Comment résoudre les problèmes d'utilisation excessive de tampons de paquets ou de descripteurs de paquets

162071

Created On 02/14/22 21:53 PM - Last Modified 01/07/25 17:31 PM

Objective

L'article fournit des conseils généraux sur le dépannage des tampons de paquets élevés ou des descripteurs de paquets.
Une utilisation élevée de la mémoire tampon des paquets peut entraîner une lenteur et une latence dans le trafic utilisateur . De nombreux facteurs différents peuvent être à l'origine d'une utilisation élevée de la mémoire tampon des paquets. Voir les scénarios possibles ci-dessous

Explosion de trafic inattendue, attaque DoS .
Pour les PA-3200, PA-5200, PA-7000, taux élevé de trafic refusé appartenant à une seule session refusée, taux élevé de trafic fragmenté appartenant à une seule session.
Associé à un processeur de plan de données élevé. Si le processeur du plan de données est occupé, les tampons de paquets peuvent se remplir. Voir ici pour des conseils sur la façon de réduire le processeur du plan de données .
Défaut logiciel où les tampons de paquets ne sont pas libérés. Dans ce scénario, l'utilisation du tampon de paquets est élevée même lorsque le trafic traversant le pare-feu est très faible.

Dans de tels scénarios, envisagez les étapes suivantes pour ramener l’ appareil à un état sain :

Environment

Pare-feu Palo Alto
Système d'exploitation PAN pris en charge
Tampons de paquets et descripteurs de paquets

Procedure

Scénario A :

Vérifiez les journaux de menace .
Les journaux des menaces ne seront enregistrés que si la protection du tampon de paquets (PBP) est activée.
Vérifiez si PBP a été activé. (Voir les étapes de migration ci-dessous)

Atténuation des risques pour les scénarios A et B

Vérifiez les journaux des menace pour voir si un trafic a été identifié comme la source du trafic élevé.
Si aucun journal de menace n'est visible, assurez-vous que la protection du tampon de paquets (PBP) est activée et que les paramètres configurés sont suffisants pour réduire l'utilisation du tampon de paquets. ( Le seuil d'activation de PBP est par défaut de 80 %. Si le pare-feu est correctement dimensionné, l'utilisation du tampon doit être bien inférieure à 50 %)
1. Pour vérifier si PBP a été activé et/ou activé, utilisez CLI show session packet-buffer-protection

La sortie ci-dessous montre que PBP n'a pas été activé

> show session packet-buffer-protection
  Packet buffer protection is disabled.

Le résultat ci-dessous montre que PBP a été activé, mais pas activé. Un PBP activé signifie que l'utilisation du tampon de paquets a dépassé le seuil et que le trafic est maintenant inspecté pour trouver les principaux utilisateurs de la ressource tampon de paquets.

> show session packet-buffer-protection
 ------------------------------------------------------------------------------------------
dp0
------------------------------------------------------------------------------------------
Packet buffer count based
Congestion: 1/86016 (0%)
System resource usage is low, packet buffer protection not activated.
------------------------------------------------------------------------------------------
dp1
------------------------------------------------------------------------------------------
Packet buffer count based
Congestion: 1/86016 (0%)
System resource usage is low, packet buffer protection not activated.

La sortie ci-dessous montre que PBP a été activer et que la session la plus abusive est l'ID de session 38492

> show session packet-buffer-protection
-------------------------------------------------------------------------------------------
dp0
-------------------------------------------------------------------------------------------
Packet buffer count based
Congestion: 12431/17203 (72%)
Drop probability: 74%. Percentage drop threshold: 48.
-------------------------------------------------------------------------------------------
|                   |      |            | Drop  |     Packets      |
Session/IP Address |       Zone        | PCS  | Percentage | State | Total  | Dropped | Time till discard
-------------------------------------------------------------------------------------------

38492              | replay_vw_trust   | 4088 | 49         | Yes   | 381171 | 121232  | 59
38492              | replay_vw_untrust | 4024 | 49         | Yes   | 392557 | 125172  | 57
172.16.1.1         | vw-trust          | 31   | 0          | No    | 721    | 0       | 60
51718              | vw-trust          | 9    | 0          | No    | 1      | 0       | 60
172.16.1.2         | vw-untrust        | 4    | 0          | No    | 71     | 0       | 60
51704              | vw-untrust        | 3    | 0          | No    | 0      | 0       | 60
51712              | vw-trust          | 3    | 0          | No    | 0      | 0       | 60
51714              | vw-untrust        | 3    | 0          | No    | 0      | 0       | 60
-------------------------------------------------------------------------------------------

Si l'utilisation de la mémoire tampon des paquets est élevée, mais que PBP n'a pas été activé, déterminez si les seuils PBP doivent être abaissés. Par par défaut, PBP se déclenche lorsque l'utilisation de la mémoire tampon atteint 80 %. Le seuil actif peut être abaissé de sorte qu'en cas de session abusive, elle puisse être supprimée plus tôt. Pour modifier la configuration de PBP, accédez à : Configurer la protection de la mémoire tampon des paquets

Assurez-vous que les profils de protection de zone sont en place pour protéger contre les inondations de paquets.
Ci-dessous, la CLI imprime les seuils de protection de zone configurés pour une zone spécifique. Ajustez les seuils pour qu'ils correspondent au modèle de trafic observé par l' appareil.

