SUR CETTE PAGE
Comprendre le traitement du trafic sur les équipements de sécurité
Comprendre le comportement de traitement par défaut du trafic IPv4
Comprendre le traitement du trafic sur les appareils SRX210 et SRX320
Comprendre le traitement du trafic sur les équipements SRX3000 et SRX1400
Comprendre le traitement du trafic sur les appareils SRX4600
Comprendre le traitement du trafic sur les équipements en ligne SRX5000
Comprendre le traitement de flux sur les équipements SRX5K-SPC3
Présentation du traitement du trafic sur les pare-feu SRX Series
Junos OS pour équipements de sécurité intègre les capacités de sécurité réseau et de routage de Juniper Networks. Les paquets qui entrent et sortent d’un appareil sont traités à la fois par paquets et par flux.
Comprendre le traitement du trafic sur les équipements de sécurité
Junos OS pour équipements de sécurité intègre les capacités de sécurité réseau et de routage de classe mondiale de Juniper Networks. Junos OS inclut un large éventail de fonctions de filtrage basé sur les paquets, de classification de classe de service (CoS) et de mise en forme du trafic, ainsi qu’un ensemble riche et étendu de fonctionnalités de sécurité basées sur les flux, notamment des stratégies, des écrans, la traduction d’adresses réseau (NAT) et d’autres services basés sur les flux.
Le trafic entrant et sortant d’un équipement de sécurité est traité en fonction des fonctionnalités que vous configurez, telles que les filtres de paquets, les stratégies de sécurité et les écrans. Par exemple, le logiciel peut déterminer :
Si le paquet est autorisé à entrer dans l’appareil
Les écrans de pare-feu à appliquer au paquet
L’itinéraire emprunté par le paquet pour atteindre sa destination
Quel CoS appliquer au paquet, le cas échéant
Application du NAT pour traduire l’adresse IP du paquet
Si le paquet nécessite une passerelle de couche applicative (ALG)
Les paquets qui entrent et sortent d’un appareil sont traités à la fois par paquets et par flux :
Le traitement de paquets basé sur les flux traite les paquets associés, ou un flux de paquets, de la même manière. Le traitement des paquets dépend des caractéristiques qui ont été établies pour le premier paquet du flux de paquets, ce que l’on appelle un flux.
Pour l’architecture de traitement distribué de la passerelle de services, tout le traitement basé sur les flux s’effectue sur l’unité SPU et l’échantillonnage est multithread. Le séquençage des paquets échantillonnés est maintenu.
Le traitement des paquets basé sur les paquets, ou sans état, traite les paquets de manière discrète. Chaque paquet est évalué individuellement en vue d’un traitement.
Pour l’architecture de traitement distribué de la passerelle de services, certains traitements basés sur les paquets, tels que la modélisation du trafic, ont lieu sur le NPU. Certains traitements basés sur les paquets, tels que l’application de classificateurs à un paquet, ont lieu sur le SPU.
Cette rubrique comprend les sections suivantes :
Comprendre le traitement basé sur les flux
Un paquet est soumis à un traitement basé sur le flux après que des filtres basés sur les paquets et certains écrans lui ont été appliqués. Tous les traitements basés sur les flux d’un flux unique sont effectués sur une seule unité de traitement des services (SPU). Un SPU traite les paquets d’un flux en fonction des fonctionnalités de sécurité et des autres services configurés pour la session.
La figure 1 montre une vue conceptuelle de la façon dont le traitement du trafic basé sur les flux se produit sur la passerelle de services.
basé sur les flux
Un flux est un flux de paquets associés qui répondent aux mêmes critères de correspondance et partagent les mêmes caractéristiques. Junos OS traite les paquets appartenant au même flux de la même manière.
Les paramètres de configuration qui déterminent le sort d’un paquet (par exemple, la stratégie de sécurité qui lui est applicable, s’il nécessite une passerelle de couche applicative (ALG), si NAT est appliqué pour traduire l’adresse IP source et/ou de destination du paquet, sont évalués pour le premier paquet d’un flux.
Pour déterminer s’il existe un flux pour un paquet, le NPU tente de faire correspondre les informations du paquet à celles d’une session existante en se basant sur les critères de correspondance suivants :
Adresse source
Adresse de destination
Port source
Port de destination
Protocole
Numéro de jeton de session unique pour une zone et un routeur virtuel donnés
Zones et politiques
La stratégie de sécurité à utiliser pour le premier paquet d’un flux est mise en cache dans une table de flux pour être utilisée avec le même flux et des flux étroitement liés. Les stratégies de sécurité sont associées aux zones. Une zone est un ensemble d’interfaces qui définissent une limite de sécurité. La zone entrante d’un paquet, telle que déterminée par l’interface par laquelle il est arrivé, et sa zone sortante, telle que déterminée par la recherche de transfert, déterminent ensemble quelle stratégie est utilisée pour les paquets du flux.
Flux et sessions
Le traitement des paquets basé sur les flux, qui est dynamique, nécessite la création de sessions. Une session est créée pour le premier paquet d’un flux aux fins suivantes :
Pour stocker la plupart des mesures de sécurité à appliquer aux paquets du flux.
Pour mettre en cache des informations sur l’état du flux.
Par exemple, les informations de journalisation et de comptage d’un flux sont mises en cache dans sa session. (Certains écrans de pare-feu dynamiques s’appuient sur des valeurs seuils qui se rapportent à des sessions individuelles ou à l’ensemble des sessions.)
Allouer les ressources requises pour le flux pour des fonctionnalités telles que NAT.
Fournir un cadre pour des fonctionnalités telles que les ALG et les fonctionnalités de pare-feu.
La plupart des traitements de paquets ont lieu dans le contexte d’un flux, notamment :
Gestion des stratégies, des NAT, des zones et de la plupart des écrans.
Gestion des ALG et authentification.
Comprendre le traitement basé sur les paquets
Un paquet fait l’objet d’un traitement basé sur les paquets lorsqu’il est retiré de la file d’attente sur son interface d’entrée et avant d’être ajouté à la file d’attente sur son interface de sortie.
Le traitement basé sur les paquets applique des filtres de pare-feu sans état, des fonctionnalités CoS et certains écrans aux paquets discrets.
Lorsqu’un paquet arrive à une interface, des contrôles d’intégrité, des filtres basés sur les paquets, certaines fonctionnalités CoS et certains écrans lui sont appliqués.
Avant qu’un paquet ne quitte l’équipement, tous les filtres basés sur les paquets, certaines fonctionnalités CoS et certains écrans associés à l’interface sont appliqués au paquet.
Les filtres et les fonctionnalités CoS sont généralement associés à une ou plusieurs interfaces pour déterminer quels paquets sont autorisés à transiter par le système et pour appliquer des actions spéciales aux paquets si nécessaire.
Les rubriques suivantes décrivent les types de fonctionnalités basées sur les paquets que vous pouvez configurer et appliquer au trafic de transit.
Filtres de pare-feu sans état
Également appelés listes de contrôle d’accès (ACL), les filtres de pare-feu sans état contrôlent les accès et limitent les taux de trafic. Ils évaluent de manière statique le contenu des paquets transitant par l’équipement d’une source à une destination, ou des paquets provenant ou destinés au moteur de routage. Un filtre de pare-feu sans état évalue chaque paquet, y compris les paquets fragmentés.
Vous pouvez appliquer un filtre de pare-feu sans état à une interface d’entrée ou de sortie, ou aux deux. Un filtre contient un ou plusieurs termes, et chaque terme se compose de deux composants : les conditions de correspondance et les actions. Par défaut, un paquet qui ne correspond pas à un filtre de pare-feu est ignoré.
Vous pouvez planifier et concevoir des filtres de pare-feu sans état à diverses fins, par exemple pour limiter le trafic à certains protocoles, adresses IP source ou de destination, ou débits de données. Les filtres de pare-feu sans état sont exécutés sur le NPU.
Fonctionnalités de classe de service
Les fonctionnalités CoS vous permettent de classer et de mettre en forme le trafic. Les fonctionnalités CoS sont exécutées sur le NPU.
Classificateurs d’agrégats de comportement (BA) : ces classificateurs fonctionnent sur les paquets à mesure qu’ils pénètrent dans l’équipement. À l’aide de classificateurs d’agrégation de comportement, l’équipement agrège différents types de trafic en une seule classe de transfert pour recevoir le même traitement de transfert. Les classificateurs BA vous permettent de définir la classe de transfert et la priorité de perte d’un paquet en fonction de la valeur DiffServ (Differentiated Service).
Modélisation du trafic : vous pouvez modeler le trafic en attribuant des niveaux de service avec différentes caractéristiques de retard, de gigue et de perte de paquets à des applications particulières desservies par des flux de trafic spécifiques. La modélisation du trafic est particulièrement utile pour les applications en temps réel, telles que la transmission vocale et vidéo.
Écrans
Certains écrans, tels que les écrans de déni de service (DoS), sont appliqués à un paquet en dehors du processus de flux. Ils sont exécutés sur l’unité de traitement du réseau (NPU).
Comprendre le comportement de traitement par défaut du trafic IPv4
Le mode de traitement basé sur les flux est nécessaire pour que les fonctionnalités de sécurité telles que les zones, les écrans et les politiques de pare-feu fonctionnent. Par défaut, le pare-feu SRX Series est activé pour le transfert basé sur les flux du trafic IPv4 sur tous les équipements, à l’exception des équipements SRX300 Series et SRX550M qui sont configurés pour le mode d’abandon. À partir de Junos OS version 15.1X49-D70 et Junos OS version 17.3R1, pour les périphériques SRX1500 series, SRX4100, SRX4200, SRX5400, SRX5600, SRX5800 et Pare-feu virtuel vSRX, vous n’avez pas besoin de redémarrer le périphérique lorsque vous basculez entre le mode flux, le mode paquet et le mode drop. Pour les équipements SRX300 Series et SRX550M, vous devez redémarrer l’équipement lorsque vous basculez entre le mode flux, le mode paquet et le mode abandon.
