Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Распределение потока и упорядочение пакетов

Эта тема описывает распределение нагрузки и порядок пакетов на устройствах линии SRX5000.

Распределение нагрузки в устройствах линии SRX5000

Алгоритм распределения нагрузки, который поддерживается на SRX5800, SRX5600 и SRX5400 устройствах, настраивается на основе емкости сеанса и вычислительной мощности. (Фактическая поддержка платформы зависит от Junos OS в установке.)

Распределение сеансов на основе hash-based использует таблицу hash. Таблица весовых весов сеанса SPU используется для присвоения ID SPU каждому индексу hash в таблице распределения сеансов hash. Таким образом, число сеансов, созданных на каждом SPU с использованием распределения на основе hash,пропорционален весу SPU в таблице веса сеанса SPU. Каждый NPU также хранит одинаковую таблицу весовых весов сеансов SPU и таблицу распределения сеансов, которая используется для выбора SPU для перенавания пакетов, не совпадают с данными сеанса NPU.

В случае сбоя SPU модуль маршрутизации сброс всех карт на планке данных, включая IOCs и NPC, чтобы поддерживать согласованность таблицы hash для распределения сеансов.

В распределении сеансов на основе hash-based вес зависит от емкости сеанса. Рекомендуется режим распределения сеанса hash, когда требуется высокая пропускная способность сеанса.

Примечание.

Распределение нагрузки на устройствах линии SRX5000 всегда основано на hash-базе.

Установка и удаление SPC приводит к пересчету таблицы весов сеанса SPU во время инициализации центральной точки, так как шасси после вставки должно перезагрузиться.

Начиная с Junos OS 15.1X49-D30, архитектура центральной точки улучшена для обработки более высоких одновременно сеансов и подключений в секунду (cps) для устройства серии SRX5000.

Усовершенствования архитектуры центральной точки мешают обработке пакетов данных через центральную точку путем разгрузки управления трафиком на spUs. Емкость системного сеанса расширена, поскольку предел сеанса на центральной точке удаляется.

Расчет SPU ID

ID SPU для устройства, оснащенного SRX3K-SPC-1-10-40, SRX5K-SPC-2-10-40 или SRX5K-SPC3 Services Processing Card (SPC) рассчитывается следующим образом:

SRX3K-SPC-1-10-40, SRX5K-SPC-2-10-40 и SRX5K-SPC3 содержит два PC на карту, четыре РС на одну карту и два РС на одну карту соответственно. Например, устройство содержит 2 карты в слоте 1 (FPC ID 0) и слоте 2 (FPC ID 1), ожидаемые ID SPU:

  • Для SPC1: (0, 1) и (4, 5), всего 4 SPUs в 2 картах.

  • Для SPC2: (0, 1, 2, 3) и (4, 5, 6, 7), всего 8 SPUs в 2 картах.

  • Для SPC3: (0, 1) и (4, 5), всего 4 SPUs в 2 картах.

Для FPC1 (вторая карта) и PIC1 (вторая PIC на карте) рассчитывается ID SPU:

Используйте данное соглашение, ссылаясь на ID SPU для интерфейс командной строки и SNMP.

Переадреанс в SRX5K-MPC, SRX5K-MPC3-40G10G (IOC3), а также SRX5K-MPC3-100G10G (IOC3)

На этих серия SRX устройствах пакет проходит через серию событий с участием различных компонентов по мере выполнения в процессе обработки в рамках веского и выпадания. С помощью функции передачи пакетов datapath можно получить быструю доставку трафика I/O через линию SRX 5000 устройств.

SRX5K-MPC, SRX5K-MPC3-40G10G (IOC3), и SRX5K-MPC3-100G10G (IOC3) являются интерфейсными картами, поддерживаемыми на SRX5400, SRX5600 и SRX5800 устройств. Модульный концентратор портов (MPC) предоставляет услуги балансировки нагрузки для процессорных единиц обслуживания (SPUs) с помощью метода переададации на основе hash-данных.

