AUF DIESER SEITE
Express Path – Übersicht
Express Path (früher bekannt als Services Offloading) ist ein Mechanismus zur Verarbeitung von Fast-Path-Paketen im Netzwerkprozessor statt in der Services Processing Unit (SPU). Express Path steigert die Leistung, indem bestimmter Datenverkehr von der SPU auf die Netzwerkprozessoren verlagert wird.
Wenn Sie eine Express-Path-Sitzung auf dem Netzwerkprozessor erstellen, stimmen nachfolgende Pakete des Datenstroms mit der Sitzung auf den Netzwerkprozessoren überein. Der Netzwerkprozessor verarbeitet dann das Paket und leitet es weiter.
Der Netzwerkprozessor verwaltet auch zusätzliche Verarbeitungen wie TCP-Sequenzprüfung, TTL-Verarbeitung (Time-to-Live), Network Address Translation (NAT) und Layer-2-Header-Übersetzung. Die Flow-Tabelle auf dem IOC3 wird von der SPU des Flow-Moduls verwaltet. Die SPU fügt Flow-Einträge in die Flow-Tabelle ein und löscht sie basierend auf den Ergebnissen des Richtlinienabgleichs. Express Path unterstützt IPv6.
Die Abbildung zeigt den Paketfluss in Express Path.
Vorteile von Express Path
-
Verbessert die Leistung auf Single-Flow- und Chassis-Ebene erheblich.
-
Reduziert SPU-Auslastung und Latenz.
Einschränkungen von Express Path
Express Path unterstützt Folgendes nicht:
-
Funktionen
-
Transparenter Modus
-
Multicast-Sitzung mit mehr als einem Fan-Out
-
Fragmentierte Pakete
-
IPsec-VPN
-
Unterschiedliche MTU-Größenwerte
-
J-Fluss
-
-
Datenverkehr des Application Layer Gateway (ALG):
-
DNS
-
IKE und ESP
-
PPTP
-
SQL-NET
-
-
IPv6
-
NAT
-
Transparenter Modus
-
Unterschiedliche MTU-Größenwerte
-
Class of Service (CoS) für Ausgangsschnittstellen
-
Express-Pfad und Paketauslagerung funktionieren nicht, wenn Sie Firewallfilter verwenden, um den Datenverkehr an einen virtuellen Router zu leiten.
Wenn Sie Express Path auf einem Gerät aktivieren, das im Chassis-Cluster-Modus betrieben wird:
-
Asymmetrische E/A-Karten (IOC) können nicht konfiguriert werden.
-
Wenn ein untergeordneter Link von der LACP-fähigen reth-Schnittstelle ausfällt, wird der gesamte Datenverkehr auf diesem Link auf andere aktive untergeordnete Links der Schnittstelle verteilt. Wenn der untergeordnete Link aktiviert wird und wieder mit der reth-Schnittstelle verbunden wird, werden der vorhandene Datenverkehr oder die vorhandenen Sitzungen nicht über diesen neu verknüpften aktiven untergeordneten Link neu verteilt. Neue Sitzungen finden Sie unter diesem Link.
-
Wenn der LACP-fähigen reth-Schnittstelle ein neuer untergeordneter Link hinzugefügt wird, werden der vorhandene Datenverkehr oder die vorhandenen Sitzungen nicht über diesen neuen untergeordneten Link neu verteilt. Neue Sitzungen laufen über diesen Link.
Automatisierter Express-Pfad
Auf SRX4600-, SRX5400-, SRX5600- und SRX5800-Geräten ist Automated Express Path ab Junos OS Version 21.2R1 standardmäßig aktiviert. Wenn Sie ein Upgrade auf Junos Version 21.2R1 oder höher durchführen, profitieren Sie von einer kostenlosen, beispiellosen Firewall-Leistung der nächsten Generation, ohne dass zusätzliche Konfigurations- oder Hardwareinvestitionen erforderlich sind. Standardmäßig ist ein automatisierter Express-Pfad aktiviert.
