- play_arrow 플로우 기반 세션
- play_arrow IPv6를 위한 플로우 기반 처리
- play_arrow 플로우 기반 세션 모니터링 및 오류 처리를 위한 파라미터 설정
- play_arrow 패킷 기반 포워딩
- play_arrow 구성 명령문 및 운영 명령
보안 장치의 중앙 지점 아키텍처 개요
중앙 지점은 세션 처리를 SPU 중 하나에 위임합니다. 세션이 설정되지 않은 경우, 중앙 지점은 로드 밸런싱 기준에 따라 플로우에 대한 세션을 설정할 SPU를 선택합니다. 세션이 이미 존재하는 경우, 중앙 지점은 해당 플로우에 대한 패킷을 이를 호스팅하는 SPU로 전달합니다.
SRX 시리즈 방화벽 중앙 지점 아키텍처 이해
CP(Central Point) 아키텍처에는 로드 밸런싱과 트래픽 식별(글로벌 세션 매칭)이라는 두 가지 기본 플로우 기능이 있습니다. 이 항목에서 설명한 바와 같이 중앙 지점 아키텍처는 모든 세션 배포 및 세션 매칭이 중앙 지점에서 수행되는 중심 모드 또는 일정 비율의 SPU(Services Processing Unit)가 중앙 지점 기능 수행에 전념하는 혼합 모드로 구현됩니다.
중앙 지점의 주요 기능은 세션 처리를 SPU 중 하나에 위임하는 것입니다. 세션이 아직 설정되지 않은 경우, 중앙 지점은 로드 밸런싱 기준에 따라 플로우에 대한 세션을 설정할 SPU를 선택합니다. 세션이 이미 존재하는 경우, 중앙 지점은 해당 플로우에 대한 패킷을 이를 호스팅하는 SPU로 전달합니다. 또한 NPU가 실패할 경우 패킷을 올바른 SPU로 리디렉션합니다.
중앙 지점은 특정 세션의 소유자 SPU에 대한 정보가 포함된 글로벌 세션 테이블을 유지 관리합니다. 전체 시스템의 중앙 저장소 및 리소스 관리자 역할을 합니다.
중앙 지점 아키텍처는 성능 및 세션 확장 개선을 위해 세션 관리가 중앙 지점에서 SPU로 오프로드되는 CP-lite 모드에서도 구현됩니다. CP-lite는 이 주제에서 다루지 않습니다.
Junos OS 릴리스와 결합된 SRX 시리즈 방화벽 유형에 따라 지원되는 모드가 결정됩니다.
표 1 에는 다양한 릴리스를 위해 SRX 시리즈 방화벽에서 지원되는 중앙 지점 아키텍처 구현이 나와 있습니다.
SRX1400에서 지원되는 모드 | SRX3000 라인에서 지원되는 모드 | SRX5000 라인에서 지원되는 모드 | |
---|---|---|---|
Junos OS Release 12.3X48 and Previous Releases |
|
|
|
| 이러한 SRX 시리즈 방화벽은 더 이상 지원되지 않습니다. | 이러한 SRX 시리즈 방화벽은 더 이상 지원되지 않습니다. |
메모: NG-SPC는 콤보 모드를 쓸모 없게 만듭니다. |
Junos OS Release 15.1X49-D30 and later releases | 이러한 SRX 시리즈 방화벽은 더 이상 지원되지 않습니다. | 이러한 SRX 시리즈 방화벽은 더 이상 지원되지 않습니다. |
메모: NG-SPC는 혼합 모드를 쓸모 없게 만듭니다. |
중앙 지점은 세션 매칭 시 패킷을 SPU(Services Processing Unit)로 전달하거나, 패킷이 기존 세션과 일치하지 않을 경우 보안 처리를 위해 SPU로 트래픽을 배포합니다. 중심 포인트 아키텍처는 CP 중심 모드에서 구현되며, 여기서 모든 세션 분배 및 세션 매칭은 CP에 의해 또는 콤보 모드에서 수행된다
일부 SRX 시리즈 방화벽에서는 전체 SPU를 중앙점 기능 전용으로 사용할 수 없지만, SPU의 일정 비율은 중앙점 기능에 자동으로 할당되고 나머지는 정상적인 플로우 처리에 할당됩니다. SPU가 중앙 지점의 기능과 정상적인 플로우 처리를 수행하는 경우, 이를 조합 또는 mixed, 모드라고 합니다.
