파워모드
파워모드
PowerMode는 최적화된 빠른 경로를 도입하여 SRX 시리즈 방화벽에서 처리량을 높이고 지연 시간을 낮출 수 있도록 지원하는 새로운 기본 데이터 플레인 프레임워크입니다. PowerMode는 트리오 기반 플랫폼의 Express Path와 동일한 방식으로 IPsec 작업과 일반 TCP 및 UDP 플로우를 가속화할 수 있습니다.
Junos OS 릴리스 21.3R1에서 이 기능은 다음과 같은 제한 사항이 있습니다.
- 비 IP 프로토콜.
- TCP, UDP, ESP, SCTP 및 GTP가 아닌 IP 프로토콜.
- 멀티캐스트 세션.
- 송신 논리적 터널(LT) 인터페이스 및 교차 lsys 트래픽.
- TCP-Proxy가 필요한 세션.
- 방화벽 필터.
- Mac 학습 및 투명 모드.
- 세션이 Z 모드 트래픽으로 알려진 패브릭 링크를 전송하는 경우의 액티브/액티브 HA 클러스터.
PMI가 있는 SRX 시리즈 방화벽은 플로우 기반 CoS(Class of Service)만 지원합니다.
참조
파워모드 익스프레스
PowerMode Express 개요
PME(PowerMode Express)는 벡터 패킷 처리를 사용하여 성능 향상을 제공하는 작동 모드입니다. PME는 수신 버퍼에서 여러 패킷을 처리하는 데 도움이 되는 패킷 포워딩 엔진(PFE) 내부의 작은 소프트웨어 블록을 사용하여 CPU 캐시를 더 잘 활용합니다.
의 패킷 플로우
혜택
-
고속 경로 처리 및 UDP 처리량 성능을 향상시킵니다.
SRX4100, SRX4200, SRX4600, SRX5400, SRX5600, SRX5800 및 vSRX 디바이스에서 PowerMode Express는 Junos OS 릴리스 21.3R1부터 기본적으로 활성화됩니다. Junos 릴리스 21.3R1 이상으로 업그레이드하면 추가 구성이나 하드웨어 투자 없이도 탁월한 차세대 방화벽 성능을 무료로 누릴 수 있습니다.
PowerMode Express를 전역으로 비활성화하려면 명령을 사용합니다 set security flow power-mode-disable .
PowerMode Express는 다음을 지원합니다.
-
CoS(Class of Service)
-
네트워크 주소 변환(NAT)
-
스크린(Anti-DDoS)
-
포워딩 클래스
-
라우팅 인스턴스
PowerMode Express 제한 사항
PowerMode Express는 다음을 지원하지 않습니다.
-
비 IP 프로토콜
-
TCP, UDP, ESP, SCTP 및 GTP가 아닌 IP 프로토콜
-
멀티캐스트 세션
-
송신 논리 터널(LT) 인터페이스 및 교차 lsys 트래픽
-
폴리서, syslog 및 카운터가 필요한 세션
-
방화벽 필터
-
세션이 Z 모드 트래픽으로 알려진 패브릭 링크를 전송하는 경우의 액티브/액티브 HA 클러스터
PowerMode Express는 트래픽을 처리하는 방법
첫 번째 패킷이 인터페이스에 도착하면 PowerMode에서 새 세션이 생성됩니다. 새 세션이 PowerMode Express에 대한 적격인 경우 PowerMode 적격성 검사가 발생합니다.
PowerMode Express 세션은 네트워크 프로세서의 빠른 경로 패킷을 jexec 처리로 처리합니다. jexec layer2 포워딩 단계에서 캐시 다음 홉, 포워딩 클래스, CoS(Class of Service) 정보는 PowerMode Express에 대한 세션의 후속 패킷을 허용합니다.
PowerMode Express를 다시 활성화하는 방법
PowerMode Express는 기본적으로 활성화되어 있습니다. PowerMode Express를 비활성화하면 다음 명령을 사용하여 다시 활성화할 수 있습니다.
