Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지 내용
 

Express Path 개요

Express Path(이전의 서비스 오프로드)는 SPU(Services Processing Unit) 대신 네트워크 프로세서에서 고속 경로 패킷을 처리하는 메커니즘입니다. Express Path는 SPU에서 네트워크 프로세서로 특정 트래픽을 오프로드하여 성능을 향상시킵니다.

네트워크 프로세서에서 Express Path 세션을 생성할 때, 플로우의 후속 패킷은 네트워크 프로세서의 세션과 일치합니다. 그러면 네트워크 프로세서가 패킷을 처리하고 전달합니다. Express Path는 노드 간 세션에 대해 HA 전달을 지원하지 않으므로 노드 간 비대칭 라우팅을 구성할 수 없습니다.

또한 네트워크 프로세서는 TCP 시퀀스 확인, TTL(Time-to-Live) 처리, 네트워크 주소 변환(NAT) 및 레이어 2 헤더 변환과 같은 추가 처리를 관리합니다. IOC3의 플로우 테이블은 플로우 모듈의 SPU에 의해 관리됩니다. SPU는 정책 매칭 결과에 따라 플로우 테이블에서 플로우 항목을 삽입 및 삭제합니다. Express Path는 IPv6을 지원합니다.

그림은 Express Path의 패킷 플로우를 보여줍니다.

그림 1: 패킷 플로우 및 Express Path Packet flow and Express Path

Express Path의 이점

  • 단일 플로우 및 섀시 수준 성능을 크게 향상시킵니다.

  • SPU 활용도 및 지연 감소

Express Path 제한 사항

Express Path는 다음을 지원하지 않습니다.

  • 기능

    • 투명 모드

    • 두 개 이상의 팬아웃이 있는 멀티캐스트 세션

    • 단편화된 패킷

    • IPSec VPN

    • 다양한 MTU 크기 값

    • J-플로우

    • 유연한 VLAN 태깅

  • 애플리케이션 레이어 게이트웨이(ALG) 데이터 트래픽:

    • DNS (에스엔에스

    • IKE 및 ESP

    • PPTP (영문)

    • SQL-NET

  • IPv6 (IPv6)

    • NAT

    • 투명 모드

    • 다양한 MTU 크기 값

    • 송신 인터페이스의 CoS(Class of Service)

방화벽 필터를 사용하여 트래픽을 가상 라우터로 보낼 때 Express Path 및 패킷 오프로딩이 작동하지 않습니다.

섀시 클러스터 모드에서 작동하는 디바이스에서 Express Path를 활성화하는 경우:

  • 비대칭 I/O 카드(IOC)를 구성할 수 없습니다.

  • LACP가 활성화된 reth 인터페이스의 하위 링크가 중단되면 이 링크의 모든 트래픽이 인터페이스의 다른 활성 하위 링크로 배포됩니다. 하위 링크가 나타나 RETH 인터페이스에 다시 참가하는 경우, 기존 트래픽 또는 세션은 새로 다시 참가된 활성 하위 링크를 통해 재배포되지 않습니다. 새 세션은 이 링크를 통해 트래버스합니다.

  • LACP가 활성화된 RETH 인터페이스에 새로운 하위 링크가 추가되면, 기존 트래픽이나 세션은 이 새로운 하위 링크를 통해 재배포되지 않습니다. 새로운 세션은 이 링크를 통과합니다.

자동화된 고속 경로

자동화된 Express Path는 기본적으로 Junos OS 릴리스 21.2R1부터 활성화됩니다. Junos 릴리스 21.2R1 이상으로 업그레이드하면 추가 구성이나 하드웨어 투자 없이도 탁월한 차세대 방화벽 성능을 무료로 누릴 수 있습니다. 기본적으로 자동화된 Express Path가 활성화됩니다.

Junos OS 릴리스 21.2R1에서 규칙당 Express Path를 비활성화하려면 명령을 사용합니다 set security policies from-zone [untrust] to-zone ptrust] policy [services-offload-pol1] then permit no-services-offload .

규칙별로 services-offload를 사용하도록 설정하여 이전 동작으로 되돌리려면 명령을 사용합니다 set security forwarding-options services-offload disable .

자동화된 Express Path는 다음 기능을 지원합니다.

  • 스테이트풀 방화벽

  • 네트워크 주소 변환(NAT)

  • 통합 정책(동적 응용 프로그램 및 URL 범주 포함)

  • 사용자 방화벽

  • 보안 인텔리전스

  • 침입 탐지 및 방지(IDP)

  • 강화된 웹 필터링

  • 애플리케이션 레이어 게이트웨이(ALG)

  • 스크린(Anti-DDoS)

Express Path는 트래픽을 어떻게 처리합니까?

