Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Modo de potencia

Modo de potencia

PowerMode es un nuevo marco de plano de datos predeterminado que presenta una ruta rápida optimizada que permite una mayor transferencia de datos y una latencia más baja en los firewalls de la serie SRX. PowerMode puede acelerar las operaciones de IPsec y los flujos genéricos de TCP y UDP de la misma manera que Express Path en plataformas basadas en Trio.

En la versión 21.3R1 de Junos OS, la función tiene las siguientes limitaciones:

  • Protocolo que no es IP.
  • Protocolos IP que no son TCP, UDP, ESP, SCTP y GTP.
  • Sesiones de multidifusión.
  • Interfaces de túnel lógico de salida (LT) y tráfico cruzado LSYS.
  • Sesiones que requieren TCP-Proxy.
  • Filtros de firewall.
  • Aprendizaje de Mac y modo transparente.
  • Grupos de alta disponibilidad activo/activo cuando las sesiones transitan por el vínculo de estructura conocido como tráfico en modo Z.
Nota:

Los firewalls de la serie SRX con PMI solo admiten CoS (clase de servicio) basada en flujos.

Ver también

PowerMode Express

Descripción general de PowerMode Express

PowerMode Express (PME) es un modo de operación que proporciona mejoras de rendimiento mediante el procesamiento vectorial de paquetes. PME utiliza un pequeño bloque de software dentro del motor de reenvío de paquetes (PFE) que ayuda a procesar múltiples paquetes en el búfer de recepción, utilizando así mejor la caché de la CPU.

Figura 1: Flujo de paquetes en PowerMode Express Data processing pipeline: Receive packets in batches using RSS or hash. Process on Core1 starting with Rx burst queue. Decode metadata, parse Layer 2 and 3 headers, lookup session info, classify packets, transmit, and send to RFP. Feedback loop for additional processing.

Beneficios

  • Mejora el procesamiento rápido de rutas y el rendimiento de la transferencia de datos UDP.

En los dispositivos SRX4100, SRX4200, SRX4600, SRX5400, SRX5600, SRX5800 y vSRX, PowerMode Express está habilitado de forma predeterminada a partir de la versión 21.3R1 de Junos OS. Cuando actualiza a la versión 21.3R1 o posterior de Junos, obtiene un rendimiento de firewall gratuito e incomparable de última generación, sin ninguna configuración adicional ni inversión en hardware.

Para deshabilitar PowerMode Express globalmente, use el set security flow power-mode-disable comando.

PowerMode Express admite lo siguiente:

  • Clase de servicio (CoS)

  • Traducción de direcciones de red (TDR)

  • Pantallas (anti-DDoS)

  • Clase de envío

  • Instancia de enrutamiento

Limitaciones de PowerMode Express

PowerMode Express no admite:

  • Protocolo no IP

  • Protocolos IP que no son TCP, UDP, ESP, SCTP y GTP

  • Sesiones de multidifusión

  • Salidas Interfaces de túnel lógico (LT) y tráfico cross-lsys

  • Sesiones que requieren policyr, syslog y counter

  • Filtro de firewall

  • Grupos de alta disponibilidad activo/activo cuando las sesiones transitan por el vínculo de estructura conocido como tráfico en modo Z

¿Cómo procesa PowerMode Express el tráfico?

Cuando el primer paquete llega a una interfaz, se crea una nueva sesión en PowerMode. Si la nueva sesión cumple los requisitos para PowerMode Express, se realiza una comprobación de calificación de PowerMode.

La sesión PowerMode Express procesa los paquetes de ruta rápida en el procesador de red para el procesamiento jexec. En la etapa de reenvío de capa 2 de jexec, el siguiente salto de caché, la clase de reenvío, la información de clase de servicio (CoS) permite los paquetes posteriores de la sesión para PowerMode Express.

Cómo volver a habilitar PowerMode Express

PowerMode Express está habilitado de forma predeterminada. Si deshabilita PowerMode express, puede volver a habilitarlo mediante el siguiente comando:

Verificación

Para confirmar que la configuración funcione correctamente, ingrese el siguiente comando show.

Ver también

PowerMode IPsec

PowerMode IPsec (PMI) es un nuevo modo de operación para mejorar el rendimiento de IPsec. A partir de Junos OS versión 19.1R1, el PMI se ha mejorado para manejar los paquetes de fragmentos entrantes y salientes mediante el procesamiento de primera ruta o ruta rápida.

