パケットバッファまたはパケット記述子の使用率が高い場合のトラブルシューティング方法

162049

Created On 02/14/22 21:53 PM - Last Modified 01/07/25 17:36 PM

Objective

この記事では、高パケットバッファーまたはパケット記述子のトラブルシューティングに関する一般的なガイダンスを提供します。
パケットバッファの使用率が高いと、ユーザートラフィックの速度低下や遅延が発生する可能性があります。パケットバッファの使用率が高くなる原因は、さまざまな要因が考えられます。考えられるシナリオを次に示します。

予期しないトラフィックの急増、 Dos攻撃。
PA-3200、PA-5200、PA-7000 の場合、拒否されている単一セッションに属する拒否トラフィックの割合が高く、単一セッションに属する断片化されたトラフィックの割合が高くなります。
データプレーンCPU使用率が高い場合に発生します。データプレーンCPU がビジー状態の場合、パケットバッファがいっぱいになる可能性があります。データプレーンCPU使用率を下げる方法については、ここを参照してください。
パケットバッファが解放されないソフトウェアの欠陥。このシナリオでは、ファイアウォールを通過するトラフィックが非常に少ない場合でも、パケットバッファの使用率が高くなります。

このようなシナリオでは、デバイスを正常な状態に戻すために次の手順を検討してください。

Environment

パロアルトファイアウォール
サポートされているPAN-OS
パケットバッファとパケット記述子

Procedure

シナリオA:

脅威ログを確認します。
脅威ログは、パケットバッファー保護(PBP) が有効になっている場合にのみ記録されます。
PBP が有効になっていてアクティブになっているかどうかを確認します。(以下の移行手順を参照してください)

シナリオAとBの緩和策

脅威ログをチェックして、高トラフィックの原因として特定されたトラフィックがあるかどうかを確認します。
脅威ログが表示されない場合は、パケットバッファ保護 (PBP) が有効になっており、設定されたパラメータがパケットバッファの使用率を下げるのに十分であることを確認してください。( PBP のアクティブ化しきい値はデフォルトで 80% に設定されています。ファイアウォールのサイズが適切であれば、バッファ使用率は 50% を大幅に下回るはずです。)
1. PBPが有効またはアクティブになっているかどうかを確認するには、 CLI show セッション packet-buffer-protectionを使用します。

以下の出力はPBPが有効になっていないことを示しています

> show session packet-buffer-protection
  Packet buffer protection is disabled.

以下の出力は、PBP が有効になっているが、アクティブ化されていないことを示しています。PBP がアクティブ化されているということは、パケットバッファの使用量がしきい値を超えており、パケットバッファリソースの上位のユーザーを見つけるためにトラフィックが検査されていることを意味します。

> show session packet-buffer-protection
 ------------------------------------------------------------------------------------------
dp0
------------------------------------------------------------------------------------------
Packet buffer count based
Congestion: 1/86016 (0%)
System resource usage is low, packet buffer protection not activated.
------------------------------------------------------------------------------------------
dp1
------------------------------------------------------------------------------------------
Packet buffer count based
Congestion: 1/86016 (0%)
System resource usage is low, packet buffer protection not activated.

以下の出力は、PBP がアクティベートされ、最も不正なセッションがセッションID 38492であることを示しています。

> show session packet-buffer-protection
-------------------------------------------------------------------------------------------
dp0
-------------------------------------------------------------------------------------------
Packet buffer count based
Congestion: 12431/17203 (72%)
Drop probability: 74%. Percentage drop threshold: 48.
-------------------------------------------------------------------------------------------
|                   |      |            | Drop  |     Packets      |
Session/IP Address |       Zone        | PCS  | Percentage | State | Total  | Dropped | Time till discard
-------------------------------------------------------------------------------------------

38492              | replay_vw_trust   | 4088 | 49         | Yes   | 381171 | 121232  | 59
38492              | replay_vw_untrust | 4024 | 49         | Yes   | 392557 | 125172  | 57
172.16.1.1         | vw-trust          | 31   | 0          | No    | 721    | 0       | 60
51718              | vw-trust          | 9    | 0          | No    | 1      | 0       | 60
172.16.1.2         | vw-untrust        | 4    | 0          | No    | 71     | 0       | 60
51704              | vw-untrust        | 3    | 0          | No    | 0      | 0       | 60
51712              | vw-trust          | 3    | 0          | No    | 0      | 0       | 60
51714              | vw-untrust        | 3    | 0          | No    | 0      | 0       | 60
-------------------------------------------------------------------------------------------

