パワーモード
パワーモード
PowerModeは新しいデフォルトのデータプレーンフレームワークで、最適化された高速パスを導入し、SRXシリーズファイアウォールでのスループット向上と低レイテンシを実現します。PowerModeは、Trioベースのプラットフォーム上のExpress Pathと同じ方法で、IPsec操作と一般的なTCPおよびUDPフローを高速化できます。
Junos OS リリース 21.3R1 では、この機能には以下の制限があります。
- 非 IPプロトコル。
- TCP、UDP、ESP、SCTP、GTP以外のIPプロトコル。
- マルチキャスト セッション。
- エグレス論理トンネル(LT)インターフェイスとクロスLSYSトラフィック。
- TCP プロキシを必要とするセッション。
- ファイアウォールフィルター。
- Mac学習および透過モード。
- セッションが Z モード トラフィックと呼ばれるファブリック リンクを通過している場合のアクティブ/アクティブ HA クラスター。
PMI対応のSRXシリーズファイアウォールは、フローベースのCoS(サービスクラス)のみをサポートします。
参照
PowerMode Express
PowerMode Express の概要
PowerMode Express (PME) は、ベクトル パケット処理を使用してパフォーマンスを向上させる動作モードです。PMEは、受信バッファ内の複数のパケットを処理するのに役立つパケット転送エンジン(PFE)内の小さなソフトウェアブロックを使用して、CPUキャッシュをより有効に活用します。
のパケットフロー
利点
-
高速パス処理と UDP スループットのパフォーマンスを向上させます。
SRX4100、SRX4200、SRX4600、SRX5400、SRX5600、SRX5800、vSRXデバイスでは、Junos OS リリース21.3R1以降、PowerMode Expressがデフォルトで有効になっています。Junosリリース21.3R1以降にアップグレードすると、設定やハードウェアへの投資を追加することなく、比類のない次世代ファイアウォールのパフォーマンスを無料で利用することができます。
PowerMode Express をグローバルに無効にするには、 set security flow power-mode-disable コマンドを使用します。
PowerMode Expressは以下をサポートします。
-
サービスクラス(CoS)
-
ネットワークアドレス変換(NAT)
-
画面(DDoS対策)
-
転送クラス
-
ルーティング インスタンス
PowerMode Express の制限事項
PowerMode Expressは以下をサポートしていません。
-
非 IPプロトコル
-
TCP、UDP、ESP、SCTP、GTP 以外の IP プロトコル
-
マルチキャスト セッション
-
エグレス論理トンネル(LT)インターフェイスとクロスLSYSトラフィック
-
ポリサー、syslog、およびカウンターを必要とするセッション
-
ファイアウォールフィルター
-
アクティブ/アクティブHAクラスタ:セッションがファブリックリンク(Zモードトラフィックと呼ばれる)を通過している場合
PowerMode Expressはどのようにトラフィックを処理しますか
最初のパケットがインターフェイスに到着すると、PowerMode で新しいセッションが作成されます。新しいセッションが PowerMode Express に対応している場合は、PowerMode 認定チェックが行われます。
PowerMode Express セッションは、ネットワークプロセッサの高速パスパケットを jexec 処理に処理します。jexecレイヤー2の転送段階では、キャッシュのネクストホップ、転送クラス、サービスクラス(CoS)情報により、PowerMode Expressのセッションの後続のパケットが許可されます。
PowerMode Expressを再度有効にする方法
PowerMode Express はデフォルトで有効になっています。PowerMode Express を無効にした場合、次のコマンドを使用して再度有効にすることができます。
[edit] user@host# delete security flow power-mode-disable user@host# commit
検証
設定が正常に機能していることを確認するには、次の show コマンドを入力します。
user@host# show security flow status | grep "Flow power mode:" Flow power mode: Enabled
参照
PowerMode IPsec
PowerMode IPsec (PMI) は、SRX4100、SRX4200、SRX4600、SRX5400、SRX5600、SRX5800、および vSRX仮想ファイアウォール インスタンス向けの、IPsec パフォーマンスを向上させるための新しい動作モードです。Junos OS リリース 19.1R1 以降、PMI は、ファースト パスまたはファスト パス処理を使用して着信および発信フラグメント パケットを処理するように拡張されています。
set security flow power-mode-ipsec コマンドを使用して PMI プロセスを使用可能にします。パケットが PMI を利用していることを確認するには、 コマンドを show security flow pmi statistics 使用します。
PMI ファースト・パスおよび高速パス処理の理解
PMI の最初のパス処理では、次のようになります。
-
受信した最初のパスパケットがフローに配信され、セッションが作成されます。
-
受信フラグメント パケットは、再構成のために flow に配信されます。
-
受信パケットは、高度なセキュリティ サービス処理のために フローに配信されます。
PMI 高速機能処理では、PMI ドライバーが次のように使用されます。
-
受信したクリアテキストを暗号化して直接送信します。
-
受信 ESP パケットをセッション一致で直接復号化して送信します。
PMI ファースト・パスとファスト・パス処理の切り替え
最初のパス処理には、より多くのフィーチャーと命令が含まれますが、PMI 高速機能処理は、より優れたパフォーマンスを提供します。PMI セッションでは、パケット処理は、セッション内のパケット・フローに基づいて、最初のパスとファスト・パスの間で切り替わります。
-
フラグメント・パケットと非フラグメント・パケットの両方を含む PMI セッションは、最初のパスで処理されます。
-
セッションにフラグメント化されていないパケットのみがある場合、セッションは最初のパスからファストパス処理に切り替わります。
SRX5400、SRX5600、および SRX5800 デバイスでは、スイッチングは NP セッション タイムアウト後に行われます。
受信 IP パケットのフラグメント化
PMI の着信 IP パケットのフラグメント化をサポートするために、次のステップが最初のパスで使用されます。
-
PMI は、セッション内のすべてのフラグメント化された IP パケットを処理のためにフロー モジュールに送信します。
-
PMI は、パケット順序付けのために、同じセッション内のすべてのフラグメント化されていない IP パケットをフロー モジュールに送信します。
-
フロー モジュールは、フラグメント化されたパケットの再構成を完了し、暗号化のためにパケットを PMI に送り返します。
発信IPパケットのフラグメント化
PMI の発信 IP パケットのフラグメント化をサポートするには、以下のステップを使用します。
-
PMI は、セッション検索中にフラグメント化を必要とするクリア テキスト パケットを検出し、フロー モジュールにパケットを配信します。
-
フロー モジュールは、発信パケットのフラグメント化を行います。
-
PMI は、パケットを暗号化してから送信します。
NP セッションのサポート
SRX4100、SRX4200、および vSRX仮想ファイアウォール デバイスでは、フラグメント パケットと非フラグメント パケットは、処理のために同じ CPU コアにハッシュされます。そのため、NP セッションはサポートされていません。
SPC3 を搭載した SRX5400、SRX5600、SRX5800 デバイスでは、フラグメント パケットと非フラグメント パケットが異なる CPU コアにハッシュされて処理されます。したがって、NP セッションは、フラグメント パケットまたは非フラグメント パケットを順序付けのために同じコアに配信するようにサポートされています。
NP セッションのキャパシティーが限られているために、PMI セッションまたは非 PMI セッションに NP セッションがインストールされていない場合、この PMI セッションのパケット順序を使用できないことがあります。
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。