Descripción general de la arquitectura de punto central en dispositivos de seguridad
El punto central delega el procesamiento de la sesión en una de las SPU. Cuando no se establece una sesión, el punto central selecciona una SPU para establecer la sesión para el flujo, según criterios de equilibrio de carga. Si la sesión ya existe, el punto central reenvía paquetes para ese flujo a la SPU que la aloja.
Descripción de la arquitectura de punto central de puertas de enlace de servicios serie SRX
La arquitectura de punto central (CP) tiene dos funcionalidades de flujo básicas: equilibrio de carga e identificación de tráfico (coincidencia de sesión global). Como se describe en este tema, la arquitectura del punto central se implementa en modo centrado, en el que toda la distribución de la sesión y la coincidencia de sesión se realiza por el punto central, o en modo mixto, en el que un porcentaje de la unidad de procesamiento de servicios (SPU) se dedica a realizar la funcionalidad del punto central.
La función principal del punto central es delegar el procesamiento de la sesión en una de las SPU. Si la sesión aún no se ha establecido, el punto central selecciona una SPU para establecer la sesión para el flujo, en función de los criterios de equilibrio de carga. Si la sesión ya existe, el punto central reenvía paquetes para ese flujo a la SPU que la aloja. También redirige los paquetes a la SPU correcta en caso de que la NPU no lo haga.
El punto central mantiene una tabla de sesión global con información sobre la SPU propietaria de una sesión en particular. Funciona como un depósito central y un gestor de recursos para todo el sistema.
La arquitectura del punto central también se implementa en modo CP-lite en el que la administración de sesiones se descarga desde el punto central hasta las SPU para mejorar el rendimiento y el escalamiento de sesión. Cp-lite no se analiza en este tema.
El tipo de dispositivo serie SRX junto con la versión de Junos OS determinan qué modo es compatible.
En la tabla 1 se identifica la implementación de la arquitectura de punto central que se admite en dispositivos de la serie SRX para varias versiones.
Modo compatible con SRX1400 |
Modo compatible con dispositivos serie SRX3000 |
Modo compatible con dispositivos de la serie SRX5000 |
|
|---|---|---|---|
Junos OS Release 12.3X48 and Previous Releases |
|
|
|
|
Estos dispositivos de la serie SRX ya no son compatibles. |
Estos dispositivos de la serie SRX ya no son compatibles. |
Nota:
NG-SPC deja obsoleto el modo combinado. |
Junos OS Release 15.1X49-D30 and later releases |
Estos dispositivos de la serie SRX ya no son compatibles. |
Estos dispositivos de la serie SRX ya no son compatibles. |
Nota:
NG-SPC deja obsoleto el modo mixto. |
El punto central reenvía un paquete a su unidad de procesamiento de servicios (SPU) cuando coincide la sesión, o distribuye el tráfico a una SPU para el procesamiento de seguridad si el paquete no coincide con ninguna sesión existente. La arquitectura del punto central se implementa en modo centrado en CP, en el cual toda la distribución de la sesión y la coincidencia de sesión se realiza por el CP o en modo combinado
En algunos dispositivos de la serie SRX, no se puede dedicar una SPU completa para la funcionalidad del punto central, pero un cierto porcentaje de la SPU se asigna automáticamente para la funcionalidad del punto central y el resto se asigna para el procesamiento normal del flujo. Cuando una SPU realiza la función de punto central, así como procesamiento de flujo normal, se dice que está en combinación o mixed, modo.
El porcentaje de SPU dedicada a la funcionalidad del punto central depende de la cantidad de SPU en el dispositivo. Según la cantidad de SPU, hay tres modos disponibles en los dispositivos de la serie SRX: punto central pequeño, punto central mediano y punto central grande.
En el modo de punto central pequeño, un pequeño porcentaje de una SPU se dedica a la funcionalidad del punto central y el resto se dedica al procesamiento de flujo normal. En el modo de punto central medio, una SPU se comparte casi por igual para la funcionalidad del punto central y el procesamiento normal del flujo. En el modo de punto central grande, una SPU completa está dedicada a la funcionalidad de punto central. En el modo mixto, el punto central y la SPU comparten la misma infraestructura de subprocesos de equilibrio de carga (LBT) y de orden de paquetes (POT).