パケットバッファの使用率が高いのに PBP がアクティブになっていない場合は、PBP しきい値を下げる必要があるかどうかを確認します。デフォルトでは、バッファの使用率が 80% になると PBP が作動します。アクティブしきい値を下げると、不正なセッションがあった場合に早期に破棄できます。PBP の設定を変更するには、こちらにアクセスしてください: パケットバッファ保護の構成

パケットフラッドから保護するために、ゾーン保護プロファイルが設定されていることを確認します。
以下のCLI は、特定のゾーンに対して設定されたゾーンプロテクションしきい値を出力します。デバイスが認識するトラフィックパターンに合わせてしきい値を調整します。

> show zone-protection zone <zone name>
------------------------------------------------------------------------------------------
Number of zones with protection profile: 1
------------------------------------------------------------------------------------------
Zone test, vsys vsys1, profile tap
------------------------------------------------------------------------------------------
tcp-syn              RED enabled: yes
DP alarm rate:       80000 cps, activate rate:   80000 cps, maximal rate:   80000 cps
current:            193413 packets
dropped:           262219664 packets
------------------------------------------------------------------------------------------
udp                  RED enabled: yes
DP alarm rate:       80000 cps, activate rate:   80000 cps, maximal rate:   80000 cps
current:                 0 packets
dropped:                 0 packets
------------------------------------------------------------------------------------------
icmp                 RED enabled: yes
DP alarm rate:       80000 cps, activate rate:   80000 cps, maximal rate:   80000 cps
current:                 0 packets
dropped:                 0 packets
------------------------------------------------------------------------------------------
other-ip             RED enabled: yes
DP alarm rate:       80000 cps, activate rate:   80000 cps, maximal rate:   80000 cps
current:                 0 packets
dropped:                 0 packets
------------------------------------------------------------------------------------------
icmpv6               RED enabled: yes
DP alarm rate:       80000 cps, activate rate:   80000 cps, maximal rate:   80000 cps
current:                 0 packets
dropped:                 0 packets

脅威ログまたはshow セッション packet-buffer-protectionのCLI出力を通じてセッションが特定された場合、既知の違反者に対するDosポリシーを作成し、( ポリシー拒否によるオンチップ記述子とパケットバッファの使用率が高くなり、トラフィックの遅延とドロップが発生する ) に記載されている手順に従って、そのトラフィックに対して特定のアクションを実行できます。または、ファイアウォールの上流でトラフィックを停止することもできます。

シナリオ B:

? show running resource-monitor ? を実行し、オンチップパケット記述子の出力を確認します。値が一貫して 90% より大きい場合、デバイスはシナリオ B に該当しています。

Resource utilization (%) during last 5 seconds:
session:
  0   0   0   0   0 
packet buffer:
 75  75  75  75  75 
packet descriptor:
  0   0   0   0   0 
packet descriptor (on-chip):
100 100 100 100 100

シナリオ B の緩和策 (A と同じ)

シナリオ C:

CPU使用率を確認するには、「show running resource-monitor」を実行します。CPU 使用率が 80% を超えている場合、デバイスはCPUが原因で蓄積が発生している状況に陥っている可能性があります。

シナリオCの緩和策

CPU使用率を下げるには、トラフィック検査を減らすようにしてください。以下の手順を検討してください。
- セキュリティポリシーに関連付けられているセキュリティプロファイルを削除します。オンチップパケット記述子を過度に使用するセッションを特定するを参照してください。
- 「 DSRIによるHTTPパフォーマンスの向上」に従ってDisable Server Response Inspection ( サーバレスポンス検査の無効化 - DSRI )。
- CPU/パケットバッファの使用率が高くなる可能性のあるトラフィックに対して、アプリオーバーライドを設定します。「アプリオーバーライドの作成方法」に従ってください。

シナリオD:

デバイスが上記のいずれの条件にも一致しない場合は、ソフトウェアの欠陥である可能性があります。サポートケースを開くときに必要なデータについては、以下を参照してください。

シナリオDで収集するデータ

次のコマンドを実行します

show running resource-monitor
debug dataplane pow performance
debug dataplane pool statistics
show counter global filter delta yes (multiple times)
show counter global

注記: For the next 2 commands, if the CLI output contains any sessions, print ?セッションIDを表示? for those sessions, so that the sessions that are occupying the resource can be identified.

show session packet-buffer-protection
セッションパケットバッファ保護バッファレイテンシを表示する
テクニカルサポートファイルを収集する
パケットバッファが高い期間をカバーするトラフィックログ

パケット バッファまたはパケット記述子の使用率が高い場合のトラブルシューティング方法