サービスの改善にご協力お願いします。

お客様のご意見をお聞かせください。

アンケートの所要時間はおよそ 2 分です。

list Table of Contents

この機械翻訳はお役に立ちましたでしょうか?

starstarstarstarstar
Go to English page
免責事項:

このページは、サードパーティー製機械翻訳ソフトウェアを使用して翻訳されます。質の高い翻訳を提供するために合理的な対応はされていますが、ジュニパーネットワークスがその正確性を保証することはできかねます。この翻訳に含まれる情報の正確性について疑問が生じた場合は、英語版を参照してください. ダウンロード可能なPDF (英語版のみ).

Express Path の概要

date_range 24-Jun-24

Express Path(以前は サービス オフローディングと呼ばれていました)は、サービス処理ユニット(SPU)ではなく、ネットワーク プロセッサで高速パス パケットを処理するメカニズムです。Express Path は、特定のトラフィックを SPU からネットワーク プロセッサにオフロードすることで、パフォーマンスを向上させます。

ネットワーク プロセッサで Express Path セッションを作成すると、フローの後続のパケットはネットワーク プロセッサ上のセッションと一致します。その後、ネットワーク プロセッサがパケットを処理して転送します。

ネットワークプロセッサは、TCPシーケンスチェック、TTL(Time-to-live)処理、NAT(ネットワークアドレス変換)、レイヤー2ヘッダー変換などの追加処理も管理します。IOC3 のフロー テーブルは、フロー モジュールの SPU によって管理されます。SPU は、ポリシー一致結果に基づいてフロー テーブルにフロー エントリーを挿入および削除します。Express Path は IPv6 をサポートしています。

この図は、Express Path でのパケットフローを示しています。

図 1:パケット フローと Express Path Packet flow and Express Path

Express Path の利点

  • シングルフローおよびシャーシレベルのパフォーマンスが大幅に向上します。

  • SPU の使用率と遅延を軽減します。

Express Path の制限事項

Express Path では、以下はサポートされていません。

  • 顔立ち

    • 透過モード

    • 複数のファンアウトがあるマルチキャスト セッション

    • フラグメント化されたパケット

    • IPSec VPN

    • 異なる MTU サイズ値

    • J-フロー

  • アプリケーション層ゲートウェイ(ALG)データトラフィック:

    • DNS

    • IKE と ESP

    • PPTPの

    • SQL-NET

  • IPv6

    • NAT

    • 透過モード

    • 異なる MTU サイズ値

    • エグレスインターフェイス上のCoS(サービスクラス)

ファイアウォールフィルターを使用してトラフィックを仮想ルーターに誘導する場合、Express Pathとパケットオフロードは機能しません。

シャーシ クラスタ モードで動作するデバイスで Express Path を有効にした場合:

  • 非対称 I/O カード(IOC)は設定できません。

  • LACP対応rethインターフェイスからの子リンクがダウンした場合、このリンク上のすべてのトラフィックは、インターフェイスの他のアクティブな子リンクに分散されます。子リンクが立ち上がり、rethインターフェイスに再結合した場合、既存のトラフィックまたはセッションは、この新しく再結合されたアクティブな子リンク上で再分配されません。新しいセッションは、このリンクを通過します。

  • 新しい子リンクがLACP対応のrethインターフェイスに追加された場合、既存のトラフィックまたはセッションはこの新しい子リンク上で再配布されません。新しいセッションはこのリンクを通過します。

自動化された Express Path

SRX4600、SRX5400、SRX5600、SRX5800 の各デバイスでは、Junos OS リリース 21.2R1 から Automated Express Path がデフォルトで有効になっています。Junosリリース21.2R1以降にアップグレードすると、設定やハードウェアに追加投資することなく、比類のない次世代ファイアウォールのパフォーマンスを無料で利用することができます。デフォルトでは、自動 Express Path が有効になっています。

Junos OS リリース 21.2R1では、ルールごとにExpress Pathを無効にするには、 set security policies from-zone [untrust] to-zone ptrust] policy [services-offload-pol1] then permit no-services-offload コマンドを使用します。