SRX300 Series and SRX550M
Pour la gamme SRX300 et les appareils SRX550M, le mode de traitement par défaut est défini sur le mode d’abandon en raison de contraintes de mémoire. Dans ce cas, vous devez redémarrer le périphérique après avoir modifié le mode de traitement du mode de dépôt par défaut au mode de traitement basé sur les flux ou au mode de traitement basé sur les paquets, c’est-à-dire entre les modes sur ces périphériques.
Pour le traitement en mode drop, le trafic est abandonné directement, il n’est pas transféré. Il diffère du traitement en mode paquet pour lequel le trafic est géré mais aucun processus de sécurité n’est appliqué.
Configuring an SRX Series Device as a Border Router
Lorsqu’un pare-feu SRX Series, quel qu’il soit, est activé pour le traitement basé sur les flux ou le mode drop, pour configurer l’appareil en tant que routeur de bordure, vous devez changer le mode en traitement basé sur les paquets pour MPLS. Dans ce cas, pour configurer le pare-feu SRX Series en mode paquet pour MPLS, utilisez l’instruction set security forwarding-options family mpls mode packet-based .
Comme mentionné précédemment, pour les équipements SRX300 Series et les SRX550M, chaque fois que vous changez de mode de traitement, vous devez redémarrer l’équipement.
Comprendre le traitement du trafic sur les appareils SRX210 et SRX320
Cette rubrique décrit le processus par lequel les passerelles de services SRX210 et SRX320 établissent une session pour les paquets appartenant à un flux qui transite par le périphérique. Les services de flux des équipements SRX210 et SRX320 sont monothread et non distribués. Bien qu’ils diffèrent des autres pare-feu SRX Series sur ce point, le même modèle de flux est suivi et la même interface de ligne de commande (CLI) est implémentée.
Pour illustrer l’établissement d’une session et le « parcours » des paquets, y compris les points auxquels les services sont appliqués aux paquets d’un flux, l’exemple décrit dans les sections suivantes utilise le cas simple d’une session unicast :
- Comprendre le traitement des flux et la gestion des sessions
- Comprendre le traitement du premier paquet
- Comprendre la création de sessions
- Comprendre le traitement accéléré
Comprendre le traitement des flux et la gestion des sessions
Cette rubrique explique comment une session est configurée pour traiter les paquets composant un flux. Dans la rubrique suivante, l’USP fait référence au thread du plan de données du pare-feu SRX210 ou SRX320.
Au départ, le thread de plan de données récupère le paquet et effectue des contrôles d’intégrité de base sur celui-ci. Ensuite, il traite le paquet pour les filtres sans état et les classificateurs CoS, puis applique certains écrans.
Comprendre le traitement du premier paquet
Pour déterminer si un paquet appartient à un flux existant, l’équipement tente de faire correspondre les informations du paquet à celles d’une session existante en se basant sur les six critères de correspondance suivants :
Adresse source
Adresse de destination
Port source
Port de destination
Protocole
Jeton unique d’une zone donnée et d’un routeur virtuel
L’USP vérifie sa table de session à la recherche d’une session existante pour le paquet. Si aucune session existante n’est trouvée, l’USP configure une session pour le flux. Si une correspondance de session est trouvée, la session a déjà été créée, de sorte que l’USP effectue un traitement rapide sur le paquet.
Comprendre la création de sessions
Lors de la configuration de la session, l’USP exécute les services suivants pour le paquet :
Écrans
Recherche d’itinéraire
Recherche de stratégie
Recherche de service
NAT, si nécessaire
Une fois qu’une session est configurée, elle est utilisée pour tous les paquets appartenant au flux. Les paquets d’un flux sont traités en fonction des paramètres de sa session. Pour le reste des étapes du traitement des paquets, passez à l’étape 1 de la section « Traitement accéléré ». Tous les paquets font l’objet d’un traitement accéléré.
Comprendre le traitement accéléré
Si un paquet correspond à une session, Junos OS effectue un traitement accéléré comme décrit dans les étapes suivantes. Une fois qu’une session a été configurée pour le premier paquet d’un flux, subit également un traitement de chemin rapide. Tous les paquets font l’objet d’un traitement accéléré.
L’USP applique des fonctionnalités de sécurité basées sur les flux au paquet.
Les écrans configurés sont appliqués.
Des vérifications TCP sont effectuées.
Des services de flux, tels que NAT, ALG et IPsec sont appliqués, si nécessaire.
L’USP prépare le paquet pour le transfert et le transmet.
Des filtres de paquets de routage sont appliqués.
La mise en forme du trafic est appliquée.
La hiérarchisation du trafic est appliquée.
La planification du trafic est appliquée.
Le paquet est transmis.
Comprendre le traitement du trafic sur les équipements SRX3000 et SRX1400
Junos OS des passerelles de services SRX1400, SRX3400 et SRX3600 intègre les capacités de sécurité réseau et de routage de classe mondiale de Juniper Networks. Junos OS pour ces passerelles de services comprend un large éventail de services de sécurité, notamment des stratégies, des écrans, la traduction des adresses réseau, des classificateurs de classe de service, ainsi qu’un ensemble complet et riche de services basés sur les flux qui sont également pris en charge sur les autres périphériques des passerelles de services.
L’architecture de traitement parallèle distribué des périphériques SRX1400, SRX3400 et SRX3600 comprend plusieurs processeurs pour gérer les sessions et exécuter le traitement de la sécurité et d’autres services. Cette architecture offre une plus grande flexibilité et permet un débit élevé et des performances rapides.
Les sections suivantes décrivent l’architecture de traitement à l’aide de périphériques SRX3400 et SRX3600 à titre d’exemple :
Cette rubrique contient les informations suivantes :
- Composants impliqués dans la configuration d’une session
- Comprendre le chemin des données pour les sessions unicast
- Critères de recherche de session et de correspondance des paquets
- Comprendre la création d’une session : traitement du premier paquet
- Comprendre le traitement accéléré
Composants impliqués dans la configuration d’une session
Voici une vue d’ensemble des principaux composants impliqués dans la configuration d’une session pour un paquet et le traitement des paquets lorsqu’ils transitent par les périphériques SRX3400 et SRX3600 :
Unités de traitement des services (SPU) : les processeurs principaux des périphériques SRX3400 et SRX3600 résident sur des cartes de traitement des services (SPC). Ils établissent et gèrent les flux de trafic et effectuent la majeure partie du traitement des paquets sur un paquet lorsqu’il transite par l’appareil. Chaque SPU gère une table de hachage pour une recherche rapide des sessions. Le SPU effectue tous les traitements basés sur les flux d’un paquet, y compris l’application des services de sécurité, des classificateurs et des façonneurs de trafic. Tous les paquets appartenant au même flux sont traités par le même SPU.
L’USP gère une table de sessions avec des entrées pour toutes les sessions qu’elle a établies et dont elle traite les paquets. Lorsqu’un SPU reçoit un paquet d’un NPU, il vérifie sa table de sessions pour s’assurer que le paquet lui appartient.
Pour les équipements SRX3400 et SRX3600, une USP agit de concert en exécutant ses fonctions habituelles de gestion des sessions et de traitement des flux et en agissant comme un point central dans lequel elle arbitre les sessions et alloue les ressources. Lorsqu’un SPU fonctionne de cette manière, on dit qu’il est en mode combo.
Point central : le point central permet d’allouer la gestion des sessions aux SPU en fonction de critères d’équilibrage de charge. Il distribue les sessions de manière intelligente afin d’éviter que plusieurs SPU ne gèrent à tort le même flux. Le point central suit des critères d’équilibrage de charge lors de l’attribution des sessions aux SPU. Si la session existe, le point central transmet les paquets de ce flux à l’USP qui l’héberge. Il redirige également les paquets vers le bon SPU dans le cas où le NPU ne le fait pas.
Pour les appareils SRX3400 et SRX3600, une SPU s’exécute toujours en mode combiné, dans lequel elle met en œuvre à la fois la fonctionnalité du point central et la fonctionnalité de gestion des flux et des sessions. En mode combo, l’unité SPU et le point central partagent la même infrastructure LBT (Load-Balancing Thread) et POT (Packet-Ordering Thread). .
Moteur de routage (RE) : le moteur de routage exécute le plan de contrôle et gère le processeur de plan de contrôle (CPP).
Comprendre le chemin des données pour les sessions unicast
Junos OS pour les passerelles de services SRX3400 et SRX3600 est un système distribué de traitement parallèle à haut débit et hautes performances. Cette rubrique décrit le processus d’établissement d’une session pour les paquets appartenant à un flux qui transite par le périphérique.
Pour illustrer l’établissement d’une session et la « marche » des paquets, y compris les points auxquels les services sont appliqués aux paquets d’un flux, l’exemple suivant utilise le cas simple d’une session unicast. Cette « marche » des paquets rassemble le traitement basé sur les paquets et le traitement basé sur les flux que Junos OS effectue sur le paquet.
Critères de recherche de session et de correspondance des paquets
Pour déterminer si un paquet appartient à un flux existant, l’équipement tente de faire correspondre les informations du paquet à celles d’une session existante en se basant sur les six critères de correspondance suivants :
Adresse source
Adresse de destination
Port source
Port de destination
Protocole
Jeton unique d’une zone donnée et d’un routeur virtuel
Comprendre la création d’une session : traitement du premier paquet
Cette rubrique explique comment une session est configurée pour traiter les paquets composant un flux. Pour illustrer le processus, cette rubrique utilise un exemple avec une source « a » et une destination « b ». Le sens de la source à la destination des paquets du flux est appelé (a -> b). Le sens de la destination à la source est appelé (b -> a).
Un paquet arrive à une interface de l’appareil et l’IOC le traite.
