Express Path の概要
Express Path(以前は サービス オフロードと呼ばれ)は、サービス処理ユニット(SPU)ではなく、ネットワーク プロセッサーで高速パス パケットを処理するメカニズムです。Express Path は、SPU からネットワーク プロセッサーに特定のトラフィックをオフロードすることで、パフォーマンスを向上させます。
ネットワーク プロセッサー上で Express Path セッションを作成すると、フローの後続のパケットがネットワーク プロセッサー上のセッションと一致します。その後、ネットワーク プロセッサーがパケットを処理して転送します。
ネットワーク プロセッサーは、TCP シーケンス チェック、TTL(Time-to-Live)処理、NAT(ネットワーク アドレス変換)、レイヤー 2 ヘッダー変換などの追加処理も管理します。IOC3 のフロー テーブルは、フロー モジュールの SPU によって管理されます。SPU は、ポリシー一致の結果に基づいてフロー テーブルにフロー エントリーを挿入および削除します。Express Path は IPv6 をサポートします。
図は、Express Path のパケット フローを示しています。
Express Path のメリット
-
単一フローおよびシャーシレベルのパフォーマンスが大幅に向上します。
-
SPU の利用率と遅延を低減します。
Express Path の制限
Express Path はサポートしていません。
-
機能
-
透過モード
-
複数のファンアウトを使用したマルチキャスト セッション
-
フラグメントパケット
-
IPsec VPN
-
異なる MTU サイズ値
-
-
ALG(アプリケーションレイヤーゲートウェイ)データトラフィック:
-
Dns
-
IKEおよびESP
-
Pptp
-
SQL-NET
-
-
IPv6
-
Nat
-
透過モード
-
異なる MTU サイズ値
-
エグレスインターフェイス上のCoS(サービスクラス)
-
Express Pathとパケットオフロードは、ファイアウォールフィルターを使用してトラフィックを仮想ルーターに誘導する場合には機能しません。
シャーシ クラスタ モードで動作するデバイスで Express Path を有効にする場合は、次の手順に従います。
-
非対称 I/O カード(IOC)を設定することはできません。
-
LACP 対応 reth インターフェイスからの子リンクがダウンした場合、このリンク上のすべてのトラフィックはインターフェイスの他のアクティブな子リンクに配信されます。子リンクが立ち上がって reth インターフェイスに再び参加した場合、既存のトラフィックまたはセッションは、この新しく再参加したアクティブな子リンク上に再分配されません。新しいセッションはこのリンクを通過します。
-
新しい子リンクがLACP対応のリスインターフェイスに追加された場合、既存のトラフィックまたはセッションはこの新しい子リンク上に再配布されません。新しいセッションがこのリンクを通過します。
自動化された Express Path
SRX4600、SRX5400、SRX5600、SRX5800 のデバイスでは、自動 Express Path はデフォルトで Junos OS リリース 21.2R1 から有効になっています。Junos リリース 21.2R1 以降にアップグレードすると、追加の設定やハードウェア投資を行うことなく、無料で比類のない次世代ファイアウォール パフォーマンスを引き出すことができます。デフォルトでは、自動 Express Path が有効になっています。
自動 Express Path をグローバルに無効にするには、 コマンドを set security forwarding-options services-offload disable
使用します。
ポリシーで Express Path を無効にするには、2 つの明示的なサービス オフロード関連の設定があります。
[edit] user@host# set security policies from-zone [untrust] to-zone [trust] policy [services-offload-pol1] then permit services-offload user@host# set security policies from-zone [untrust] to-zone ptrust] policy [services-offload-pol1] then permit no-services-offload
Automated Express Path は、以下の機能をサポートします。
-
ステートフル ファイアウォール
-
NAT(ネットワーク アドレス変換)
-
統合ポリシー(動的アプリケーションとURLカテゴリーを使用)
-
ユーザーファイアウォール
-
セキュリティ インテリジェンス
-
侵入検出および防御(IDP)
-
拡張 Web フィルタリング
-
アプリケーションレイヤーゲートウェイ(ALG)
-
スクリーン(アンチ DDoS)
Express Path がトラフィックを処理する方法
最初のパケットがインターフェイスに到着すると、ネットワーク プロセッサは中央ポイント(CP)に転送します。その中心点は、次にパケットを SPU に転送します。その後、SPU はネットワーク プロセッサー上にセッションを作成し、トラフィックが Express Path セッションまたは通常のセッションに適しているかどうかを検証します。
トラフィックが Express Path 処理の対象となる場合、トラフィックの Express Path セッションが SPU で作成されます。Express Path セッションは、ネットワーク プロセッサー内のファストパス パケットを処理し、パケットはネットワーク プロセッサーから出ます。
トラフィックが Express Path 処理の対象とならない場合、SPU は通常のセッションを作成します。通常のセッションでは、ネットワークプロセッサーからSPUにパケットを転送して、高速パス処理を行います。
