Visão geral do Express Path
Express Path (anteriormente conhecido como descarregamento de serviços) é um mecanismo para processar pacotes de caminho rápido no processador de rede, em vez de na Unidade de processamento de serviços (SPU). O Express Path aumenta o desempenho descarregando determinado tráfego da SPU para os processadores de rede.
Quando você cria uma sessão do Express Path no processador de rede, os pacotes subsequentes do fluxo combinam com a sessão nos processadores de rede. O processador de rede então processa e encaminha o pacote.
O processador de rede também gerencia processamento adicional, como verificação de sequência de TCP, processamento de tempo de vida (TTL), tradução de endereços de rede (NAT) e tradução de cabeçalho de Camada 2. A tabela de fluxo no IOC3 é gerenciada pela SPU do módulo de fluxo. A SPU insere e exclui entradas de fluxo na tabela de fluxo com base nos resultados de correspondência de políticas. O Express Path oferece suporte ao IPv6.
A figura mostra o fluxo de pacotes no Express Path.
Benefícios do Express Path
-
Melhora significativamente o desempenho de fluxo único e nível de chassi.
-
Reduz a utilização e latência da SPU.
Limitações de caminho expresso
O Express Path não oferece suporte:
-
Características
-
Modo transparente
-
Sessão multicast com mais de um fan-out
-
Pacotes fragmentados
-
IPsec VPN
-
Diferentes valores de tamanho de MTU
-
J-Flow
-
-
Tráfego de dados do gateway de camada de aplicativos (ALG):
-
DNS
-
IKE e ESP
-
PPTP
-
SQL-NET
-
-
IPv6
-
NAT
-
Modo transparente
-
Diferentes valores de tamanho de MTU
-
Classe de serviço (CoS) em interfaces de saída
-
O caminho expresso e o descarregamento de pacotes não funcionam quando você usa filtros de firewall para direcionar o tráfego para um roteador virtual,
Se você habilitar o Express Path em um dispositivo que opera no modo cluster do chassi:
-
Você não pode configurar placas de E/S assimétricas (IOC).
-
Se um link infantil da interface de reth habilitada para LACP cair, todo o tráfego neste link será distribuído para outros links infantis ativos da interface. Se o link infantil aparecer e voltar à interface de reth, então o tráfego ou as sessões existentes não serão redistribuídos por este enlace infantil ativo recém-reinstado. Novas sessões passam por este link.
-
Se um novo link infantil for adicionado à interface de reth habilitada para LACP, então o tráfego ou sessões existentes não serão redistribuídos por este novo link infantil. Novas sessões atravessam este link.
Caminho Expresso Automatizado
Em dispositivos de SRX4600, SRX5400, SRX5600 e SRX5800, o Automated Express Path é por padrão habilitado pelo Junos OS Release 21.2R1. Quando você faz o upgrade para o Junos Release 21.2R1 ou posterior, você desbloqueia o desempenho gratuito e inigualável do firewall de próxima geração, sem qualquer configuração adicional ou investimento em hardware. Por padrão, um Express Path automatizado é habilitado.
No Junos OS Release 21.2R1 para desativar o Express Path por regra, use set security policies from-zone [untrust] to-zone ptrust] policy [services-offload-pol1] then permit no-services-offload o comando.
Para reverter para o comportamento anterior, permitindo o descarregamento de serviços por regra, use o set security forwarding-options services-offload disable comando.
O Automated Express Path oferece suporte aos seguintes recursos:
-
Stateful Firewall
-
Tradução de endereços de rede (NAT)
-
Políticas unificadas (com aplicativos dinâmicos e categorias de URL)
-
Firewall de usuário
-
Inteligência de segurança
-
Detecção e prevenção de invasões (IDP)
-
Filtragem aprimorada de Web
-
Gateways de camada de aplicativos (ALG)
-
Telas (Anti-DDoS)
Como o Express Path processa o tráfego?
Quando o primeiro pacote chega a uma interface, o processador de rede o encaminha para o ponto central (CP). O ponto central, por sua vez, encaminha o pacote para a SPU. A SPU cria então uma sessão no processador de rede e verifica se o tráfego se qualifica para a sessão express path ou uma sessão normal.
Se o tráfego se qualificar para o processamento do Express Path, uma sessão express path para o tráfego será criada na SPU. A sessão do Express Path processa os pacotes de caminho rápido no processador de rede e a saída de pacotes do processador de rede.
