Ajude-nos a melhorar a sua experiência.

Conte-nos a sua opinião.

Tem dois minutos para uma pesquisa?

list Table of Contents

Esta tradução automática foi útil?

starstarstarstarstar
Go to English page
ISENÇÃO DE RESPONSABILIDADE:

Esta página será traduzida com software de tradução por máquina de terceiros. Embora esforços razoáveis tenham sido feitos para fornecer uma tradução de qualidade, a Juniper Networks não pode garantir sua exatidão. Se houver dúvidas sobre a exatidão das informações contidas nesta tradução, consulte a versão em inglês. O PDF para download está disponível apenas em inglês.

Distribuição de fluxo e pedidos de pacotes

date_range 24-Jun-24

Este tópico descreve sobre a distribuição de carga e o pedido de pacotes em dispositivos SRX5000 Line.

Entendendo a distribuição de carga em dispositivos de linha SRX5000

O algoritmo de distribuição de carga, que é suportado nos dispositivos de SRX5800, SRX5600 e SRX5400, é ajustado com base na capacidade de sessão e poder de processamento. (O suporte real da plataforma depende da versão do Junos OS em sua instalação.)

A distribuição de sessão baseada em hash usa uma tabela de hash. A tabela de peso da sessão da SPU é usada para atribuir um ID de SPU a cada índice de hash na tabela de hash de distribuição de sessão. Dessa forma, o número de sessões criadas em cada SPU usando distribuição baseada em hash é proporcional ao peso da SPU na tabela de peso da sessão de SPU. Cada NPU também mantém uma tabela de peso de sessão de SPU idêntica e uma tabela de hash de distribuição de sessão que ela usa para selecionar uma SPU para encaminhar pacotes que não correspondam a uma sessão de NPU.

No caso de uma falha na SPU, o Mecanismo de Roteamento redefinirá todas as placas no plano de dados, incluindo IOCs e NPCs, a fim de manter a consistência da tabela de hash para a distribuição da sessão.

Na distribuição de sessão baseada em hash, os pesos são baseados na capacidade da sessão. Recomendamos o modo de distribuição de sessão de hash quando a alta capacidade de sessão for necessária.

Nota:

A distribuição de carga em dispositivos de linha SRX5000 é sempre baseada em hash.

A inserção e a remoção de SPCs causam o recalculação da tabela de peso da sessão de SPU no momento da inicialização do ponto central, pois o chassi deve ser reiniciado após a inserção.

A partir do Junos OS Release 15.1X49-D30, a arquitetura de ponto central é aprimorada para lidar com sessões e conexões simultâneas mais altas por segundo (cps) para o dispositivo de linha SRX5000.

Os aprimoramentos da arquitetura de ponto central impedem que os pacotes de dados passem pelo ponto central, descarregando o gerenciamento de tráfego para SPUs. A capacidade de sessão do sistema é estendida, conforme o limite de sessão no ponto central é removido.

Cálculo do ID de SPU

O ID de SPU para um dispositivo equipado com SRX3K-SPC-1-10-40, SRX5K-SPC-2-10-40 ou placa de processamento de serviços SRX5K-SPC3 (SPC) é calculado da seguinte forma:

content_copy zoom_out_map
SPU ID = (FPC ID X 4) + PIC ID

O SRX3K-SPC-1-10-40, SRX5K-SPC-2-10-40 e SRX5K-SPC3 contém dois PICs por placa, quatro PICs por placa (FPC) e dois PICs por placa, respectivamente. Por exemplo, um dispositivo contém 2 placas no slot 1 (FPC ID 0) e slot 2 (FPC ID 1), os IDs SPU esperados são os seguintes:

  • Para SPC1: (0, 1) e (4, 5), total de 4 SPUs em 2 placas.

  • Para SPC2: (0, 1, 2, 3) e (4, 5, 6, 7), total de 8 SPUs em 2 placas.

  • Para SPC3: (0, 1) e (4, 5), total de 4 SPUs em 2 placas.

