Peut PAN transférer le trafic via les mêmes LAG membres de l’interface, avant et après le déchargement de session.

Peut PAN transférer le trafic via les mêmes LAG membres de l’interface, avant et après le déchargement de session.

22263
Created On 07/14/22 08:55 AM - Last Modified 11/28/23 22:22 PM


Question


Peut PAN transférer le trafic via les mêmes LAG membres de l’interface, avant et après le déchargement de session?

Environment


  • Pare-feu Palo Alto
  • Soutenu PAN-OS
  • LACP

Answer


  1. Oui, avec les nouveaux changements implémentés dans PAN-OS les versions 9.1.9, 10.1.5-h2 et 10.2.4, il est possible d’avoir un algorithme de transfert cohérent tout au long de la durée de vie de la session.
  2. La commande suivante nous permet de définir tuple au lieu de (par défaut) pour plus de cohérence avec les membres de tagLAG transfert avant et après le déchargement
admin@firewall> set session lag-flow-key-type ?
> tag     tag
> tuple   tuple
"tag" is the default behavior (tag based on the CPU, tuple based on the FE)
"tuple" is the "new" behavior, where both CPU and FE use the same selection algorithm

  1. Utilisez la commande suivante pour afficher l’algorithme

admin@firewall> show session lag-flow-key-type
dp0:  tuple based on fe100
dp1:  tuple based on fe100


Additional Information


  • Le déchargement de session signifie que le trafic est déchargé vers une puce, pour un hardware traitement plus rapide des paquets.
  • L’algorithme d’équilibrage de charge par défaut est basé sur la session ID. Le firewall prend les 3 derniers bits de la session ID et crée une valeur de hachage qui permet à la d’équilibrer la charge du trafic entre les membres de la firewall LAG. Les 3 bits suffisent à couvrir les 8 ports maximum du LAG groupe.
  • Mais le processeur de déchargement utilise un algorithme différent pour sélectionner une interface de transfert. Cette divergence provoquait un transfert asymétrique pour la même session avant et après le déchargement.
  • PAN-134799 activer la modification de l’algorithme d’équilibrage de charge sur les pare-feu équipés de processeurs réseau FE100, à partir de PAN-OS 9.0.13, 9.1.9, 10.0.5
  • PAN-190409 permet de modifier l’algorithme d’équilibrage de charge sur les pare-feu équipés de processeurs réseau FE101, à partir de PAN-OS 10.1.5-h2, 10.2.4
PA-3200 series : FE100/FE101
PA-5200 series : FE100/FE101
PA-5450 series: FE101
PA-7000 - NPC - 100G: FE101

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000CqXRCA0&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language