Se o tráfego não se qualificar para o processamento do Express Path, a SPU cria uma sessão normal. A sessão normal encaminha pacotes do processador de rede para a SPU para processamento rápido,
Plataformas que oferecem suporte ao Express Path
Os dispositivos de SRX4600, SRX5400, SRX5600 e SRX5800 oferecem suporte ao Express Path.
A Tabela 1 fornece detalhes sobre o suporte ao Express Path em diferentes placas da Série SRX.
| Firewall da Série SRX |
Nome do cartão e número do modelo |
Versão mais antiga com suporte |
|---|---|---|
| SRX5600, SRX5800 |
SRX5K-40GE-SFP |
Versão Junos OS 11.4 |
| SRX5600, SRX5800 |
SRX5K-4XGE-XFP |
Versão Junos OS 11.4 |
| SRX5600, SRX5800 |
SRX5K-FPC-IOC contendo uma das seguintes placas:
|
Versão Junos OS 11.4 |
| SRX5400, SRX5600, SRX5800 |
SRX5K-MPC contendo um dos seguintes MICs:
|
Versão Junos OS 12.3X48-D10 |
| SRX5400, SRX5600, SRX5800 |
SRX5K-MPC3 (IOC3) contendo um dos seguintes MPCs:
|
Versão Junos OS 15.1X49-D10 |
| SRX5400, SRX5600, SRX5800 |
SRX5K-IOC4-10G (IOC4) SRX5K-IOC4-MRAT |
Versão Junos OS 19.3R1 |
| SRX4600 |
Não aplicável | Versão Junos OS 19.2R1 |
Como habilitar o Express Path
O Express Path é automatizado a partir do Junos OS Release 21.2R1.
Para configurar o modo Express Path:
-
• Em um dispositivo de linha de SRX5000 com placas IOC ou IOC flex, use o
set chassis fpc fpc-number pic pic-number services-offloadcomando. -
Em um dispositivo de linha SRX5000 com Concentrador modular de portas (MPC), habilite o cache NP no IOC usando o
set chassis fpc fpc-number np-cachecomando. -
Em SRX4600 dispositivo, a opção de cache np é habilitada por padrão. Portanto, o
set chassis fpc fpc- number np-cachecomando não é aplicável.
Se você não usar o caminho expresso, não configure-o em nenhuma política de segurança.
Processador de rede Express Path
Em SRX4600, SRX5400, SRX5600 e dispositivos de SRX5800 com processador de rede, quando todos os plug-ins, incluindo plug-ins de pacotes e plug-ins de fluxo, ignoram uma sessão, fazemos o serviço de descarregar a sessão e depois instalamos a sessão no processador de rede. Quando o plug-in de pacotes ignora a sessão, marcamos as bandeiras de ignore. Quando o plug-in de streaming ignora a sessão, marcamos as bandeiras de ignore e o curto-circuito do TCP-T e do TCP-I. Em seguida, instalamos a sessão no processador de rede para descarregar a sessão.
O processador de rede de placa de E/S (IOC) processa os pacotes de caminho rápido sem passar pela malha do switch ou pela SPU. Isso reduz a latência do processamento de pacotes.
Cada entrada de fluxo tem um contador por asa no processador de rede Express Path. O contador captura o número de bytes que o processador de rede envia pela asa.
O comportamento do processador de rede em diferentes cenários é o seguinte:
-
Fluxo de primeiro caminho — O fluxo de primeiro caminho é o mesmo que o processo de fluxo atual do processador de rede. Quando o primeiro pacote chega ao processador de rede, o processador de rede analisa o TCP ou o pacote UDP para extrair uma chave de 5 tuple e, em seguida, realiza uma busca de sessão na tabela de fluxo. O processador de rede então encaminha o primeiro pacote para o ponto central. O ponto central não pode encontrar uma correspondência neste momento porque este é o primeiro pacote. O ponto central e a SPU criam uma sessão e a comparam com as políticas configuradas pelo usuário para determinar se a sessão é uma sessão normal ou uma sessão de descarregamento de serviços.
Se você especificar a sessão a ser gerenciada com o Express Path, a SPU cria uma entrada de sessão na tabela de fluxo do processador de rede. Isso permite a bandeira Express Path na tabela de entrada da sessão; caso contrário, a SPU cria uma entrada de sessão normal no processador de rede sem a bandeira Express Path.
