Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Descripción general de Express Path

Express Path (anteriormente conocido como descarga de servicios) es un mecanismo para procesar paquetes de ruta rápida en el procesador de red en lugar de en la unidad de procesamiento de servicios (SPU). Express Path aumenta el rendimiento descargando cierto tráfico de SPU a los procesadores de red.

Cuando se crea una sesión de Express Path en el procesador de red, los paquetes subsiguientes del flujo coinciden con la sesión en los procesadores de red. Luego, el procesador de red procesa y reenvía el paquete. No puede configurar el enrutamiento asimétrico entre nodos porque Express Path no admite reenvío de alta disponibilidad para sesiones entre nodos.

El procesador de red también administra procesamiento adicional, como la verificación de secuencia TCP, el procesamiento de tiempo de vida (TTL), la traducción de direcciones de red (TDR) y la traducción de encabezados de capa 2. La tabla de flujo en el IOC3 es administrada por la SPU del módulo de flujo. La SPU inserta y elimina las entradas de flujo en la tabla de flujo en función de los resultados de coincidencia de políticas. Express Path admite IPv6.

La figura muestra el flujo de paquetes en Express Path.

Figura 1: Flujo de paquetes y Express Path Packet flow and Express Path

Beneficios de Express Path

  • Mejora significativamente el rendimiento de flujo único y a nivel de chasis.

  • Reduce el uso y la latencia de SPU.

Limitaciones de Express Path

Express Path no admite:

  • Funciones

    • Modo transparente

    • Sesión de multidifusión con más de un fan-out

    • Paquetes fragmentados

    • IPsec VPN

    • Diferentes valores de tamaño de UMT

    • flujo J

    • Etiquetado flexible de VLAN

  • Tráfico de datos de puerta de enlace de capa de aplicación (ALG):

    • DNS

    • IKE y ESP

    • PPTP

    • SQL-NET

  • IPv6

    • NAT

    • Modo transparente

    • Diferentes valores de tamaño de UMT

    • Clase de servicio (CoS) en interfaces de salida

La ruta express y la descarga de paquetes no funcionan cuando se usan filtros de firewall para dirigir el tráfico a un enrutador virtual,

Si activa Express Path en un dispositivo que funciona en modo de clúster de chasis:

  • No se pueden configurar tarjetas de E/S (IOC) asimétricas.

  • Si un vínculo secundario de la interfaz reth habilitada para LACP deja de funcionar, todo el tráfico de este vínculo se distribuye a otros vínculos secundarios activos de la interfaz. Si el vínculo secundario aparece y se vuelve a unir a la interfaz reth, el tráfico o las sesiones existentes no se redistribuyen sobre este vínculo secundario activo recién unido. Las nuevas sesiones atraviesan este enlace.

  • Si se agrega un nuevo vínculo secundario a la interfaz de reth habilitada para LACP, el tráfico o las sesiones existentes no se redistribuyen a través de este nuevo vínculo secundario. Las nuevas sesiones atraviesan este enlace.

Ruta express automatizada

La ruta Express automatizada está habilitada de forma predeterminada a partir de la versión 21.2R1 de Junos OS. Cuando actualiza a la versión 21.2R1 o posterior de Junos, obtiene un rendimiento de firewall gratuito e incomparable de última generación, sin ninguna configuración adicional ni inversión en hardware. De forma predeterminada, está habilitada una ruta Express automatizada.

En la versión 21.2R1 de Junos OS, para deshabilitar Express Path por regla, use set security policies from-zone [untrust] to-zone ptrust] policy [services-offload-pol1] then permit no-services-offload el comando.

Para revertir al comportamiento anterior habilitando la descarga de servicios por regla, use el set security forwarding-options services-offload disable comando.

La ruta Express automatizada admite las siguientes funciones:

  • firewall de inspección de estado

  • Traducción de direcciones de red (TDR)

  • Políticas unificadas (con aplicaciones dinámicas y categorías de URL)

  • Firewall de usuario

  • Inteligencia de Seguridad

  • Detección y prevención de intrusiones (DPI)

  • Filtrado web optimizado

  • Puertas de enlace de la capa de aplicación (ALG)

  • Pantallas (anti-DDoS)

¿Cómo procesa Express Path el tráfico?

