Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Afinidade de sessão vpn

O desempenho do tráfego de VPN IPsec para minimizar a sobrecarga de encaminhamento de pacotes pode ser otimizado, permitindo a afinidade de sessão de VPN e a aceleração do desempenho.

Entendendo a afinidade de sessão de VPN

A afinidade de sessão de VPN ocorre quando uma sessão de texto clara está localizada em uma unidade de processamento de serviços (SPU) que é diferente da SPU onde a sessão do túnel IPsec está localizada. O objetivo da afinidade de sessão de VPN é localizar a sessão de túnel cleartext e IPsec na mesma SPU. Esse recurso é suportado apenas em dispositivos de SRX5400, SRX5600 e SRX5800.

Sem a afinidade de sessão de VPN, uma sessão de texto clara criada por um fluxo pode estar localizada em uma SPU e a sessão de túnel criada pelo IPsec pode estar localizada em outra SPU. É necessário encaminhar um SPU para SPU ou salto para encaminhar pacotes de texto cleartext para o túnel IPsec.

Por padrão, a afinidade de sessão de VPN é desativada em firewalls da Série SRX. Quando a afinidade de sessão de VPN é habilitada, uma nova sessão de texto clara é colocada na mesma SPU que a sessão do túnel IPsec. As sessões de texto claro existentes não são afetadas.

O Junos OS Release 15.1X49-D10 apresenta o SRX5K-MPC3-100G10G (IOC3) e o SRX5K-MPC3-40G10G (IOC3) para dispositivos de SRX5400, SRX5600 e SRX5800.

O SRX5K-MPC (IOC2) e o IOC3 oferecem suporte à afinidade de sessão de VPN por meio de módulo de fluxo aprimorado e cache de sessão. Com IOCs, o módulo de fluxo cria sessões para tráfego baseado em túnel IPsec antes da criptografia e após a descriptografia em sua SPU ancorada em túnel e instala o cache de sessão para as sessões para que o IOC possa redirecionar os pacotes para a mesma SPU para minimizar a sobrecarga de encaminhamento de pacotes. O tráfego do Express Path (anteriormente conhecido como descarregamento de serviços) e o tráfego de cache NP compartilham a mesma tabela de cache de sessão nos IOCs.

Para exibir sessões ativas de túnel em SPUs, use o show security ipsec security-association comando e especifique os slots flexível pic concentrador (FPC) e placa de interface física (PIC) que contêm a SPU. Por exemplo:

Você precisa avaliar os padrões de distribuição de túnel e tráfego em sua rede para determinar se a afinidade de sessão de VPN deve ser habilitada.

Começando pelo Junos OS Release 12.3X48-D50, Junos OS Release 15.1X49-D90 e Junos OS Release 17.3R1, se a afinidade de sessão de VPN for habilitada em dispositivos de SRX5400, SRX5600 e SRX5800, a sobrecarga do túnel é calculada de acordo com os algoritmos de criptografia e autenticação negociados na Unidade de processamento de serviços âncora (SPU). Se a criptografia ou autenticação configurada mudar, a sobrecarga do túnel será atualizada na SPU âncora quando uma nova associação de segurança IPsec for estabelecida.

As limitações de afinidade de sessão de VPN são as seguintes:

  • O tráfego em sistemas lógicos não é suportado.

  • Se houver uma mudança de rota, as sessões de texto clara estabelecidas permanecem em uma SPU e o tráfego é redirecionado, se possível. As sessões criadas após a mudança de rota podem ser configuradas em uma SPU diferente.

  • A afinidade de sessão de VPN afeta apenas o tráfego autônomo que termina no dispositivo (também conhecido como tráfego de entrada de host); o tráfego autônomo que se origina do dispositivo (também conhecido como tráfego de saída de host) não é afetado.

  • O desempenho de replicação e encaminhamento multicast não é afetado.

