Diferencias entre paquetes de a paso lento, rápido camino y descargan
Resolution
Detalles
A paquete recibido por Palo Alto Networks firewall se procesará de manera diferente dependiendo del estado de la sesión coincidente. Este documento explica la diferencia entre paquetes procesados en camino lento, Fast Path y paquete Offloaded.
Este documento también se referirá a hardware los componentes comúnmente utilizados en la mayoría de los aparatos de Palo Alto Networks.
MAC Chip físico
Maneja la conexión de capa física SFP (, puertos Ethernet) y realiza el encuadre ethernet.
Motor de flujo
Realiza la búsqueda de flujo y puede reenviar a Dataplane en función de los resultados de búsqueda (no se encontró ningún flujo o flujo, pero la capa7 está habilitada).
Dataplane
Procesador multi-core que maneja L4-L7 procesamiento de seguridad.
Camino lento
Nota: Los cuadrados numerados en los diagramas para este documento representan los paquetes entrantes (un cuadrado por paquete) para la misma sesión.
Cuando llega el primer paquete, una sesión no está todavía creada.
Este paquete se considerarán a paso lento debido a un conjunto de operaciones únicos tiene que ser hecho en el Dataplane:
- Búsqueda de reenvío usando FIB para obtener la zona de salida
- NAT Policy búsqueda + segunda búsqueda de reenvío si DNAT se aplica
- Primera búsqueda de seguridad policy (para hacer coincidir las reglas con el puerto de servicio configurado con la aplicación 'any')
- Se descarta el paquete o nueva sesión es creada/instalado en Dataplane.
Ruta rápida
Los siguientes paquetes de la misma sesión se considerarán en el Fast Path.
Operaciones en el camino lento no es necesario ser alcanzada, salvo la búsqueda que estamos haciendo antes de reenviarlo a la interfaz de salida para cada paquete de expedición.
Búsqueda de reenvío a paso lento se realiza para obtener la zona de salida, necesario para la búsqueda de políticas.
Descarga
Una vez que la inspección de la aplicación ID y del contenido se completa completamente, la sesión y los paquetes subsiguientes se pueden descargar completamente en el motor de flujo. Los paquetes de ingresos nunca alcanzarán el dataplane más y el motor de flujo administrará completamente el reenvío de paquetes. Esta operación aliviará la carga en los corazones de los Dataplane.
Nota: Es importante entender que todos los paquetes siempre estarán fluyendo a través del motor de flujo, incluso si la sesión no se descarga. El algoritmo de decisión para la descarga de una sesión es más allá del alcance de este artículo.
Condiciones para una sesión por no ser descargado en hardware
Una sesión activa se puede descargar en el motor de flujo para aliviar la carga en las CPU.
Por defecto, todas las sesiones son elegibles para descarga, pero también hay algunas condiciones que impida esto.
A sesión en la que no se reconoce la aplicación APP-ID (no se ha completado) no se puede descargar.
A sesión en la que la inspección de contenido aún no ha finalizado no se puede descargar.
Esta condición incluye:
- Sesión que se está analizando en busca de amenaza con un perfil de seguridad aplicado
- Sesión que se ejecuta una aplicación que se puede cambiar en otro, que los túneles potencialmente otras aplicaciones
También hay un tipo de tráfico que será procesado solamente por CPU y nunca será descargado.
- ARP (y todos los demás que no sean IP de tráfico)
- IPSec
- Sesiones de descifrado
- VPN Sesiones
- non- TCP / UDP (con la excepción de algunos protocolos como passthrough GRE / , IPSEC etc.)
- Firewall sesión enlazada
- Sesiones de inter-vsys
- PBF sesión sin el próximo salto
- NAT64
Propietario: nbilly