Descripción general de Express Path
Express Path (anteriormente conocido como descarga de servicios) es un mecanismo para procesar paquetes de ruta rápida en el procesador de red en lugar de en la unidad de procesamiento de servicios (SPU). Express Path aumenta el rendimiento al descargar cierto tráfico de SPU a procesadores de red.
Cuando se crea una sesión de Express Path en el procesador de red, los paquetes posteriores del flujo coinciden con la sesión en los procesadores de red. A continuación, el procesador de red procesa y reenvía el paquete.
El procesador de red también administra procesos adicionales, como la comprobación de la secuencia TCP, el procesamiento del tiempo de vida (TTL), la traducción de direcciones de red (NAT) y la traducción de encabezados de capa 2. La tabla de flujo en el IOC3 es administrada por la SPU del módulo de flujo. La SPU inserta y elimina entradas de flujo en la tabla de flujo en función de los resultados de la coincidencia de políticas. Express Path admite IPv6.
La figura muestra el flujo de paquetes en Express Path.
exprés
Beneficios de Express Path
-
Mejora significativamente el rendimiento de flujo único y a nivel de chasis.
-
Reduce la utilización y la latencia de SPU.
Limitaciones de ruta express
Express Path no admite:
-
Funciones
-
Modo transparente
-
Sesión de multidifusión con más de un fan-out
-
Paquetes fragmentados
-
IPsec VPN
-
Diferentes valores de tamaño de MTU
-
J-Flow
-
-
Tráfico de datos de Application Layer Gateway (ALG):
-
DNS
-
IKE y ESP
-
PPTP
-
SQL-NET
-
-
IPv6
-
NAT
-
Modo transparente
-
Diferentes valores de tamaño de MTU
-
Clase de servicio (CoS) en interfaces de salida
-
La ruta exprés y la descarga de paquetes no funcionan cuando se utilizan filtros de firewall para dirigir el tráfico a un enrutador virtual.
Si habilita Express Path en un dispositivo que funciona en modo de clúster de chasis:
-
No puede configurar tarjetas de E/S asimétricas (IOC).
-
Si un vínculo secundario de la interfaz reth habilitada para LACP deja de funcionar, todo el tráfico de este vínculo se distribuye a otros vínculos secundarios activos de la interfaz. Si el vínculo secundario aparece y se vuelve a unir a la interfaz reth, el tráfico o las sesiones existentes no se redistribuyen a través de este vínculo secundario activo recién reunido. Las nuevas sesiones atraviesan este enlace.
-
Si se agrega un nuevo vínculo secundario a la interfaz reth habilitada para LACP, el tráfico o las sesiones existentes no se redistribuyen a través de este nuevo vínculo secundario. Las nuevas sesiones atraviesan este enlace.
Ruta exprés automatizada
En dispositivos SRX4600, SRX5400, SRX5600 y SRX5800, Automated Express Path está habilitado de forma predeterminada a partir de Junos OS versión 21.2R1. Cuando actualiza a Junos versión 21.2R1 o posterior, desbloquea un rendimiento de firewall de última generación gratuito e incomparable, sin ninguna configuración adicional ni inversión en hardware. De forma predeterminada, una ruta exprés automatizada está habilitada.
En Junos OS versión 21.2R1, para deshabilitar la ruta rápida por regla, utilice set security policies from-zone [untrust] to-zone ptrust] policy [services-offload-pol1] then permit no-services-offload comando.
Para volver al comportamiento anterior habilitando services-offload por regla, use el set security forwarding-options services-offload disable comando.
Automated Express Path admite las siguientes funciones:
-
Firewall de estado
-
Traducción de direcciones de red (NAT)
-
Políticas unificadas (con aplicaciones dinámicas y categorías de URL)
-
Firewall de usuario
-
Inteligencia de seguridad
-
Detección y prevención de intrusiones (IDP)
-
Filtrado web mejorado
-
Puertas de enlace de la capa de aplicación (ALG)
-
Pantallas (Anti-DDoS)
¿Cómo procesa Express Path el tráfico?
Cuando el primer paquete llega a una interfaz, el procesador de red lo reenvía al punto central (CP). El punto central, a su vez, reenvía el paquete a la SPU. A continuación, la SPU crea una sesión en el procesador de red y comprueba si el tráfico cumple los requisitos para la sesión de Express Path o para una sesión normal.
