Latence du trafic - Descripteurs de paquets (sur puce)

Latence du trafic - Descripteurs de paquets (sur puce)

27727
Created On 04/20/22 18:04 PM - Last Modified 09/03/24 20:22 PM


Symptom


  • Alerte concernant les descripteurs de paquets (sur puce) à des niveaux élevés
  • Recommandation visant à identifier et à atténuer les sessions de trafic incriminées qui utilisent une grande quantité de descripteurs de paquets (sur puce)

Environment


  • PAN-OS

Cause


  • Pourcentage élevé de descripteurs de paquets (sur puce) dans >show running resource-monitor,
  • Pourcentage élevé d’utilisation dans les backlogs d’entrée et de surveillance des ressources en cours d’exécutionATOMIC >show,

Resolution


Pour répondre à cette alerte :

Vérifiez si les descripteurs de paquets (sur puce) sont supérieurs aux valeurs normales à l’aide de la commande ci-dessous CLI
>show running resource-monitor

Vous verrez la sortie ci-dessous, par exemple
Resource utilization (%) during last 60 minutes:
packet descriptor (on-chip) (average):
  2   2   2   2   2   2   2   2   2   2   2   2   2   2   2
  2   2   2   2   2   2   2   2   2   2   2   2   2   2   2
  2   2   2   2   2   2   2   2   2   2   2   2   2   2   2
  2   2   2   2   2   2   2   2   2   2   2   2   2   2   2
Si ces valeurs sont supérieures à la normale (Ex: généralement 1-50% pendant la journée, mais montrant 80% + actuellement), un certain flux de trafic peut utiliser anormalement une grande quantité de descripteurs de paquets (sur puce), ce qui pourrait contribuer à des ralentissements de latence / traitement du trafic dans le , et que le firewallflux de trafic devrait être atténué dès que possible. Vous pouvez identifier ce flux de trafic et l’atténuer en effectuant les étapes ci-dessous

Exécutez la commande ci-dessous CLI à plusieurs reprises pendant la période où les descripteurs de paquets (sur puce) sont élevés :
>show running resource-monitor ingress-backlogs
Si vous trouvez une session avec une valeur '' anormalement élevée - ce trafic peut être une session 'incriminée' qui provoque l'augmentation

des descripteurs de paquets de (sur puce) Exemple :Référence de commande :
Identification d’une session à l’aide de 80%+ dans >show running resource-monitor ingress-backlogs output
identifier les sessions qui utilisent trop le descripteur de paquets sur puce

Une fois que lfirewall'adresse source IP et l'PCTadresse de destination du flux de trafic incriminé ont été identifiées à partir de IP >Afficher la sortie des backlogs d’entrée-backlog du moniteur de ressources en cours d’exécution, procédez ci-dessous avec les étapes ci-dessous pour atténuer la session

incriminée 1. Une fois que la source et la destination du flux de trafic contribuant au problème ont été identifiées, arrêtez/arrêtez ce flux de trafic sur le périphérique en amont / aval à partir duquel il provient (c’est-à-dire arrêtez le trafic à sa source IP ou avant qu’il n’arrive à la firewall)

Exemple:
Si un périphérique inonde les paquets syslog sur UDP le port 514 vers une destination IP IPparticulière, vous pouvez supprimer cette destination IP de serveur syslog de ce périphérique pour arrêter l’inondation - voir si les descripteurs de paquets (sur puce) sont toujours élevés après l’arrêt de ce trafic - cela vous aidera à identifier si ce trafic est la cause des descripteurs de paquets élevés (sur puce)

2.         Examinez le flux de trafic incriminé et déterminez s’il doit être autorisé ou refusé dans votre réseau (c’est-à-dire s’il s’agit de trafic connu/légitime sur votre réseau, ou s’il s’agit d’un trafic inconnu/malveillant/bruyant sur votre réseau), et en fonction de cette décision
    
S’il est censé être Autorisé, assurez-vous qu’il est autorisé par une règle d’autorisation correspondante dans votre sécurité Policy
S’il est censé être refusé, assurez-vous qu’il est refusé par une règle de refus correspondante dans votre Security Policy

3. Activer les fonctionnalités DoS et de protection de zone pour protéger contre le comportement

d’inondation Exemple :Comment configurer la
protection DoS Comment configurer
la protection de zone Comment
identifier et atténuer les flux de trafic provoquant une augmentation élevée des descripteurs de paquets sur puce

4.     Si vous rencontrez des difficultés pour intercepter la session incriminée dans la sortie de la commande ingress-backlogs ci-dessus, vous pouvez activer l’option ci-dessousCLI:
>définir la session inflight_monitoring oui

Cette CLI commande déclenchera la pour capturer automatiquement >firewallafficher la sortie des backlogs d’entrée du moniteur de ressources en cours d’exécution chaque fois que les descripteurs de paquets (sur puce) sont supérieurs à 80% (configurable) et l’écrire dans un fichier journal situé ici:CLI
>less mp-log pan_ingress_backlogs.log


Conseil : Pour modifier le seuil ou la durée à partir duquel le capturera automatiquement la sortie 'ingress-backlogs', vous pouvez utiliser les commandes ci-dessous :>
set session ingress_backlogs_threshold <2-100
> (Par défaut : 80%)>
set session ingress_backlogs_duration <0-10>
(Par défaut : 3sec)

WARNING : N'oubliez pas de désactiver cette option en utilisant le firewall bouton ci-dessous CLI dès que vous avez capturé les détails de la session incriminée dont vous avez besoin:
>définir la session inflight_monitoring no
             

Additional Information


Reportez-vous à notre documentation officielle sur la protection DoS et la protection de zone
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oNeOCAU&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language