중앙 지점 기능 전용 SPU의 비율은 디바이스의 SPU 수에 따라 달라집니다. SPU 수에 따라 SRX 시리즈 방화벽에서는 소형 중앙점, 중형 중앙점, 대형 중앙점의 세 가지 모드를 사용할 수 있습니다.
소형 중앙 지점 모드에서는 SPU의 작은 비율이 중앙 지점 기능 전용이고 나머지는 정상적인 플로우 처리 전용입니다. 중간 중앙 지점 모드에서 SPU는 중앙 지점 기능 및 정상적인 플로우 처리를 위해 거의 동일하게 공유됩니다. 대규모 중앙 지점 모드에서는 전체 SPU가 중앙 지점 기능 전용입니다. 혼합 모드에서 중앙 지점과 SPU는 동일한 LBT(로드 밸런싱 스레드) 및 POT(패킷 주문 스레드) 인프라를 공유합니다.
이 항목에는 다음 섹션이 포함되어 있습니다.
혼합 모드의 부하 분배
중앙 지점은 물리적 TNP(Trivial Network Protocol) 주소 매핑에 매핑된 로직 SPU ID와 함께 라이브 SPU를 나열하는 SPU 매핑 테이블(부하 분산용)을 유지합니다. 혼합 모드에서는 중앙 지점을 호스팅하는 SPU가 테이블에 포함됩니다. 부하 분산 알고리즘은 세션의 과부하를 방지하기 위해 세션 용량과 처리 능력에 따라 조정됩니다.
혼합 모드에서 처리 능력과 메모리 공유
혼합 모드 SPU의 CPU 처리 능력은 플랫폼 및 시스템 내 SPU 수에 따라 공유됩니다. 마찬가지로, CPU 메모리도 중앙 지점과 SPU 간에 공유됩니다.
SPU에는 네트워킹 처리를 위한 다중 코어(CPU)가 있습니다. "소형" SPU 혼합 모드에서는 CPU 기능이 코어의 작은 부분을 차지하는 반면, "중간" SPU 혼합 모드에서는 더 많은 부분의 코어가 필요합니다. 중앙 지점 기능 및 플로우 처리를 위한 처리 능력은 표 2와 같이 SPC(Services Processing Card) 수에 따라 공유됩니다. 플랫폼 지원은 설치한 Junos OS 릴리스에 따라 다릅니다.
SRX 시리즈 방화벽 | 1개의 SPC 또는 SPC2가 있는 중앙점 모드 | 2개 이상의 SPC 또는 SPC2가 있는 중앙점 모드 | 1개 또는 2개의 SPC3가 있는 중앙점 모드 | 2개 이상의 SPC3가 있는 중앙점 모드 |
---|---|---|---|---|
SRX1400 | 작다 | 보통 | 해당 없음 | 해당 없음 |
SRX3400 | 작다 | 보통 | 해당 없음 | 해당 없음 |
SRX3600 | 작다 | 보통 | 해당 없음 | 해당 없음 |
SRX3400(확장된 성능 및 용량 라이선스) | 작다 | 큰 | 해당 없음 | 해당 없음 |
SRX3600(확장된 성능 및 용량 라이선스) | 작다 | 큰 | 해당 없음 | 해당 없음 |
SRX5600 | 큰 | 큰 | 보통 | 큰 |
SRX5800 | 큰 | 큰 | 보통 | 큰 |
SRX5400 | 큰 | 큰 | 보통 | 큰 |
혼합 모드 처리는 SRX1400, SRX3400, SRX3600 및 SRX5000 라인 디바이스의 SPCI에서만 존재합니다.
