Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

보안 디바이스의 중앙 포인트 아키텍처 개요

중앙 포인트는 세션 처리를 SPU 중 하나로 위임합니다. 세션이 설정되지 않은 경우, 중앙 포인트는 로드 밸런싱 기준에 따라 플로우에 대한 세션을 설정할 SPU를 선택합니다. 세션이 이미 존재하는 경우 중앙 포인트는 해당 플로우에 대한 패킷을 SPU 호스팅로 전달합니다.

SRX 시리즈 서비스 게이트웨이 센트럴 포인트 아키텍처 이해하기

중앙 지점(CP) 아키텍처에는 로드 밸런싱과 트래픽 식별(글로벌 세션 일치)의 두 가지 기본 플로우 기능이 있습니다. 이 주제에 설명된 바와 같이, 중앙 포인트 아키텍처는 모든 세션 배포 및 세션 매치가 중앙 포인트에 의해 수행되는 중심 모드 또는 SPU(Services Processing Unit)의 백분율이 중앙 포인트 기능을 수행하는 데 전념하는 혼합 모드에서 구현됩니다.

중앙 포인트의 주요 기능은 세션 처리를 SPU 중 하나에 위임하는 것입니다. 세션이 아직 설정되지 않은 경우 중앙 포인트는 로드 밸런싱 기준에 따라 플로우에 대한 세션을 설정할 SPU를 선택합니다. 세션이 이미 존재하는 경우 중앙 포인트는 해당 플로우에 대한 패킷을 SPU 호스팅로 전달합니다. 또한 NPU가 실패할 경우 패킷을 올바른 SPU로 리디렉션합니다.

중앙 포인트는 특정 세션의 소유자 SPU에 대한 정보가 포함된 글로벌 세션 테이블을 유지합니다. 전체 시스템의 중앙 리포지토리 및 리소스 관리자 역할을 합니다.

참고:

또한 중앙 포인트 아키텍처는 성능 및 세션 확장 개선을 위해 세션 관리를 중앙 지점에서 SPU로 오프로드하는 CP-lite 모드에서도 구현됩니다. CP-lite는 이 주제에 대해 논의되지 않습니다.

Junos OS 릴리스와 함께 SRX 시리즈 디바이스 유형이 지원되는 모드를 결정합니다.

표 1 은 다양한 릴리스를 위해 SRX 시리즈 디바이스에서 지원되는 중앙 포인트 아키텍처 구현을 식별합니다.

표 1: Junos OS 릴리스와 함께 SRX 시리즈 디바이스에서의 중앙 집중식 구현
 

SRX1400에서 지원되는 모드

SRX3000 시리즈 디바이스에서 지원되는 모드

SRX5000 시리즈 디바이스에서 지원되는 모드

Junos OS Release 12.3X48 and Previous Releases

  • CP 중심

  • 혼합 모드

  • CP 중심

  • 혼합 모드

  • CP 중심

  • 혼합 모드

  • Junos OS Release 15.1X49-D10

  • Junos OS Release 15.1X49-D15

  • Junos OS Release 15.1X49-D20

이러한 SRX 시리즈 디바이스는 더 이상 지원되지 않습니다.

이러한 SRX 시리즈 디바이스는 더 이상 지원되지 않습니다.

  • CP 중심

참고:

NG-SPC는 콤보 모드를 더 이상 사용되지 않게 렌더링합니다.

Junos OS Release 15.1X49-D30 and later releases

이러한 SRX 시리즈 디바이스는 더 이상 지원되지 않습니다.

이러한 SRX 시리즈 디바이스는 더 이상 지원되지 않습니다.

  • CP-라이트

참고:

NG-SPC는 혼합 모드를 더 이상 사용되지 않게 렌더링합니다.

중앙 포인트는 세션 일치 시 패킷을 SPU(Services Processing Unit)로 전달하거나 패킷이 기존 세션과 일치하지 않을 경우 보안 처리를 위해 SPU로 트래픽을 배포합니다. 중앙 포인트 아키텍처는 CP 또는 콤보 모드에서 모든 세션 배포 및 세션 매치가 수행되는 CP 중심 모드에서 구현됩니다.

일부 SRX 시리즈 디바이스에서는 전체 SPU를 중앙 포인트 기능에 사용할 수 없지만, SPU의 특정 비율은 자동으로 중앙 포인트 기능에 할당되고 나머지는 정상적인 플로우 처리를 위해 할당됩니다. SPU가 일반적인 플로우 처리뿐만 아니라 중앙 지점의 기능을 수행할 때, SPU는 조합 또는 mixed, 모드라고 합니다.

