PowerMode
PowerMode
PowerMode es un nuevo marco de plano de datos predeterminado que introduce una ruta rápida optimizada que permite un mayor rendimiento y una menor latencia en los firewalls de la serie SRX. PowerMode es capaz de acelerar las operaciones IPsec y los flujos genéricos de TCP y UDP de la misma manera que Express Path en plataformas basadas en Trio.
En Junos OS versión 21.3R1, la función tiene las siguientes limitaciones:
- Protocolo que no es IP.
- Protocolos IP que no son TCP, UDP, ESP, SCTP y GTP.
- Sesiones de multidifusión.
- Interfaces de túnel lógico de salida (LT) y tráfico entre sistemas.
- Sesiones que requieren TCP-Proxy.
- Filtros de firewall.
- Aprendizaje de Mac y modo transparente.
- Clústeres de alta disponibilidad activo/activo cuando las sesiones transitan por el vínculo de estructura conocido como tráfico en modo Z.
Los firewalls de la serie SRX con PMI solo admiten CoS (clase de servicio) basada en flujo.
Ver también
PowerMode IPsec
PowerMode IPsec (PMI) es un nuevo modo de operación para instancias de firewall virtual SRX4100, SRX4200, SRX4600, SRX5400, SRX5600, SRX5800 y vSRX para mejorar el rendimiento de IPsec. A partir de Junos OS versión 19.1R1, el PMI se ha mejorado para gestionar los paquetes de fragmentos entrantes y salientes mediante la primera ruta o el procesamiento rápido.
Habilite el proceso PMI mediante el set security flow power-mode-ipsec
comando. Para comprobar que los paquetes aprovechan PMI, use el comando mostrar estadísticas de pmi de flujo de seguridad .
Descripción de la primera ruta del PMI y el procesamiento rápido de la ruta
En un procesamiento de primera ruta PMI:
-
El paquete de la primera ruta entrante se entrega para que fluya para crear la sesión.
-
Los paquetes de fragmentos entrantes se entregan al flujo para su reensamblaje.
-
Los paquetes entrantes se entregan al flujo para un procesamiento avanzado del servicio de seguridad.
En un procesamiento de ruta rápida PMI, se utiliza el controlador PMI:
-
Para cifrar y enviar el texto no cifrado entrante directamente.
-
Para descifrar y enviar los paquetes ESP entrantes directamente con coincidencia de sesión.
Cambio entre la primera ruta del PMI y el procesamiento rápido de la ruta
El procesamiento de la primera ruta implica más funciones e instrucciones, mientras que el procesamiento de ruta rápida de PMI proporciona un mejor rendimiento. En una sesión PMI, el procesamiento de paquetes cambia entre la primera ruta y la ruta rápida en función del flujo de paquetes en la sesión.
-
La sesión PMI con paquetes fragmentados y no fragmentados se procesa mediante la primera ruta.
-
Cuando la sesión solo tiene paquetes no fragmentados, la sesión cambiará de la primera ruta al procesamiento pasado rápido.
En los dispositivos SRX5400, SRX5600 y SRX5800, la conmutación se produce después del tiempo de espera de la sesión NP.
Fragmentación de paquetes IP entrantes
Para admitir la fragmentación de paquetes IP entrantes para PMI, se utilizan los siguientes pasos en la primera ruta:
-
PMI transmite todos los paquetes IP fragmentados en una sesión al módulo de flujo para su procesamiento.
-
PMI transmite todos los paquetes IP no fragmentados de la misma sesión al módulo de flujo para ordenar paquetes.
-
El módulo Flow completa el reensamblaje de paquetes fragmentados y transmite los paquetes de vuelta a PMI para su cifrado.
Fragmentación para paquetes IP salientes
Para admitir la fragmentación de paquetes IP salientes para PMI, se utilizan los siguientes pasos:
-
PMI detecta paquetes de texto sin cifrar que requieren fragmentación durante la búsqueda de sesión y entrega paquetes al módulo de flujo.
-
El módulo de flujo realiza la fragmentación de los paquetes salientes.
-
PMI cifra los paquetes antes de transmitirlos.
Soporte de sesión NP
En los dispositivos de firewall virtual SRX4100, SRX4200 y vSRX, los paquetes fragmentados y no fragmentados se codifican en el mismo núcleo de CPU para su procesamiento. Por lo tanto, no se admite la sesión NP.
En los dispositivos SRX5400, SRX5600 y SRX5800 con SPC3, los paquetes fragmentados y no fragmentados se codifican en diferentes núcleos de CPU para su procesamiento. Por lo tanto, se admite la sesión NP para entregar paquetes fragmentados o no fragmentados al mismo núcleo para realizar pedidos.
Si una sesión PMI o una sesión que no es PMI no tiene ninguna sesión NP instalada debido a la capacidad limitada de la sesión NP, es posible que el orden de paquetes para esta sesión PMI no esté disponible.
Tabla de historial de cambios
La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.