Juniper SRX — first path

Удивительная штука — Juniper SRX. Прямой конкурент Cisco ASA, хотя фич имеет гораздо больше.

Дык, что такое Juniper SRX? Это аппаратно-программный фаервол, полноценный IDP, антивирус, антиспам и конечно же, банально, роутер, с поддержкой IS-IS, BGP,OSPF, MPLS.

Подробнее на сайте производителя:

http://www.juniper.net/ru/ru/products-services/security/srx-series/

Как и большинство оборудования производителя Juniper, данная железка имеет операционную систему Junos.

SRX «дизайн изнутри»:

Рис. 1

Рис. 1

За обработку какой-либо информации, связной с отправкой/хранением логов, системные события, расчет маршрутов по протоколам динамической маршрутизации, авторизация клиентов на самой железке, все возможные демоны и прочее прочее живет и работает на Control Plane, собственно, это «мозги» вашего джунипера. Кстати говоря, если вы когда нибудь будете пользоваться снифером, встроенным в любой Junos, то он покажет трафик, проходящий именно через Control Plane. Трафик, проходящий на «сквозь», он не покажет.

Ниже приведен список, тех процессов, которыми занимаются «мозги» джунипера:

  • Management Daemon (MGD) — демон управления, собственно, тот, благодаря комы вы управляете конфигом;
  • Routing Protocol Daemon (RPD) — демон маршрутизации. Абсолютно все протоколы маршрутизации? которые поддерживает джунипер, работают на Control plane;
  • Пользовательский интерфейс — Console, Telnet, SSH, J-Web, NetConf;
  • Файловая система — процессы FTP и SCP;
  • Syslogd — демон, предназначенный для хранения и обработки логов конкретно Control Plane, а также отправки их на отдельный сервер;
  • Networking services — протоколы DNS, DHCP, NTP, ICMP, ARP/ND, SNMP, настраиваются и живут тут же;
  • Chassisd — демон, предназначенный для мониторинга работы остального железа;
  • JSRPD — демон, предназначенный для кластеризации Juniper SRX.

Кто работал с джунипером, тот знает, что операционная система Junos есть ни что иное как FREEBSD, переработанная в соответствии с особенностями железа. Даже можно зайти в консоль Freebsd и что нить сломать =) Для этого надо дать команду start shell, где вас встретит старый добрый shell unix систем.

В свою очередь, Data Plane, отвечает за обработку транзитного трафика. Все основные «фичи» SRX работают тут же, включая антивирус и IDP.

За обработку «фич» отвечает Services Engine.

Существует два режима работы АПК SRX — session(flow)-based и packet-based:

session(flow)-based(Рис.2): при включении данного режима, SRX полностью обрабатывает каждый пакет, проходящий через него. В зависимости от включенных функций, пакеты в сессии разбирают вплоть до 7 уровня модели OSI. В данном режиме имеется «два пути» прохождения трафика — так называемый «первый путь» — first path, когда SRX получает пакет, и видит, что он не принадлежит к уже отслеживаемым сессиям, то этот пакет, для изучения, отправляется в first path. Если же пакет принадлежит к уже известным SRX сессиям, то он проходит «fast-path» — быстрый путь.

Рис. 2

Рис. 2

packet-based(Рис.3): в данном режиме, SRX работает как обычный роутер.

Рис.4

Рис.3

Так же, существует совмещенный режим, хотя как таковым режимом он не является. При включенном session(flow)-based режиме, в правилах firewall действием(then) указывается packet-mode. Пример:

[edit firewall family inet filter bypass]
user@srx# show
term 1 {
	from {
		source-address {
			x.x.x.x/8;
		}
	}
	then packet-mode;
}

Наглядно, выглядит это так:

Рис. 5

Рис. 4

 

Для смены режима работы, нужно просто изменить его в конфиге:

[edit security forwarding-options]
user@SRX# show
family {
	inet6 {
		mode flow-based;
	}
}

В данном примере, flow-based режим выбран для протокола Ipv6. Существует еще два — mpls(для Ipv4 и mpls) и iso(для проколов семейства IS-IS). После смены режима, роутер нужно перезагрузить.