Verwenden Sie set security policies from-zone [untrust] to-zone ptrust] policy [services-offload-pol1] then permit no-services-offload in Junos OS Version 21.2R1 den Befehl, um den Express-Pfad pro Regel zu deaktivieren.
Verwenden Sie den set security forwarding-options services-offload disable Befehl, um zum vorherigen Verhalten zurückzukehren, indem Sie services-offload pro Regel aktivieren.
Automated Express Path unterstützt die folgenden Funktionen:
-
Zustandsbehaftete Firewall
-
Network Address Translation (NAT)
-
Unified-Policies (mit dynamischen Anwendungen und URL-Kategorien)
-
Benutzer-Firewall
-
Security Intelligence
-
Intrusion Detection and Prevention (IDP)
-
Erweiterte Web-Filterung
-
Gateways auf Anwendungsebene (ALG)
-
Bildschirme (Anti-DDoS)
Wie verarbeitet Express Path den Datenverkehr?
Wenn das erste Paket an einer Schnittstelle eintrifft, leitet der Netzwerkprozessor es an den zentralen Punkt (CP) weiter. Der zentrale Punkt wiederum leitet das Paket an die SPU weiter. Die SPU erstellt dann eine Sitzung auf dem Netzwerkprozessor und überprüft, ob der Datenverkehr für die Express-Path-Sitzung oder eine normale Sitzung qualifiziert ist.
Wenn der Datenverkehr für die Express-Path-Verarbeitung qualifiziert ist, wird in der SPU eine Express-Path-Sitzung für den Datenverkehr erstellt. Die Express Path-Sitzung verarbeitet die Fast-Path-Pakete im Netzwerkprozessor, und die Pakete werden vom Netzwerkprozessor verlassen.
Wenn der Datenverkehr nicht für die Express Path-Verarbeitung qualifiziert ist, erstellt die SPU eine normale Sitzung. Die normale Sitzung leitet Pakete vom Netzwerkprozessor zur schnellen Verarbeitung an die SPU weiter.
Plattformen, die Express Path unterstützen
Die Geräte SRX4600, SRX5400, SRX5600 und SRX5800 unterstützen Express Path.
Tabelle 1 enthält Details zur Express Path-Unterstützung auf verschiedenen Karten der SRX-Serie.
| Firewall der SRX-Serie |
Kartenname und Modellnummer |
Früheste unterstützte Version |
|---|---|---|
| SRX5600, SRX5800 |
SRX5K-40GE-SFP |
Junos OS Version 11.4 |
| SRX5600, SRX5800 |
SRX5K-4XGE-XFP |
Junos OS Version 11.4 |
| SRX5600, SRX5800 |
SRX5K-FPC-IOC mit einer der folgenden Karten:
|
Junos OS Version 11.4 |
| SRX5400, SRX5600, SRX5800 |
SRX5K-MPC mit einem der folgenden MICs:
|
Junos OS Version 12.3X48-D10 |
| SRX5400, SRX5600, SRX5800 |
SRX5K-MPC3 (IOC3) mit einem der folgenden MPCs:
|
Junos OS Version 15.1X49-D10 |
| SRX5400, SRX5600, SRX5800 |
SRX5K-IOC4-10G (IOC4) SRX5K-IOC4-MRAT |
Junos OS Version 19.3R1 |
| SRX4600 |
Nicht zutreffend | Junos OS Version 19.2R1 |
So aktivieren Sie Express Path
Express Path ist ab Junos OS Version 21.2R1 automatisiert.
So konfigurieren Sie den Express-Path-Modus:
-
• Verwenden Sie auf einem SRX5000-Line-Gerät mit IOC- oder Flex-IOC-Karten den
set chassis fpc fpc-number pic pic-number services-offloadBefehl. -
Aktivieren Sie auf einem SRX5000 Line-Gerät mit Modular Port Concentrator (MPC) den NP-Cache auf dem IOC mit dem
set chassis fpc fpc-number np-cacheBefehl. -
Auf SRX4600 Gerät ist die Option np-cache standardmäßig aktiviert. Daher ist der
set chassis fpc fpc- number np-cacheBefehl nicht anwendbar.
