forwarding-process
语法
forwarding-process {
application-services (Security Forwarding Process) {
enable-gtpu-distribution;
inline-fpga-crypto (disabled | enabled);
maximize-alg-sessions;
maximize-idp-sessions {
inline-tap;
weight (Security) {
firewall;
idp {
}
}
}
maximize-persistent-nat-capacity;
packet-ordering-mode (hardware | software);
}
enhanced-services-mode;
}
层次结构级别
[edit security]
描述
您可以将 SRX5400、SRX5600 和 SRX5800 设备配置为从集成防火墙模式切换,以最大化入侵检测和防御 (IDP) 模式,从而在分路模式下运行 IDP 处理,并通过该 maximize-idp-sessions 选项增加处理容量。仅当转发进程模式设置为 maximize-idp-sessions时,才能配置内联分路模式,这可确保防火墙服务的稳定性和弹性。您也不需要单独的分路器或跨度端口即可使用内联分路模式。最大化 IDP 时,会将 IDP 进程与防火墙进程分离,从而允许设备支持相同数量的防火墙和 IDP 会话,并在分路模式下运行 IDP 处理。
您可以使用该 maximize-alg-sessions 选项配置最大应用程序层网关 (ALG) 会话数。默认情况下,实时流协议 (RTSP)、FTP 和简单文件传输协议 (TFTP) ALG 会话的会话容量为每个流服务处理单元 (SPU) 10,000。您必须重新启动设备(及其在机箱群集模式下的对等方)才能使配置生效。该 maximize-alg-sessions 选项现在允许您增加默认值,如下所示:
RTSP、FTP 和 TFTP ALG 会话容量:每个流 SPU 25,000 个
TCP 代理连接容量:每个流 SPU 40,000 个
注意:每个流 SPU 的流会话容量减少到一半;因此,上述容量数字不会在中心点流上发生变化。
启用 GPRS 隧道协议、用户平面 (GTP-U) 会话分配,以分配由所有服务处理单元 (SPU) 上的网关 GPRS 支持节点 (GGSN) 和服务 GPRS 支持节点 (SGSN) 对处理的 GTP-U 流量。您可以通过 SRX5400、SRX5600 和 SRX5800 设备上的选项将 enable-gtpu-distribution 基于隧道的分配配置为将 GTP-U 流量分发到多个 SPU,这有助于解决 GTP-U 胖会话问题。此外, enable-gtpu-distribution 命令是启用状态 GTP-U 检查的必要条件。
选项
| enhanced-services-mode | 启用增强型应用程序服务模式。 启用增强型服务模式后,MBUF、JBUF、SERVICE-MEM、TCP-PROXY TCB、SZ-INFO 和用户堆等资源的大小将增加,第 4 层会话数将减少一半。 |
其余语句将单独解释。请参阅 CLI 资源管理器。
所需权限级别
安全性 - 在配置中查看此信息。
安全控制 - 将其添加到配置中。
发布信息
Junos OS 9.6 版中引入的语句。支持此语句。
vSRX 虚拟防火墙 3.0 上的 Junos OS 20.3R1 版中引入的选项 enhanced-services-mode 。