Este tema incluye las siguientes secciones:
- Distribución de carga en modo mixto
- Compartir la potencia de procesamiento y la memoria en modo mixto
Distribución de carga en modo mixto
El punto central mantiene la tabla de asignación de SPU (para la distribución de carga) que enumera las SPU vivas con los IDENTIFICA de SPU lógica asignados a la asignación física de direcciones del Protocolo de red trivial (TNP). En el modo mixto, la SPU que aloja el punto central se incluye en la tabla. El algoritmo de distribución de carga se ajusta según la capacidad de la sesión y la potencia de procesamiento para evitar la sobrecarga de sesiones.
Compartir la potencia de procesamiento y la memoria en modo mixto
La potencia de procesamiento de la CPU en una SPU en modo mixto se comparte según la plataforma y la cantidad de SPU en el sistema. De manera similar, la memoria de la CPU también se comparte entre el punto central y la SPU.
Una SPU tiene varios núcleos (CPU) para el procesamiento de redes. En el modo mixto de SPU "pequeño", la funcionalidad de la CPU toma una pequeña porción de los núcleos, mientras que el modo mixto de SPU "mediano" requiere una mayor porción de núcleos. La potencia de procesamiento para las funcionalidades del punto central y el procesamiento de flujo se comparte, según el número de tarjetas de procesamiento de servicios (SPC), como se muestra en la tabla 2. La compatibilidad de la plataforma depende de la versión de Junos OS en su instalación.
Dispositivo serie SRX |
Modo de punto central con 1 SPC o SPC2 |
Modo de punto central con 2 o más SPC o SPC2 |
Modo de punto central con 1 o 2 SPC3s |
Modo de punto central con más de 2 SPC3s |
|---|---|---|---|---|
SRX1400 |
Pequeño |
Medio |
NA |
NA |
SRX3400 |
Pequeño |
Medio |
NA |
NA |
SRX3600 |
Pequeño |
Medio |
NA |
NA |
SRX3400 (licencia ampliada de rendimiento y capacidad) |
Pequeño |
Grande |
NA |
NA |
SRX3600 (licencia ampliada de rendimiento y capacidad) |
Pequeño |
Grande |
NA |
NA |
SRX5600 |
Grande |
Grande |
Medio |
Grande |
SRX5800 |
Grande |
Grande |
Medio |
Grande |
SRX5400 |
Grande |
Grande |
Medio |
Grande |
El procesamiento del modo mixto solo existe con SPCI en dispositivos de línea SRX1400, SRX3400, SRX3600 y SRX5000.
Descripción de las mejoras de la arquitectura de central point para la línea SRX5000
Anteriormente, para las puertas de enlace de servicios de la línea SRX5000, el punto central era un cuello de botella en el rendimiento y el escalamiento de los dispositivos. Cuando se integraron más tarjetas de procesamiento de servicios (SPC) en el sistema, la potencia de procesamiento general aumentó linealmente, pero las conexiones del sistema por segundo (cps) se mantuvieron constantes y no se pudieron mejorar debido al único punto centralizado del sistema. Esto afectó gravemente el uso general del sistema, tanto en capacidad como en cps.
A partir de Junos OS versión 15.1X49-D30 y Junos OS versión 17.3R1, en los dispositivos de la línea SRX5000, la arquitectura del punto central se mejora para manejar conexiones por segundo (cps) más altas. La nueva arquitectura de punto central impide que los paquetes de datos pasen por el punto central al descargar los funcionalistas de administración de sesiones a la Unidad de procesamiento de servicios (SPU). Por lo tanto, los paquetes de datos se reenvían directamente desde la unidad de procesamiento de red a la SPU en lugar de pasar por el punto central.
La arquitectura de punto central está dividida en dos módulos, el punto central de la aplicación y el punto central distribuido. El punto central de la aplicación es responsable de la administración de recursos globales y el equilibrio de carga, mientras que el punto central distribuido es responsable de la identificación del tráfico (coincidencia global de sesión). La funcionalidad del punto central de aplicación se ejecuta en la SPU de punto central dedicado, mientras que la funcionalidad de punto central distribuido se distribuye al resto de las SPU. Ahora, las sesiones de punto central ya no están en la SPU de punto central dedicada, sino en el punto central distribuido en otras SPU de flujo.
El punto central de la línea SRX5000 se refiere al punto central de la aplicación, o el punto central distribuido o ambos, con respecto a la administración de recursos globales y el equilibrio de carga, se refiere al punto central de la aplicación, mientras que con respecto a la identificación del tráfico y la administración de sesión, se refiere al punto central distribuido (a veces referido a la SPU también).
