Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Présentation d’Express Path

Express Path (anciennement connu sous le nom de déchargement de services) est un mécanisme permettant de traiter les paquets à chemin rapide dans le processeur du réseau plutôt que dans l’unité de traitement des services (SPU). Express Path augmente les performances en déchargeant une partie du trafic de SPU vers les processeurs réseau.

Lorsque vous créez une session Express Path sur le processeur réseau, les paquets suivants du flux correspondent à la session sur les processeurs réseau. Le processeur réseau traite et transmet ensuite le paquet. Vous ne pouvez pas configurer le routage asymétrique entre les nœuds, car Express Path ne prend pas en charge le transfert HA pour les sessions entre nœuds.

Le processeur réseau gère également des traitements supplémentaires tels que la vérification de séquence TCP, le traitement TTL, la traduction d’adresses réseau (NAT) et la traduction d’en-têtes de couche 2. La table de flux sur l’IOC3 est gérée par le SPU du module de flux. Le SPU insère et supprime des entrées de flux dans la table de flux en fonction des résultats de correspondance de stratégie. Express Path prend en charge IPv6.

La figure montre le flux de paquets dans Express Path.

Figure 1 : Flux de paquets et Express Path Packet flow and Express Path

Avantages d’Express Path

  • Améliore considérablement les performances monoflux et au niveau du châssis.

  • Réduit l’utilisation et la latence des SPU.

Limites d’Express Path

Express Path ne prend pas en charge :

  • Fonctionnalités

    • Transparent Mode

    • Session multicast avec plus d’un fan-out

    • Paquets fragmentés

    • IPsec VPN

    • Différentes valeurs de taille de MTU

    • J-Flow

    • Balisage VLAN flexible

  • Trafic de données de la passerelle de la couche applicative (ALG) :

    • DNS

    • IKE et ESP

    • PPTP

    • SQL-NET

  • IPv6

    • NAT

    • Mode transparent

    • Différentes valeurs de taille de MTU

    • Classe de service (CoS) sur les interfaces de sortie

Express Path et le déchargement des paquets ne fonctionnent pas lorsque vous utilisez des filtres de pare-feu pour diriger le trafic vers un routeur virtuel,

Si vous activez Express Path sur un périphérique fonctionnant en mode de cluster de châssis :

  • Vous ne pouvez pas configurer de cartes d’E/S ASYMÉTRIQUES (IOC).

  • Si une liaison enfant de l’interface reth compatible LACP tombe en panne, tout le trafic sur cette liaison est distribué vers d’autres liaisons enfants actives de l’interface. Si la liaison enfant apparaît et rejoint la reth interface, le trafic ou les sessions existants ne sont pas redistribués sur cette liaison enfant active nouvellement jointe. Les nouvelles sessions traversent ce lien.

  • Si une nouvelle liaison enfant est ajoutée à l’interface reth compatible LACP, le trafic ou les sessions existants ne sont pas redistribués sur cette nouvelle liaison enfant. Les nouvelles sessions traversent ce lien.

Chemin Express automatisé

Automated Express Path est activé par défaut à partir de Junos OS version 21.2R1. Lorsque vous effectuez une mise à niveau vers Junos version 21.2R1 ou ultérieure, vous bénéficiez des performances inégalées et gratuites d’un pare-feu de nouvelle génération, sans configuration ni investissement matériel supplémentaire. Par défaut, un Express Path automatisé est activé.

Dans Junos OS version 21.2R1, pour désactiver Express Path par règle, utilisez set security policies from-zone [untrust] to-zone ptrust] policy [services-offload-pol1] then permit no-services-offload la commande.

Pour revenir au comportement précédent en activant services-offload par règle, utilisez la set security forwarding-options services-offload disable commande.

Automated Express Path prend en charge les fonctionnalités suivantes :

  • Pare-feu dynamique

  • Traduction d’adresses réseau (NAT)

  • Stratégies unifiées (avec applications dynamiques et catégories d’URL)

  • Pare-feu utilisateur

  • Informations de sécurité

  • Détection et prévention d’intrusion (IDP)

  • Filtrage Web amélioré

  • Passerelles de couche applicative (ALG)

  • Écrans (anti-DDoS)

Comment Express Path traite-t-il le trafic ?