Si el tráfico cumple los requisitos para el procesamiento de Express Path, se crea una sesión de Express Path para el tráfico en la SPU. La sesión Express Path procesa los paquetes de ruta rápida en el procesador de red y los paquetes salen del procesador de red.
Si el tráfico no califica para el procesamiento de Express Path, la SPU crea una sesión normal. La sesión normal reenvía paquetes desde el procesador de red a la SPU para un procesamiento de ruta rápida,
Plataformas compatibles con Express Path
Los dispositivos SRX4600, SRX5400, SRX5600 y SRX5800 admiten Express Path.
La Tabla 1 proporciona detalles sobre la compatibilidad con Express Path en diferentes tarjetas de la serie SRX.
| Firewall serie SRX |
Nombre de la tarjeta y número de modelo |
Primera versión compatible |
|---|---|---|
| SRX5600, SRX5800 |
SRX5K-40GE-SFP |
Junos OS versión 11.4 |
| SRX5600, SRX5800 |
SRX5K-4XGE-XFP |
Junos OS versión 11.4 |
| SRX5600, SRX5800 |
SRX5K-FPC-IOC que contiene una de las siguientes tarjetas:
|
Junos OS versión 11.4 |
| SRX5400, SRX5600 SRX5800 |
SRX5K-MPC que contiene una de las siguientes MIC:
|
Junos OS versión 12.3X48-D10 |
| SRX5400, SRX5600 SRX5800 |
SRX5K-MPC3 (IOC3) que contiene uno de los siguientes MPC:
|
Junos OS versión 15.1X49-D10 |
| SRX5400, SRX5600 SRX5800 |
SRX5K-IOC4-10G (IOC4) SRX5K-IOC4-MRAT |
Junos OS versión 19.3R1 |
| SRX4600 |
No aplica | Junos OS versión 19.2R1 |
Cómo habilitar Express Path
Express Path está automatizado desde Junos OS versión 21.2R1.
Para configurar el modo Express Path:
-
• En un dispositivo de línea SRX5000 con tarjetas IOC o IOC flexibles, utilice el
set chassis fpc fpc-number pic pic-number services-offloadcomando. -
En un dispositivo de línea SRX5000 con concentrador de puerto modular (MPC), habilite la caché NP en la IOC mediante el
set chassis fpc fpc-number np-cachecomando. -
En SRX4600 dispositivo, la opción np-cache está habilitada de forma predeterminada. Por lo tanto, el
set chassis fpc fpc- number np-cachecomando no es aplicable.
Si no utiliza la ruta rápida, no la configure en ninguna política de seguridad.
Procesador de red Express Path
En los dispositivos SRX4600, SRX5400, SRX5600 y SRX5800 con procesador de red, cuando todos los complementos, incluidos los complementos de paquetes y los complementos de flujo, ignoran una sesión, descargamos la sesión y luego instalamos la sesión en el procesador de red. Cuando el complemento de paquetes ignora la sesión, marcamos las banderas de ignorar. Cuando el plugin de streaming ignora la sesión, marcamos los indicadores de ignorar y cortocircuitamos el TCP-T y TCP-I. Luego instalamos la sesión en el procesador de red para descargar la sesión.
El procesador de red de la tarjeta de E/S (IOC) procesa los paquetes de ruta rápida sin pasar por la estructura del conmutador ni por la SPU. Esto reduce la latencia de procesamiento de paquetes.
Cada entrada de flujo tiene un contador por ala en el procesador de red Express Path. El contador captura el número de bytes que el procesador de red envía a través del ala.
El comportamiento del procesador de red en diferentes escenarios es el siguiente:
-
Flujo de primera ruta: el flujo de la primera ruta es el mismo que el proceso actual de flujo del procesador de red. Cuando el primer paquete llega al procesador de red, el procesador de red analiza el paquete TCP o UDP para extraer una clave de 5 tuplas y, a continuación, realiza la búsqueda de sesión en la tabla de flujos. A continuación, el procesador de red reenvía el primer paquete al punto central. El punto central no puede encontrar una coincidencia en este momento porque este es el primer paquete. El punto central y la SPU crean una sesión y la comparan con las políticas configuradas por el usuario para determinar si la sesión es una sesión normal o una sesión de descarga de servicios.
Si especifica la sesión que se administrará con Express Path, la SPU crea una entrada de sesión en la tabla de flujo del procesador de red. Esto habilita el indicador Express Path en la tabla de entrada de sesión; de lo contrario, la SPU crea una entrada de sesión normal en el procesador de red sin el indicador Express Path.
