Unterschiede zwischen den Paketen in langsamen Weg, schnell Weg und abgeladen
Resolution
Details
A Von Palo Alto Networks empfangene Pakete firewall werden je nach Status der übereinstimmenden Sitzung unterschiedlich verarbeitet. Dieses Dokument erklärt den Unterschied zwischen Paket in langsamen Weg, schnell Weg und Paket Offloaded verarbeitet.
Dieses Dokument bezieht sich auch auf hardware Komponenten, die häufig in den meisten Palo Alto Networks-Appliances verwendet werden.
MAC Physischer Chip
Behandelt die physische Layer-Verbindung ( SFP , Ethernet-Ports) und führt Ethernet-Framing durch.
Flow Engine
Führt die Flow-Suche durch und leitet sie möglicherweise basierend auf Denkergebnissen an Dataplane weiter (kein Flow gefunden oder Flow gefunden, aber Layer7 aktiviert).
Dataplane
Multi-Core-Prozessor die L4-L7 Sicherheit Verarbeitung behandelt.
Langsamen Weg
Hinweis: Die nummerierten Quadrate in den Diagrammen für dieses Dokument stellen eingehende Pakete (ein Quadrat pro Paket) für dieselbe Sitzung dar.
Wenn das erste Paket eingeht, wird eine Sitzung nicht noch erstellt.
Dieses Paket wird in langsamen Weg betrachtet werden, weil eine Reihe von einzigartigen Operationen haben in der Dataplane erfolgen:
- Weiterleiten der Suche mit FIB Hilfe von Ausgangszonen
- NAT Policy Lookup + zweite Weiterleitungssuche, wenn DNAT angewendet wird
- Erste policy Sicherheitssuche (zur Übereinstimmung von Regeln mit Demson mit Einer "jeder" Anwendung)
- Paket verworfen oder neue Sitzung wird in Dataplane erstellt/installiert.
Schnellen Weg
Die folgenden Pakete von der gleichen Sitzung werden im Pfad schnell berücksichtigt.
Operationen in den langsamen Weg müssen nicht mehr erreicht werden, mit Ausnahme der Suche, die wir für jedes Paket vor Weiterleitung an Ausgang Schnittstelle weiterleiten.
Spedition-Lookup in langsamen Weg wird getan, um Ausgang Zone, benötigt für die Politik Suche erhalten.
Auslagern
Sobald die App- ID und Content-Inspektion vollständig abgeschlossen ist, können die Sitzung und die nachfolgenden Pakete vollständig in die Flow Engine ausgelagert werden. Ingress-Pakete erreichen die Datenebene nie mehr und die Flow Engine verwaltet die Paketweiterleitung vollständig. Dieser Vorgang wird die Last auf die Dataplane Kerne lindern.
Hinweis: Es ist wichtig zu verstehen, dass alle Pakete immer durch die Flow Engine fließen, auch wenn die Sitzung nicht ausgelagert wird. Die Entscheidung-Algorithmus für die Auslagerung einer Sitzungs ist Gegenstand dieses Artikels.
Bedingungen für eine Sitzung, die nicht in hardware
Eine aktive Sitzung kann im Flow Engine ausgeladen werden, um die Belastung von CPUs zu verringern.
Standardmäßig alle Sitzungen haben Anspruch auf Offload, aber gibt es auch einige Bedingungen, die dies verhindern.
A Sitzung, in der die Anwendung nicht erkannt APP-ID wird (wurde nicht abgeschlossen) nicht ausgelagert werden kann.
A Sitzung, in der die Inhaltsprüfung noch nicht abgeschlossen ist, kann nicht ausgelagert werden.
Diese Bedingung schließt ein:
- Sitzung, die mit einem angewendeten Sicherheitsprofil auf Bedrohung gescannt wird
- Ausführen einer Anwendung, die in ein anderes geändert werden können, die möglicherweise andere Anwendungen Tunnel Sitzung
Es gibt auch eine Art von Datenverkehr, der nur von verarbeitet wird CPU und nie ausgelagert wird.
- ARP (und alle anderen IP Nicht-Verkehrs-
- IPSec
- Entschlüsselte Sitzungen
- VPN Sitzungen
- non- TCP / UDP (mit Ausnahme einiger Protokolle wie Passthrough GRE / , IPSEC etc.)
- Firewall gebundene Sitzung
- Inter-Vsys Sitzungen
- PBF Sitzung ohne nächsten Hop
- NAT64
Besitzer: Nbilly