流量延迟 - 数据包描述符(片上)
27727
Created On 04/20/22 18:04 PM - Last Modified 09/03/24 20:22 PM
Symptom
- 关于数据包描述符(片上)处于高水平的警报
- 识别和缓解使用大量数据包描述符(片上)的违规流量会话的建议
Environment
- PAN-OS
Cause
- 高百分比的数据包描述符(片上) >显示正在运行的资源监视器,
- 高百分比ATOMIC用法>显示正在运行的资源监视器入口积压,
Resolution
要解决此警报:
使用以下命令检查数据包描述符(片上)是否高于正常值CLI命令
>show running resource-monitor
例如,您将看到下面的输出
Resource utilization (%) during last 60 minutes: packet descriptor (on-chip) (average): 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2如果这些值高于正常值(例如:白天通常为 1-50%,但当前显示为 80%+),则某个流量可能会异常使用大量数据包描述符(片上),这可能有助于延迟/流量处理速度减慢firewall,并且应尽快缓解交通流量。 您可以通过执行以下步骤来识别该流量并减轻它
运行以下CLI在数据包描述符(片上)为高电平期间重复命令:
>show running resource-monitor ingress-backlogs如果您发现任何会话的异常高 'PCT ' 值 - 此流量可能是导致firewall的数据包描述符(片上)变高
例子:
命令参考:识别使用过多片上数据包描述符的会话
在违规交通流之后来源IP地址和目的地IP地址已从>显示正在运行的资源监视器入口积压输出,继续执行以下步骤以减轻有问题的会话
1. 一旦来源IP和目的地IP导致该问题的流量已确定,关闭/停止其来源的上游/下游设备上的流量(即在其源头或到达之前停止流量firewall)
例子:
如果有设备泛洪 syslog 数据包UDP端口 514 到特定目的地IP,您可以删除该系统日志服务器目标IP从该设备阻止洪水 - 查看关闭该流量后数据包描述符(片上)是否仍然很高 - 这将帮助您确定该流量是否是高数据包描述符(片上)的原因
2. 查看有问题的流量,并确定它是否应该在您的网络中被允许或拒绝(即确定它是否是您网络中的已知/合法流量,或者它是否是您网络中的未知/恶意/噪声流量),并基于那个决定
如果它应该被允许,请确保它被您的安全中相应的允许规则允许Policy
如果它应该被拒绝,请确保它被您的安全中的相应拒绝规则拒绝Policy
3. 启用 DoS 和区域保护功能以防止洪水行为
例子:
如何配置 DoS 保护
如何配置区域保护
如何识别和缓解导致片上数据包描述符变高的流量
4. 如果您无法在入口积压中捕获有问题的会话CLI上面的命令输出,你可以启用下面的CLI选项:
> 设置会话 inflight_monitoring 是
这CLI命令将触发firewall自动捕捉>显示正在运行的资源监视器入口积压每当数据包描述符(片上)超过 80%(可配置)时输出,并将其写入位于此处的日志文件:
>less mp 日志 pan_ingress_backlogs.log
提示:更改阈值或持续时间firewall将自动捕获 'ingress-backlogs' 输出,您可以使用以下命令:
> 设置会话 ingress_backlogs_threshold <2-100>
(默认值:80%)
>设置会话ingress_backlogs_duration <0-10>
(默认值:3 秒)
WARNING :请记住使用以下禁用此选项CLI一旦您捕获了您需要的有问题的会话详细信息,请立即执行命令:
>设置会话 inflight_monitoring 没有
Additional Information
参考我们的官方文档DoS 保护和区域保护