Tráfico GTP con distribución TEID y SWRSS
Descripción general de la distribución de tráfico GTP con distribución TEID y SWRSS
El tema proporciona una descripción general de la solución de túnel de grasa asimétrica para el tráfico GTP con distribución TEID y SWRSS.
Con la función de distribuciones hash basadas en TEID, los paquetes GTP se distribuirían al subproceso de flujo de acuerdo con el valor hash calculado por TEID. El algoritmo de cálculo de hash es el mismo que la distribución de GTP en el módulo de flujo, lo que garantiza que los paquetes de GTP no se reinyecten nuevamente en el proceso de flujo.
Hay un campo de 4 bytes dentro de la carga útil de GTP llamado identificador de punto final de túnel (TEID), que se utiliza para identificar diferentes conexiones en el mismo túnel de GTP.
Un túnel GTP grueso transporta datos de diferentes usuarios. Los túneles IPsec de la puerta de enlace de seguridad podrían ser un túnel grueso debido al túnel GTP gordo. El firewall virtual vSRX puede crear una sesión de GTP con un gran ancho de banda de tráfico de GTP. Sin embargo, el rendimiento está limitado al rendimiento de un procesador central.
Si utiliza la distribución hash basada en TEID para crear sesiones GTP-U, puede:
Habilite las instancias de Firewall virtual vSRX y Firewall virtual vSRX 3.0 para procesar túneles fat asimétricos para el cifrado paralelo en varios núcleos para un túnel.
Puede dividir una sesión de GTP gorda en varias sesiones y distribuirlas a diferentes núcleos. Esto ayuda a aumentar el ancho de banda para el túnel GTP gordo.
La distribución hash basada en TEID crea sesiones GTP-U en múltiples núcleos. El tráfico de texto sin cifrar actúa como un túnel GTP gordo. Esto ayuda a que una sesión de GTP gruesa se divida en múltiples sesiones de GTP delgadas y las maneje en múltiples núcleos simultáneamente.
Rendimiento del tráfico GTP con distribución TEID y SWRSS
Las instancias de Firewall virtual vSRX admiten la función de escala en lado de recepción de software (SWRSS). SWRSS es una técnica en la pila de redes para aumentar el paralelismo y mejorar el rendimiento de los sistemas multiprocesador. Si las NIC no tienen un número suficiente de colas como subproceso de flujo (FLT), según el tipo de firewall virtual vSRX, el proceso fluido habilita el RSS de software (SWRSS).
Con la compatibilidad con el ajuste de escala en lado de recepción de software (SWRSS) en el firewall virtual vSRX y el firewall virtual vSRX 3.0, puede asignar más vCPU al firewall virtual vSRX, independientemente de la limitación de la cola RSS de las interfaces subyacentes.
Con base en SWRSS, puede mejorar el rendimiento del tráfico GTP utilizando la distribución del identificador de punto final de túnel (TEID) y la solución de túnel de grasa asimétrica de la siguiente manera:
Asignación de un número específico de vCPU para el uso del flujo de entrada y salida: con SWRSS habilitado, puede asignar más vCPU para subprocesos de entrada/salida (IO) cuando los subprocesos de E/S son menores. También puede asignar menos vCPU para subprocesos de E/S si el proceso de flujo consume más vCPU. Utilice el
set security forwarding-options receive-side-scaling software-rss io-thread-number <io-thread-number>archivo .Distribución de los paquetes a subprocesos de flujo de acuerdo con el TEID dentro del paquete, lo que evitaría reinyectar los paquetes en el proceso de flujo: esta función se habilita cuando SWRSS está habilitado y cuando se configura el
set security forwarding-process application-services enable-gtpu-distributioncomando.Con esta característica, los paquetes GTP se distribuirían al subproceso de flujo de acuerdo con el valor hash calculado por TEID. El algoritmo de cálculo hash es el mismo que la distribución GTP en el módulo de flujo, lo que garantiza que los paquetes GTP no se reinyecten nuevamente en el proceso de flujo.
Utilizando el mecanismo de coincidencia de fragmentos y reenvío en el subproceso de entrada/salida cuando la distribución GTPU está habilitada: este mecanismo garantiza que todos los fragmentos del mismo paquete se distribuyan a un subproceso de flujo de acuerdo con el TEID.
SWRSS utiliza hash de par IP para distribuir paquetes a subprocesos de flujo. Para el tráfico GTP con la distribución GTPU habilitada, la distribución TEID se utiliza para distribuir paquetes a los subprocesos de flujo. Para paquetes fragmentados, TEID no se puede recuperar de fragmentos que no sean primeros. Esto requerirá una lógica de reenvío y coincidencia de fragmentos para garantizar que todos los fragmentos se reenvíen al subproceso de flujo basado en TEID.
Habilitación de la distribución GTP-U TEID con SWRSS para túneles de grasa asimétricos
La siguiente configuración le ayuda a habilitar la distribución de tráfico PMI y GTP-U con SWRSS habilitado.
Antes de comenzar, comprenda:
Conceptos y configuraciones de SWRSS.
Cómo establecer PMI y GTP-U
Con el ajuste de escala en lado de recepción de software (SWRSS) habilitado, puede asignar más vCPU para subprocesos de entrada/salida (E/S) cuando los subprocesos de E/S son menores. También puede asignar menos vCPU para subprocesos de E/S si el proceso de flujo consume más vCPU. Puede configurar el número de subprocesos de E/S necesarios. Con SWRSS habilitado y los subprocesos de E/S configurados, reinicie el firewall virtual vSRX para que la configuración surta efecto. Una vez configurados los subprocesos de E/S, distribuya el tráfico de GTP a los subprocesos de E/S configurados de acuerdo con la distribución hash basada en TEID para dividir una sesión de GTP gruesa en varias sesiones de GTP delgadas y procesarlos en varios núcleos en paralelo.
Cuando el modo PMI está habilitado con distribución TEID y compatibilidad con SWRSS, se mejora el rendimiento del PMI. Si desea habilitar el modo PMI, ejecute el set securtiy flow power-mode-ipsec comando.
Los siguientes pasos proporcionan detalles sobre cómo habilitar SWRSS, configurar subprocesos de E/S, habilitar el modo PMI para sesiones GTP con distribución TEID para obtener túneles de grasa asimétricos: