Distribución de flujo y pedido de paquetes
En este tema se describe la distribución de carga y el pedido de paquetes en dispositivos de la línea SRX5000.
Descripción de la distribución de carga en los dispositivos de la línea SRX5000
El algoritmo de distribución de carga, compatible con los dispositivos SRX5800, SRX5600 y SRX5400, se ajusta según la capacidad de sesión y la potencia de procesamiento. (La compatibilidad real de la plataforma depende de la versión de Junos OS en su instalación.)
La distribución de sesión basada en hash usa una tabla hash. La tabla de peso de sesión de SPU se utiliza para asignar un ID de SPU a cada índice hash en la tabla hash de distribución de sesión. De esta manera, el número de sesiones creadas en cada SPU mediante la distribución basada en hash es proporcional al peso de la SPU en la tabla de peso de sesión de SPU. Cada NPU también mantiene una tabla de peso de sesión de SPU idéntica y una tabla hash de distribución de sesión que utiliza para seleccionar una SPU para reenviar paquetes que no coincidan con una sesión de NPU.
En caso de que se produzca un error de SPU, el motor de enrutamiento restablecerá todas las tarjetas del plano de datos, incluidas las IOC y las NPC, con el fin de mantener la consistencia de la tabla hash para la distribución de la sesión.
En la distribución de sesión basada en hash, los pesos se basan en la capacidad de sesión. Se recomienda el modo de distribución de sesión hash cuando se requiere una alta capacidad de sesión.
La distribución de carga en dispositivos de la línea SRX5000 siempre está basada en hash.
La inserción y eliminación de SPC provoca el recálculo de la tabla de peso de sesión de SPU en el tiempo de inicialización del punto central, ya que el chasis debe reiniciarse después de la inserción.
A partir de Junos OS versión 15.1X49-D30, la arquitectura del punto central se mejora para manejar mayores sesiones simultáneas y conexiones por segundo (cps) para el dispositivo serie SRX5000.
Las mejoras de la arquitectura del punto central impiden que los paquetes de datos pasen por el punto central al descargar la administración de tráfico a las SPU. La capacidad de sesión del sistema se extiende a medida que se elimina el límite de sesión en el punto central.
- Cálculo de ID de SPU
- Reenvío basado en hash en SRX5K-MPC, SRX5K-MPC3-40G10G (IOC3) y SRX5K-MPC3-100G10G (IOC3)
Cálculo de ID de SPU
El ID de SPU para un dispositivo equipado con SRX3K-SPC-1-10-40, SRX5K-SPC-2-10-40 o la tarjeta de procesamiento de servicios (SPC) SRX5K-SPC3 se calcula de la siguiente manera:
SPU ID = (FPC ID X 4) + PIC ID
Las SRX3K-SPC-1-10-40, SRX5K-SPC-2-10-40 y SRX5K-SPC3 contienen dos PIC por tarjeta, cuatro PIC por tarjeta (FPC) y dos PIC por tarjeta respectivamente. Por ejemplo, un dispositivo contiene 2 tarjetas en la ranura 1 (FPC ID 0) y la ranura 2 (FPC ID 1), los ID de SPU esperados son los siguientes:
Para SPC1: (0, 1) y (4, 5), total 4 SPU en 2 tarjetas.
Para SPC2: (0, 1, 2, 3) y (4, 5, 6, 7), total 8 SPU en 2 tarjetas.
Para SPC3: (0, 1) y (4, 5), total 4 SPU en 2 tarjetas.
Para FPC1 (la segunda tarjeta) y PIC1 (la segunda PIC de la tarjeta), el ID de SPU se calcula como:
SPU ID = (FPC ID X 4) + PIC ID
= (1 X 4) + 1
= 4 + 1
= 5
Utilice esta convención mientras hace referencia al ID de SPU para CLI y SNMP.
Reenvío basado en hash en SRX5K-MPC, SRX5K-MPC3-40G10G (IOC3) y SRX5K-MPC3-100G10G (IOC3)
En estos dispositivos de la serie SRX, un paquete pasa por una serie de eventos que involucran diferentes componentes a medida que avanza de la entrada al procesamiento de salida. Con la función de reenvío de paquetes de ruta de datos, puede obtener una entrega rápida del tráfico de E/S a través de la línea de dispositivos SRX 5000.
