Descripción general de la arquitectura de punto central en dispositivos de seguridad
El punto central delega el procesamiento de la sesión a una de las SPU. Cuando no se establece una sesión, el punto central selecciona una SPU para establecer la sesión para el flujo, según los criterios de equilibrio de carga. Si la sesión ya existe, el punto central reenvía los paquetes de ese flujo a la SPU que lo aloja.
Descripción de la arquitectura central de los firewalls de la serie SRX
La arquitectura del punto central (CP) tiene dos funcionalidades básicas de flujo: equilibrio de carga e identificación de tráfico (coincidencia de sesión global). Como se describe en este tema, la arquitectura del punto central se implementa en modo centrado, en el que toda la distribución y coincidencia de sesiones lo realiza el punto central, o en modo mixto, en el que un porcentaje de la unidad de procesamiento de servicios (SPU) se dedica a realizar la funcionalidad del punto central.
La función principal del punto central es delegar el procesamiento de la sesión a una de las SPU. Si la sesión aún no se ha establecido, el punto central selecciona una SPU para establecer la sesión para el flujo, según los criterios de equilibrio de carga. Si la sesión ya existe, el punto central reenvía los paquetes de ese flujo a la SPU que lo aloja. También redirige los paquetes a la SPU correcta en caso de que la NPU no lo haga.
El punto central mantiene una tabla de sesión global con información sobre la SPU propietaria de una sesión determinada. Funciona como un repositorio central y administrador de recursos para todo el sistema.
La arquitectura del punto central también se implementa en el modo CP-lite, en el que la gestión de la sesión se descarga desde el punto central a las SPU para mejorar el rendimiento y el escalado de la sesión. CP-lite no se discute en este tema.
El tipo de firewall serie SRX junto con la versión de Junos OS determinan qué modo se admite.
En la Tabla 1 se identifica la implementación de la arquitectura de punto central compatible con los firewalls de la serie SRX para varias versiones.
Modo admitido en SRX1400 |
Modo admitido en Línea SRX3000 |
Modo admitido en SRX5000 línea |
|
---|---|---|---|
Junos OS Release 12.3X48 and Previous Releases |
|
|
|
|
Estos firewalls de la serie SRX ya no son compatibles. |
Estos firewalls de la serie SRX ya no son compatibles. |
Nota:
NG-SPC hace que el modo combinado quede obsoleto. |
Junos OS Release 15.1X49-D30 and later releases |
Estos firewalls de la serie SRX ya no son compatibles. |
Estos firewalls de la serie SRX ya no son compatibles. |
Nota:
NG-SPC hace que el modo mixto quede obsoleto. |
El punto central reenvía un paquete a su unidad de procesamiento de servicios (SPU) tras la coincidencia de sesión, o distribuye el tráfico a una SPU para el procesamiento de seguridad si el paquete no coincide con ninguna sesión existente. La arquitectura de puntos centrales se implementa en el modo centrado en CP, en el que toda la distribución de sesiones y la coincidencia de sesiones se realiza por CP o en modo combinado.
En algunos firewalls de la serie SRX, no se puede dedicar una SPU completa para la funcionalidad de punto central, pero un cierto porcentaje de la SPU se asigna automáticamente para la funcionalidad de punto central y el resto se asigna para el procesamiento de flujo normal. Cuando una SPU realiza la función de punto central, así como el procesamiento de flujo normal, se dice que está en combinación o mixed, modo.
El porcentaje de SPU dedicada a la funcionalidad de punto central depende del número de SPU del dispositivo. Según el número de SPU, hay tres modos disponibles en los firewalls de la serie SRX: punto central pequeño, punto central mediano y punto central grande.
En el modo de punto central pequeño, un pequeño porcentaje de una SPU se dedica a la funcionalidad de punto central y el resto se dedica al procesamiento de flujo normal. En el modo de punto central medio, una SPU se comparte casi por igual para la funcionalidad del punto central y el procesamiento de flujo normal. En el modo de punto central grande, una SPU completa se dedica a la funcionalidad de punto central. En el modo mixto, el punto central y la SPU comparten la misma infraestructura de subproceso de equilibrio de carga (LBT) y subproceso de pedido de paquetes (POT).
