トラフィック遅延 - パケット記述子 (オンチップ)
27733
Created On 04/20/22 18:04 PM - Last Modified 09/03/24 20:22 PM
Symptom
- パケット記述子 (オンチップ) が高レベルであることに関するアラート
- 大量のパケット記述子 (オンチップ) を使用している問題のトラフィック セッションを特定して軽減するための推奨事項
Environment
- PAN-OS
Cause
- パケット記述子 (オンチップ) の割合が高い>実行中のリソースモニターを表示、
- 高い割合でATOMICでの使用法> 実行中のリソース モニターの入力バックログを表示、
Resolution
このアラートに対処するには:
以下を使用して、パケット記述子 (オンチップ) が通常の値を超えているかどうかを確認します。CLI指図
>show running resource-monitor
たとえば、以下の出力が表示されます。
Resource utilization (%) during last 60 minutes: packet descriptor (on-chip) (average): 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2これらの値が通常より高い場合 (例: 日中は通常 1 ~ 50% ですが、現在 80% 以上を示している)、特定のトラフィック フローが異常に大量のパケット記述子 (オンチップ) を使用している可能性があり、これが原因となる可能性があります。レイテンシー/トラフィック処理の速度低下に影響されます。firewall 、そのトラフィックの流れをできるだけ早く緩和する必要があります。 以下の手順を実行することで、そのトラフィック フローを特定し、軽減できます。
以下を実行しますCLIパケット記述子 (オンチップ) が High の間、コマンドを繰り返し実行します。
>show running resource-monitor ingress-backlogs異常に高いセッションが見つかった場合は、PCT ' 値 - このトラフィックは、問題を引き起こす「問題のある」セッションである可能性があります。firewallのパケット記述子 (オンチップ) が高くなる
例:
コマンドリファレンス:オンチップパケット記述子を過剰に使用するセッションを特定する
問題のあるトラフィック フローの後にソースIP住所と行き先IP住所から特定されました> 実行中のリソース モニターの入力バックログを表示出力が表示されたら、問題のあるセッションを軽減するために以下の手順に進んでください。
1. ソースが完成したらIPと目的地IP問題の原因となっているトラフィック フローが特定されたら、そのトラフィック フローの送信元である上流/下流デバイス上でそのトラフィック フローをシャットダウン/停止します(つまり、トラフィックの送信元で、またはトラフィックがトラフィックに到達する前に停止します)。firewall )
例:
syslog パケットをフラッディングするデバイスがある場合UDPポート 514 を特定の宛先に送信IP、その syslog サーバー宛先を削除できますIPフラッドを停止するためにそのデバイスから送信します - そのトラフィックをシャットダウンした後もパケット記述子 (オンチップ) がまだ高いかどうかを確認します - これは、そのトラフィックがパケット記述子 (オンチップ) 高の原因であるかどうかを特定するのに役立ちます
2. 問題のトラフィック フローを確認し、ネットワーク内でそれを許可するか拒否するかを決定します (つまり、ネットワーク内で既知/正当なトラフィックであるかどうか、またはネットワーク内で未知/悪意のある/ノイズ トラフィックであるかどうかを決定します)。その決断
許可されているはずの場合は、セキュリティ内の対応する許可ルールによって許可されていることを確認してください。Policy
拒否されるべき場合は、セキュリティ内の対応する拒否ルールによって拒否されていることを確認してください。Policy
3. DoS およびゾーン保護機能を有効にしてフラッド動作から保護します。
例:
DoS 保護を構成する方法
ゾーン保護を構成する方法
オンチップのパケット記述子が高くなる原因となるトラフィック フローを特定して軽減する方法
4. イングレスバックログで問題のあるセッションを捕捉するのに問題がある場合CLI上記のコマンド出力に加えて、以下を有効にすることができますCLIオプション:
>セッションのinflight_monitoringをyesに設定します
これCLIコマンドがトリガーしますfirewall自動的にキャプチャする> 実行中のリソース モニターの入力バックログを表示パケット記述子 (オンチップ) が 80% (構成可能) を超えるたびに出力され、次の場所にあるログ ファイルに書き込まれます。
>less mp-log pan_ingress_backlogs.log
ヒント: しきい値または持続時間を変更するには、firewall 「ingress-backlogs」出力を自動的にキャプチャするには、以下のコマンドを使用できます。
>セッション入力バックログしきい値を設定 <2-100>
(デフォルト: 80%)
>セッションの入力バックログ期間を設定 <0-10>
(デフォルト: 3秒)
WARNING : 以下を使用してこのオプションを忘れずに無効にしてくださいCLI問題のあるセッションの必要な詳細を取得したら、すぐに次のコマンドを実行します。
>セッションの飛行中_監視をいいえに設定します
Additional Information
詳細については公式ドキュメントを参照してください。 DoS 保護とゾーン保護