Wenn Sie den Expresspfad nicht verwenden, konfigurieren Sie ihn in keiner Sicherheitsrichtlinie.
Express Path-Netzwerkprozessor
Wenn auf SRX4600-, SRX5400-, SRX5600- und SRX5800-Geräten mit Netzwerkprozessor alle Plugins, einschließlich Paket-Plugins und Stream-Plugins, eine Sitzung ignorieren, lagern wir die Sitzung aus und installieren die Sitzung dann auf dem Netzwerkprozessor. Wenn das Paket-Plugin die Sitzung ignoriert, markieren wir die Ignorier-Flags. Wenn das Streaming-Plugin die Sitzung ignoriert, markieren wir die Ignorier-Flags und schließen TCP-T und TCP-I kurz. Anschließend installieren wir die Sitzung auf dem Netzwerkprozessor, um die Sitzung auszulagern.
Der Netzwerkprozessor der I/O-Karte (IOC) verarbeitet die Fast-Path-Pakete, ohne die Switch-Fabric oder die SPU zu durchlaufen. Dadurch wird die Latenz bei der Paketverarbeitung reduziert.
Jeder Datenstromeintrag verfügt über einen Zähler pro Flügel im Express Path-Netzwerkprozessor. Der Zähler erfasst die Anzahl der Bytes, die der Netzwerkprozessor über den Flügel sendet.
Das Verhalten des Netzwerkprozessors in verschiedenen Szenarien ist wie folgt:
-
First-Path-Flow: Der First-Path-Flow ist derselbe wie der aktuelle Flow-Prozess des Netzwerkprozessors. Wenn das erste Paket beim Netzwerkprozessor eintrifft, analysiert der Netzwerkprozessor das TCP- oder UDP-Paket, um einen 5-Tupel-Schlüssel zu extrahieren, und führt dann eine Sitzungssuche in der Datenflusstabelle durch. Der Netzwerkprozessor leitet dann das erste Paket an den zentralen Punkt weiter. Der zentrale Punkt kann zu diesem Zeitpunkt keine Übereinstimmung finden, da dies das erste Paket ist. Der zentrale Punkt und die SPU erstellen eine Sitzung und gleichen sie mit benutzerdefinierten Richtlinien ab, um zu bestimmen, ob es sich bei der Sitzung um eine normale Sitzung oder eine Sitzung mit Serviceauslagerung handelt.
Wenn Sie die Sitzung angeben, die mit Express Path verwaltet werden soll, erstellt die SPU einen Sitzungseintrag in der Datenflusstabelle des Netzwerkprozessors. Dadurch wird das Express Path-Flag in der Sitzungseintragstabelle aktiviert. Andernfalls erstellt die SPU einen normalen Sitzungseintrag im Netzwerkprozessor ohne das Express Path-Flag.
-
Fast-Path-Flow: Nachdem Sie den Sitzungseintrag im Netzwerkprozessor erstellt haben, stimmen nachfolgende Pakete der Sitzung mit der Sitzungseintragstabelle überein.
-
Wenn das Express Path-Flag nicht festgelegt ist, leitet der Netzwerkprozessor das Paket an die SPU weiter, die in der Sitzungseintragstabelle angegeben sind. Das Paket durchläuft den normalen Datenflussprozess.
-
Wenn der Netzwerkprozessor das Service-Offload-Flag in der Sitzungseintragstabelle findet, verarbeitet er das Paket lokal und sendet das Paket direkt.
-
Die Vorspulfunktion des Netzwerkprozessors unterstützt Multicast-Sitzungen mit einem Fanout. Der Ausgangsport in der Sitzung muss auch demselben Netzwerkprozessor zugeordnet sein wie der Eingangsport. Alle anderen Multicast-Fälle müssen als normale Sitzungen verwaltet werden.