Cuando el primer paquete llega a una interfaz, el procesador de red lo reenvía al punto central (CP). El punto central, a su vez, reenvía el paquete a la SPU. Luego, la SPU crea una sesión en el procesador de red y verifica si el tráfico califica para la sesión de Express Path o para una sesión normal.

Si el tráfico cumple los requisitos para el procesamiento de Express Path, se crea una sesión de Express Path para el tráfico en la SPU. La sesión Express Path procesa los paquetes de ruta rápida en el procesador de red y los paquetes salen del procesador de red.

Si el tráfico no califica para el procesamiento de Express Path, la SPU crea una sesión normal. La sesión normal reenvía paquetes del procesador de red a la SPU para un procesamiento de ruta rápida.

Procesador de red Express Path

En el firewall SRX con procesador de red, cuando todos los complementos, incluidos los complementos de paquetes y los complementos de transmisión, ignoran una sesión, descargamos la sesión y, luego, instalamos la sesión en el procesador de red. Cuando el complemento de paquetes ignora la sesión, marcamos los indicadores de ignorar. Cuando el complemento de transmisión ignora la sesión, marcamos los indicadores de ignorar y cortocircuitamos TCP-T y TCP-I. Luego instalamos la sesión en el procesador de red para descargar la sesión.

El procesador de red de la tarjeta de E/S (IOC) procesa los paquetes de ruta rápida sin pasar por la estructura del conmutador o la SPU. Esto reduce la latencia de procesamiento de paquetes.

Cada entrada de flujo tiene un contador por ala en el procesador de red Express Path. El contador captura la cantidad de bytes que el procesador de red envía por el ala.

El comportamiento del procesador de red en diferentes escenarios es el siguiente:

  • Flujo de la primera ruta: el flujo de la primera ruta es el mismo que el proceso de flujo del procesador de red actual. Cuando el primer paquete llega al procesador de red, este analiza el paquete TCP o UDP para extraer una clave de 5 tuplas y, luego, realiza la búsqueda de sesión en la tabla de flujo. Luego, el procesador de red reenvía el primer paquete al punto central. El punto central no puede encontrar una coincidencia en este momento porque este es el primer paquete. El punto central y la SPU crean una sesión y la comparan con las políticas configuradas por el usuario para determinar si la sesión es una sesión normal o una sesión de descarga de servicios.

    Si especifica la sesión que se va a administrar con Express Path, la SPU crea una entrada de sesión en la tabla de flujo del procesador de red. Esto habilita el indicador Express Path en la tabla de entrada de sesión; de lo contrario, la SPU crea una entrada de sesión normal en el procesador de red sin el indicador Express Path.

  • Flujo de ruta rápida: después de crear la entrada de sesión en el procesador de red, los paquetes posteriores de la sesión coincidirán con la tabla de entrada de sesión.

    1. Si no se establece el indicador Express Path, el procesador de red reenvía el paquete a las SPU especificadas en la tabla de entrada de sesión. El paquete pasa por el proceso de flujo normal.

    2. Si el procesador de red encuentra el indicador de descarga de servicios en la tabla de entrada de sesión, procesará el paquete localmente y lo enviará directamente.

    3. La función de avance rápido en el procesador de red admite sesiones de multidifusión de un fanout. El puerto de salida de la sesión también debe estar asociado al mismo procesador de red que el puerto de entrada. Todos los demás casos de multidifusión deben administrarse como sesiones normales.

  • Proceso TDR: la SPU es responsable de la asignación entre la dirección IP o el puerto internos y la dirección IP o el puerto externos. Cuando llega el primer paquete de la sesión, la SPU asigna la dirección IP o la asignación de puerto y almacena la información en la entrada de sesión del procesador de red. Si se establece el indicador TDR, el procesador de red modifica el paquete.

