높은 패킷 버퍼 또는 패킷 설명자 사용 문제를 해결하는 방법

• 이 문서에서는 높은 패킷 버퍼 또는 패킷 설명자 관련 문제 해결에 대한 일반적인 지침을 제공합니다.
• 패킷 버퍼 사용량이 높으면 사용자 트래픽이 느려지고 지연될 수 있습니다. 다양한 요인으로 인해 패킷 버퍼 사용량이 높아질 수 있습니다. 아래의 가능한 시나리오를 참조하세요.

1. 예상치 못한 트래픽 폭주, DoS 공격.
2. PA-3200, PA-5200, PA-7000의 경우, 단일 세션 에 속하는 트래픽이 거부되는 비율이 높고, 단일 세션 에 속하는 조각화된 트래픽이 거부되는 비율이 높습니다.
3. High Dataplane CPU 와 연관됨. 데이터플레인 CPU 가 바쁘면 패킷 버퍼가 채워질 수 있습니다. 데이터플레인 CPU 줄이는 방법에 대한 팁은 여기를 참조하세요.
4. 패킷 버퍼가 해제되지 않는 소프트웨어 결함. 이 시나리오에서는 방화벽 통과하는 트래픽이 매우 낮더라도 패킷 버퍼 사용량이 높습니다.

• 팔로 알토 방화벽
• 지원되는 PAN-OS
• 패킷 버퍼 및 패킷 설명자

시나리오 A:

1. 위협 로그를 확인하세요.
2. 위협 로그는 PBP( 패킷 버퍼 보호 )가 활성화된 경우에만 기록됩니다.
3. PBP가 활성화되고 활성화되었는지 확인하십시오. (아래 마이그레이션 단계 참조)

시나리오 A 및 B에 대한 완화책

1. 위협 로그를 확인하여 높은 트래픽의 출처로 트래픽이 식별되었는지 확인하세요.
2. 위협 로그가 보이지 않으면 패킷 버퍼 보호(PBP)가 활성화되어 있고 구성된 매개변수가 패킷 버퍼 사용량을 낮추기에 충분한지 확인하십시오. ( PBP의 활성화 임계값은 기본적으로 80%로 설정됩니다. 방화벽 크기가 적절하다면 버퍼 사용률은 50%보다 훨씬 낮아야 합니다.)
   1. PBP가 활성화되었는지 확인하려면 CLI show 세션 packet-buffer-protection을 사용하세요.

> show session packet-buffer-protection
  Packet buffer protection is disabled.

> show session packet-buffer-protection
 ------------------------------------------------------------------------------------------
dp0
------------------------------------------------------------------------------------------
Packet buffer count based
Congestion: 1/86016 (0%)
System resource usage is low, packet buffer protection not activated.
------------------------------------------------------------------------------------------
dp1
------------------------------------------------------------------------------------------
Packet buffer count based
Congestion: 1/86016 (0%)
System resource usage is low, packet buffer protection not activated.

> show session packet-buffer-protection
-------------------------------------------------------------------------------------------
dp0
-------------------------------------------------------------------------------------------
Packet buffer count based
Congestion: 12431/17203 (72%)
Drop probability: 74%. Percentage drop threshold: 48.
-------------------------------------------------------------------------------------------
|                   |      |            | Drop  |     Packets      |
Session/IP Address |       Zone        | PCS  | Percentage | State | Total  | Dropped | Time till discard
-------------------------------------------------------------------------------------------

38492              | replay_vw_trust   | 4088 | 49         | Yes   | 381171 | 121232  | 59
38492              | replay_vw_untrust | 4024 | 49         | Yes   | 392557 | 125172  | 57
172.16.1.1         | vw-trust          | 31   | 0          | No    | 721    | 0       | 60
51718              | vw-trust          | 9    | 0          | No    | 1      | 0       | 60
172.16.1.2         | vw-untrust        | 4    | 0          | No    | 71     | 0       | 60
51704              | vw-untrust        | 3    | 0          | No    | 0      | 0       | 60
51712              | vw-trust          | 3    | 0          | No    | 0      | 0       | 60
51714              | vw-untrust        | 3    | 0          | No    | 0      | 0       | 60
-------------------------------------------------------------------------------------------

• 패킷 버퍼 사용량이 높지만 PBP가 활성화되지 않은 경우 PBP 임계값을 낮출지 여부를 결정합니다. 디폴트 으로 PBP는 버퍼 사용량이 80%에 도달하면 작동합니다. 활성 임계값을 낮춰서 남용 세션 있는 경우 더 일찍 삭제할 수 있습니다. PBP 구성 변경하려면 여기를 방문하세요: 패킷 버퍼 보호 구성

2. 패킷 플러딩으로부터 보호하기 위해 영역 보호 프로필이 제대로 되어 있는지 확인하세요.
   아래 CLI 특정 존(zone) 에 대해 구성된 존 보호(zone protection) 임계값을 인쇄합니다. 디바이스 에서 보이는 트래픽 패턴과 일치하도록 임계값을 조정합니다.

> show zone-protection zone <zone name>
------------------------------------------------------------------------------------------
Number of zones with protection profile: 1
------------------------------------------------------------------------------------------
Zone test, vsys vsys1, profile tap
------------------------------------------------------------------------------------------
tcp-syn              RED enabled: yes
DP alarm rate:       80000 cps, activate rate:   80000 cps, maximal rate:   80000 cps
current:            193413 packets
dropped:           262219664 packets
------------------------------------------------------------------------------------------
udp                  RED enabled: yes
DP alarm rate:       80000 cps, activate rate:   80000 cps, maximal rate:   80000 cps
current:                 0 packets
dropped:                 0 packets
------------------------------------------------------------------------------------------
icmp                 RED enabled: yes
DP alarm rate:       80000 cps, activate rate:   80000 cps, maximal rate:   80000 cps
current:                 0 packets
dropped:                 0 packets
------------------------------------------------------------------------------------------
other-ip             RED enabled: yes
DP alarm rate:       80000 cps, activate rate:   80000 cps, maximal rate:   80000 cps
current:                 0 packets
dropped:                 0 packets
------------------------------------------------------------------------------------------
icmpv6               RED enabled: yes
DP alarm rate:       80000 cps, activate rate:   80000 cps, maximal rate:   80000 cps
current:                 0 packets
dropped:                 0 packets

3. 위협 로그나 show 세션 packet-buffer-protection 의 CLI 출력을 통해 세션 식별된 경우 알려진 위반자에 대한 DoS 정책 만들고 ( 정책 거부로 인한 높은 온칩 설명자 및 패킷 버퍼 사용량으로 인한 트래픽 지연 및 손실)에 설명된 지침을 따르면 해당 트래픽에 대해 특정 조치를 취할 수 있습니다. 또는 방화벽 상류에서 트래픽을 중지할 수 있습니다.

시나리오 B:

• 실행 ? 실행 중인 리소스 모니터 표시 ?를 클릭하고 온칩 패킷 설명자에 대한 출력을 살펴보세요. 값이 지속적으로 90%보다 크면 디바이스 시나리오 B에 도달한 것입니다.

Resource utilization (%) during last 5 seconds:
session:
  0   0   0   0   0 
packet buffer:
 75  75  75  75  75 
packet descriptor:
  0   0   0   0   0 
packet descriptor (on-chip):
100 100 100 100 100

show running resource-monitor
debug dataplane pow performance
debug dataplane pool statistics
show counter global filter delta yes (multiple times)
show counter global