Lorsque le premier paquet arrive à une interface, le processeur réseau le transmet au point central (CP). Le point central transmet à son tour le paquet à l’USP. La SPU crée ensuite une session sur le processeur réseau et vérifie si le trafic est éligible pour la session Express Path ou pour une session normale.

Si le trafic est éligible pour le traitement Express Path, une session Express Path pour le trafic est créée dans le SPU. La session Express Path traite les paquets fast-path dans le processeur réseau, et les paquets quittent le processeur réseau.

Si le trafic n'est pas éligible pour le traitement Express Path, le SPU crée une session normale. La session normale transfère les paquets du processeur réseau à la SPU pour un traitement rapide,

Processeur réseau Express Path

Sur un pare-feu SRX avec processeur réseau, lorsque tous les plug-ins, y compris les plug-ins de paquets et les plug-ins de flux, ignorent une session, nous déchargeons la session, puis installons la session sur le processeur réseau. Lorsque le plugin de paquet ignore la session, nous marquons les drapeaux d’ignorance. Lorsque le plugin de streaming ignore la session, nous marquons les indicateurs d’ignorance et court-circuit TCP-T et TCP-I. Nous installons ensuite la session sur le processeur du réseau pour la décharger.

Le processeur réseau de la carte E/S (IOC) traite les paquets à chemin rapide sans passer par la fabric du commutateur ou la SPU. Cela réduit la latence du traitement des paquets.

Chaque entrée de flux dispose d’un compteur par aile dans le processeur réseau Express Path. Le compteur capture le nombre d’octets que le processeur réseau envoie sur l’aile.

Le comportement du processeur réseau dans différents scénarios est le suivant :

  • Flux du premier chemin : le flux du premier chemin est le même que le processus de flux actuel du processeur réseau. Lorsque le premier paquet arrive au processeur réseau, celui-ci analyse le paquet TCP ou UDP pour extraire une clé à 5 uplets, puis effectue une recherche de session dans la table de flux. Le processeur réseau transmet ensuite le premier paquet au point central. Le point central ne peut pas trouver de correspondance pour le moment car il s’agit du premier paquet. Le point central et la SPU créent une session et la comparent aux stratégies configurées par l’utilisateur pour déterminer s’il s’agit d’une session normale ou d’une session de déchargement de services.

    Si vous spécifiez la session à gérer avec Express Path, la SPU crée une entrée de session dans la table de flux du processeur réseau. Cela active l’indicateur Express Path dans le tableau des entrées de session ; sinon, le SPU crée une entrée de session normale dans le processeur réseau sans l’indicateur Express Path.

  • Fast-path flow : une fois que vous avez créé l’entrée de session dans le processeur réseau, les paquets suivants de la session correspondent à la table d’entrée de session.

    1. Si l’indicateur Express Path n’est pas défini, le processeur réseau transfère le paquet aux SPU spécifiés dans la table d’entrée de session. Le paquet suit le processus de flux normal.

    2. Si le processeur réseau trouve l’indicateur services-offload dans la table d’entrée de session, il traite le paquet localement et l’envoie directement.

    3. La fonction d’avance rapide du processeur réseau prend en charge les sessions de multicast à une sortie. Le port de sortie de la session doit également être associé au même processeur réseau que le port entrant. Tous les autres cas de multicast doivent être gérés comme des sessions normales.

  • Processus NAT : la SPU est responsable du mappage entre l’adresse IP ou le port interne et l’adresse IP ou le port externe. Lorsque le premier paquet de la session arrive, le SPU attribue l’adresse IP ou le mappage de port et stocke les informations dans l’entrée de session du processeur réseau. Si l’indicateur NAT est défini, le processeur réseau modifie le paquet.

