このページの内容
Express Path for CSDSアーキテクチャを理解する
Express Path メカニズムを使用した CSDS アーキテクチャでのサービスのオフロードについては、このトピックをお読みください。
概要
Connected Security Distributed Services(CSDS)アーキテクチャは、Express Path と呼ばれるメカニズムを介して新規セッションと既存のセッションの両方のデータ トラフィックの処理を効率的に管理することで、ネットワーク パフォーマンスを向上させます。
Express Path は CSDS アーキテクチャ内の重要な機能であり、vSRX仮想ファイアウォールは、セッション オフロード方法を使用してセキュリティ サービスを MXシリーズ ルーターにオフロードできます。Express Path を使用すると、データパス内のファイアウォールを迂回して、ルーター内のトラフィック フローを直接処理および転送できます。ただし、ファイアウォールは、ルーターが処理を処理する間も、これらのオフロードされたフローの管理機能を保持します。Express Path は、ファイアウォールとルーターの間でセッション処理タスクを再分散します。
セッションは、ファイアウォール上のステートフル接続におけるトラフィックフローの記録です。フローは、送信元IP、宛先IP、送信元ポート、宛先ポート、プロトコルなど、同一の特性を共有し、特定の基準に一致する関連パケットで構成されています。CSDSアーキテクチャは、フローのオフロードにExpress Pathメカニズムを使用します。Express Path セッション オフロード プロセスにより、ファイアウォールは、セッションがディープパケットインスペクション (DPI) を必要としないタイミングを判断し、その後セッションをルーターに転送できます。
利点
-
リソース利用率の向上—CSDSトポロジーでセッション処理ワークロードを効率的に分散することで、フォワーディング層とサービス層全体のリソース利用率を高めます。
-
パフォーマンスの最適化—ルーターがセッションデータを直接処理できるようにすることでネットワークパフォーマンスを向上させ、処理のオーバーヘッドと遅延を削減します。
-
スループットの向上—繰り返しのデータ検査の必要性を最小限に抑えることで、システム全体のススループットを向上させます。
-
セキュリティの強化—セッション認識フォワーディングを活用し、必要なセッションのみを検査することで、堅牢なセキュリティを提供します。
セッションオフロードワークフロー
図1は、ファイアウォールとルーター間のセッションオフロードワークフローを示しています。
でのセッションオフロードワークフロー
次の手順では、Express Path を使用した CSDS トラフィックワークフローについて説明します。
クライアントがサーバー宛てのトラフィックを開始し、パケットが最初にルーターに到着します。
ルーターは、セッションルックアップを実行します。このトラフィックの既存のセッションレコード(以前にオフロードされたことを示す)が見つかった場合、ルーターは、ファイアウォール検査をバイパスして、標準ルート検索の後、パケットをサーバーに直接転送します。
一致するセッションが見つからない場合、ルーターはトラフィックを新規として扱い、さらなる検査と処理のためにCSDSトポロジー内の利用可能なファイアウォール間でパケットの負荷分散を行います。
ファイアウォールはパケットを処理して DPI を実行します。
ファイアウォールは、DPIの結果に基づいてリターンパケットを準備します。
処理と検査の後、ファイアウォールはパケットをルーターに送り返します。
ファイアウォールは、ルーター上に存在するセッションテーブルにセッションの詳細を記録します。
ルーターがセッションテーブルを更新すると、確立されたセッションに属する後続のパケットは、セッションルックアップ中に一致するものを見つけます(ステップ2で説明したとおり)。ルーターはルート検索を実行し、トラフィックをサーバーに直接転送します。
サーバーは、リターントラフィックパケットをルーターに送り返します。
セッションが確立されてオフロードされると、ルーターはセッション検索を実行し、リターントラフィックをクライアントに直接転送します。