ルールごとにサービス オフロードを有効にして以前の動作に戻すには、 set security forwarding-options services-offload disable コマンドを使用します。

自動 Express Path は、次の機能をサポートしています。

  • ステートフルファイアウォール

  • ネットワークアドレス変換(NAT)

  • 統合ポリシー(動的アプリケーションおよびURLカテゴリを使用)

  • ユーザーファイアウォール

  • セキュリティ インテリジェンス

  • 侵入検出と防御(IDP)

  • 拡張 Web フィルタリング

  • アプリケーション層ゲートウェイ(ALG)

  • 画面(DDoS対策)

Express Path はトラフィックをどのように処理しますか?

最初のパケットがインターフェイスに到着すると、ネットワークプロセッサはそれを中央点(CP)に転送します。次に、中央点がパケットを SPU に転送します。次に、SPU はネットワーク プロセッサー上にセッションを作成し、トラフィックが Express Path セッションまたは通常のセッションのいずれに適しているかを検証します。

トラフィックが Express Path 処理の対象となる場合、トラフィックの Express Path セッションが SPU に作成されます。Express Path セッションは、ネットワーク プロセッサで高速パス パケットを処理し、パケットはネットワーク プロセッサから出ます。

トラフィックが Express Path 処理の対象とならない場合、SPU は通常のセッションを作成します。通常のセッションでは、高速パス処理のためにネットワーク プロセッサーから SPU にパケットが転送されます。

Express Path をサポートするプラットフォーム

SRX4600、SRX5400、SRX5600、SRX5800 の各デバイスは Express Path をサポートしています。

表 1 は、さまざまな SRXシリーズ カードでの Express Path サポートの詳細を示しています。

表1:SRXシリーズファイアウォールカードでのExpress Pathサポート

SRXシリーズファイアウォール

カード名とモデル番号

サポート対象の最も早いリリース

SRX5600、SRX5800

SRX5K-40GE-SFP

Junos OS リリース 11.4

SRX5600、SRX5800

SRX5K-4XGE-XFP

Junos OS リリース 11.4

SRX5600、SRX5800

以下のカードのいずれかを含むSRX5K-FPC-IOC:

  • SRX-IOC-16GE-TX

  • SRX-IOC-4XGE-XFP

  • SRX-IOC-16GE-SFP

Junos OS リリース 11.4

SRX5400、SRX5600、SRX5800

以下のMICのいずれかを含むSRX5K-MPC:

  • SRX-MIC-10XGE-SFFP

  • SRX-MIC-2X40GE-OSFP

  • SRX-MIC-1X100GE-CFP

  • SRX-MIC-20GE-SFP

Junos OS リリース 12.3X48-D10

SRX5400、SRX5600、SRX5800

以下のMPCのいずれかを含むSRX5K-MPC3(IOC3):

  • SRX5K-MPC3-40G10G(24x10GE + 6x40GE MPC)

  • SRX5K-MPC3-100G10G(2x100GE + 4x10GE MPC)

Junos OS リリース 15.1X49-D10

SRX5400、SRX5600、SRX5800

SRX5K-IOC4-10G(IOC4)

SRX5K-IOC4-MRAT

Junos OS リリース 19.3R1

SRX4600

該当なし

Junos OS リリース 19.2R1

Express Path を有効にする方法

手記:

Express Path は、Junos OS リリース 21.2R1 から自動化されています。

Express Pathモードを設定するには:

  • • IOC カードまたはフレックス IOC カードを搭載した SRX5000シリーズ デバイスでは、 set chassis fpc fpc-number pic pic-number services-offload コマンドを使用します。

  • Modular Port Concentrator(MPC)を搭載したSRX5000シリーズデバイスで、 set chassis fpc fpc-number np-cache コマンドを使用してIOCのNPキャッシュを有効にします。

  • SRX4600デバイスでは、np-cache オプションがデフォルトで有効になっています。したがって、 set chassis fpc fpc- number np-cache コマンドは適用されません。