SRX5K-MPC, SRX5K-MPC3-40G10G (IOC3) y SRX5K-MPC3-100G10G (IOC3) son tarjetas de interfaz compatibles con los dispositivos SRX5400, SRX5600 y SRX5800. El concentrador de puertos modulares (MPC) ofrece servicios de equilibrio de carga para unidades de procesamiento de servicios (SPU) mediante el método de reenvío basado en hash.
En el reenvío basado en hash, el MPC puede reenviar el paquete a una SPU seleccionada (DCP) en lugar del punto central. Este enfoque mejora el escalamiento de la sesión y evita la sobrecarga del punto central.
El cálculo del valor hash implica los siguientes pasos:
Para los paquetes IPv4, el módulo de reenvío basado en hash genera el valor hash basado en la información de capa 3 y capa 4, según los diferentes tipos de protocolo de capa 4.
En el caso de los protocolos de transmisión de control de flujo (SCTP), TCP, UDP, encabezado de autenticación (AH), proveedor de servicios de borde (ESP) y Protocolo de mensaje de control de Internet (ICMP), el módulo hash utiliza información de capa 4 para generar el valor hash. Para cualquier otro protocolo, solo se utiliza información de capa 3 en la generación de hash.
Para los paquetes de fragmentos IPv4, el valor hash se calcula utilizando solo la información de capa 3. Esto también se aplica al primer fragmento del paquete.
Para paquetes que no son IP, el módulo de reenvío basado en hash usa la información de capa 2 para calcular el valor hash.
Una vez que se calcula un valor hash según la información de capa 2, capa 3 o capa 4 del paquete, se asigna un ID de SPU a cada índice hash de la tabla hash de distribución de sesión.
SrX5K-MPC (IOC2), SRX5K-MPC3-40G10G (IOC3) y SRX5K-MPC3-100G10G (IOC3) solo se pueden usar en dispositivos SRX5400, SRX5600 y SRX5800 configurados para la distribución de sesión basada en hash.
Cuando se habilita el modo de distribución de sesión basado en hash, el sistema cambia su comportamiento al modo basado en la capacidad de alta sesión cuando se instalan en el dispositivo SRX5K-MPC, SRX5K-MPC3-40G10G (IOC3) y SRX5K-MPC3-100G10G (IOC3).
En dispositivos de la línea SRX5000 con SRX5K-MPC, SRX5K-MPC3-40G10G (IOC3) o SRX5K-MPC3-100G10G (IOC3), durante un sistema o un reinicio de SPU, cuando esté habilitado el modo de distribución de sesión basado en hash, el tráfico solo pasará cuando todas las SPU estén activadas después del reinicio.
Las MPC en la IOC3 proporcionan servicios de equilibrio de carga para SPU mediante la realización de reenvío de paquetes de ruta de datos basado en hash para interconectar con todas las IOC y SPC existentes.
La IOC3 procesa los paquetes de entrada y salida. La IOC3 analiza el paquete de entrada y lo envía a la SPU para un procesamiento de seguridad adicional, incluida la búsqueda de sesión de flujo, la verificación de zonas y políticas, VPN, ALG, etc.
La IOC3 administra la memoria de datos de paquetes y la cola de estructura para funciones de búsqueda de paquetes y encapsulación.
A partir de Junos OS versión 15.1X49-D10 y Junos OS versión 17.3R1, la distribución de sesión basada en hash es el modo predeterminado para los dispositivos SRX5400, SRX5600 y SRX5800. La selección de claves hash depende de los protocolos de aplicación.
A partir de la versión 17.4R1 de Junos OS, el tráfico es hashado y distribuido a diferentes SPU por la IOC, según un algoritmo de distribución de sesión basado en hash. Esta mejora proporciona una distribución de hash uniforme entre todas las SPU mediante el uso de una tabla hash de longitud fija más grande. En versiones anteriores de Junos OS, la distribución del tráfico era desigual entre todas las SPU debido a una tabla de hash de longitud fija.
La IOC3 configura una tabla de flujo de seguridad (IPv4 e IPv6) que incluye claves, tabla de resultados y memoria de paquetes.
