Afinidade de sessão vpn
Saiba como melhorar o desempenho da VPN IPsec usando a afinidade de sessão de VPN.
O desempenho do tráfego de VPN IPsec para minimizar a sobrecarga de encaminhamento de pacotes pode ser otimizado, permitindo a afinidade de sessão de VPN e a aceleração do desempenho.
Use o Feature Explorer para confirmar o suporte de plataforma e versão para recursos específicos.
Analise a Comportamento da interface de loopback VPN de alta disponibilidade específica da plataforma seção para obter notas relacionadas à sua plataforma.
Entendendo a afinidade de sessão de VPN
A afinidade de sessão de VPN ocorre quando uma sessão de texto clara está localizada em uma unidade de processamento de serviços (SPU) que é diferente da SPU onde a sessão do túnel IPsec está localizada. O objetivo da afinidade de sessão de VPN é localizar a sessão de túnel cleartext e IPsec na mesma SPU.
Sem a afinidade de sessão de VPN, uma sessão de texto clara criada por um fluxo pode estar localizada em uma SPU e a sessão de túnel criada pelo IPsec pode estar localizada em outra SPU. É necessário encaminhar um SPU para SPU ou salto para encaminhar pacotes de texto cleartext para o túnel IPsec.
Por padrão, a afinidade de sessão de VPN é desativada em firewalls da Série SRX. Quando a afinidade de sessão de VPN é habilitada, uma nova sessão de texto clara é colocada na mesma SPU que a sessão do túnel IPsec. As sessões de texto claro existentes não são afetadas.
Os firewalls oferecem suporte à afinidade de sessão de VPN por um módulo de fluxo aprimorado e cache de sessão. Com IOCs, o módulo de fluxo cria sessões para tráfego baseado em túnel IPsec antes da criptografia e após a descriptografia em sua SPU ancorada em túnel e instala o cache de sessão para as sessões para que o IOC possa redirecionar os pacotes para a mesma SPU para minimizar a sobrecarga de encaminhamento de pacotes. O tráfego do Express Path (anteriormente conhecido como descarregamento de serviços) e o tráfego de cache NP compartilham a mesma tabela de cache de sessão nos IOCs.
Para exibir sessões ativas de túnel em SPUs, use o show security ipsec security-association comando e especifique os slots flexível pic concentrador (FPC) e placa de interface física (PIC) que contêm a SPU. Por exemplo:
user@host> show security ipsec security-association fpc 3 pic 0 Total active tunnels: 1 ID Algorithm SPI Life:sec/kb Mon vsys Port Gateway <131073 ESP:aes-128/sha1 18c4fd00 491/ 128000 - root 500 203.0.113.11 >131073 ESP:aes-128/sha1 188c0750 491/ 128000 - root 500 203.0.113.11
Você precisa avaliar os padrões de distribuição de túnel e tráfego em sua rede para determinar se a afinidade de sessão de VPN deve ser habilitada.
Se a afinidade de sessão de VPN for habilitada no firewall, a sobrecarga do túnel é calculada de acordo com os algoritmos de criptografia e autenticação negociados na Unidade de processamento de serviços âncora (SPU). Se a criptografia ou autenticação configurada mudar, a sobrecarga do túnel será atualizada na SPU âncora quando uma nova associação de segurança IPsec for estabelecida.
As limitações de afinidade de sessão de VPN são as seguintes:
O tráfego em sistemas lógicos não é suportado.
Se houver uma mudança de rota, as sessões de texto clara estabelecidas permanecem em uma SPU e o tráfego é redirecionado, se possível. As sessões criadas após a mudança de rota podem ser configuradas em uma SPU diferente.
A afinidade de sessão de VPN afeta apenas o tráfego autônomo que termina no dispositivo (também conhecido como tráfego de entrada de host); o tráfego autônomo que se origina do dispositivo (também conhecido como tráfego de saída de host) não é afetado.
O desempenho de replicação e encaminhamento multicast não é afetado.
Consulte também
Habilitando a afinidade de sessão de VPN
Por padrão, a afinidade de sessão de VPN é desativada em firewalls da Série SRX. Habilitar a afinidade de sessão de VPN pode melhorar a taxa de transferência de VPN em determinadas condições. Esta seção descreve como usar a CLI para permitir a afinidade de sessão de VPN.