Express Path をサポートするプラットフォーム
SRX4600、SRX5400、SRX5600、SRX5800のデバイスは、Express Pathをサポートしています。
表 1 は、さまざまな SRX シリーズ カードでの Express Path サポートの詳細を示しています。
SRXシリーズ デバイス |
カード名とモデル番号 |
最も早くサポートされるリリース |
---|---|---|
SRX5600、SRX5800 |
SRX5K-40GE-SFP |
Junos OS リリース 11.4 |
SRX5600、SRX5800 |
SRX5K-4XGE-XFP |
Junos OS リリース 11.4 |
SRX5600、SRX5800 |
SRX5K-FPC-IOCには、以下のいずれかのカードが含まれています。
|
Junos OS リリース 11.4 |
SRX5400、SRX5600、SRX5800 |
SRX5K-MPCには、以下のいずれかのMICが含まれます。
|
Junos OS リリース 12.3X48-D10 |
SRX5400、SRX5600、SRX5800 |
SRX5K-MPC3(IOC3)には、以下のいずれかのMPCが含まれています。
|
Junos OS リリース 15.1X49-D10 |
SRX5400、SRX5600、SRX5800 |
SRX5K-IOC4-10G(IOC4) SRX5K-IOC4-MRAT |
Junos OS リリース 19.3R1 |
SRX4600 |
該当なし | Junos OS リリース 19.2R1 |
Express Path を有効にする方法
Express Path は、Junos OS リリース 21.2R1 から自動化されています。
Express Path モードを設定するには:
-
• IOC カードまたはフレックス IOC カードを搭載した SRX5000 シリーズ デバイスで、 コマンドを
set chassis fpc fpc-number pic pic-number services-offload
使用します。 -
モジュラー ポート コンセントレータ(MPC)を搭載した SRX5000 シリーズ デバイスで、 コマンドを使用して IOC の NP キャッシュを
set chassis fpc fpc-number np-cache
有効にします。 -
SRX4600デバイスでは、np-cacheオプションがデフォルトで有効になっています。したがって、
set chassis fpc fpc- number np-cache
コマンドは適用されません。
Express Path を使用しない場合は、どのセキュリティ ポリシーでも設定しないでください。
Express Path ネットワーク プロセッサー
SRX4600、SRX5400、SRX5600、SRX5800 デバイスとネットワーク プロセッサー上では、パケット プラグインやストリーム プラグインなどのすべてのプラグインがセッションを無視した場合、セッションのオフロードを行い、セッションをネットワーク プロセッサーにインストールします。パケットプラグインがセッションを無視する場合、無視フラグをマークします。ストリーミングプラグインがセッションを無視する場合、TCP-TとTCP-Iの無視フラグと短絡をマークします。その後、セッションをネットワーク プロセッサーにインストールして、セッションの負荷を軽減します。
I/O カード(IOC)ネットワーク プロセッサーは、スイッチ ファブリックや SPU を通過せずに、ファストパス パケットを処理します。これにより、パケット処理の遅延が減少します。
各フロー エントリーには、Express Path ネットワーク プロセッサーのウィング単位のカウンターがあります。カウンターは、ネットワーク プロセッサがウィングを介して送信するバイト数をキャプチャします。
さまざまなシナリオにおけるネットワーク プロセッサーの動作は次のとおりです。
-
ファーストパスフロー—ファーストパスフローは、現在のネットワークプロセッサフロープロセスと同じです。最初のパケットがネットワーク プロセッサーに到着すると、ネットワーク プロセッサーは TCP または UDP パケットを解析して 5 タプル キーを抽出し、フロー テーブルでセッション ルックアップを実行します。その後、ネットワーク プロセッサーは最初のパケットを中央ポイントに転送します。これは最初のパケットであるため、現時点では中央ポイントは一致するものを見つけることができません。中央ポイントとSPUは、セッションを作成し、ユーザーが設定したポリシーと一致させ、セッションが通常のセッションかサービスオフロードセッションかを判断します。
Express Path で管理するセッションを指定すると、SPU はネットワーク プロセッサー フロー テーブルにセッション エントリーを作成します。これにより、セッションエントリーテーブルでExpress Pathフラグが有効になります。それ以外の場合、SPU は Express Path フラグを使用せずに、ネットワーク プロセッサーに通常のセッション エントリーを作成します。
-
ファストパスフロー—ネットワークプロセッサーにセッションエントリーを作成すると、セッションの後続のパケットがセッションエントリーテーブルと一致します。
-
Express Path フラグが設定されていない場合、ネットワーク プロセッサーは、セッションエントリーテーブルで指定された SPU にパケットを転送します。パケットは通常のフロー プロセスを通過します。
-
ネットワーク プロセッサーがセッションエントリーテーブルでサービスオフロードフラグを見つけた場合、パケットはローカルで処理され、パケットを直接送信します。
-
ネットワーク プロセッサーの高速転送機能は、1 ファンアウト マルチキャスト セッションをサポートします。また、セッションのエグレスポートは、イングレスポートと同じネットワークプロセッサに関連付ける必要があります。その他のマルチキャスト ケースはすべて、通常のセッションとして管理する必要があります。