L’IOC retire le paquet de la file d’attente et l’envoie au NPU avec lequel il communique.
Le NPU reçoit le paquet de l’IOC et le traite.
Le NPU effectue des contrôles d’intégrité de base sur le paquet et applique au paquet certains écrans configurés pour l’interface.
Si une correspondance de session est trouvée, la session a déjà été créée sur un SPU qui lui a été attribué, de sorte que le NPU transmet le paquet au SPU pour traitement avec l’ID de session.
Exemple : Le paquet (a ->b) arrive à NPU1 à partir de IOC1. NPU1 effectue des vérifications d’intégrité et applique des écrans de déni de service au paquet. NPU1 vérifie sa table de sessions à la recherche d’une correspondance de tuple et aucune session existante n’est trouvée. NPU1 transmet le paquet au point central de SPU1 pour qu’il l’assigne à un SPU.
Le point central crée une session avec un état « En attente ».
Le point central gère une table de sessions globale qui inclut les entrées de toutes les sessions qui existent sur tous les SPU de l’appareil. Il participe à la création des sessions et délègue et arbitre l’attribution des ressources des sessions.
Ce processus comprend les parties suivantes :
Le point central vérifie sa table de session et sa table de porte pour déterminer s’il existe une session ou une porte pour le paquet qu’il reçoit du NPU. (Un NPU a transféré un paquet au point central parce que sa table indique qu’il n’y a pas de session pour celui-ci. Le point central vérifie ces informations avant d’allouer une SPU pour la session.)
S’il n’y a pas d’entrée qui correspond au paquet dans l’une ou l’autre des tables, le point central crée une aile en attente pour la session et sélectionne un SPU à utiliser pour la session, en fonction de son algorithme d’équilibrage de charge.
Le point central transmet le premier paquet du flux à l’USP sélectionnée dans un message lui demandant de configurer localement une session à utiliser pour le flux de paquets.
Exemple : Le point central crée une aile en attente (a ->b) pour la session. Il sélectionne SPU1 à utiliser pour la session. Il envoie à SPU1 le paquet (a->b) ainsi qu’un message pour créer une session pour lui. (Il se trouve que SPU1 est le SPU qui fonctionne en mode combo. Par conséquent, ses services de gestion et de traitement de flux sont utilisés pour la session.
L’USP configure la session.
Chaque SPU dispose également d’une table de session, qui contient des informations sur ses sessions. Lorsque le SPU reçoit un message du point central pour configurer une session, il vérifie sa table de sessions pour s’assurer qu’aucune session n’existe déjà pour le paquet.
S’il n’y a pas de session existante pour le paquet, l’USP configure la session localement.
L’USP envoie un message au point central pour lui demander d’installer la session.
Lors du traitement du premier paquet, si NAT est activé, l’USP alloue des ressources d’adresse IP au NAT. Dans ce cas, le traitement du premier paquet de la session est suspendu jusqu’à ce que le processus d’allocation NAT soit terminé.
L’USP ajoute à la file d’attente tous les paquets supplémentaires pour le flux qu’il peut recevoir jusqu’à ce que la session ait été installée.
Exemple : SPU1 crée la session pour (a ->b) et renvoie un message au point central (implémenté sur le même SPU) lui demandant d’installer la session en attente.
Le point central installe la session.
Il définit l’état de l’aile en attente de la session sur actif.
Il installe l’aile arrière pour la session en tant qu’aile active.
Il envoie un message d’accusé de réception au SPU, indiquant que la session est installée.
Exemple : Le point central reçoit un message de SPU1 lui demandant d’installer la session pour (a->b). Il définit l’état de session pour (a->b) wing sur actif. Il installe l’aile arrière (b->a) pour la séance et la rend active ; Cela permet d’acheminer les paquets dans le sens inverse du flux : la destination (B) pour être livrés à la source (A).
Le SPU configure la session sur les NPU d’entrée et de sortie.
Les NPU conservent des informations sur une session pour le transfert et la livraison des paquets. Les informations de session sont configurées sur les NPU de sortie et d’entrée (qui sont parfois les mêmes) afin que les paquets puissent être envoyés directement à l’USP qui gère leurs flux et non au point central pour redirection.
Un traitement accéléré a lieu.
Pour le reste des étapes du traitement des paquets, passez à l’étape 1 de la section « Comprendre le traitement accéléré ».
Comprendre le traitement accéléré
Tous les paquets font l’objet d’un traitement accéléré. Toutefois, s’il existe une session pour un paquet, celui-ci subit un traitement rapide et contourne le processus du premier paquet. Lorsqu’il existe déjà une session pour le flux du paquet, celui-ci ne transite pas par le point central.
Voici comment fonctionne le traitement rapide : Les NPU aux interfaces de sortie et d’entrée contiennent des tables de session qui incluent l’identification du SPU qui gère le flux d’un paquet. Étant donné que les NPU disposent de ces informations de session, tout le trafic du flux, y compris le trafic inverse, est envoyé directement à cette SPU pour traitement.
Sur les périphériques SRX1400, SRX3400 et SRX3600, la fonctionnalité iflset n’est pas prise en charge pour les interfaces agrégées telles que reth.
Comprendre le traitement du trafic sur les appareils SRX4600
Le pare-feu Juniper Networks SRX4600 intègre des services de sécurité et de routage basés sur les flux, notamment une sécurité avancée et l’atténuation des menaces, ainsi qu’une sécurité de pare-feu dynamique traditionnelle. L’infrastructure basée sur les flux de Junos OS constitue la base et le cadre des services applicatifs des couches 4 à 7. Le pare-feu SRX4600 est conçu pour être déployé en tant que pare-feu intégré à la périphérie et au cœur du datacenter des grandes entreprises, ainsi qu’à la périphérie du campus. Il peut également être déployé comme passerelle de sécurité LTE et pare-feu Gi/SGi.
Cette rubrique comprend le contenu suivant :
- Comprendre les scénarios de déploiement du pare-feu SRX4600 et de ses fonctionnalités
- Traitement basé sur les flux et principes fondamentaux des sessions
- Composants sous-jacents de flux et de session implémentés sur les pare-feu SRX Series
Comprendre les scénarios de déploiement du pare-feu SRX4600 et de ses fonctionnalités
Le pare-feu SRX4600 peut être déployé dans de nombreuses zones pour sécuriser votre environnement et ses ressources. Il est souvent utilisé pour protéger la périphérie et le cœur du datacenter de la manière suivante :
Déployer le pare-feu SRX4600 en tant que pare-feu de périphérie de datacenter
Vous pouvez déployer le pare-feu SRX4600 à la périphérie de votre datacenter pour protéger au mieux les applications et services qu’il héberge. Chaque datacenter dispose d’un point d’entrée pour permettre aux clients d’accéder aux services du datacenter, mais des agresseurs malveillants peuvent en profiter pour lancer des attaques contre ces services. Une grande partie du trafic entrant dans le datacenter est constituée de trafic Internet entrant. Ne serait-ce que pour cette raison, il est essentiel de déployer une sécurité robuste et multicouche à la périphérie du centre de données. Le pare-feu SRX4600 bloque efficacement et de manière fiable les attaques, et vous permet de configurer le système pour déjouer des types d’attaques spécifiques. Le pare-feu SRX4600 prend en charge le cadre SDSN (Software-Defined Secure Network) de Juniper, y compris Juniper Advanced Threat Prevention Cloud (ATP Cloud), qui repose sur des informations automatisées et exploitables qui peuvent être partagées rapidement pour reconnaître et atténuer les menaces. La figure 2 illustre le pare-feu SRX4600 déployé à la périphérie du centre de données, en conjonction avec un routeur MX480 et des commutateurs EX Series.
Figure 2 : déploiement du pare-feu SRX4600 à la périphérie
du centre de données
Déployer le pare-feu SRX4600 au cœur du centre de données
Vous pouvez déployer le pare-feu SRX4600 au cœur du centre de données pour renforcer la sécurité et garantir le respect des exigences de conformité. Le traitement des datacenters est devenu de plus en plus dynamique, ce qui nécessite une définition claire du réseau et l’application des exigences de conformité. Pour garantir la conformité, vous pouvez utiliser le pare-feu SRX4600 pour segmenter l’ensemble de votre réseau en réseaux de serveurs individuels et sécuriser le trafic en leur sein. Le pare-feu SRX4600 offre haute disponibilité et automatisation, et ses services de couche 3 et 4 hautes performances répondent aux exigences de sécurité du cœur du centre de données. La figure 3 montre le pare-feu SRX4600 déployé en tant que pare-feu multicouche au cœur du centre de données.
Figure 3 : déploiement du pare-feu SRX4600 au cœur
du centre de données
En plus de ses fonctionnalités avancées de protection contre les programmes malveillants, le pare-feu SRX4600 prend en charge les fonctionnalités suivantes :
Pare-feu dynamique
Suite de sécurité applicative
Sécurité du contenu (Sophos AV, filtrage Web, antispam)
IDP (en anglais)
Haute disponibilité (cluster de châssis)
Deux ports de contrôle HA (10G)
Prise en charge de MACsec pour les ports HA
Interfaces Ethernet via QSFP28 (modes 100G/40G/4x10G), QSFP+ (modes 40G/4x10G) et SFP+ (mode 10G)
VPN IPsec, y compris AutoVPN et Group VPNv2
QoS et services réseau
J-Web
Stratégies de routage avec multicast
Traitement basé sur les flux et principes fondamentaux des sessions
Pour comprendre le traitement des flux sur le pare-feu SRX4600, il est important de comprendre les principes fondamentaux du flux.
Un flux est un flux de paquets associés qui répondent aux mêmes critères de correspondance et partagent les mêmes caractéristiques. Junos OS traite les paquets appartenant au même flux de la même manière. L’architecture d’une passerelle de services SRX Series et la façon dont elle gère les flux de paquets sont étroitement liées. Par conséquent, en partie en raison de leurs différences architecturales, le flux est implémenté différemment dans la famille des pare-feu SRX Series.