Para FPC1 (a segunda placa) e PIC1 (a segunda PIC na placa), o ID de SPU é calculado como:

content_copy zoom_out_map
       SPU ID = (FPC ID X 4) + PIC ID
              = (1 X 4) + 1
              = 4 + 1
              = 5

Use esta convenção enquanto refere o ID de SPU para CLI e SNMP.

Encaminhamento baseado em hash no SRX5K-MPC, SRX5K-MPC3-40G10G (IOC3) e o SRX5K-MPC3-100G10G (IOC3)

Nesses firewalls da Série SRX, um pacote passa por uma série de eventos envolvendo diferentes componentes à medida que avança do processamento da entrada à saída. Com o recurso de encaminhamento de pacotes de datapath, você pode obter uma entrega rápida de tráfego de E/S na linha SRX 5000 de dispositivos.

O SRX5K-MPC, SRX5K-MPC3-40G10G (IOC3) e SRX5K-MPC3-100G10G (IOC3) são placas de interface suportadas nos dispositivos de SRX5400, SRX5600 e SRX5800. O Concentrador modular de portas (MPC) oferece serviços de balanceamento de carga para unidades de processamento de serviços (SPUs) usando o método de encaminhamento baseado em hash.

No encaminhamento baseado em hash, o pacote pode ser encaminhado pelo MPC para uma SPU (DCP) selecionada em vez do ponto central. Essa abordagem melhora o dimensionamento da sessão e evita a sobrecarga do ponto central.

O cálculo do valor do hash envolve as seguintes etapas:

  • Para pacotes IPv4, o módulo de encaminhamento baseado em hash gera o valor de hash com base nas informações de Camada 3 e Camada 4, dependendo de diferentes tipos de protocolo de Camada 4.

  • Para protocolo de transmissão de controle de fluxo (SCTP), TCP, UDP, Authentication Header (AH), provedor de serviços de borda (ESP) e protocolos de mensagem de controle de Internet (ICMP), o módulo de hash utiliza informações de Camada 4 para gerar o valor de hash. Para quaisquer outros protocolos, apenas informações de Camada 3 são usadas na geração de hash.

  • Para pacotes de fragmento IPv4, o valor de hash é calculado usando apenas as informações de Camada 3. Isso também se aplica ao primeiro fragmento do pacote.

  • Para pacotes não IP, o módulo de encaminhamento baseado em hash usa as informações de Camada 2 para calcular o valor do hash.

Uma vez calculado um valor de hash de acordo com as informações de Camada 2, Camada 3 ou Camada 4 do pacote, um ID de SPU é atribuído a cada índice de hash na tabela de hash da distribuição de sessão.

Nota:

O SRX5K-MPC (IOC2), SRX5K-MPC3-40G10G (IOC3) e SRX5K-MPC3-100G10G (IOC3) só podem ser usados em SRX5400, SRX5600 e SRX5800 dispositivos configurados para distribuição de sessão baseada em hash.

Quando o modo de distribuição de sessão baseado em hash é habilitado, o sistema muda seu comportamento para o modo baseado em capacidade de sessão alta quando o SRX5K-MPC, SRX5K-MPC3-40G10G (IOC3) e SRX5K-MPC3-100G10G (IOC3) estão instalados no dispositivo.

Nota:

Em SRX5000 dispositivos de linha com SRX5K-MPC, SRX5K-MPC3-40G10G (IOC3) ou SRX5K-MPC3-100G10G (IOC3) instalados durante um sistema ou um reboot de SPU, quando o modo de distribuição de sessão baseado em hash estiver habilitado, o tráfego só será transmitido quando todas as SPUs estiverem ativadas após a reinicialização.

Os MPCs do IOC3 fornecem serviços de balanceamento de carga para SPUs realizando o encaminhamento de pacotes de datapath baseados em hash para interconexão com todos os IOCs e SPCs existentes.