-
Flujo de ruta rápida: después de crear la entrada de sesión en el procesador de red, los paquetes siguientes de la sesión coincidirán con la tabla de entrada de sesión.
-
Si no se establece el indicador Express Path, el procesador de red reenvía el paquete a la SPU especificada en la tabla de entrada de sesión. El paquete pasa por el proceso de flujo normal.
-
Si el procesador de red encuentra el indicador services-offload en la tabla de entrada de sesión, procesará el paquete localmente y enviará el paquete directamente.
-
La función de avance rápido del procesador de red admite sesiones de multidifusión de un solo ventilador. El puerto de salida de la sesión también debe estar asociado al mismo procesador de red que el puerto de entrada. Todos los demás casos de multidifusión deben gestionarse como sesiones normales.
-
-
Proceso NAT: la SPU es responsable de la asignación entre la dirección IP interna o el puerto y la dirección o puerto IP externos. Cuando llega el primer paquete de la sesión, la SPU asigna la dirección IP o la asignación de puertos y almacena la información en la entrada de sesión del procesador de red. Si se establece el indicador NAT, el procesador de red modifica el paquete.
-
Antigüedad de la sesión: para mejorar el rendimiento del tráfico para las sesiones de descarga de servicios, se envía una copia de un paquete a la SPU en cada período de tiempo predefinido para reducir la demanda de procesamiento de paquetes en la SPU. Para limitar el número de copias de paquetes enviadas a la SPU, se implementa una marca de tiempo para cada sesión de descarga de servicio. El procesador de red calcula el tiempo transcurrido desde la última coincidencia de sesión. Si el tiempo transcurrido es mayor que el período de tiempo predefinido, el procesador de red envía una copia del paquete a la SPU y actualiza la marca de tiempo de la sesión.
-
Finalización y eliminación de la sesión: si el procesador de red recibe un paquete IP con un indicador FIN (datos terminados) o RST (restablecer conexión), reenvía el paquete a la SPU. A continuación, la SPU elimina la memoria caché de sesión del procesador de red. El procesador de red continúa recibiendo y reenviando cualquier paquete a la SPU durante la transición de estado.
Contador de estadísticas de ala
En Express Path, el procesador de red ofrece la opción para cada entrada de flujo para mantener un contador de bytes por ala. El contador captura el número de bytes que el procesador de red envía a través del ala.
Cuando se habilita el contador, el procesador de red busca en su entrada de flujo (un ala de sesión) cada paquete de entrada. Si el paquete pertenece a una entrada de flujo establecida, el procesador de red aumenta el contador de bytes de la entrada de flujo en el paquete. El procesador de red copia periódicamente un paquete (copy-packet) de cada entrada de flujo a su SPU asociada, lo que permite que la SPU mantenga la sesión. El procesador de red envía valores de contador de bytes de flujo en el encabezado de los paquetes de copia de paquetes. La SPU acumula y mantiene contadores de estadísticas por ala.
No puede cambiar la configuración de estadísticas durante el ciclo de vida de una sesión en vivo. Deshabilitar o habilitar la configuración de estadísticas por ala mientras una sesión está activa en el procesador de red invalida las estadísticas de sesión en la sesión actual. Las nuevas estadísticas de sesión solo pueden ser válidas después de confirmar los cambios de configuración. Los contadores por ala del procesador de red no se pueden borrar. En SRX5800 dispositivos con SRX5K-MPC (IOC2), SRX 5K-MPC3 (IOC3) y SRX5K-IOC4-10G (IOC4), la configuración del contador de estadísticas de ala está habilitada, de forma predeterminada, En dispositivos SRX4600, habilite el contador de estadísticas de ala.
Estadísticas de sesiones por ala
El procesador de red tiene una RAM estática (SRAM) más grande para acomodar los recursos de sesión, alojando así más sesiones por PIC. En la Tabla 2 se muestra el número total de alas de sesión, incluidas las rutas Express y las que no son Express. En dispositivos SRX4600, el rendimiento IMIX es de 400 Gbps.
