快速路径概述
Express Path(以前称为 服务卸载)是一种在网络处理器(而不是服务处理单元 (SPU))中处理快速路径数据包的机制。Express Path 通过将某些流量从 SPU 卸载到网络处理器来提高性能。
在网络处理器上创建 Express Path 会话时,流的后续数据包将与网络处理器上的会话匹配。然后,网络处理器处理并转发数据包。
网络处理器还管理其他处理,例如 TCP 序列检查、生存时间 (TTL) 处理、网络地址转换 (NAT) 和第 2 层标头转换。IOC3 上的流表由流模块的 SPU 管理。SPU 根据策略匹配结果在流表中插入和删除流条目。Express Path 支持 IPv6。
该图显示了 Express Path 中的数据包流。
快速通道的优势
-
显著提高单流和机箱级性能。
-
降低 SPU 利用率和延迟。
快速路径限制
Express Path 不支持:
-
特征
-
透明模式
-
具有多个扇出的组播会话
-
分段数据包
-
IPsec VPN
-
不同的 MTU 大小值
-
J-Flow
-
-
应用层网关 (ALG) 数据流量:
-
DNS
-
IKE 和 ESP
-
PPTP
-
SQL-NET
-
-
IPv6
-
NAT
-
透明模式
-
不同的 MTU 大小值
-
出口接口上的服务等级 (CoS)
-
当您使用防火墙过滤器将流量定向到虚拟路由器时,Express 路径和数据包卸载不起作用
如果在机箱群集模式下运行的设备上启用 Express Path:
-
不能配置非对称 I/O 卡 (IOC)。
-
如果来自启用了 LACP 的 reth 接口的子链路出现故障,则此链路上的所有流量都将分发到该接口的其他活动子链路。如果子链路启动并重新加入 reth 接口,则现有流量或会话不会通过这个新重新加入的活动子链路重新分配。新会话遍历此链接。
-
如果将新的子链路添加到启用了 LACP 的 reth 接口,则现有流量或会话不会通过此新的子链路重新分配。新会话遍历此链接。
自动快速通道
在 SRX4600、SRX5400、SRX5600 和 SRX5800 设备上,默认情况下,从 Junos OS 21.2R1 版开始启用自动快速路径。升级到 Junos 21.2R1 或更高版本时,无需任何额外的配置或硬件投资,即可解锁免费、无与伦比的新一代防火墙性能。默认情况下,自动快速路径处于启用状态。
在 Junos OS 21.2R1 版中,要禁用每个规则的快速路径,请使用 set security policies from-zone [untrust] to-zone ptrust] policy [services-offload-pol1] then permit no-services-offload 命令。
若要通过按规则启用服务卸载来恢复到以前的行为, set security forwarding-options services-offload disable 请使用命令。
自动快速通道支持以下功能:
-
有状态防火墙
-
网络地址转换 (NAT)
-
统一策略(具有动态应用程序和 URL 类别)
-
用户防火墙
-
安全情报
-
入侵检测和防御 (IDP)
-
增强型 Web 过滤
-
应用层网关 (ALG)
-
屏幕(防 DDoS)
Express Path 如何处理流量?
