Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

用于 GTP-U 的基于 PMI 流的 CoS 功能

电源模式 IPsec (PMI) 是一种新的操作模式,可提供 IPsec 性能改进。

基于PMI流的CoS函数,用于具有TEID分布和非对称脂肪隧道解决方案的GTP-U场景

对于非 GTP 流量,每流 CoS 解决方案假定同一会话的所有数据包应具有相同的 DSCP 值。这不适用于 GTP -U,因为它携带不同的用户数据。因此,同一 5 元组 GTP 会话将有不同的 DSCP 代码点。如果将 GTP-U 会话分配解决方案与每流 CoS 解决方案结合使用,则可以为 GTP-U 方案提供每流 CoS 解决方案,即使它在一个 GTP 隧道内携带具有不同 DSCP 代码的多个流也是如此。

以下信息概述了基于 TEID 的哈希分布和非对称胖隧道解决方案。

TEID based hash distributions: GTP-U 使用固定的 UDP 端口-2152 作为其源端口和目标端口。在单个流会话中可能存在来自不同用户的数据流,因此 5 元组不足以分离这些数据流。GTP 有效负载中有一个 4 字节字段,称为隧道端点标识符 (TEID),用于识别同一 GTP 隧道中的不同连接。要将 GTP 会话迁移到锚点 PIC,您需要 IPsec 会话关联。因此,引入了 6 元组(包括 TEID)哈希分布,用于在锚点 PIC 上创建到不同核心的 GTP-U 会话,而不是仅在锚点 PIC 上创建 GTP-U 会话。

图 1:LTE 网络架构 LTE Networking Architecture

图 1 显示了将 SRX 系列防火墙部署为安全网关的典型 LTE 网络架构。胖 GTP 隧道携带来自不同用户的数据。由于 GTP 隧道较胖,安全网关上的 IPsec 隧道可能是胖隧道。SRX 系列防火墙可以创建一个具有高带宽 GTP 流量的 GTP 会话。但是,吞吐量仅限于一个核心处理器的性能。

如果在启用 PMI 和 IPsec 会话相关性时使用基于 TEID 的哈希分布来创建 GTP-U 会话,则会发生以下事件:

您可以启用 SRX 系列防火墙来处理非对称胖隧道(例如:加密方向为 30Gbps / 解密方向为 3 Gbps),因为 PMI 在一个隧道的多个核心上提供并行加密。

您可以将胖 GTP 会话拆分为多个会话,并将它们分发到不同的内核。这有助于增加 SRX 系列防火墙上胖 GTP 隧道的带宽。

Asymmetric fat tunnel solution: SRX 系列防火墙支持非对称胖隧道,因为 PMI 在一个隧道的多个内核上提供并行加密。引入了基于 TEID 的哈希分布,用于在锚点 PIC 上创建到多个内核的 GTP-U 会话。同时启用 PMI 和 IPsec 会话关联性时,clear-txt 流量将充当胖 GTP 隧道。这有助于胖 GTP 会话拆分为多个精简 GTP 会话,并同时在多个内核上处理它们。

图 2:胖 GTP 隧道处理 Fat GTP Tunnel Processing

图 2 显示了在基于 TEID 的哈希分发以创建 GTP-U 会话时,胖隧道的处理方式。

在加密路径上,当一个具有 5 元组的 GTP 隧道进入时,输入/输出卡 (IOC) 会根据包括 TEID 哈希在内的 6 元组将流量分配到不同的内核中。如果流量发往同一 IPsec 隧道,则流量会在锚点 SPU 的不同核心上创建多个 GTP 会话。

该流在 IOC 上安装多个 NP 缓存,当后续数据包到达 NP 缓存时,它们将分发到锚点 SPU 上的不同核心。

启用 PMI 和 GTP 的配置

以下配置有助于启用 PMI 和 GTP。

开始之前,请确定以下事项:

了解如何建立 PMI 和 GTP。可用于 PMI 模式下 GTP-U 流量的每流 CoS 功能。基于 TEID 的哈希分发,用于在启用 PMI 和 IPsec 会话亲缘关系时,在锚点 PIC 上创建到多个内核的 GTP-U 会话。基于 TEID 的哈希分布可以帮助将胖 GTP 会话拆分为多个精简 GTP 会话,并在多个内核上并行处理它们。借助此增强功能,即使流量在一个 GTP 隧道内携带具有不同 DSCP 代码的多个流,也可以启用用于 GTP-U 流量的每流 CoS。

以下步骤说明如何启用 PMI 和 GTP 会话:

  1. 设置 NP 缓存模式。
  2. 配置电源模式 IPsec。启用 IPsec 后,由于胖流会话,IPSec 隧道可能是胖隧道。
  3. 配置 GTP-U 会话分配。
  4. 启用 IPsec 会话关联性。
  5. 在配置模式下,输入命令以 show 确认您的配置。
  6. 提交配置。
  7. 重新启动设备,因为 NP 缓存需要重新启动才能生效。