-
-
NAT-Prozess: Die SPU ist für die Zuordnung zwischen der internen IP-Adresse oder dem Port und der externen IP-Adresse oder dem externen Port verantwortlich. Wenn das erste Paket der Sitzung eintrifft, weist die SPU die IP-Adresse oder Portzuordnung zu und speichert die Informationen im Sitzungseintrag des Netzwerkprozessors. Wenn das NAT-Flag gesetzt ist, ändert der Netzwerkprozessor das Paket.
-
Sitzungsalterung: Um den Datenverkehrsdurchsatz für Service-Offload-Sitzungen zu verbessern, wird in jedem vordefinierten Zeitraum eine Kopie eines Pakets an die SPU gesendet, um den Paketverarbeitungsbedarf auf der SPU zu reduzieren. Um die Anzahl der Paketkopien zu begrenzen, die an die SPU gesendet werden, wird für jede Dienstauslagerungssitzung ein Zeitstempel implementiert. Der Netzwerkprozessor berechnet die Zeit, die seit der letzten Sitzungsübereinstimmung verstrichen ist. Wenn die verstrichene Zeit größer als die vordefinierte Zeitspanne ist, sendet der Netzwerkprozessor eine Kopie des Pakets an die SPU und aktualisiert den Sitzungszeitstempel.
-
Sitzungsbeendigung und -löschung: Wenn der Netzwerkprozessor ein IP-Paket mit einem FIN- (abgeschlossene Daten) oder einem RST-Flag (Reset Connection) empfängt, leitet er das Paket an die SPU weiter. Die SPU löscht dann den Sitzungscache auf dem Netzwerkprozessor. Der Netzwerkprozessor empfängt weiterhin alle Pakete und leitet sie während des Zustandsübergangs an die SPU weiter.
Flügelstatistik-Zähler
In Express Path bietet der Netzwerkprozessor für jeden Datenstromeintrag die Möglichkeit, einen Bytezähler pro Flügel beizubehalten. Der Zähler erfasst die Anzahl der Bytes, die der Netzwerkprozessor über den Flügel sendet.
Wenn Sie den Zähler aktivieren, durchsucht der Netzwerkprozessor seinen Datenstromeintrag (einen Sitzungsflügel) nach jedem eingehenden Paket. Wenn das Paket zu einem etablierten Datenstromeintrag gehört, erhöht der Netzwerkprozessor den Bytezähler des Datenstromeintrags im Paket. Der Netzwerkprozessor kopiert in regelmäßigen Abständen ein Paket (Kopierpaket) jedes Datenflusseintrags in die zugehörige SPU, sodass die SPU die Sitzung aufrechterhalten kann. Der Netzwerkprozessor sendet Flow-Byte-Zählerwerte im Header von Copy-Packet-Paketen. Die SPU sammelt und speichert Statistikzähler pro Flügel.
Sie können die Statistikkonfiguration während des Lebenszyklus einer Live-Sitzung nicht ändern. Durch Deaktivieren oder Aktivieren der Konfiguration der Pro-Flügel-Statistik, während eine Sitzung auf dem Netzwerkprozessor aktiv ist, werden die Sitzungsstatistiken für die aktuelle Sitzung ungültig. Die neuen Sitzungsstatistiken können erst gültig sein, nachdem die Konfigurationsänderungen festgeschrieben wurden. Netzwerkprozessor-Pro-Flügel-Zähler können nicht gelöscht werden. Auf SRX5800 Geräten mit dem SRX5K-MPC (IOC2), dem SRX 5K-MPC3 (IOC3) und dem SRX5K-IOC4-10G (IOC4) ist die Konfiguration des Flügelstatistikzählers standardmäßig aktiviert. Aktivieren Sie auf SRX4600 Geräten den Flügelstatistikzähler.