Determine se sessões de texto claro estão sendo encaminhadas para sessões de túnel IPsec em uma SPU diferente. Use o show security flow session comando para exibir informações de sessão sobre sessões de texto claro.
user@host> show security flow session Flow Sessions on FPC3 PIC0: Session ID: 60000001, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/6204 --> 203.0.113.6/41264;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 60000002, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 60000003, Policy name: self-traffic-policy/1, Timeout: 58, Valid In: 203.0.113.6/500 --> 203.0.113.11/500;udp, If: .local..0, Pkts: 105386, Bytes: 12026528 Out: 203.0.113.11/500 --> 203.0.113.6/500;udp, If: ge-0/0/2.0, Pkts: 106462, Bytes: 12105912 Session ID: 60017354, Policy name: N/A, Timeout: 1784, Valid In: 0.0.0.0/0 --> 0.0.0.0/0;0, If: N/A, Pkts: 0, Bytes: 0 Out: 198.51.100.156/23 --> 192.0.2.155/53051;tcp, If: N/A, Pkts: 0, Bytes: 0 Total sessions: 4 Flow Sessions on FPC6 PIC0: Session ID: 120000001, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 120000002, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 120031730, Policy name: default-policy-00/2, Timeout: 1764, Valid In: 192.0.2.155/53051 --> 198.51.100.156/23;tcp, If: ge-0/0/1.0, Pkts: 44, Bytes: 2399 Out: 198.51.100.156/23 --> 192.0.2.155/53051;tcp, If: st0.0, Pkts: 35, Bytes: 2449 Total sessions: 3
No exemplo, há uma sessão de túnel no FPC 3, PIC 0 e uma sessão de texto claro no FPC 6, PIC 0. Uma sessão de encaminhamento (ID da sessão 60017354) está configurada no FPC 3, PIC 0.
Você pode habilitar a afinidade de sessão para a sessão de túnel IPsec nos FPCs ioc. Para permitir a afinidade de VPN IPsec, você também deve habilitar o cache de sessão em IOCs usando o set chassis fpc fpc-slot np-cache comando.
Para permitir a afinidade de sessão de VPN:
Depois de habilitar a afinidade de sessão de VPN, use o show security flow session comando para exibir informações de sessão sobre sessões de texto claro.
user@host> show security flow session Flow Sessions on FPC3 PIC0: Session ID: 60000001, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/6352 --> 203.0.113.6/7927;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 60000002, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 60000003, Policy name: self-traffic-policy/1, Timeout: 56, Valid In: 203.0.113.6/500 --> 203.0.113.11/500;udp, If: .local..0, Pkts: 105425, Bytes: 12031144 Out: 203.0.113.11/500 --> 203.0.113.6/500;udp, If: ge-0/0/2.0, Pkts: 106503, Bytes: 12110680 Session ID: 60017387, Policy name: default-policy-00/2, Timeout: 1796, Valid In: 192.0.2.155/53053 --> 198.51.100.156/23;tcp, If: ge-0/0/1.0, Pkts: 10, Bytes: 610 Out: 198.51.100.156/23 --> 192.0.2.155/53053;tcp, If: st0.0, Pkts: 9, Bytes: 602 Total sessions: 4 Flow Sessions on FPC6 PIC0: Session ID: 120000001, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 120000002, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Total sessions: 2
Após a habilitação da afinidade de sessão de VPN, a sessão de texto claro está sempre localizada no FPC 3, PIC 0.
Consulte também
Acelerando o desempenho de tráfego de VPN IPsec
Você pode acelerar o desempenho de VPN IPsec configurando o parâmetro de aceleração de desempenho. Por padrão, a aceleração de desempenho de VPN é desativada em firewalls da Série SRX. Habilitar a aceleração do desempenho da VPN pode melhorar a taxa de transferência de VPN com a afinidade de sessão vpn habilitada.
Este tópico descreve como usar a CLI para permitir a aceleração do desempenho de VPN.
