为什么我的数据平面 CPU 更高与点击模式流量?
20772
Created On 09/26/18 13:53 PM - Last Modified 03/26/21 17:19 PM
Symptom
- 通过 DP CPU 拒绝操作启用"点击区域"流量的安全规则后报告高
Environment
- 任何平台(虚拟和物理)
- 一个尼 PAN-OS
- 带拒绝操作的点击区域流量的安全规则
Cause
- 在常见的数据包流情景中,使用非点击传输流量 Firewall ,将看到 TCP SYN 并通过第一包处理来创建会话。 第一包处理往往 CPU 很密集。 该会话的所有后续数据包都将匹配会话, 因此不需要再次进行第一次数据包处理。 因此,这是较少的负载 CPU 上。
- 此外,对于过境流量,如果 policy 设置为拒绝,则不会创建会话,最终客户端/服务器将放弃该会话,不再继续发送数据。
- 点击模式是不同的,因为它不会减少流量和终止 TCP 会话。 TCP 尽管存在拒绝规则,但会话流量仍将继续被看到。 结果是 Palo Alto 设备将在会话的包上执行第 SYN 一包处理,并拒绝会话,这意味着不会创建会话。 TCP该会话的每个后续数据包将再次作为第一个数据包处理,但由于 tcp 拒绝非同步选项,该数据包将被丢弃。
Resolution
- 对于点击模式,点击界面将始终删除数据包,因此建议它配置规则,以允许任何 TAP 接口。