Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Visão geral do Express Path

O Express Path (anteriormente conhecido como descarregamento de serviços) é um mecanismo para processar pacotes de caminho rápido no processador de rede em vez de na Unidade de Processamento de Serviços (SPU). O Express Path aumenta o desempenho descarregando determinado tráfego da SPU para os processadores de rede.

Quando você cria uma sessão do Express Path no processador de rede, os pacotes subsequentes do fluxo correspondem à sessão nos processadores de rede. O processador de rede então processa e encaminha o pacote. Você não pode configurar o roteamento assimétrico entre nós porque o Express Path não oferece suporte ao encaminhamento de HA para sessões entre nós.

O processador de rede também gerencia processamento adicional, como verificação de sequência TCP, processamento de tempo de vida (TTL), Network Address Translation (NAT) e tradução de cabeçalho de Camada 2. A tabela de fluxo no IOC3 é gerenciada pela SPU do módulo de fluxo. A SPU insere e exclui entradas de fluxo na tabela de fluxo com base nos resultados de correspondência de políticas. O Express Path oferece suporte a IPv6.

A figura mostra o fluxo de pacotes no Express Path.

Figura 1: Fluxo de pacotes e caminho Packet flow and Express Path expresso

Benefícios do Express Path

  • Melhora significativamente o desempenho de fluxo único e de nível de chassi.

  • Reduz a utilização e a latência da SPU.

Limitações do caminho Express

O Express Path não suporta:

  • Características

    • Modo transparente

    • Sessão multicast com mais de uma fan-out

    • Pacotes fragmentados

    • IPsec VPN

    • Diferentes valores de tamanho de MTU

    • J-Flow

    • Marcação flexível de VLAN

  • Tráfego de dados do Camada de aplicativo Gateway (ALG):

    • DNS

    • IKE e ESP

    • PPTP

    • SQL-NET

  • IPv6

    • NAT

    • Modo transparente

    • Diferentes valores de tamanho de MTU

    • Classe de serviço (CoS) em interfaces de saída

O caminho expresso e o descarregamento de pacotes não funcionam quando você usa filtros de firewall para direcionar o tráfego para um roteador virtual,

Se você habilitar o Express Path em um dispositivo operando no modo de cluster de chassi:

  • Você não pode configurar placas de E/S assimétricas (IOC).

  • Se um enlace filho da interface reth habilitada para LACP cair, todo o tráfego nesse enlace será distribuído para outros enlaces filhos ativos da interface. Se o enlace filho surgir e se juntar novamente à interface reth, o tráfego ou as sessões existentes não serão redistribuídos por esse enlace filho ativo recém-reingressado. Novas sessões atravessam este link.

  • Se um novo enlace filho for adicionado à interface reth habilitada para LACP, o tráfego ou as sessões existentes não serão redistribuídos por esse novo enlace filho. Novas sessões atravessam este link.

Caminho expresso automatizado

O Express Path automatizado é habilitado por padrão a partir do Junos OS Release 21.2R1. Ao atualizar para o Junos versão 21.2R1 ou posterior, você desbloqueia o desempenho de firewall de próxima geração gratuito e incomparável, sem qualquer configuração adicional ou investimento em hardware. Por padrão, um Express Path automatizado está ativado.

No Junos OS Release 21.2R1 para desabilitar o Express Path por regra, use set security policies from-zone [untrust] to-zone ptrust] policy [services-offload-pol1] then permit no-services-offload o comando.

Para reverter para o comportamento anterior habilitando services-offload por regra, use o set security forwarding-options services-offload disable comando.

O Express Path automatizado oferece suporte aos seguintes recursos:

  • Firewall com estado

  • Network Address Translation (NAT)

  • Políticas unificadas (com aplicativos dinâmicos e categorias de URL)

  • Firewall do usuário

  • Inteligência de Segurança

  • Detecção e Prevenção de Invasões (IDP)

  • Filtragem aprimorada da Web

  • Camada de aplicativo Gateways (ALG)

  • Telas (Anti-DDoS)

Como o Express Path processa o tráfego?