Le traitement des paquets basé sur les flux, qui est dynamique, nécessite la création de sessions. Les sessions sont créées en fonction du routage et d’autres informations de classification du trafic afin de stocker des informations et d’allouer des ressources à un flux. Les sessions mettent en cache des informations sur l’état du flux et stockent la plupart des mesures de sécurité à appliquer aux paquets du flux. En raison des différences architecturales entre les équipements, les sessions sont également gérées différemment par les différents équipements.
Quelles que soient ces différences, le processus de flux est conceptuellement le même sur toutes les passerelles de services, et les sessions servent les mêmes objectifs et ont les mêmes fonctionnalités.
Composants sous-jacents de flux et de session implémentés sur les pare-feu SRX Series
Les pare-feu SRX Series utilisent les mêmes composants d’infrastructure pour gérer les flux et les sessions, mais tous les appareils ne les implémentent pas tous.
Pour comprendre le flux, il est essentiel de comprendre les composants suivants et la façon dont ils sont utilisés :
L’unité de traitement des services (UPS)
Un SPU gère la session pour un flux de paquets. Il applique des fonctionnalités de sécurité et d’autres services au paquet. Il applique également des filtres, des classificateurs et des modélisateurs de trafic sans état basés sur les paquets au paquet.
Le point central (CP)
Le point central est une SPU que le système utilise pour allouer des ressources et distribuer la gestion des sessions entre les SPU. Lorsque le premier paquet d’un flux est traité, le point central détermine le SPU à utiliser pour la session de ce paquet. Le pare-feu SRX4600 n’implémente pas de point central.
L’unité de traitement du réseau (NPU) et la session de traitement du réseau
Un NPU est un processeur qui s’exécute sur une carte d’E/S (IOC) et traite les paquets de manière discrète. Lorsqu’un flux est créé, les paquets suivants du flux sont mis en correspondance avec la session sur le NPU. Le NPU gère les traitements supplémentaires tels que la vérification de séquence TCP, le traitement de durée de vie (TTL) et la traduction d’en-tête de couche 2. Un NPU améliore les performances dans la mesure où le transfert de paquets supplémentaire entre un SPU de session et un SPU de hachage est évité. Le pare-feu SRX4600 implémente un NPU.
L’architecture de flux du pare-feu SRX4600 a été améliorée afin d’optimiser l’utilisation des processeurs Xeon™ multicœurs avancés de l’appareil SRX4600. Le pare-feu SRX4600 met en œuvre l’utilisation d’un thread de session dédié pour contourner des problèmes tels que la gestion des paquets désordonnés dans un flux. Il utilise la session de traitement réseau pour s’assurer que les paquets sont transférés vers le bon thread dédié. Les paquets sont distribués à différents threads conformément au modèle de distribution de session basé sur le hachage.
Comprendre le traitement du trafic sur les équipements en ligne SRX5000
Junos OS sur SRX5000 appareils est un système distribué, à traitement parallèle, à haut débit et hautes performances. L’architecture de traitement parallèle distribué de la gamme SRX5000 de passerelles de services intègre plusieurs processeurs pour gérer les sessions et exécuter le traitement des services de sécurité et autres. Cette architecture offre une plus grande flexibilité et permet un débit élevé et des performances rapides.
Dans les périphériques SRX1400, SRX3400, SRX3600, SRX5400, SRX5600 et SRX5800, les négociations IKE impliquant une traversée NAT ne fonctionnent pas si l’homologue IKE se trouve derrière un périphérique NAT qui modifiera l’adresse IP source des paquets IKE au cours de la négociation. Par exemple, si le périphérique NAT est configuré avec DIP, il modifie l’adresse IP source, car le protocole IKE fait passer le port UDP de 500 à 4500.
Les cartes d’E/S (IOC) et les cartes de traitement des services (SPC) des équipements de la gamme SRX5000 contiennent des unités de traitement qui traitent un paquet lorsqu’il traverse l’équipement. Un IOC possède une ou plusieurs unités de traitement de réseau (NPU) et un SPC a une ou plusieurs unités de traitement des services (SPU).
Ces unités de traitement ont des responsabilités différentes. Tous les services basés sur les flux d’un paquet sont exécutés sur un seul SPU. Les responsabilités de ces UNP ne sont pas clairement définies en ce qui concerne les autres types de services qui les utilisent. .)
Par exemple:
Un NPU traite les paquets discrètement. Il effectue des vérifications d’intégrité et applique au paquet certains écrans configurés pour l’interface, tels que les écrans de déni de service (DoS).
Un SPU gère la session pour le flux de paquets et applique des fonctionnalités de sécurité et d’autres services au paquet. Il applique également des filtres, des classificateurs et des modélisateurs de trafic sans état basés sur les paquets au paquet.
Un NPU transfère un paquet à l’USP à l’aide de l’algorithme de hachage. Cependant, pour certaines applications, comme ALG, le système devra interroger le point central de l’application pour déterminer sur quel SPU le paquet doit être traité.
Ces parties discrètes du système, y compris le point central, stockent chacune les informations permettant d’identifier l’existence d’une session pour un flux de paquets et les informations par rapport auxquelles un paquet est apparié pour déterminer s’il appartient à une session existante.
Cette architecture permet à l’appareil de répartir le traitement de toutes les sessions sur plusieurs SPU. Il permet également à un NPU de déterminer si une session existe pour un paquet, de vérifier le paquet et d’appliquer des écrans au paquet. La façon dont un paquet est traité varie selon qu’il s’agit ou non du premier paquet d’un flux.
Les sections suivantes décrivent l’architecture de traitement utilisant des périphériques SRX5400, SRX5600 et SRX5800 à titre d’exemple :
- Comprendre le traitement du premier paquet
- Comprendre le traitement accéléré
- Comprendre le chemin des données pour les sessions unicast
- Présentation des unités de traitement des services
- Présentation des caractéristiques du planificateur
- Comprendre le regroupement de processeurs réseau
Comprendre le traitement du premier paquet
La figure 4 illustre le chemin emprunté par le premier paquet d’un flux lorsqu’il entre dans l’équipement : le NPU détermine qu’il n’existe aucune session pour le paquet, et le NPU envoie le paquet au point central distribué pour configurer une session de point central distribué. Le point central distribué envoie ensuite un message au point central de l’application pour qu’il sélectionne l’USP afin de configurer une session pour le paquet et de traiter le paquet. Le point central distribué envoie ensuite le paquet à ce SPU. Le SPU traite le paquet et l’envoie au NPU pour transmission à partir de l’appareil. (Cette description de haut niveau n’aborde pas l’application de fonctionnalités à un paquet.)
du premier paquet
Une fois que le premier paquet d’un flux a traversé le système et qu’une session a été établie pour celui-ci, il subit un traitement accéléré.
Les paquets suivants dans le flux sont également soumis à un traitement accéléré ; Dans ce cas, une fois que chaque paquet entre dans la session et que le NPU lui a trouvé une correspondance dans sa table de session, le NPU transmet le paquet à l’SPU qui gère sa session.
La figure 5 illustre le traitement accéléré. Il s’agit du chemin emprunté par un paquet lorsqu’un flux a déjà été établi pour les paquets qui lui sont associés. (Il s’agit également du chemin emprunté par le premier paquet d’un flux après la configuration de la session pour le flux initié par le paquet.) Une fois que le paquet est entré dans l’appareil, le NPU trouve une correspondance pour le paquet dans sa table de session et transfère le paquet à l’SPU qui gère la session du paquet. Notez que le paquet contourne l’interaction avec le point central.
Comprendre le traitement accéléré
La section suivante explique comment une session est créée et le processus qu’un paquet subit lorsqu’il transite par le périphérique.
accéléré
Voici une vue d’ensemble des principaux composants impliqués dans la configuration d’une session pour un paquet et le traitement des paquets à la fois discrètement et dans le cadre d’un flux lorsqu’ils transitent par les périphériques SRX5400, SRX5600 et SRX5800.
Unités de traitement réseau (NPU) : les NPU résident sur les IOC. Ils s’occupent de la vérification de l’intégrité des paquets et de l’application de certains écrans. Les NPU gèrent des tables de session qu’ils utilisent pour déterminer si une session existe pour un paquet entrant ou pour le trafic inverse.
La table de session NPU contient une entrée pour une session si la session est établie sur un SPU pour un paquet qui est précédemment entré dans le périphérique via l’interface et qui a été traité par ce NPU. L’UPS installe la session dans la table NPU lors de la création de la session.
Un NPU détermine si une session existe pour un paquet en comparant les informations du paquet à sa table de session. Si le paquet correspond à une session existante, le NPU envoie le paquet et les métadonnées correspondantes au SPU. S’il n’y a pas de session, les NPU envoient le paquet à une SPU qui est calculée à l’aide de l’algorithme de hachage.
Unités de traitement des services (SPU) : les principaux processeurs des périphériques SRX5400, SRX5600 et SRX5800 résident sur des SPC. Les SPU établissent et gèrent les flux de trafic et effectuent la majeure partie du traitement des paquets sur un paquet lorsqu’il transite par l’équipement. Chaque SPU gère une table de hachage pour une recherche rapide des sessions. L’USP applique au trafic des filtres, des classificateurs et des modélisateurs de trafic sans état. Un SPU effectue tous les traitements basés sur les flux d’un paquet et la plupart des traitements basés sur les paquets. Chaque SPU multicœur traite les paquets indépendamment avec un minimum d’interaction entre les SPU sur le même SPC ou sur un SPC différent. Tous les paquets appartenant au même flux sont traités par le même SPU.