El registro SNMP y la captura SNMP fueron generados por el punto central con límite de velocidad. Ahora, el registro SNMP y la captura SNMP se generan por la SPU o el punto central. Como hay más de una SPU, la cantidad de registros SNMP y capturas generadas es mayor. Para comprobar el número de conexiones por segundo (CPS) en el dispositivo, ejecute SNMP MIB walk nxJsNodeSessionCreationPerSecond el comando. El mecanismo de sondeo SNMP calcula el valor de CPS en función del número promedio de CPS en los últimos 96 segundos. Por lo tanto, si el CPS no es constante, el número de CPS informado es incorrecto.
Descripción de las mejoras de rendimiento del límite de sesión de central point
A partir de Junos OS 15.1X49-D70 y Junos OS versión 17.3R1, hay disponible una nueva opción de etiqueta de conexión de sesión (etiqueta conn) que le permite agregar un filtro de flujo para distinguir aún más el protocolo de tunelización GRPS, las sesiones de flujo del plano de usuario (GTP-U) y las sesiones de flujo del Protocolo de transmisión de control de flujo (SCTP).
La tupla de conexión de sesión de flujo consta de una etiqueta de conexión de 32 bits que se utiliza para identificar de forma única las sesiones de GTP-U y sctp que no se pueden distinguir solo por la tupla de seis partes. Puede configurar el sistema para incluir la tupla de la etiqueta de conexión de sesión para identificar las sesiones de GTP-U y SCTP agregando la etiqueta de conexión de sesión a las seis tuplas estándar que identifican una sesión. El sistema determina el DCP para GTP-U/SCTP mediante el hash de la etiqueta de conexión de sesión.
La arquitectura del punto central distribuye el tráfico de GTP-U gestionado por un nodo de soporte GPRS (GGSN) de puerta de enlace y un par SGSN en todas las SPU mediante conmutación a una distribución hash basada en el identificador de punto de conexión de túnel (TEID). Para manejar problemas de equilibrio de carga, se utiliza la distribución hash basada en etiquetas para garantizar una distribución uniforme del tráfico SCTP desde diferentes asociaciones entre todas las SPU. (La etiqueta de conexión para GTP-U es el TEID y para SCTP es la vTag.)
Descripción de la compatibilidad de flujo de arquitectura de punto central para GTP y SCTP
A partir de Junos OS versión 15.1X49-D40 y Junos OS versión 17.3R1, la arquitectura de punto central ofrece compatibilidad mejorada con el protocolo de tunelización, el control (GTP-C), el protocolo de tunelización GPRS, el plano de usuario (GTP-U) y el protocolo de transmisión de control de flujo (SCTP).
La arquitectura de punto central, que se admite en la SRX5400, Los dispositivos SRX5600 y SRX5800 se mejoran para abordar la limitación de velocidad de mensaje GTP-C para proteger el nodo de soporte GPRS (GGSN) de la inundación de mensajes de GTP-C, para evitar problemas de caída de paquetes GTP-C durante la entrega de SGSN y para distribuir el tráfico GTP-U gestionado por un par GGSN y SGSN en todas las SPU mediante la conmutación a la distribución hash basada en el identificador de punto de conexión de túnel (TEID). Utilice el enable-gtpu-distribution comando para habilitar o deshabilitar la distribución de sesión GTP-U. De forma predeterminada, el enable-gtpu-distribution comando está deshabilitado.
Se introduce la etiqueta de conexión a la tupla de sesión de flujo para resolver el problema del equilibrio de carga GTP/SCTP. Todas las sesiones, incluidas la sesión de CP distribuido (DCP) y la sesión de SPU se modifican para adaptarse a la etiqueta de conexión. La creación de la sesión tiene los siguientes tuple: src-ip, dst-ip, src-port, dst-port, protocolo, session-token y etiqueta de conexión.
El ALG GTP requiere que las sesiones de GTP-C se arreglen mediante el hash de las direcciones IP de GGSN. El GTP ALG niega la creación de sesión GTP-C si el primer paquete es de dirección incierta, lo que causará la caída del paquete. Para evitar que se caigan los paquetes GTP-C, se crea una nueva sesión de flujo y se permite que el tráfico GTP-C pase incluso si la dirección GGSN o SGSN no está determinada. Más tarde, la IP GGSN se determina mediante la SPU correcta para crear la sesión de flujo y antigüedad de la sesión anterior. Los paquetes intermitentes que llegan a la sesión anterior se reenvían a la nueva SPU y se procesarán en la nueva sesión.
