Différences entre les paquets dans la voie lente, rapide chemin et déchargé
Resolution
Détails
A le paquet reçu par Palo Alto Networks firewall sera traité différemment selon l’état de la session correspondante. Ce document explique la différence entre paquet traitée dans la voie lente, Fast Path et paquet Offloaded.
Ce document se référera également hardware aux composants couramment utilisés dans la plupart des appareils Palo Alto Networks.
MAC Puce physique
Gère la connexion de la couche physique SFP (, ports Ethernet) et effectue le cadrage ethernet.
Moteur d’écoulement
Effectue la recherche de flux et peut se transmettre à Dataplane en fonction des résultats de recherche (aucun flux trouvé ou flux trouvé, mais layer7 activé).
Dataplane
Processeur multi-core qui gère le traitement de sécurité L4-L7.
Voie lente
Note: Les carrés numérotés dans les diagrammes de ce document représentent les paquets entrants (un carré par paquet) pour la même session.
Lorsqu’arrive le premier paquet, une session n’est pas encore créée.
Ce paquet sera considéré dans la voie lente parce qu’un ensemble d’opérations uniques doivent se faire dans le Dataplane :
- Rechercher en avant à l’aide FIB d’une zone d’évacuation
- NAT Policy recherche + deuxième recherche de forwarding si DNAT elle est appliquée
- Première recherchez policy de sécurité (pour faire correspondre les règles avec le port de service configuré avec « n’importe quelle » application)
- Paquet est ignoré ou nouvelle session est créée/installé dans Dataplane.
Chemin d’accès rapide
Les paquets suivants de la même session seront considérées dans le chemin d’accès rapide.
Opérations dans la voie lente sont inutile à atteindre plus, à l’exception d’expédition de liste de choix que nous faisons pour chaque paquet avant de l’envoyer à l’interface de sortie.
Recherche de transfert dans la voie lente est effectuée pour obtenir la zone d’évacuation, nécessaire pour la recherche de politiques.
Le déchargement
Une fois ID l’inspection des applications et du contenu terminée, la session et les paquets suivants peuvent être complètement déchargés dans le moteur flow. Les paquets d’entrée n’atteindront plus jamais l’avion de données et le moteur flow gérera entièrement l’adage des paquets. Cette opération permettra d’atténuer la charge sur des carottes de la Dataplane.
Note: Il est important de comprendre que tous les paquets circuleront toujours à travers le moteur flow, même si la session n’est pas déchargée. L’algorithme de décision permettant de décharger une session dépasse le champ d’application de cet article.
Conditions d’une session pour ne pas être déchargé hardware
Une session active peut être déchargée dans le moteur d’écoulement pour alléger la charge sur les processeurs.
Par défaut, toutes les sessions sont éligibles pour le déchargement, mais il y a aussi certaines conditions qui permettra d’éviter cela.
A lorsque la demande n’est pas reconnue APP-ID (n’a pas été terminée) ne peut pas être déchargée.
A lorsque l’inspection du contenu n’est pas encore terminée ne peut pas être déchargée.
Cette condition comprend deux parties :
- Session qui est scannée pour la menace avec un profil de sécurité appliqué
- Session, exécutez une application qui peut être changée en un autre, qui potentiellement les tunnels autres applications
Il existe également un type de trafic qui ne sera traité que CPU par et ne sera jamais déchargé.
- ARP (et tous les autres IP non-trafic)
- IPSec
- Séances de décrypté
- VPN sessions de
- non- TCP / UDP (à l’exception de certains protocoles tels que passthrough GRE / , IPSEC etc))
- Firewall session liée
- Sessions inter-vsys
- PBF session sans prochain saut
- NAT64
propriétaire : nbilly