La tabla de flujo proporciona las siguientes funciones:
Búsqueda de flujo
Inserción y eliminación de flujo
El flujo de seguridad está envejecido
Estadísticas de flujo de seguridad
Descripción de la función de orden de paquetes en dispositivos de la línea SRX5000
La función de pedido de paquetes, compatible con los dispositivos SRX5400, SRX5600 y SRX5800, y en el vSRX, mejora el rendimiento del dispositivo mediante la activación de la función de pedido de paquetes integrada del motor de pedidos de paquetes en el procesador XLP en el punto central de la aplicación.
Se admiten dos tipos de modos de pedido de paquetes: hardware y software.
Si la función de pedido de paquetes se establece en hardware, el subproceso de equilibrio de carga (LBT) y el subproceso de pedido de paquetes (POT) se descargan al motor de pedidos de paquetes y los recursos se liberan para realizar el procesamiento de paquetes. Si la función de pedido de paquetes se establece en software, el subproceso de equilibrio de carga (LBT) y el subproceso de pedido de paquetes (POT) se ejecutan en la SPU. De forma predeterminada, el modo de pedido de paquetes mediante el motor de pedidos de paquetes (hardware) está habilitado en el dispositivo. Puede deshabilitarlo con un cambio de configuración que requiera un reinicio.
El hilo de flujo recibe los paquetes, los procesa y los envía o elimina. En el caso de los paquetes que no requieren ningún pedido, el hilo de flujo notifica a la salida del motor de aceleración de red (NAE) para que envíe o suelte los paquetes. En el caso de los paquetes que requieren pedidos, el hilo de flujo notifica al motor de pedidos de paquetes que desprenda los paquetes de la lista de pedidos y que los envíe o los suelte en orden.
Cambiar el modo de pedido de paquetes en dispositivos de la línea SRX5000
La funcionalidad de pedido de paquetes mediante el motor de pedidos de paquetes se admite en dispositivos SRX5400, SRX5800 y SRX5600 con SPC de última generación. (La compatibilidad con la plataforma depende de la versión de Junos OS en su instalación.) De forma predeterminada, el modo de pedido de paquetes mediante el motor de pedidos de paquetes está habilitado. Para deshabilitar la funcionalidad de pedidos de paquetes mediante el motor de pedidos de paquetes, debe actualizar el modo de pedido de paquetes en el dispositivo.
Se admiten los siguientes modos de pedido de paquetes:
software: deshabilita el modo de pedido de paquetes mediante el motor de pedidos de paquetes.
hardware: habilita el modo de pedido de paquetes mediante el motor de pedidos de paquetes. Esta es la opción predeterminada.
Para deshabilitar el modo de pedido de paquetes mediante el motor de pedidos de paquetes:
Escriba el siguiente comando en el símbolo de configuración de la CLI para especificar el modo de pedido de paquetes.
[edit] user@host# set security forwarding-process application-services packet-ordering-mode software
Utilice el
show security forwarding-processcomando para revisar la configuración.[edit] user@host# show security forwarding-process application-services{ packet-ordering-mode software; }Compruebe los cambios en la configuración antes de confirmar.
[edit] user@host# commit check
warning: System packet ordering mode changed, reboot is required to take effect. If you have deployed a cluster, be sure to reboot all nodes. configuration check succeeds
Confirme la configuración.
[edit] user@host# commit
warning: System packet ordering mode changed, reboot is required to take effect. If you have deployed a cluster, be sure to reboot all nodes. commit complete
Reinicie el dispositivo en el momento adecuado.
Utilice el
show security flow statuscomando para comprobar el modo de pedido de paquetes.user@host> show security flow statusFlow forwarding mode: Inet forwarding mode: flow based Inet6 forwarding mode: drop MPLS forwarding mode: drop ISO forwarding mode: drop Flow trace status Flow tracing status: off Flow session distribution Distribution mode: RR-based Flow packet orderingOrdering mode: Software (reboot needed to change to Software)
Descripción de la distribución de la sesión en dispositivos de la línea SRX5000 en modo adaptable
A partir de Junos OS versión 15.1X49-D30 y Junos OS versión 17.3R1, la distribución de sesión del modo adaptable se reemplazó por mejoras en la arquitectura de punto central.
