Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在本页
 

VPN 会话关联

了解如何使用 VPN 会话关联提高 IPsec VPN 的性能。

通过启用 VPN 会话亲和性和性能加速,可以优化 IPsec VPN 流量的性能,以最大程度地减少数据包转发开销。

使用 功能资源管理器 确认平台和版本对特定功能的支持。

查看该 特定于平台 的高可用性 VPN 环路接口 行为 部分,了解与您的平台相关的注意事项。

了解 VPN 会话关联

当明文会话位于与 IPsec 隧道会话所在的 SPU 不同的服务处理单元 (SPU) 中时,就会发生 VPN 会话关联。VPN 会话关联的目标是在同一 SPU 中定位明文和 IPsec 隧道会话。

如果没有 VPN 会话关联,流创建的明文会话可能位于一个 SPU 中,而 IPsec 创建的隧道会话可能位于另一个 SPU 中。需要 SPU 到 SPU 转发或跃点才能将明文数据包路由到 IPsec 隧道。

默认情况下,在 SRX 系列防火墙上禁用 VPN 会话关联性。启用 VPN 会话关联后,新的明文会话将与 IPsec 隧道会话放置在同一 SPU 上。现有明文会话不受影响。

防 火墙 通过改进的流模块和会话缓存来支持 VPN 会话关联。借助 IOC,流模块在其隧道锚定的 SPU 上加密之前和解密之后为 IPsec 隧道流量创建会话,并为会话安装会话缓存,以便 IOC 可以将数据包重定向到同一 SPU,从而最大程度地减少数据包转发开销。Express Path(以前称为服务卸载)流量和 NP 缓存流量在 IOC 上共享同一个会话缓存表。

要在 SPU 上显示活动隧道会话,请使用命令并 show security ipsec security-association 指定包含 SPU 的灵活 PIC 集中器 (FPC) 和 物理接口卡 (PIC) 插槽。例如:

您需要评估网络中的隧道分布和流量模式,以确定是否应启用 VPN 会话关联性。

如果在防火墙上启用了 VPN 会话关联,则隧道开销将根据锚服务处理单元 (SPU) 上协商的加密和身份验证算法进行计算。如果配置的加密或身份验证发生更改,则在建立新的 IPsec 安全关联时,锚点 SPU 上的隧道开销将会更新。

VPN 会话关联限制如下:

  • 不支持跨逻辑系统的流量。

  • 如果路由发生更改,已建立的明文会话将保留在 SPU 上,并在可能的情况下重新路由流量。路由更改后创建的会话可以在其他 SPU 上设置。

  • VPN 会话相关性仅影响在设备上终止的自身流量(也称为主机入站流量);源自设备的自身流量(也称为主机出站流量)不受影响。

  • 组播复制和转发性能不受影响。

另请参阅

启用 VPN 会话关联

默认情况下,在 SRX 系列防火墙上禁用 VPN 会话关联性。在某些情况下,启用 VPN 会话关联可以提高 VPN 吞吐量。本节介绍如何使用 CLI 启用 VPN 会话关联。

确定是否将明文会话转发到其他 SPU 上的 IPsec 隧道会话。使用该 show security flow session 命令显示有关明文会话的会话信息。

在此示例中,FPC 3 PIC 0 上有一个隧道会话,FPC 6 PIC 0 上有一个明文会话。转发会话(会话 ID 60017354)在 FPC 3 PIC 0 上设置。

您可以在 IOC FPC 上为 IPsec 隧道会话启用会话关联。若要启用 IPsec VPN 关联,还必须使用命令在 set chassis fpc fpc-slot np-cache IOC 上启用会话缓存。

要启用 VPN 会话相关性,请执行以下操作:

  1. 在配置模式下,使用 set 命令启用 VPN 会话关联。
  2. 在提交之前检查对配置所做的更改。
  3. 提交配置。

启用 VPN 会话相关性后,使用 show security flow session 命令显示有关明文会话的会话信息。

启用 VPN 会话关联后,明文会话始终位于 FPC 3 PIC 0 上。

另请参阅

加速 IPsec VPN 流量性能

您可以通过配置性能加速参数来加速 IPsec VPN 性能。默认情况下,SRX 系列防火墙上的 VPN 性能加速处于禁用状态。启用 VPN 性能加速可以在启用 VPN 会话关联的情况下提高 VPN 吞吐量。

本文介绍如何使用CLI开启VPN性能加速。

要启用性能加速,必须确保在同一服务处理单元 (SPU) 上建立明文会话和 IPsec 隧道会话。当启用 VPN 会话亲和性和性能加速功能时,IPsec VPN 性能将得到优化。有关启用会话相关性的详细信息,请参阅 了解 VPN 会话相关性

