Warum ist meine Dataplane CPU mit Tap-Modus-Datenverkehr höher?
20776
Created On 09/26/18 13:53 PM - Last Modified 03/26/21 17:19 PM
Symptom
- Hoch DP CPU gemeldet, nachdem Sicherheitsregeln für Tap-Zonendatenverkehr mit einer Verweigerungsaktion aktiviert wurden
Environment
- Jede Plattform (virtuell und physisch)
- Any PAN-OS
- Sicherheitsregeln für Tap-Zonenverkehr mit einer Verweigerungsaktion
Cause
- In einem allgemeinen Paketflussszenario würde der Nicht-Tap-Transitverkehr den Datenverkehr durch die Verarbeitung von Firewall ersten Paketen sehen TCP SYN und übergeben, um eine Sitzung zu erstellen. Die Verarbeitung von First-Packet-Dateien ist tendenziell CPU intensiv. Alle nachfolgenden Pakete für diese Sitzung werden der Sitzung entsprechen und müssen daher nicht erneut durch die Bearbeitung von erst Paketen gehen. Daher ist dies weniger Last auf der CPU .
- Auch für Transitdatenverkehr, wenn der so eingestellt ist, dass er policy verweigert wird, wird die Sitzung nicht erstellt, und der Endclient/Server würde diese Sitzung löschen und keine Daten mehr senden.
- Der Tippmodus unterscheidet sich, da der Datenverkehr nicht gelöscht und die Sitzungen beendet TCP werden. TCP Sitzungsverkehr wird trotz der Verweigerungsregel weiterhin sichtbar. Das Ergebnis ist, dass das Palo Alto-Gerät die Verarbeitung des ersten Pakets für das Paket einer Sitzung durchführt SYN und die Sitzung verweigert, was bedeutet, dass keine Sitzung erstellt wird. Jedes nachfolgende TCP Paket für diese Sitzung wird erneut als erstes Paket verarbeitet, aber aufgrund der Option tcp-reject-non-syn gelöscht.
Resolution
- Für den Tap-Modus wird die Tap-Schnittstelle immer das Paket löschen, so dass es empfohlen wird, Regeln zu konfigurieren, um jede Schnittstelle zu TAP ermöglichen.