Sessions pro Flügel Statistik
Der Netzwerkprozessor verfügt über einen größeren statischen RAM (SRAM) zur Aufnahme von Sitzungsressourcen und hostet somit mehr Sitzungen pro PIC. Tabelle 2 zeigt die Gesamtzahl der Session-Wings, einschließlich Express Path und Nicht-Express Path. Auf SRX4600 Geräten beträgt der IMIX-Durchsatz 400 Gbit/s.
| Gesamtzahl der Flügel |
Anzahl der Express Path UDP Wings |
Anzahl der Express Path TCP Wings |
|||
|---|---|---|---|---|---|
| Karten und Firewall der SRX-Serie | Sitzungen im Nicht-Express-Pfadmodus | Ohne Statistik | Mit Statistik | Ohne Statistik | Mit Statistik |
| SRX5000-Line-Gerät SRX5K-MPC (IOC2)
|
1,8 Millionen |
1,8 Millionen |
1,8 Millionen |
1,8 Millionen |
1,8 Millionen |
| SRX5000-Line-Gerät SRX5K-MPC3 (IOC3) |
20 Millionen |
20 Millionen |
20 Millionen |
20 Millionen |
20 Millionen |
| SRX5000-Line-Gerät SRX5K IOC4 |
10 Millionen |
10 Millionen |
10 Millionen |
10 Millionen |
10 Millionen |
| SRX4600 |
20 Millionen |
20 Millionen |
20 Millionen |
20 Millionen |
20 Millionen |
Express Path Packet Processing auf IOC-Karten
Express Path auf den IOC-Karten basiert auf der Verarbeitung von Fast-Path-Paketen durch den Chipsatz des Netzwerkprozessors statt in der SPU, um einige grundlegende Firewall-Funktionen auf die IOC-Karte auszulagern.
Wenn Sie die Express-Path-Funktion aktiviert haben, bietet die IOC-Karte eine geringere Latenz und unterstützt auch einen höheren Durchsatz, indem sie die Überlastung der SPU beseitigt. Die IOC-Karte unterstützt sowohl den dateninternen als auch den karteninternen Datenverkehr. Um die besten Latenzergebnisse zu erzielen, müssen sich sowohl der Eingangs- als auch der Ausgangsport eines Datenverkehrsflusses auf demselben XM-Chip der IOC-Karte befinden.
Die IOC-Karte unterstützt FPC mit 240 Gbit/s und verwendet Chipsätze der dritten Generation der Network Processing (NP)-Reihe. Dieser neueste Lookup- und Warteschlangen-Chip ist für höhere Kapazitäten optimiert. Die IOC-Karte ist mit SCB2 und SCB3 kompatibel, der frühere SCB wird nicht unterstützt.
Sie können aufgrund von Leistungs- und Wärmebeschränkungen nicht alle vier PICs auf der IOC-Karte gleichzeitig einschalten. Schalten Sie maximal zwei PICs ein, entweder in gerader oder ungerader Reihenfolge. Sie können den set chassis fpc <slot> pic <pic> power off Befehl verwenden, um den PIC zum Einschalten auszuwählen.
Die Systemprotokollmeldungen lauten:
-
XMCHIP_CMERROR_DDRIF_INT_REG_CHKSUM_ERR_MINOR
-
XMCHIP_CMERROR_DDRIF_INT_REG_CHKSUM_ERR_MAJOR
Die Fehlermeldungen weisen darauf hin, dass der XM-Chip in einem Flexible PIC Concentrator (FPC) einen Prüfsummenfehler erkannt hat, der Paketverluste verursacht. Die folgenden Fehlerschwellenwerte klassifizieren den Fehler als Hauptfehler oder Nebenfehler:
-
Geringfügiger Fehler —> 5 Fehler pro Sekunde
-
Schwerwiegender Fehler —> 255 Fehler pro Sekunde (maximale Anzahl)
In der Data Plane analysiert die IOC-Karte Pakete und sucht sie in der Datenflusstabelle. Wenn die IOC-Karte eine Übereinstimmung in der Flow-Tabelle findet, leitet sie Pakete basierend auf den Anweisungen in der Flow-Tabelle weiter. Die IOC-Karte kann NAT ausführen, den Layer-2-Header (L2) kapseln und die Pakete von der Ausgangsschnittstelle weiterleiten. Die Ausgangsschnittstelle kann sich auf derselben IOC-Karte (Intra-Card-Case) oder einer anderen IOC-Karte (Inter-Card-Case) befinden.