-
Fluxo rápido — Depois de criar a entrada de sessão no processador de rede, os pacotes subsequentes da sessão corresponderão à tabela de entrada da sessão.
-
Se a bandeira Express Path não estiver definida, o processador de rede encaminha o pacote para a SPU especificada na tabela de entrada da sessão. O pacote passa pelo processo normal de fluxo.
-
Se o processador de rede encontrar a bandeira de descarregamento de serviços na tabela de entrada da sessão, ele processará o pacote localmente e enviará o pacote diretamente.
-
A função de encaminhamento rápido no processador de rede oferece suporte a sessões multicast de um fanout. A porta de saída na sessão também deve ser associada ao mesmo processador de rede que a porta de entrada. Todos os outros casos multicast precisam ser gerenciados como sessões normais.
-
-
Processo NAT — A SPU é responsável pelo mapeamento entre o endereço IP interno ou a porta e o endereço ou porta IP externo. Quando o primeiro pacote da sessão chega, a SPU aloca o endereço IP ou mapeamento de portas e armazena as informações na entrada da sessão do processador de rede. Se a bandeira NAT for definida, o processador de rede modifica o pacote.
-
Envelhecimento da sessão — Para melhorar a taxa de transferência de tráfego para sessões de descarregamento de serviços, uma cópia de um pacote é enviada à SPU em cada período de tempo predefinido para reduzir a demanda de processamento de pacotes na SPU. Para limitar o número de cópias de pacotes enviadas à SPU, um temporizador é implementado para cada sessão de descarregamento de serviços. O processador de rede calcula o tempo decorrido desde a última sessão. Se o tempo decorrido for maior do que o período de tempo predefinido, o processador de rede envia uma cópia do pacote para a SPU e atualiza o tempo de sessão.
-
Terminação e exclusão de sessão — se o processador de rede receber um pacote IP com uma bandeira FIN (dados acabados) ou RST (conexão de reset), ele encaminha o pacote para a SPU. A SPU então apaga o cache de sessão no processador de rede. O processador de rede continua a receber e encaminhar quaisquer pacotes para a SPU durante a transição de estado.
Contador de estatísticas de asas
No Express Path, o processador de rede oferece a opção de cada entrada de fluxo para manter um contador de bytes por asa. O contador captura o número de bytes que o processador de rede envia pela asa.
Quando você habilita o balcão, o processador de rede pesquisa sua entrada de fluxo (uma ala de sessão) em todos os pacotes de entrada. Se o pacote pertence a uma entrada de fluxo estabelecida, o processador de rede aumenta o balcão de byte da entrada de fluxo no pacote. O processador de rede copia periodicamente um pacote (pacote de cópia) de cada entrada de fluxo em sua SPU associada, permitindo que a SPU mantenha a sessão. O processador de rede envia valores de balcão de fluxo byte no cabeçalho de pacotes de pacotes de cópia. A SPU acumula e mantém contadores de estatísticas por asa.
Você não pode alterar a configuração de estatísticas durante o ciclo de vida de uma sessão ao vivo. Desativar ou habilitar a configuração de estatísticas por asa enquanto uma sessão está viva no processador de rede invalida as estatísticas da sessão na sessão atual. As novas estatísticas da sessão só podem ser válidas após o comprometimento das mudanças de configuração. Os contadores de processador de rede por asa não podem ser liberados. Em SRX5800 dispositivos com o SRX5K-MPC (IOC2), o SRX 5K-MPC3 (IOC3) e o SRX5K-IOC4-10G (IOC4) a configuração do contador de estatísticas de asa é habilitada, por padrão, em dispositivos on SRX4600, habilitar o contador de estatísticas de asa.
Estatísticas de sessões por asa
O processador de rede tem uma RAM estática (SRAM) maior para acomodar recursos de sessão, hospedando assim mais sessões por PIC. A Tabela 2 exibe o número total de asas de sessão, incluindo o Express Path e o Non-Express Path. Em SRX4600 dispositivos, a taxa de transferência IMIX é de 400Gbps.
