Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在本页
 

内联 IPsec

阅读本主题可了解 SRX 系列防火墙中的内联 IPsec。

概述

内联 IPsec 是一项Junos OS功能,可将 IPsec 流量处理从 CPU 转移到瞻博网络设备的数据包转发引擎。该功能可对数据包转发引擎 ASIC 内的 IPsec 流量进行安全加密和解密。使用此功能,CPU 仅管理使用快速辅助技术 (QAT) 的 PowerMode IPsec (PMI) 或 IPsec VPN。

在引入内联 IPsec 之前,防火墙得益于 Intel QAT 等硬件加速或 PMI 等软件优化,在 CPU 中执行 IPsec作。借助内联 IPsec,SRX 系列防火墙可以使用数据包转发引擎 ASIC 来提高 IPsec 性能。将 IPsec 加密和解密卸载到 ASIC 有助于提高吞吐量。内联 IPsec 可释放防火墙 CPU 以执行其他任务,例如:

  • 预共享密钥 (PSK) 的互联网密钥交换版本 2 (IKEv2) 协商

  • 后量子预共享密钥 (PPK)

  • 公钥基础架构 (PKI) 证书密钥协商

  • 内联 IPsec 中使用的各种加密和散列函数

您需要有效的许可证才能在防火墙上使用内联 IPsec 功能。使用此许可证,该功能默认在防火墙上启用。

优势

  • VPN 性能:通过将加密和解密卸载到 ASIC,实现更高的吞吐量,改进隧道性能。

  • CPU 优化:通过管理 ASIC 内的隧道来释放 CPU 资源,使 CPU 能够管理其他关键任务并提高整体防火墙性能。

  • VPN 安全性:通过对硬件卸载隧道使用高级加密标准 - 伽罗瓦/计数器模式 (AES-GCM) 加密算法来增强安全性,确保在不影响性能的情况下实现强大的加密标准。

  • 部署:每个机箱支持大量 IPsec 隧道,使其适合大规模部署。

  • 敏捷性:支持在数据包转发引擎之外管理几个隧道。

内联 IPsec 的工作原理

图 1 展示了内联 IPsec 数据平面的架构及其与控制和管理平面的接口。内联 IPsec 架构包括一个处理 IPsec作的 IPsec 引擎。由于数据包转发引擎在不依赖 CPU 周期的情况下对 IPsec 流量进行加密和解密,因此内联 IPsec 可显著提高吞吐量并优化防火墙性能。

了解 SRX 系列防火墙中内联 IPsec 的以下行为:

  • IPsec 发起方和/或响应方都可以使用该功能。

  • 防火墙可在内置 ASIC 上执行 IPsec 封装安全有效负载 (ESP) 数据包加密和解密。

  • 用于身份验证和密钥交换的互联网密钥交换 (IKE) 协议在 CPU 中运行。

  • IKE 协商后,iked 进程管理到数据包转发引擎的隧道分发。

  • 防火墙支持:

    • 基于 IPv4 和 IPv6 地址的内联 IPsec 协议。

    • IKEv1 和 IKEv2 协议的内联 IPsec。

图 1: 内联 IPsec 架构 内联 IPsec 架构

您会注意到防火墙中的内联 IPsec 执行以下作:

  • iked 进程标记用于会话流中硬件卸载的内联 IPsec 隧道。此作可防止隧道使用 CPU 执行 IPsec 加密和解密任务。

  • 命令 show security ipsec security association 的输出将显示:

    • Hardware Offloaded: Yes 用于内联 IPsec VPN 隧道。

    • Hardware Offloaded: No 当 CPU 处理隧道时。

  • 流过程显示 IPsec VPN 流量的传入和传出数据包。

要在数据包转发引擎 ASIC 中全局禁用 IPsec 隧道处理的内联 IPsec 硬件卸载:

  • 使用命令 set security ipsec hw-offload-disable

    配置此语句时,防火墙将处理 CPU 中的所有 IPsec 隧道,而非数据包转发引擎 ASIC。请参阅 ipsec(安全性)。

内联 IPsec 功能支持

防火墙必须满足特定条件才能使用内联 IPsec 功能建立 IPsec 隧道。 表 1 提供内联 IPsec 的功能支持信息,概述了确定该功能的隧道资格的标准。CPU 管理内联 IPsec 不支持的功能,从而优化防火墙性能。

表 1: 内联 IPsec 功能支持
支持的功能 不支持的功能

YT ASIC 上的数据包转发引擎处理 IPsec VPN

CPU 处理使用 PowerMode IPsec (PMI) 和快速辅助技术 (QAT) 的 IPsec VPN

使用封装安全有效负载 (ESP) 的隧道模式

使用认证头 (AH) 的隧道模式
加密算法 具有 128 位密钥或 256 位密钥的 AES-GCM

除 AES-GCM 以外的所有加密算法(带 128 位密钥或 256 位密钥)

支持站点到站点 IPsec VPN 的部署模式

部署模式,支持点对多点 (P2MP) VPN、组 VPN、高可用性 (HA) 链路加密、自动发现 VPN (ADVPN)

防重放窗口大小高达 4096

防重放窗口大小大于 4096

多达 4000 个安全关联 (SA) 或 2000 个隧道

超过 4000 个或多个 SA,也称为子 SA

网络地址转换遍历 (NAT-T) 隧道

lifesize 选项配置的隧道

请注意内联 IPsec 的以下限制:

  • 为活动卸载隧道设置不分段 (DF) 位时,配置将在重新生成密钥后生效。

  • 为活动卸载隧道配置差分服务代码点 (DSCP) 副本时,该配置将在重新生成密钥后生效。

相关主题

变更历史表

是否支持某项功能取决于您使用的平台和版本。 使用 Feature Explorer 查看您使用的平台是否支持某项功能。

版本
说明
25.2R1
在 Junos OS 25.2R1 版中添加了对内联 IPsec 的支持。