Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Mode d’alimentation

Mode d’alimentation

PowerMode est un nouveau framework de plan de données par défaut qui introduit un chemin rapide optimisé permettant un débit plus élevé et une latence plus faible sur les pare-feu SRX Series. PowerMode est capable d’accélérer les opérations IPsec et les flux TCP et UDP génériques de la même manière qu’Express Path sur les plates-formes Trio.

Dans Junos OS version 21.3R1, la fonctionnalité présente les limitations suivantes :

  • Protocole non-IP.
  • Protocoles IP autres que TCP, UDP, ESP, SCTP ou GTP.
  • Sessions multicast.
  • Interfaces de tunnel logique de sortie (LT) et trafic inter-LSYS.
  • Sessions nécessitant un proxy TCP.
  • Filtres de pare-feu.
  • Apprentissage Mac et mode transparent.
  • Clusters HA actif/actif lorsque les sessions transitent par la liaison de structure (trafic en mode Z).
Note:

Les pare-feu SRX Series avec PMI prennent uniquement en charge la classe de service CoS (CoS) basée sur les flux.

Voir aussi

Mode d’alimentation Express

Présentation de PowerMode Express

PowerMode Express (PME) est un mode de fonctionnement qui permet d’améliorer les performances à l’aide du traitement vectoriel des paquets. Les PME utilisent un petit bloc logiciel à l’intérieur du moteur de transfert de paquets (PFE) qui permet de traiter plusieurs paquets dans la mémoire tampon de réception, ce qui permet de mieux utiliser le cache du processeur.

Figure 1 : flux de paquets dans PowerMode Express Packet Flow in PowerMode Express

Avantages

  • Améliore les performances de traitement rapide et de débit UDP.

Sur les appareils SRX4100, SRX4200, SRX4600, SRX5400, SRX5600, SRX5800 et vSRX, PowerMode Express est activé par défaut à partir de Junos OS version 21.3R1. Lorsque vous effectuez une mise à niveau vers Junos version 21.3R1 ou ultérieure, vous bénéficiez gratuitement et de performances inégalées de pare-feu de nouvelle génération, sans configuration ni investissement matériel supplémentaire.

Pour désactiver le PowerMode Express globalement, utilisez la set security flow power-mode-disable commande.

PowerMode Express prend en charge :

  • Classe de service (CoS)

  • Traduction d’adresses réseau (NAT)

  • Écrans (anti-DDoS)

  • Classe de transfert

  • Instance de routage

PowerMode Express Limitations

PowerMode Express ne prend pas en charge :

  • Protocole non-IP

  • Protocoles IP autres que TCP, UDP, ESP, SCTP ou GTP

  • Sessions multicast

  • Interfaces de tunnel logique de sortie (LT) et trafic inter-LSYS

  • Sessions nécessitant un mécanisme de contrôle, syslog et un compteur

  • Filtre de pare-feu

  • Clusters HA actif/actif lorsque les sessions transitent par la liaison de structure (trafic en mode Z)

Comment PowerMode Express traite-t-il le trafic ?

Lorsque le premier paquet arrive à une interface, une nouvelle session est créée dans le PowerMode. Si la nouvelle session est éligible pour PowerMode Express, une vérification de qualification PowerMode est effectuée.

La session PowerMode Express traite les paquets à chemin rapide dans le processeur réseau vers le traitement jexec. À l’étape de transfert de couche 2 jexec, le saut suivant du cache, la classe de transfert, les informations de classe de service (CoS) autorisent les paquets suivants de la session pour PowerMode Express.

Comment réactiver PowerMode Express

PowerMode Express est activé par défaut. Si vous désactivez le mode PowerMode express, vous pouvez le réactiver à l’aide de la commande suivante :

Vérification

Pour vérifier que la configuration fonctionne correctement, entrez la commande show suivante.