| Número total de asas |
Número de asas de UDP do Express Path |
Número de asas de TCP do Express Path |
|||
|---|---|---|---|---|---|
| Placas e firewall da Série SRX | Sessões de modo caminho não expresso | Sem estatísticas | Com estatísticas | Sem estatísticas | Com estatísticas |
| SRX5000 dispositivo de linha SRX5K-MPC (IOC2)
|
1,8 milhão |
1,8 milhão |
1,8 milhão |
1,8 milhão |
1,8 milhão |
| dispositivo de linha SRX5000 SRX5K-MPC3 (IOC3) |
20 milhões |
20 milhões |
20 milhões |
20 milhões |
20 milhões |
| SRX5000 dispositivo de linha SRX5K IOC4 |
10 milhões |
10 milhões |
10 milhões |
10 milhões |
10 milhões |
| SRX4600 |
20 milhões |
20 milhões |
20 milhões |
20 milhões |
20 milhões |
Processamento de pacotes Express Path em placas IOC
Express Path nas placas IOC é baseado no processamento de pacotes de caminho rápido através do chipset de processador de rede em vez de na SPU para descarregar algumas funções básicas de firewall para a placa IOC.
Se você habilitou o recurso Express Path, a placa IOC oferece latência menor e também oferece suporte a uma taxa de transferência mais alta, removendo a sobrecarga na SPU. A placa IOC oferece suporte ao fluxo de tráfego intra-card e ao fluxo de tráfego entre cartões. Para obter os melhores resultados de latência, tanto a porta de entrada quanto a porta de saída de um fluxo de tráfego precisam estar no mesmo chip XM da placa IOC.
A placa IOC oferece suporte a FPC de 240Gbps e usa uma linha de chipsets de processamento de rede (NP) de terceira geração. Este chip de pesquisa e fila mais recente é otimizado para uma maior capacidade. A placa IOC é compatível com sCB2 e SCB3, o SCB anterior não é suportado.
Você não pode alimentar todos os quatro PICs na placa IOC simultaneamente devido à energia e restrições térmicas. Habilitar no máximo dois PICs em ordem uniforme ou estranha. Você pode usar o set chassis fpc <slot> pic <pic> power off comando para escolher o PIC para alimentar.
As mensagens de log do sistema são:
-
XMCHIP_CMERROR_DDRIF_INT_REG_CHKSUM_ERR_MINOR
-
XMCHIP_CMERROR_DDRIF_INT_REG_CHKSUM_ERR_MAJOR
As mensagens de erro indicam que o chip XM em um Concentrador PIC Flexível (FPC) detectou um erro de checksum, que está causando quedas de pacotes. Os valores de limite de erro a seguir classificam o erro como um erro grave ou um pequeno erro:
-
Erro menor — > 5 erros por segundo
-
Erro maior — > 255 erros por segundo (contagem máxima)
No plano de dados, o cartão IOC analisa pacotes e os olha na tabela de fluxo. Se a placa IOC encontrar uma correspondência na tabela de fluxo, então ela encaminha pacotes com base nas instruções dadas na tabela de fluxo. A placa IOC pode executar NAT, encapsular o cabeçalho de Camada 2 (L2) e encaminhar os pacotes para fora da interface de saída. A interface de saída pode estar localizada na mesma placa IOC (estojo intra-card) ou em outra placa IOC (estojo entre placas).
Quando a placa IOC recebe o primeiro pacote, ela não corresponde a nenhuma sessão de avanço rápido existente. O encaminhamento padrão baseado em hash é realizado para enviar o primeiro pacote para a SPU. A SPU então cria a sessão de segurança. Se a SPU descobrir que o tráfego está qualificado para o encaminhamento rápido, e a placa IOC relacionada suportar o encaminhamento rápido, ela instalará uma sessão rápida para a placa IOC. Se o encaminhamento rápido não puder ser aplicado ao tráfego, nenhuma mensagem de sessão é enviada, e a placa IOC usa o encaminhamento padrão baseado em hash para encaminhar os pacotes para a SPU.
No processamento rápido de placas IOC, se uma sessão de avanço rápido for combinada, o pacote pode ser encaminhado diretamente de acordo com o resultado do fluxo de sessão. A placa IOC toma todas as ações necessárias, por exemplo, encaminhando o pacote, verificando e diminuindo a tradução de NAT, e encapsulamento de cabeçalho de Camada 2.
Além disso, o chip XL envia uma cópia do pacote de encaminhamento para a SPU em um momento predefinido. Esta cópia é usada para atualizar a sessão de SPU, detectar o estado atual do chip XL e assim por diante. A SPU consome este pacote e não o encaminha, porque o pacote real foi processado e transmitido.
