¿Por qué mi plan de datos es CPU más alto con el tráfico del modo de toque?
20774
Created On 09/26/18 13:53 PM - Last Modified 03/26/21 17:19 PM
Symptom
- Reportado alto DP CPU después de habilitar las reglas de seguridad para el tráfico de la zona del grifo con una acción de denegación
Environment
- Cualquier plataforma (virtual y física)
- UnaNY PAN-OS
- Reglas de seguridad para el tráfico de zona de Tap con una acción de denegación
Cause
- En un escenario de flujo de paquetes común, con el tráfico de tránsito sin toques el Firewall vería y pasaría el tráfico a través del procesamiento del primer paquete para crear una TCP SYN sesión. El procesamiento de primer paquete tiende a ser CPU intensivo. Todos los paquetes posteriores para esa sesión coincidirán con la sesión y, por lo tanto, no es necesario pasar por el procesamiento de primer paquete de nuevo. Por lo tanto, esto es menos carga en el CPU archivo .
- Además, para el tráfico de tránsito, si el policy se establece para denegar, entonces la sesión no se crearía y el cliente/servidor final caería esa sesión y no seguiría enviando más datos.
- El modo de toque es diferente porque no dejará caer el tráfico y terminará las TCP sesiones. TCP el tráfico de sesión se seguirá viendo a pesar de la regla de denegación. El resultado es que el dispositivo Palo Alto realizará el procesamiento del primer paquete en el SYN paquete de una sesión y denegará la sesión, lo que significa que no se crearía ninguna sesión. Cada TCP paquete subsiguiente para esa sesión será procesado como primer paquete otra vez, pero será caído debido a la opción tcp-reject-non-syn.
Resolution
- Para el modo de toque, la interfaz del grifo siempre caerá el paquete por lo que se recomienda configurar las reglas para permitir cualquier TAP interfaz.