Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

具有 TEID 分布和 SWRSS 的 GTP 流量

概述 具有 TEID 分布和 SWRSS 的 GTP 流量分配

本主题概述了具有 TEID 分布和 SWRSS 的 GTP 流量的非对称胖隧道解决方案。

借助基于 TEID 的哈希分布功能,GTP 数据包将根据 TEID 计算的哈希值分发到流线程。散列计算算法与流模块中的GTP分布相同,保证了GTP数据包在流过程中不会再次注入。

GTP 有效负载中有一个 4 字节字段,称为隧道端点标识符 (TEID),用于识别同一 GTP 隧道中的不同连接。

胖 GTP 隧道携带来自不同用户的数据。由于 GTP 隧道较胖,安全网关上的 IPsec 隧道可能是胖隧道。vSRX 虚拟防火墙可以创建一个具有高带宽 GTP 流量的 GTP 会话。但是,吞吐量仅限于一个核心处理器的性能。

如果您使用基于 TEID 的哈希分布来创建 GTP-U 会话,则可以:

  • 启用 vSRX 虚拟防火墙和 vSRX 虚拟防火墙 3.0 实例来处理非对称胖隧道,以便在一个隧道的多个核心上进行并行加密。

  • 您可以将胖 GTP 会话拆分为多个会话,并将它们分发到不同的内核。这有助于增加胖 GTP 隧道的带宽。

基于 TEID 的散列分布可创建到多个内核的 GTP-U 会话。明文流量充当胖 GTP 隧道。这有助于胖 GTP 会话拆分为多个精简 GTP 会话,并同时在多个内核上处理它们。

通过 TEID 分布和 SWRSS 实现 GTP 流量性能

vSRX 虚拟防火墙实例支持软件接收端扩展 (SWRSS) 功能。SWRSS 是网络堆栈中的一种技术,用于提高多处理器系统的并行度和性能。如果网卡没有足够的队列数作为流线程 (FLT),则基于 vSRX 虚拟防火墙类型,则流进程将启用软件 RSS (SWRSS)。

借助 vSRX 虚拟防火墙和 vSRX 虚拟防火墙 3.0 上的软件接收端扩展 (SWRSS) 支持,您可以为 vSRX 虚拟防火墙分配更多 vCPU,而不考虑底层接口的 RSS 队列的限制。

基于 SWRSS,您可以使用隧道端点标识符 (TEID) 分布和非对称胖隧道解决方案通过以下方式提高 GTP 流量性能:

  • 为输入输出流使用情况分配特定数量的 vCPU - 启用 SWRSS 后,当 IO 线程较少时,可以为输入/输出 (IO) 线程分配更多 vCPU。或者,如果流进程消耗更多 vCPU,则可以为 IO 线程分配较少的 vCPU。 set security forwarding-options receive-side-scaling software-rss io-thread-number <io-thread-number>使用 .

  • 根据数据包内的 TEID 将数据包分发到流线程,这将避免在流进程中重新注入数据包 — 启用 SWRSS 和配置 set security forwarding-process application-services enable-gtpu-distribution 命令时,将启用此功能。

    使用此功能,GTP 数据包将根据 TEID 计算的哈希值分发到流线程。散列计算算法与流模块中的GTP分布相同,保证了GTP数据包在流过程中不会再次注入。

  • 启用 GTPU 分配时,在输入/输出线程中使用片段匹配和转发机制 — 此机制可确保根据 TEID 将同一数据包的所有片段分发到一个流线程。

    SWRSS 使用 IP 对哈希将数据包分发到流线程。对于启用了 GTPU 分配的 GTP 流量,TEID 分配用于将数据包分发到流线程。对于分段数据包,无法从非第一个分段中检索 TEID。这将需要片段匹配和转发逻辑,以确保所有片段都转发到 基于 TEID 的流线程。

利用 SWRSS 为非对称胖隧道启用 GTP-U TEID 分布

以下配置可帮助您在启用 SWRSS 的情况下启用 PMI 和 GTP-U 流量分配。

在开始之前,请了解:

  • SWRSS 概念和配置。

  • 如何建立PMI和GTP-U

启用软件接收端扩展 (SWRSS) 后,您可以在 IO 线程较少时为输入/输出 (IO) 线程分配更多 vCPU。或者,如果流进程消耗更多 vCPU,则可以为 IO 线程分配较少的 vCPU。您可以配置所需的 IO 线程数。启用 SWRSS 并配置 IO 线程后,重新启动 vSRX 虚拟防火墙以使配置生效。配置 IO 线程后,根据基于 TEID 的哈希分布将 GTP 流量分配到配置的 IO 线程,以将胖 GTP 会话拆分为多个精简 GTP 会话,并在多个内核上并行处理它们。

注意:

当启用 PMI 模式并启用 TEID 分布和 SWRSS 支持时,PMI 的性能会得到改善。如果要启用 PMI 模式,请运行该 set securtiy flow power-mode-ipsec 命令。

以下步骤详细介绍了如何启用 SWRSS、配置 IO 线程、为具有 TEID 分布的 GTP 会话启用 PMI 模式以获取非对称胖隧道:

  1. 当网卡没有足够数量的队列作为基于 vSRX 虚拟防火墙类型的流线程 (FLT) 时,默认情况下会启用 SWRSS,然后由流进程启用软件 RSS (SWRSS)。但是,如果未启用 SWRSS,请使用以下 CLI 进行启用。运行此命令时,无论网卡 RSS 或 vCPU 数量如何,都将强制启用 SWRSS。

    启用 SWRSS。

  2. 配置所需的 IO 线程数。在此配置中,我们将配置 8 个 IO 线程。将为 IO 线程分配分配的 vCPU 数量,为流线程分配其余 vCPU。

  4. 配置 GTP-U 会话分配。
  5. 在配置模式下,输入命令以 show 确认您的配置。

    在操作模式下,运行以下命令以查看分配给 IO/流线程的实际 vCPU 数。

  6. 提交配置。
  7. 重新启动 vSRX 虚拟防火墙以使配置生效。重新启动整个设备后,PFE 将根据 NIC RSS 队列及其内存检查 IO 线程值。