当第一个数据包到达接口时,网络处理器将其转发到中央点 (CP)。中央点又将数据包转发到 SPU。然后,SPU 在网络处理器上创建一个会话,并验证流量是否符合 Express Path 会话或正常会话的条件。
如果流量符合快速路径处理条件,则会在 SPU 中创建流量的快速路径会话。Express Path 会话处理网络处理器中的快速路径数据包,数据包从网络处理器退出。
如果流量不符合快速路径处理条件,SPU 将创建正常会话。正常会话将数据包从网络处理器转发到 SPU 以进行快速路径处理,
支持 Express Path 的平台
SRX4600、SRX5400、SRX5600和SRX5800设备支持 Express Path。
表 1 提供了有关不同 SRX 系列卡上的快速路径支持的详细信息。
| SRX 系列防火墙 |
卡名称和型号 |
支持的最早版本 |
|---|---|---|
| SRX5600, SRX5800 |
SRX5K-40GE-SFP |
Junos OS 11.4 版 |
| SRX5600, SRX5800 |
SRX5K-4XGE-XFP |
Junos OS 11.4 版 |
| SRX5600, SRX5800 |
SRX5K-FPC-IOC 包含以下卡之一:
|
Junos OS 11.4 版 |
| SRX5400、SRX5600 SRX5800 |
SRX5K-MPC 包含以下 MIC 之一:
|
Junos OS 版本 12.3X48-D10 |
| SRX5400、SRX5600 SRX5800 |
SRX5K-MPC3 (IOC3),包含以下 MPC 之一:
|
Junos OS 版本 15.1X49-D10 |
| SRX5400、SRX5600 SRX5800 |
SRX5K-IOC4-10G (IOC4) SRX5K-IOC4-MRAT |
Junos OS 19.3R1 版 |
| SRX4600 |
不適用 | Junos OS 19.2R1 版 |
如何启用快速路径
Express Path 从 Junos OS 21.2R1 版开始自动执行。
要配置快速路径模式:
-
• 在带有 IOC 或灵活 IOC 卡的 SRX5000 系列设备上,使用
set chassis fpc fpc-number pic pic-number services-offload命令。 -
在具有模块化端口集中器 (MPC) 的 SRX5000 系列设备上,使用命令在
set chassis fpc fpc-number np-cacheIOC 上启用 NP 缓存。 -
在SRX4600设备上,默认情况下启用 np 缓存选项。因此,该
set chassis fpc fpc- number np-cache命令不适用。
如果不使用快速路径,请不要在任何安全策略中对其进行配置。
Express Path 网络处理器
在具有网络处理器的SRX4600、SRX5400、SRX5600和SRX5800设备上,当所有插件(包括数据包插件和流插件)忽略会话时,我们会卸载会话,然后将会话安装在网络处理器上。当数据包插件忽略会话时,我们会标记忽略标志。当流插件忽略会话时,我们标记忽略标志并使 TCP-T 和 TCP-I 短路。然后,我们将会话安装在网络处理器上以卸载会话。
I/O 卡 (IOC) 网络处理器处理快速路径数据包,而无需通过交换矩阵或 SPU。这减少了数据包处理延迟。
每个流条目在 Express Path 网络处理器中都有一个每翼计数器。计数器捕获网络处理器通过机翼发送的字节数。
网络处理器在不同场景下的行为如下:
-
第一路径流 — 第一路径流与当前网络处理器流进程相同。当第一个数据包到达网络处理器时,网络处理器解析 TCP 或 UDP 数据包以提取 5 元组密钥,然后在流表中执行会话查找。然后,网络处理器将第一个数据包转发到中心点。中心点此时找不到匹配项,因为这是第一个数据包。中央点和 SPU 创建一个会话,并将其与用户配置的策略进行匹配,以确定该会话是正常会话还是服务卸载会话。
如果指定要使用 Express Path 管理的会话,SPU 将在网络处理器流表中创建一个会话条目。这将在会话条目表中启用 Express Path 标志;否则,SPU 将在网络处理器中创建不带 Express Path 标志的正常会话条目。
-
快速路径流 — 在网络处理器中创建会话条目后,会话的后续数据包将与会话条目表匹配。
-
如果未设置 Express Path 标志,则网络处理器会将数据包转发到会话条目表中指定的 SPU。数据包通过正常的流过程。
-
如果网络处理器在会话条目表中找到 services-offload 标志,它将在本地处理数据包并直接发送数据包。
-
网络处理器上的快进功能支持单扇出组播会话。会话中的出口端口还必须与入口端口相同的网络处理器相关联。所有其他组播案例都需要作为正常会话进行管理。
-
-
NAT 进程 — SPU 负责内部 IP 地址或端口与外部 IP 地址或端口之间的映射。当会话的第一个数据包到达时,SPU 将分配 IP 地址或端口映射,并将信息存储在网络处理器会话条目中。如果设置了 NAT 标志,则网络处理器将修改数据包。
-
会话老化 — 为了提高服务卸载会话的流量吞吐量,会在每个预定义的时间段向 SPU 发送数据包副本,以减少 SPU 上的数据包处理需求。为了限制发送到 SPU 的数据包副本数,需要为每个服务卸载会话实施时间戳。网络处理器计算自上次会话匹配以来经过的时间。如果经过的时间大于预定义的时间段,则网络处理器会将数据包的副本发送到 SPU 并更新会话时间戳。
-
会话终止和删除 — 如果网络处理器收到带有 FIN(完成数据)或 RST(重置连接)标志的 IP 数据包,则会将该数据包转发到 SPU。然后,SPU 会删除网络处理器上的会话缓存。在状态转换期间,网络处理器继续接收任何数据包并将其转发到 SPU。
机翼统计柜台
在 Express Path 中,网络处理器为每个流条目提供选项,以保留每翼字节计数器。计数器捕获网络处理器通过机翼发送的字节数。