Voir aussi

Mode d’alimentation IPsec

PowerMode IPsec (PMI) est un nouveau mode de fonctionnement pour les instances SRX4100, SRX4200, SRX4600, SRX5400, SRX5600, SRX5800 et Pare-feu virtuel vSRX afin d’améliorer les performances IPsec. À partir de la version 19.1R1 de Junos OS, le PMI a été amélioré pour gérer les paquets de fragments entrants et sortants à l’aide du traitement du premier chemin ou du traitement du chemin rapide.

Activez le processus PMI à l’aide de la set security flow power-mode-ipsec commande. Pour vérifier que les paquets tirent parti de PMI, utilisez la commande show security flow pmi statistics .

Comprendre le traitement des premiers chemins et des chemins rapides PMI

Dans un traitement du premier chemin PMI :

  • Le premier paquet entrant est livré au flux pour créer une session.

  • Les paquets de fragments entrants sont remis au flux pour être réassemblés.

  • Les paquets entrants sont transmis au flux pour un traitement avancé des services de sécurité.

Dans un traitement de chemin rapide PMI, le pilote PMI est utilisé :

  • Pour chiffrer et envoyer directement le texte clair entrant.

  • Pour déchiffrer et envoyer les paquets ESP entrants directement avec la correspondance de session.

Commutation entre le traitement PMI First Path et le traitement Fast Path

Le traitement du premier chemin implique plus de fonctionnalités et d’instructions, tandis que le traitement du chemin rapide PMI offre de meilleures performances. Dans une session PMI, le traitement des paquets bascule entre le premier chemin et le chemin rapide en fonction du flux de paquets dans la session.

  • La session PMI avec des paquets fragmentés et non fragmentés est traitée par le premier chemin.

  • Lorsque la session ne contient que des paquets non fragmentés, elle passe du premier chemin au traitement rapide.

Note:

Sur les équipements SRX5400, SRX5600 et SRX5800, le basculement se produit après le délai d’expiration de la session NP.

Fragmentation des paquets IP entrants

Pour prendre en charge la fragmentation des paquets IP entrants pour PMI, les étapes suivantes sont utilisées dans le premier chemin :

  • Le PMI transmet tous les paquets IP fragmentés d’une session au module de flux pour traitement.

  • Le PMI transmet tous les paquets IP non fragmentés d’une même session au module de flux pour l’ordre des paquets.

  • Le module Flow termine le réassemblage des paquets fragmentés et les transmet à PMI pour chiffrement.

Fragmentation pour les paquets IP sortants

Pour prendre en charge la fragmentation des paquets IP sortants pour PMI, les étapes suivantes sont utilisées :

  • Le PMI détecte les paquets en texte clair qui nécessitent une fragmentation lors de la recherche de session et les transmet au module de flux.

  • Le module de flux fragmente les paquets sortants.

  • Le PMI chiffre les paquets avant de les transmettre.

Prise en charge des sessions NP

Sur les périphériques SRX4100, SRX4200 et Pare-feu virtuel vSRX, les paquets fragmentés et non fragmentés sont hachés sur le même cœur de processeur pour être traités. Par conséquent, la session NP n’est pas prise en charge.

Sur les périphériques SRX5400, SRX5600 et SRX5800 avec SPC3, les paquets fragmentés et non fragmentés sont hachés sur différents cœurs de processeur pour être traités. Par conséquent, la session NP est prise en charge pour livrer des paquets fragmentés ou non-fragmentés au même cœur pour les ordres.

Note:

Si aucune session NP n’est installée sur une session PMI ou non-PMI en raison d’une capacité de session NP limitée, il est possible que l’ordre des paquets pour cette session PMI ne soit pas disponible.

Tableau de l’historique des modifications

La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.

Libérer
Description
19.1R1
À partir de la version 19.1R1 de Junos OS, le PMI a été amélioré pour gérer les paquets de fragments entrants et sortants à l’aide du traitement du premier chemin ou du traitement du chemin rapide.