Wenn die IOC-Karte das erste Paket empfängt, stimmt es mit keiner vorhandenen Fast-Forward-Sitzung überein. Die standardmäßige Hash-basierte Weiterleitung wird durchgeführt, um das erste Paket an die SPU zu senden. Die SPU erstellt dann die Sicherheitssitzung. Wenn die SPU feststellt, dass der Datenverkehr für die schnelle Weiterleitung qualifiziert ist und die zugehörige IOC-Karte die schnelle Weiterleitung unterstützt, installiert sie die Fast-Forward-Sitzung auf der IOC-Karte. Wenn die schnelle Weiterleitung nicht auf den Datenverkehr angewendet werden kann, wird keine Sitzungsnachricht gesendet, und die IOC-Karte verwendet die standardmäßige hashbasierte Weiterleitung, um die Pakete an die SPU weiterzuleiten.
Wenn bei der Verarbeitung von Fast-Forward-IOC-Karten eine Fast-Forward-Sitzung übereinstimmt, kann das Paket entsprechend dem Ergebnis des Sitzungsflusses direkt weitergeleitet werden. Die IOC-Karte führt alle erforderlichen Aktionen durch, z. B. das Weiterleiten des Pakets, die TTL-Prüfung und das Verringern der NAT-Translation sowie die Layer-2-Header-Kapselung.
Zusätzlich sendet der XL-Chip zu einem vordefinierten Zeitpunkt eine Kopie des Weiterleitungspakets an die SPU. Diese Kopie wird verwendet, um die SPU-Sitzung zu aktualisieren, den aktuellen XL-Chip-Status zu ermitteln usw. Die SPU verbraucht dieses Paket und leitet es nicht weiter, da das echte Paket verarbeitet und übertragen wurde.
Beispiel: Konfigurieren von Express Path auf SRX5400-, SRX5600- oder SRX5800-Gerät mit einer IOC-Karte
In diesem Beispiel wird gezeigt, wie Express Path auf einer IOC-Karte auf SRX5400, SRX5600 oder SRX5800 Gerät konfiguriert wird.
Express Path ist ein Mechanismus zur Verarbeitung von Fast-Path-Paketen im Netzwerk statt in der Services Processing Unit (SPU). Diese Methode reduziert die lange Latenz bei der Paketverarbeitung, die entsteht, wenn Pakete von Netzwerkprozessoren zur Verarbeitung an SPUs und zur Übertragung zurück an IOCs weitergeleitet werden.
Ab Junos OS Version 15.1X49-D40 ist die Konfiguration für IPv6-Datenverkehr gültig, vor dieser Version wurde sie nur für IPv4-Datenverkehr unterstützt.
- Anforderungen
- Überblick
- Konfiguration
- Befund
- Überprüfen der Konfiguration einer IOC-Karte für Express Path
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
-
Ein SRX5400-, SRX5600- oder SRX5800-Gerät mit IOC-Karte
-
Junos OS Version 15.1X49-D40 oder höher für Firewalls der SRX-Serie
Express Path ist ab Junos OS Version 21.2R1 automatisiert.
Überblick
In diesem Beispiel konfigurieren Sie Express Path auf einer IOC-Karte auf einem SRX5000-Leitungsgerät für IPv6-Datenverkehr.
Sie konfigurieren zwei Schnittstellen auf der IOC-Karte und weisen ihnen IPv6-Adressen zu. Anschließend aktivieren Sie die datenflussbasierte Verarbeitung für IPv6-Datenverkehr. Als Nächstes richten Sie Zonen ein und fügen ihnen Schnittstellen hinzu. Anschließend stellen Sie die Kommunikation zwischen den beiden verschiedenen Zonen bereit, indem Sie eine Sicherheitsrichtlinie konfigurieren, um Datenverkehr zwischen zwei Zonen zuzulassen. Außerdem aktivieren Sie Express Path in Sicherheitsrichtlinien, um anzugeben, ob der Datenverkehr für Express Path qualifiziert ist
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem[edit] Konfigurationsmodus ein commit .