| Número total de alas |
Número de alas UDP de Express Path |
Número de alas TCP de Express Path |
|||
|---|---|---|---|---|---|
| Tarjetas y firewall de la serie SRX | Sesiones en modo de ruta no express | Sin estadísticas | Con estadísticas | Sin estadísticas | Con estadísticas |
| Dispositivo de línea SRX5000 SRX5K-MPC (IOC2)
|
1,8 millones |
1,8 millones |
1,8 millones |
1,8 millones |
1,8 millones |
| Dispositivo de línea SRX5000 SRX5K-MPC3 (IOC3) |
20 millones |
20 millones |
20 millones |
20 millones |
20 millones |
| Dispositivo de línea SRX5000 SRX5K IOC4 |
10 millones |
10 millones |
10 millones |
10 millones |
10 millones |
| SRX4600 |
20 millones |
20 millones |
20 millones |
20 millones |
20 millones |
Procesamiento de paquetes Express Path en tarjetas IOC
Express Path en las tarjetas IOC se basa en el procesamiento de paquetes de ruta rápida a través del chipset del procesador de red en lugar de en la SPU para descargar algunas funciones básicas de firewall a la tarjeta IOC.
Si ha habilitado la función Express Path, la tarjeta IOC proporciona una latencia más baja y también admite un mayor rendimiento al eliminar la sobrecarga en la SPU. La tarjeta IOC admite tanto el flujo de tráfico dentro de la tarjeta como el flujo de tráfico entre tarjetas. Para lograr los mejores resultados de latencia, tanto el puerto de entrada como el puerto de salida de un flujo de tráfico deben estar en el mismo chip XM de la tarjeta IOC.
La tarjeta IOC admite FPC de 240 Gbps y utiliza una línea de chipsets de procesamiento de red (NP) de tercera generación. Este último chip de búsqueda y cola está optimizado para una mayor capacidad. La tarjeta IOC es compatible con SCB2 y SCB3, el SCB anterior no es compatible.
No puede encender las cuatro PIC de la tarjeta IOC simultáneamente debido a la restricción térmica y de alimentación. Encienda un máximo de dos PIC, ya sea en orden par o impar. Puede usar el set chassis fpc <slot> pic <pic> power off comando para elegir la PIC que desea encender.
Los mensajes de registro del sistema son:
-
XMCHIP_CMERROR_DDRIF_INT_REG_CHKSUM_ERR_MINOR
-
XMCHIP_CMERROR_DDRIF_INT_REG_CHKSUM_ERR_MAJOR
Los mensajes de error indican que el chip XM en un concentrador PIC flexible (FPC) ha detectado un error de suma de comprobación, que está causando caídas de paquetes. Los siguientes valores de umbral de error clasifican el error como un error mayor o un error menor:
-
Error menor: > 5 errores por segundo
-
Error mayor: > 255 errores por segundo (recuento máximo)
En el plano de datos, la tarjeta IOC analiza los paquetes y los busca en la tabla de flujo. Si la tarjeta IOC encuentra una coincidencia en la tabla de flujo, reenvía los paquetes según las instrucciones dadas en la tabla de flujo. La tarjeta IOC puede realizar NAT, encapsular el encabezado de capa 2 (L2) y reenviar los paquetes fuera de la interfaz de salida. La interfaz de salida puede ubicarse en la misma tarjeta IOC (carcasa intratarjeta) u otra tarjeta IOC (carcasa entre tarjetas).
Cuando la tarjeta IOC recibe el primer paquete, no coincide con ninguna sesión de avance rápido existente. El reenvío predeterminado basado en hash se realiza para enviar el primer paquete a la SPU. A continuación, la SPU crea la sesión de seguridad. Si la SPU encuentra que el tráfico está calificado para el avance rápido y la tarjeta IOC relacionada admite el reenvío rápido, instalará la sesión de avance rápido en la tarjeta IOC. Si no se puede aplicar el reenvío rápido al tráfico, no se envía ningún mensaje de sesión y la tarjeta IOC utiliza el reenvío predeterminado basado en hash para reenviar los paquetes a la SPU.
En el procesamiento de tarjetas IOC de avance rápido, si una sesión de avance rápido coincide, el paquete se puede reenviar directamente de acuerdo con el resultado del flujo de la sesión. La tarjeta IOC realiza todas las acciones necesarias, por ejemplo, el reenvío del paquete, la comprobación de TTL y la disminución de la traducción NAT, y la encapsulación del encabezado de capa 2.
Además, el chip XL envía una copia del paquete de reenvío a la SPU a una hora predefinida. Esta copia se utiliza para actualizar la sesión de SPU, detectar el estado actual del chip XL, etc. La SPU consume este paquete y no lo reenvía, porque el paquete real ha sido procesado y transmitido.
exprés IOC3 Inter-PFE
expresa entre IOC3
Ejemplo: configurar Express Path en dispositivos SRX5400, SRX5600 o SRX5800 con una tarjeta IOC
En este ejemplo se muestra cómo configurar Express Path en una tarjeta IOC en SRX5400, SRX5600 o SRX5800 dispositivo.