Express Path を使用しない場合は、どのセキュリティ ポリシーでも構成しないでください。

Express Pathネットワークプロセッサ

ネットワークプロセッサを搭載したSRX4600、SRX5400、SRX5600、およびSRX5800デバイスでは、パケットプラグインやストリームプラグインを含むすべてのプラグインがセッションを無視すると、セッションをサービスオフロードしてから、ネットワークプロセッサにセッションをインストールします。パケットプラグインがセッションを無視すると、無視フラグをマークします。ストリーミングプラグインがセッションを無視すると、無視フラグをマークし、TCP-TとTCP-Iを短絡します。次に、セッションをネットワークプロセッサにインストールして、セッションをオフロードします。

I/Oカード(IOC)ネットワークプロセッサは、スイッチファブリックやSPUを介さずに高速パスパケットを処理します。これにより、パケット処理の遅延が短縮されます。

各フロー エントリには、Express Path ネットワーク プロセッサ内の翼ごとのカウンターがあります。このカウンターは、ネットワーク プロセッサが送信するバイト数をキャプチャします。

さまざまなシナリオでのネットワークプロセッサの動作は次のとおりです。

  • ファーストパスフロー—ファーストパスフローは、現在のネットワークプロセッサーフロープロセスと同じです。最初のパケットがネットワーク プロセッサに到着すると、ネットワーク プロセッサは TCP または UDP パケットを解析して 5 タプル キーを抽出し、フロー テーブルでセッション検索を実行します。その後、ネットワークプロセッサは最初のパケットを中央ポイントに転送します。これが最初のパケットであるため、中央点はこの時点で一致するものを見つけることができません。中央ポイントとSPUがセッションを作成し、ユーザー設定のポリシーと照合して、セッションが通常のセッションかサービス オフロード セッションかを判断します。

    Express Path で管理するセッションを指定すると、SPU はネットワーク プロセッサ フロー テーブルにセッション エントリーを作成します。これにより、セッション エントリ テーブルで Express Path フラグが有効になります。それ以外の場合、SPU は Express Path フラグなしでネットワーク プロセッサに通常のセッション エントリーを作成します。

  • ファストパスフロー—ネットワークプロセッサでセッションエントリーを作成した後、セッションの後続のパケットはセッションエントリーテーブルと一致します。

    1. Express Path フラグが設定されていない場合、ネットワーク プロセッサは、セッション エントリー テーブルで指定された SPU にパケットを転送します。パケットは通常のフロー プロセスを通過します。

    2. ネットワークプロセッサは、セッションエントリテーブルでサービスオフロードフラグを見つけると、パケットをローカルで処理し、パケットを直接送信します。

    3. ネットワーク プロセッサの高速転送機能は、1 ファンアウトのマルチキャスト セッションをサポートします。また、セッション内のエグレスポートは、イングレスポートと同じネットワークプロセッサーに関連付けられている必要があります。その他のマルチキャストのケースはすべて、通常のセッションとして管理する必要があります。

  • NAT プロセス - SPU は、内部 IP アドレスまたはポートと外部IPアドレスまたはポート間のマッピングを担当します。セッションの最初のパケットが到着すると、SPU は IP アドレスまたはポート マッピングを割り当て、その情報をネットワーク プロセッサ セッション エントリーに格納します。NAT フラグが設定されている場合、ネットワーク プロセッサはパケットを変更します。

  • セッション エージング アウト — サービス オフロード セッションのトラフィック スループットを向上させるために、事前定義された時間ごとにパケットのコピーが SPU に送信され、SPU でのパケット処理の需要が軽減されます。SPU に送信されるパケット コピーの数を制限するために、サービス オフロード セッションごとにタイムスタンプが実装されます。ネットワークプロセッサは、最後のセッション一致からの経過時間を計算します。経過時間が事前定義された期間よりも長い場合、ネットワーク プロセッサはパケットのコピーを SPU に送信し、セッション タイムスタンプを更新します。