Para permitir a aceleração do desempenho, você deve garantir que sessões de texto claras e sessões de túnel IPsec estejam estabelecidas na mesma Unidade de processamento de serviços (SPU). O desempenho de VPN IPsec é otimizado quando os recursos de afinidade de sessão de VPN e aceleração de desempenho são habilitados. Para obter mais informações sobre como habilitar a afinidade de sessão, consulte Understanding VPN Session Affinity.
Para permitir a aceleração do desempenho da VPN IPsec:
Depois de habilitar a aceleração do desempenho da VPN, use o show security flow status comando para exibir o status do fluxo.
Flow forwarding mode:
Inet forwarding mode: flow based
Inet6 forwarding mode: drop
MPLS forwarding mode: drop
ISO forwarding mode: drop
Flow trace status
Flow tracing status: off
Flow session distribution
Distribution mode: Hash-based
Flow packet ordering
Ordering mode: Hardware
Flow ipsec performance acceleration: on
Consulte também
Perfil de distribuição de IPsec
You pode configurar um ou mais perfis de distribuição de IPsec para associações de segurança IPsec (SAs). Os túneis são distribuídos uniformemente em todos os recursos (SPCs) especificados no perfil de distribuição configurado. Ele é suportado apenas no SPC3 e modo misto (SPC3 + SPC2), não é suportado em sistemas SPC1 e SPC2. Com o perfil de distribuição IPsec, use o set security ipsec vpn vpn-name distribution-profile distribution-profile-name comando para associar túneis a um determinado:
-
Slot
-
PIC
Como alternativa, você pode usar os perfis de distribuição de IPsec padrão:
-
default-spc2-profile— Use esse perfil padrão predefinido para associar túneis IPsec a todas as placas SPC2 disponíveis. -
default-spc3-profile— Use esse perfil padrão predefinido para associar túneis IPsec a todas as placas SPC3 disponíveis.
Agora, você pode atribuir um perfil a um objeto VPN específico, onde todos os túneis associados serão distribuídos com base neste perfil. Se nenhum perfil for atribuído ao objeto VPN, o firewall da Série SRX distribui automaticamente esses túneis uniformemente em todos os recursos.
Você pode associar um objeto VPN a um perfil definido pelo usuário ou a um perfil predefinido (padrão).
No exemplo a seguir, todos os túneis associados ao perfil ABC serão distribuídos no FPC 0, PIC 0.
userhost# show security {
distribution-profile ABC {
fpc 0 {
pic 0;
}
}
}
Entendendo a interface de loopback para uma VPN de alta disponibilidade
Em uma configuração de túnel de VPN IPsec, uma interface externa deve ser especificada para se comunicar com o gateway IKE peer. Especificar uma interface de loopback para a interface externa de uma VPN é uma boa prática quando existem várias interfaces físicas que podem ser usadas para alcançar um gateway peer. Ancorar um túnel VPN na interface de loopback remove a dependência de uma interface física para um roteamento bem-sucedido.
O uso de uma interface de loopback para túneis VPN é suportado em firewalls autônomos da Série SRX, bem como em firewalls da Série SRX em clusters de chassi. Em uma implantação ativa-passiva de cluster de chassi, você pode criar uma interface de loopback lógica e torná-la um membro de um grupo de redundância para que ele possa ser usado para ancorar túneis VPN. A interface de loopback pode ser configurada em qualquer grupo de redundância e é atribuída como interface externa para o gateway IKE. Os pacotes vpn são processados no nó onde o grupo de redundância está ativo.
Em uma configuração de cluster de chassi, o nó no qual a interface externa está ativa seleciona uma SPU para ancorar o túnel VPN. Os pacotes IKE e IPsec são processados nessa SPU. Assim, uma interface externa ativa determina a SPU âncora.
Você pode usar o show chassis cluster interfaces comando para visualizar informações sobre o pseudointerface redundante.
Consulte também
Comportamento da interface de loopback VPN de alta disponibilidade específica da plataforma
Use o Feature Explorer para confirmar o suporte de plataforma e versão para recursos específicos.
Use a tabela a seguir para revisar comportamentos específicos da plataforma para suas plataformas.
| Plataforma | Diferença |
|---|---|
| Série SRX |
|
Tabela de histórico de alterações
A compatibillidadde com o recurso dependerá da platadorma e versão utilizada. Use o Feature Explorer para saber se o recurso é compatível com sua plataforma.