启用计数器时,网络处理器会在其流入口(会话翼)中搜索每个入口数据包。如果数据包属于已建立的流条目,则网络处理器会增加数据包中流条目的字节计数器。网络处理器定期将每个流条目的数据包(copy-packet)复制到其关联的 SPU,从而使 SPU 能够维护会话。网络处理器在复制数据包的标头中发送流字节计数器值。SPU 累积并保留每翼统计计数器。
您无法在实时会话的生命周期内更改统计信息配置。当会话在网络处理器处于活动状态时禁用或启用每翼统计信息配置会使当前会话的会话统计信息无效。只有在提交配置更改后,新会话统计信息才有效。无法清除网络处理器每翼计数器。在具有 SRX5K-MPC (IOC2)、SRX 5K-MPC3 (IOC3) 和 SRX5K-IOC4-10G (IOC4) 的SRX5800设备上,将启用翼式统计计数器配置,默认情况下,在SRX4600设备上,启用翼式统计计数器。
每翼会话数统计
网络处理器具有更大的静态 RAM (SRAM) 来容纳会话资源,因此每个 PIC 托管更多会话。 表 2 显示了会话翼的总数,包括快速路径和非快速路径。在 SRX4600 设备上,IMIX 吞吐量为 400Gbps。
| 机翼总数 |
快速路径 UDP 翼数 |
快速路径 TCP 翼数 |
|||
|---|---|---|---|---|---|
| 卡和 SRX 系列防火墙 | 非快速路径模式会话 | 没有统计数据 | 带统计 | 没有统计数据 | 带统计 |
| SRX5000 系列设备 SRX5K-MPC (IOC2)
|
180 万 |
180 万 |
180 万 |
180 万 |
180 万 |
| SRX5000 系列设备 SRX5K-MPC3 (IOC3) |
2000 万 |
2000 万 |
2000 万 |
2000 万 |
2000 万 |
| SRX5000系列设备 SRX5K IOC4 |
1000 万 |
1000 万 |
1000 万 |
1000 万 |
1000 万 |
| SRX4600 |
2000 万 |
2000 万 |
2000 万 |
2000 万 |
2000 万 |
IOC 卡上的快速路径数据包处理
IOC 卡上的快速路径基于通过网络处理器芯片组(而不是在 SPU 中)处理快速路径数据包,以便将一些基本的防火墙功能卸载到 IOC 卡。
如果已启用 Express Path 功能,则 IOC 卡可提供更低的延迟,并通过消除 SPU 上的过载来支持更高的吞吐量。IOC 卡同时支持卡内流量和卡间流量。为了获得最佳延迟结果,流量的入口端口和出口端口需要位于 IOC 卡的同一 XM 芯片上。
IOC 卡支持 240Gbps FPC,并使用第三代网络处理 (NP) 系列芯片组。这款最新的查找和排队芯片针对更高容量进行了优化。IOC卡兼容SCB2和SCB3,不支持早期的SCB。
由于电源和散热限制,您无法同时打开 IOC 卡中所有四个 PIC 的电源。最多以偶数或奇数顺序打开两个 PIC 的电源。您可以使用命令 set chassis fpc <slot> pic <pic> power off 选择要打开电源的 PIC。
系统日志消息包括:
-
XMCHIP_CMERROR_DDRIF_INT_REG_CHKSUM_ERR_MINOR
-
XMCHIP_CMERROR_DDRIF_INT_REG_CHKSUM_ERR_MAJOR
错误消息指示灵活 PIC 集中器 (FPC) 上的 XM 芯片检测到校验和错误,从而导致丢包。以下错误阈值将错误分类为主要错误或次要错误:
-
次要错误 — 每秒 > 5 个错误
-
主要错误 — 每秒 > 255 个错误(最大计数)
在数据平面中,IOC 卡解析数据包并在流表中查找数据包。如果 IOC 卡在流表中找到匹配项,则会根据流表中给出的指令转发数据包。IOC 卡可以执行 NAT,封装第 2 层 (L2) 标头,并将数据包转发出出口接口。出口接口可以位于同一 IOC 卡(卡内机箱)或另一个 IOC 卡(卡间机箱)上。
当 IOC 卡收到第一个数据包时,它与任何现有的快进会话都不匹配。执行默认的基于哈希的转发以将第一个数据包发送到 SPU。然后,SPU 将创建安全会话。如果 SPU 发现流量符合快进条件,并且相关 IOC 卡支持快进,则会安装 IOC 卡的快进会话。如果无法对流量应用快速转发,则不会发送会话消息,IOC 卡将使用默认的基于哈希的转发将数据包转发到 SPU。
在快进 IOC 卡处理中,如果匹配快进会话,则可以根据会话流结果直接转发数据包。IOC 卡执行所有必要的操作,例如转发数据包、TTL 检查和减少 NAT 转换以及第 2 层标头封装。
此外,XL 芯片会在预定义的时间向 SPU 发送转发数据包的一个副本。此副本用于刷新 SPU 会话、检测当前 XL 芯片状态等。SPU 使用此数据包但不转发它,因为实际数据包已经过处理和传输。
示例:在具有 IOC 卡的SRX5400、SRX5600或SRX5800设备上配置快速路径
此示例说明如何在 SRX5400、SRX5600 或 SRX5800 设备上的 IOC 卡上配置 Express Path。
Express Path 是一种在网络(而非服务处理单元 (SPU))中处理快速路径数据包的机制。此方法可减少数据包从网络处理器转发到 SPU 进行处理,然后再转发回 IOC 进行传输时产生的较长数据包处理延迟。
从 Junos OS 版本 15.1X49-D40 开始,该配置对 IPv6 流量有效,在此版本的早期版本中,仅支持 IPv4 流量。
要求
此示例使用以下硬件和软件组件:
-
一台带有 IOC 卡的 SRX5400、SRX5600 或 SRX5800 设备
-
适用于 SRX 系列防火墙的 Junos OS 15.1X49-D40 或更高版本
Express Path 从 Junos OS 21.2R1 版开始自动执行。
概述
此示例将在 SRX5000 线路设备上的 IOC 卡上为 IPv6 流量配置快速路径。
您可以在 IOC 卡上配置两个接口并为其分配 IPv6 地址。然后,为 IPv6 流量启用基于流的处理。接下来,设置区域并向其添加接口。然后,通过配置安全策略以允许两个区域之间的流量,在两个不同区域之间提供通信。您还可以在安全策略中启用 Express Path,以指定流量是否符合 Express Path 的条件
