Puede PAN reenviar el tráfico a través de los mismos LAG miembros de la interfaz, antes y después de la descarga de la sesión.

• Palo Alto Firewalls
• Apoyado PAN-OS
• LACP

1. Sí, con los nuevos cambios implementados en PAN-OS 9.1.9, 10.1.5-h2 y 10.2.4, es posible tener un algoritmo de reenvío consistente durante toda la vida útil de la sesión.
2. El siguiente comando nos permite establecer en tupla en lugar de (predeterminado) para mantener la coherencia con los miembros de reenvío antes y después de tagLAG la descarga

admin@firewall> set session lag-flow-key-type ?
> tag     tag
> tuple   tuple
"tag" is the default behavior (tag based on the CPU, tuple based on the FE)
"tuple" is the "new" behavior, where both CPU and FE use the same selection algorithm

3. Utilice el siguiente comando para mostrar el algoritmo

admin@firewall> show session lag-flow-key-type
dp0:  tuple based on fe100
dp1:  tuple based on fe100

• La descarga de sesión significa que el tráfico se descarga a un hardware chip, para un procesamiento de paquetes más rápido.
• El algoritmo de equilibrio de carga predeterminado se basa en la sesión ID. El firewall toma los últimos 3 bits de la sesión ID y crea un valor hash que permite equilibrar la firewall carga del tráfico entre los miembros del LAG. Los 3 bits son suficientes para cubrir los 8 puertos máximos del LAG grupo.
• Pero el procesador de descarga utiliza un algoritmo diferente para seleccionar una interfaz de reenvío. Esta discrepancia estaba causando un reenvío asimétrico para la misma sesión antes y después de la descarga.
• PAN-134799 permitir el cambio del algoritmo de equilibrio de carga en firewalls con procesadores de red FE100, a partir de PAN-OS 9.0.13, 9.1.9, 10.0.5
• PAN-190409 permite cambiar el algoritmo de equilibrio de carga en firewalls con procesadores de red FE101, a partir de PAN-OS 10.1.5-h2, 10.2.4

PA-3200 series : FE100/FE101
PA-5200 series : FE100/FE101
PA-5450 series: FE101
PA-7000 - NPC - 100G: FE101