첫 번째 패킷이 인터페이스에 도착하면 네트워크 프로세서는 이를 중앙 포인트(CP)로 전달합니다. 중앙 지점은 차례로 패킷을 SPU로 전달합니다. 그런 다음 SPU는 네트워크 프로세서에서 세션을 생성하고 트래픽이 Express Path 세션 또는 일반 세션에 해당하는지 확인합니다.

트래픽이 Express Path 처리에 적합한 경우, 트래픽에 대한 Express Path 세션이 SPU에서 생성됩니다. Express Path 세션은 네트워크 프로세서에서 빠른 경로 패킷을 처리하고 패킷은 네트워크 프로세서에서 나갑니다.

트래픽이 Express Path 처리에 적합하지 않은 경우 SPU는 일반 세션을 생성합니다. 일반 세션은 고속 경로 처리를 위해 네트워크 프로세서에서 SPU로 패킷을 전달합니다.

Express Path 네트워크 프로세서

네트워크 프로세서가 있는 SRX 방화벽에서 패킷 플러그인 및 스트림 플러그인을 포함한 모든 플러그인이 세션을 무시하면 세션을 오프로드한 다음 네트워크 프로세서에 세션을 설치합니다. 패킷 플러그인이 세션을 무시하면 무시 플래그를 표시합니다. 스트리밍 플러그인이 세션을 무시하면 무시 플래그를 표시하고 TCP-T 및 TCP-I를 단락시킵니다. 그런 다음 네트워크 프로세서에 세션을 설치하여 세션을 오프로드합니다.

I/O 카드(IOC) 네트워크 프로세서는 스위치 패브릭 또는 SPU를 거치지 않고 고속 경로 패킷을 처리합니다. 이렇게 하면 패킷 처리 지연 시간이 줄어듭니다.

각 플로우 항목에는 Express Path 네트워크 프로세서에 날개별 카운터가 있습니다. 카운터는 네트워크 프로세서가 날개를 통해 보내는 바이트 수를 캡처합니다.

다양한 시나리오에서 네트워크 프로세서의 동작은 다음과 같습니다.

  • First-path flow—첫 번째 경로 flow는 현재 네트워크 프로세서 flow 프로세스와 동일합니다. 첫 번째 패킷이 네트워크 프로세서에 도착하면, 네트워크 프로세서는 TCP 또는 UDP 패킷을 구문 분석하여 5-튜플 키를 추출한 다음 플로우 테이블에서 세션 조회를 수행합니다. 그런 다음 네트워크 프로세서는 첫 번째 패킷을 중앙 지점으로 전달합니다. 이 패킷이 첫 번째 패킷이기 때문에 중앙 지점은 현재 일치하는 패킷을 찾을 수 없습니다. 중앙 지점과 SPU는 세션을 생성하고 사용자 구성 정책과 일치시켜 세션이 정상 세션인지 서비스 오프로드 세션인지 확인합니다.

    Express Path로 관리할 세션을 지정하는 경우, SPU는 네트워크 프로세서 플로우 테이블에 세션 항목을 생성합니다. 이렇게 하면 세션 입력 테이블에서 Express Path 플래그를 사용할 수 있습니다. 그렇지 않으면 SPU는 Express Path 플래그 없이 네트워크 프로세서에 정상적인 세션 항목을 생성합니다.

  • 빠른 경로 흐름 - 네트워크 프로세서에서 세션 항목을 생성한 후, 세션의 후속 패킷은 세션 항목 테이블과 일치합니다.

    1. Express Path 플래그가 설정되지 않은 경우 네트워크 프로세서는 세션 입력 테이블에 지정된 SPU로 패킷을 전달합니다. 패킷이 정상적인 플로우 프로세스를 거칩니다.

    2. 네트워크 프로세서가 세션 입력 테이블에서 services-offload 플래그를 찾으면 패킷을 로컬에서 처리하고 패킷을 직접 전송합니다.

    3. 네트워크 프로세서의 빠른 감기 기능은 단일 팬아웃 멀티캐스트 세션을 지원합니다. 세션의 송신 포트는 수신 포트와 동일한 네트워크 프로세서와도 연결되어야 합니다. 다른 모든 멀티캐스트 케이스는 일반 세션으로 관리해야 합니다.