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI[edit] 中,然后从配置模式进入 commit 。
[edit] set interfaces et-2/1/0 unit 0 family inet6 address 2001:db8::4:12/32 set interfaces et-2/3/0 unit 0 family inet6 address 2001:db8::6:11/32 set security forwarding-options family inet mode flow-based set security forwarding-options family inet6 mode flow-based set zones security-zone zone-1 host-inbound-traffic system-services all set zones security-zone zone-1 host-inbound-traffic protocols all set zones security-zone zone-1 interfaces et-2/1/0.0 set zones security-zone zone-2 host-inbound-traffic system-services all set zones security-zone zone-2 host-inbound-traffic protocols all set zones security-zone zone-2 interfaces et-2/3/0.0 security policies from-zone zone-2 to-zone zone-1 policy express-path-policy-2 match source- address any security policies from-zone zone-2 to-zone zone-1 policy express-path-policy-2 match destination- address any security policies from-zone zone-2 to-zone zone-1 policy express-path-policy-2 match application any security policies from-zone zone-2 to-zone zone-1 policy express-path-policy-2 then permit then permit services-offload security policies from-zone zone-1 to-zone zone-2 policy express-path-policy-1 match source- address any security policies from-zone zone-1 to-zone zone-2 policy express-path-policy-1 match destination- address any security policies from-zone zone-1 to-zone zone-2 policy express-path-policy-1 match application any security policies from-zone zone-1 to-zone zone-2 policy express-path-policy-1 then permit then permit services-offload set chassis fpc 2 np-cache
分步过程
要在带有 IOC 卡的SRX5400、SRX5600或SRX5800线路设备上配置 Express Path:
-
配置以太网接口并为其分配 IPv6 地址。
[edit] set interfaces et-2/1/0 unit 0 family inet6 address 2001:db8::4:12/32 set interfaces et-2/3/0 unit 0 family inet6 address 2001:db8::6:11/32
-
为 IPv6 流量启用基于流的处理。
[edit] set security forwarding-options family inet mode flow-based set security forwarding-options family inet6 mode flow-based
-
配置安全区域、添加接口并允许所有系统服务和接口。配置安全区域并指定接口 et-2/1/0.0 上允许的流量类型和协议。
[edit] set zones security-zone zone-1 host-inbound-traffic system-services all set zones security-zone zone-1 host-inbound-traffic protocols all set zones security-zone zone-1 interfaces et-2/1/0.0
-
配置安全区域、添加接口并允许所有系统服务和接口。配置安全区域并指定接口 et-2/3/0.0 上允许的流量类型和协议。
[edit] set zones security-zone zone-2 host-inbound-traffic system-services all set zones security-zone zone-2 host-inbound-traffic protocols all set zones security-zone zone-2 interfaces et-2/3/0.0
-
创建策略并指定该策略的匹配标准。匹配标准指定设备可以允许从任何源到任何目标以及任何应用程序的流量。在安全策略中启用快速路径。
注意:您可以为源地址和目标地址匹配标准指定通配符 any-ipv6,以仅包含 IPv6 地址。为源地址和目标地址匹配标准指定任意选项,以同时包括 IPv4 和 IPv6 地址。
