Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

PowerMode

PowerMode

PowerMode es un nuevo marco de plano de datos predeterminado que introduce una ruta rápida optimizada que permite un mayor rendimiento y una menor latencia en los firewalls de la serie SRX. PowerMode es capaz de acelerar las operaciones IPsec y los flujos genéricos de TCP y UDP de la misma manera que Express Path en plataformas basadas en Trio.

En Junos OS versión 21.3R1, la función tiene las siguientes limitaciones:

  • Protocolo que no es IP.
  • Protocolos IP que no son TCP, UDP, ESP, SCTP y GTP.
  • Sesiones de multidifusión.
  • Interfaces de túnel lógico de salida (LT) y tráfico entre sistemas.
  • Sesiones que requieren TCP-Proxy.
  • Filtros de firewall.
  • Aprendizaje de Mac y modo transparente.
  • Clústeres de alta disponibilidad activo/activo cuando las sesiones transitan por el vínculo de estructura conocido como tráfico en modo Z.
Nota:

Los firewalls de la serie SRX con PMI solo admiten CoS (clase de servicio) basada en flujo.

Ver también

PowerMode Express

Descripción general de PowerMode Express

PowerMode Express (PME) es un modo de operación que proporciona mejoras de rendimiento mediante el procesamiento de paquetes vectoriales. PME utiliza un pequeño bloque de software dentro del motor de reenvío de paquetes (PFE) que ayuda a procesar múltiples paquetes en el búfer de recepción, utilizando así mejor la caché de la CPU.

Figura 1: Flujo de paquetes en PowerMode Express Packet Flow in PowerMode Express

Beneficios

  • Mejora el procesamiento de rutas rápidas y el rendimiento de UDP.

En dispositivos SRX4100, SRX4200, SRX4600, SRX5400, SRX5600, SRX5800 y vSRX, PowerMode Express está habilitado de forma predeterminada a partir de la versión 21.3R1 de Junos OS. Cuando actualiza a Junos versión 21.3R1 o posterior, desbloquea un rendimiento de firewall de última generación gratuito e incomparable, sin ninguna configuración adicional ni inversión en hardware.

Para desactivar PowerMode Express globalmente, utilice el set security flow power-mode-disable comando.

PowerMode Express admite:

  • Clase de servicio (CoS)

  • Traducción de direcciones de red (NAT)

  • Pantallas (Anti-DDoS)

  • Clase de reenvío

  • Instancia de enrutamiento

Limitaciones de PowerMode Express

PowerMode Express no admite:

  • Protocolo sin IP

  • Protocolos IP que no son TCP, UDP, ESP, SCTP y GTP

  • Sesiones de multidifusión

  • Interfaces de túnel lógico (LT) de salida y tráfico entre sistemas

  • Sesiones que requieren policer, syslog y counter

  • Filtro de firewall

  • Clústeres de alta disponibilidad activos/activos cuando las sesiones transitan por el vínculo de estructura conocido como tráfico en modo Z

¿Cómo procesa PowerMode Express el tráfico?

Cuando el primer paquete llega a una interfaz, se crea una nueva sesión en el PowerMode. Si la nueva sesión cumple los requisitos para PowerMode Express, se realizará una comprobación de cualificación de PowerMode.

La sesión PowerMode Express procesa los paquetes de ruta rápida en el procesador de red para el procesamiento jexec. En la etapa de reenvío jexec layer2, la información de caché next-hop, clase de reenvío, clase de servicio (CoS) permite los paquetes posteriores de la sesión para PowerMode Express.

Cómo volver a habilitar PowerMode Express

PowerMode Express está habilitado de forma predeterminada. Si desactiva PowerMode express, puede volver a habilitarlo mediante el siguiente comando:

Verificación

Para confirmar que la configuración funciona correctamente, escriba el siguiente comando show.