要启用 IPsec VPN 性能加速,请执行以下操作:

  1. 启用 VPN 会话相关性。
  2. 启用 IPsec 性能加速。
  3. 在提交之前检查对配置所做的更改。
  4. 提交配置。

开启 VPN 性能加速后,使用 show security flow status 命令显示流量状态。

另请参阅

IPsec 分布配置文件

您可以为 IPsec 安全关联 (SA) 配置一个或多个 IPsec 分布配置文件。隧道在配置的分布配置文件中指定的所有资源 (SPC) 上均匀分布。仅在 SPC3 和混合模式 (SPC3 + SPC2) 中受支持,在 SPC1 和 SPC2 系统上不受支持。使用 IPsec 分布配置文件,使用命令将 set security ipsec vpn vpn-name distribution-profile distribution-profile-name 隧道关联到指定的:

  • 插槽

  • PIC

或者,您可以使用默认的 IPsec 分发配置文件:

  • default-spc2-profile — 使用此预定义的默认配置文件将 IPsec 隧道关联到所有可用的 SPC2 卡。

  • default-spc3-profile — 使用此预定义的默认配置文件可将 IPsec 隧道关联到所有可用的 SPC3 卡。

现在,您可以将配置文件分配给特定 VPN 对象,其中所有关联的隧道都将基于此配置文件进行分布。如果未将配置文件分配给 VPN 对象,SRX 系列防火墙会自动在所有资源上均匀分配这些隧道。

您可以将 VPN 对象与用户定义的配置文件或预定义(默认)配置文件相关联。

在以下示例中,与配置文件 ABC 关联的所有隧道都将分布 在 FPC 0、PIC 0 上。

了解高可用性 VPN 的环路接口

在 IPsec VPN 隧道配置中,必须指定外部接口才能与对等 IKE 网关通信。当有多个物理接口可用于访问对等网关时,最好为 VPN 的外部接口指定环路接口。在环路接口上锚定 VPN 隧道可消除对物理接口的依赖,从而实现成功路由。

独立 SRX 系列防火墙以及机箱群集中的 SRX 系列防火墙都支持对 VPN 隧道使用环路接口。在机箱群集主动-被动部署中,您可以创建逻辑环路接口并使其成为冗余组的成员,以便可用于锚定 VPN 隧道。环路接口可以在任何冗余组中配置,并被分配为 IKE 网关的外部接口。VPN 数据包在冗余组处于活动状态的节点上处理。

在机箱群集设置中,外部接口处于活动状态的节点会选择一个 SPU 来锚定 VPN 隧道。IKE 和 IPsec 数据包在该 SPU 上处理。因此,活动外部接口确定锚点 SPU。

您可以使用命令 show chassis cluster interfaces 查看冗余伪接口上的信息。

另请参阅

特定于平台 的高可用性 VPN 环路接口 行为

使用 功能资源管理器 确认平台和版本对特定功能的支持。

使用下表查看平台的特定于平台的行为。

表 1: 特定于平台的行为
平台 差异
SRX 系列

  • 在支持高可用性 VPN 环路接口的 SRX5400、SRX5600 和 SRX5800 设备上:

    • 对于运行 kmd 进程的基于 SPC2 的设备,如果将环路接口用作 IKE 网关外部接口,请在 RG0 以外的冗余组中配置接口绑定。

    • 对于运行 iked 进程的基于 SPC3 或 SPC3+SPC2 的设备,无需将环路接口绑定到冗余组。

相关主题

变更历史表

是否支持某项功能取决于您使用的平台和版本。 使用 Feature Explorer 查看您使用的平台是否支持某项功能。

版本
说明
20.2R2
从 Junos OS 20.2R2 版开始,配置到分发配置文件的无效线程 ID 将被忽略,并且不会显示提交检查错误消息。IPsec 隧道根据配置的分发配置文件进行锚定,忽略该配置文件的无效线程 ID(如果有)。
19.2R1
17.4R1
从 Junos OS 17.4R1 版开始,启用 VPN 会话关联和性能加速功能时,IPsec VPN 性能将得到优化。
12.3X48-D50
从 Junos OS 版本 12.3X48-D50、Junos OS 版本 15.1X49-D90 和 Junos OS 版本 17.3R1 开始,如果在 SRX5400、SRX5600 和 SRX5800 设备上启用了 VPN 会话关联,则会根据锚点服务处理单元 (SPU) 上协商的加密和身份验证算法计算隧道开销。