Latencia de tráfico: descriptores de paquetes (en chip)

Latencia de tráfico: descriptores de paquetes (en chip)

27721
Created On 04/20/22 18:04 PM - Last Modified 09/03/24 20:22 PM


Symptom


  • Alerta sobre los descriptores de paquetes (en chip) que están en niveles altos
  • Recomendación para identificar y mitigar las sesiones de tráfico ofensivas que utilizan una gran cantidad de descriptores de paquetes (en chip)

Environment


  • PAN-OS

Cause


  • Alto porcentaje de descriptores de paquetes (on-chip) en >show ejecutando resource-monitor,
  • Alto porcentaje de uso en >mostrar la ejecución de informes de seguimiento deATOMIC recursos,

Resolution


Para solucionar esta alerta:

Compruebe si los descriptores de paquetes (en chip) están por encima de los valores normales mediante el CLI siguiente comando
>show running resource-monitor

Verá la salida a continuación, por ejemplo.
Resource utilization (%) during last 60 minutes:
packet descriptor (on-chip) (average):
  2   2   2   2   2   2   2   2   2   2   2   2   2   2   2
  2   2   2   2   2   2   2   2   2   2   2   2   2   2   2
  2   2   2   2   2   2   2   2   2   2   2   2   2   2   2
  2   2   2   2   2   2   2   2   2   2   2   2   2   2   2
Si estos valores son más altos de lo normal (por ejemplo: generalmente 1-50% durante el día, pero mostrando 80% + actualmente), un cierto flujo de tráfico podría estar utilizando anormalmente una gran cantidad de descriptores de paquetes (en chip), lo que podría contribuir a la latencia / ralentización del procesamiento de tráfico en el firewall, y ese flujo de tráfico debe mitigarse lo antes posible. Puede identificar ese flujo de tráfico y mitigarlo realizando los pasos siguientes

Ejecute el siguiente CLI comando repetidamente durante el tiempo en que los descriptores de paquetes (en chip) son altos:
>show running resource-monitor ingress-backlogs
Si encuentra alguna sesión con un valor '' anormalmente alto, este tráfico podría ser una sesión 'ofensiva'PCT que está causando que los firewalldescriptores de paquetes de (en chip) se vuelvan altos

Ejemplo:Referencia de comandos:
Identificación de una sesión utilizando 80%+ en >show salida de entradas-backlogs de monitor de recursos en ejecución
identificar sesiones que utilizan demasiado del descriptor de paquetes en chip

Después de que se hayan identificado la dirección de origen IP y la dirección de destino IP del flujo de tráfico infractor desde >Mostrar la salida de los backlogs de entrada del monitor de recursos en ejecución, continúe a continuación con los pasos a continuación para mitigar la sesión

ofensiva 1. Una vez que se haya identificado el origen y el destino del flujo de tráfico que contribuye al problema, apague / detenga ese flujo de tráfico en el dispositivo ascendente / descendente del que se obtiene (es decir, detenga el tráfico en su origen IP o antes de que llegue al firewall)

Ejemplo:
Si hay un dispositivo que inunda paquetes syslog a través del puerto 514 a UDP un destino IP IPen particular, puede eliminar ese destino IP del servidor syslog de ese dispositivo para detener la inundación (vea si los descriptores de paquetes (en chip) siguen siendo altos después de cerrar ese tráfico, esto le ayudará a identificar si ese tráfico es la causa de los descriptores de paquetes altos (en chip)

2.         Revise el flujo de tráfico ofensivo y determine si debe ser Permitido o Denegado en su red (es decir, determine si es tráfico conocido / legítimo en su red, o si es tráfico desconocido / malicioso / ruido en su red), y en función de esa decisión
    
. Si se supone que está permitido, asegúrese de que esté permitido por una regla de permiso correspondiente en su seguridad Policy
Si se supone que debe ser denegado, asegúrese de que se está negando por una regla de denegación correspondiente en su seguridad Policy

3. Habilitar las características DoS y Protección de zona para protegerse del comportamiento

de inundación Ejemplo:Cómo configurar la protección
DoS Cómo configurar la protección
de zona Cómo
identificar y mitigar los flujos de tráfico que hacen que los descriptores de paquetes en el chip aumenten

4.     Si tiene problemas para detectar la sesión ofensiva en la salida del comando ingress-backlogs anterior, puede habilitar la siguiente CLI opción:>
set session inflight_monitoring yes

Este CLI comando activará la firewall captura automática >show de entrada de backlogs CLI de monitoreo de recursos en ejecución siempre que los descriptores de paquetes (en chip) estén por encima del 80% (configurable) y lo escribirá en un archivo de registro ubicado aquí:
> pan_ingress_backlogs.log mp-log sin


Consejo: Para cambiar el umbral o la duración en la que se firewall capturará automáticamente la salida 'ingress-backlogs', puede usar los siguientes comandos:>set session
ingress_backlogs_threshold <2-100
> (Predeterminado: 80%)>
set session ingress_backlogs_duration <0-10>
(Default: 3sec)

WARNING: Recuerde desactivar esta opción utilizando el siguiente CLI tan pronto como haya capturado los detalles de la sesión ofensiva que necesita:
>Establecer sesión inflight_monitoring no
             

Additional Information


Consulte nuestra documentación oficial sobre la protección DoS y la protección de zonas
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oNeOCAU&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language