Habilitando a afinidade de sessão de VPN

Por padrão, a afinidade de sessão de VPN é desativada em firewalls da Série SRX. Habilitar a afinidade de sessão de VPN pode melhorar a taxa de transferência de VPN em determinadas condições. Esse recurso é suportado apenas em dispositivos de SRX5400, SRX5600 e SRX5800. Esta seção descreve como usar a CLI para permitir a afinidade de sessão de VPN.

Determine se sessões de texto claro estão sendo encaminhadas para sessões de túnel IPsec em uma SPU diferente. Use o show security flow session comando para exibir informações de sessão sobre sessões de texto claro.

No exemplo, há uma sessão de túnel no FPC 3, PIC 0 e uma sessão de texto claro no FPC 6, PIC 0. Uma sessão de encaminhamento (ID da sessão 60017354) está configurada no FPC 3, PIC 0.

O Junos OS Release 15.1X49-D10 apresenta suporte de afinidade de sessão em IOCs (SRX5K-MPC [IOC2], SRX5K-MPC3-100G10G [IOC3], e SRX5K-MPC3-40G10G [IOC3]) e Junos OS Release 12.3X48-D30 introduz suporte de afinidade de sessão no IOC2. Você pode habilitar a afinidade de sessão para a sessão de túnel IPsec nos FPCs ioc. Para permitir a afinidade de VPN IPsec, você também deve habilitar o cache de sessão em IOCs usando o set chassis fpc fpc-slot np-cache comando.

Para permitir a afinidade de sessão de VPN:

  1. No modo de configuração, use o set comando para permitir a afinidade de sessão de VPN.
  2. Verifique suas alterações na configuração antes de se comprometer.
  3. Confirmar a configuração.

Depois de habilitar a afinidade de sessão de VPN, use o show security flow session comando para exibir informações de sessão sobre sessões de texto claro.

Após a habilitação da afinidade de sessão de VPN, a sessão de texto claro está sempre localizada no FPC 3, PIC 0.

Acelerando o desempenho de tráfego de VPN IPsec

Você pode acelerar o desempenho de VPN IPsec configurando o parâmetro de aceleração de desempenho. Por padrão, a aceleração de desempenho de VPN é desativada em firewalls da Série SRX. Habilitar a aceleração do desempenho da VPN pode melhorar a taxa de transferência de VPN com a afinidade de sessão vpn habilitada. Esse recurso só é compatível com dispositivos de SRX5400, SRX5600 e SRX5800.

Este tópico descreve como usar a CLI para permitir a aceleração do desempenho de VPN.

Para permitir a aceleração do desempenho, você deve garantir que sessões de texto claras e sessões de túnel IPsec estejam estabelecidas na mesma Unidade de processamento de serviços (SPU). Começando pelo Junos OS Release 17.4R1, o desempenho de VPN IPsec é otimizado quando a afinidade de sessão de VPN e os recursos de aceleração de desempenho são habilitados. Para obter mais informações sobre como habilitar a afinidade de sessão, consulte Understanding VPN Session Affinity.

Para permitir a aceleração do desempenho da VPN IPsec:

  1. Habilite a afinidade de sessão de VPN.
  2. Habilite a aceleração do desempenho do IPsec.
  3. Verifique suas alterações na configuração antes de se comprometer.
  4. Confirmar a configuração.

Depois de habilitar a aceleração do desempenho da VPN, use o show security flow status comando para exibir o status do fluxo.

Perfil de distribuição de IPsec

A partir do Junos OS Release 19.2R1, você pode configurar um ou mais perfis de distribuição IPsec para associações de segurança IPsec (SAs). Os túneis são distribuídos uniformemente em todos os recursos (SPCs) especificados no perfil de distribuição configurado. Ele é suportado apenas no SPC3 e modo misto (SPC3 + SPC2), não é suportado em sistemas SPC1 e SPC2. Com o perfil de distribuição IPsec, use o set security ipsec vpn vpn-name distribution-profile distribution-profile-name comando para associar túneis a um determinado:

  • Slot

  • PIC

Como alternativa, você pode usar os perfis de distribuição de IPsec padrão:

  • default-spc2-profile — Use esse perfil padrão predefinido para associar túneis IPsec a todas as placas SPC2 disponíveis.