При переадрании на основе hash-based пакет может быть переналан MPC на выбранный SPU (DCP) вместо центральной точки. Этот подход улучшает масштабирование сеансов и предотвращает перегрузку центральной точки.

Расчет значения hash включает в себя следующие шаги:

  • Для пакетов IPv4 модуль forwarding на основе hash генерирует значение hash на основе информации уровня 3 и уровня 4, в зависимости от различных типов протоколов уровня 4.

  • Для протоколов управления потоками передачи (SCTP), TCP, UDP, Заглавная информация аутентификации (AH), для поставщиков edge service (ESP) и протокола ICMP управления Интернетом модуль hash использует сведения уровня 4 для создания значения hash. Для других протоколов в генерации hash используется только информация уровня 3.

  • Для фрагментных пакетов IPv4 значение hash вычисляется только с помощью данных уровня 3. Это также относится к первому фрагменту пакета.

  • Для не-IP-пакетов, модуль переадваровки на основе hash использует информацию уровня 2 для расчета значения hash.

Как только значение hash вычисляется в соответствии с информацией уровня 2, уровня 3 или уровня 4 пакета, ID SPU назначен каждому индексу hash в таблице распределения сеансов hash.

Примечание.

SRX5K-MPC (IOC2), SRX5K-MPC3-40G10G (IOC3) и SRX5K-MPC3-100G10G (IOC3) могут быть использованы только на SRX5400, SRX5600 и SRX5800 устройствах, настроенных для распределения сеансов на основе hash-.

Когда включен режим распределения сеансов на основе hash, система изменяет свой режим на режим с высокой пропускной способностью, когда на устройстве установлены SRX5K-MPC, SRX5K-MPC3-40G10G (IOC3) и SRX5K-MPC3-100G10G (IOC3).

Примечание.

На устройствах линии SRX5000 с SRX5K-MPC, SRX5K-MPC3-40G10G (IOC3) или SRX5K-MPC3-100G10G (IOC3), установленных во время системы или перезагрузки SPU, когда включен режим распределения сеанса на основе hash, трафик будет передаваться только когда все SPU будут включены после перезагрузки.

MPC на IOC3 предоставляют сервисы балансировки нагрузки для SPUs, выполняя переадрегирование пакетов на основе hash-based datapath для соединения со всеми существующими IOCs и SPC.

IOC3 обрабатывает ветвь и выпадение пакетов. IOC3 проверяет впадающий пакет и отправляет его на SPU для дальнейшей обработки безопасности, включая просмотр сеанса потока, проверку зоны и политики, VPN, ALG и т.д.

IOC3 управляет памятью данных пакетов и очередями компрессии для функций инкапсуляции пакетов.

Примечание.

Начиная Junos OS выпусков 15.1X49-D10 и Junos OS release 17.3R1, распределение сеансов на основе hash-based является режимом по умолчанию для SRX5400, SRX5600 и SRX5800 устройств. Выбор ключей hash зависит от протоколов приложений.

Начиная с Junos OS 17.4R1, трафик распределяется между различными SPUS на основе алгоритма распределения сеансов на основе hash-based. Это усовершенствование обеспечивает evenh-распределение между всеми SPUs с помощью более крупной фиксированной таблицы hash-length. В более ранних Junos OS распределение трафика было неуровно распределено по всем SPUs из-за фиксированной таблицы hash-длины.

IOC3 настраивает таблицу потоков безопасности (IPv4 и IPv6), включая ключ, таблицу результатов и пакетную память.

Таблица потоков предоставляет следующие функции:

  • Отыском потока

  • Вставка и удаление потока

  • Старение потока безопасности

  • Статистика потока безопасности

О функции упорядочения пакетов на устройствах линии SRX5000

Функция упорядочения пакетов, которая поддерживается на SRX5400, SRX5600 и SRX5800, устройствах и vSRX, улучшает производительность устройства за счет активации встроенного функции упорядочения пакетов на процессоре XLP на центральной точке приложения.

Поддерживаются два типа режимов упорядочения пакетов: аппаратное и программное обеспечение.