  • NAT 프로세스 - SPU는 내부 IP 주소 또는 포트와 외부 IP 주소 또는 포트 간의 매핑을 담당합니다. 세션의 첫 번째 패킷이 도착하면 SPU는 IP 주소 또는 포트 매핑을 할당하고 네트워크 프로세서 세션 항목에 정보를 저장합니다. NAT 플래그가 설정되면, 네트워크 프로세서는 패킷을 수정합니다.

  • Session age-out—서비스 오프로드 세션의 트래픽 처리량을 개선하기 위해 사전 정의된 기간마다 SPU로 패킷 사본을 전송하여 SPU에서 패킷 처리 수요를 줄입니다. SPU로 전송되는 패킷 복사본 수를 제한하기 위해 각 서비스 오프로드 세션에 대해 타임스탬프가 구현됩니다. 네트워크 프로세서는 마지막 세션 일치 이후 경과된 시간을 계산합니다. 경과 시간이 사전 정의된 시간보다 큰 경우, 네트워크 프로세서는 패킷 사본을 SPU로 전송하고 세션 타임스탬프를 업데이트합니다.

  • 세션 종료 및 삭제 - 네트워크 프로세서가 FIN(완료 데이터) 또는 RST(연결 재설정) 플래그가 있는 IP 패킷을 수신하면 패킷을 SPU로 전달합니다. 그런 다음 SPU는 네트워크 프로세서에서 세션 캐시를 삭제합니다. 네트워크 프로세서는 상태 전환 중에 모든 패킷을 계속 수신하고 SPU로 전달합니다.

윙 통계 카운터

Express Path에서 네트워크 프로세서는 각 플로우 항목에 대한 옵션을 제공하여 윙당 바이트 카운터를 유지합니다. 카운터는 네트워크 프로세서가 날개를 통해 보내는 바이트 수를 캡처합니다.

카운터를 활성화하면 네트워크 프로세서는 모든 수신 패킷에 대한 플로우 항목(세션 윙)을 검색합니다. 패킷이 설정된 플로우 항목에 속하는 경우, 네트워크 프로세서는 패킷에서 플로우 항목의 바이트 카운터를 증가시킵니다. 네트워크 프로세서는 각 플로우 항목의 패킷(복사 패킷)을 관련 SPU에 주기적으로 복사하여 SPU가 세션을 유지할 수 있도록 합니다. 네트워크 프로세서는 copy-packet 패킷의 헤더에 플로우 바이트 카운터 값을 보냅니다. SPU는 날개별 통계 카운터를 누적하고 유지합니다.

라이브 세션의 라이프 사이클 중에는 통계 구성을 변경할 수 없습니다. 세션이 네트워크 프로세서에서 활성 상태일 때 윙별 통계 구성을 비활성화하거나 활성화하면 현재 세션의 세션 통계가 무효화됩니다. 새로운 세션 통계는 구성 변경이 커밋된 후에만 유효할 수 있습니다. 네트워크 프로세서 날개별 카운터는 지울 수 없습니다.

날개당 세션 수 통계

네트워크 프로세서는 세션 리소스를 수용할 수 있는 더 큰 정적 RAM(SRAM)을 가지므로 PIC당 더 많은 세션을 호스팅합니다. #concept_gkc_1ry_4sb__per-wing-sessions 는 Express Path 및 비 Express Path를 모두 포함하여 총 세션 날개 수를 표시합니다.

기능 탐색기를 사용하여 특정 기능에 대한 플랫폼 및 릴리스 지원을 확인할 수 있습니다. 추가 플랫폼이 지원될 수 있습니다.

자세한 내용은 #concept_gkc_1ry_4sb__section_azn_4yk_khc 섹션을 참조하십시오.

추가 플랫폼 정보

기능 탐색기를 사용하여 특정 기능에 대한 플랫폼 및 릴리스 지원을 확인할 수 있습니다. 추가 플랫폼이 지원될 수 있습니다.
표 1: 네트워크 프로세서 Express Path 구성 모드에서 윙당 총 세션 수

총 날개 수

고속 경로 UDP 날개 수

Express Path TCP 날개 수
카드 및 SRX 시리즈 방화벽 비고속 경로 모드 세션 통계 없음 통계 포함 통계 없음 통계 포함

SRX5000 라인 디바이스 SRX5K-MPC(IOC2)

180만

180만

180만

180만

180만

SRX5000 라인 디바이스 SRX5K-MPC3(IOC3)

2,000만

2,000만

2,000만

2,000만

2,000만

SRX5000 라인 디바이스 SRX5K IOC4

1,000만

1,000만

1,000만

1,000만

1,000만

SRX4600

2,000만

2,000만

2,000만

2,000만

2,000만

IOC 카드의 Express Path 패킷 처리

IOC 카드의 Express Path는 IOC 카드에 몇 가지 기본 방화벽 기능을 오프로드하기 위해 SPU 대신 네트워크 프로세서 칩셋을 통해 빠른 경로 패킷을 처리하는 것을 기반으로 합니다.