L’USP gère une table de sessions avec des entrées pour toutes les sessions qu’elle a établies et dont elle traite les paquets. Lorsqu’un SPU reçoit un paquet d’un NPU, il vérifie sa table de sessions pour s’assurer que le paquet lui appartient. Il vérifie également sa table de session lorsqu’il reçoit un paquet du point central distribué et envoie un message pour établir une session pour ce paquet afin de vérifier qu’il n’existe pas de session existante pour le paquet.
Point central : l’architecture des points centraux est divisée en deux modules : le point central de l’application et le point central distribué. Le point central de l’application est responsable de la gestion globale des ressources et de l’équilibrage de charge, tandis que le point central distribué est responsable de l’identification du trafic (correspondance de session globale). La fonctionnalité de point central de l’application s’exécute sur le SPU de point central dédié, tandis que la fonctionnalité de point central distribué est distribuée au reste des SPU. Désormais, les sessions du point central ne se trouvent plus sur le SPU du point central dédié, mais avec le point central distribué sur d’autres SPU de flux.
Moteur de routage : le moteur de routage exécute le plan de contrôle.
Comprendre le chemin des données pour les sessions unicast
Cette section décrit le processus d’établissement d’une session pour les paquets appartenant à un flux qui transite par le périphérique.
Pour illustrer l’établissement d’une session et la « marche » des paquets, y compris les points auxquels les services sont appliqués aux paquets d’un flux, cet exemple utilise le cas simple d’une session unicast.
Cette « marche » des paquets rassemble le traitement basé sur les paquets et le traitement basé sur les flux que Junos OS effectue sur le paquet.
- Critères de recherche de session et de correspondance de paquets
- Comprendre la création de session : traitement du premier paquet
- Comprendre le traitement accéléré
Critères de recherche de session et de correspondance de paquets
Pour déterminer si un paquet appartient à un flux existant, l’équipement tente de faire correspondre les informations du paquet à celles d’une session existante en se basant sur les six critères de correspondance suivants :
Adresse source
Adresse de destination
Port source
Port de destination
Protocole
Jeton unique d’une zone donnée et d’un routeur virtuel
Comprendre la création de session : traitement du premier paquet
Cette section explique comment une session est configurée pour traiter les paquets composant un flux. Pour illustrer le processus, cette section utilise un exemple avec une source « a » et une destination « b ». Le sens de la source à la destination des paquets du flux est appelé (a ->b). Le sens de la destination à la source est appelé (b->a).
Étape 1. Un paquet arrive à une interface de l’appareil et le NPU le traite.
Cette section décrit comment un paquet est traité lorsqu’il arrive à un IOC d’entrée de pare-feu SRX Series.
Le paquet arrive à l’IOC de l’appareil et est traité par le NPU sur l’IOC.
Le NPU effectue des contrôles d’intégrité de base sur le paquet et applique au paquet certains écrans configurés pour l’interface.
Le NPU vérifie que sa table de session contient une session existante pour le paquet. (Il compare le tuple du paquet à celui des paquets des sessions existantes dans sa table de sessions.)
Si aucune session existante n’est trouvée, le NPU transfère le paquet au SPU de hachage.
Si une correspondance de session est trouvée, la session a déjà été créée sur un SPU qui lui a été attribué, de sorte que le NPU transmet le paquet au SPU pour traitement avec l’ID de session.
Example: Le paquet (a ->b) arrive à NPU1. NPU1 effectue des vérifications d’intégrité et applique des écrans de déni de service au paquet. NPU1 vérifie sa table de session à la recherche d’une correspondance de tuple, et aucune session existante n’est trouvée. NPU1 transfère le paquet à un SPU.
Étape 2. Le point central distribué crée une session avec un état « en attente ».
Lorsqu’un NPU reçoit un paquet, il l’envoie au point central distribué, en fonction de l’algorithme de hachage. Le point central distribué recherche ensuite la table de session du point central distribué et crée une entrée si nécessaire.
Ce processus comprend les parties suivantes :
Le point central distribué vérifie sa table de sessions pour déterminer s’il existe une session pour le paquet reçu du NPU. (Un NPU transfère un paquet au point central distribué car il ne trouve pas de session existante pour le paquet)
S’il n’y a pas d’entrée qui correspond au paquet dans la table de session du point central distribué, le point central distribué crée une aile en attente pour la session. Le point central distribué envoie ensuite un message de requête au point central de l’application pour qu’il sélectionne un SPU à utiliser pour la session.
À la réception du message de requête, le point central de l’application vérifie sa table de portes pour déterminer s’il existe une porte pour le paquet. Si une porte est mise en correspondance ou si un autre algorithme de distribution de session est déclenché, le point central de l’application sélectionne un autre SPU pour traiter le paquet ; sinon, le SPU (c’est-à-dire le SPU du point central distribué) est sélectionné. Enfin, le point central de l’application envoie une réponse de requête au point central distribué.
À la réception de la réponse à la requête, le point central distribué transfère le premier paquet en cours de flux à l’USP sélectionnée dans un message lui demandant de configurer localement une session à utiliser pour le flux de paquets. Par exemple, le point central distribué crée une aile en attente (a ->b) pour la session. Le point central de l’application sélectionne SPU1 à utiliser pour cela. Le point central distribué envoie à SPU1 le paquet (a->b) ainsi qu’un message pour créer une session pour le point central distribué.
Example: Le point central distribué crée une aile en attente (a ->b) pour la session. Il sélectionne SPU1 à utiliser pour cela. Il envoie à SPU1 le paquet (a->b) ainsi qu’un message pour créer une session pour lui.
Étape 3. L’USP configure la session.
Chaque SPU dispose également d’une table de session, qui contient des informations sur ses sessions. Lorsque l’UPS reçoit un message du point central distribué pour configurer une session, elle vérifie sa table de sessions pour s’assurer qu’aucune session n’existe déjà pour le paquet.
S’il n’y a pas de session existante pour le paquet, l’USP configure la session localement.
Le SPU envoie un message au point central distribué lui demandant d’installer la session.
Note:Lors du traitement du premier paquet, si NAT est activé, l’USP alloue des ressources d’adresse IP au NAT. Dans ce cas, le traitement du premier paquet de la session est suspendu jusqu’à ce que le processus d’allocation NAT soit terminé.
L’USP ajoute à la file d’attente tous les paquets supplémentaires pour le flux qu’il peut recevoir jusqu’à ce que la session ait été installée.
Example: SPU1 crée la session pour (a ->b) et renvoie un message au point central distribué lui demandant d’installer la session en attente.
Étape 4. Le point central distribué installe la session.
Le point central distribué reçoit le message d’installation du SPU.
Le point central distribué définit l’état de l’aile en attente de la session sur actif.
Le point central distribué installe l’aile arrière de la session en tant qu’aile active.
Note:Dans certains cas, comme le NAT, l’aile arrière peut être installée sur un point central distribué différent du point central distribué de l’aile d’initialisation.
Il envoie un message d’accusé de réception (ACK) au SPU, indiquant que la session est installée.
Example: Le point central distribué reçoit un message de SPU1 lui demandant d’installer la session pour l’aile (a->b). Il définit l’état de session de l’aile (a->b) sur actif. Il installe l’aile arrière (b->a) pour la séance et la rend active ; Cela permet d’acheminer les paquets dans le sens inverse du flux : la destination (B) pour être livrés à la source (A).
Étape 5. Le SPU configure la session sur les NPU d’entrée et de sortie.
Les NPU conservent des informations sur une session pour le transfert et la livraison des paquets. Les informations de session sont configurées sur les NPU de sortie et d’entrée (qui sont parfois les mêmes) afin que les paquets puissent être envoyés directement à l’USP qui gère leurs flux et non au point central distribué pour redirection.
Étape 6. un traitement accéléré a lieu.
Pour le reste des étapes du traitement des paquets, passez à l’étape 1 de la section Comprendre le traitement accéléré.
La figure 6 illustre la première partie du processus par laquelle subit le premier paquet d’un flux une fois qu’il a atteint l’appareil. À ce stade, une session est mise en place pour traiter le paquet et le reste des paquets appartenant à son flux. Par la suite, lui et le reste des paquets du flux sont soumis à un traitement rapide.
du premier paquet
Comprendre le traitement accéléré
Tous les paquets font l’objet d’un traitement accéléré. Toutefois, s’il existe une session pour un paquet, celui-ci subit un traitement rapide et contourne le processus du premier paquet. Lorsqu’il existe déjà une session pour le flux du paquet, celui-ci ne transite pas par le point central.
Voici comment fonctionne le traitement rapide : Les NPU aux interfaces de sortie et d’entrée contiennent des tables de session qui incluent l’identification du SPU qui gère le flux d’un paquet. Étant donné que les NPU disposent de ces informations de session, tout le trafic du flux, y compris le trafic inverse, est envoyé directement à cette SPU pour traitement.
Pour illustrer le processus accéléré, cette section utilise un exemple avec une source « a » et une destination « b ». Le sens de la source à la destination des paquets du flux est appelé (a->b). Le sens de la destination à la source est appelé (b->a).
Étape 1. Un paquet arrive à l’équipement et le NPU le traite.
Cette section décrit comment un paquet est traité lorsqu’il arrive à l’IOC d’une passerelle de services.
Le paquet arrive à l’IOC de l’appareil et est traité par le NPU de la carte.
Le NPU effectue des vérifications d’intégrité et applique certains écrans, tels que des écrans de déni de service (DoS), au paquet.
Le NPU identifie une entrée pour une session existante dans sa table de sessions à laquelle le paquet correspond.
Le NPU transfère le paquet avec les métadonnées de sa table de session, y compris l’ID de session et les informations de tuple du paquet, à l’USP qui gère la session pour le flux, applique des filtres de pare-feu sans état et des fonctionnalités CoS à ses paquets, et gère le traitement du flux du paquet et l’application de la sécurité et d’autres fonctionnalités.