Если функция упорядочения пакетов установлена на аппаратное обеспечение,поток балансировки нагрузки (LBT) и поток обработки пакетов (POT) разгружаются в механизм заказа пакетов, и ресурсы свободны для выполнения обработки пакетов. Если функция упорядочения пакетов установлена на программное обеспечение,поток балансировки нагрузки (LBT) и поток упорядочения пакетов (POT) работают на SPU. По умолчанию на устройстве включен режим упорядочения пакетов с использованием устройства Packet Ordering Engine (аппаратного обеспечения). Его можно отключить, включив изменения конфигурации, которые потребуют перезагрузки.

Поток потока данных получает пакеты, обрабатывает их и отправляет или сбрасывает. Для пакетов, не требующих упорядочения, поток потока извежает об этом на выпадающий поток Network Acceleration Engine (NAE) для отправки или сброса пакетов. Поток потока данных для пакетов, требующих упорядочения, извессирует механизм заказа пакетов из списка упорядочения, а также отправляет или отбросить пакеты по порядку.

Изменение режима упорядочения пакетов на устройствах линии SRX5000

Функции упорядочения пакетов с помощью устройства Packet Ordering Engine поддерживаются на SRX5400, SRX5800 и SRX5600 с SPC нового поколения. (Поддержка платформы зависит от версии Junos OS установке.) По умолчанию включен режим упорядочения пакетов с помощью packet Ordering Engine. Чтобы отключить функцию упорядочения пакетов с помощью устройства Packet Ordering Engine, необходимо обновить режим упорядочения пакетов на устройстве.

Поддерживаются следующие режимы упорядочения пакетов:

  • software — отключает режим упорядочения пакетов с помощью средства управления пакетами.

  • hardware — включает режим упорядочения пакетов с помощью устройства packet Ordering Engine. Это параметр по умолчанию.

Отключение режима упорядочения пакетов с помощью Packet Ordering Engine:

  1. Введите следующую команду в интерфейс командной строки конфигурации, чтобы указать режим упорядочения пакетов.

  2. Используйте эту show security forwarding-process команду для просмотра конфигурации.

  3. Перед внесением изменений в конфигурацию проверьте их.

  4. Сфиксировать конфигурацию.

  5. Перезагружаем устройство в необходимое время.

  6. Используйте эту show security flow status команду для проверки режима упорядочения пакетов.

Распределение сеансов на линейном устройстве SRX5000 в адаптивном режиме

Начиная с Junos OS выпуска 15.1X49-D30 и Junos OS 17.3R1, распределение сеансов в адаптивном режиме было заменено усовершенствованиями архитектуры центральной точки.

Распределение сеансов в адаптивном режиме реализовано на устройствах серии SRX5000, работающих в смешанном режиме до Junos OS выпусков 15.1X49-D30 и Junos OS release 17.1R1. Распределение сеансов в адаптивном режиме максимизирует использование системных ресурсов с учетом емкости процессорного блока (SPU) служб и доступных ресурсов. Он включен только на устройствах серии SRX5000, работающих в смешанном режиме XLR/XLP, то есть в развертываниях шасси, в которых разные типы SUS используются в различных комбинациях. Если устройство SRX5800, SRX5600 или SRX5400 содержит смесь карт обработки сервисов нового поколения (SPC) и существующих SPC, то по умолчанию предполагается распределение сеансов в адаптивном режиме. Для устройств серии SRX5000, не работающих в смешанном режиме, по умолчанию имеется балансировка нагрузки на основе геширования.

Карта обработки услуг (SPC) содержит один или несколько процессорных процессоров, каждый из которых обрабатывает пакеты потока в соответствии с функциями безопасности и другими службами, настроенными для сеансов, распространяемых центральной точкой (CP). Загрузка ЦП SPU время от времени изменяется. Для полного использования изменяемой пропускной способности и соответствующим образом адаптировать распределение сеансов в адаптивном режиме система динамически назначает вес всем SPUs. Распределение сеансов определяется весом spUs.