SRX5000 라인의 중심점 아키텍처 개선 사항 이해
이전에는 SRX5000 서비스 게이트웨이 제품군의 경우 디바이스 성능 및 확장에 병목 현상이 발생했습니다. 더 많은 SPC(Services Processing Card)가 시스템에 통합되면 전체 처리 능력은 선형적으로 증가했지만 초당 시스템 연결 수(cps)는 일정하게 유지되었으며 시스템의 단일 중앙 집중식 지점으로 인해 개선될 수 없었습니다. 이는 용량과 cps 모두에서 전체 시스템 활용도에 심각한 영향을 미쳤습니다.
Junos OS 릴리스 15.1X49-D30 및 Junos OS 릴리스 17.3R1부터는 SRX5000 라인 디바이스에서 더 높은 초당 연결 수(cps)를 처리할 수 있도록 중앙 지점 아키텍처가 향상되었습니다. 새로운 중앙 지점 아키텍처는 세션 관리 기능을 서비스 처리 장치(SPU)로 오프로드하여 데이터 패킷이 중앙 지점을 통과하지 못하도록 합니다. 따라서 데이터 패킷은 중앙 지점을 거치지 않고 네트워크 처리 장치에서 SPU로 직접 전달됩니다.
중심점 아키텍처는 애플리케이션 중심점과 분산된 중심점의 두 가지 모듈로 나뉩니다. 애플리케이션 중앙 지점은 글로벌 리소스 관리 및 로드 밸런싱을 담당하고, 분산된 중앙 지점은 트래픽 식별(글로벌 세션 매칭)을 담당합니다. 애플리케이션 중앙점 기능은 전용 중앙점 SPU에서 실행되는 반면, 분산된 중앙점 기능은 나머지 SPU에 분산됩니다. 이제 중앙 지점 세션은 더 이상 전용 중앙 지점 SPU에 있지 않고 다른 플로우 SPU에 분산된 중앙 지점이 있습니다.
SRX5000 라인의 중심점은 글로벌 리소스 관리 및 로드 밸런싱과 관련하여 애플리케이션 중앙점 또는 분산된 중앙점 또는 둘 다를 의미하며, 애플리케이션 중앙점을 의미하며, 트래픽 식별 및 세션 관리와 관련하여 분산된 중앙점(SPU라고도 함)을 의미합니다.
SNMP 로그 및 SNMP 트랩은 속도 제한이 있는 중앙 지점에서 생성되었습니다. 이제 SNMP 로그 및 SNMP 트랩은 SPU 또는 중앙 지점에 의해 생성됩니다. SPU가 두 개 이상이므로 생성되는 SNMP 로그 및 트랩의 수가 더 많습니다. 디바이스에서 초당 연결 수(CPS)를 확인하려면 명령을 실행합니다 SNMP MIB walk nxJsNodeSessionCreationPerSecond
. SNMP 폴링 메커니즘은 지난 96초 동안의 평균 CPS 수를 기반으로 CPS 값을 계산합니다. 따라서 CPS가 일정하지 않으면 보고된 CPS 수가 정확하지 않습니다.
Central Point 세션 제한 성능 향상 이해
Junos OS 15.1X49-D70 및 Junos OS 릴리스 17.3R1부터 새로운 세션 연결(conn-tag) 태그 옵션을 사용하여 GRPS 터널링 프로토콜, 사용자 플레인(GTP-U) 플로우 세션 및 SCTP(Stream Control Transmission Protocol) 플로우 세션을 추가로 구별하는 플로우 필터를 추가할 수 있습니다.
플로우 세션 연결 튜플은 6개 부분 튜플로만 구분할 수 없는 GTP-U 세션과 SCTP 세션을 고유하게 식별하는 데 사용되는 32비트 연결 태그로 구성됩니다. 세션을 식별하는 표준 6개의 튜플에 세션 연결 태그를 추가하여 GTP-U 세션 및 SCTP 세션을 식별하는 세션 연결 태그 튜플을 포함하도록 시스템을 구성할 수 있습니다. 시스템은 세션 연결 태그를 해싱하여 GTP-U/SCTP에 대한 DCP를 결정합니다.