Example: Le paquet (a ->b) arrive à NPU1. NPU1 effectue des vérifications d’intégrité sur le paquet, lui applique des écrans de déni de service et vérifie sa table de session pour une correspondance de tuple. Il trouve une correspondance et qu’une session existe pour le paquet sur SPU1. NPU1 transmet le paquet à SPU1 pour traitement.
Étape 2. L’unité SPU de la session traite le paquet.
La majeure partie du traitement d’un paquet s’effectue sur l’unité de distribution à laquelle sa session est affectée. Le paquet est traité pour les fonctionnalités basées sur les paquets, telles que les filtres de pare-feu sans état, les modélisateurs de trafic et les classificateurs, le cas échéant. La sécurité basée sur les flux configurée et les services associés, tels que les fonctionnalités de pare-feu, les NAT, les ALG, etc., sont appliqués au paquet. (Pour plus d’informations sur la façon dont les services de sécurité sont déterminés pour une session.
Avant de traiter le paquet, l’UPS vérifie sa table de sessions pour vérifier que le paquet appartient à l’une de ses sessions.
L’USP traite le paquet pour les fonctionnalités et les services applicables.
Example: SPU1 reçoit le paquet (a->b) de NPU1. SPU1 vérifie sa table de sessions pour vérifier que le paquet appartient à l’une de ses sessions. Ensuite, il traite les paquets (a ->b) en fonction des filtres d’entrée et des fonctionnalités CoS qui s’appliquent à son interface d’entrée. L’USP lui applique les fonctionnalités et services de sécurité configurés pour le flux du paquet, en fonction de sa zone et de ses stratégies. S’il y en a, il applique des filtres de sortie, des modélisateurs de trafic et des écrans supplémentaires au paquet.
Étape 3. L’USP transfère le paquet à la NPU.
L’USP transmet le paquet au NPU.
Le NPU applique au paquet tous les écrans applicables associés à l’interface.
Example: SPU1 transfère le paquet (a ->b) à NPU2, et NPU2 applique des écrans de DoS.
Étape 4. L’interface transmet le paquet à partir de l’appareil.
Example: L’interface transmet le paquet (a->b) à partir de l’appareil.
Étape 5. Un paquet de trafic inverse arrive à l’interface de sortie et le NPU le traite.
Cette étape reflète l’étape 1 exactement en sens inverse. Reportez-vous à l’étape 1 de cette section pour plus de détails.
Example: Le paquet (b->a) arrive à NPU2. NPU2 vérifie sa table de session pour une correspondance de tuple. Il trouve une correspondance et qu’une session existe pour le paquet sur SPU1. NPU2 transmet le paquet à SPU1 pour traitement.
Étape 6. L’unité SPU de la session traite le paquet de trafic inverse.
Cette étape est identique à l’étape 2, sauf qu’elle s’applique au trafic inverse. Reportez-vous à l’étape 2 de cette section pour plus de détails.
Example: SPU1 reçoit le paquet (b->a) de NPU2. Il vérifie sa table de session pour vérifier que le paquet appartient bien à la session identifiée par NPU2. Ensuite, il applique au paquet les fonctionnalités basées sur les paquets configurées pour l’interface du NPU1. Il traite les paquets (b->a) en fonction des fonctionnalités de sécurité et des autres services configurés pour son flux, en fonction de sa zone et de ses stratégies.
Étape 7. L’USP transfère le paquet de trafic inverse au NPU.
Cette étape est identique à l’étape 3, sauf qu’elle s’applique au trafic inverse. Reportez-vous à l’étape 3 de cette section pour plus de détails.
Example: SPU1 transfère le paquet (b->a) à NPU1. NPU1 traite tous les écrans configurés pour l’interface.
8. L’interface transmet le paquet à partir de l’appareil.
Cette étape est identique à l’étape 4, sauf qu’elle s’applique au trafic inverse. Reportez-vous à l’étape 4 de cette section pour plus de détails.
Exemple : L’interface transmet le paquet (b->a) à partir de l’appareil.
La figure 7 illustre le processus qu’implique un paquet lorsqu’il atteint l’équipement et qu’il existe une session pour le flux auquel il appartient.
accéléré
Présentation des unités de traitement des services
Pour une interface physique donnée, l’USP reçoit les paquets entrants de tous les processeurs réseau du bundle de processeurs réseau associé à l’interface physique. L’UPS extrait les informations du bundle de processeurs réseau de l’interface physique et utilise le même algorithme de hachage à 5 uplets pour mapper un flux à un index de processeur réseau. Pour déterminer le processeur réseau, l’USP effectue une recherche sur l’index du processeur réseau dans le bundle de processeurs réseau. Le SPU envoie les paquets sortants au module d’interface physique (PIM) local de l’interface physique pour le trafic sortant.
Le processeur réseau et l’USP utilisent le même algorithme de hachage à 5 uplets pour obtenir les valeurs de hachage des paquets.
Présentation des caractéristiques du planificateur
Pour les équipements SRX5400, SRX5600 et SRX5800, l’IOC prend en charge les caractéristiques hiérarchiques suivantes du planificateur :
IFL : la configuration du bundle de processeurs réseau est stockée dans la structure de données de l’interface physique. Par exemple, les équipements SRX5400, SRX5600 et SRX5800 ont un maximum de 48 PIM. L’interface physique peut utiliser un masque de bits de 48 bits pour indiquer le PIM, ou le trafic du processeur réseau provenant de cette interface physique est distribué en plus du processeur réseau principal de l’interface physique.
Sur les équipements de la gamme SRX5000, la fonctionnalité iflset n’est pas prise en charge pour les interfaces agrégées telles que reth.
IFD : l’interface logique associée à l’interface physique d’un bundle de processeurs réseau est transmise à tous les IOC qui ont un PIM dans le bundle de processeurs réseau.
Comprendre le regroupement de processeurs réseau
La fonction de regroupement des processeurs réseau est disponible sur les équipements de la gamme SRX5000. Cette fonctionnalité permet de distribuer le trafic de données d’une interface à plusieurs processeurs réseau pour le traitement des paquets. Un processeur réseau principal est affecté à une interface qui reçoit le trafic entrant et distribue les paquets à plusieurs autres processeurs réseau secondaires. Un processeur réseau unique peut agir comme un processeur réseau principal ou comme un processeur réseau secondaire pour plusieurs interfaces. Un seul processeur réseau ne peut rejoindre qu’un seul ensemble de processeurs réseau.
Limites de l’offre groupée de processeurs réseau
La fonctionnalité de regroupement de processeurs réseau présente les limitations suivantes :
Le regroupement de processeurs réseau permet un total de 16 PIM par bundle et 8 systèmes de bundle de processeurs réseau différents.
Vous devez redémarrer l’appareil pour appliquer les modifications de configuration sur le bundle.
Le regroupement des processeurs réseau se trouve sous l’interface reth dans l’architecture globale. Vous pouvez choisir l’une ou les deux interfaces dans le bundle de processeurs réseau pour former l’interface reth.
Si l’IOC est supprimé d’un bundle de processeurs réseau, les paquets transférés au PIM sur cet IOC sont perdus.
Lorsque le bundle de processeurs réseau est activé, les seuils d’inondation de synchronisation ICMP, UDP et TCP ne s’appliquent plus à une interface. Les paquets sont distribués à plusieurs processeurs réseau pour traitement. Ces seuils s’appliquent à chaque processeur réseau du bundle de processeurs réseau.
Le regroupement de processeurs réseau n’est pas pris en charge en mode couche 2.
En raison des contraintes de mémoire sur le processeur réseau, le nombre de ports groupés du processeur réseau pris en charge par PIM est limité. Dans le bundle de processeurs réseau, chaque port doit avoir un index de port global. L’index global des ports est calculé à l’aide de la formule suivante :
Global_port_index = (global_pic * 16) + port_offset
Les groupes d’agrégation de liens (LAG) et les LAG d’interface Ethernet redondants dans les implémentations de clusters de châssis peuvent coexister avec le regroupement de processeurs réseau. Toutefois, ni les LAG ni les LAG d’interface Ethernet redondants ne peuvent se chevaucher ou partager des liens physiques avec un ensemble de processeurs réseau.
Présentation du cache de session
- Aperçu
- Installation sélective du cache de session
- VPN IPsec : amélioration de l’affinité de session à l’aide du cache de session
- Fragmentation : classement des paquets à l’aide du cache de session NP
Aperçu
Les SRX5K-MPC (IOC2), SRX5K-MPC3-100G10G (IOC3) et SRX5K-MPC3-40G10G (IOC3) sur les équipements SRX5400, SRX5600 et SRX5800 prennent en charge le cache de session et l’installation sélective du cache de session.
Le cache de session est utilisé pour mettre en cache une conversation entre le processeur réseau (NP) et l’USP sur un IOC. Il peut s’agir d’une session, d’un trafic de tunnel GTP-U, d’un trafic de tunnel VPN IPsec, etc. Une conversation comporte deux entrées de cache de session, l’une pour le trafic entrant et l’autre pour le trafic inverse. Selon l’emplacement des ports d’entrée et de sortie du trafic, deux entrées peuvent résider dans le même processeur réseau ou dans des processeurs réseau différents. Les IOC prennent en charge le cache de session pour les sessions IPv6.
Une entrée de cache de session est également appelée aile de session.
Le cache de session sur l’IOC tire parti de la fonctionnalité Express Path (anciennement appelée déchargement des services) et permet d’éviter des problèmes tels qu’une latence élevée et une baisse des performances IPsec.
Une entrée de cache de session enregistre :
Vers quelle USP le trafic de la conversion doit-il être transféré ?
Vers quel port de sortie le trafic de la conversion doit être transféré en mode Express Path
Le traitement à effectuer pour le trafic sortant, par exemple, la traduction NAT en mode Express Path
À partir de Junos OS version 15.1X49-D10 et Junos OS version 17.3R1, le cache des sessions dans l’IOC permet de résoudre certains problèmes de performances. L’USP peut désormais demander au cache de session IOC de transférer le trafic ultérieur vers un SPU d’ancrage spécifique.