  • セッションの終了と削除—ネットワーク プロセッサは、FIN(終了データ)または RST(接続のリセット)フラグが設定された IP パケットを受信すると、パケットを SPU に転送します。その後、SPU はネットワーク プロセッサ上のセッション キャッシュを削除します。ネットワーク プロセッサは、状態遷移中も引き続きパケットを受信し、SPU に転送します。

ウィング統計カウンター

Express Path では、ネットワーク プロセッサには、各フロー エントリに対して、ウィングごとのバイト カウンターを保持するオプションが用意されています。このカウンターは、ネットワーク プロセッサが送信するバイト数をキャプチャします。

カウンターを有効にすると、ネットワーク プロセッサはすべてのイングレス パケットのフロー エントリ(セッション ウィング)を検索します。パケットが確立されたフローエントリに属している場合、ネットワークプロセッサはパケット内のフローエントリのバイトカウンターを増やします。ネットワーク プロセッサーは、各フロー エントリーのパケット(コピー パケット)を関連する SPU に定期的にコピーし、SPU がセッションを維持できるようにします。ネットワーク プロセッサは、コピー パケット パケットのヘッダーにフローバイト カウンター値を送信します。SPU は、ウィングごとの統計情報カウンターを蓄積し、保持します。

ライブ セッションのライフサイクル中に統計構成を変更することはできません。ネットワーク プロセッサでセッションが稼働しているときに、ウィング単位の統計情報設定を無効または有効にすると、現在のセッションのセッション統計が無効になります。新しいセッション統計は、設定変更がコミットされた後にのみ有効です。ネットワーク プロセッサのウィング単位のカウンタはクリアできません。SRX5K-MPC(IOC2)、SRX 5K-MPC3(IOC3)、およびSRX5K-IOC4-10G(IOC4)を搭載したSRX5800デバイスでは、ウィング統計カウンター設定がデフォルトで有効になっており、SRX4600デバイスでは、ウィング統計カウンターを有効にします。

ウィング統計あたりのセッション数

ネットワークプロセッサは、セッションリソースに対応するためにより大きな静的RAM(SRAM)を備えているため、PICごとにより多くのセッションをホストできます。 表 2 は、Express Path と非 Express Path の両方を含むセッション ウィングの総数を示しています。SRX4600デバイスでは、IMIXスループットは400Gbpsです。

表 2:ネットワーク プロセッサ Express Path コンフィギュレーション モードでのウィングあたりのセッションの総数

翼の総数

Express Path UDP Wingsの数

Express Path TCPウィングの数

カードとSRXシリーズファイアウォール 非Express Pathモードセッション 統計なし 統計あり 統計なし 統計あり

SRX5000シリーズデバイスSRX5K-MPC(IOC2)

180万

180万

180万

180万

180万

SRX5000シリーズデバイスSRX5K-MPC3(IOC3)

2000 万

2000 万

2000 万

2000 万

2000 万

SRX5000シリーズデバイス、SRX5K、IOC4

1,000万

1,000万

1,000万

1,000万

1,000万

SRX4600

2000 万

2000 万

2000 万

2000 万

2000 万

IOC カードでの Express Path パケット処理

IOC カードの Express Path は、SPU ではなくネットワーク プロセッサ チップセットを介して高速パス パケットを処理することに基づいており、一部の基本的なファイアウォール機能を IOC カードにオフロードします。

Express Path 機能を有効にしている場合、IOC カードは待機時間を短縮し、SPU の過負荷を取り除くことでより高いスループットもサポートします。IOC カードは、カード内トラフィック フローとカード間トラフィック フローの両方をサポートします。最良のレイテンシ結果を得るには、トラフィックフローのイングレスポートとエグレスポートの両方が、IOCカードの同じXMチップ上にある必要があります。

IOCカードは240Gbps FPCをサポートし、第3世代のネットワーク処理(NP)ラインのチップセットを使用します。この最新のルックアップおよびキューイング・チップは、大容量化に向けて最適化されています。IOCカードはSCB2およびSCB3と互換性があり、以前のSCBはサポートされていません。