Use el Explorador de características para confirmar la compatibilidad de plataforma y versión para características específicas.

Habilite el proceso PMI mediante el set security flow power-mode-ipsec comando. Para comprobar que los paquetes aprovechan el PMI, use el comando show security flow pmi statistics .

Descripción de la primera ruta de PMI y el procesamiento de ruta rápida

En un procesamiento de primera ruta de PMI:

  • El primer paquete de ruta entrante se entrega al flujo para crear la sesión.

  • Los paquetes de fragmentos entrantes se entregan al flujo para su reensamblaje.

  • Los paquetes entrantes se entregan al flujo para un procesamiento avanzado del servicio de seguridad.

En un procesamiento de ruta rápida de PMI, se usa el controlador PMI:

  • Para cifrar y enviar directamente el texto sin formato entrante.

  • Para descifrar y enviar los paquetes ESP entrantes directamente con la coincidencia de sesión.

Cambiar entre la primera ruta de PMI y el procesamiento de ruta rápida

El procesamiento de la primera ruta implica más funciones e instrucciones, mientras que el procesamiento de ruta rápida del PMI proporciona un mejor rendimiento. En una sesión de PMI, el procesamiento de paquetes cambia entre la primera ruta y la ruta rápida según el flujo de paquetes de la sesión.

  • La sesión de PMI con paquetes de fragmento y sin fragmento se procesa por la primera ruta.

  • Cuando la sesión solo tiene paquetes no fragmentados, la sesión cambiará de la primera ruta al procesamiento pasado rápido.

Fragmentación de los paquetes IP entrantes

Para admitir la fragmentación de paquetes IP entrantes para PMI, se utilizan los pasos siguientes en la primera ruta:

  • PMI transmite todos los paquetes IP fragmentados en una sesión al módulo de flujo para su procesamiento.

  • PMI transmite todos los paquetes IP no fragmentados en la misma sesión al módulo de flujo para el orden de paquetes.

  • El módulo Flow completa el reensamblaje de los paquetes fragmentados y los transmite de vuelta a PMI para su cifrado.

Fragmentación para paquetes IP salientes

Para admitir la fragmentación de paquetes IP salientes para PMI, se siguen los pasos siguientes:

  • PMI detecta paquetes de texto sin cifrar que requieren fragmentación durante la búsqueda de sesión y entrega paquetes al módulo de flujo.

  • El módulo de flujo realiza la fragmentación de los paquetes salientes.

  • PMI cifra los paquetes antes de transmitirlos.

Sesión NP

Una sesión de PMI o sesión que no es de PMI no tiene ninguna sesión de NP instalada debido a una capacidad limitada de sesión de NP, es posible que el orden de paquetes para esta sesión de PMI no esté disponible.

Use el Explorador de características para confirmar la compatibilidad de plataforma y versión para características específicas.

Revise la sección Comportamiento de sesión de NP específico de la plataforma para obtener notas relacionadas con su plataforma.

Comportamiento de sesión NP específico de la plataforma

Use el Explorador de características para confirmar la compatibilidad de plataforma y versión para características específicas.

Utilice la siguiente tabla para revisar el comportamiento específico de la plataforma para su plataforma:

Plataforma

Diferencia

Firewall de la serie SRX

  • En los dispositivos de firewall virtual SRX4100, SRX4200 y firewall virtual vSRX que admiten la sesión NP, admite los paquetes de fragmento y no fragmento que se cifran en el mismo núcleo de CPU para su procesamiento. Por lo tanto, no se admite la sesión NP.

  • En los dispositivos SRX5400, SRX5600 y SRX5800 con SPC3 compatibles con la sesión NP, los paquetes fragmentados y no fragmentados se cifran en diferentes núcleos de CPU para su procesamiento. Por lo tanto, se admite la sesión NP para entregar paquetes fragmentados o no fragmentados al mismo núcleo para realizar pedidos.

  • En los dispositivos SRX5400, SRX5600 y SRX5800, la conmutación se produce después del tiempo de espera de la sesión NP.

Tabla de historial de cambios

La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.

Lanzamiento
Descripción
19.1R1
A partir de Junos OS versión 19.1R1, el PMI se ha mejorado para manejar los paquetes de fragmentos entrantes y salientes mediante el procesamiento de primera ruta o ruta rápida.