Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

电源模式

电源模式

PowerMode 是一个新的默认数据平面框架,它引入了优化的快速路径,从而在 SRX 系列防火墙上实现更高的吞吐量和更低的延迟。PowerMode 能够加速 IPsec作以及通用 TCP 和 UDP 流,其方式与基于 Trio 的平台上的 Express Path 相同。

在 Junos OS 21.3R1 版中,该功能存在以下限制:

  • 非 IP 协议。
  • 不是 TCP、UDP、ESP、SCTP 和 GTP 的 IP 协议。
  • 组播会话。
  • 出口逻辑隧道 (LT) 接口和跨 LSYS 流量。
  • 需要 TCP-Proxy 的会话。
  • 防火墙过滤器。
  • Mac 学习和透明模式。
  • 主动/主动 HA 群集,当会话通过称为 Z 模式流量的交换矩阵链路时。
注意:

具有 PMI 的 SRX 系列防火墙仅支持基于流的 CoS(服务等级)。

另见

PowerMode Express

PowerMode Express 概述

PowerMode Express (PME) 是一种使用矢量数据包处理提高性能的作模式。PME 在数据包转发引擎 (PFE) 中使用一个小软件块,帮助处理接收缓冲区中的多个数据包,从而更好地利用 CPU 缓存。

图 1:PowerMode Express Packet Flow in PowerMode Express 中的数据包流

好处

  • 改进了快速路径处理和 UDP 吞吐量性能。

在 SRX4100、SRX4200、SRX4600、SRX5400、SRX5600、SRX5800 和 vSRX 设备上,默认情况下从 Junos OS 版 21.3R1 开始启用 PowerMode Express。升级至 Junos 21.3R1 或更高版本后,无需任何额外配置或硬件投资,即可免费获得无与伦比的新一代防火墙性能。

要全局禁用 PowerMode Express,请使用命令 set security flow power-mode-disable

PowerMode Express 支持:

  • 服务等级 (CoS)

  • 网络地址转换 (NAT)

  • 筛选(Anti-DDoS)

  • 转发等级

  • 路由实例

PowerMode Express 限制

PowerMode Express 不支持:

  • 非 IP 协议

  • 非 TCP、UDP、ESP、SCTP 和 GTP 的 IP 协议

  • 组播会话

  • 出口逻辑隧道 (LT) 接口和跨 LSYS 流量

  • 需要监管器、系统日志和计数器的会话

  • 防火墙过滤器

  • 主动/主动 HA 群集,当会话通过称为 Z 模式流量的交换矩阵链路时

PowerMode Express 如何处理流量

当第一个数据包到达接口时,将在 PowerMode 中创建一个新会话。如果新会话符合 PowerMode Express 的条件,则会进行 PowerMode 资格检查。

PowerMode Express 会话处理网络处理器中的快速路径数据包,以便进行 jexec 处理。在 jexec 第 2 层转发阶段,缓存下一跃点、转发类、服务等级 (CoS) 信息允许 PowerMode Express 会话的后续数据包。

如何重新启用 PowerMode Express

默认情况下,PowerMode Express 处于启用状态。如果禁用 PowerMode express,则可以使用以下命令重新启用:

验证

要确认配置工作正常,请输入以下 show 命令。

另见

电源模式 IPsec

PowerMode IPsec (PMI) 是适用于 SRX4100、SRX4200、SRX4600、SRX5400、SRX5600、SRX5800 和 vSRX 虚拟防火墙 实例的新作模式,用于提高 IPsec 性能。从 Junos OS 19.1R1 版开始,PMI 得到了增强,可使用第一路径或快速路径处理来处理传入和传出的分段数据包。

使用 set security flow power-mode-ipsec 命令启用 PMI 进程。要验证数据包是否利用 PMI,请使用 show security flow pmi statistics 命令。

了解 PMI 优先路径和快速路径处理

在 PMI 第一条路径处理中:

  • 传入的第一个路径数据包被传送到流以创建会话。

  • 传入的片段数据包被传送到流进行重组。

  • 传入的数据包被传送到流中,以便进行高级安全服务处理。

在 PMI 快速路径处理中,使用 PMI 驱动程序:

  • 对传入的明文进行加密并直接发送。

  • 使用会话匹配直接解密并发送传入的 ESP 数据包。

在 PMI 优先路径和快速路径处理之间切换

第一条路径处理涉及更多的特征和指令,而 PMI 快速路径处理提供更好的性能。在 PMI 会话中,数据包处理会根据会话中的数据包流在第一路径和快速路径之间切换。

  • 包含分段数据包和非分段数据包的 PMI 会话由第一条路径处理。

  • 当会话只有非分段数据包时,会话将从第一条路径切换为快速过去处理。

注意:

在 SRX5400、SRX5600 和 SRX5800 设备上,切换会在 NP 会话超时后发生。

传入 IP 数据包分段

为了支持对 PMI 的传入 IP 数据包进行分段,在第一条路径中使用了以下步骤:

  • PMI 将会话中所有分段的 IP 数据包传输到流模块进行处理。

  • PMI 将同一会话中的所有非分段 IP 数据包传输到流模块,以便进行数据包排序。

  • Flow 模块完成分段数据包的重组,并将数据包传输回 PMI 进行加密。

传出 IP 数据包分段

要支持对 PMI 的传出 IP 数据包进行分段,请使用以下步骤:

  • PMI 在会话查找期间检测需要分段的明文数据包,并将数据包传送到流模块。

  • 流模块对传出数据包进行分段。

  • PMI 在传输数据包之前对数据包进行加密。

NP 会话支持

在 SRX4100、SRX4200 和 vSRX 虚拟防火墙 设备上,分段数据包和非分片数据包被散列到同一 CPU 内核进行处理。因此,不支持 NP 会话。

在采用 SPC3 的 SRX5400、SRX5600 和 SRX5800 设备上,分段数据包和非分片数据包被散列到不同的 CPU 内核进行处理。因此,NP 会话支持将分段或非分段数据包传送到同一核心进行排序。

注意:

如果 PMI 会话或非 PMI 会话由于 NP 会话容量有限而未安装 NP 会话,则此 PMI 会话的数据包订购可能不可用。

变更历史表

是否支持某项功能取决于您使用的平台和版本。使用 功能浏览器 查看您使用的平台是否支持某项功能。

释放
描述
19.1R1
从 Junos OS 19.1R1 版开始,PMI 得到了增强,可使用第一路径或快速路径处理来处理传入和传出的分段数据包。