En este tema se incluyen las siguientes secciones:
- Distribución de carga en modo mixto
- Compartir la potencia de procesamiento y la memoria en modo mixto
Distribución de carga en modo mixto
El punto central mantiene una tabla de mapeo de SPU (para la distribución de carga) que enumera las SPU activas con los ID de SPU lógicos asignados a la asignación física de direcciones del Protocolo trivial de red (TNP). En el modo mixto, la SPU que aloja el punto central se incluye en la tabla. El algoritmo de distribución de carga se ajusta en función de la capacidad de la sesión y la potencia de procesamiento para evitar la sobrecarga de las sesiones.
Compartir la potencia de procesamiento y la memoria en modo mixto
La potencia de procesamiento de la CPU en una SPU de modo mixto se comparte en función de la plataforma y el número de SPU del sistema. Del mismo modo, la memoria de la CPU también se comparte entre el punto central y la SPU.
Una SPU tiene varios núcleos (CPU) para el procesamiento de redes. En el modo mixto de SPU "pequeña", la funcionalidad de la CPU toma una pequeña porción de los núcleos, mientras que el modo mixto de SPU "mediana" requiere una porción mayor de núcleos. La potencia de procesamiento para las funcionalidades de punto central y el procesamiento de flujo se comparte, en función del número de tarjetas de procesamiento de servicios (SPC), como se muestra en la Tabla 2. La compatibilidad de plataforma depende de la versión de Junos OS en su instalación.
Firewall serie SRX |
Modo de punto central con 1 SPC o SPC2 |
Modo de punto central con 2 o más SPC o SPC2 |
Modo de punto central con 1 o 2 SPC3 |
Modo de punto central con más de 2 SPC3 |
---|---|---|---|---|
SRX1400 |
Pequeño |
Medio |
NA |
NA |
SRX3400 |
Pequeño |
Medio |
NA |
NA |
SRX3600 |
Pequeño |
Medio |
NA |
NA |
SRX3400 (licencia ampliada de rendimiento y capacidad) |
Pequeño |
Grande |
NA |
NA |
SRX3600 (licencia ampliada de rendimiento y capacidad) |
Pequeño |
Grande |
NA |
NA |
SRX5600 |
Grande |
Grande |
Medio |
Grande |
SRX5800 |
Grande |
Grande |
Medio |
Grande |
SRX5400 |
Grande |
Grande |
Medio |
Grande |
El procesamiento en modo mixto solo existe con SPCI en dispositivos de línea SRX1400, SRX3400, SRX3600 y SRX5000.
Descripción de las mejoras en la arquitectura de punto central para la línea SRX5000
Anteriormente, para la línea SRX5000 de puertas de enlace de servicios, el punto central era un cuello de botella en el rendimiento y el escalado de los dispositivos. Cuando se integraron más tarjetas de procesamiento de servicios (SPC) en el sistema, la potencia de procesamiento general aumentó linealmente, pero las conexiones del sistema por segundo (cps) permanecieron constantes y no pudieron mejorarse debido al punto centralizado único en el sistema. Esto afectó gravemente a la utilización general del sistema, tanto en capacidad como en cps.
A partir de Junos OS versión 15.1X49-D30 y Junos OS versión 17.3R1, en dispositivos de línea SRX5000, la arquitectura de punto central se mejora para manejar conexiones por segundo (cps) más altas. La nueva arquitectura de punto central evita que los paquetes de datos pasen por el punto central descargando funcionalistas de gestión de sesiones a la unidad de procesamiento de servicios (SPU). Por lo tanto, los paquetes de datos se reenvían directamente desde la unidad de procesamiento de red a la SPU en lugar de pasar por el punto central.
La arquitectura del punto central se divide en dos módulos, el punto central de aplicación y el punto central distribuido. El punto central de la aplicación es responsable de la administración de recursos globales y del equilibrio de carga, mientras que el punto central distribuido es responsable de la identificación del tráfico (coincidencia global de sesiones). La funcionalidad de punto central de la aplicación se ejecuta en la SPU de punto central dedicada, mientras que la funcionalidad de punto central distribuido se distribuye al resto de las SPU. Ahora las sesiones de punto central ya no están en la SPU de punto central dedicada, sino con un punto central distribuido en otras SPU de flujo.
El punto central de SRX5000 línea se refiere al punto central de aplicación, o al punto central distribuido o a ambos, con respecto a la gestión global de recursos y el equilibrio de carga, se refiere al punto central de aplicación, mientras que con respecto a la identificación del tráfico y la gestión de sesiones, se refiere al punto central distribuido (a veces también a la SPU).