À partir de la version 15.1X49-D10 de Junos OS, le SRX5K-MPC (IOC2) et l’IOC3 prennent en charge l’affinité de session VPN grâce à l’amélioration du module de flux et du cache de session. À partir de la version 12.3X48-D30 de Junos OS, l’affinité de session VPN via le cache de session est prise en charge sur l’IOC2.
Le reste du trafic a été haché vers les SPU en fonction de leurs informations clés à 5 uplets. Le trafic VPN utilisait le concept de SPU ancré, qui ne coïncidait pas nécessairement avec les fonctions du SPU de flux. Le processeur réseau ne pouvait transmettre les paquets qu’à l’USP de flux en se basant sur le hachage à 5 uplets. L’USP de flux a ensuite transféré le paquet à l’UPU ancrée. Cela créait un saut supplémentaire pour le trafic VPN, ce qui gaspillait la bande passante de la fabric du commutateur et réduisait le débit VPN d’environ la moitié. Cette réduction des performances s’est produite parce que le trafic devait toujours revenir à l’USP de flux après traitement sur l’UPU ancrée.
La table de cache de session est maintenant étendue sur IOC pour prendre en charge les sessions NP. Le trafic Express Path et le trafic NP partagent la même table de cache de session sur les IOC. Le trafic Express Path est transféré par l’IOC lui-même, localement ou vers un autre IOC, car il ne nécessite aucun service de la part du SPU. Le trafic NP est transféré vers l’unité SPU spécifiée dans le cache de session pour un traitement ultérieur. Toutes les entrées de cache de session sont partagées par le trafic de session Express Path et le trafic NP.
Pour activer le cache de session sur les IOC, vous devez exécuter la set chassis fpc <fpc-slot> np-cache commande.
L’IOC2 et l’IOC3 utilisent le mécanisme de suppression des sessions de retard. Les mêmes sessions (sessions avec les mêmes cinq tuples) qui sont supprimées puis réinstallées immédiatement ne sont pas mises en cache sur les IOC.
Installation sélective du cache de session
Afin d’éviter une latence élevée, d’améliorer les performances IPSec et de mieux utiliser les précieuses ressources, certains mécanismes de priorité sont appliqués à la fois au module de flux et à l’IOC.
Les IOC maintiennent et surveillent les seuils d’utilisation du cache de session. Les IOC communiquent également l’utilisation du cache de session au SPU, de sorte que lorsqu’un certain seuil d’utilisation du cache de session est atteint, le SPU envoie uniquement des demandes d’installation de cache de session pour des sessions de trafic sélectives à haute priorité.
Des applications telles que l’IDP ou ALG doivent traiter les paquets dans l’ordre. Un SPU dispose de plusieurs threads de flux pour gérer les paquets appartenant à une session, le thread d’équilibrage de charge (LBT) et l’ordre des paquets POT (Packet-Ordering Thread) peut s’assurer que le trafic passe à travers le pare-feu dans l’ordre, il ne peut pas garantir que l’application traite les paquets appartenant à la même session dans l’ordre. La sérialisation de flux permet à un seul paquet de traitement de thread de flux SPU d’appartenir à la même session à la fois, afin que les applications puissent recevoir, traiter et envoyer des paquets dans l’ordre. D’autres threads de flux peuvent effectuer le traitement de la sérialisation de flux pour d’autres sessions en même temps.
Les quatre niveaux de priorité suivants sont utilisés pour déterminer quel type de trafic peut installer le cache de session sur les IOC :
Priority 1 (P1)— Trafic qualifié IPSec et Express Path
Priority 2 (P2)— Ordre de fragmentation
Priority 3 (P3)— Trafic NAT/SZ (sérialisation de session)
Priority 4(P3)— Tous les autres types de trafic
Les IOC maintiennent et surveillent les seuils d’utilisation du cache de session et mettent à jour l’utilisation actuelle du cache de session en temps réel vers le SPU. L’USP demande à l’IOC d’installer le cache de session pour certaines sessions de trafic prioritaires. L’utilisation du cache de session pour les sessions de trafic à haute priorité est définie dans le tableau :
Type de trafic |
0 % d’utilisation < < 25 % |
25 % d’utilisation < < 50 % |
50 % d’utilisation < < 75 % |
75 % d’utilisation < < 100 % |
|---|---|---|---|---|
Trafic IPsec et Express Path |
Oui |
Oui |
Oui |
Oui |
Fragmentation Classement du trafic |
Oui |
Oui |
Oui |
Non |
Trafic NAT/SZ |
Oui |
Oui |
Non |
Non |
Autres trafics |
Oui |
Non |
Non |
Non |
Pour conserver les entrées de session sur l’IOC, le module de flux installe de manière sélective les sessions sur l’IOC. Pour faciliter la sélection de l’installation de session, l’IOC maintient les seuils correspondants pour fournir une indication au module de flux (sur le niveau de remplissage de la table de cache de session sur les IOC). Deux bits dans l’en-tête meta sont ajoutés pour indiquer l’état d’utilisation actuel de la table de cache. Tous les paquets à destination de l’USP porteront ces deux bits d’état pour informer le module de flux de l’utilisation de la table de cache sur l’IOC.
VPN IPsec : amélioration de l’affinité de session à l’aide du cache de session
Les pare-feu SRX Series sont des systèmes entièrement distribués, et un tunnel IPsec est alloué et ancré à un SPU spécifique. Tout le trafic appartenant à un tunnel IPsec est chiffré et déchiffré sur son SPU ancré dans le tunnel. Afin d’obtenir de meilleures performances IPsec, IOC améliore le module de flux afin de créer des sessions pour le trafic basé sur un tunnel IPsec (avant le chiffrement et après le déchiffrement) sur son SPU ancré dans le tunnel, et installe un cache de session pour les sessions afin que l’IOC puisse rediriger les paquets directement vers la même SPU afin de minimiser la surcharge de transfert de paquets. Le trafic Express Path et le trafic NP partagent la même table de cache de session sur les IOC.
Vous devez activer le cache de session sur les IOC et définir la stratégie de sécurité pour déterminer si une session est en mode Express Path (anciennement appelé déchargement des services) sur le concentrateur PIC flexible (FPC) sélectionné.
Pour activer l’utilisation de l’affinité VPN IPsec, la set security flow load-distribution session-affinity ipsec commande.
Pour activer l’affinité VPN IPsec, vous devez également activer le cache de session sur les IOC à l’aide de la set chassis fpc <fpc-slot> np-cache commande.
Fragmentation : classement des paquets à l’aide du cache de session NP
Une session peut être constituée de paquets normaux et fragmentés. Avec la distribution basée sur le hachage, les clés à 5 et 3 tuples peuvent être utilisées pour distribuer des paquets normaux et fragmentés à différents SPU, respectivement. Sur les pare-feu SRX Series, tous les paquets de la session sont transférés à un SPU de traitement. En raison de la latence de transfert et de traitement, l’unité de traitement peut ne pas garantir l’ordre des paquets de la session.
Le cache de session sur les IOC assure l’ordre des paquets d’une session avec des paquets fragmentés. Une entrée de cache de session est allouée pour les paquets normaux de la session et une clé à 3 tuples est utilisée pour rechercher les paquets fragmentés. À la réception du premier paquet fragmenté de la session, le module de flux permet à l’IOC de mettre à jour l’entrée du cache de session pour mémoriser les paquets fragmentés pour le SPU. Par la suite, IOC transmet tous les paquets suivants de la session à l’USP pour assurer l’ordre des paquets d’une session avec des paquets fragmentés.
Configuration du mappage IOC vers NPC
Pour mapper une carte d’entrée/sortie (IOC) vers une carte de traitement réseau (NPC), vous devez mapper un IOC à un PNJ. Cependant, vous pouvez mapper plusieurs IOC à un seul PNJ. Pour équilibrer la puissance de traitement du PNJ sur les passerelles de services SRX3400 et SRX3600, le processus de châssis (démon) exécute un algorithme qui effectue le mappage. Il mappe un IOC à un PNJ qui a le moins d’IOC qui lui est mappé. Vous pouvez également utiliser l’interface de ligne de commande (CLI) pour attribuer un IOC spécifique à un PNJ spécifique. Lorsque vous configurez le mappage, le processus de châssis utilise d’abord votre configuration, puis applique l’algorithme du PNJ du plus petit nombre pour le reste des IOC.
La prise en charge de la plate-forme dépend de la version de Junos OS de votre installation.
Pour configurer le mappage IOC vers NPC :
[edit]
set chassis ioc-npc-connectivity {
ioc slot-number npc (none | slot-number);
}
Voir le set chassis ioc-npc-connectivity tableau 2 pour une description des options.
Option |
Description |
|---|---|
Cio slot-number |
Spécifiez le numéro de l’emplacement IOC. La plage est comprise entre 0 et 7 pour les équipements SRX3400 et de 0 à 12 pour les équipements SRX3600. |
Npc slot-number |
Spécifiez le numéro d’emplacement du PNJ. La plage est comprise entre 0 et 7 pour les équipements SRX3400 et de 0 à 12 pour les équipements SRX3600 et SRX 4600. |
aucun |
Le processus de châssis mappe la connexion pour l’IOC en question. |
Vous devez redémarrer le contrôle de châssis après avoir validé la set chassis ioc-npc-connectivity commande.
Comprendre le traitement de flux sur les équipements SRX5K-SPC3
La carte de traitement de services SRX5K-SPC3 est introduite pour améliorer les performances des services de sécurité sur la passerelle de services de sécurité SRX5000. La carte SPC3 prend en charge un débit plus élevé et conserve sa fiabilité tout en préservant la fonctionnalité de cluster du châssis et son évolutivité pour le traitement des services.
