Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPN-Sitzungsaffinität

Die Leistung des IPsec-VPN-Datenverkehrs zur Minimierung des Paketweiterleitungsaufwands kann optimiert werden, indem VPN-Sitzungsaffinität und Leistungsbeschleunigung aktiviert werden.

Grundlegendes zur VPN-Sitzungsaffinität

VPN-Sitzungsaffinität tritt auf, wenn sich eine Klartextsitzung in einer Services Processing Unit (SPU) befindet, die sich von der SPU unterscheidet, in der sich die IPsec-Tunnelsitzung befindet. Das Ziel der VPN-Sitzungsaffinität besteht darin, die Klartext- und die IPsec-Tunnelsitzung in derselben SPU zu lokalisieren. Diese Funktion wird nur auf SRX5400-, SRX5600- und SRX5800 Geräten unterstützt.

Ohne VPN-Sitzungsaffinität kann sich eine von einem Datenstrom erstellte Klartextsitzung in einer SPU und die von IPsec erstellte Tunnelsitzung in einer anderen SPU befinden. Eine SPU-zu-SPU-Weiterleitung oder ein SPU-Hop ist erforderlich, um Klartextpakete an den IPsec-Tunnel weiterzuleiten.

Standardmäßig ist die VPN-Sitzungsaffinität auf Firewalls der SRX-Serie deaktiviert. Wenn die VPN-Sitzungsaffinität aktiviert ist, wird eine neue Klartextsitzung auf derselben SPU wie die IPsec-Tunnelsitzung platziert. Bestehende Klartextsitzungen sind davon nicht betroffen.

Mit Junos OS Version 15.1X49-D10 werden die Geräte SRX5K-MPC3-100G10G (IOC3) und SRX5K-MPC3-40G10G (IOC3) für SRX5400-, SRX5600- und SRX5800 Geräte eingeführt.

Der SRX5K-MPC (IOC2) und der IOC3 unterstützen VPN-Sitzungsaffinität durch verbessertes Flow-Modul und verbesserten Sitzungs-Cache. Bei IOCs erstellt das Flow-Modul vor der Verschlüsselung und nach der Entschlüsselung auf seiner im Tunnel verankerten SPU Sitzungen für tunnelbasierten IPsec-Datenverkehr und installiert den Sitzungscache für die Sitzungen, sodass der IOC die Pakete an dieselbe SPU umleiten kann, um den Overhead der Paketweiterleitung zu minimieren. Express-Path-Datenverkehr (früher als Dienstauslagerung bezeichnet) und NP-Cache-Datenverkehr verwenden dieselbe Sitzungscachetabelle auf den IOCs.

Um aktive Tunnelsitzungen auf SPUs anzuzeigen, verwenden Sie den Befehl und geben Sie die Steckplätze für den Flexible PIC Concentrator (FPC) und die Physical Interface Card (PIC) an, die die SPU enthalten.show security ipsec security-association Hier einige Zahlen zum Generationswechsel:

Sie müssen die Tunnelverteilung und die Datenverkehrsmuster in Ihrem Netzwerk auswerten, um zu bestimmen, ob die VPN-Sitzungsaffinität aktiviert werden sollte.

Ab Junos OS Version 12.3X48-D50, Junos OS Version 15.1X49-D90 und Junos OS Version 17.3R1 wird der Tunnel-Overhead entsprechend den ausgehandelten Verschlüsselungs- und Authentifizierungsalgorithmen auf der Anker-SPU (Services Processing Unit) berechnet, wenn die VPN-Sitzungsaffinität auf SRX5400-, SRX5600- und SRX5800-Geräten aktiviert ist. Wenn sich die konfigurierte Verschlüsselung oder Authentifizierung ändert, wird der Tunnel-Overhead auf der Anker-SPU aktualisiert, wenn eine neue IPsec-Sicherheitszuordnung eingerichtet wird.

Die Einschränkungen für die VPN-Sitzungsaffinität lauten wie folgt:

  • Datenverkehr über logische Systeme hinweg wird nicht unterstützt.

  • Wenn es zu einer Routenänderung kommt, verbleiben etablierte Klartextsitzungen auf einer SPU, und der Datenverkehr wird, wenn möglich, umgeleitet. Sitzungen, die nach der Routenänderung erstellt wurden, können auf einer anderen SPU eingerichtet werden.

  • Die VPN-Sitzungsaffinität wirkt sich nur auf den Eigenverkehr aus, der auf dem Gerät beendet wird (auch als eingehender Datenverkehr des Hosts bezeichnet). Eigenverkehr, der vom Gerät stammt (auch als ausgehender Hostdatenverkehr bezeichnet), ist davon nicht betroffen.

  • Die Leistung bei der Multicast-Replikation und -Weiterleitung wird nicht beeinträchtigt.

Aktivieren der VPN-Sitzungsaffinität

Standardmäßig ist die VPN-Sitzungsaffinität auf Firewalls der SRX-Serie deaktiviert. Durch die Aktivierung der VPN-Sitzungsaffinität kann der VPN-Durchsatz unter bestimmten Bedingungen verbessert werden. Diese Funktion wird nur auf SRX5400-, SRX5600- und SRX5800 Geräten unterstützt. In diesem Abschnitt wird beschrieben, wie Sie die CLI verwenden, um die VPN-Sitzungsaffinität zu aktivieren.