El registro SNMP y la captura SNMP fueron generados por el punto central con límite de velocidad. Ahora, el registro SNMP y la captura SNMP son generados por la SPU o punto central. Como hay más de una SPU, el número de capturas y registros SNMP generados es mayor. Para comprobar el número de conexiones por segundo (CPS) en el dispositivo, ejecute SNMP MIB walk nxJsNodeSessionCreationPerSecond
el comando. El mecanismo de sondeo SNMP calcula el valor de CPS en función del número medio de CPS en los últimos 96 segundos. Por lo tanto, si el CPS no es constante, el número de CPS reportado es inexacto.
Descripción de las mejoras de rendimiento del límite de sesión de punto central
A partir de Junos OS 15.1X49-D70 y Junos OS versión 17.3R1, hay disponible una nueva opción de etiqueta de conexión de sesión (conn-tag) que le permite agregar un filtro de flujo para distinguir mejor el protocolo de túnel GRPS, las sesiones de flujo de plano de usuario (GTP-U) y las sesiones de flujo del Protocolo de transmisión de control de flujo (SCTP).
La tupla de conexión de sesión de flujo consta de una etiqueta de conexión de 32 bits que se utiliza para identificar de forma exclusiva las sesiones GTP-U y las sesiones SCTP que no se distinguen únicamente por la tupla de seis partes. Puede configurar el sistema para que incluya la tupla de etiqueta de conexión de sesión para identificar las sesiones GTP-U y las sesiones SCTP agregando la etiqueta de conexión de sesión a las seis tuplas estándar que identifican una sesión. El sistema determina el DCP para GTP-U/SCTP mediante el hash de la etiqueta de conexión de sesión.
La arquitectura de punto central distribuye el tráfico GTP-U gestionado por un nodo de soporte GPRS de puerta de enlace (GGSN) y un par SGSN en todas las SPU mediante la conmutación a una distribución hash basada en el identificador de punto de conexión de túnel (TEID). Para controlar los problemas de equilibrio de carga, la distribución hash basada en etiquetas se usa para garantizar una distribución uniforme del tráfico SCTP de diferentes asociaciones entre todas las SPU. (La etiqueta de conexión para GTP-U es el TEID y para SCTP es la vTag).
Descripción de la compatibilidad de flujo de la arquitectura de punto central para GTP y SCTP
A partir de Junos OS versión 15.1X49-D40 y Junos OS versión 17.3R1, la arquitectura de punto central ofrece soporte mejorado para el protocolo de túnel GPRS, control (GTP-C), protocolo de túnel GPRS, plano de usuario (GTP-U) y Protocolo de transmisión de control de flujo (SCTP).
La arquitectura de punto central, que es compatible con los dispositivos SRX5400, SRX5600 y SRX5800, se ha mejorado para abordar la limitación de la velocidad de mensajes GTP-C para proteger el nodo de soporte GPRS de puerta de enlace (GGSN) de la inundación de mensajes GTP-C, para evitar problemas de caída de paquetes GTP-C durante la entrega de SGSN y para distribuir el tráfico GTP-U manejado por un par GGSN y SGSN en todas las SPU cambiando a una distribución hash basada en identificador de punto final de túnel (TEID). Utilice el comando para activar o desactivar la enable-gtpu-distribution
distribución de sesiones de GTP-U. De forma predeterminada, el enable-gtpu-distribution
comando está deshabilitado.
Se introduce la etiqueta de conexión a la tupla de sesión de flujo para resolver el problema de equilibrio de carga de GTP/SCTP. Todas las sesiones, incluidas las sesiones de CP distribuida (DCP) y SPU, se modifican para acomodar la etiqueta de conexión. La creación de la sesión tiene la siguiente tupla: src-ip, dst-ip, src-port, dst-port, protocolo, session-token y etiqueta de conexión.
El ALG de GTP requiere que las sesiones de GTP-C se fijen mediante hashing de direcciones IP GGSN. El ALG de GTP deniega la creación de sesión de GTP-C si el primer paquete tiene una dirección incierta, lo que provocará la caída del paquete. Para evitar que los paquetes GTP-C se caigan, se crea una nueva sesión de flujo y se permite que el tráfico GTP-C pase incluso si no se determina la dirección GGSN o SGSN. Más tarde, la IP de GGSN se determina utilizando la SPU correcta para crear la sesión de flujo y eliminar la sesión anterior. Los paquetes intermitentes que lleguen a la sesión anterior se reenviarán a la nueva SPU y se procesarán en la nueva sesión.