La carte SPC3 prend en charge les fonctions de sécurité suivantes :
Passerelle de couche applicative (ALG). [Voir la présentation d’ALG]
Protection avancée contre les programmes malveillants (Juniper ATP Cloud). [Voir Juniper Sky Advanced Threat Prevention Administration]
Suite de sécurité des applications. [ Reportez-vous au Guide d’utilisation de la sécurité applicative pour les dispositifs de sécurité]
Mise en œuvre du traitement des paquets basé sur les flux
Protocole de tunnelisation GPRS (GTP) et protocole de transmission de contrôle de flux (SCTP). [Voir le Guide général de l’utilisateur du service de radiocommunication par paquets pour les équipements de sécurité]
Haute disponibilité (cluster de châssis). [Voir le Guide de l’utilisateur du cluster de châssis pour les équipements SRX Series]
Détection et prévention des intrusions (IDP). [Voir Présentation de la détection et de la prévention des intrusions]
Traduction d’adresses réseau (NAT). [Voir le Guide de l’utilisateur de la traduction d’adresses réseau pour les appareils de sécurité]
Pare-feu dynamique
Proxy SSL. [Voir Proxy SSL]
Authentification des utilisateurs par pare-feu. [Voir le Guide de l’utilisateur sur l’authentification et les pare-feu utilisateur intégrés pour les dispositifs de sécurité]
Sécurité du contenu (antivirus, filtrage Web, filtrage de contenu et antispam). [Voir le Guide de l’utilisateur UTM pour les dispositifs de sécurité]
Le flux de sécurité est amélioré pour prendre en charge la carte SPC3 avec toutes les fonctionnalités de sécurité existantes qui sont prises en charge sur la carte SPC2.
Les limitations suivantes s’appliquent à la carte SPC3 dans Junos OS version 18.2R1-S1 :
L’interopérabilité des cartes SPC3 et SPC2 n’est pas prise en charge.
La fonctionnalité VPN IPsec n’est pas prise en charge avec la carte SPC3.
À partir de la version 18.2R1-S1 de Junos OS, une nouvelle carte de traitement de services (SPC3) est introduite pour les équipements de la gamme SRX5000. La nouvelle carte améliore l’évolutivité et les performances de l’appareil, tout en préservant sa fiabilité tout en préservant la fonctionnalité de cluster du châssis. La carte SPC3 prend en charge un débit et une évolutivité plus élevés pour le traitement des services.
Sur les équipements de la gamme SRX5000, la carte SPC3 interagit avec les cartes d’E/S (IOC2, IOC3), la carte de contrôle des commutateurs (SCB2, SCB3), les moteurs de routage et les cartes SPC2.
À partir de la version 18.4R1 de Junos OS, un mélange de cartes SPC3 et SPC2 est pris en charge sur les équipements de la gamme SRX5000.
Si vous ajoutez les cartes SPC3 sur des équipements de la gamme SRX5000, la nouvelle carte SPC3 doit être installée dans l’emplacement dont le numéro est le plus bas de tout SPC. La carte SPC3 est installée dans l’emplacement d’origine portant le numéro le plus bas, ce qui permet d’accéder à la fonctionnalité de point central (CP) en mode mixte. Par exemple, si votre passerelle de services contient un mélange de cartes SPC2 et SPC3, un SPC3 doit occuper l’emplacement le plus bas de tous les SPC du châssis. Cette configuration garantit que la fonctionnalité de point central (CP) en mode mixte est assurée par la carte SPC3.
Sur les équipements de la gamme SRX5000 fonctionnant en mode mixte, le traitement de flux est partagé entre les cartes SPC3 et SPC2. Le traitement du point central s’effectue sur l’emplacement SPC le plus bas pour lequel une carte SPC3 est installée.
Lorsque les pare-feu SRX Series fonctionnent en mode cluster de châssis, les cartes SPC3 et SPC2 doivent être installées aux mêmes emplacements sur chaque châssis.
- Comprendre l’architecture logicielle SPC3
- Comprendre la répartition de la charge
- Comprendre les sessions NP et le délestage des services (SOF)
- Comprendre la prise en charge de J-Flow sur SPC3
- Présentation de la prise en charge de l’unité SPU de débogage de Datapath (E2E)
- Comprendre la gestion de la fragmentation, l’ISSU et la prise en charge d’ISHU
Comprendre l’architecture logicielle SPC3
L’architecture de flux SPC3 est identique à l’architecture CP-Lite. Le SPC3 dispose physiquement de deux unités de traitement des services (SPU) et chaque SPU possède deux CPU.
Lorsque vous installez un ou deux SPC3, le traitement du trafic utilise 75 % du premier SPC. Lorsque vous installez trois SPC3 ou plus, le traitement du trafic utilise 50 % du premier SPC.
La façon dont l’IOC hache les paquets pour traiter le flux est modifiée. La figure illustre le flux de paquets du pare-feu SRX Series avec SPC3
Sur SPC3, les paquets sont distribués directement de l’IOC à chaque cœur. Étant donné que l’IOC hache directement les paquets vers le thread RT distribué, le thread LBT d’origine est supprimé. Les paquets sont désormais livrés au thread de flux au lieu de SPU. Si le flux de sécurité installe des sessions NP, au lieu de l’ID SPU, l’ID de thread de session est utilisé par IOC pour transférer les paquets afin de corriger l’association de threads à la session.
en flux
Comprendre la répartition de la charge
Tous les paquets qui passent par un port payant seront distribués à différents SPU en fonction de l’algorithme de hachage, qui est le même que le hachage des périphériques SRX5000 Line existants basé sur l’architecture CP-Lite. La méthode de hachage varie selon les types de trafic. Le tableau ci-dessous répertorie les méthodes de hachage.
Protocole |
Ports |
Méthode de hachage |
|
|---|---|---|---|
TCP
|
Port src L4 et port dst |
Hashed par 5-tuple |
|
UDP |
Normal |
Port src L4 et port dst |
Hashed par 5-tuple |
GTP (en anglais) |
Port src L4 et port dst |
Hashed par 5-tuple |
|
IKE |
Port src L4 et port dst
|
Hashed par paire d’adresses IP |
|
ICMP |
|
Les informations ICMP sont hachées par 5 tuples ; L’erreur ICMP est hachée par 3 uplets (pas d’informations sur les ports) |
|
Le protocole SCTP |
Port src L4 et port dst |
Hashed par 5-tuple |
|
ESP |
SPI |
Hashed par paire d’adresses IP |
|
AH |
SPI |
Hashed par paire d’adresses IP |
|
GRE |
Si PPTP alg est activé, sport = call id ; dport = 0 Par défaut, le port est 0x00010001 |
Hashed par 3-tuple |
|
PIM |
Par défaut, les ports PIM 0x00010001 |
Hashed par 3-tuple |
|
FRAGMENT |
Premier fragment, a les ports normaux Aucun premier fragment, aucun port |
Hashed par 3-tuple |
|
Autre paquet IP |
Ports 0x00010001 |
Hashed par 3-tuple |
|
AUCUNE IP |
Sans objet |
Hashed par adresse Mac et type Ethernet (ID VLAN) |
|
Comprendre les sessions NP et le délestage des services (SOF)
La session NP (Network Processor) est une session basée sur IOC qui autorise et établit les sessions SPU. Les paquets qui passent la session NP présentent les avantages suivants :
Évite la recherche de sessions sur l’USP pour obtenir de meilleures performances.
Évite le transfert de paquets supplémentaire entre l’USP de session et l’UPU de hachage.
Le déchargement de service est un type spécial de session NP qui fournit une fonctionnalité à faible latence pour les sessions nécessitant un service de pare-feu de base. Les paquets qui atteignent la session SOF sur un IOC contournent le traitement des paquets sur l’USP et sont directement transférés par IOC. Les types de trafic suivants prennent en charge le déchargement du service :
Pare-feu de base (sans plug-in ni fragments), trafic TCP IPv4 et IPv6, trafic UDP
IPv4 NAT
Multicast à 1 entrée et 1 sortie
ALG tels que les sessions de données FTP
Comprendre la prise en charge de J-Flow sur SPC3
J-Flow est la version Juniper du mécanisme standard de surveillance du trafic. Il fournit une fonctionnalité permettant d’exporter des instantanés des statistiques de trafic réseau vers le serveur distant pour la surveillance du réseau et le traitement ultérieur des données. J-Flow prend en charge les formats v5, v8 et v9. Ces trois versions sont prises en charge sur SPC3.
Présentation de la prise en charge de l’unité SPU de débogage de Datapath (E2E)
Le débogage de chemin de données fournit une fonctionnalité de débogage de paquets de bout en bout (E2E) basée sur un filtre sur les équipements SRX5000 Line. Il trace le chemin des paquets et vide le contenu des paquets.
Sur SPC3, JEXEC est le seul type d’événement E2E pris en charge et les types d’actions E2E suivants sont pris en charge :
Compter
Dépotoir
Trace
Trace-summary
Comprendre la gestion de la fragmentation, l’ISSU et la prise en charge d’ISHU
Sur SPC3, les paquets fragmentés sont transférés au « cœur de fragment » dans un PFE spécifique en fonction de ses valeurs de tuple d’en-tête. Après avoir reçu un paquet fragmenté, le flux procède à la défragmentation et transmet le paquet à son cœur de session. La logique de flux ne change pas et reste la même.
Lors de l’exécution de l’ISSU, les SPU virtuels sont synchronisés avec les ID SPU virtuels associés. La prise en charge d’ISHU est basée sur l’architecture CP-Lite. Fondamentalement, deux opérations ISHU sont prises en charge :
Insérez un nouveau SPC dans le noeud secondaire.
Remplacez un SPC sur le noeud secondaire et le nombre de SPC doit être le même que celui du noeud principal.
Tableau de l’historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.