-
-
NAT プロセス—SPU は内部 IP アドレスまたはポートと外部 IP アドレスまたはポート間のマッピングを行います。セッションの最初のパケットが到着すると、SPU は IP アドレスまたはポート マッピングを割り当て、その情報をネットワーク プロセッサー セッション エントリーに格納します。NAT フラグが設定されている場合、ネットワーク プロセッサはパケットを変更します。
-
セッションのエージングアウト:サービスオフロードセッションのトラフィックスループットを向上させるために、パケットのコピーが事前に定義されたすべての期間でSPUに送信され、SPUのパケット処理要求が減少します。SPU に送信されるパケット コピーの数を制限するために、各サービス オフロード セッションにタイムスタンプが実装されます。ネットワーク プロセッサーは、最後のセッションが一致してからの経過時間を計算します。経過時間が事前に定義された時間よりも長い場合、ネットワーク プロセッサはパケットのコピーを SPU に送信し、セッション タイムスタンプを更新します。
-
セッションの終了と削除—ネットワーク プロセッサーが FIN(終了データ)または RST(接続リセット)フラグを持つ IP パケットを受信した場合、パケットを SPU に転送します。その後、SPU はネットワーク プロセッサー上のセッション キャッシュを削除します。ネットワーク プロセッサーは、状態遷移中も、パケットの受信と SPU への転送を継続します。
ウィング統計カウンター
Express Path では、ネットワーク プロセッサーは、ウィング単位のバイト カウンターを維持するための各フロー エントリーのオプションを提供します。カウンターは、ネットワーク プロセッサがウィングを介して送信するバイト数をキャプチャします。
カウンターを有効にすると、ネットワーク プロセッサはイングレス パケットごとにフロー エントリー(セッション ウィング)を検索します。パケットが確立されたフロー エントリーに属している場合、ネットワーク プロセッサーはパケット内のフロー エントリーのバイト カウンターを大きくします。ネットワーク プロセッサーは、各フロー エントリーのパケット(copy-packet)を定期的に関連する SPU にコピーし、SPU がセッションを維持できるようにします。ネットワーク プロセッサーは、コピー パケット パケットのヘッダーにフローバイト カウンター値を送信します。SPU は蓄積され、ウィングごとの統計情報カウンターを保持します。
ライブセッションのライフサイクル中に統計設定を変更することはできません。ネットワーク プロセッサーでセッションが有効になっている間、ウィングごとの統計設定を無効または有効にすると、現在のセッションのセッション統計は無効になります。新しいセッション統計は、設定変更がコミットされた後にのみ有効になります。ネットワーク プロセッサーのウィング単位のカウンターをクリアすることはできません。SRX5K-MPC(IOC2)、SRX 5K-MPC3(IOC3)、SRX5K-IOC4-10G(IOC4)を搭載したSRX5800デバイスでは、ウィング統計カウンター設定が有効になっています。デフォルトでは、SRX4600デバイスでは、ウィング統計カウンターを有効にします。
ウィング統計ごとのセッション数
ネットワークプロセッサは、セッションリソースに対応するために、より大きな静的RAM(SRAM)を備え、PICごとにより多くのセッションをホストします。 表 2 は、Express Path と非 Express Path の両方を含む、セッションウィングの総数を示しています。SRX4600デバイスでは、IMIXのスループットは400Gbpsです。
翼の総数 |
Express Path UDP ウィング数 |
Express Path TCP ウィング数 |
|||
---|---|---|---|---|---|
カードとSRXシリーズデバイス | 非 Express パス モード セッション | 統計なし | 統計情報あり | 統計なし | 統計情報あり |
SRX5000 シリーズ デバイス SRX5K-MPC(IOC2)
|
180万 |
180万 |
180万 |
180万 |
180万 |
SRX5000 シリーズ デバイス SRX5K-MPC3(IOC3) |
2000万 |
2000万 |
2000万 |
2000万 |
2000万 |
SRX5000 シリーズ デバイス SRX5K IOC4 |
1000万 |
1000万 |
1000万 |
1000万 |
1000万 |
SRX4600 |
2000万 |
2000万 |
2000万 |
2000万 |
2000万 |
IOC カードでの Express Path Packet 処理
IOC カードの Express Path は、SPU ではなく、ネットワーク プロセッサー チップセットを介したファストパス パケット処理に基づいて、一部の基本的なファイアウォール機能を IOC カードにオフロードします。
Express Path 機能を有効にした場合、IOC カードは遅延を低減し、SPU の過負荷を取り除くことで高いスループットもサポートします。IOCカードは、カード内トラフィックフローとカード間トラフィックフローの両方をサポートします。最良の遅延結果を得るには、トラフィック フローのイングレス ポートとエグレス ポートの両方が IOC カードの同じ XM チップ上にある必要があります。
IOC カードは 240 Gbps FPC をサポートし、第 3 世代のネットワーク処理(NP)シリーズ チップセットを使用します。この最新のルックアップおよびキューイング チップは、より高い容量に最適化されています。IOC カードは SCB2 および SCB3 と互換性があり、以前の SCB はサポートされていません。