  • Antigüedad de la sesión: para mejorar la transferencia de datos de las sesiones de descarga de servicios, se envía una copia de un paquete a la SPU en cada período de tiempo predefinido para reducir la demanda de procesamiento de paquetes en la SPU. Para limitar el número de copias de paquetes enviadas a la SPU, se implementa una marca de hora para cada sesión de descarga de servicio. El procesador de red calcula el tiempo transcurrido desde la última coincidencia de sesión. Si el tiempo transcurrido es mayor que el período de tiempo predefinido, el procesador de red envía una copia del paquete a la SPU y actualiza la marca de tiempo de la sesión.

  • Finalización y eliminación de la sesión: si el procesador de red recibe un paquete IP con un indicador de datos terminados (FIN) o RST (restablecimiento de conexión), reenvía el paquete a la SPU. A continuación, la SPU elimina la caché de sesión en el procesador de red. El procesador de red sigue recibiendo y reenviando cualquier paquete a la SPU durante la transición de estado.

Contador de estadísticas de alas

En Express Path, el procesador de red proporciona la opción para cada entrada de flujo de mantener un contador de bytes por ala. El contador captura la cantidad de bytes que el procesador de red envía por el ala.

Cuando se habilita el contador, el procesador de red busca en su entrada de flujo (un ala de sesión) para cada paquete de entrada. Si el paquete pertenece a una entrada de flujo establecida, el procesador de red aumenta el contador de bytes de la entrada de flujo en el paquete. El procesador de red copia periódicamente un paquete (copy-packet) de cada entrada de flujo a su SPU asociada, lo que permite a la SPU mantener la sesión. El procesador de red envía valores de contador de bytes de flujo en el encabezado de los paquetes de copia. La SPU acumula y mantiene contadores de estadísticas por ala.

No puede cambiar la configuración de las estadísticas durante el ciclo de vida de una sesión en vivo. Deshabilitar o habilitar la configuración de estadísticas por ala mientras una sesión está activa en el procesador de red invalida las estadísticas de sesión en la sesión actual. Las estadísticas de la nueva sesión solo pueden ser válidas después de que se hayan confirmado los cambios de configuración. No se pueden borrar los contadores por ala del procesador de red.

Estadísticas de sesiones por ala

El procesador de red tiene una RAM estática (SRAM) más grande para acomodar los recursos de sesión, por lo que aloja más sesiones por PIC. #concept_gkc_1ry_4sb__per-wing-sessions muestra el número total de alas de sesión, incluyendo Express Path y no Express Path.

Use el Explorador de características para confirmar la compatibilidad de plataforma y versión para características específicas. Es posible que se admitan plataformas adicionales.

Consulte la sección #concept_gkc_1ry_4sb__section_azn_4yk_khc para obtener más información.

Información adicional de la plataforma

Use el Explorador de características para confirmar la compatibilidad de plataforma y versión para características específicas. Es posible que se admitan plataformas adicionales.
Tabla 1: Número total de sesiones por ala en el modo de configuración de ruta rápida del procesador de red

Número total de alas

Número de alas UDP de Express Path

Número de alas TCP de Express Path
Tarjetas y firewall de la serie SRX Sesiones en modo de ruta no rápida Sin estadísticas Con estadísticas Sin estadísticas Con estadísticas

dispositivo de la línea SRX5000 SRX5K-MPC (IOC2)

1,8 millones

1,8 millones

1,8 millones

1,8 millones

1,8 millones

dispositivo de la línea SRX5000 SRX5K-MPC3 (IOC3)

20 millones

20 millones

20 millones

20 millones

20 millones

dispositivo de la línea SRX5000 SRX5K IOC4

10 millones

10 millones

10 millones

10 millones

10 millones

SRX4600

20 millones

20 millones

20 millones

20 millones

20 millones

Procesamiento de paquetes de Express Path en tarjetas IOC

Express Path en las tarjetas IOC se basa en el procesamiento de paquetes de ruta rápida a través del conjunto de chips del procesador de red en lugar de en la SPU para descargar algunas funciones básicas del firewall a la tarjeta IOC.