  • Session age-out : pour améliorer le débit du trafic pour les sessions de délestage de services, une copie d’un paquet est envoyée à la SPU à chaque période prédéfinie afin de réduire la demande de traitement des paquets sur la SPU. Pour limiter le nombre de copies de paquets envoyées à la SPU, un horodatage est implémenté pour chaque session de déchargement de service. Le processeur réseau calcule le temps écoulé depuis la dernière correspondance de session. Si le temps écoulé est supérieur à la période prédéfinie, le processeur réseau envoie une copie du paquet à la SPU et met à jour l’horodatage de la session.

  • Arrêt et suppression de session : si le processeur du réseau reçoit un paquet IP avec un indicateur FIN (données terminées) ou RST (réinitialisation de la connexion), il transmet le paquet à la SPU. Le SPU supprime alors le cache de session sur le processeur réseau. Le processeur réseau continue de recevoir et de transmettre tous les paquets à la SPU pendant la transition d’état.

Compteur de statistiques d’escadre

Dans Express Path, le processeur réseau permet à chaque entrée de flux de conserver un compteur d’octets par aile. Le compteur capture le nombre d’octets que le processeur réseau envoie sur l’aile.

Lorsque vous activez le compteur, le processeur réseau recherche chaque paquet entrant dans son entrée de flux (une aile de session). Si le paquet appartient à une entrée de flux établie, le processeur réseau augmente le compteur d’octets de l’entrée de flux dans le paquet. Le processeur réseau copie périodiquement un paquet (copie-packet) de chaque entrée de flux sur sa SPU associée, ce qui permet à la SPU de maintenir la session. Le processeur réseau envoie des valeurs de compteur d’octets de flux dans l’en-tête des paquets de copie. L’USP accumule et tient des compteurs de statistiques par aile.

Vous ne pouvez pas modifier la configuration des statistiques pendant le cycle de vie d’une session en direct. La désactivation ou l’activation de la configuration des statistiques par aile alors qu’une session est active au niveau du processeur réseau invalide les statistiques de session sur la session en cours. Les nouvelles statistiques de session ne peuvent être valides qu’après la validation des modifications de configuration. Les compteurs de processeur réseau par aile ne peuvent pas être effacés.

Statistiques sur le nombre de sessions par aile

Le processeur réseau dispose d’une RAM statique (SRAM) plus grande pour prendre en charge les ressources de session, hébergeant ainsi plus de sessions par PIC. #concept_gkc_1ry_4sb__per-wing-sessions affiche le nombre total d’ailes de session, y compris Express Path et non-Express Path.

Utilisez l’explorateur de fonctionnalités pour confirmer la prise en charge de la plate-forme et de la version pour des fonctionnalités spécifiques. D’autres plates-formes peuvent être prises en charge.

Voir la section #concept_gkc_1ry_4sb__section_azn_4yk_khc pour plus d’informations.

Informations supplémentaires sur la plate-forme

Utilisez l’explorateur de fonctionnalités pour confirmer la prise en charge de la plate-forme et de la version pour des fonctionnalités spécifiques. D’autres plates-formes peuvent être prises en charge.
Tableau 1 : nombre total de sessions par aile en mode de configuration de chemin Network Processor Express

Nombre total d’ailes

Nombre d’ailes UDP Express Path

Nombre d’ailes TCP Express Path
et pare-feu SRX Series Sessions en mode chemin non Express Sans statistiques Avec des statistiques Sans statistiques Avec des statistiques

Appareil de la gamme SRX5000 SRX5K-MPC (IOC2)

1,8 million

1,8 million

1,8 million

1,8 million

1,8 million

Appareil de la gamme SRX5000 SRX5K-MPC3 (IOC3)

20 millions

20 millions

20 millions

20 millions

20 millions

Appareil de la gamme SRX5000 SRX5K IOC4

10 millions

10 millions

10 millions

10 millions

10 millions

SRX4600

20 millions

20 millions

20 millions

20 millions

20 millions

Traitement des paquets Express Path sur les cartes IOC

Express Path sur les cartes IOC est basé sur le traitement des paquets à chemin rapide via le chipset du processeur réseau plutôt que dans la SPU pour décharger certaines fonctions de pare-feu de base sur la carte IOC.