[edit] user@host# delete security flow power-mode-disable user@host# commit
확인
구성이 제대로 작동하는지 확인하려면 다음 표시 명령을 입력합니다.
user@host# show security flow status | grep "Flow power mode:" Flow power mode: Enabled
참조
파워모드 IPsec
PMI(PowerMode IPsec)는 IPsec 성능을 향상시키기 위한 SRX4100, SRX4200, SRX4600, SRX5400, SRX5600, SRX5800 및 vSRX 가상 방화벽 인스턴스를 위한 새로운 운영 모드입니다. Junos OS 릴리스 19.1R1부터는 PMI가 향상되어 첫 번째 경로 또는 빠른 경로 처리를 사용하여 수신 및 발신 단편 패킷을 처리할 수 있습니다.
명령을 사용하여 PMI 프로세스를 사용 가능하게 합니다 set security flow power-mode-ipsec . 패킷이 PMI를 활용하고 있는지 확인하려면 명령을 사용합니다 show security flow pmi statistics .
PMI 첫 번째 경로 및 빠른 경로 처리 이해하기
PMI 첫 번째 경로 처리에서:
-
들어오는 첫 번째 경로 패킷은 세션을 생성하기 위해 flow에 전달됩니다.
-
들어오는 단편 패킷은 리어셈블을 위해 플로우로 전달됩니다.
-
수신 패킷은 고급 보안 서비스 처리를 위해 플로우로 전달됩니다.
PMI 고속 경로 처리에서 PMI 드라이버는 다음과 같이 사용됩니다.
-
들어오는 일반 텍스트를 직접 암호화하고 보냅니다.
-
- 암호 해독을 수행하고 세션 일치를 사용하여 수신 ESP 패킷을 직접 전송합니다.
PMI 첫 번째 경로와 빠른 경로 처리 간 전환
첫 번째 경로 처리에는 더 많은 기능과 명령이 포함되는 반면, PMI 고속 경로 처리는 더 나은 성능을 제공합니다. PMI 세션에서 패킷 처리는 세션의 패킷 플로우를 기반으로 첫 번째 경로와 빠른 경로 사이를 전환합니다.
-
단편화 및 비단편 패킷이 모두 있는 PMI 세션은 첫 번째 경로에 의해 처리됩니다.
-
세션에 단편화되지 않은 패킷만 있는 경우 세션은 첫 번째 경로에서 빠른 과거 처리로 전환됩니다.
SRX5400, SRX5600 및 SRX5800 디바이스에서 스위칭은 NP 세션 시간 초과 후에 발생합니다.
수신 IP 패킷에 대한 단편화
PMI에 대한 수신 IP 패킷에 대한 단편화를 지원하기 위해 첫 번째 경로에서 다음 단계가 사용됩니다.
-
PMI는 세션에서 단편화된 모든 IP 패킷을 처리를 위해 플로우 모듈로 전송합니다.
-
PMI는 패킷 순서를 위해 동일한 세션에서 단편화되지 않은 모든 IP 패킷을 플로우 모듈로 전송합니다.
-
플로우 모듈은 단편화된 패킷의 리어셈블리를 완료하고 암호화를 위해 패킷을 PMI로 다시 전송합니다.
나가는 IP 패킷에 대한 단편화
PMI의 나가는 IP 패킷에 대한 단편화를 지원하기 위해 다음 단계가 사용됩니다.
-
PMI는 세션 조회 중 단편화가 필요한 일반 텍스트 패킷을 감지하고 패킷을 플로우 모듈로 전달합니다.
-
플로우 모듈은 나가는 패킷에 대한 단편화를 수행합니다.
-
PMI는 패킷을 전송하기 전에 패킷을 암호화합니다.
NP 세션 지원
SRX4100, SRX4200 및 vSRX 가상 방화벽 디바이스에서 단편화 및 비단편화 패킷은 처리를 위해 동일한 CPU 코어에 해시됩니다. 따라서 NP 세션은 지원되지 않습니다.
SPC3가 장착된 SRX5400, SRX5600 및 SRX5800 디바이스에서 단편화 및 비단편 패킷은 처리를 위해 서로 다른 CPU 코어에 해시됩니다. 따라서 NP 세션은 주문을 위해 단편화 또는 비단편화 패킷을 동일한 코어로 전달할 수 있도록 지원됩니다.
제한된 NP 세션 용량으로 인해 PMI 세션 또는 비 PMI 세션에 NP 세션이 설치되지 않은 경우 이 PMI 세션에 대한 패킷 순서를 사용하지 못할 수 있습니다.
변경 내역 표
기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. 기능 탐색기 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.