インタフェースのアフィニティーを設定する
特定のインタフェースと特定の処理用CPUコアの関連付けを、そのCPUコアとのインタフェースのaffinity と呼びます。このアフィニティ
指定されたCoreXL Firewall インスタンス、VSX Virtual System、インタフェース、ユーザスペースプロセス、またはIRQ を1 つ以上の指定されたCPU コアに割り当てます。により、インタフェースのトラフィックはそのCPUコアに向けられ、CoreXL SND セキュアネットワークディストリビュータ。以下を担当するCoreXLの一部:ネットワークインタフェースからの着信トラフィックを処理します。許可されたパケットを安全に加速します(SecureXLが有効になっている場合)。ファイアウォールカーネルインスタンス間で高速化されていないパケットを配布します(SNDは、CoreXLファイアウォールインスタンスに割り当てられた接続をマップするグローバルディスパッチテーブルを維持します)。CoreXLファイアウォールインスタンス間のトラフィック分散は、送信元IPアドレス、宛先IPアドレス、およびIPの「プロトコル」タイプに静的に基づいています。CoreXL SNDは、実際にはパケットに「タッチ」しません。特定のFWKデーモンに固執するという決定は、他の何よりも先に、非常に高いレベルの接続の最初のパケットで行われます。SecureXLの設定によっては、ほとんどの場合、SecureXLは復号の計算をオフロードする可能性があります。ただし、ルートベースVPNの場合など、他のいくつかのケースでは、FWKデーモンによって実行されます。はそのCPUコアで実行されるようになります。
Security Gatewayは、CoreXL マルチコア処理プラットフォーム上のセキュリティゲートウェイのパフォーマンス向上テクノロジー。複数のCheck Point Firewallインスタンスが、複数のCPUコアで並行して実行されています。設定ファイルからブート中にインタフェースのアフィニティをロード(Scalable Platform Security Group Members load)します$FWDIR/conf/fwaffinity.conf 。この設定ファイルでは、"i"で始まる行で、インタフェースのアフィニティを定義しています。
ワークフロー:
|
ステップ |
手順 |
|||
|---|---|---|---|---|
|
1 |
CoreXL Firewallインスタンスを実行する処理CPUコアと、インタフェースからのトラフィックを処理するCPUコアを確認します。
fw ctl affinity参照してください。 |
|||
|
2 |
残りのCPUコアをCoreXL SNDインスタンスの実行に割り当てる。 そのためには、該当するCPUコアへのインタフェースのアフィニティーを設定します。 詳しくは、「処理用CPUコアの割り振り」をご覧ください。
|
インタフェースに明示的にアフィニティーを設定すること。
|
ステップ |
手順 |
||||
|---|---|---|---|---|---|
|
1 |
Security Gateway、各クラスタメンバ、またはスケーラブル プラットフォーム セキュリティ グループのコマンドラインに接続します。 |
||||
|
2 |
エキスパートモード |
||||
|
3 |
アフィニティーの設定」を参照してください。 各インタフェースごとに、" これらの行はそれぞれこのような構文でなければなりません。
例えば、
|
||||
|
|
また、1つの処理CPUコアに対してのみ明示的にインタフェースのアフィニティを設定し、他のCPUコアは残りのインタフェースのデフォルトアフィニティとして定義することも可能です。
例えば,
|
||||
|
4 |
新しいコンフィギュレーションをロードします。
|
|
|
ベストプラクティス- CoreXL SNDに1つのCPUコアしか割り当てない場合、そのCPUコアが自動的に選択されるようにすることがベストです。そのためには、デフォルトの自動インタフェースアフィニティのまま、CPUコアへのインタフェースに明示的なアフィニティを設定しないようにします。
|
|
|
ベストプラクティス- さらに、マルチマルチキュー参照してください。 |
