在缓慢的路径中，数据包之间的差异快速路径和卸载

细节

A 帕洛阿尔托网络收到的包 firewall 将根据匹配会话的状态以不同的方式处理。 本文档说明数据包处理慢路径、 快速路径和包 Offloaded 之间的差异。

本文档还将提及大多数 hardware Palo Alto 网络设备中常用的组件。

MAC 物理芯片

处理物理层连接 SFP （，以太网端口），并执行以太网框架。

流量引擎

执行流查找，并可能根据查找结果转发到 Dataplane（未找到流或找到流，但启用了第 7 层）。

Dataplane

多核心处理器的 L4 L7 安全处理。

缓慢的路径

注： 此文档的图表中的编号方块表示同一会话的传入数据包（每个数据包一个平方）。

当第一个数据包时，会话尚未创建。

此数据包将会考虑慢路径中，因为一组独特的操作必须在 Dataplane 中：

1. 用于 FIB 获取出口区的转发查找
2. NAT Policy 如果应用查找+第二次转发查找 DNAT
3. 首次安全 policy 查找（将规则与配置为"任何"应用程序的服务端口匹配）
4. 数据包将被丢弃或新的会话是创建安装在 Dataplane。

快速路径

同一届会议的以下数据包将考虑快速路径中。

在缓慢的路径操作不需要做到了，除了转发我们在做为每个数据包之前，将其转发到外出接口的查找。

在慢路径转发查找是为了得到疏散区域，政策查找所需。

卸载

一旦应用程序 ID 和内容检查完全完成，会话和后续数据包可以完全卸载到流引擎中。 入口数据包将永远不会再到达数据平面，流引擎将完全管理数据包转发。 此操作将会减轻 Dataplane 内核上的负载。

注： 重要的是要了解，所有数据包将始终流经流引擎，即使会话未卸载。 争抢会议决策算法是超出本文的范围。

未卸载的会话条件 hardware

可以在流引擎中卸载活动会话，以减轻 CPU 上的负载。

默认情况下，所有会话都都有资格为卸载，但也都有一些将防止这种情况的条件。

A 未确认申请（ APP-ID 尚未完成）的会话不能卸载。

A 内容检查尚未完成的会话不能卸载。

这种情况包括：

• 应用安全配置文件时正在扫描的威胁的会话
• 运行应用程序，可以变为另一种，其中潜在隧道其他应用程序的会话

还有一种类型的流量，将只处理 CPU ，永远不会卸载。

• ARP （和所有其他非 IP 交通）
• Ipsec
• 解密的会话
• VPN 会话
• 非 TCP UDP /（某些协议除外，如通过 GRE / IPSEC 等）
• Firewall 绑定会话
• 除 vsys 会话
• PBF 会话没有下一个跳
• NAT64

所有者： nbilly