Para manejar problemas de equilibrio de carga, la distribución hash basada en etiquetas se usa para garantizar una distribución uniforme del tráfico GTP-U/SCTP entre todas las SPU. Se introduce una etiqueta de conexión de 32 bits que identifica de forma exclusiva las sesiones GTP-U y SCTP. La etiqueta de conexión para GTP-U es el TEID y para SCTP es la vTag. La etiqueta de conexión predeterminada es 0. La etiqueta de conexión sigue siendo 0 si las sesiones no la utilizan. Flow determinará la etiqueta de conexión para las sesiones GTP-U/SCTP y las distribuirá mediante hashing de etiqueta de conexión.
Una asociación SCTP es una conexión entre dos extremos SCTP. Cada extremo de SCTP identifica la asociación con una etiqueta. Durante la configuración de la asociación (protocolos de enlace de 4 vías), dos extremos de SCTP intercambian sus propias etiquetas para la recepción de paquetes. Durante el protocolo de enlace de 4 vías, el receptor de INIT/INIT-ACK registra el valor de itag y lo coloca en el campo vtag de cada paquete SCTP que transmite dentro de esta asociación. A continuación, el par utiliza la etiqueta vtag para validar el remitente de este paquete.
Las sesiones de flujo creadas después de CP-Lite son las siguientes:
SPU se selecciona por hash(tag), el tráfico de cliente a servidor se maneja en hash (tagB) SPU y luego se reenvía a hash (tagA) SPU. El tráfico de servidor a cliente se maneja directamente en la SPU hash (tagA).
Después de recibir el paquete INIT, en la SPU hash (tagA):
DCP-sesión A1: client=> server, SCTP, Conn ID: 0x0;
Sesión A1: client=> server, SCTP, Conn ID: 0x0;
En hash (tagB) SPU: sin sesión.
Después de recibir el paquete INIT-ACK, en la SPU hash (tagA):
DCP-sesión A1: client=> server, SCTP, Conn ID: 0x0;
DCP-sesión A2: server => client, SCTP, Conn ID: tagA;
Sesión A1: client=> server, SCTP, Conn ID: 0x0;
Sesión A2: server => client, SCTP, Conn ID: tagA;
En hash (tagB) SPU: sin sesión.
Después de recibir el paquete COOKIE-ECHO, en la SPU hash (tagA):
DCP-sesión A1: client=> server, SCTP, Conn ID: 0x0;
DCP-sesión A2: server => client, SCTP, Conn ID: tagA;
Sesión A1: client=> server, SCTP, Conn ID: 0x0;
Sesión A2: server => client, SCTP, Conn ID: tagA;
Sesión A3: client=> server, SCTP, Conn ID: tagB;
En hash (tagB) SPU:
DCP-session: client => server, SCTP, Conn ID: tag B
Después de recibir el paquete COOKIE-ACK, las sesiones de flujo no tienen cambios.
Después de que el apretón de manos tenga éxito, HEARBEAT se enviará por todas las rutas.
Descripción de la opción de filtro de conexión de sesión de flujo
A partir de Junos OS 15.1X49-D70 y Junos OS versión 17.3R1, hay disponible una nueva opción de etiqueta de conexión de sesión (conn-tag) que le permite agregar un filtro de flujo para distinguir mejor el protocolo de túnel GRPS, las sesiones de flujo de plano de usuario (GTP-U) y las sesiones de flujo del Protocolo de transmisión de control de flujo (SCTP).
La tupla de conexión de sesión de flujo consta de una etiqueta de conexión de 32 bits que se utiliza para identificar de forma exclusiva las sesiones GTP-U y las sesiones SCTP que no se distinguen únicamente por la tupla de seis partes. Puede configurar el sistema para que incluya la tupla de etiqueta de conexión de sesión para identificar las sesiones GTP-U y las sesiones SCTP agregando la etiqueta de conexión de sesión a las seis tuplas estándar que identifican una sesión. El sistema determina el DCP para GTP-U/SCTP mediante el hash de la etiqueta de conexión de sesión.
La arquitectura de punto central distribuye el tráfico GTP-U gestionado por un nodo de soporte GPRS de puerta de enlace (GGSN) y un par SGSN en todas las SPU mediante la conmutación a una distribución hash basada en el identificador de punto de conexión de túnel (TEID). Para controlar los problemas de equilibrio de carga, la distribución hash basada en etiquetas se usa para garantizar una distribución uniforme del tráfico SCTP de diferentes asociaciones entre todas las SPU. (La etiqueta de conexión para GTP-U es el TEID y para SCTP es la vTag).
Tabla de historial de cambios
La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.