forwarding-process
構文
forwarding-process {
application-services (Security Forwarding Process) {
enable-gtpu-distribution;
inline-fpga-crypto (disabled | enabled);
maximize-alg-sessions;
maximize-idp-sessions {
inline-tap;
weight (Security) {
firewall;
idp {
}
}
}
maximize-persistent-nat-capacity;
packet-ordering-mode (hardware | software);
}
enhanced-services-mode;
}
階層レベル
[edit security]
説明
SRX5400、SRX5600、およびSRX5800デバイスを設定して、統合ファイアウォールモードから侵入検出および防御(IDP)モードを最大化し、タップモードでIDP処理を実行し、オプションで処理 maximize-idp-sessions 容量を増やすことができます。インライン タップ モードは、転送プロセス モード maximize-idp-sessionsが に設定されている場合にのみ構成でき、ファイアウォール サービスの安定性と回復力が確保されます。また、インライン タップ モードを使用するために別のタップまたはスパン ポートは必要ありません。IDP を最大化すると、IDP プロセスをファイアウォール プロセスから切り離し、デバイスが同じ数のファイアウォールと IDP セッションをサポートできるようにし、タップ モードで IDP 処理も実行できます。
オプションを使用して maximize-alg-sessions 、最大アプリケーション層ゲートウェイ(ALG)セッション数を設定できます。デフォルトでは、リアルタイムストリーミングプロトコル(RTSP)、FTP、およびトリビアルファイル転送プロトコル(TFTP)ALGセッションのセッション容量数は、フローサービス処理ユニット(SPU)あたり10,000です。設定を有効にするには、デバイス(およびシャーシ クラスタ モードでのピア)を再起動する必要があります。このオプションでは maximize-alg-sessions 、デフォルトを次のように増やすことができるようになりました。
RTSP、FTP、TFTP ALG セッション容量:フロー SPU あたり 25,000
TCPプロキシ接続容量:フローSPUあたり40,000
メモ:フロー セッションの容量は、フロー SPU あたり半分に減少します。したがって、前述の容量数は中心点フローで変更されません。
GPRS トンネリング プロトコル、ユーザー プレーン(GTP-U)セッション配信を有効にして、ゲートウェイ GPRS サポート ノード(GGSN)とサービング GPRS サポート ノード(SGSN)のペアによって処理される GTP-U トラフィックをすべてのサービス処理ユニット(SPU)に分散します。SRX5400、SRX5600、および SRX5800 デバイスのオプションで、GTP-U トラフィックを複数の SPU enable-gtpu-distribution に分散するようにトンネルベース配信を設定することができ、GTP-U ファット セッションの問題の解決に役立ちます。また、ステートフル GTP-U インスペクションを有効にするには、 enable-gtpu-distribution コマンドが必要です。
オプション
| enhanced-services-mode | 拡張アプリケーション・サービス・モードを有効にします。 拡張サービスモードが有効な場合、MBUF、JBUF、SERVICE-MEM、TCP-PROXY TCB、SZ-INFO、ユーザーヒープなどのリソースのサイズが増加し、レイヤー4セッション数が半分になります。 |
残りのステートメントについては、個別に説明します。 CLIエクスプローラーを参照してください。
必要な権限レベル
セキュリティ—設定でこれを表示します。
セキュリティ管理—これを設定に追加します。
リリース情報
Junos OS リリース 9.6で導入されたステートメント。このステートメントはサポートされています。
vSRX仮想ファイアウォール3.0のJunos OSリリース20.3R1で導入されたオプション enhanced-services-mode 。