用于 GTP-U 的基于 PMI 流的 CoS 功能
电源模式 IPsec (PMI) 是一种新的操作模式,可提供 IPsec 性能改进。
基于PMI流的CoS函数,用于具有TEID分布和非对称脂肪隧道解决方案的GTP-U场景
对于非 GTP 流量,每流 CoS 解决方案假定同一会话的所有数据包应具有相同的 DSCP 值。这不适用于 GTP -U,因为它携带不同的用户数据。因此,同一 5 元组 GTP 会话将有不同的 DSCP 代码点。如果将 GTP-U 会话分配解决方案与每流 CoS 解决方案结合使用,则可以为 GTP-U 方案提供每流 CoS 解决方案,即使它在一个 GTP 隧道内携带具有不同 DSCP 代码的多个流也是如此。
以下信息概述了基于 TEID 的哈希分布和非对称胖隧道解决方案。
TEID based hash distributions: GTP-U 使用固定的 UDP 端口-2152 作为其源端口和目标端口。在单个流会话中可能存在来自不同用户的数据流,因此 5 元组不足以分离这些数据流。GTP 有效负载中有一个 4 字节字段,称为隧道端点标识符 (TEID),用于识别同一 GTP 隧道中的不同连接。要将 GTP 会话迁移到锚点 PIC,您需要 IPsec 会话关联。因此,引入了 6 元组(包括 TEID)哈希分布,用于在锚点 PIC 上创建到不同核心的 GTP-U 会话,而不是仅在锚点 PIC 上创建 GTP-U 会话。
图 1 显示了将 SRX 系列防火墙部署为安全网关的典型 LTE 网络架构。胖 GTP 隧道携带来自不同用户的数据。由于 GTP 隧道较胖,安全网关上的 IPsec 隧道可能是胖隧道。SRX 系列防火墙可以创建一个具有高带宽 GTP 流量的 GTP 会话。但是,吞吐量仅限于一个核心处理器的性能。
如果在启用 PMI 和 IPsec 会话相关性时使用基于 TEID 的哈希分布来创建 GTP-U 会话,则会发生以下事件:
您可以启用 SRX 系列防火墙来处理非对称胖隧道(例如:加密方向为 30Gbps / 解密方向为 3 Gbps),因为 PMI 在一个隧道的多个核心上提供并行加密。
您可以将胖 GTP 会话拆分为多个会话,并将它们分发到不同的内核。这有助于增加 SRX 系列防火墙上胖 GTP 隧道的带宽。
Asymmetric fat tunnel solution: SRX 系列防火墙支持非对称胖隧道,因为 PMI 在一个隧道的多个内核上提供并行加密。引入了基于 TEID 的哈希分布,用于在锚点 PIC 上创建到多个内核的 GTP-U 会话。同时启用 PMI 和 IPsec 会话关联性时,clear-txt 流量将充当胖 GTP 隧道。这有助于胖 GTP 会话拆分为多个精简 GTP 会话,并同时在多个内核上处理它们。
图 2 显示了在基于 TEID 的哈希分发以创建 GTP-U 会话时,胖隧道的处理方式。
在加密路径上,当一个具有 5 元组的 GTP 隧道进入时,输入/输出卡 (IOC) 会根据包括 TEID 哈希在内的 6 元组将流量分配到不同的内核中。如果流量发往同一 IPsec 隧道,则流量会在锚点 SPU 的不同核心上创建多个 GTP 会话。
该流在 IOC 上安装多个 NP 缓存,当后续数据包到达 NP 缓存时,它们将分发到锚点 SPU 上的不同核心。
启用 PMI 和 GTP 的配置
以下配置有助于启用 PMI 和 GTP。
开始之前,请确定以下事项:
了解如何建立 PMI 和 GTP。可用于 PMI 模式下 GTP-U 流量的每流 CoS 功能。基于 TEID 的哈希分发,用于在启用 PMI 和 IPsec 会话亲缘关系时,在锚点 PIC 上创建到多个内核的 GTP-U 会话。基于 TEID 的哈希分布可以帮助将胖 GTP 会话拆分为多个精简 GTP 会话,并在多个内核上并行处理它们。借助此增强功能,即使流量在一个 GTP 隧道内携带具有不同 DSCP 代码的多个流,也可以启用用于 GTP-U 流量的每流 CoS。
以下步骤说明如何启用 PMI 和 GTP 会话: