Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

PowerMode

PowerMode

PowerMode ist ein neues Standard-Dataplane-Framework, das einen optimierten Fast-Path einführt, der einen höheren Durchsatz und niedrigere Latenz auf Firewalls der SRX-Serie ermöglicht. PowerMode ist in der Lage, IPsec-Vorgänge und generische TCP- und UDP-Datenströme auf die gleiche Weise zu beschleunigen wie Express Path auf Trio-basierten Plattformen.

In Junos OS Version 21.3R1 weist die Funktion die folgenden Einschränkungen auf:

  • Nicht-IP-Protokoll.
  • IP-Protokolle, die nicht TCP, UDP, ESP, SCTP und GTP sind.
  • Multicast-Sitzungen.
  • Ausgang Logische Tunnel (LT)-Schnittstellen und LSY-übergreifenden Datenverkehr.
  • Sitzungen, für die TCP-Proxy erforderlich ist.
  • Firewall-Filter.
  • Mac-Lernen und transparenter Modus.
  • Aktiv/Aktiv-HA-Cluster, wenn die Sitzungen die Fabric-Verbindung übertragen, der als Z-Mode-Datenverkehr bezeichnet wird.
Anmerkung:

Firewalls der SRX-Serie mit PMI unterstützen nur Flow-basiertes CoS (Class of Service).

Siehe auch

PowerMode Express

PowerMode Express Übersicht

PowerMode Express (PME) ist ein Betriebsmodus, der Leistungsverbesserungen durch die Verarbeitung von Vektorpaketen bereitstellt. PME verwenden einen kleinen Softwareblock innerhalb der Packet Forwarding Engine (PFE), der hilft, mehrere Pakete im Empfangspuffer zu verarbeiten und so den CPU-Cache besser zu nutzen.

Abbildung 1: Paketfluss in PowerMode Express Packet Flow in PowerMode Express

Nützt

  • Verbessert die Fast-Path-Verarbeitung und die Leistung des UDP-Durchsatzes.

Auf SRX4100-, SRX4200-, SRX4600-, SRX5400-, SRX5600-, SRX5800- und vSRX-Geräten ist PowerMode Express ab Junos OS Version 21.3R1 standardmäßig aktiviert. Mit einem Upgrade auf Junos Version 21.3R1 oder höher erhalten Sie kostenlose, unvergleichliche Firewall-Leistung der nächsten Generation ohne zusätzliche Konfigurations- oder Hardwareinvestitionen.

Um PowerMode Express global zu deaktivieren, verwenden Sie den set security flow power-mode-disable Befehl.

PowerMode Express unterstützt:

  • Class of Service (CoS)

  • Network Address Translation (NAT)

  • Bildschirme (Anti-DDoS)

  • Weiterleitungsklasse

  • Routing-Instanz

Einschränkungen von PowerMode Express

PowerMode Express unterstützt nicht:

  • Nicht-IP-Protokoll

  • IP-Protokolle, die nicht TCP, UDP, ESP, SCTP oder GTP sind

  • Multicast-Sitzungen

  • Ausgang Logical Tunnel (LT)-Schnittstellen und LSY-übergreifender Datenverkehr

  • Sitzungen, die Policer, Syslog und Counter erfordern

  • Firewall-Filter

  • Aktiv/Aktiv-HA-Cluster bei der Übertragung der Sitzungen über die Fabric-Verbindung, der als Z-Mode-Datenverkehr bezeichnet wird

Wie verarbeitet PowerMode Express den Datenverkehr?

Wenn das erste Paket an einer Schnittstelle eintrifft, wird eine neue Sitzung im PowerMode erstellt. Wenn die neue Sitzung für PowerMode Express qualifiziert ist, wird eine PowerMode-Qualifikationsprüfung durchgeführt.

Die PowerMode Express-Sitzung verarbeitet die Fast-Path-Pakete im Netzwerkprozessor zur jexec-Verarbeitung. In der jexec Layer2-Weiterleitungsphase lassen die Cache-Next-Hop-, Weiterleitungsklasse und CoS-Informationen (Class of Service) die nachfolgenden Pakete der Sitzung für PowerMode Express zu.

So aktivieren Sie PowerMode Express wieder

PowerMode Express ist standardmäßig aktiviert. Wenn Sie den PowerMode Express deaktivieren, können Sie ihn mit dem folgenden Befehl wieder aktivieren:

Verifizierung

Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, geben Sie den folgenden show-Befehl ein.

