能PAN通过相同的转发流量LAG接口成员,在会话卸载之前和之后。

能PAN通过相同的转发流量LAG接口成员,在会话卸载之前和之后。

22259
Created On 07/14/22 08:55 AM - Last Modified 11/28/23 22:22 PM


Question


能PAN通过相同的转发流量LAG接口成员,会话卸载之前和之后?

Environment


  • 帕洛阿尔托防火墙
  • 支持的 PAN-OS
  • LACP

Answer


  1. 是的,在PAN-OS9.1.9、10.1.5-h2 和 10.2.4,可以在整个会话生命周期内使用一致的转发算法。
  2. 以下命令使我们能够设置元组而不是tag(默认)与转发一致LAG卸载前后的成员
admin@firewall> set session lag-flow-key-type ?
> tag     tag
> tuple   tuple
"tag" is the default behavior (tag based on the CPU, tuple based on the FE)
"tuple" is the "new" behavior, where both CPU and FE use the same selection algorithm

  1. 使用以下命令显示算法

admin@firewall> show session lag-flow-key-type
dp0:  tuple based on fe100
dp1:  tuple based on fe100


Additional Information


  • 会话卸载意味着流量被卸载到hardware芯片,用于更快的数据包处理。
  • 默认的负载均衡算法是基于会话的ID. 这firewall从会话中获取最后 3 位ID并创建一个哈希值,允许firewall对成员之间的流量进行负载平衡LAG. 3 位足以覆盖 8 个最大端口LAG团体。
  • 但是卸载处理器使用不同的算法来选择转发接口。 这种差异导致了卸载前后同一会话的不对称转发。
  • PAN-134799 允许更改带有 FE100 网络处理器的防火墙上的负载平衡算法,从PAN-OS9.0.13、9.1.9、10.0.5
  • PAN-190409 允许更改带有 FE101 网络处理器的防火墙上的负载平衡算法,从PAN-OS10.1.5-h2, 10.2.4
PA-3200 series : FE100/FE101
PA-5200 series : FE100/FE101
PA-5450 series: FE101
PA-7000 - NPC - 100G: FE101

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000CqXRCA0&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language