Express Path es un mecanismo para procesar paquetes de ruta rápida en la red en lugar de en la Unidad de procesamiento de servicios (SPU). Este método reduce la latencia larga de procesamiento de paquetes que surge cuando los paquetes se reenvían desde los procesadores de red a las SPU para su procesamiento y de vuelta a las IOC para su transmisión.
A partir de Junos OS versión 15.1X49-D40, la configuración es válida para el tráfico IPv6; antes de esta versión, solo se admitía para el tráfico IPv4.
- Requisitos
- Visión general
- Configuración
- Resultados
- Verificar la configuración de una tarjeta IOC para Express Path
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software:
-
Un dispositivo SRX5400, SRX5600 o SRX5800 con una tarjeta IOC
-
Junos OS versión 15.1X49-D40 o posterior para firewalls serie SRX
Express Path está automatizado desde Junos OS versión 21.2R1.
Visión general
En este ejemplo, se configura Express Path en una tarjeta IOC en un dispositivo de línea SRX5000 para el tráfico IPv6.
Configure dos interfaces en la tarjeta IOC y asígneles direcciones IPv6. A continuación, habilite el procesamiento basado en flujos para el tráfico IPv6. A continuación, configure zonas y agregue interfaces a ellas. A continuación, se proporciona comunicación entre las dos zonas diferentes mediante la configuración de una directiva de seguridad para permitir el tráfico entre dos zonas. También habilita Express Path en las políticas de seguridad para especificar si el tráfico cumple los requisitos para Express Path
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el[edit] modo de configuración.
[edit] set interfaces et-2/1/0 unit 0 family inet6 address 2001:db8::4:12/32 set interfaces et-2/3/0 unit 0 family inet6 address 2001:db8::6:11/32 set security forwarding-options family inet mode flow-based set security forwarding-options family inet6 mode flow-based set zones security-zone zone-1 host-inbound-traffic system-services all set zones security-zone zone-1 host-inbound-traffic protocols all set zones security-zone zone-1 interfaces et-2/1/0.0 set zones security-zone zone-2 host-inbound-traffic system-services all set zones security-zone zone-2 host-inbound-traffic protocols all set zones security-zone zone-2 interfaces et-2/3/0.0 security policies from-zone zone-2 to-zone zone-1 policy express-path-policy-2 match source- address any security policies from-zone zone-2 to-zone zone-1 policy express-path-policy-2 match destination- address any security policies from-zone zone-2 to-zone zone-1 policy express-path-policy-2 match application any security policies from-zone zone-2 to-zone zone-1 policy express-path-policy-2 then permit then permit services-offload security policies from-zone zone-1 to-zone zone-2 policy express-path-policy-1 match source- address any security policies from-zone zone-1 to-zone zone-2 policy express-path-policy-1 match destination- address any security policies from-zone zone-1 to-zone zone-2 policy express-path-policy-1 match application any security policies from-zone zone-1 to-zone zone-2 policy express-path-policy-1 then permit then permit services-offload set chassis fpc 2 np-cache
Procedimiento paso a paso
Para configurar Express Path en dispositivos de línea SRX5400, SRX5600 o SRX5800 con una tarjeta IOC:
-
Configure la interfaz Ethernet y asígnele una dirección IPv6.
[edit] set interfaces et-2/1/0 unit 0 family inet6 address 2001:db8::4:12/32 set interfaces et-2/3/0 unit 0 family inet6 address 2001:db8::6:11/32
-
Habilite el procesamiento basado en flujos para el tráfico IPv6.
[edit] set security forwarding-options family inet mode flow-based set security forwarding-options family inet6 mode flow-based
-
Configure zonas de seguridad, agregue interfaces y permita todos los servicios e interfaces del sistema. Configure una zona de seguridad y especifique los tipos de tráfico y protocolos permitidos en la interfaz et-2/1/0.0.
[edit] set zones security-zone zone-1 host-inbound-traffic system-services all set zones security-zone zone-1 host-inbound-traffic protocols all set zones security-zone zone-1 interfaces et-2/1/0.0
-
Configure zonas de seguridad, agregue interfaces y permita todos los servicios e interfaces del sistema. Configure una zona de seguridad y especifique los tipos de tráfico y protocolos permitidos en la interfaz et-2/3/0.0.