[edit] security policies from-zone zone-2 to-zone zone-1 policy express-path-policy-2 match source- address any security policies from-zone zone-2 to-zone zone-1 policy express-path-policy-2 match destination- address any security policies from-zone zone-2 to-zone zone-1 policy express-path-policy-2 match application any security policies from-zone zone-2 to-zone zone-1 policy express-path-policy-2 then permit then permit services-offload
[edit] security policies from-zone zone-1 to-zone zone-2 policy express-path-policy-1 match source- address any security policies from-zone zone-1 to-zone zone-2 policy express-path-policy-1 match destination- address any security policies from-zone zone-1 to-zone zone-2 policy express-path-policy-1 match application any security policies from-zone zone-1 to-zone zone-2 policy express-path-policy-1 then permit then permit services-offload
-
在 IOC 卡上设置快速路径模式。
[edit] set chassis fpc 2 np-cache
结果
在配置模式下,输入 show chassis 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。
from-zone zone-1 to-zone zone-2 { policy express-path-policy--1 {
match {
source-address any; destination-address any; application any;
}
then {
permit {
services-offload;
}
}
}
}
from-zone express-path-policy--2 { policy policy-2 {
match {
source-address any; destination-address any; application any;
}
then {
permit {
services-offload;
}
}
}
}
如果完成设备配置,请从配置模式输入提交。
验证用于快速路径的 IOC 卡的配置
目的
验证是否已为 Express Path 正确配置 IOC 卡。
行动
在操作模式下,输入显示机箱 fpc pic-status 命令
Slot 1 Online SRX5k SPC II PIC 0 Online SPU Cp PIC 1 Online SPU Flow PIC 2 Online SPU Flow PIC 3 Online SPU Flow Slot 2 Online SRX5k IOC3 2CGE+4XGE PIC 0 Online 2x 10GE SFP+- np-cache/services-offload PIC 1 Online 1x 100GE CFP2- np-cache/services-offload PIC 2 Online 2x 10GE SFP+- np-cache/services-offload PIC 3 Online 1x 100GE CFP2- np-cache/services-offload Slot 3 Online SRX5k IOC3 24XGE+6XLG PIC 0 Offline 12x 10GE SFP+ PIC 1 Offline 12x 10GE SFP+ PIC 2 Online 3x 40GE QSFP+- np-cache/services-offload PIC 3 Online 3x 40GE QSFP+- np-cache/services-offload Slot 4 Offline SRX5k IOC3 24XGE+6XLG
意义
输出提供启用了快速路径的 PIC 的状态。
验证设备上的所有活动会话
目的
显示有关设备上所有当前处于活动状态的 Express Path 会话的信息。
行动
在操作模式下,输入显示安全流会话服务卸载命令。
Flow Sessions on FPC1 PIC1: Session ID: 50000002, Policy name: express-path-policy-2/5, Timeout: 60, Valid In: 2001:db8::4:12/32 --> 2001:db8::6:11/32;udp, If: et-2/3/0.0, Conn ID: 0x0, Pkts: 181 29505, Bytes: 1740432530, CP Session ID: 50000002 Out: 2001:db8::6:11/32 --> 2001:db8::4:12/32;udp, If: et-2/1/0.0, Conn ID: 0x0, Pkts: 18 129505, Bytes: 1740432530, CP Session ID: 50000002 Total sessions: 1
意义
输出提供启用了 Express Path 的会话的策略详细信息。