> show zone-protection zone <zone name>
------------------------------------------------------------------------------------------
Number of zones with protection profile: 1
------------------------------------------------------------------------------------------
Zone test, vsys vsys1, profile tap
------------------------------------------------------------------------------------------
tcp-syn              RED enabled: yes
DP alarm rate:       80000 cps, activate rate:   80000 cps, maximal rate:   80000 cps
current:            193413 packets
dropped:           262219664 packets
------------------------------------------------------------------------------------------
udp                  RED enabled: yes
DP alarm rate:       80000 cps, activate rate:   80000 cps, maximal rate:   80000 cps
current:                 0 packets
dropped:                 0 packets
------------------------------------------------------------------------------------------
icmp                 RED enabled: yes
DP alarm rate:       80000 cps, activate rate:   80000 cps, maximal rate:   80000 cps
current:                 0 packets
dropped:                 0 packets
------------------------------------------------------------------------------------------
other-ip             RED enabled: yes
DP alarm rate:       80000 cps, activate rate:   80000 cps, maximal rate:   80000 cps
current:                 0 packets
dropped:                 0 packets
------------------------------------------------------------------------------------------
icmpv6               RED enabled: yes
DP alarm rate:       80000 cps, activate rate:   80000 cps, maximal rate:   80000 cps
current:                 0 packets
dropped:                 0 packets

Si une session est identifiée via les journaux des menace ou la sortie CLI de show session packet-buffer-protection , des mesures spécifiques peuvent être prises contre ce trafic, en créant une politique, règle, mesures DoS contre les contrevenants connus et en suivant les instructions documentées dans ( HIGH ON-CHIP DESCRIPTOR AND PACKET BUFFER USAGE DUE TO POLICY DENY RESULTING IN TRAFFIC LATENCE AND DROPS ). Ou, le trafic peut être arrêté en amont du pare-feu.

Scénario B :

Exécutez ? show running resource-monitor ? et examinez la sortie pour les descripteurs de paquets intégrés. Si la valeur est systématiquement supérieure à 90 %, le appareil rencontre le scénario B.

Resource utilization (%) during last 5 seconds:
session:
  0   0   0   0   0 
packet buffer:
 75  75  75  75  75 
packet descriptor:
  0   0   0   0   0 
packet descriptor (on-chip):
100 100 100 100 100

Atténuation pour le scénario B (identique à A)

Scénario C :

Exécutez ? show running resource-monitor ? pour vérifier l'utilisation du processeur . Si l'utilisation du processeur est supérieure à 80 %, l' appareil peut être confronté au scénario dans lequel l'accumulation est causée par le processeur.

Mesures d'atténuation pour le scénario C

Pour réduire l'utilisation du processeur , essayez de réduire l'inspection du trafic. Les étapes suivantes peuvent être envisagées
- Supprimez le profil de sécurité associé à la politique de sécurité. Voir Identifier les sessions qui utilisent trop de descripteurs de paquets intégrés
- Disable Server Response Inspection (Désactiver l'inspection de la réponse du serveur - DSRI) conformément à « AMÉLIORER LES PERFORMANCES DE HTTP AVEC DSRI »
- Configurez App Override pour le trafic qui pourrait potentiellement entraîner une utilisation élevée du processeur/tampon de paquets. Conformément à « COMMENT CRÉER UN REMPLACEMENT D'APPLICATION »

Scénario D :

Si l' appareil ne correspond à aucune des conditions ci-dessus, il peut s'agir d'un défaut logiciel. Voir ci-dessous les données nécessaires à l'ouverture d'un dossier d'assistance.

Données à collecter pour le scénario D

Exécutez les commandes suivantes

show running resource-monitor
debug dataplane pow performance
debug dataplane pool statistics
show counter global filter delta yes (multiple times)
show counter global

Note: For the next 2 commands, if the CLI output contains any sessions, print ?afficher l'identifiant de session? for those sessions, so that the sessions that are occupying the resource can be identified.

show session packet-buffer-protection
afficher la session protection du tampon de paquets latence du tampon
Récupérer un fichier d'assistance technique
Journaux de trafic qui couvrent la période pendant laquelle les tampons de paquets sont élevés