[edit] set interfaces et-2/1/0 unit 0 family inet6 address 2001:db8::4:12/32 set interfaces et-2/3/0 unit 0 family inet6 address 2001:db8::6:11/32 set security forwarding-options family inet mode flow-based set security forwarding-options family inet6 mode flow-based set zones security-zone zone-1 host-inbound-traffic system-services all set zones security-zone zone-1 host-inbound-traffic protocols all set zones security-zone zone-1 interfaces et-2/1/0.0 set zones security-zone zone-2 host-inbound-traffic system-services all set zones security-zone zone-2 host-inbound-traffic protocols all set zones security-zone zone-2 interfaces et-2/3/0.0 security policies from-zone zone-2 to-zone zone-1 policy express-path-policy-2 match source- address any security policies from-zone zone-2 to-zone zone-1 policy express-path-policy-2 match destination- address any security policies from-zone zone-2 to-zone zone-1 policy express-path-policy-2 match application any security policies from-zone zone-2 to-zone zone-1 policy express-path-policy-2 then permit then permit services-offload security policies from-zone zone-1 to-zone zone-2 policy express-path-policy-1 match source- address any security policies from-zone zone-1 to-zone zone-2 policy express-path-policy-1 match destination- address any security policies from-zone zone-1 to-zone zone-2 policy express-path-policy-1 match application any security policies from-zone zone-1 to-zone zone-2 policy express-path-policy-1 then permit then permit services-offload set chassis fpc 2 np-cache
Schritt-für-Schritt-Anleitung
So konfigurieren Sie Express Path auf SRX5400-, SRX5600- oder SRX5800-Line-Gerät mit einer IOC-Karte:
-
Konfigurieren Sie die Ethernet-Schnittstelle und weisen Sie ihr eine IPv6-Adresse zu.
[edit] set interfaces et-2/1/0 unit 0 family inet6 address 2001:db8::4:12/32 set interfaces et-2/3/0 unit 0 family inet6 address 2001:db8::6:11/32
-
Aktivieren Sie die Flow-basierte Verarbeitung für IPv6-Datenverkehr.
[edit] set security forwarding-options family inet mode flow-based set security forwarding-options family inet6 mode flow-based
-
Konfigurieren Sie Sicherheitszonen, fügen Sie Schnittstellen hinzu und lassen Sie alle Systemdienste und Schnittstellen zu. Konfigurieren Sie eine Sicherheitszone und geben Sie die Datenverkehrstypen und Protokolle an, die auf der Schnittstelle et-2/1/0.0 zulässig sind.
[edit] set zones security-zone zone-1 host-inbound-traffic system-services all set zones security-zone zone-1 host-inbound-traffic protocols all set zones security-zone zone-1 interfaces et-2/1/0.0
-
Konfigurieren Sie Sicherheitszonen, fügen Sie Schnittstellen hinzu und lassen Sie alle Systemdienste und Schnittstellen zu. Konfigurieren Sie eine Sicherheitszone und geben Sie die Datenverkehrstypen und Protokolle an, die auf der Schnittstelle et-2/3/0.0 zulässig sind.
[edit] set zones security-zone zone-2 host-inbound-traffic system-services all set zones security-zone zone-2 host-inbound-traffic protocols all set zones security-zone zone-2 interfaces et-2/3/0.0
-
Erstellen Sie eine Richtlinie, und geben Sie die Übereinstimmungskriterien für diese Richtlinie an. Die Übereinstimmungskriterien geben an, dass das Gerät Datenverkehr von jeder Quelle zu jedem Ziel und in jeder Anwendung zulassen kann. Aktivieren Sie Express Path in der Sicherheitsrichtlinie.