電力と熱に制約があるため、IOC カードの 4 個すべての PIC の電源を同時にオンにすることはできません。最大 2 個の PIC(偶数順または奇数順)の電源をオンします。コマンドを set chassis fpc <slot> pic <pic> power off
使用して、電源をオンにするPICを選択できます。
システム ログ メッセージは次のとおりです。
-
XMCHIP_CMERROR_DDRIF_INT_REG_CHKSUM_ERR_MINOR
-
XMCHIP_CMERROR_DDRIF_INT_REG_CHKSUM_ERR_MAJOR
エラーメッセージは、フレキシブルPICコンセントレータ(FPC)上のXMチップがチェックサムエラーを検出したことを示しています。その結果、パケットがドロップしています。次のエラーしきい値は、エラーをメジャー エラーまたはマイナー エラーとして分類します。
-
マイナー エラー — > 5 エラー/秒
-
メジャー エラー — > 255 エラー/秒(最大カウント)
データ プレーンでは、IOC カードがパケットを解析し、フロー テーブルでパケットを調べます。IOC カードがフロー テーブルで一致するものを見つけた場合、フロー テーブルで指定されたインストラクションに基づいてパケットを転送します。IOCカードは、NATを実行し、レイヤー2(L2)ヘッダーをカプセル化し、パケットをエグレスインターフェイスから転送することができます。エグレス インターフェイスは、同じ IOC カード(カード内ケース)または別の IOC カード(カード間のケース)に配置できます。
IOC カードが最初のパケットを受信しても、既存のファストフォワード セッションと一致しません。デフォルトのハッシュベース転送は、最初のパケットをSPUに送信するために実行されます。その後、SPU がセキュリティ セッションを作成します。トラフィックが高速転送の条件を満たしており、関連する IOC カードが高速転送をサポートしている場合、SPU は IOC カードへの高速セッションをインストールします。トラフィックに高速転送を適用できない場合、セッションメッセージは送信されません。IOCカードはデフォルトのハッシュベース転送を使用してパケットをSPUに転送します。
ファストフォワード IOC カード処理では、ファストフォワード セッションが一致した場合、セッション フローの結果に従ってパケットを直接転送できます。IOCカードは、パケットの転送、TTLチェックと減少NAT変換、レイヤー2ヘッダーカプセル化など、必要なすべてのアクションを実行します。
さらに、XL チップは、転送パケットの 1 コピーを事前に定義された時間に SPU に送信します。このコピーは、SPUセッションの更新、現在のXLチップの状態の検出などを行うために使用されます。SPU は、実際のパケットが処理および送信されているため、このパケットを消費し、転送しません。
例:IOCカードを使用してSRX5400、SRX5600、またはSRX5800デバイスでExpress Pathを設定する
この例では、SRX5400、SRX5600、またはSRX5800デバイス上のIOCカードでExpress Pathを設定する方法を示しています。
Express Path は、サービス処理ユニット(SPU)ではなく、ネットワークで高速パス パケットを処理するメカニズムです。この方法は、パケットを処理するためにネットワーク プロセッサーから SPU に転送し、転送のために IOC に戻す場合に発生する長いパケット処理遅延を低減します。
Junos OSリリース15.1X49-D40以降、この設定はIPv6トラフィックに対して有効で、このリリース以前はIPv4トラフィックでのみサポートされていました。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
-
IOCカードを搭載したSRX5400、SRX5600、またはSRX5800デバイス1台
-
SRX シリーズ デバイス用 Junos OS リリース 15.1X49-D40 以降
Express Path は、Junos OS リリース 21.2R1 から自動化されています。
概要
この例では、SRX5000 ライン デバイス上の IOC カード上の Express Path を IPv6 トラフィック用に設定します。
IOCカードに2つのインターフェイスを設定し、IPv6アドレスを割り当てます。次に、IPv6 トラフィックのフローベース処理を有効にします。次に、ゾーンを設定し、インターフェイスを追加します。次に、2つのゾーン間のトラフィックを許可するセキュリティポリシーを設定することで、2つの異なるゾーン間の通信を提供します。また、セキュリティ ポリシーで Express Path を有効にして、トラフィックが Express Path の資格を持つかどうかを指定します。
構成
手順
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの[edit]
CLI にコピー アンド ペーストして、設定モードから を入力 commit
します。
