できるPAN同じ経由でトラフィックを転送しますLAGセッション オフロードの前後のインターフェイス メンバー。

• パロアルト ファイアウォール
• 対応 PAN-OS
• LACP

1. はい、新しい変更が実装されていますPAN-OS9.1.9、10.1.5-h2、および 10.2.4 では、セッションの有効期間を通じて一貫した転送アルゴリズムを使用できます。
2. 次のコマンドを使用すると、代わりにタプルに設定できますtag(デフォルト) 転送との一貫性のためLAGオフロード前後のメンバー

admin@firewall> set session lag-flow-key-type ?
> tag     tag
> tuple   tuple
"tag" is the default behavior (tag based on the CPU, tuple based on the FE)
"tuple" is the "new" behavior, where both CPU and FE use the same selection algorithm

3. 次のコマンドを使用して、アルゴリズムを表示します

admin@firewall> show session lag-flow-key-type
dp0:  tuple based on fe100
dp1:  tuple based on fe100

• セッション オフロードとは、トラフィックがhardwareチップ、より高速なパケット処理用。
• デフォルトの負荷分散アルゴリズムは、セッションに基づいていますID. のfirewallセッションから最後の 3 ビットを取得しますIDを許可するハッシュ値を作成します。firewallのメンバー間でトラフィックの負荷を分散します。LAG . 3 ビットは、最大 8 つのポートをカバーするのに十分です。LAGグループ。
• ただし、オフロード プロセッサは別のアルゴリズムを使用して転送インターフェイスを選択します。 この不一致により、オフロードの前後で同じセッションの非対称転送が発生していました。
• PAN-134799 FE100 ネットワーク プロセッサを搭載したファイアウォールで負荷分散アルゴリズムを変更できるようにします。PAN-OS 9.0.13、9.1.9、10.0.5
• PAN-190409 FE101 ネットワーク プロセッサを搭載したファイアウォールで負荷分散アルゴリズムを変更できます。PAN-OS 10.1.5-h2、10.2.4

PA-3200 series : FE100/FE101
PA-5200 series : FE100/FE101
PA-5450 series: FE101
PA-7000 - NPC - 100G: FE101