O IOC3 processa pacotes de entrada e saída. O IOC3 analisa o pacote de entrada e o envia à SPU para processamento de segurança adicional, incluindo a busca por sessão de fluxo, verificação de zonas e políticas, VPN, ALG e assim por diante.

O IOC3 gerencia a memória de dados de pacotes e a fila de malha para funções de pesquisa e encapsulamento de pacotes.

Nota:

Começando com o Junos OS Release 15.1X49-D10 e o Junos OS Release 17.3R1, a distribuição de sessão baseada em hash é o modo padrão para dispositivos de SRX5400, SRX5600 e SRX5800. A seleção de chaves de hash depende dos protocolos de inscrição.

A partir do Junos OS Release 17.4R1, o tráfego é hashed e distribuído a diferentes SPUs pelo IOC, com base em um algoritmo de distribuição de sessão baseado em hash. Esse aprimoramento oferece uma distribuição uniforme de hash entre todas as SPUs usando uma tabela de hash de comprimento fixo maior. Nas versões anteriores do Junos OS, a distribuição de tráfego foi desigual entre todas as SPUs devido a uma tabela de hash de comprimento fixo.

O IOC3 configura uma tabela de fluxo de segurança (IPv4 e IPv6), incluindo chave, tabela de resultados e memória de pacotes.

As funções a seguir são fornecidas com a tabela de fluxo:

  • Busca de fluxo

  • Inserção e exclusão de fluxo

  • O fluxo de segurança está envelhecendo

  • Estatísticas de fluxo de segurança

Entender a função de pedido de pacotes em dispositivos de linha de SRX5000

A função de pedido de pacotes, que é suportada no SRX5400, SRX5600 e SRX5800, dispositivos e firewall virtual vSRX, melhora o desempenho do dispositivo ativando a função integrada de pedido de pacotes do Mecanismo de pedido de pacotes no processador XLP no ponto central do aplicativo.

Dois tipos de modos de pedido de pacotes são suportados: hardware e software.

Se a função de pedido de pacotes for definida como hardware, a rosca de balanceamento de carga (LBT) e o thread de pedido de pacotes (POT) serão descarregados no mecanismo de pedido de pacotes e os recursos serão liberados para realizar o processamento de pacotes. Se a função de pedido de pacotes estiver definida como software, a rosca de balanceamento de carga (LBT) e o thread de pedido de pacotes (POT) estarão sendo executados na SPU. Por padrão, o modo de pedido de pacotes usando o Mecanismo de pedido de pacotes (hardware) é habilitado no dispositivo. Você pode desabilitar com uma mudança de configuração que requer uma reinicialização.

O thread de fluxo recebe os pacotes, os processa e envia ou derruba. Para pacotes que não exigem pedidos, a rosca de fluxo notifica a saída do Mecanismo de Aceleração de Rede (NAE) para enviar ou soltar os pacotes. Para pacotes que exigem pedidos, a rosca de fluxo notifica o Mecanismo de solicitação de pacotes para desemitir os pacotes da lista de pedidos e enviar ou soltar os pacotes em ordem.

Alteração do modo de pedido de pacotes em dispositivos de linha de SRX5000

A funcionalidade de pedido de pacotes usando o Mecanismo de pedido de pacotes é suportada em dispositivos de SRX5400, SRX5800 e SRX5600 com SPCs de próxima geração. (O suporte da plataforma depende da versão do Junos OS em sua instalação.) Por padrão, o modo de pedido de pacotes usando o Mecanismo de pedido de pacotes está habilitado. Para desativar a funcionalidade de pedido de pacotes usando o Mecanismo de solicitação de pacotes, você deve atualizar o modo de pedido de pacotes no dispositivo.

Os seguintes modos de pedido de pacotes são suportados:

  • software — desativa o modo de pedido de pacotes usando o Mecanismo de solicitação de pacotes.

  • hardware — permite o modo de pedido de pacotes usando o Mecanismo de solicitação de pacotes. Esta é a opção padrão.