[edit] set interfaces et-2/1/0 unit 0 family inet6 address 2001:db8::4:12/32 set interfaces et-2/3/0 unit 0 family inet6 address 2001:db8::6:11/32 set security forwarding-options family inet mode flow-based set security forwarding-options family inet6 mode flow-based set zones security-zone zone-1 host-inbound-traffic system-services all set zones security-zone zone-1 host-inbound-traffic protocols all set zones security-zone zone-1 interfaces et-2/1/0.0 set zones security-zone zone-2 host-inbound-traffic system-services all set zones security-zone zone-2 host-inbound-traffic protocols all set zones security-zone zone-2 interfaces et-2/3/0.0 security policies from-zone zone-2 to-zone zone-1 policy express-path-policy-2 match source- address any security policies from-zone zone-2 to-zone zone-1 policy express-path-policy-2 match destination- address any security policies from-zone zone-2 to-zone zone-1 policy express-path-policy-2 match application any security policies from-zone zone-2 to-zone zone-1 policy express-path-policy-2 then permit then permit services-offload security policies from-zone zone-1 to-zone zone-2 policy express-path-policy-1 match source- address any security policies from-zone zone-1 to-zone zone-2 policy express-path-policy-1 match destination- address any security policies from-zone zone-1 to-zone zone-2 policy express-path-policy-1 match application any security policies from-zone zone-1 to-zone zone-2 policy express-path-policy-1 then permit then permit services-offload set chassis fpc 2 np-cache
手順
SRX5400、SRX5600、または SRX5800 シリーズ デバイスで IOC カードを使用して Express Path を設定するには、次の手順に従います。
-
イーサネットインターフェイスを設定し、それにIPv6アドレスを割り当てます。
[edit] set interfaces et-2/1/0 unit 0 family inet6 address 2001:db8::4:12/32 set interfaces et-2/3/0 unit 0 family inet6 address 2001:db8::6:11/32
-
IPv6 トラフィックのフローベース処理を有効にします。
[edit] set security forwarding-options family inet mode flow-based set security forwarding-options family inet6 mode flow-based
-
セキュリティ ゾーンを設定し、インターフェイスを追加し、すべてのシステム サービスとインターフェイスを許可します。セキュリティ ゾーンを設定し、インターフェイス et-2/1/0.0 で許可されるトラフィックとプロトコルのタイプを指定します。
[edit] set zones security-zone zone-1 host-inbound-traffic system-services all set zones security-zone zone-1 host-inbound-traffic protocols all set zones security-zone zone-1 interfaces et-2/1/0.0
-
セキュリティ ゾーンを設定し、インターフェイスを追加し、すべてのシステム サービスとインターフェイスを許可します。セキュリティ ゾーンを設定し、インターフェイス et-2/3/0.0 で許可されるトラフィックとプロトコルのタイプを指定します。
[edit] set zones security-zone zone-2 host-inbound-traffic system-services all set zones security-zone zone-2 host-inbound-traffic protocols all set zones security-zone zone-2 interfaces et-2/3/0.0
-
ポリシーを作成し、そのポリシーの一致条件を指定します。一致条件では、デバイスが任意の送信元から任意の宛先、および任意のアプリケーションへのトラフィックを許可できることを指定します。セキュリティ ポリシーで Express Path を有効にします。
メモ:送信元アドレスと宛先アドレスの一致条件にワイルドカード any-ipv6 を指定して、IPv6 アドレスのみを含めることができます。IPv4 と IPv6 の両方のアドレスを含めるために、送信元アドレスと宛先アドレスの一致条件に任意のオプションを指定します。
