Pourquoi mon Dataplane est-il CPU plus élevé avec le trafic en mode Appuyez sur ?
20784
Created On 09/26/18 13:53 PM - Last Modified 03/26/21 17:19 PM
Symptom
- Signalé élevé après DP CPU avoir permis des règles de sécurité pour le trafic de zone de robinet avec une action de refus
Environment
- N’importe quelle plate-forme (virtuelle et physique)
- ANY PAN-OS
- Règles de sécurité pour le trafic de zone de robinet avec une action de refus
Cause
- Dans un scénario de flux de paquets commun, avec le trafic de transit non-tap Firewall le voir et passer le trafic à travers le traitement du premier paquet pour créer une TCP SYN session. Le traitement des premiers paquets a tendance à CPU être intensif. Tous les paquets suivants pour cette session correspondront à la session et donc n'ont pas besoin de passer par le traitement de premier paquet à nouveau. Par conséquent, c’est moins de charge sur le CPU .
- En outre, pour le trafic de transit, si le policy est réglé pour nier, puis la session ne serait pas créé et le client final / serveur serait laisser tomber cette session et ne pas continuer à envoyer plus de données.
- Le mode appuyez sur est différent parce qu’il ne fera pas baisser le trafic et ne mettra pas fin TCP aux sessions. TCP le trafic de session continuera d’être vu en dépit de la règle de refus. Le résultat est que l’appareil Palo Alto effectuera le traitement du premier paquet sur le SYN paquet d’une session et refusera la session signifiant qu’aucune session ne serait créée. Chaque paquet TCP suivant pour cette session sera traité comme premier paquet à nouveau, mais sera supprimé en raison de l’option tcp-reject-non-syn.
Resolution
- Pour le mode appuyez sur, l’interface du robinet sera toujours laisser tomber le paquet de sorte qu’il est recommandé de configurer des règles pour permettre n’importe TAP quelle interface.