Si habilitó la característica Express Path, la tarjeta IOC proporciona una latencia más baja y también admite una mayor transferencia de datos mediante la eliminación de la sobrecarga en la SPU. La tarjeta IOC admite tanto el flujo de tráfico dentro de la tarjeta como el flujo de tráfico entre tarjetas. Para lograr los mejores resultados de latencia, tanto el puerto de entrada como el puerto de salida de un flujo de tráfico deben estar en el mismo chip XM de la tarjeta IOC.

La tarjeta IOC admite FPC de 240 Gbps y utiliza una línea de conjuntos de chips de procesamiento de red (NP) de tercera generación. Este último chip de búsqueda y cola está optimizado para una mayor capacidad. La tarjeta IOC es compatible con SCB2 y SCB3, no se admite el SCB anterior.

No puede encender las cuatro PIC de la tarjeta IOC simultáneamente debido a la restricción térmica y de alimentación. Encienda un máximo de dos PIC, ya sea en orden par o impar. Puede usar el set chassis fpc <slot> pic <pic> power off comando para elegir la PIC que desea encender.

Los mensajes de registro del sistema son:

  • XMCHIP_CMERROR_DDRIF_INT_REG_CHKSUM_ERR_MINOR

  • XMCHIP_CMERROR_DDRIF_INT_REG_CHKSUM_ERR_MAJOR

Los mensajes de error indican que el chip XM en un concentrador de PIC flexible (FPC) detectó un error de suma de comprobación que está provocando caídas de paquetes. Los siguientes valores de umbral de error clasifican el error como un error grave o menor:

  • Error menor: > 5 errores por segundo

  • Error importante: > 255 errores por segundo (recuento máximo)

En el plano de datos, la tarjeta IOC analiza los paquetes y los busca en la tabla de flujo. Si la tarjeta IOC encuentra una coincidencia en la tabla de flujo, reenvía paquetes según las instrucciones dadas en la tabla de flujo. La tarjeta IOC puede realizar TDR, encapsular el encabezado de capa 2 (L2) y reenviar los paquetes fuera de la interfaz de salida. La interfaz de salida puede estar ubicada en la misma tarjeta IOC (carcasa entre tarjetas) o en otra tarjeta IOC (carcasa entre tarjetas).

Cuando la tarjeta IOC recibe el primer paquete, no coincide con ninguna sesión de avance rápido existente. El reenvío basado en hash predeterminado se realiza para enviar el primer paquete a la SPU. Luego, la SPU crea la sesión de seguridad. Si la SPU encuentra que el tráfico está calificado para el reenvío rápido y la tarjeta IOC relacionada admite el reenvío rápido, instalará la sesión de avance rápido en la tarjeta IOC. Si no se puede aplicar el reenvío rápido al tráfico, no se envía ningún mensaje de sesión y la tarjeta IOC utiliza el reenvío basado en hash predeterminado para reenviar los paquetes a la SPU.

En el procesamiento de tarjetas IOC de avance rápido, si se coincide con una sesión de avance rápido, el paquete se puede reenviar directamente de acuerdo con el resultado del flujo de la sesión. La tarjeta IOC realiza todas las acciones necesarias, por ejemplo, reenviar el paquete, comprobar TTL y disminuir la traducción de TDR y encapsular el encabezado de capa 2.

Además, el chip XL envía una copia del paquete de reenvío a la SPU en un momento predefinido. Esta copia se utiliza para actualizar la sesión de SPU, detectar el estado actual del chip XL, etc. La SPU consume este paquete y no lo reenvía, ya que el paquete real se procesó y transmitió.

Figura 2: Ruta Express intra-PFE de IOC3 IOC3 Intra-PFE Express Path
Figura 3: Ruta expresa entre PFE de IOC3
Figura 4: Ruta expresa entre IOC3