[edit] set zones security-zone zone-2 host-inbound-traffic system-services all set zones security-zone zone-2 host-inbound-traffic protocols all set zones security-zone zone-2 interfaces et-2/3/0.0
-
Cree una política y especifique los criterios de coincidencia para esa directiva. Los criterios de coincidencia especifican que el dispositivo puede permitir tráfico desde cualquier origen a cualquier destino y en cualquier aplicación. Habilite Express Path en la política de seguridad.
Nota:Puede especificar el comodín any-ipv6 para los criterios de coincidencia de direcciones de origen y destino para incluir solo direcciones IPv6. Especificar cualquier opción para que los criterios de coincidencia de direcciones de origen y destino incluyan direcciones IPv4 e IPv6.
[edit] security policies from-zone zone-2 to-zone zone-1 policy express-path-policy-2 match source- address any security policies from-zone zone-2 to-zone zone-1 policy express-path-policy-2 match destination- address any security policies from-zone zone-2 to-zone zone-1 policy express-path-policy-2 match application any security policies from-zone zone-2 to-zone zone-1 policy express-path-policy-2 then permit then permit services-offload
[edit] security policies from-zone zone-1 to-zone zone-2 policy express-path-policy-1 match source- address any security policies from-zone zone-1 to-zone zone-2 policy express-path-policy-1 match destination- address any security policies from-zone zone-1 to-zone zone-2 policy express-path-policy-1 match application any security policies from-zone zone-1 to-zone zone-2 policy express-path-policy-1 then permit then permit services-offload
-
Establezca el modo Express Path en la tarjeta IOC.
[edit] set chassis fpc 2 np-cache
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el comando show chassis. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.
from-zone zone-1 to-zone zone-2 { policy express-path-policy--1 {
match {
source-address any; destination-address any; application any;
}
then {
permit {
services-offload;
}
}
}
}
from-zone express-path-policy--2 { policy policy-2 {
match {
source-address any; destination-address any; application any;
}
then {
permit {
services-offload;
}
}
}
}
Cuando haya terminado de configurar el dispositivo, escriba confirmar desde el modo de configuración.
Verificar la configuración de una tarjeta IOC para Express Path
Propósito
Verifique que la tarjeta IOC se configuró correctamente para Express Path.
Acción
Desde el modo operativo, ingrese el comando show chassis fpc pic-status
Slot 1 Online SRX5k SPC II PIC 0 Online SPU Cp PIC 1 Online SPU Flow PIC 2 Online SPU Flow PIC 3 Online SPU Flow Slot 2 Online SRX5k IOC3 2CGE+4XGE PIC 0 Online 2x 10GE SFP+- np-cache/services-offload PIC 1 Online 1x 100GE CFP2- np-cache/services-offload PIC 2 Online 2x 10GE SFP+- np-cache/services-offload PIC 3 Online 1x 100GE CFP2- np-cache/services-offload Slot 3 Online SRX5k IOC3 24XGE+6XLG PIC 0 Offline 12x 10GE SFP+ PIC 1 Offline 12x 10GE SFP+ PIC 2 Online 3x 40GE QSFP+- np-cache/services-offload PIC 3 Online 3x 40GE QSFP+- np-cache/services-offload Slot 4 Offline SRX5k IOC3 24XGE+6XLG
Significado
El resultado proporciona el estado de las PIC con Express Path habilitado en ellas.
Verificar todas las sesiones activas en el dispositivo
Propósito
Muestra información sobre todas las sesiones de Express Path activas actualmente en el dispositivo.
Acción
Desde el modo operativo, ingrese el comando show security flow session services-offload.
Flow Sessions on FPC1 PIC1: Session ID: 50000002, Policy name: express-path-policy-2/5, Timeout: 60, Valid In: 2001:db8::4:12/32 --> 2001:db8::6:11/32;udp, If: et-2/3/0.0, Conn ID: 0x0, Pkts: 181 29505, Bytes: 1740432530, CP Session ID: 50000002 Out: 2001:db8::6:11/32 --> 2001:db8::4:12/32;udp, If: et-2/1/0.0, Conn ID: 0x0, Pkts: 18 129505, Bytes: 1740432530, CP Session ID: 50000002 Total sessions: 1
Significado
El resultado proporciona los detalles de la directiva para las sesiones en las que se habilitó Express Path.