Cómo solucionar problemas de uso elevado de búfer de paquetes o descriptores de paquetes

162085

Created On 02/14/22 21:53 PM - Last Modified 01/07/25 17:35 PM

Objective

El artículo proporciona una guía general sobre cómo solucionar problemas de buffer de paquetes alto o descriptores de paquetes.
Un alto nivel de uso del búfer de paquetes puede generar lentitud y latencia en el tráfico de usuario . Muchos factores diferentes pueden causar un alto uso del búfer de paquetes. Vea los posibles escenarios a continuación

Explosión de tráfico inesperado, ataque DoS .
Para PA-3200, PA-5200, PA-7000?s, alta tasa de tráfico denegado que pertenece a una sola sesión que se está denegando, alta tasa de tráfico fragmentado que pertenece a una sola sesión.
Asociado con un uso elevado de la CPU del plano de datos. Si la CPU del plano de datos está ocupada, los búferes de paquetes pueden llenarse. Consulte aquí consejos sobre cómo reducir la CPU del plano de datos .
Defecto de software que impide la liberación de los búferes de paquetes. En este escenario, el uso del búfer de paquetes es alto incluso cuando el tráfico que pasa por el cortafuegos es muy bajo.

En tales situaciones, considere los siguientes pasos para que el dispositivo vuelva a un estado saludable:

Environment

Cortafuegos de Palo Alto
Sistema operativo PAN compatible
Buffers de paquetes y descriptores de paquetes

Procedure

Escenario A:

Compruebe los registros de amenaza .
Los registros de amenazas se registrarán solo si la protección de búfer de paquetes (PBP) está habilitada.
Comprueba si PBP se ha habilitado y activado. (Consulta los pasos de migración a continuación)

Mitigación para los escenarios A y B

Revise los registros de amenaza para ver si se ha identificado algún tráfico como la fuente del alto tráfico.
Si no se ven registros de amenaza , asegúrese de que la protección de búfer de paquetes (PBP) esté habilitada y que los parámetros configurados sean suficientes para reducir el uso del búfer de paquetes. ( El umbral de activación para PBP está predeterminado en 80 %. Si el cortafuegos tiene el tamaño correcto, la utilización del búfer debería estar muy por debajo del 50 %)
1. Para comprobar si PBP se ha habilitado y/o activado, utilice CLI show sesión packet-buffer-protection

El resultado a continuación muestra que PBP no se ha habilitado

> show session packet-buffer-protection
  Packet buffer protection is disabled.

El resultado que se muestra a continuación muestra que PBP se ha habilitado, pero no se ha activado. Un PBP activado significa que el uso del búfer de paquetes ha superado el umbral y ahora se está inspeccionando el tráfico para encontrar los principales usuarios del recurso del búfer de paquetes.

> show session packet-buffer-protection
 ------------------------------------------------------------------------------------------
dp0
------------------------------------------------------------------------------------------
Packet buffer count based
Congestion: 1/86016 (0%)
System resource usage is low, packet buffer protection not activated.
------------------------------------------------------------------------------------------
dp1
------------------------------------------------------------------------------------------
Packet buffer count based
Congestion: 1/86016 (0%)
System resource usage is low, packet buffer protection not activated.

El resultado a continuación muestra que PBP se ha activar y que la sesión abusiva principal es la sesión con ID 38492

> show session packet-buffer-protection
-------------------------------------------------------------------------------------------
dp0
-------------------------------------------------------------------------------------------
Packet buffer count based
Congestion: 12431/17203 (72%)
Drop probability: 74%. Percentage drop threshold: 48.
-------------------------------------------------------------------------------------------
|                   |      |            | Drop  |     Packets      |
Session/IP Address |       Zone        | PCS  | Percentage | State | Total  | Dropped | Time till discard
-------------------------------------------------------------------------------------------

38492              | replay_vw_trust   | 4088 | 49         | Yes   | 381171 | 121232  | 59
38492              | replay_vw_untrust | 4024 | 49         | Yes   | 392557 | 125172  | 57
172.16.1.1         | vw-trust          | 31   | 0          | No    | 721    | 0       | 60
51718              | vw-trust          | 9    | 0          | No    | 1      | 0       | 60
172.16.1.2         | vw-untrust        | 4    | 0          | No    | 71     | 0       | 60
51704              | vw-untrust        | 3    | 0          | No    | 0      | 0       | 60
51712              | vw-trust          | 3    | 0          | No    | 0      | 0       | 60
51714              | vw-untrust        | 3    | 0          | No    | 0      | 0       | 60
-------------------------------------------------------------------------------------------

Si el uso del búfer de paquetes es alto, pero no se ha activado PBP, determine si se deben reducir los umbrales de PBP. De valor predeterminado, PBP se activa cuando el uso del búfer llega al 80 %. El umbral activo se puede reducir para que, si hay una sesión abusiva, se pueda descartar antes. Para cambiar la configuración de PBP, vaya aquí: Configurar la protección del búfer de paquetes

Asegúrese de que los perfiles de protección de zona estén implementados para proteger contra inundaciones de paquetes.
A continuación, la CLI imprime los umbrales de protección de zona configurados para una zona específica. Ajuste los umbrales para que coincidan con el patrón de tráfico que ve el dispositivo.

