Latenz des Datenverkehrs – Paketdeskriptoren (auf dem Chip)

Latenz des Datenverkehrs – Paketdeskriptoren (auf dem Chip)

27725
Created On 04/20/22 18:04 PM - Last Modified 09/03/24 20:22 PM


Symptom


  • Warnung bei Paketdeskriptoren (On-Chip) auf hohem Niveau
  • Empfehlung zur Identifizierung und Entschärfung der fehlerhaften Datenverkehrssitzungen, die eine große Anzahl von Paketdeskriptoren (auf dem Chip) verwenden

Environment


  • PAN-OS

Cause


  • Hoher Prozentsatz von Paketdeskriptoren (auf dem Chip) in >show running resource-monitor,
  • Hoher Prozentsatz der ATOMIC Nutzung in >show running resource-monitor ingress-backlogs,

Resolution


So beheben Sie diese Warnung:

Überprüfen Sie mit dem folgenden CLI Befehl, ob die Paketdeskriptoren (auf dem Chip) über den normalen Werten liegen
>show running resource-monitor

Sie sehen zum Beispiel die folgende Ausgabe
Resource utilization (%) during last 60 minutes:
packet descriptor (on-chip) (average):
  2   2   2   2   2   2   2   2   2   2   2   2   2   2   2
  2   2   2   2   2   2   2   2   2   2   2   2   2   2   2
  2   2   2   2   2   2   2   2   2   2   2   2   2   2   2
  2   2   2   2   2   2   2   2   2   2   2   2   2   2   2
Wenn diese Werte höher als normal sind (z. B. normalerweise 1-50 % während des Tages, aber derzeit 80 % + anzeigen), verwendet ein bestimmter Datenverkehrsfluss möglicherweise ungewöhnlich eine hohe Anzahl von Paketdeskriptoren (auf dem Chip), was zu einer Verlangsamung der Latenz / Verlangsamung der Datenverkehrsverarbeitung in der firewallbeitragen könnte, und dieser Datenverkehrsfluss sollte so schnell wie möglich gemildert werden. Sie können diesen Datenverkehrsfluss identifizieren und entschärfen, indem Sie die folgenden Schritte ausführen:

Führen Sie den folgenden CLI Befehl wiederholt aus, während der Zeit, in der die Paketdeskriptoren (auf dem Chip) hoch sind:
>show running resource-monitor ingress-backlogs
Wenn Sie eine Sitzung mit einem ungewöhnlich hohen Wert "" finden, könnte es sich bei diesem Datenverkehr um eine "fehlerhafte"PCT Sitzung handeln, die dazu führt, dass die firewallPaketdeskriptoren (auf dem Chip) hoch

werden Beispiel:Befehlsreferenz:
Identifizieren einer Sitzung mit 80%+ in >show running resource-monitor ingress-backlogs output
Identifizieren von Sitzungen, die zu viel des On-Chip-Paketdeskriptors verwenden,

nachdem die Quelladresse IP und die Zieladresse IP des betreffenden Datenverkehrsflusses identifiziert wurden > die Ausgabe der eingehenden Backlogs des laufenden Ressourcenmonitors anzeigen, fahren Sie mit den folgenden Schritten fort, um die fehlerhafte Sitzung

1 zu entschärfen. Sobald die Quelle und das Ziel des Datenverkehrsflusses, der zu dem Problem beiträgt, identifiziert wurden, schalten Sie diesen Datenverkehrsfluss auf dem Upstream-/Downstream-Gerät, von dem er stammt, herunter/stoppen Sie ihn (d. h. stoppen Sie den Datenverkehr an seiner Quelle IP oder bevor er zum firewall

)Beispiel:
Wenn es ein Gerät gibt, das Syslog-Pakete über UDP Port 514 zu einem bestimmten Ziel IP IPüberflutet, Sie können das Ziel IP des Syslog-Servers von diesem Gerät entfernen, um die Flut zu stoppen - prüfen Sie, ob die Paketdeskriptoren (auf dem Chip) nach dem Herunterfahren des Datenverkehrs immer noch hoch sind - dies wird Ihnen helfen, festzustellen, ob dieser Datenverkehr die Ursache für die hohen Paketdeskriptoren (auf dem Chip)

ist2.         Überprüfen Sie den fehlerhaften Datenverkehrsfluss und bestimmen Sie, ob er in Ihrem Netzwerk zugelassen oder verweigert werden sollte (d. h. bestimmen Sie, ob es sich um bekannten/legitimen Datenverkehr in Ihrem Netzwerk handelt oder ob es sich um unbekannten/bösartigen/Rauschdatenverkehr in Ihrem Netzwerk handelt), und basierend auf dieser Entscheidung
    
Wenn es zugelassen werden soll, stellen Sie sicher, dass es durch eine entsprechende Zulassungsregel in Ihrer Sicherheit Policy
zugelassen wird, wenn es verweigert werden soll. Stellen Sie sicher, dass es durch eine entsprechende Verweigerungsregel in Ihrer Sicherheit Policy

3 verweigert wird. Aktivieren Sie DoS- und Zonenschutzfunktionen, um sich vor dem Überschwemmungsverhalten

zu schützen Beispiel:So konfigurieren Sie
den DoS-Schutz So konfigurieren
Sie den Zonenschutz So
identifizieren und entschärfen Sie Datenverkehrsströme, die dazu führen, dass die Paketdeskriptoren auf dem Chip hoch werden

4.     Wenn Sie Probleme haben, die fehlerhafte Sitzung in der obigen Ausgabe des Befehls ingress-backlogs CLI abzufangen, können Sie die folgende CLI Option aktivieren:>
set session inflight_monitoring yes

Dieser CLI Befehl löst die automatische Erfassung >show running resource-monitor ingress-backlogs output aus, wenn die firewall Paketdeskriptoren (auf dem Chip) über 80 % (konfigurierbar) liegen, und schreibt sie in eine Protokolldatei, die sich hier befindet:
>less mp-log pan_ingress_backlogs.log


Tipp: Um den Schwellenwert oder die Dauer zu ändern, bei der die firewall Ausgabe von "ingress-backlogs" automatisch erfasst wird, können Sie die folgenden Befehle verwenden:>set session
ingress_backlogs_threshold <2-100
> (Standard: 80%)>
set session ingress_backlogs_duration <0-10>
(Standard: 3 Sekunden):

WARNING Denken Sie daran, diese Option mit den folgenden CLI Befehlen zu deaktivieren Sobald Sie die fehlerhaften Session-Details erfasst haben, benötigen Sie:
>set session inflight_monitoring no
             

Additional Information


Weitere Informationen finden Sie in unserer offiziellen Dokumentation zu DoS-Schutz und Zonenschutz
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oNeOCAU&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language