Siehe auch

PowerMode IPsec

PowerMode IPsec (PMI) ist ein neuer Betriebsmodus für SRX4100-, SRX4200-, SRX4600-, SRX5400-, SRX5600-, SRX5800- und Virtuelle Firewall vSRX-Instances zur Verbesserung der IPsec-Leistung. Beginnend mit Junos OS Version 19.1R1 wurde die PMI erweitert, um die ein- und ausgehenden Fragmentpakete unter Verwendung der Verarbeitung des ersten Pfads oder des schnellen Pfads zu verarbeiten.

Aktivieren Sie den PMI-Prozess mithilfe des Befehls. set security flow power-mode-ipsec Um zu überprüfen, ob die Pakete PMI nutzen, verwenden Sie den Befehl show security flow pmi statistics.

PMI First Path und Fast Path Processing verstehen

In einer PMI-Verarbeitung des ersten Pfades:

  • Das eingehende Paket des ersten Pfads wird an den Datenfluss übermittelt, um eine Sitzung zu erstellen.

  • Die eingehenden Fragmentpakete werden zur erneuten Assemblierung an Flow geliefert.

  • Die eingehenden Pakete werden zur erweiterten Verarbeitung des Sicherheitsdienstes an den Fluss übermittelt.

In einer PMI-Fast-Path-Verarbeitung wird der PMI-Treiber verwendet:

  • Zum Verschlüsseln und Versenden des eingehenden Klartextes direkt.

  • Zum Entschlüsseln und Versenden der eingehenden ESP-Pakete direkt mit Session Match.

Umschalten zwischen PMI First Path und Fast Path Processing

Die Verarbeitung des ersten Pfads umfasst mehr Funktionen und Anweisungen, während die PMI-Fast-Path-Verarbeitung eine bessere Leistung bietet. In einer PMI-Sitzung wechselt die Paketverarbeitung basierend auf dem Paketfluss in der Sitzung zwischen dem ersten Pfad und dem schnellen Pfad.

  • Die PMI-Sitzung mit Fragment- und Nicht-Fragment-Paketen wird vom ersten Pfad verarbeitet.

  • Wenn die Sitzung nur über nicht fragmentierte Pakete verfügt, wechselt die Sitzung vom ersten Pfad zur Fast-Past-Verarbeitung.

Anmerkung:

Auf SRX5400-, SRX5600- und SRX5800-Geräten erfolgt der Wechsel nach dem NP-Sitzungstimeout.

Fragmentierung für eingehende IP-Pakete

Um die Fragmentierung für eingehende IP-Pakete für PMI zu unterstützen, werden im ersten Pfad die folgenden Schritte verwendet:

  • PMI überträgt alle fragmentierten IP-Pakete in einer Sitzung zur Verarbeitung an das Datenflussmodul.

  • PMI überträgt alle nicht fragmentierten IP-Pakete in derselben Sitzung zur Paketreihenfolge an das Flussmodul.

  • Das Flow-Modul schließt die Reassemblierung fragmentierter Pakete ab und überträgt die Pakete zur Verschlüsselung zurück an PMI.

Fragmentierung für ausgehende IP-Pakete

Um die Fragmentierung für ausgehende IP-Pakete für PMI zu unterstützen, werden die folgenden Schritte verwendet:

  • PMI erkennt Klartextpakete, die während der Sitzungssuche fragmentiert werden müssen, und übermittelt Pakete an das Datenflussmodul.

  • Das Flussmodul führt die Fragmentierung für ausgehende Pakete durch.

  • PMI verschlüsselt die Pakete vor der Übertragung.

Unterstützung von NP-Sitzungen

Auf SRX4100-, SRX4200- und Virtuelle Firewall vSRX Geräten werden Fragment- und Nicht-Fragment-Pakete zur Verarbeitung auf denselben CPU-Kern gehasht. Daher wird NP-Sitzung nicht unterstützt.

Auf SRX5400-, SRX5600- und SRX5800 Geräten mit SPC3 werden Fragment- und Nicht-Fragment-Pakete zur Verarbeitung auf unterschiedliche CPU-Kerne gehasht. Daher wird eine NP-Sitzung unterstützt, um fragmentierte oder nicht-fragmentierte Pakete zur Bestellung an denselben Core zu liefern.

Anmerkung:

Wenn in einer PMI- oder Nicht-PMI-Sitzung aufgrund der begrenzten NP-Sitzungskapazität keine NP-Sitzung installiert ist, ist die Paketreihenfolge für diese PMI-Sitzung möglicherweise nicht verfügbar.

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Funktionen entdecken , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Loslassen
Beschreibung
19.1R1
Beginnend mit Junos OS Version 19.1R1 wurde die PMI erweitert, um die ein- und ausgehenden Fragmentpakete unter Verwendung der Verarbeitung des ersten Pfads oder des schnellen Pfads zu verarbeiten.