close

keyboard_arrow_left

Table of Contents Expand all

play_arrow 通用分组无线服务（GPRS）概述
- GPRS 简介
play_arrow 保护 GTP 流量
play_arrow 保护流控制传输协议（SCTP）流量
- SCTP 概述
- SCTP 配置
play_arrow 配置语句和操作命令
- Junos CLI 参考概述

list Table of Contents

在此页面上

基于PMI流的CoS函数，用于具有TEID分布和非对称脂肪隧道解决方案的GTP-U场景
启用 PMI 和 GTP 的配置

keyboard_arrow_right

机器翻译对您有帮助吗?

Go to English page

免责声明:

我们将使用第三方机器翻译软件翻译本页面。瞻博网络虽已做出相当大的努力提供高质量译文，但无法保证其准确性。如果对译文信息的准确性有任何疑问，请参阅英文版本. 可下载的 PDF 仅提供英文版.

用于 GTP-U 的基于 PMI 流的 CoS 功能

date_range 28-Nov-23

arrow_backward

arrow_forward

电源模式 IPsec （PMI）是一种新的操作模式，可提供 IPsec 性能改进。

基于PMI流的CoS函数，用于具有TEID分布和非对称脂肪隧道解决方案的GTP-U场景

对于非 GTP 流量，每流 CoS 解决方案假定同一会话的所有数据包应具有相同的 DSCP 值。这不适用于 GTP -U，因为它携带不同的用户数据。因此，同一 5 元组 GTP 会话将有不同的 DSCP 代码点。如果将 GTP-U 会话分配解决方案与每流 CoS 解决方案结合使用，则可以为 GTP-U 方案提供每流 CoS 解决方案，即使它在一个 GTP 隧道内携带具有不同 DSCP 代码的多个流也是如此。

以下信息概述了基于 TEID 的哈希分布和非对称胖隧道解决方案。

TEID based hash distributions: GTP-U 使用固定的 UDP 端口-2152 作为其源端口和目标端口。在单个流会话中可能存在来自不同用户的数据流，因此 5 元组不足以分离这些数据流。GTP 有效负载中有一个 4 字节字段，称为隧道端点标识符（TEID），用于识别同一 GTP 隧道中的不同连接。要将 GTP 会话迁移到锚点 PIC，您需要 IPsec 会话关联。因此，引入了 6 元组（包括 TEID）哈希分布，用于在锚点 PIC 上创建到不同核心的 GTP-U 会话，而不是仅在锚点 PIC 上创建 GTP-U 会话。

图 1：LTE 网络架构 LTE Networking Architecture

图 1 显示了将 SRX 系列防火墙部署为安全网关的典型 LTE 网络架构。胖 GTP 隧道携带来自不同用户的数据。由于 GTP 隧道较胖，安全网关上的 IPsec 隧道可能是胖隧道。SRX 系列防火墙可以创建一个具有高带宽 GTP 流量的 GTP 会话。但是，吞吐量仅限于一个核心处理器的性能。

如果在启用 PMI 和 IPsec 会话相关性时使用基于 TEID 的哈希分布来创建 GTP-U 会话，则会发生以下事件：

您可以启用 SRX 系列防火墙来处理非对称胖隧道（例如：加密方向为 30Gbps / 解密方向为 3 Gbps），因为 PMI 在一个隧道的多个核心上提供并行加密。

您可以将胖 GTP 会话拆分为多个会话，并将它们分发到不同的内核。这有助于增加 SRX 系列防火墙上胖 GTP 隧道的带宽。

Asymmetric fat tunnel solution: SRX 系列防火墙支持非对称胖隧道，因为 PMI 在一个隧道的多个内核上提供并行加密。引入了基于 TEID 的哈希分布，用于在锚点 PIC 上创建到多个内核的 GTP-U 会话。同时启用 PMI 和 IPsec 会话关联性时，clear-txt 流量将充当胖 GTP 隧道。这有助于胖 GTP 会话拆分为多个精简 GTP 会话，并同时在多个内核上处理它们。

图 2：胖 GTP 隧道处理 Fat GTP Tunnel Processing

图 2 显示了在基于 TEID 的哈希分发以创建 GTP-U 会话时，胖隧道的处理方式。

在加密路径上，当一个具有 5 元组的 GTP 隧道进入时，输入/输出卡（IOC）会根据包括 TEID 哈希在内的 6 元组将流量分配到不同的内核中。如果流量发往同一 IPsec 隧道，则流量会在锚点 SPU 的不同核心上创建多个 GTP 会话。

该流在 IOC 上安装多个 NP 缓存，当后续数据包到达 NP 缓存时，它们将分发到锚点 SPU 上的不同核心。

启用 PMI 和 GTP 的配置

以下配置有助于启用 PMI 和 GTP。

开始之前，请确定以下事项：

了解如何建立 PMI 和 GTP。可用于 PMI 模式下 GTP-U 流量的每流 CoS 功能。基于 TEID 的哈希分发，用于在启用 PMI 和 IPsec 会话亲缘关系时，在锚点 PIC 上创建到多个内核的 GTP-U 会话。基于 TEID 的哈希分布可以帮助将胖 GTP 会话拆分为多个精简 GTP 会话，并在多个内核上并行处理它们。借助此增强功能，即使流量在一个 GTP 隧道内携带具有不同 DSCP 代码的多个流，也可以启用用于 GTP-U 流量的每流 CoS。

以下步骤说明如何启用 PMI 和 GTP 会话：

设置 NP 缓存模式。
```
[edit]
user@host# set chassis fpc 1 np-cache
```
配置电源模式 IPsec。启用 IPsec 后，由于胖流会话，IPSec 隧道可能是胖隧道。
```
[edit security]
user@host# set flow power-mode-ipsec
```

配置 GTP-U 会话分配。

content_copy zoom_out_map
[edit security]
user@host# set forwarding-process application-services enable-gtpu-distribution

启用 IPsec 会话关联性。

content_copy zoom_out_map
[edit security]
user@host# set flow load-distribution session-affinity ipsec

在配置模式下，输入命令以 show 确认您的配置。

content_copy zoom_out_map
[edit security]
user@host# show 
flow {
    load-distribution {
        session-affinity {
            ipsec;
        }
    }
    power-mode-ipsec;
}
forwarding-process {
    application-services {
        enable-gtpu-distribution;
    }
}

提交配置。
```
[edit security]
user@host# commit
```
重新启动设备，因为 NP 缓存需要重新启动才能生效。

arrow_backward PREVIOUS 用于 GTP 的 NAT

NEXT arrow_forward GGSN 概述

安全设备保护 GTP 和 SCTP 流量用户指南