Para desativar o modo de pedido de pacotes usando o Mecanismo de solicitação de pacotes:

  1. Digite o comando a seguir no prompt de configuração da CLI para especificar o modo de pedido de pacotes.

    content_copy zoom_out_map
    [edit]
    user@host#  set security forwarding-process application-services packet-ordering-mode software
    
  2. Use o show security forwarding-process comando para revisar sua configuração.

    content_copy zoom_out_map
    [edit]
    user@host# show security forwarding-process
    application-services{ 
        packet-ordering-mode software;
    }
    
  3. Verifique suas alterações na configuração antes de se comprometer.

    content_copy zoom_out_map
    [edit]
    user@host# commit check
    
    content_copy zoom_out_map
    warning: System packet ordering mode changed, reboot is required to take effect.
    If you have deployed a cluster, be sure to reboot all nodes.
    configuration check succeeds
    
  4. Confirmar a configuração.

    content_copy zoom_out_map
    [edit]
    user@host# commit
    
    content_copy zoom_out_map
    warning: System packet ordering mode changed, reboot is required to take effect.
    If you have deployed a cluster, be sure to reboot all nodes.
    commit complete
    
  5. Reinicialize o dispositivo no momento apropriado.

  6. Use o show security flow status comando para verificar o modo de solicitação de pacotes.

    content_copy zoom_out_map
    user@host> show security flow status
     
      Flow forwarding mode:
        Inet forwarding mode: flow based
        Inet6 forwarding mode: drop
        MPLS forwarding mode: drop
        ISO forwarding mode: drop
      Flow trace status
        Flow tracing status: off
      Flow session distribution
        Distribution mode: RR-based
      Flow packet ordering
        Ordering mode: Software (reboot needed to change to Software)
    

Entenda a distribuição de sessão em dispositivos de linha SRX5000 em modo adaptativo

A partir do Junos OS Release 15.1X49-D30 e junos OS Release 17.3R1, a distribuição de sessão de modo adaptativo foi substituída por melhorias na arquitetura de ponto central.

A distribuição de sessão de modo adaptativo é implementada nos dispositivos da linha SRX5000 em execução no modo misto antes do Junos OS Release 15.1X49-D30 e Junos OS Release 17.1R1. A distribuição de sessão de modo adaptativo maximiza o uso de recursos do sistema levando em conta a capacidade de uma Unidade de Processamento de Serviços (SPU) e seus recursos disponíveis. Ele é habilitado apenas em dispositivos de linha SRX5000 em execução no modo misto XLR/XLP, ou seja, em implantações de chassi em que diferentes tipos de SPUs são usados em diferentes combinações. Se um dispositivo SRX5800, SRX5600 ou SRX5400 conter uma mistura de placas de processamento de serviços (SPCs) de próxima geração e SPCs existentes, então a distribuição de sessão de modo adaptativo é assumida como padrão. Para SRX5000 dispositivos de linha que não estão sendo executados no modo misto, o balanceamento de carga baseado em hash é o padrão.

Uma placa de processamento de serviços (SPC) contém uma ou mais SPUs cada uma das quais processa os pacotes de um fluxo de acordo com os recursos de segurança e outros serviços configurados para sessões distribuídas a ele pelo ponto central (CP). A carga de CPU de uma SPU muda de tempos em tempos. Para utilizar totalmente a capacidade disponível em mudança e adaptar a distribuição de sessão de acordo, no modo adaptativo o sistema atribui um peso a todas as SPUs dinamicamente. É o peso das SPUs que determinam a distribuição da sessão.

Cada SPU envia periodicamente suas informações de uso de CPU para o ponto central (CP). O ponto central verifica esses valores, calcula o peso a cada 1 segundo e distribui as sessões de forma a maximizar o desempenho geral do sistema. Em outras palavras, no modo adaptativo, a distribuição de sessão é baseada em um sistema de atribuição ponderado dinâmico que é calculado em tempo real, permitindo a utilização completa da capacidade dos CPUs de todas as SPUs, independentemente de seu tipo.