Anmerkung:Sie können den Platzhalter any-ipv6 für die Übereinstimmungskriterien für Quell- und Zieladresse angeben, um nur IPv6-Adressen einzuschließen. Wenn Sie eine beliebige Option für die Übereinstimmungskriterien für Quell- und Zieladressen angeben, um sowohl IPv4- als auch IPv6-Adressen einzuschließen.
[edit] security policies from-zone zone-2 to-zone zone-1 policy express-path-policy-2 match source- address any security policies from-zone zone-2 to-zone zone-1 policy express-path-policy-2 match destination- address any security policies from-zone zone-2 to-zone zone-1 policy express-path-policy-2 match application any security policies from-zone zone-2 to-zone zone-1 policy express-path-policy-2 then permit then permit services-offload
[edit] security policies from-zone zone-1 to-zone zone-2 policy express-path-policy-1 match source- address any security policies from-zone zone-1 to-zone zone-2 policy express-path-policy-1 match destination- address any security policies from-zone zone-1 to-zone zone-2 policy express-path-policy-1 match application any security policies from-zone zone-1 to-zone zone-2 policy express-path-policy-1 then permit then permit services-offload
-
Stellen Sie den Express-Path-Modus auf der IOC-Karte ein.
[edit] set chassis fpc 2 np-cache
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den Befehl show chassis eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
from-zone zone-1 to-zone zone-2 { policy express-path-policy--1 {
match {
source-address any; destination-address any; application any;
}
then {
permit {
services-offload;
}
}
}
}
from-zone express-path-policy--2 { policy policy-2 {
match {
source-address any; destination-address any; application any;
}
then {
permit {
services-offload;
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie Commit aus dem Konfigurationsmodus ein.
Überprüfen der Konfiguration einer IOC-Karte für Express Path
Zweck
Vergewissern Sie sich, dass die IOC-Karte ordnungsgemäß für Express Path konfiguriert wurde.
Aktion
Geben Sie im Betriebsmodus den Befehl show chassis fpc pic-status ein
Slot 1 Online SRX5k SPC II PIC 0 Online SPU Cp PIC 1 Online SPU Flow PIC 2 Online SPU Flow PIC 3 Online SPU Flow Slot 2 Online SRX5k IOC3 2CGE+4XGE PIC 0 Online 2x 10GE SFP+- np-cache/services-offload PIC 1 Online 1x 100GE CFP2- np-cache/services-offload PIC 2 Online 2x 10GE SFP+- np-cache/services-offload PIC 3 Online 1x 100GE CFP2- np-cache/services-offload Slot 3 Online SRX5k IOC3 24XGE+6XLG PIC 0 Offline 12x 10GE SFP+ PIC 1 Offline 12x 10GE SFP+ PIC 2 Online 3x 40GE QSFP+- np-cache/services-offload PIC 3 Online 3x 40GE QSFP+- np-cache/services-offload Slot 4 Offline SRX5k IOC3 24XGE+6XLG
Bedeutung
Die Ausgabe enthält den Status von PICs, für die Express Path aktiviert ist.
Überprüfen aller aktiven Sitzungen auf dem Gerät
Zweck
Zeigt Informationen zu allen derzeit aktiven Express Path-Sitzungen auf dem Gerät an.
Aktion
Geben Sie im Betriebsmodus den Befehl show security flow session services-offload ein.
Flow Sessions on FPC1 PIC1: Session ID: 50000002, Policy name: express-path-policy-2/5, Timeout: 60, Valid In: 2001:db8::4:12/32 --> 2001:db8::6:11/32;udp, If: et-2/3/0.0, Conn ID: 0x0, Pkts: 181 29505, Bytes: 1740432530, CP Session ID: 50000002 Out: 2001:db8::6:11/32 --> 2001:db8::4:12/32;udp, If: et-2/1/0.0, Conn ID: 0x0, Pkts: 18 129505, Bytes: 1740432530, CP Session ID: 50000002 Total sessions: 1
Bedeutung
Die Ausgabe enthält die Richtliniendetails für Sitzungen, für die Express Path aktiviert wurde.