電力と温度の制限により、IOCカードの4つのPICすべてに同時に電源を入れることはできません。偶数または奇数の順序で最大2つのPICの電源を入れます。 set chassis fpc <slot> pic <pic> power off コマンドを使用して、電源をオンにするPICを選択できます。

システムログメッセージは次のとおりです。

  • XMCHIP_CMERROR_DDRIF_INT_REG_CHKSUM_ERR_MINOR

  • XMCHIP_CMERROR_DDRIF_INT_REG_CHKSUM_ERR_MAJOR

エラーメッセージは、FPC(フレキシブルPICコンセントレータ)上のXMチップがチェックサムエラーを検出し、パケットドロップの原因となっていることを示しています。以下のエラーしきい値は、エラーをメジャー エラーまたはマイナー エラーとして分類します。

  • 軽微なエラー—> 5 エラー/秒

  • 重大エラー—> 255 エラー/秒(最大カウント)

データプレーンでは、IOCカードがパケットを解析し、フローテーブルで検索します。IOC カードがフロー テーブルで一致を見つけると、フロー テーブルで指定された命令に基づいてパケットを転送します。IOCカードは、NATを実行し、レイヤー2(L2)ヘッダーをカプセル化して、エグレスインターフェイスからパケットを転送できます。出力インターフェイスは、同じIOCカード(カード内ケース)または別のIOCカード(カード間ケース)に配置できます。

IOC カードが最初のパケットを受信したとき、そのパケットは既存のどの早送りセッションとも一致しません。デフォルトのハッシュベース転送は、最初のパケットを SPU に送信するために実行されます。その後、SPU はセキュリティ セッションを作成します。SPU は、トラフィックが高速転送の対象であり、関連する IOC カードが高速転送をサポートしていることを検出した場合、IOC カードに早送りセッションをインストールします。トラフィックに高速転送を適用できない場合、セッション メッセージは送信されず、IOC カードはデフォルトのハッシュベース転送を使用してパケットを SPU に転送します。

早送り IOC カード処理では、早送りセッションが一致した場合、セッション フロー結果に従ってパケットを直接転送できます。IOCカードは、パケットの転送、TTLチェックとNAT変換の削減、レイヤー2ヘッダーのカプセル化など、必要なすべてのアクションを実行します。

さらに、XL チップは、事前定義された時間に転送パケットの 1 つのコピーを SPU に送信します。このコピーは、SPU セッションの更新、現在の XL チップ状態の検出などに使用されます。SPU はこのパケットを消費し、実際のパケットが処理および送信されているため、転送しません。

図 2:IOC3 Intra-PFE Express Path IOC3 Intra-PFE Express Path
図 3:IOC3 Inter-PFE Express Path
図4:IOC3 Express Path

例:IOC カードを搭載した SRX5400、SRX5600、または SRX5800 デバイスでの Express Path の設定

この例では、SRX5400、SRX5600、または SRX5800 デバイスの IOC カードに Express Path を設定する方法を示します。

Express Path は、SPU(サービス処理ユニット)ではなく、ネットワーク内で高速パスパケットを処理するためのメカニズムです。この方法により、パケットがネットワーク プロセッサから SPU に転送されて処理され、送信のために IOC に戻されるときに発生する長いパケット処理の待機時間が短縮されます。

Junos OS リリース 15.1X49-D40 以降、設定は IPv6 トラフィックに対して有効になりました。このリリースまでは IPv4 トラフィックに対してのみサポートされていました。

必要条件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • IOC カードを搭載した 1 台の SRX5400、SRX5600、または SRX5800 デバイス

  • Junos OS リリース 15.1X49-D40 以降(SRXシリーズ ファイアウォール向け)

手記:

Express Path は、Junos OS リリース 21.2R1 から自動化されています。

概要

この例では、IPv6 トラフィック用に SRX5000シリーズ デバイス上の IOC カードに Express Path を構成します。

IOC カードに 2 つのインターフェイスを設定し、それらに IPv6 アドレスを割り当てます。次に、IPv6 トラフィックのフローベース処理を有効にします。次に、ゾーンを設定し、インターフェイスを追加します。次に、2 つのゾーン間のトラフィックを許可するセキュリティ ポリシーを構成することで、2 つの異なるゾーン間の通信を提供します。また、セキュリティ ポリシーで Express Path を有効にして、トラフィックが Express Path の対象となるかどうかを指定することもできます