중앙 지점 기능에 전념하는 SPU의 백분율은 디바이스의 SPU 수에 따라 다릅니다. SPU 수를 기반으로 SRX 시리즈 디바이스에서 사용할 수 있는 세 가지 모드가 있습니다. 즉, 소형 중앙 포인트, 중간 중앙 포인트, 대형 중앙 포인트입니다.

소형 중앙 포인트 모드에서 SPU의 작은 비율은 중앙 포인트 기능에 전용되며 나머지는 일반적인 플로우 처리에 전념합니다. 중간 규모 중앙점 모드에서 SPU는 중앙 포인트 기능과 정상적인 플로우 처리를 위해 거의 동일하게 공유됩니다. 대규모 중앙 포인트 모드에서 전체 SPU는 중앙 포인트 기능에 전념합니다. 혼합 모드에서 중앙 지점과 SPU는 동일한 로드 밸런싱 스레드(LBT) 및 POT(Packet-Ordering Thread) 인프라를 공유합니다.

이 주제에는 다음 섹션이 포함됩니다.

혼합 모드에서의 로드 배포

중앙 포인트는 물리적 TNP(Trivial Network Protocol) 주소 매핑에 매핑된 로직 SPU ID가 있는 라이브 SPU를 나열하는 SPU 매핑 테이블(로드 배포용)을 유지합니다. 혼합 모드에서는 중앙 지점을 호스팅하는 SPU가 테이블에 포함됩니다. 로드 배포 알고리즘은 세션의 과부하를 피하기 위해 세션 용량 및 처리 전력에 따라 조정됩니다.

혼합 모드에서 처리 능력 및 메모리 공유

혼합 모드 SPU의 CPU 처리 기능은 플랫폼 및 시스템의 SPU 수를 기반으로 공유됩니다. 마찬가지로 CPU 메모리도 중앙점과 SPU 간에 공유됩니다.

SPU에는 네트워킹 처리를 위한 여러 코어(CPU)가 있습니다. "소형" SPU 혼합 모드에서 CPU 기능은 코어의 작은 부분을 차지하지만 "중간" SPU 혼합 모드에서는 코어의 더 큰 부분이 필요합니다. 표 2에 표시된 대로 SPC(Services Processing Card) 수를 기반으로 중앙 포인트 기능 및 플로우 처리에 대한 처리 능력이 공유됩니다. 플랫폼 지원은 설치 시 Junos OS 릴리스에 따라 다릅니다.

표 2: 혼합 모드 처리

SRX 시리즈 디바이스

SPC 1개 또는 SPC2가 있는 중앙 포인트 모드

2개 이상의 SPC 또는 SPC2가 있는 중앙 포인트 모드

1개 또는 2개의 SPC3가 있는 중앙 포인트 모드

SPC3가 2개 이상인 중앙 포인트 모드

SRX1400

작은

매체

Na

Na

SRX3400

작은

매체

Na

Na

SRX3600

작은

매체

Na

Na

SRX3400(확장된 성능 및 용량 라이선스)

작은

Na

Na

SRX3600(확장된 성능 및 용량 라이선스)

작은

Na

Na

SRX5600

매체

SRX5800

매체

SRX5400

매체

참고:

혼합 모드 프로세싱은 SRX1400, SRX3400, SRX3600 및 SRX5000 라인 디바이스에서 SPCI만 존재합니다.

SRX5000 라인의 중앙 포인트 아키텍처 개선 사항 이해

이전에는 SRX5000 라인 서비스 게이트웨이의 경우, 중앙 포인트가 디바이스 성능 및 확장에 병목 현상을 발생시키는 것이었습니다. 더 많은 SPC(Services Processing Card)가 시스템에 통합되면 전체 처리 능력이 선형적으로 증가했지만 시스템의 단일 중앙 집중화 지점으로 인해 초당 시스템 연결(cps)이 지속적으로 유지되고 개선될 수 없었습니다. 이는 용량과 cps 모두에서 전반적인 시스템 활용도에 심각한 영향을 미쳤습니다.