Quando o primeiro pacote chega a uma interface, o processador de rede o encaminha para o ponto central (CP). O ponto central, por sua vez, encaminha o pacote para a SPU. Em seguida, a SPU cria uma sessão no processador de rede e verifica se o tráfego se qualifica para a sessão do Express Path ou para uma sessão normal.

Se o tráfego se qualificar para o processamento do Express Path, uma sessão do Express Path para o tráfego será criada na SPU. A sessão do Express Path processa os pacotes de caminho rápido no processador de rede e os pacotes saem do processador de rede.

Se o tráfego não se qualificar para o processamento do Express Path, a SPU criará uma sessão normal. A sessão normal encaminha pacotes do processador de rede para a SPU para processamento rápido,

Processador de rede Express Path

No firewall SRX com processador de rede, quando todos os plug-ins, incluindo plug-ins de pacotes e plug-ins de fluxo, ignoram uma sessão, nós descarregamos a sessão e instalamos a sessão no processador de rede. Quando o plug-in de pacote ignora a sessão, marcamos os sinalizadores de ignorância. Quando o plug-in de streaming ignora a sessão, marcamos os sinalizadores de ignorar e causamos um curto-circuito no TCP-T e no TCP-I. Em seguida, instalamos a sessão no processador de rede para descarregar a sessão.

O processador de rede da placa de E/S (IOC) processa os pacotes de caminho rápido sem passar pela malha de switches ou pela SPU. Isso reduz a latência de processamento de pacotes.

Cada entrada de fluxo tem um contador por asa no processador de rede Express Path. O contador captura o número de bytes que o processador de rede envia pela asa.

O comportamento do processador de rede em diferentes cenários é o seguinte:

  • Fluxo do primeiro caminho — O fluxo do primeiro caminho é o mesmo que o processo de fluxo do processador de rede atual. Quando o primeiro pacote chega ao processador de rede, o processador de rede analisa o pacote TCP ou UDP para extrair uma chave de 5 tuplas e, em seguida, executa a pesquisa de sessão na tabela de fluxo. O processador de rede então encaminha o primeiro pacote para o ponto central. O ponto central não consegue encontrar uma correspondência neste momento porque este é o primeiro pacote. O ponto central e a SPU criam uma sessão e a comparam com as políticas configuradas pelo usuário para determinar se a sessão é uma sessão normal ou uma sessão de descarregamento de serviços.

    Se você especificar a sessão a ser gerenciada com o Express Path, a SPU criará uma entrada de sessão na tabela de fluxo do processador de rede. Isso habilita o sinalizador Express Path na tabela de entrada de sessão; caso contrário, a SPU cria uma entrada de sessão normal no processador de rede sem o sinalizador Express Path.

  • Fluxo de caminho rápido — Depois de criar a entrada de sessão no processador de rede, os pacotes subsequentes da sessão corresponderão à tabela de entrada de sessão.

    1. Se o sinalizador Express Path não estiver definido, o processador de rede encaminhará o pacote para as SPUs especificadas na tabela de entrada de sessão. O pacote passa pelo processo de fluxo normal.

    2. Se o processador de rede encontrar o sinalizador services-offload na tabela de entrada de sessão, ele processará o pacote localmente e enviará o pacote diretamente.

    3. A função de avanço rápido no processador de rede suporta sessões multicast de um fanout. A porta de saída na sessão também deve estar associada ao mesmo processador de rede que a porta de entrada. Todos os outros casos multicast precisam ser gerenciados como sessões normais.

  • Processo NAT — a SPU é responsável pelo mapeamento entre o endereço IP ou porta interna e o endereço IP ou porta externa. Quando o primeiro pacote da sessão chega, a SPU aloca o endereço IP ou o mapeamento de porta e armazena as informações na entrada da sessão do processador de rede. Se o sinalizador NAT estiver definido, o processador de rede modificará o pacote.