Inter-IOC3
Exemplo: Configure o Caminho Express em SRX5400, SRX5600 ou dispositivo de SRX5800 com uma placa IOC
Este exemplo mostra como configurar o Express Path em uma placa IOC em SRX5400, SRX5600 ou dispositivo de SRX5800.
Express Path é um mecanismo para processar pacotes de caminho rápido na rede, em vez da unidade de processamento de serviços (SPU). Esse método reduz a latência longa de processamento de pacotes que surge quando os pacotes são encaminhados de processadores de rede para SPUs para processamento e de volta aos IOCs para transmissão.
A partir do Junos OS Release 15.1X49-D40, a configuração é válida para o tráfego IPv6, antes desta versão era compatível apenas com tráfego IPv4.
- Requisitos
- Visão geral
- Configuração
- Resultados
- Verifique a configuração de uma placa IOC para Express Path
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
-
Um dispositivo de SRX5400, SRX5600 ou SRX5800 com uma placa IOC
-
Versão Junos OS 15.1X49-D40 ou posterior para firewalls da Série SRX
O Express Path é automatizado a partir do Junos OS Release 21.2R1.
Visão geral
Neste exemplo, você configura o Express Path na placa IOC em um dispositivo de linha SRX5000 para tráfego IPv6.
Você configura duas interfaces na placa IOC e atribui endereços IPv6 a elas. Em seguida, você habilita o processamento baseado em fluxo para tráfego IPv6. Em seguida, você configura zonas e adiciona interfaces a elas. Em seguida, você fornece comunicação entre as duas zonas diferentes configurando uma política de segurança para permitir o tráfego entre duas zonas. Você também habilita o Express Path em políticas de segurança para especificar se o tráfego se qualifica para o Express Path
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de[edit] hierarquia e, em seguida, entrar no commit modo de configuração.
[edit] set interfaces et-2/1/0 unit 0 family inet6 address 2001:db8::4:12/32 set interfaces et-2/3/0 unit 0 family inet6 address 2001:db8::6:11/32 set security forwarding-options family inet mode flow-based set security forwarding-options family inet6 mode flow-based set zones security-zone zone-1 host-inbound-traffic system-services all set zones security-zone zone-1 host-inbound-traffic protocols all set zones security-zone zone-1 interfaces et-2/1/0.0 set zones security-zone zone-2 host-inbound-traffic system-services all set zones security-zone zone-2 host-inbound-traffic protocols all set zones security-zone zone-2 interfaces et-2/3/0.0 security policies from-zone zone-2 to-zone zone-1 policy express-path-policy-2 match source- address any security policies from-zone zone-2 to-zone zone-1 policy express-path-policy-2 match destination- address any security policies from-zone zone-2 to-zone zone-1 policy express-path-policy-2 match application any security policies from-zone zone-2 to-zone zone-1 policy express-path-policy-2 then permit then permit services-offload security policies from-zone zone-1 to-zone zone-2 policy express-path-policy-1 match source- address any security policies from-zone zone-1 to-zone zone-2 policy express-path-policy-1 match destination- address any security policies from-zone zone-1 to-zone zone-2 policy express-path-policy-1 match application any security policies from-zone zone-1 to-zone zone-2 policy express-path-policy-1 then permit then permit services-offload set chassis fpc 2 np-cache
Procedimento passo a passo
Para configurar o Express Path em SRX5400, SRX5600 ou dispositivo de linha de SRX5800 com uma placa IOC:
-
Configure a interface Ethernet e atribua um endereço IPv6 a ele.
[edit] set interfaces et-2/1/0 unit 0 family inet6 address 2001:db8::4:12/32 set interfaces et-2/3/0 unit 0 family inet6 address 2001:db8::6:11/32
-
Habilite o processamento baseado em fluxo para o tráfego IPv6.
[edit] set security forwarding-options family inet mode flow-based set security forwarding-options family inet6 mode flow-based
-
Configure zonas de segurança, adicione interfaces e permita que todos os serviços e interfaces do sistema. Configure uma zona de segurança e especifique os tipos de tráfego e protocolos permitidos na interface et-2/1/0.0.
[edit] set zones security-zone zone-1 host-inbound-traffic system-services all set zones security-zone zone-1 host-inbound-traffic protocols all set zones security-zone zone-1 interfaces et-2/1/0.0
-
Configure zonas de segurança, adicione interfaces e permita que todos os serviços e interfaces do sistema. Configure uma zona de segurança e especifique os tipos de tráfego e protocolos que são permitidos na interface et-2/3/0,0.