Каждый SPU периодически отправляет данные использования CPU центральной точке (CP). Центральный пункт проверяет эти значения, вычисляет вес каждые 1 секунду и распределяет сеансы таким образом, чтобы максимизировать общую производительность системы. Другими словами, в адаптивном режиме распределение сеансов основывается на системе динамического взвешения назначения, которая рассчитывается в режиме реального времени, что позволяет использовать все ЦП всех процессоров всех spUs вне зависимости от их типа.

Это динамический расчет весов, который различает распределение сеансов в адаптивном режиме от взвешенного распределения сеансов round-robin (WRR). Хотя WRR дифференцирует процессорные процессорные процессоры за счет расчета и назначения весов различным типам процессоров, расчет и назначение является статическим, т.е. делается только один раз при инициализации. Адаптивный режим улучшает процесс распределения сеансов с фиксированным соотношением в WRR. WRR приводит к недозапуску системных ресурсов, так как ограничения обработки сеанса задаются только на основании типа SPU и его емкости ЦП без учета доступной вычислительной мощности.

Для распределения сеансов в адаптивном режиме для расчета веса, назначенного SPU, используется следующая формула:

Wi = Sum (W1-n)*Ci*Si/Sum (C1-n*S1-n)

Где:

  • Wi– вес, присвоенный SPU.

  • Sum(W1-n)— Общий вес системы. Эти значения постоянны.

  • n— общее количество spUs.

  • Ci( доступная вычислительная мощность ЦП SPU.

  • Si— доступная пропускная способность SPU в сеансе.

В адаптивном режиме, когда уровень использования CPU на одном SPU высок, на него распределяется меньше сеансов. Расчет объясняется в следующих примерах.

Рассмотрим устройство с двумя SPUs. Емкость каждого сеанса SPU – 1 млн.

В течение определенного времени:

  • Когда SPU1 имеет 500000 сеансов, CPU его использование составляет 10 процентов:

    • Доступная емкость CPU SPU1 (C1) = 1-10 процентов = 90 (процентов).

    • Доступная емкость сеанса SPU1 (S1) = 1-500 000/1M = 50 (процент).

  • Когда SPU2 имеет 400000 сеансов, CPU его использование составляет 20 процентов:

    • Доступная емкость SPU2 (C2)= 1-20 процентов = 80 (процентов).

    • Доступная емкость сеанса SPU2 (S2)= 1-400 000/1M = 60 (в процентах).

Если вес всей системы составляет 100, значения отдельных весов для каждого SPU:

  • Вес SPU1 (W1) = 100*90*50/(50*90+80*60) = 48

  • Вес SPU2 (W2) = 100*80*60/(50*90+80*60) = 52

Для входящих сеансов 48 процентов сеанса выделены для SPU1, а 52 процента пакетов – для SPU2.

Взвешенное число может внести изменения в систему в течение короткого периода времени, прежде чем центральная точка проверит сведения об использовании во время работы и скорректирует весовые значения на новое значение.

Таблица истории релизов
Выпуска
Описание
17.4R1
Начиная Junos OS версии 17.4R1, IOC распределяет трафик между различными SPUS на основе алгоритма распределения сеансов на основе hash-based. Это усовершенствование обеспечивает evenh-распределение между всеми SPUs с помощью более крупной фиксированной таблицы hash-length. В более ранних Junos OS распределение трафика было неуровно распределено по всем SPUs из-за фиксированной таблицы hash-длины.
15.1X49-D30
Начиная Junos OS выпуске 15.1X49-D30, архитектура центральной точки улучшена для обработки более высоких одновременно сеансов и подключений в секунду (cps) для устройства серии SRX5000.
15.1X49-D30
Начиная с Junos OS выпуска 15.1X49-D30 и Junos OS 17.3R1, распределение сеансов в адаптивном режиме было заменено усовершенствованиями архитектуры центральной точки.
15.1X49-D10
Начиная Junos OS выпусков 15.1X49-D10 и Junos OS release 17.3R1, распределение сеансов на основе hash-based является режимом по умолчанию для SRX5400, SRX5600 и SRX5800 устройств. Выбор ключей hash зависит от протоколов приложения.