  • default-spc3-profile — Use esse perfil padrão predefinido para associar túneis IPsec a todas as placas SPC3 disponíveis.

Agora, você pode atribuir um perfil a um objeto VPN específico, onde todos os túneis associados serão distribuídos com base neste perfil. Se nenhum perfil for atribuído ao objeto VPN, o firewall da Série SRX distribui automaticamente esses túneis uniformemente em todos os recursos.

Você pode associar um objeto VPN a um perfil definido pelo usuário ou a um perfil predefinido (padrão).

A partir do Junos OS Release 20.2R2, os IDs de thread inválidos configurados no perfil de distribuição são ignorados sem mensagem de erro de verificação de confirmação. O túnel IPsec fica ancorado de acordo com o perfil de distribuição configurado ignorando IDs de thread inválidos, se houver para esse perfil.

No exemplo a seguir, todos os túneis associados ao perfil ABC serão distribuídos no FPC 0, PIC 0.

Entendendo a interface de loopback para uma VPN de alta disponibilidade

Em uma configuração de túnel de VPN IPsec, uma interface externa deve ser especificada para se comunicar com o gateway IKE peer. Especificar uma interface de loopback para a interface externa de uma VPN é uma boa prática quando existem várias interfaces físicas que podem ser usadas para alcançar um gateway peer. Ancorar um túnel VPN na interface de loopback remove a dependência de uma interface física para um roteamento bem-sucedido.

O uso de uma interface de loopback para túneis VPN é suportado em firewalls autônomos da Série SRX, bem como em firewalls da Série SRX em clusters de chassi. Em uma implantação ativa-passiva de cluster de chassi, você pode criar uma interface de loopback lógica e torná-la um membro de um grupo de redundância para que ele possa ser usado para ancorar túneis VPN. A interface de loopback pode ser configurada em qualquer grupo de redundância e é atribuída como interface externa para o gateway IKE. Os pacotes vpn são processados no nó onde o grupo de redundância está ativo.

Em dispositivos de SRX5400, SRX5600 e SRX5800 -

  • Para dispositivos baseados em SPC2 em execução de processo kmd, se a interface de loopback for usada como interface externa de gateway IKE, configure a vinculação da interface em um grupo de redundância que não seja RG0.

  • Para dispositivos baseados em SPC3 ou SPC3+SPC2 em execução de processo iked, a vinculação da interface de loopback a um grupo de redundância não é necessária.

Em uma configuração de cluster de chassi, o nó no qual a interface externa está ativa seleciona uma SPU para ancorar o túnel VPN. Os pacotes IKE e IPsec são processados nessa SPU. Assim, uma interface externa ativa determina a SPU âncora.

Você pode usar o show chassis cluster interfaces comando para visualizar informações sobre o pseudointerface redundante.

Tabela de histórico de alterações

A compatibillidadde com o recurso dependerá da platadorma e versão utilizada. Use o Feature Explorer para saber se o recurso é compatível com sua plataforma.

Versão
Descrição
20.2R2
A partir do Junos OS Release 20.2R2, os IDs de thread inválidos configurados no perfil de distribuição são ignorados sem mensagem de erro de verificação de confirmação. O túnel IPsec fica ancorado de acordo com o perfil de distribuição configurado ignorando IDs de thread inválidos, se houver para esse perfil.
17.4R1
Começando pelo Junos OS Release 17.4R1, o desempenho de VPN IPsec é otimizado quando a afinidade de sessão de VPN e os recursos de aceleração de desempenho são habilitados.
12.3X48-D50
Começando pelo Junos OS Release 12.3X48-D50, Junos OS Release 15.1X49-D90 e Junos OS Release 17.3R1, se a afinidade de sessão de VPN for habilitada em dispositivos de SRX5400, SRX5600 e SRX5800, a sobrecarga do túnel é calculada de acordo com os algoritmos de criptografia e autenticação negociados na Unidade de processamento de serviços âncora (SPU).