Ver también

PowerMode IPsec

PowerMode IPsec (PMI) es un nuevo modo de operación para instancias de firewall virtual SRX4100, SRX4200, SRX4600, SRX5400, SRX5600, SRX5800 y vSRX para mejorar el rendimiento de IPsec. A partir de Junos OS versión 19.1R1, el PMI se ha mejorado para gestionar los paquetes de fragmentos entrantes y salientes mediante la primera ruta o el procesamiento rápido.

Habilite el proceso PMI mediante el set security flow power-mode-ipsec comando. Para comprobar que los paquetes aprovechan PMI, use el comando mostrar estadísticas de pmi de flujo de seguridad .

Descripción de la primera ruta del PMI y el procesamiento rápido de la ruta

En un procesamiento de primera ruta PMI:

  • El paquete de la primera ruta entrante se entrega para que fluya para crear la sesión.

  • Los paquetes de fragmentos entrantes se entregan al flujo para su reensamblaje.

  • Los paquetes entrantes se entregan al flujo para un procesamiento avanzado del servicio de seguridad.

En un procesamiento de ruta rápida PMI, se utiliza el controlador PMI:

  • Para cifrar y enviar el texto no cifrado entrante directamente.

  • Para descifrar y enviar los paquetes ESP entrantes directamente con coincidencia de sesión.

Cambio entre la primera ruta del PMI y el procesamiento rápido de la ruta

El procesamiento de la primera ruta implica más funciones e instrucciones, mientras que el procesamiento de ruta rápida de PMI proporciona un mejor rendimiento. En una sesión PMI, el procesamiento de paquetes cambia entre la primera ruta y la ruta rápida en función del flujo de paquetes en la sesión.

  • La sesión PMI con paquetes fragmentados y no fragmentados se procesa mediante la primera ruta.

  • Cuando la sesión solo tiene paquetes no fragmentados, la sesión cambiará de la primera ruta al procesamiento pasado rápido.

Nota:

En los dispositivos SRX5400, SRX5600 y SRX5800, la conmutación se produce después del tiempo de espera de la sesión NP.

Fragmentación de paquetes IP entrantes

Para admitir la fragmentación de paquetes IP entrantes para PMI, se utilizan los siguientes pasos en la primera ruta:

  • PMI transmite todos los paquetes IP fragmentados en una sesión al módulo de flujo para su procesamiento.

  • PMI transmite todos los paquetes IP no fragmentados de la misma sesión al módulo de flujo para ordenar paquetes.

  • El módulo Flow completa el reensamblaje de paquetes fragmentados y transmite los paquetes de vuelta a PMI para su cifrado.

Fragmentación para paquetes IP salientes

Para admitir la fragmentación de paquetes IP salientes para PMI, se utilizan los siguientes pasos:

  • PMI detecta paquetes de texto sin cifrar que requieren fragmentación durante la búsqueda de sesión y entrega paquetes al módulo de flujo.

  • El módulo de flujo realiza la fragmentación de los paquetes salientes.

  • PMI cifra los paquetes antes de transmitirlos.

Soporte de sesión NP

En los dispositivos de firewall virtual SRX4100, SRX4200 y vSRX, los paquetes fragmentados y no fragmentados se codifican en el mismo núcleo de CPU para su procesamiento. Por lo tanto, no se admite la sesión NP.

En los dispositivos SRX5400, SRX5600 y SRX5800 con SPC3, los paquetes fragmentados y no fragmentados se codifican en diferentes núcleos de CPU para su procesamiento. Por lo tanto, se admite la sesión NP para entregar paquetes fragmentados o no fragmentados al mismo núcleo para realizar pedidos.

Nota:

Si una sesión PMI o una sesión que no es PMI no tiene ninguna sesión NP instalada debido a la capacidad limitada de la sesión NP, es posible que el orden de paquetes para esta sesión PMI no esté disponible.

Tabla de historial de cambios

La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.

Lanzamiento
Descripción
19.1R1
A partir de Junos OS versión 19.1R1, el PMI se ha mejorado para gestionar los paquetes de fragmentos entrantes y salientes mediante la primera ruta o el procesamiento rápido.