IV. Brigde Mode
2.Phân phối lại các vi xử lý
2.1Phân phối thêm một vi xử lý cho SND
Theo cấu hình mặc định của CoreXL thì tất cả các interface sẽ được gắn kết với các vi xử lý còn lại không gắn kết với kernel của firewall. Tuy nhiên trong một số trường hợp điều này là không tối ưu và sẽ làm cho SND hoạt động chậm, làm chậm khả năng xử lý traffic tại đầu vào. Do firewall có đủ vi xử lý để phân phối thêm cho một SND và giảm đi một vi xử lý cho một kernel.
Để kiểm tra liệu SND có đang làm chậm traffic hay không ta thực hiện các bước sau: 1. Xác định vi xử lý nào hiện đang gắn kết với các interface : fw ctl affinity –l –r 2. Khi firewall trong tình trạng đang tải nặng, dùng lệnh top và kiểm tra giá trị
idle trên các vi xử lý.
Khoa Khoa Học Và Công Nghệ Trang 69 1. Firewall có ít nhất 8 vi xử lý
2. Giá trị idle hiện tại của vi xử lý đang chạy SND từ 0%-5%.
3. Tổng giá trị các idle của các vi xử lý đang gắn kết với kernel lớn hơn 100%. Nếu khi không thoả các điều kiện ở trên thì cấu thì theo cấu hình mặc định thì một vi xử lý chạt SND là hiệu quả nhất và không cần phải cấu hình thay đổi bất cứ gì.
Để phân phối thêm một vi xử lý cho SND ta tiến hành theo các bước sau : 1. Giảm số lượng kernel của firewall bằng công cụ cpconfig
2. Phân phối vi xử lý còn lại cho SND
3. Reboot lại firewall để cập nhật cấu hình mới
2.2Giảm số lượng instance
Để giảm số lượng kernel của ta thực hiện các bước sau :
1. Sử dụng lệnh /etc/fw/boot/fwboot bootconf set_kernnum k Với K là số lượng kernel muốn thiết lập
2. Reboot lại firewall để cập nhật cấu hình mới 3. Kiểm tra lại cấu hình bằng lệnh fw ctl multik stat
Khoa Khoa Học Và Công Nghệ Trang 70 Ngoài ra có thể dùng công cụ cpconfig :
1. Chạy lệnh cpconfig
2. Chọn mục Cofigure Check Point CoreXL
3. Nếu chức năng CoreXL đã được bật, chọn mục Change the number of firewall instances và thiết lập số instance
Nếu chức năng CoreXL chưa bật, bật chức năng CoreXL và chọn mục
Change the number of firewall instances
4. Reboot lại firewall
2.3Phân phối vi xử lý còn lại cho SND
2.3.1 Trong trường hợp có Performance Pack
Khi có Performance Pack, sự gắn kết giữa các interface và vi xử lý sẽ được thực hiện bằng lệnh sim affinity
Theo mặc định thì lệnh sim affinity sẽ được tự động, điền này có nghĩa là nếu Performance Pack chạy ở chế độ tự động thì sự gắn kết giửa các interface là vi xử lý còn lại sẽ được tự động bởi Performance Pack.
Trong hầu hết các trường hợp thì không cần phải thay đổi thiết lập sim affinity.
2.3.2 Trong trường hợp không có Performance Pack
Khi không có Performance Pack thì sự gắn kết giữa interface và vi xử lý sẽ được lấy từ file cấu hình tên là fwafinity.conf trong lúc boot, file này được lưu giử trong thư mục $FWDIR/conf.
Trong file text này, kí tự i ở dòng đầu tiên đại điện cho sự liên kết giửa các interface và vi xử lý. Nếu có Performance Pack thì dòng này sẽ được bỏ qua.
Nếu firewall chỉ có một vi xử lý chạy SND thì lúc này cách tốt nhất là để vi xử lý đó gắn kết với các interface với chế độ tự động mặc định, lúc này file cấu hình fwaffinity.conf sẽ có dạng như sau :
Khoa Khoa Học Và Công Nghệ Trang 71 Nếu muốn cấu hình cho 2 vi xử lý chạy SND thì lúc này ta cần phải chỉ rỏ interface nào sẽ được gắn kết với vi xử lý nào trong trường hợp firewall có nhiều interface. Để thiết lập sự gắn kết giữa các interface khi Performance Pack không hoạt động ta làm như sau :
1. Thiết lập sự gắn kết giữa các interface và vi xử lý bằng cách chỉnh lại file cấu hình fwaffinity.conf. Mỗi dòng trong file này điều được bắt đầu bằng kí tự i và theo cú pháp sau đây :
i <interface name> <cpuid>
với :
interfacename: tên của interface, ví dụ eth0, eth1…
cpuid: số thứ tự của vi xử lý
Ví dụ firewall có 4 interface, từ eth0 đến eth3 và ta muốn thiết lập cứ 2 interface sẽ gắn kết với 1 vi xử lý, lúc đó file cấu hình fwaffinity có dạng :
i eth0 0 i eth1 0 i eth2 1 i eth3 1
Ngoài ta có thể chọn một interface để gắn kết với 1 vi xử lý các interface còn lại sẽ gắn kết với interface còn lại lúc này ta sử dụng từ khoá default thay cho <interfacename>. Ví dụ file cấu hình fwaffinity có dạng như sau:
i eth2 0 i default 0
Khoa Khoa Học Và Công Nghệ Trang 72