Express Path 기능을 활성화한 경우, IOC 카드는 더 낮은 지연 시간을 제공하고 SPU의 과부하를 제거하여 더 높은 처리량을 지원합니다. IOC 카드는 카드 내 트래픽 플로우와 카드 간 트래픽 플로우를 모두 지원합니다. 최상의 지연 시간 결과를 얻으려면 트래픽 흐름의 수신 포트와 송신 포트가 모두 IOC 카드의 동일한 XM 칩에 있어야 합니다.

IOC 카드는 240Gbps FPC를 지원하며 3세대 NP(Network Processing) 칩셋 제품군을 사용합니다. 이 최신 조회 및 큐잉 칩은 더 높은 용량에 최적화되어 있습니다. IOC 카드는 SCB2 및 SCB3와 호환되며 이전 SCB는 지원되지 않습니다.

전력 및 열 제약 때문에 IOC 카드의 4개 PIC를 동시에 켤 수 없습니다. 최대 2개의 PIC를 짝수 또는 홀수 순서로 켭니다. 명령을 사용하여 전원을 켤 PIC를 선택할 수 있습니다 set chassis fpc <slot> pic <pic> power off .

시스템 로그 메시지는 다음과 같습니다.

  • XMCHIP_CMERROR_DDRIF_INT_REG_CHKSUM_ERR_MINOR

  • XMCHIP_CMERROR_DDRIF_INT_REG_CHKSUM_ERR_MAJOR

오류 메시지는 FPC(Flexible PIC Concentrator)의 XM 칩이 패킷 드롭의 원인이 되는 체크섬 오류를 감지했음을 나타냅니다. 다음 오류 임계값은 오류를 주요 오류 또는 사소한 오류로 분류합니다.

  • 사소한 오류 - 초당 > 5개 오류

  • 주요 오류 - 초당 > 255개 오류(최대 수)

데이터 플레인에서 IOC 카드는 패킷을 구문 분석하고 플로우 테이블에서 조회합니다. IOC 카드가 플로우 테이블에서 일치하는 항목을 찾으면 플로우 테이블에 제공된 지침에 따라 패킷을 전달합니다. IOC 카드는 NAT를 수행하고, 레이어 2(L2) 헤더를 캡슐화하고, 송신 인터페이스에서 패킷을 포워딩할 수 있습니다. 송신 인터페이스는 동일한 IOC 카드(인트라 카드 케이스) 또는 다른 IOC 카드(인터 카드 케이스)에 위치할 수 있습니다.

IOC 카드가 첫 번째 패킷을 수신하면 기존 빠른 전환 세션과 일치하지 않습니다. 기본 해시 기반 포워딩은 SPU에 첫 번째 패킷을 전송하기 위해 수행됩니다. 그런 다음 SPU는 보안 세션을 생성합니다. SPU가 트래픽이 빠른 전달에 적합하고 관련 IOC 카드가 빠른 전달을 지원하는 것으로 확인되면 IOC 카드에 대한 빠른 전달 세션을 설치합니다. 트래픽에 빠른 전달을 적용할 수 없는 경우 세션 메시지가 전송되지 않으며 IOC 카드는 기본 해시 기반 전달을 사용하여 패킷을 SPU로 전달합니다.

빨리 감기 IOC 카드 처리에서 빨리 감기 세션이 일치하면 세션 흐름 결과에 따라 패킷을 직접 전달할 수 있습니다. IOC 카드는 패킷 포워딩, TTL NAT 변환 확인 및 감소, 레이어 2 헤더 캡슐화 등 필요한 모든 조치를 취합니다.

또한 XL 칩은 미리 정의된 시간에 SPU에 포워딩 패킷 사본 하나를 보냅니다. 이 복사본은 SPU 세션을 새로 고치고 현재 XL 칩 상태를 감지하는 등의 작업에 사용됩니다. SPU는 이 패킷을 소비하고 전달하지 않습니다. 실제 패킷이 처리 및 전송되었기 때문입니다.

그림 2: IOC3 PFE 내 Express 경로 IOC3 Intra-PFE Express Path
그림 3: IOC3 PFE 간 Express 경로
그림 4: IOC3 간 Express Path