CoreXL SNDへのCPUコアの追加割り付け

CoreXL閉じた マルチコア処理プラットフォーム上のセキュリティゲートウェイのパフォーマンス向上テクノロジー。複数のCheck Point Firewallインスタンスが、複数のCPUコアで並行して実行されています。 FirewallインスタンスとCoreXL SND閉じた セキュアネットワークディストリビュータ。以下を担当するCoreXLの一部:ネットワークインタフェースからの着信トラフィックを処理します。許可されたパケットを安全に加速します(SecureXLが有効になっている場合)。ファイアウォールカーネルインスタンス間で高速化されていないパケットを配布します(SNDは、CoreXLファイアウォールインスタンスに割り当てられた接続をマップするグローバルディスパッチテーブルを維持します)。CoreXLファイアウォールインスタンス間のトラフィック分散は、送信元IPアドレス、宛先IPアドレス、およびIPの「プロトコル」タイプに静的に基づいています。CoreXL SNDは、実際にはパケットに「タッチ」しません。特定のFWKデーモンに固執するという決定は、他の何よりも先に、非常に高いレベルの接続の最初のパケットで行われます。SecureXLの設定によっては、ほとんどの場合、SecureXLは復号の計算をオフロードする可能性があります。ただし、ルートベースVPNの場合など、他のいくつかのケースでは、FWKデーモンによって実行されます。インスタンスのデフォルトの構成は、お客様のニーズに最適でない場合があります。

デフォルトのCoreXL SNDインスタンス数では受信トラフィックを処理しきれず、Security Gatewayに十分なCPUコアがある場合は、CoreXL Firewallインスタンスの数を減らすことができます。これにより、CoreXL SNDインスタンスを実行するためのCPUコアが自動的に追加で割り当てられます。

このシナリオは、トラフィックの多くがSecureXL閉じた セキュリティゲートウェイを通過するIPv4およびIPv6トラフィックを高速化するセキュリティゲートウェイ上のCheck Point製品。によって高速化されている場合に発生する可能性が高い。この場合、CoreXL SNDインスタンスのタスク負荷が、CoreXL Firewallインスタンスのタスク負荷と不釣り合いになることがあります。

SNDがトラフィックを遅くしているかどうかを確認するため。

ステップ

手順

1

インタフェースのトラフィックの転送先となる処理用CPUコアを特定します。

2

トラフィックが多い状況下では、top コマンドを実行してください。

idle のカラムで、異なるCPUコアの値を調べます。

  • Security Applianceの場合、Expertモードで実行します。

    top

  • Scalable Platform Security Groupでは、Expertモードで実行します。

    g_top

ベストプラクティス- これらの条件がすべて満たされる場合にのみ、CoreXL SNDに追加のCPUコアを割り当てることをお勧めします。

  • 処理用CPUコアは少なくとも8個あります。

  • top コマンドの出力では、CoreXL SND インスタンスを実行する CPU コアのidle 値は 0%-5% の範囲にあります。

  • top コマンドの出力で、CoreXL Firewall インスタンスを実行している CPU コアのidle 値の合計が 100% よりも大幅に高くなっています。

上記の条件のうち少なくとも1つを満たさない場合は、CoreXLのデフォルト設定で十分です。

CoreXL SNDに処理用CPUコアを追加で割り当てること。

項目

説明

1

cpconfigメニューのCoreXL Firewallインスタンスの数を減らします。

IPv4およびIPv6 CoreXL Firewallインスタンスの設定を参照してください。

2

残りのCPUコアにインタフェースのアフィニティ閉じた 指定されたCoreXL Firewall インスタンス、VSX Virtual System、インタフェース、ユーザスペースプロセス、またはIRQ を1 つ以上の指定されたCPU コアに割り当てます。を設定します。

インタフェースのアフィニティーを設定するする」を参照してください。

3

再起動すると新しいコンフィギュレーションが適用されます。