[edit] security policies from-zone zone-2 to-zone zone-1 policy express-path-policy-2 match source- address any security policies from-zone zone-2 to-zone zone-1 policy express-path-policy-2 match destination- address any security policies from-zone zone-2 to-zone zone-1 policy express-path-policy-2 match application any security policies from-zone zone-2 to-zone zone-1 policy express-path-policy-2 then permit then permit services-offload
[edit] security policies from-zone zone-1 to-zone zone-2 policy express-path-policy-1 match source- address any security policies from-zone zone-1 to-zone zone-2 policy express-path-policy-1 match destination- address any security policies from-zone zone-1 to-zone zone-2 policy express-path-policy-1 match application any security policies from-zone zone-1 to-zone zone-2 policy express-path-policy-1 then permit then permit services-offload
-
IOC カードで Express Path モードを設定します。
[edit] set chassis fpc 2 np-cache
結果
設定モードから、show chassis コマンドを入力して設定を確認します。出力結果に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。
from-zone zone-1 to-zone zone-2 { policy express-path-policy--1 { match { source-address any; destination-address any; application any; } then { permit { services-offload; } } } } from-zone express-path-policy--2 { policy policy-2 { match { source-address any; destination-address any; application any; } then { permit { services-offload; } } } }
デバイスの設定が完了したら、設定モードからコミットを入力します。
Express Path の IOC カードの設定を検証する
目的
IOC カードが Express Path に正しく設定されていることを確認します。
アクション
動作モードから、show chassis fpc pic-status コマンドを入力します。
Slot 1 Online SRX5k SPC II PIC 0 Online SPU Cp PIC 1 Online SPU Flow PIC 2 Online SPU Flow PIC 3 Online SPU Flow Slot 2 Online SRX5k IOC3 2CGE+4XGE PIC 0 Online 2x 10GE SFP+- np-cache/services-offload PIC 1 Online 1x 100GE CFP2- np-cache/services-offload PIC 2 Online 2x 10GE SFP+- np-cache/services-offload PIC 3 Online 1x 100GE CFP2- np-cache/services-offload Slot 3 Online SRX5k IOC3 24XGE+6XLG PIC 0 Offline 12x 10GE SFP+ PIC 1 Offline 12x 10GE SFP+ PIC 2 Online 3x 40GE QSFP+- np-cache/services-offload PIC 3 Online 3x 40GE QSFP+- np-cache/services-offload Slot 4 Offline SRX5k IOC3 24XGE+6XLG
意味
出力では、Express Path が有効になっている PIC のステータスが表示されます。
デバイス上のすべてのアクティブセッションの検証
目的
デバイス上で現在アクティブなすべての Express Path セッションに関する情報を表示します。
アクション
運用モードから、show security flow session services-オフロードコマンドを入力します。
Flow Sessions on FPC1 PIC1: Session ID: 50000002, Policy name: express-path-policy-2/5, Timeout: 60, Valid In: 2001:db8::4:12/32 --> 2001:db8::6:11/32;udp, If: et-2/3/0.0, Conn ID: 0x0, Pkts: 181 29505, Bytes: 1740432530, CP Session ID: 50000002 Out: 2001:db8::6:11/32 --> 2001:db8::4:12/32;udp, If: et-2/1/0.0, Conn ID: 0x0, Pkts: 18 129505, Bytes: 1740432530, CP Session ID: 50000002 Total sessions: 1
意味
出力は、Express Path が有効にされたセッションのポリシー詳細を提供します。