構成

プロシージャ

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。

content_copy zoom_out_map
[edit]
set interfaces et-2/1/0 unit 0 family inet6 address 2001:db8::4:12/32
set interfaces et-2/3/0 unit 0 family inet6 address 2001:db8::6:11/32
set security forwarding-options family inet mode flow-based 
set security forwarding-options family inet6 mode flow-based 
set zones security-zone zone-1 host-inbound-traffic system-services all 
set zones security-zone zone-1 host-inbound-traffic protocols all
set zones security-zone zone-1 interfaces et-2/1/0.0
set zones security-zone zone-2 host-inbound-traffic system-services all
set zones security-zone zone-2 host-inbound-traffic protocols all
set zones security-zone zone-2 interfaces et-2/3/0.0
security policies from-zone zone-2 to-zone zone-1 policy express-path-policy-2 match source- address any
security policies from-zone zone-2 to-zone zone-1 policy express-path-policy-2 match destination- address any
security policies from-zone zone-2 to-zone zone-1 policy express-path-policy-2 match application any
security policies from-zone zone-2 to-zone zone-1 policy express-path-policy-2 then permit then permit services-offload
security policies from-zone zone-1 to-zone zone-2 policy express-path-policy-1 match source- address any
security policies from-zone zone-1 to-zone zone-2 policy express-path-policy-1 match destination- address any
security policies from-zone zone-1 to-zone zone-2 policy express-path-policy-1 match application any
security policies from-zone zone-1 to-zone zone-2 policy express-path-policy-1 then permit then permit services-offload
set chassis fpc 2 np-cache

手順

IOC カードを搭載した SRX5400、SRX5600、または SRX5800 ライン デバイスで Express Path を設定するには、次の手順に従います。

  1. イーサネット インターフェイスを設定し、IPv6 アドレスを割り当てます。

    content_copy zoom_out_map
    [edit] 
    set interfaces et-2/1/0 unit 0 family inet6 address 2001:db8::4:12/32
    set interfaces et-2/3/0 unit 0 family inet6 address 2001:db8::6:11/32
  2. IPv6 トラフィックのフローベース処理を有効にします。

    content_copy zoom_out_map
    [edit] 
    set security forwarding-options family inet mode flow-based 
    set security forwarding-options family inet6 mode flow-based
  3. セキュリティ ゾーンを設定し、インターフェイスを追加し、すべてのシステム サービスとインターフェイスを許可します。セキュリティ ゾーンを設定し、インターフェイス et-2/1/0.0 で許可されるトラフィックとプロトコルのタイプを指定します。

    content_copy zoom_out_map
    [edit] 
    set zones security-zone zone-1 host-inbound-traffic system-services all 
    set zones security-zone zone-1 host-inbound-traffic protocols all
    set zones security-zone zone-1 interfaces et-2/1/0.0
  4. セキュリティ ゾーンを設定し、インターフェイスを追加し、すべてのシステム サービスとインターフェイスを許可します。セキュリティ ゾーンを設定し、インターフェイス et-2/3/0.0 で許可されるトラフィックとプロトコルのタイプを指定します。

    content_copy zoom_out_map
    [edit] 
    set zones security-zone zone-2 host-inbound-traffic system-services all
    set zones security-zone zone-2 host-inbound-traffic protocols all
    set zones security-zone zone-2 interfaces et-2/3/0.0
  5. ポリシーを作成し、そのポリシーの一致条件を指定します。一致条件は、デバイスが任意の送信元から任意の宛先へ、および任意のアプリケーション上のトラフィックを許可できることを指定します。セキュリティ ポリシーで Express Path を有効にします。

    手記:

    送信元アドレスと宛先アドレスの一致条件にワイルドカード any-ipv6 を指定して、IPv6 アドレスのみを含めることができます。送信元アドレスと宛先アドレスの一致条件に任意のオプションを指定して、IPv4 アドレスと IPv6 アドレスの両方を含めます。

    content_copy zoom_out_map
    [edit] 
    security policies from-zone zone-2 to-zone zone-1 policy express-path-policy-2 match source- address any
    security policies from-zone zone-2 to-zone zone-1 policy express-path-policy-2 match destination- address any
    security policies from-zone zone-2 to-zone zone-1 policy express-path-policy-2 match application any
    security policies from-zone zone-2 to-zone zone-1 policy express-path-policy-2 then permit then permit services-offload
    content_copy zoom_out_map
    [edit] 
    security policies from-zone zone-1 to-zone zone-2 policy express-path-policy-1 match source- address any
    security policies from-zone zone-1 to-zone zone-2 policy express-path-policy-1 match destination- address any
    security policies from-zone zone-1 to-zone zone-2 policy express-path-policy-1 match application any
    security policies from-zone zone-1 to-zone zone-2 policy express-path-policy-1 then permit then permit services-offload
  6. IOC カードで Express Path モードを設定します。

    content_copy zoom_out_map
    [edit] 
    set chassis fpc 2 np-cache 
    

業績

設定モードから、コマンドを入力して設定を show chassis 確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

content_copy zoom_out_map
from-zone zone-1 to-zone zone-2 { policy express-path-policy--1 {
match {
source-address any; destination-address any; application any;
}
then {
permit {
services-offload;
}
}
}
}
from-zone express-path-policy--2 { policy policy-2 {
match {
source-address any; destination-address any; application any;
}
then {
permit {
services-offload;
}
}
}
}

デバイスの設定が完了したら、設定モードから コミットを入力します。

Express Path の IOC カードの設定の確認

目的

IOC カードが Express Path 用に正しく構成されていることを確認します。

アクション

動作モードから、 コマンドを show chassis fpc pic-status 入力します

content_copy zoom_out_map
Slot 1		Online	SRX5k SPC II
PIC	0	Online	SPU Cp
PIC	1	Online	SPU Flow
PIC	2	Online	SPU Flow
PIC	3	Online	SPU Flow
Slot 2		Online	SRX5k IOC3 2CGE+4XGE
PIC	0	Online	2x 10GE SFP+- np-cache/services-offload
PIC	1	Online	1x 100GE CFP2- np-cache/services-offload
PIC	2	Online	2x 10GE SFP+- np-cache/services-offload
PIC	3	Online	1x 100GE CFP2- np-cache/services-offload
Slot 3		Online	SRX5k IOC3 24XGE+6XLG
PIC	0	Offline	12x 10GE SFP+
PIC	1	Offline	12x 10GE SFP+
PIC	2	Online	3x 40GE QSFP+- np-cache/services-offload
PIC	3	Online	3x 40GE QSFP+- np-cache/services-offload
Slot 4		Offline	SRX5k IOC3 24XGE+6XLG

意味

出力には、Express Pathが有効になっているPICのステータスが表示されます。

デバイス上のすべてのアクティブセッションの確認

目的

デバイス上で現在アクティブなすべての Express Path セッションに関する情報を表示します。

アクション

動作モードから、 コマンドを show security flow session services-offload 入力します。

content_copy zoom_out_map
Flow Sessions on FPC1 PIC1:

Session ID: 50000002, Policy name: express-path-policy-2/5, Timeout: 60, Valid
In: 2001:db8::4:12/32 --> 2001:db8::6:11/32;udp, If: et-2/3/0.0, Conn ID: 0x0, Pkts: 181 29505, Bytes: 1740432530, CP Session ID: 50000002
Out: 2001:db8::6:11/32 --> 2001:db8::4:12/32;udp, If: et-2/1/0.0, Conn ID: 0x0, Pkts: 18 129505, Bytes: 1740432530, CP Session ID: 50000002
Total sessions: 1

意味

出力には、Express Pathが有効になっているセッションのポリシー詳細が表示されます。

external-footer-nav