Junos OS 릴리스 15.1X49-D30 및 Junos OS 릴리스 17.3R1부터는 SRX5000 라인 디바이스에서 더 높은 초당 연결(cps)을 처리하도록 중앙 포인트 아키텍처가 향상되었습니다. 새로운 중앙 포인트 아키텍처는 세션 관리 기능론자를 SPU(Services Processing Unit)로 오프로드하여 데이터 패킷이 중앙 지점을 통과하는 것을 방지합니다. 따라서 데이터 패킷은 중앙 지점을 통과하는 대신 네트워크 처리 장치에서 SPU로 직접 전달됩니다.

중앙 포인트 아키텍처는 두 개의 모듈, 즉 애플리케이션 중앙 포인트와 분산된 중앙 지점으로 나뉩니다. 애플리케이션 중앙 지점은 글로벌 리소스 관리 및 로드 밸런싱을 담당하는 반면, 분산된 중앙 포인트는 트래픽 식별(글로벌 세션 일치)을 담당합니다. 애플리케이션 중앙 포인트 기능은 전용 중앙 포인트 SPU에서 실행되는 반면 분산된 중앙 포인트 기능은 나머지 SPU에 배포됩니다. 이제 중앙 포인트 세션은 더 이상 전용 중앙 포인트 SPU가 아니라 다른 플로우 SPU의 분산 중앙 지점에 있습니다.

참고:

SRX5000 라인 중앙 포인트는 글로벌 리소스 관리 및 로드 밸런싱과 관련하여 애플리케이션 중앙 포인트 또는 분산 중앙 지점 또는 둘 모두를 의미하며, 트래픽 식별 및 세션 관리와 관련하여 분산 중앙 지점(때로는 SPU라고도 함)을 의미합니다.

참고:

SNMP 로그 및 SNMP 트랩은 속도 제한을 가진 중앙 지점에 의해 생성되었습니다. 이제 SNMP 로그 및 SNMP 트랩은 SPU 또는 중앙 지점에 의해 생성됩니다. 두 개 이상의 SPU가 존재하기 때문에 생성된 SNMP 로그 및 트랩의 수는 더 많습니다. 디바이스에서 초당 연결 수(CPS)를 확인하려면 명령을 실행 SNMP MIB walk nxJsNodeSessionCreationPerSecond 합니다. SNMP 폴링 메커니즘은 지난 96초 동안의 평균 CPS 수를 기준으로 CPS 값을 계산합니다. 따라서 CPS가 일정하지 않으면 보고된 CPS 수가 부정확합니다.

중앙 포인트 세션 성능 향상에 대한 이해

Junos OS 15.1X49-D70 및 Junos OS 릴리스 17.3R1부터 새로운 세션 연결(conn-tag) 태그 옵션을 사용하여 GRPS 터널링 프로토콜, 사용자 플레인(GTP-U) 플로우 세션 및 SCTP(Stream Control Transmission Protocol) 플로우 세션을 더욱 구별하기 위한 플로우 필터를 추가할 수 있습니다.

플로우 세션 연결 튜플은 GTP-U 세션 및 6개 파트 튜플로만 구별할 수 없는 SCTP 세션을 고유하게 식별하는 데 사용되는 32비트 연결 태그로 구성됩니다. 세션을 식별하는 표준 6개의 튜플에 세션 연결 태그를 추가하여 GTP-U 세션 및 SCTP 세션을 식별하도록 세션 연결 태그 튜플을 포함하도록 시스템을 구성할 수 있습니다. 시스템은 세션 연결 태그를 해싱하여 GTP-U/SCTP에 대한 DCP를 결정합니다.

중앙 포인트 아키텍처는 터널 엔드포인트 식별자(TEID) 기반 해시 배포로 전환하여 모든 SPU에서 게이트웨이 GPRS 지원 노드(GGSN) 및 SGSN 쌍으로 처리되는 GTP-U 트래픽을 배포합니다. 로드 밸런싱 문제를 처리하기 위해 태그 기반 해시 배포를 사용하여 모든 SPU 간의 서로 다른 연결에서 SCTP 트래픽을 균일하게 배포합니다. (GTP-U의 연결 태그는 TEID이며 SCTP의 경우 vTag입니다.)

GTP 및 SCTP를 위한 중앙 포인트 아키텍처 플로우 지원 이해

Junos OS 릴리스 15.1X49-D40 및 Junos OS 릴리스 17.3R1부터 중앙 포인트 아키텍처는 GPRS 터널링 프로토콜, 제어(GTP-C), GPRS 터널링 프로토콜, 사용자 플레인(GTP-U) 및 스트림 제어 전송 프로토콜(SCTP)에 대한 향상된 지원을 제공합니다.