  • Age-out da sessão — para melhorar a taxa de transferência de tráfego para sessões de descarregamento de serviços, uma cópia de um pacote é enviada à SPU a cada período de tempo predefinido para reduzir a demanda de processamento de pacotes na SPU. Para limitar o número de cópias de pacotes enviadas à SPU, um carimbo de data/hora é implementado para cada sessão de descarregamento de serviço. O processador de rede calcula o tempo decorrido desde a última correspondência de sessão. Se o tempo decorrido for maior que o período de tempo predefinido, o processador de rede enviará uma cópia do pacote para a SPU e atualizará o carimbo de data/hora da sessão.

  • Encerramento e exclusão de sessão — se o processador de rede receber um pacote IP com um sinalizador FIN (dados concluídos) ou RST (redefinir conexão), ele encaminhará o pacote para a SPU. Em seguida, a SPU exclui o cache de sessão no processador de rede. O processador de rede continua a receber e encaminhar todos os pacotes para a SPU durante a transição de estado.

Contador de estatísticas da asa

No Express Path, o processador de rede fornece a opção para cada entrada de fluxo manter um contador de bytes por asa. O contador captura o número de bytes que o processador de rede envia pela asa.

Quando você habilita o contador, o processador de rede pesquisa sua entrada de fluxo (uma asa de sessão) para cada pacote de entrada. Se o pacote pertencer a uma entrada de fluxo estabelecida, o processador de rede aumentará o contador de bytes da entrada de fluxo no pacote. O processador de rede copia periodicamente um pacote (pacote de cópia) de cada entrada de fluxo para sua SPU associada, permitindo que a SPU mantenha a sessão. O processador de rede envia valores de contador de byte de fluxo no cabeçalho de pacotes de pacote de cópia. A SPU acumula e mantém contadores de estatísticas por asa.

Não é possível alterar a configuração de estatísticas durante o ciclo de vida de uma sessão ao vivo. Desabilitar ou habilitar a configuração de estatísticas por asa enquanto uma sessão está ativa no processador de rede invalida as estatísticas de sessão na sessão atual. As novas estatísticas de sessão só podem ser válidas depois que as mudanças de configuração forem confirmadas. Os contadores por asa do processador de rede não podem ser limpos.

Estatísticas de sessões por asa

O processador de rede tem uma RAM estática (SRAM) maior para acomodar recursos de sessão, hospedando assim mais sessões por PIC. #concept_gkc_1ry_4sb__per-wing-sessions exibe o número total de asas de sessão, incluindo Express Path e não Express Path.

Use o Explorador de Recursos para confirmar o suporte à plataforma e à versão para recursos específicos. Plataformas adicionais podem ser suportadas.

Consulte a seção #concept_gkc_1ry_4sb__section_azn_4yk_khc para obter mais informações.

Informações adicionais da plataforma

Use o Explorador de Recursos para confirmar o suporte à plataforma e à versão para recursos específicos. Plataformas adicionais podem ser suportadas.
Tabela 1: Número total de sessões por asa no modo de configuração Express Path do processador de rede

Número total de asas

Número de asas UDP do Express Path

Número de asas TCP do caminho expresso
Placas e firewall da Série SRX Sessões de modo de caminho não expresso Sem estatísticas Com estatísticas Sem estatísticas Com estatísticas

Dispositivo da Linha SRX5000 SRX5K-MPC (IOC2)

1,8 milhão

1,8 milhão

1,8 milhão

1,8 milhão

1,8 milhão

Dispositivo da Linha SRX5000 SRX5K-MPC3 (IOC3)

20 milhões

20 milhões

20 milhões

20 milhões

20 milhões

Dispositivo da Linha SRX5000 SRX5K IOC4

10 milhões

10 milhões

10 milhões

10 milhões

10 milhões

SRX4600

20 milhões

20 milhões

20 milhões

20 milhões

20 milhões

Processamento de pacotes de caminho expresso em placas IOC

O Express Path nas placas IOC é baseado no processamento de pacotes de caminho rápido através do chipset do processador de rede, em vez de na SPU, para descarregar algumas funções básicas de firewall para a placa IOC.