La distribución de sesión en modo adaptable se implementa en los dispositivos de la serie SRX5000 que se ejecutan en modo mixto antes de Junos OS versión 15.1X49-D30 y Junos OS versión 17.1R1. La distribución de sesión en modo adaptable maximiza el uso de los recursos del sistema teniendo en cuenta la capacidad de una unidad de procesamiento de servicios (SPU) y sus recursos disponibles. Solo se habilita en dispositivos de la serie SRX5000 que se ejecutan en modo mixto XLR/XLP, es decir, en despliegues de chasis en los que se utilizan diferentes tipos de SPU en diferentes combinaciones. Si un dispositivo SRX5800, SRX5600 o SRX5400 contiene una combinación de tarjetas de procesamiento de servicios (SPC) de última generación y SPC existentes, se asume como predeterminada la distribución de sesión en modo adaptable. Para los dispositivos de la serie SRX5000 que no se ejecutan en modo mixto, el equilibrio de carga basado en hash es el valor predeterminado.
Una tarjeta de procesamiento de servicios (SPC) contiene una o más SPU cada una de las cuales procesa los paquetes de un flujo de acuerdo con las funciones de seguridad y otros servicios configurados para las sesiones distribuidas en él por el punto central (CP). La carga de CPU de una SPU cambia de vez en cuando. Para aprovechar completamente la capacidad disponible cambiante y adaptar la distribución de la sesión en consecuencia, en el modo adaptativo el sistema asigna un peso a todas las SPU dinámicamente. Es el peso de las SPU lo que determina la distribución de la sesión.
Cada SPU envía su información de uso de CPU al punto central (CP) periódicamente. El punto central comprueba estos valores, calcula el peso cada 1 segundo y distribuye las sesiones de manera que se maximice el rendimiento general del sistema. En otras palabras, en el modo adaptable, la distribución de la sesión se basa en un sistema de asignación dinámica ponderada que se calcula en tiempo real, lo que permite la utilización completa de la capacidad de las CPU de todas las SPU, independientemente de su tipo.
Es el cálculo dinámico de pesos el que distingue la distribución de la sesión del modo adaptable de la distribución de sesión de round-robin (WRR) ponderada. Mientras que WRR diferencia las SPU y su capacidad de CPU mediante el cálculo y la asignación de pesos a los diferentes tipos de SPU, el cálculo y la asignación son estáticos, es decir, se realizan solo una vez, en la inicialización. El modo adaptable mejora el proceso de distribución de sesión de proporción fija de WRR. El WRR conduce a la subutilización de los recursos del sistema, ya que los límites de procesamiento de sesión se establecen según el tipo de SPU y su capacidad de CPU, sin tener en cuenta su potencia de procesamiento disponible.
Para la distribución de sesión en modo adaptable, se utiliza la siguiente fórmula para calcular el peso asignado a una SPU:
Wi = Suma(W1-n)*Ci*Si/Suma(C1-n*S1-n)
Dónde:
Wi— peso asignado a la SPU.Sum(W1-n)— Peso total del sistema. Estos valores son constantes.n—número total de SPU.Ci—potencia computacional de CPU disponible de la SPU.Si—capacidad de sesión disponible de SPU.
En el modo adaptable, cuando el uso de CPU en una SPU es alto, se distribuyen menos sesiones a esa SPU. En los siguientes ejemplos se explica el cálculo.
Considere un dispositivo con dos SPU. La capacidad de sesión de cada SPU es de 1 millón.
Durante un tiempo determinado:
Cuando la SPU1 tiene 500 000 sesiones, el uso de la CPU es del 10 por ciento:
Capacidad de CPU disponible de SPU1 (C1) = 1-10 por ciento = 90 (por ciento).
Capacidad de sesión disponible de SPU1 (S1) = 1-500 000/1M = 50 (porcentaje).
Cuando la SPU2 tiene 400 000 sesiones, el uso de la CPU es del 20 por ciento:
Capacidad disponible de SPU2 (C2)= 1-20 por ciento= 80 (por ciento).
Capacidad de sesión disponible de SPU2 (S2)= 1-400 000/1M= 60 (porcentaje).
Si el peso de todo el sistema es 100, los valores de peso separados para cada SPU son:
Peso de SPU1 (W1) = 100*90*50/(50*90+80*60) = 48
Peso de SPU2 (W2) = 100*80*60/(50*90+80*60) = 52
Para las sesiones entrantes, el 48 % de las sesiones se asignan a SPU1, mientras que el 52 % de los paquetes se asignan a SPU2.
Los números ponderados pueden tener efecto en el sistema en un breve período antes de que el punto central revise la información de uso de tiempo de ejecución y ajuste los pesos a un nuevo valor.