Si vous avez activé la fonctionnalité Express Path, la carte IOC offre une latence plus faible et prend également en charge un débit plus élevé en supprimant la surcharge sur le SPU. La carte IOC prend en charge à la fois le flux de trafic intra-carte et le flux de trafic inter-carte. Pour obtenir les meilleurs résultats de latence, le port entrant et le port de sortie d’un flux de trafic doivent se trouver sur la même puce XM de la carte IOC.

La carte IOC prend en charge le FPC 240 Gbit/s et utilise la gamme de chipsets NP (Network Processing) de troisième génération. Cette dernière puce de recherche et de file d’attente est optimisée pour une capacité plus élevée. La carte IOC est compatible avec SCB2 et SCB3, la précédente SCB n’est pas prise en charge.

Vous ne pouvez pas allumer les quatre PIC de la carte IOC simultanément en raison des contraintes électriques et thermiques. Mettez sous tension un maximum de deux PIC dans l’ordre pair ou impair. Vous pouvez utiliser la set chassis fpc <slot> pic <pic> power off commande pour choisir le PIC à allumer.

Les messages du journal système sont les suivants :

  • XMCHIP_CMERROR_DDRIF_INT_REG_CHKSUM_ERR_MINOR

  • XMCHIP_CMERROR_DDRIF_INT_REG_CHKSUM_ERR_MAJOR

Les messages d’erreur indiquent que la puce XM d’un concentrateur PIC flexible (FPC) a détecté une erreur de somme de contrôle, ce qui provoque des pertes de paquets. Les valeurs de seuil d’erreur suivantes classent l’erreur comme une erreur majeure ou une erreur mineure :

  • Erreur mineure : > 5 erreurs par seconde

  • Erreur majeure : > 255 erreurs par seconde (nombre maximum)

Dans le plan de données, la carte IOC analyse les paquets et les recherche dans la table de flux. Si la carte IOC trouve une correspondance dans la table de flux, elle transfère les paquets en fonction des instructions données dans la table de flux. La carte IOC peut effectuer le NAT, encapsuler l’en-tête de couche 2 (L2) et transférer les paquets hors de l’interface de sortie. L’interface de sortie peut être située sur la même carte IOC (boîtier intra-carte) ou une autre carte IOC (boîtier inter-carte).

Lorsque la carte IOC reçoit le premier paquet, elle ne correspond à aucune session d’avance rapide existante. Le transfert par défaut basé sur le hachage est effectué pour envoyer le premier paquet à la SPU. La SPU crée ensuite la session de sécurité. Si le SPU constate que le trafic est qualifié pour le transfert rapide et que la carte IOC associée prend en charge le transfert rapide, il installera la session d’avance rapide sur la carte IOC. Si le transfert rapide ne peut pas être appliqué au trafic, aucun message de session n’est envoyé et la carte IOC utilise le transfert par défaut basé sur le hachage pour transférer les paquets à la SPU.

Dans le traitement des cartes IOC en avance rapide, si une session en avance rapide correspond, le paquet peut être transféré directement en fonction du résultat du flux de session. La carte IOC prend toutes les mesures nécessaires, par exemple, le transfert du paquet, la vérification TTL et la diminution de la traduction NAT, et l’encapsulation de l’en-tête de couche 2.

De plus, la puce XL envoie une copie du paquet de transfert à la SPU à une heure prédéfinie. Cette copie est utilisée pour actualiser la session SPU, détecter l’état actuel de la puce XL, etc. Le SPU consomme ce paquet et ne le transfère pas, car le paquet réel a été traité et transmis.

Figure 2 : Chemin IOC3 Intra-PFE Express Path Express intra-PFE IOC3
Figure 3 : Chemin Express inter-PFE de l’IOC3
Figure 4 : Chemin Express inter-IOC3