Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

电源模式

电源模式

PowerMode 是一种新的默认数据平面框架,它引入了优化的快速路径,从而允许在 SRX 系列防火墙上实现更高的吞吐量和更低的延迟。PowerMode 能够以与基于 Trio 的平台上的 Express Path 相同的方式加速 IPsec 操作以及通用 TCP 和 UDP 流。

在 Junos OS 21.3R1 版中,该功能具有以下限制:

  • 非 IP 协议。
  • 非 TCP、UDP、ESP、SCTP 和 GTP 的 IP 协议。
  • 组播会话。
  • 出口逻辑隧道 (LT) 接口和跨 LSYS 流量。
  • 需要 TCP-Proxy 的会话。
  • 防火墙过滤器。
  • Mac 学习和透明模式。
  • 主动/主动 高可用性群集 当会话通过称为 Z 模式流量的交换矩阵链路时。
注意:

具有 PMI 的 SRX 系列防火墙仅支持基于流的 CoS(服务等级)。

也可以看看

PowerMode Express

PowerMode Express 概述

PowerMode Express (PME) 是一种使用矢量数据包处理来提高性能的操作模式。PME 在数据包转发引擎 (PFE) 中使用一个小型软件块,有助于处理接收缓冲区中的多个数据包,从而更好地利用 CPU 缓存。

图 1:PowerMode Express Data processing pipeline: Receive packets in batches using RSS or hash. Process on Core1 starting with Rx burst queue. Decode metadata, parse Layer 2 and 3 headers, lookup session info, classify packets, transmit, and send to RFP. Feedback loop for additional processing. 中的数据包流

优势

  • 改进了快速路径处理和 UDP 吞吐量性能。

在 SRX4100、SRX4200、SRX4600、SRX5400、SRX5600、SRX5800 和 vSRX 设备上,默认情况下从 Junos OS 21.3R1 版开始启用 PowerMode Express。升级到 Junos 21.3R1 或更高版本后,即可免费获得无与伦比的新一代防火墙性能,无需任何额外配置或硬件投资。

要全局禁用 PowerMode Express,请使用命令 set security flow power-mode-disable

PowerMode Express 支持:

  • 服务等级 (CoS)

  • 网络地址转换 (NAT)

  • 筛选(防 DDoS)

  • 转发类

  • 路由实例

PowerMode Express 限制

PowerMode Express 不支持:

  • 非 IP 协议

  • 非 TCP、UDP、ESP、SCTP 和 GTP 的 IP 协议

  • 组播会话

  • 出口逻辑隧道 (LT) 接口和跨 LSYS 流量

  • 需要监管器、系统日志和计数器的会话

  • 防火墙过滤器

  • 会话通过交换矩阵链路(称为 Z 模式流量)时的主动/主动 高可用性群集

PowerMode Express 如何处理流量

当第一个数据包到达某个接口时,将在 PowerMode 中创建一个新会话。如果新会话符合 PowerMode Express 的条件,则会进行 PowerMode 资格检查。

PowerMode Express 会话处理网络处理器中的快速路径数据包,以进行 jexec 处理。在 jexec 第 2 层转发阶段,缓存下一跃点、转发类、服务等级 (CoS) 信息允许 PowerMode Express 会话的后续数据包。

如何重新启用 PowerMode Express

默认情况下,PowerMode Express 处于启用状态。如果禁用 PowerMode Express,则可以使用以下命令重新启用:

验证

要确认配置工作正常,请输入以下 show 命令。

也可以看看

PowerMode IPsec

PowerMode IPsec (PMI) 是一种用于提高 IPsec 性能的新操作模式。从 Junos OS 19.1R1 版开始,PMI 得到了增强,可使用第一路径或快速路径处理来处理传入和传出的分片数据包。

使用 功能资源管理器 确认平台和版本对特定功能的支持。

使用命令 set security flow power-mode-ipsec 启用 PMI 进程。要验证数据包是否正在利用 PMI,请使用 show security flow pmi statistics 命令。

了解 PMI 第一路径和快速路径处理

在 PMI 第一路径处理中:

  • 传入的第一个路径数据包被传递到创建会话流。

  • 传入的分片数据包被传递到流中进行重组。

  • 传入的数据包按流交付,以进行高级安全服务处理。

在 PMI 快速路径处理中,使用 PMI 驱动程序:

  • 对传入的明文进行加密并直接发送。

  • 使用会话匹配直接解密并发送传入的 ESP 数据包。

在 PMI 第一路径和快速路径处理之间切换

第一路径处理涉及更多的功能和指令,而 PMI 快速路径处理提供了更好的性能。在 PMI 会话中,数据包处理会根据会话中的数据包流在第一路径和快速路径之间切换。

  • 包含分段和非分段数据包的 PMI 会话通过第一路径进行处理。

  • 当会话只有非分段数据包时,会话将从第一路径切换到快速过去处理。

传入 IP 数据包分片

为了支持 PMI 传入 IP 数据包的分段,在第一个路径中使用了以下步骤:

  • PMI 将会话中的所有分片 IP 数据包传输到流模块进行处理。

  • PMI 将同一会话中的所有非分段 IP 数据包传输到流模块,以便对数据包进行排序。

  • 流模块完成分段数据包的重组,并将数据包传输回 PMI 进行加密。

传出 IP 数据包分片

要支持 PMI 的传出 IP 数据包的分段,请使用以下步骤:

  • PMI 检测在会话查找期间需要分段的明文数据包,并将数据包传送到流模块。

  • 流模块对传出数据包进行分段。

  • PMI 在传输数据包之前对其进行加密。

NP 会话

由于 NP 会话容量有限,PMI 会话或非 PMI 会话未安装 NP 会话,则此 PMI 会话的数据包排序可能不可用。

使用 功能资源管理器 确认平台和版本对特定功能的支持。

查看 特定于平台的 NP 会话行为 部分,了解与您的平台相关的注意事项。

特定于平台的 NP 会话行为

使用 功能资源管理器 确认平台和版本对特定功能的支持。

使用下表查看平台的特定于平台的行为:

平台

差异

SRX 系列防火墙

  • 在支持 NP 会话的 SRX4100、SRX4200 和 vSRX 虚拟防火墙设备上,可支持散列到同一 CPU 内核进行处理的分片和非分片数据包。因此,不支持 NP 会话。

  • 在配备支持 NP 会话支持的 SPC3 的 SRX5400、SRX5600 和 SRX5800 设备上,将分段和非分段数据包散列到不同的 CPU 内核进行处理。因此,支持 NP 会话将分片或非分片数据包传送到同一核心进行排序。

  • 在 SRX5400、SRX5600 和 SRX5800 设备上,交换会在 NP 会话超时后进行。

变更历史表

是否支持某项功能取决于您使用的平台和版本。使用 功能资源管理器 确定您的平台是否支持某个功能。

发布
描述
19.1R1
从 Junos OS 19.1R1 版开始,PMI 得到了增强,可使用第一路径或快速路径处理来处理传入和传出的分片数据包。