Para manejar problemas de equilibrio de carga, se utiliza la distribución hash basada en etiquetas para garantizar una distribución uniforme del tráfico GTP-U/SCTP entre todas las SPU. Se introduce una etiqueta de conexión de 32 bits que identifica de forma única las sesiones GTP-you y SCTP. La etiqueta de conexión para GTP-U es el TEID y para SCTP es la vTag. La etiqueta de conexión predeterminada es 0. La etiqueta de conexión sigue siendo 0 si las sesiones no la utilizan. Flow determinará la etiqueta de conexión para las sesiones de GTP-U/SCTP y las distribuirá mediante hashing de etiqueta de conexión.
Una asociación SCTP es una conexión entre dos puntos de conexión SCTP. Cada punto de conexión SCTP identifica la asociación con una etiqueta. Durante la configuración de la asociación (apretones de manos de 4 vías), dos puntos de conexión SCTP intercambian sus propias etiquetas para la recepción de paquetes. Durante el apretón de manos de 4 vías, el receptor de INIT/INIT-ACK registra el valor de itag y se coloca en el campo vtag de cada paquete SCTP que transmite dentro de esta asociación. Luego, el par usa la vtag para validar el remitente de este paquete.
Sesiones de flujo creadas después de CP-Lite de la siguiente manera:
La SPU se selecciona por hash(tag), el tráfico del cliente al servidor se controla en la SPU hash (tagB) y, luego, se reenvía a la SPU hash (tagA). El tráfico del servidor al cliente se maneja directamente en SPU hash (tagA).
Después de recibir el paquete INIT, en SPU hash (tagA):
DCP-session A1: client=> server, SCTP, Conn ID: 0x0;
Sesión A1: client=> server, SCTP, Conn ID: 0x0;
SPU hash (tagB): sin sesión.
Después de recibir el paquete INIT-ACK, en SPU hash (tagA):
DCP-session A1: client=> server, SCTP, Conn ID: 0x0;
DCP-session A2: servidor => cliente, SCTP, ID de Conn: tagA;
Sesión A1: client=> server, SCTP, Conn ID: 0x0;
Sesión A2: servidor => cliente, SCTP, ID de Conn: tagA;
SPU hash (tagB): sin sesión.
Después de recibir el paquete COOKIE-ECHO, en la SPU hash (tagA):
DCP-session A1: client=> server, SCTP, Conn ID: 0x0;
DCP-session A2: servidor => cliente, SCTP, ID de Conn: tagA;
Sesión A1: client=> server, SCTP, Conn ID: 0x0;
Sesión A2: servidor => cliente, SCTP, ID de Conn: tagA;
Sesión A3: client=> servidor, SCTP, ID de Conn: tagB;
En SPU hash (tagB):
DCP-session: client => server, SCTP, Conn ID: etiqueta B
Después de recibir el paquete COOKIE-ACK, las sesiones de flujo no tienen cambios.
Después de que el apretón de manos tenga éxito, HEARBEAT se enviará a todos los caminos.
Descripción de la opción de filtro de conexión de sesión de flujo
A partir de Junos OS 15.1X49-D70 y Junos OS versión 17.3R1, hay disponible una nueva opción de etiqueta de conexión de sesión (etiqueta conn) que le permite agregar un filtro de flujo para distinguir aún más el protocolo de tunelización GRPS, las sesiones de flujo del plano de usuario (GTP-U) y las sesiones de flujo del Protocolo de transmisión de control de flujo (SCTP).
La tupla de conexión de sesión de flujo consta de una etiqueta de conexión de 32 bits que se utiliza para identificar de forma única las sesiones de GTP-U y sctp que no se pueden distinguir solo por la tupla de seis partes. Puede configurar el sistema para incluir la tupla de la etiqueta de conexión de sesión para identificar las sesiones de GTP-U y SCTP agregando la etiqueta de conexión de sesión a las seis tuplas estándar que identifican una sesión. El sistema determina el DCP para GTP-U/SCTP mediante el hash de la etiqueta de conexión de sesión.
La arquitectura del punto central distribuye el tráfico de GTP-U gestionado por un nodo de soporte GPRS (GGSN) de puerta de enlace y un par SGSN en todas las SPU mediante conmutación a una distribución hash basada en el identificador de punto de conexión de túnel (TEID). Para manejar problemas de equilibrio de carga, se utiliza la distribución hash basada en etiquetas para garantizar una distribución uniforme del tráfico SCTP desde diferentes asociaciones entre todas las SPU. (La etiqueta de conexión para GTP-U es el TEID y para SCTP es la vTag.)