[edit] set zones security-zone zone-2 host-inbound-traffic system-services all set zones security-zone zone-2 host-inbound-traffic protocols all set zones security-zone zone-2 interfaces et-2/3/0.0
-
Crie uma política e especifique os critérios de correspondência para essa política. Os critérios de correspondência especificam que o dispositivo pode permitir o tráfego de qualquer fonte a qualquer destino, e em qualquer aplicativo. Habilite o Express Path na política de segurança.
Nota:Você pode especificar o wildcard any-ipv6 para os critérios de correspondência de endereços de origem e destino para incluir apenas endereços IPv6. Especificando qualquer opção para os critérios de correspondência de endereço de origem e destino para incluir endereços IPv4 e IPv6.
[edit] security policies from-zone zone-2 to-zone zone-1 policy express-path-policy-2 match source- address any security policies from-zone zone-2 to-zone zone-1 policy express-path-policy-2 match destination- address any security policies from-zone zone-2 to-zone zone-1 policy express-path-policy-2 match application any security policies from-zone zone-2 to-zone zone-1 policy express-path-policy-2 then permit then permit services-offload
[edit] security policies from-zone zone-1 to-zone zone-2 policy express-path-policy-1 match source- address any security policies from-zone zone-1 to-zone zone-2 policy express-path-policy-1 match destination- address any security policies from-zone zone-1 to-zone zone-2 policy express-path-policy-1 match application any security policies from-zone zone-1 to-zone zone-2 policy express-path-policy-1 then permit then permit services-offload
-
Definir o modo Express Path na placa IOC.
[edit] set chassis fpc 2 np-cache
Resultados
A partir do modo de configuração, confirme sua configuração entrando no comando do chassi do show. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
from-zone zone-1 to-zone zone-2 { policy express-path-policy--1 {
match {
source-address any; destination-address any; application any;
}
then {
permit {
services-offload;
}
}
}
}
from-zone express-path-policy--2 { policy policy-2 {
match {
source-address any; destination-address any; application any;
}
then {
permit {
services-offload;
}
}
}
}
Se você terminar de configurar o dispositivo, insira o commit a partir do modo de configuração.
Verifique a configuração de uma placa IOC para Express Path
Propósito
Verifique se a placa IOC foi configurada corretamente para o Express Path.
Ação
A partir do modo operacional, entre no comando de status pic pic do chassi do show
Slot 1 Online SRX5k SPC II PIC 0 Online SPU Cp PIC 1 Online SPU Flow PIC 2 Online SPU Flow PIC 3 Online SPU Flow Slot 2 Online SRX5k IOC3 2CGE+4XGE PIC 0 Online 2x 10GE SFP+- np-cache/services-offload PIC 1 Online 1x 100GE CFP2- np-cache/services-offload PIC 2 Online 2x 10GE SFP+- np-cache/services-offload PIC 3 Online 1x 100GE CFP2- np-cache/services-offload Slot 3 Online SRX5k IOC3 24XGE+6XLG PIC 0 Offline 12x 10GE SFP+ PIC 1 Offline 12x 10GE SFP+ PIC 2 Online 3x 40GE QSFP+- np-cache/services-offload PIC 3 Online 3x 40GE QSFP+- np-cache/services-offload Slot 4 Offline SRX5k IOC3 24XGE+6XLG
Significado
A saída fornece o status dos PICs com o Express Path habilitado para eles.
Verificando todas as sessões ativas no dispositivo
Propósito
Exibir informações sobre todas as sessões do Express Path atualmente ativas no dispositivo.
Ação
A partir do modo operacional, insira o comando de descarregamento de serviços de sessão de fluxo de segurança do show.
Flow Sessions on FPC1 PIC1: Session ID: 50000002, Policy name: express-path-policy-2/5, Timeout: 60, Valid In: 2001:db8::4:12/32 --> 2001:db8::6:11/32;udp, If: et-2/3/0.0, Conn ID: 0x0, Pkts: 181 29505, Bytes: 1740432530, CP Session ID: 50000002 Out: 2001:db8::6:11/32 --> 2001:db8::4:12/32;udp, If: et-2/1/0.0, Conn ID: 0x0, Pkts: 18 129505, Bytes: 1740432530, CP Session ID: 50000002 Total sessions: 1
Significado
A saída fornece os detalhes da política para sessões nas quais o Express Path foi habilitado.