SRX5400, SRX5600, 및 SRX5800 디바이스는 GTP-C 메시지 홍수로부터 게이트웨이 GPRS 지원 노드(GGSN)를 보호하고, SGSN 인계 중에 GTP-C 패킷 드롭 문제를 방지하며, 모든 SPU에서 GGSN 및 SGSN 쌍으로 처리된 GTP-U 트래픽을 배포하도록 GTP-C 메시지 속도 제한을 해결하도록 향상되었습니다. enable-gtpu-distribution 명령을 사용하여 GTP-U 세션 배포를 활성화 또는 비활성화합니다. 기본적으로 enable-gtpu-distribution 명령은 비활성화됩니다.

GTP/SCTP 로드 밸런서 문제를 해결하기 위해 플로우 세션 튜플에 대한 연결 태그가 도입되었습니다. 분산형 CP(DCP) 세션 및 SPU 세션을 포함한 모든 세션은 연결 태그를 수용하도록 수정되었습니다. 세션 생성에는 src-ip, dst-ip, src-port, dst-port, 프로토콜, 세션 토큰 및 연결 태그가 뒤따릅니다.

GTP ALG는 GGSN IP 주소를 해싱하여 GTP-C 세션을 수정해야 합니다. 첫 번째 패킷이 불확실한 방향일 경우 GTP ALG는 GTP-C 세션 생성을 거부하며, 이는 패킷 드롭을 야기합니다. GTP-C 패킷이 손실되는 것을 방지하기 위해 새로운 플로우 세션이 생성되고 GGSN 또는 SGSN 방향이 결정되지 않더라도 GTP-C 트래픽이 통과할 수 있습니다. 나중에 GGSN IP는 올바른 SPU를 사용하여 플로우 세션을 생성하고 이전 세션을 노후화하기 위해 결정됩니다. 이전 세션에 도달한 간헐적 패킷은 새로운 SPU로 전달되고 새 세션에서 처리됩니다.

로드 밸런싱 문제를 처리하기 위해 태그 기반 해시 배포를 사용하여 모든 SPU 간에 GTP-U/SCTP 트래픽을 균일하게 배포합니다. GTP-you 및 SCTP 세션을 고유하게 식별하는 32비트 연결 태그가 도입되었습니다. GTP-U에 대한 연결 태그는 TEID이며 SCTP의 경우 vTag입니다. 기본 연결 태그는 0입니다. 세션에서 사용하지 않을 경우 연결 태그는 0으로 유지됩니다. Flow는 GTP-U/SCTP 세션의 연결 태그를 결정하고 연결 태그를 해싱하여 배포합니다.

SCTP 연결은 두 SCTP 엔드포인트 간의 연결입니다. 각 SCTP 엔드포인트는 태그와의 연결을 식별합니다. 연결 설정(4방향 핸드셰이크) 동안 두 개의 SCTP 엔드포인트가 패킷 수신을 위해 자체 태그를 교환합니다. 4방향 핸드셰이크 동안 INIT/INIT-ACK의 수신자가 itag의 값을 기록하고 이 연결 내에서 전송하는 모든 SCTP 패킷의 vtag 필드에 배치됩니다. 그런 다음 피어는 vtag를 사용하여 이 패킷의 발신자를 검증합니다.

CP-Lite 뒤에 생성된 플로우 세션은 다음과 같습니다.

SPU는 해시(태그)에 의해 선택되고, 클라이언트에서 서버 트래픽은 해시(tagB) SPU에서 처리된 다음 해시(tagA) SPU로 전달됩니다. 클라이언트 트래픽에 대한 서버는 해시(tagA) SPU에서 직접 처리됩니다.

  1. INIT 패킷을 수신한 후 해시(tagA) SPU:

    DCP-session A1: 클라이언트=> 서버, SCTP, Conn ID: 0x0;

    세션 A1: 클라이언트=> 서버, SCTP, Conn ID: 0x0;

    해시(tagB) SPU: 세션 없음.

  2. INIT-ACK 패킷을 수신한 후 해시(tagA) SPU:

    DCP-session A1: 클라이언트=> 서버, SCTP, Conn ID: 0x0;

    DCP-session A2: 서버 => 클라이언트, SCTP, Conn ID: tagA;

    세션 A1: 클라이언트=> 서버, SCTP, Conn ID: 0x0;

    세션 A2: 서버 => 클라이언트, SCTP, Conn ID: tagA;

    해시(tagB) SPU: 세션 없음.

