CPUタップモードトラフィックでデータプレーンが高い理由は何ですか?
20778
Created On 09/26/18 13:53 PM - Last Modified 03/26/21 17:19 PM
Symptom
- DP CPU拒否アクションで Tap ゾーン トラフィックのセキュリティ ルールを有効にした後に高く報告
Environment
- 任意のプラットフォーム(仮想および物理)
- Ny PAN-OS
- 拒否アクションを使用したタップ ゾーン トラフィックのセキュリティルール
Cause
- 一般的なパケット フロー シナリオでは、非タップトランジット トラフィックを使用すると、 Firewall TCP SYN 最初のパケット処理を通じてトラフィックが見えて通過し、セッションが作成されます。 最初のパケット処理は CPU 、負荷が高くなる傾向があります。 そのセッションの後続のパケットはすべてセッションに一致するため、最初のパケット処理を再度実行する必要はありません。 したがって、これは. CPU
- また、トランジット トラフィックの場合、セッション policy が拒否に設定されている場合、セッションは作成されず、エンド クライアント/サーバーはそのセッションを削除し、データの送信を続行しません。
- タップモードは、トラフィックをドロップしてセッションを終了しないため、異なります TCP 。 TCP 拒否ルールにもかかわらず、セッショントラフィックは引き続き表示されます。 その結果、パロアルトデバイスは SYN セッションのパケットで最初のパケット処理を実行し、セッションが作成されなくなることを意味するセッションを拒否します。 TCPそのセッションの後続のパケットはすべて最初のパケットとして再処理されますが、tcp-reject 非 syn-syn オプションによりドロップされます。
Resolution
- タップモードの場合、タップインターフェイスは常にパケットをドロップするので、任意のインターフェイスに許可するルールを設定することをお勧めします TAP 。