> show zone-protection zone <zone name>
------------------------------------------------------------------------------------------
Number of zones with protection profile: 1
------------------------------------------------------------------------------------------
Zone test, vsys vsys1, profile tap
------------------------------------------------------------------------------------------
tcp-syn              RED enabled: yes
DP alarm rate:       80000 cps, activate rate:   80000 cps, maximal rate:   80000 cps
current:            193413 packets
dropped:           262219664 packets
------------------------------------------------------------------------------------------
udp                  RED enabled: yes
DP alarm rate:       80000 cps, activate rate:   80000 cps, maximal rate:   80000 cps
current:                 0 packets
dropped:                 0 packets
------------------------------------------------------------------------------------------
icmp                 RED enabled: yes
DP alarm rate:       80000 cps, activate rate:   80000 cps, maximal rate:   80000 cps
current:                 0 packets
dropped:                 0 packets
------------------------------------------------------------------------------------------
other-ip             RED enabled: yes
DP alarm rate:       80000 cps, activate rate:   80000 cps, maximal rate:   80000 cps
current:                 0 packets
dropped:                 0 packets
------------------------------------------------------------------------------------------
icmpv6               RED enabled: yes
DP alarm rate:       80000 cps, activate rate:   80000 cps, maximal rate:   80000 cps
current:                 0 packets
dropped:                 0 packets

Si se identifica una sesión a través de los registros de amenaza o la salida CLI de show sesión packet-buffer-protection , se puede tomar una acción específica contra ese tráfico, creando una política DoS contra los infractores conocidos y siguiendo las instrucciones que están documentadas en ( ALTO USO DEL DESCRIPTOR EN EL CHIP Y DEL BÚFER DE PAQUETES DEBIDO A LA DENEGACIÓN DE POLÍTICA QUE RESULTA EN LATENCIA DE TRÁFICO Y CAÍDAS ). O bien, se puede detener el tráfico aguas arriba del cortafuegos.

Escenario B:

Ejecute ? show running resource-monitor ? y observe la salida de los descriptores de paquetes en el chip. Si el valor es consistentemente mayor que el 90 %, entonces el dispositivo está en el escenario B.

Resource utilization (%) during last 5 seconds:
session:
  0   0   0   0   0 
packet buffer:
 75  75  75  75  75 
packet descriptor:
  0   0   0   0   0 
packet descriptor (on-chip):
100 100 100 100 100

Mitigación para el escenario B (igual que el A)

Escenario C:

Ejecute ? show running resource-monitor ? para verificar el uso de la CPU . Si el uso de la CPU es superior al 80 %, es posible que el dispositivo se encuentre en una situación en la que la acumulación se debe a la CPU.

Mitigación para el escenario C

Para reducir el uso de la CPU , intente reducir la inspección del tráfico. Se pueden considerar los siguientes pasos
- Eliminar el Perfil de seguridad asociado con la política de seguridad. Consulte Identificar sesiones que utilizan demasiado el descriptor de paquetes en el chip
- Disable Server Response Inspection (Deshabilitar inspección de respuesta de servidor - DSRI) según " MEJORA DEL RENDIMIENTO DE HTTP CON DSRI "
- Configurar la anulación de la aplicación para el tráfico que podría causar un uso elevado del búfer de paquetes o de la CPU. Según " CÓMO CREAR UNA ANULACIÓN DE LA APLICACIÓN "

Escenario D:

Si el dispositivo no cumple ninguna de las condiciones anteriores, podría tratarse de un defecto de software. Consulte a continuación los datos necesarios para abrir un caso de soporte.

Datos a recopilar para el escenario D

Ejecute los siguientes comandos

show running resource-monitor
debug dataplane pow performance
debug dataplane pool statistics
show counter global filter delta yes (multiple times)
show counter global

Nota: For the next 2 commands, if the CLI output contains any sessions, print ?mostrar id de sesión? for those sessions, so that the sessions that are occupying the resource can be identified.

show session packet-buffer-protection
Mostrar la sesión Protección del búfer de paquetes Latencia del búfer
Recopilar un archivo de soporte técnico
Registros de tráfico que cubren el período de tiempo en el que los buffers de paquetes están altos