É o cálculo dinâmico de pesos que distingue a distribuição de sessão de modo adaptativo da distribuição ponderada de sessão de round-robin (WRR). Embora o WRR diferencie as SPUs e sua capacidade de CPU calculando e atribuindo pesos aos diferentes tipos de SPUs, o cálculo e a atribuição são estáticos, ou seja, é feito apenas uma vez, na inicialização. O modo adaptativo melhora o processo de distribuição de sessão de razão fixa do WRR. O WRR leva à subutilização dos recursos do sistema porque os limites de processamento de sessão são definidos com base apenas no tipo de SPU e sua capacidade de CPU, não levando em conta seu poder de processamento disponível.

Para distribuição de sessão de modo adaptativo, a fórmula a seguir é usada para calcular o peso atribuído a uma SPU:

Wi = Soma (W1-n)*Ci*Si/Sum (C1-n*S1-n)

Onde:

  • Wi— peso atribuído à SPU.

  • Sum(W1-n)— Peso total do sistema. Esses valores são constantes.

  • n— número total de SPUs.

  • Ci— poder computacional de CPU disponível da SPU.

  • Si— capacidade de sessão disponível da SPU.

No modo adaptativo, quando o uso de CPU em uma SPU é alto, menos sessões são distribuídas a essa SPU. Os exemplos a seguir explicam o cálculo.

Considere um dispositivo com duas SPUs. A capacidade de sessão de cada SPU é de 1 milhão.

Por um certo tempo:

  • Quando o SPU1 tem 500.000 sessões, a utilização da CPU é de 10 por cento:

    • Capacidade de CPU disponível de SPU1 (C1) = 1-10 por cento = 90 (por cento).

    • Capacidade de sessão disponível de SPU1 (S1) = 1-500.000/1M = 50 (por cento).

  • Quando o SPU2 tem 400.000 sessões, a utilização da CPU é de 20 por cento:

    • Capacidade disponível de SPU2 (C2)= 1-20 por cento= 80 (por cento).

    • Capacidade de sessão disponível de SPU2 (S2)= 1-400.000/1M= 60 (por cento).

Se o peso de todo o sistema for de 100, os valores de peso separados para cada SPU são:

  • Peso do SPU1 (W1) = 100*90*50/(50*90+80*60) = 48

  • Peso do SPU2 (W2) = 100*80*60/(50*90+80*60) = 52

Para as próximas sessões, 48% das sessões são alocadas para SPU1, enquanto 52% dos pacotes são destinados à SPU2.

Os números ponderados podem fazer efeito no sistema em um curto período antes que o ponto central verifique as informações de uso do tempo de execução e ajuste os pesos a um novo valor.

Tabela de histórico de mudanças

O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.

Soltar
Descrição
17.4R1
A partir do Junos OS Release 17.4R1, o tráfego é hashed e distribuído a diferentes SPUs pelo IOC, com base em um algoritmo de distribuição de sessão baseado em hash. Esse aprimoramento oferece uma distribuição uniforme de hash entre todas as SPUs usando uma tabela de hash de comprimento fixo maior. Nas versões anteriores do Junos OS, a distribuição de tráfego foi desigual entre todas as SPUs devido a uma tabela de hash de comprimento fixo.
15,1X49-D30
A partir do Junos OS Release 15.1X49-D30, a arquitetura de ponto central é aprimorada para lidar com sessões e conexões simultâneas mais altas por segundo (cps) para o dispositivo de linha SRX5000.
15,1X49-D30
A partir do Junos OS Release 15.1X49-D30 e junos OS Release 17.3R1, a distribuição de sessão de modo adaptativo foi substituída por melhorias na arquitetura de ponto central.
15,1X49-D10
Começando com o Junos OS Release 15.1X49-D10 e o Junos OS Release 17.3R1, a distribuição de sessão baseada em hash é o modo padrão para dispositivos de SRX5400, SRX5600 e SRX5800. A seleção de chaves de hash depende dos protocolos de inscrição.
external-footer-nav