중앙 포인트 아키텍처는 TEID(Tunnel Endpoint Identifier) 기반 해시 배포로 전환하여 모든 SPU에서 게이트웨이 GPRS 지원 노드(GGSN) 및 SGSN 쌍에 의해 처리되는 GTP-U 트래픽을 분산합니다. 로드 밸런싱 문제를 처리하기 위해 태그 기반 해시 배포를 사용하여 모든 SPU 간에 서로 다른 연결의 SCTP 트래픽을 균등하게 분산합니다. (GTP-U의 연결 태그는 TEID이고 SCTP의 경우 vTag입니다.)
GTP 및 SCTP에 대한 Central Point 아키텍처 플로우 지원 이해
Junos OS 릴리스 15.1X49-D40 및 Junos OS 릴리스 17.3R1부터 중앙 지점 아키텍처는 GPRS 터널링 프로토콜, 제어(GTP-C), GPRS 터널링 프로토콜, 사용자 플레인(GTP-U) 및 스트림 제어 전송 프로토콜(SCTP)에 대한 향상된 지원을 제공합니다.
SRX5400, SRX5600 및 SRX5800 디바이스에서 지원되는 중앙 포인트 아키텍처는 GTP-C 메시지 플러드로부터 게이트웨이 GPRS 지원 노드(GGSN)를 보호하고, SGSN 핸드오버 중 GTP-C 패킷 드롭 문제를 방지하며, 터널 엔드포인트 식별자(TEID) 기반 해시 배포로 전환하여 모든 SPU에서 GGSN 및 SGSN 쌍이 처리하는 GTP-U 트래픽을 분산하기 위해 GTP-C 메시지 속도 제한을 해결하도록 향상되었습니다. enable-gtpu-distribution
명령을 사용하여 GTP-U 세션 배포를 활성화하거나 비활성화합니다. 기본적으로 enable-gtpu-distribution
명령은 비활성화되어 있습니다.
GTP/SCTP 부하 분산 문제를 해결하기 위해 Connection-tag to flow session 튜플이 도입되었습니다. DCP(Distributed CP) 세션 및 SPU 세션을 포함한 모든 세션은 연결 태그를 수용하도록 수정됩니다. 세션 생성에는 src-ip, dst-ip, src-port, dst-port, 프로토콜, 세션 토큰 및 연결 태그와 같은 튜플이 있습니다.
GTP ALG를 사용하려면 GGSN IP 주소를 해시하여 GTP-C 세션을 수정해야 합니다. GTP ALG는 첫 번째 패킷의 방향이 불확실하면 GTP-C 세션 생성을 거부하며, 이로 인해 패킷이 손실됩니다. GTP-C 패킷이 드롭되는 것을 방지하기 위해 새로운 플로우 세션이 생성되고 GGSN 또는 SGSN 방향이 결정되지 않더라도 GTP-C 트래픽의 통과가 허용됩니다. 나중에, GGSN IP는 플로우 세션을 생성하고 이전 세션을 에이징 아웃하기 위해 올바른 SPU를 사용하여 결정됩니다. 이전 세션에 도달하는 간헐적인 패킷은 새 SPU로 전달되고 새 세션에서 처리됩니다.
로드 밸런싱 문제를 처리하기 위해 태그 기반 해시 배포를 사용하여 모든 SPU 간에 GTP-U/SCTP 트래픽을 고르게 분산합니다. GTP-U 및 SCTP 세션을 고유하게 식별하는 32비트 연결 태그가 도입되었습니다. GTP-U의 연결 태그는 TEID이고 SCTP의 연결 태그는 vTag입니다. 기본 연결 태그는 0입니다. 연결 태그는 세션에서 사용되지 않는 경우 0으로 유지됩니다. Flow는 GTP-U/SCTP 세션에 대한 연결 태그를 결정하고 연결 태그를 해시하여 배포합니다.
SCTP 연결은 두 SCTP 엔드포인트 간의 연결입니다. 각 SCTP 엔드포인트는 태그와의 연결을 식별합니다. 연결 설정(4방향 핸드셰이크) 동안 두 SCTP 엔드포인트는 패킷 수신을 위해 자체 태그를 교환합니다. 4방향 핸드셰이크 동안 INIT/INIT-ACK의 수신자는 itag의 값을 기록하고 이 연결 내에서 전송하는 모든 SCTP 패킷의 vtag 필드에 배치합니다. 그런 다음 피어는 vtag를 사용하여 이 패킷의 발신자를 검증합니다.