  3. COOKIE-ECHO 패킷을 수신한 후 해시(tagA) SPU:

    DCP-session A1: 클라이언트=> 서버, SCTP, Conn ID: 0x0;

    DCP-session A2: 서버 => 클라이언트, SCTP, Conn ID: tagA;

    세션 A1: 클라이언트=> 서버, SCTP, Conn ID: 0x0;

    세션 A2: 서버 => 클라이언트, SCTP, Conn ID: tagA;

    세션 A3: 클라이언트=> 서버, SCTP, Conn ID: tagB;

    해시(tagB) SPU:

    DCP-session: 클라이언트 => 서버, SCTP, Conn ID: 태그 B

  4. COOKIE-ACK 패킷을 수신한 후 플로우 세션은 변경되지 않습니다.

  5. 핸드셰이크가 성공하면 HEARBEAT가 모든 경로로 전송됩니다.

플로우 세션 연결 필터 옵션 이해

Junos OS 15.1X49-D70 및 Junos OS 릴리스 17.3R1부터 새로운 세션 연결(conn-tag) 태그 옵션을 사용하여 GRPS 터널링 프로토콜, 사용자 플레인(GTP-U) 플로우 세션 및 SCTP(Stream Control Transmission Protocol) 플로우 세션을 더욱 구별하기 위한 플로우 필터를 추가할 수 있습니다.

플로우 세션 연결 튜플은 GTP-U 세션 및 6개 파트 튜플로만 구별할 수 없는 SCTP 세션을 고유하게 식별하는 데 사용되는 32비트 연결 태그로 구성됩니다. 세션을 식별하는 표준 6개의 튜플에 세션 연결 태그를 추가하여 GTP-U 세션 및 SCTP 세션을 식별하도록 세션 연결 태그 튜플을 포함하도록 시스템을 구성할 수 있습니다. 시스템은 세션 연결 태그를 해싱하여 GTP-U/SCTP에 대한 DCP를 결정합니다.

중앙 포인트 아키텍처는 터널 엔드포인트 식별자(TEID) 기반 해시 배포로 전환하여 모든 SPU에서 게이트웨이 GPRS 지원 노드(GGSN) 및 SGSN 쌍으로 처리되는 GTP-U 트래픽을 배포합니다. 로드 밸런싱 문제를 처리하기 위해 태그 기반 해시 배포를 사용하여 모든 SPU 간의 서로 다른 연결에서 SCTP 트래픽을 균일하게 배포합니다. (GTP-U의 연결 태그는 TEID이며 SCTP의 경우 vTag입니다.)

릴리스 기록 테이블
릴리스
설명
15.1X49-D70
Junos OS 15.1X49-D70 및 Junos OS 릴리스 17.3R1부터 새로운 세션 연결(conn-tag) 태그 옵션을 사용하여 GRPS 터널링 프로토콜, 사용자 플레인(GTP-U) 플로우 세션 및 SCTP(Stream Control Transmission Protocol) 플로우 세션을 더욱 구별하기 위한 플로우 필터를 추가할 수 있습니다.
15.1X49-D70
Junos OS 15.1X49-D70 및 Junos OS 릴리스 17.3R1부터 새로운 세션 연결(conn-tag) 태그 옵션을 사용하여 GRPS 터널링 프로토콜, 사용자 플레인(GTP-U) 플로우 세션 및 SCTP(Stream Control Transmission Protocol) 플로우 세션을 더욱 구별하기 위한 플로우 필터를 추가할 수 있습니다.
15.1X49-D40
Junos OS 릴리스 15.1X49-D40 및 Junos OS 릴리스 17.3R1부터 중앙 포인트 아키텍처는 GPRS 터널링 프로토콜, 제어(GTP-C), GPRS 터널링 프로토콜, 사용자 플레인(GTP-U) 및 스트림 제어 전송 프로토콜(SCTP)에 대한 향상된 지원을 제공합니다.
15.1X49-D30
Junos OS 릴리스 15.1X49-D30 및 Junos OS 릴리스 17.3R1부터는 SRX5000 라인 디바이스에서 더 높은 초당 연결(cps)을 처리하도록 중앙 포인트 아키텍처가 향상되었습니다.