よくあるご質問

回答

106 : カタログスペック通りに性能が出ないのですが、要因と対策を教えてください。

メーカでは、最低限の設定かつ最適な環境で測定した際のチャンピオンデータを基にした値をカタログスペックの値として採用しております。 そのため、カタログスペックの値はメーカのテスト環境における最大値であり、実際の測定値はご利用の設定や環境による影響で左右されるため、カタログスペックの値を前後する可能性があります。 ※測定環境や測定条件はメーカ非公開となっております。

PAシリーズなどのセキュリティ製品は、ルータやスイッチ系製品と異なり、内部処理の性質上、処理するトラフィックのプロファイルによって実際のスループット性能は大幅に異なります。処理能力の差に繋がる主な要素として下記があげられます。

 ・アプリケーションの種類(特に、SMB、FTPといったファイル転送、http-proxy、unknown-tcp/udp)
 ・SSL復号化機能
 ・平均トランザクションサイズ(16K~64Kbytes程度が一般的)
 ・圧縮ファイルの処理(多段圧縮の有無や段数)
 ・パケットサイズ
 ・パケットのフラグメンテーション有無と分割数
 ・ネットワーク通信品質(Error Rate など)
 ・脅威防御の機能

カタログスペック通りに性能が出ない要因としてデータプレーンプロセッサの負荷高騰があげられます。
特に、処理をハードウェアオフロードさせる事ができず、トラフィックを継続的にチェックし続ける必要がある処理はデータプレーンプロセッサの負荷高騰の要因となります。

例えば、データプレーンプロセッサの負荷が高騰しやすいアプリケーションの種類として以下があげられます。
・SMB
 クライアントとサーバ間でセッションを維持するために多くの通信を必要とし、都度データプレーンプロセッサにて処理されるため、データプレーンプロセッサの負荷が高騰しやすいプロトコルとなります
・http-proxy
 実際のアクセス先となるhttpセッション情報が含まれています。PAにて処理を行う場合、トラフィックをデコードする必要があります。また、デコードはデータプレーンでの処理となるため、CPU高騰につながります。
・unknown-tcpやunknown-udp
 通信内容が既知のアプリケーションの動作にマッチしない場合、App-IDがアプリケーションの特定をすることができず、unknown-tcpやunknown-udpと判定されます。未知のアプリケーションを指し示すunknown-tcpやunknown-udpのトラフィックは、詳細まで解析するためデータプレーンの負荷を高騰させます。

データプレーンプロセッサの負荷高騰の対策として、アプリケーションオーバーライドが挙げられます。
アプリケーション オーバーライドは、PAを通過する特定のトラフィックに対して、通常のアプリケーション識別(App-ID)を特定のアプリケーションで上書きするように設定することです。
アプリケーションオーバーライドを有効にすると、該当のトラフィックの全てのApp-ID検査が停止され、セッションのアプリケーションはカスタム アプリケーションとして識別されます。
このため、上記で挙げたCPU高騰を引き起こしやすい通信に対し、アプリケーションオーバーライドを実施することでデータプレーンの負荷が軽減され、通信の遅延が緩和されることが期待されます。
ただし、アプリケーションオーバーライド機能を使用する場合の注意点として、レイヤー4までのトラフィック処理となるため、該当の通信に対してApp-IDを使用したアプリケーション識別や、Anti-Virus、脅威検知等が行われなくなるといった影響がございます。
このため、ご利用状況に応じて設定をご検討ください。

アプリケーションオーバーライドの詳細な設定方法は以下のメーカナレッジをご確認ください。
 [メーカナレッジ]
 https://live.paloaltonetworks.com/t5/ナレッジドキュメント/application-override-policyの作成方法/ta-p/76661

なお、アプリケーションオーバーライドを実施するために、カスタムレポーティング機能を利用したアプリケーション統計ログでどのような通信がunknown-tcpやunknown-udpと判定されているのかを特定することを推奨します。
そして、特定された通信を既知のアプリケーションであると上書き(アプリケーションオーバーライド)することで、正規の通信をunknown-tcpやunknown-udpと判定されることを防ぐことができます。

カスタムレポーティング機能を用いると、アプリケーション統計ログだけでなく、主に以下のログを参照することができます。

 ・トラフィックログ
 ・脅威ログ
 ・URLフィルタリングログ
 ・復号ログ
 ・認証ログ

カスタムレポートの詳細な作成方法は、弊社サポートサイト掲載の各種 Administrator's Guideのカスタムレポートの項目をご確認ください。

 [ログイン TOP > ダウンロード > マニュアル]
 https://csps.hitachi-solutions.co.jp/paloalto/share/download/download.html
 ・各種 Administrator's Guide (日本語)

また、データプレーンプロセッサの負荷が高い時のトラブルシューティングとして以下のメーカナレッジもご参照ください。
 [メーカナレッジ]
 https://live.paloaltonetworks.com/t5/ナレッジドキュメント/データプレーンcpu負荷が高い時のトラブルシューティング/ta-p/191260

戻る