CP-Lite 이후에 생성된 플로우 세션은 다음과 같습니다.
SPU는 해시(태그)에 의해 선택되고, 클라이언트-서버 트래픽은 해시(tagB) SPU에서 처리된 다음 해시(tagA) SPU로 전달됩니다. 서버-클라이언트 트래픽은 해시(tagA) SPU에서 직접 처리됩니다.
INIT 패킷을 수신한 후 해시(tagA) SPU에서:
DCP-세션 A1: 클라이언트=> 서버, SCTP, Conn ID: 0x0;
세션 A1: 클라이언트=> 서버, SCTP, Conn ID: 0x0;
해시(tagB) SPU: 세션 없음.
INIT-ACK 패킷을 수신한 후 해시(tagA) SPU에서:
DCP-세션 A1: 클라이언트=> 서버, SCTP, Conn ID: 0x0;
DCP-세션 A2: 서버 = > 클라이언트, SCTP, Conn ID: tagA;
세션 A1: 클라이언트=> 서버, SCTP, Conn ID: 0x0;
세션 A2: 서버 = > 클라이언트, SCTP, Conn ID: tagA;
해시(tagB) SPU: 세션 없음.
COOKIE-ECHO 패킷을 수신한 후 해시(tagA) SPU에서:
DCP-세션 A1: 클라이언트=> 서버, SCTP, Conn ID: 0x0;
DCP-세션 A2: 서버 = > 클라이언트, SCTP, Conn ID: tagA;
세션 A1: 클라이언트=> 서버, SCTP, Conn ID: 0x0;
세션 A2: 서버 = > 클라이언트, SCTP, Conn ID: tagA;
세션 A3: 클라이언트=> 서버, SCTP, Conn ID: tagB;
해시(tagB) SPU:
DCP 세션: 클라이언트 = > 서버, SCTP, Conn ID: 태그 B
COOKIE-ACK 패킷을 수신한 후, 플로우 세션은 변경되지 않습니다.
핸드셰이크가 성공하면 모든 경로에서 HEARBEAT가 전송됩니다.
플로우 세션 연결 필터 옵션 이해
Junos OS 15.1X49-D70 및 Junos OS 릴리스 17.3R1부터 새로운 세션 연결(conn-tag) 태그 옵션을 사용하여 GRPS 터널링 프로토콜, 사용자 플레인(GTP-U) 플로우 세션 및 SCTP(Stream Control Transmission Protocol) 플로우 세션을 추가로 구별하는 플로우 필터를 추가할 수 있습니다.
플로우 세션 연결 튜플은 6개 부분 튜플로만 구분할 수 없는 GTP-U 세션과 SCTP 세션을 고유하게 식별하는 데 사용되는 32비트 연결 태그로 구성됩니다. 세션을 식별하는 표준 6개의 튜플에 세션 연결 태그를 추가하여 GTP-U 세션 및 SCTP 세션을 식별하는 세션 연결 태그 튜플을 포함하도록 시스템을 구성할 수 있습니다. 시스템은 세션 연결 태그를 해싱하여 GTP-U/SCTP에 대한 DCP를 결정합니다.
중앙 포인트 아키텍처는 TEID(Tunnel Endpoint Identifier) 기반 해시 배포로 전환하여 모든 SPU에서 게이트웨이 GPRS 지원 노드(GGSN) 및 SGSN 쌍에 의해 처리되는 GTP-U 트래픽을 분산합니다. 로드 밸런싱 문제를 처리하기 위해 태그 기반 해시 배포를 사용하여 모든 SPU 간에 서로 다른 연결의 SCTP 트래픽을 균등하게 분산합니다. (GTP-U의 연결 태그는 TEID이고 SCTP의 경우 vTag입니다.)
변경 내역 테이블
기능 지원은 사용 중인 플랫폼 및 릴리스에 따라 결정됩니다. 기능 탐색기 를 사용하여 플랫폼에서 기능이 지원되는지 확인합니다.