile tap
------------------------------------------------------------------------------------------
tcp-syn              RED enabled: yes
DP alarm rate:       80000 cps, activate rate:   80000 cps, maximal rate:   80000 cps
current:            193413 packets
dropped:           262219664 packets
------------------------------------------------------------------------------------------
udp                  RED enabled: yes
DP alarm rate:       80000 cps, activate rate:   80000 cps, maximal rate:   80000 cps
current:                 0 packets
dropped:                 0 packets
------------------------------------------------------------------------------------------
icmp                 RED enabled: yes
DP alarm rate:       80000 cps, activate rate:   80000 cps, maximal rate:   80000 cps
current:                 0 packets
dropped:                 0 packets
------------------------------------------------------------------------------------------
other-ip             RED enabled: yes
DP alarm rate:       80000 cps, activate rate:   80000 cps, maximal rate:   80000 cps
current:                 0 packets
dropped:                 0 packets
------------------------------------------------------------------------------------------
icmpv6               RED enabled: yes
DP alarm rate:       80000 cps, activate rate:   80000 cps, maximal rate:   80000 cps
current:                 0 packets
dropped:                 0 packets

Wenn eine Sitzung durch die Bedrohung oder die CLI Ausgabe von „show Sitzung packet-buffer-protection“ identifiziert wird, können spezifische Maßnahmen gegen diesen Datenverkehr ergriffen werden, indem eine DoS Richtlinie gegen bekannte Täter erstellt wird und die Anweisungen befolgt werden, die in ( HOHE NUTZUNG VON ON-CHIP-DESCRIPTOR UND PACKET BUFFER DUE TO POLICY DENY RESULTIEREN IN TRAFFIC LATENCY AND DROPS ) dokumentiert sind. Oder der Datenverkehr kann vor der Firewall gestoppt werden.

Szenario B:

Führen Sie „show running resource-monitor“ aus und sehen Sie sich die Ausgabe für On-Chip-Paketdeskriptoren an. Wenn der Wert konstant über 90 % liegt, trifft das Gerät auf Szenario B zu.

Resource utilization (%) during last 5 seconds:
session:
  0   0   0   0   0 
packet buffer:
 75  75  75  75  75 
packet descriptor:
  0   0   0   0   0 
packet descriptor (on-chip):
100 100 100 100 100

Milderung für Szenario B (dasselbe wie A)

Szenario C:

Führen Sie „show running resource-monitor“ aus, um die CPU Auslastung zu überprüfen. Wenn die CPU Auslastung über 80 % liegt, könnte das Gerät von einem Szenario betroffen sein, bei dem die Anhäufung durch die CPU verursacht wird.

Milderung für Szenario C

Um die CPU Auslastung zu reduzieren, versuchen Sie bitte, die Verkehrsprüfung zu reduzieren. Folgende Schritte könnten in Betracht gezogen werden
- Entfernen Sie das mit der Sicherheitsrichtlinie verknüpfte Sicherheitsprofil . Siehe Sitzungen identifizieren, die zu viel des On-Chip-Paketdeskriptors verwenden
- Disable Server Response Inspection (Überprüfung der Serverantwort deaktivieren, DSRI) gemäß „ VERBESSERN DER HTTP MIT DSRI “
- Konfigurieren Sie App Override für den Datenverkehr, der möglicherweise eine hohe CPU/Paketpufferauslastung verursachen könnte. Gemäß „ SO ERSTELLEN SIE EINE APPLICATION OVERRIDE “

Szenario D:

Wenn das Gerät keine der oben genannten Bedingungen erfüllt, kann es sich um einen Softwarefehler handeln. Nachfolgend finden Sie die Daten, die zum Öffnen eines Supportfalls erforderlich sind.

Zu erfassende Daten für Szenario D

Führen Sie die folgenden Befehle aus

show running resource-monitor
debug dataplane pow performance
debug dataplane pool statistics
show counter global filter delta yes (multiple times)
show counter global

Notiz: For the next 2 commands, if the CLI output contains any sessions, print ?Sitzung ID anzeigen? for those sessions, so that the sessions that are occupying the resource can be identified.

show session packet-buffer-protection
Sitzung -Pufferlatenz anzeigen
Sammeln Sie eine Datei für den technischen Support
Verkehrsprotokolle, die den Zeitraum abdecken, in dem die Paketpuffer hoch sind