Se você habilitou o recurso Express Path, a placa IOC fornece menor latência e também oferece suporte a maior taxa de transferência, removendo a sobrecarga na SPU. A placa IOC oferece suporte ao fluxo de tráfego intraplaca e ao fluxo de tráfego entre placas. Para obter os melhores resultados de latência, a porta de entrada e a porta de saída de um fluxo de tráfego precisam estar no mesmo chip XM da placa IOC.

A placa IOC suporta FPC de 240 Gbps e usa a linha de chipsets de processamento de rede (NP) de terceira geração. Este chip de pesquisa e enfileiramento mais recente é otimizado para maior capacidade. A placa IOC é compatível com SCB2 e SCB3, o SCB anterior não é suportado.

Você não pode ligar todos os quatro PICs na placa IOC simultaneamente devido à restrição de energia e térmica. Ligue no máximo dois PICs em ordem par ou ímpar. Você pode usar o set chassis fpc <slot> pic <pic> power off comando para escolher o PIC para ligar.

As mensagens de log do sistema são:

  • XMCHIP_CMERROR_DDRIF_INT_REG_CHKSUM_ERR_MINOR

  • XMCHIP_CMERROR_DDRIF_INT_REG_CHKSUM_ERR_MAJOR

As mensagens de erro indicam que o chip XM em um Concentrador PIC Flexível (FPC) detectou um erro de soma de verificação, que está causando quedas de pacotes. Os seguintes valores de limite de erro classificam o erro como um erro maior ou um erro menor:

  • Erro menor — > 5 erros por segundo

  • Erro maior — > 255 erros por segundo (contagem máxima)

No plano de dados, a placa IOC analisa os pacotes e os procura na tabela de fluxo. Se a placa IOC encontrar uma correspondência na tabela de fluxo, ela encaminhará pacotes com base nas instruções fornecidas na tabela de fluxo. A placa IOC pode executar NAT, encapsular o cabeçalho de Camada 2 (L2) e encaminhar os pacotes para fora da interface de saída. A interface de saída pode estar localizada na mesma placa IOC (caixa intra-placa) ou outra placa IOC (caixa inter-placa).

Quando a placa IOC recebe o primeiro pacote, ela não corresponde a nenhuma sessão de avanço rápido existente. O encaminhamento padrão baseado em hash é executado para enviar o primeiro pacote para a SPU. Em seguida, a SPU cria a sessão de segurança. Se a SPU achar que o tráfego está qualificado para o avanço rápido e a placa IOC relacionada oferecer suporte ao avanço rápido, ela instalará a sessão de avanço rápido na placa IOC. Se o encaminhamento rápido não puder ser aplicado ao tráfego, nenhuma mensagem de sessão será enviada, e a placa IOC usará o encaminhamento padrão baseado em hash para encaminhar os pacotes para a SPU.

No processamento de cartão IOC de avanço rápido, se uma sessão de avanço rápido for correspondida, o pacote poderá ser encaminhado diretamente de acordo com o resultado do fluxo da sessão. A placa IOC toma todas as ações necessárias, por exemplo, encaminhando o pacote, verificando TTL e diminuindo a tradução de NAT e encapsulamento de cabeçalho de Camada 2.

Além disso, o chip XL envia uma cópia do pacote de encaminhamento para a SPU em um horário predefinido. Essa cópia é usada para atualizar a sessão da SPU, detectar o estado atual do chip XL e assim por diante. A SPU consome esse pacote e não o encaminha, porque o pacote real foi processado e transmitido.

Figura 2: Caminho IOC3 Intra-PFE Express Path expresso intra-PFE IOC3
Figura 3: Caminho expresso Inter-PFE IOC3
Figura 4: Caminho expresso inter-IOC3