Ermitteln Sie, ob Klartextsitzungen an IPsec-Tunnelsitzungen auf einer anderen SPU weitergeleitet werden. Verwenden Sie den Befehl, um Sitzungsinformationen zu Klartextsitzungen anzuzeigen.show security flow session

Im Beispiel gibt es eine Tunnelsitzung auf FPC 3, PIC 0 und eine Klartextsitzung auf FPC 6, PIC 0. Eine Weiterleitungssitzung (Sitzungs-ID 60017354) wird auf FPC 3, PIC 0 eingerichtet.

Junos OS Version 15.1X49-D10 führt die Unterstützung für Sitzungsaffinität auf IOCs ein (SRX5K-MPC [IOC2], SRX5K-MPC3-100G10G [IOC3] und SRX5K-MPC3-40G10G [IOC3]) und Junos OS Version 12.3X48-D30 führt die Unterstützung für Sitzungsaffinität auf IOC2 ein. Sie können die Sitzungsaffinität für die IPsec-Tunnelsitzung auf den IOC-FPCs aktivieren. Um die IPsec-VPN-Affinität zu aktivieren, müssen Sie auch den Sitzungscache auf IOCs mithilfe des Befehls aktivieren.set chassis fpc fpc-slot np-cache

So aktivieren Sie die VPN-Sitzungsaffinität:

  1. Verwenden Sie im Konfigurationsmodus den Befehl, um die VPN-Sitzungsaffinität zu aktivieren.set
  2. Überprüfen Sie Ihre Änderungen an der Konfiguration, bevor Sie einen Commit ausführen.
  3. Bestätigen Sie die Konfiguration.

Nachdem Sie die VPN-Sitzungsaffinität aktiviert haben, verwenden Sie den Befehl, um Sitzungsinformationen zu Klartextsitzungen anzuzeigen.show security flow session

Nachdem die VPN-Sitzungsaffinität aktiviert wurde, befindet sich die Klartextsitzung immer auf FPC 3, PIC 0.

Beschleunigung der IPsec-VPN-Datenverkehrsleistung

Sie können die Leistung von IPsec-VPNs beschleunigen, indem Sie den Parameter für die Leistungsbeschleunigung konfigurieren. Standardmäßig ist die VPN-Leistungsbeschleunigung bei Firewalls der SRX-Serie deaktiviert. Durch Aktivieren der VPN-Leistungsbeschleunigung kann der VPN-Durchsatz bei aktivierter VPN-Sitzungsaffinität verbessert werden. Diese Funktion wird nur auf SRX5400-, SRX5600- und SRX5800 Geräten unterstützt.

In diesem Thema wird beschrieben, wie Sie die CLI verwenden, um die Beschleunigung der VPN-Leistung zu aktivieren.

Um die Leistungsbeschleunigung zu aktivieren, müssen Sie sicherstellen, dass Klartextsitzungen und IPsec-Tunnelsitzungen auf derselben Services Processing Unit (SPU) eingerichtet werden. Ab Junos OS Version 17.4R1 wird die IPsec-VPN-Leistung optimiert, wenn die Funktionen VPN-Sitzungsaffinität und Leistungsbeschleunigung aktiviert sind. Weitere Informationen zum Aktivieren der Sitzungsaffinität finden Sie unter Grundlegendes zur VPN-Sitzungsaffinität.

So aktivieren Sie die IPsec-VPN-Leistungsbeschleunigung:

  1. Aktivieren Sie die VPN-Sitzungsaffinität.
  2. Aktivieren Sie die IPsec-Leistungsbeschleunigung.
  3. Überprüfen Sie Ihre Änderungen an der Konfiguration, bevor Sie einen Commit ausführen.
  4. Bestätigen Sie die Konfiguration.

Nachdem Sie die VPN-Leistungsbeschleunigung aktiviert haben, verwenden Sie den Befehl, um den Datenstromstatus anzuzeigen.show security flow status

IPsec-Verteilungsprofil

Ab Junos OS Version 19.2R1 können Sie ein oder mehrere IPsec-Verteilungsprofile für IPsec-Sicherheitszuordnungen (Security Associations, SAs) konfigurieren. Tunnel werden gleichmäßig auf alle Ressourcen (SPCs) verteilt, die im konfigurierten Verteilungsprofil angegeben sind. Es wird nur in SPC3 und im gemischten Modus (SPC3 + SPC2) unterstützt, nicht auf SPC1- und SPC2-Systemen. Verwenden Sie mit dem IPsec-Verteilungsprofil den Befehl, um Tunnel einem angegebenen Namen zuzuordnen:set security ipsec vpn vpn-name distribution-profile distribution-profile-name

  • Slot

  • PIC

Alternativ können Sie die standardmäßigen IPsec-Verteilungsprofile verwenden:

  • default-spc2-profile —Verwenden Sie dieses vordefinierte Standardprofil, um IPsec-Tunnel allen verfügbaren SPC2-Karten zuzuordnen.

  • default-spc3-profile : Verwenden Sie dieses vordefinierte Standardprofil, um IPsec-Tunnel allen verfügbaren SPC3-Karten zuzuordnen.

Sie können nun einem bestimmten VPN-Objekt ein Profil zuweisen, in dem alle zugehörigen Tunnel basierend auf diesem Profil verteilt werden. Wenn dem VPN-Objekt kein Profil zugewiesen ist, verteilt die Firewall der SRX-Serie diese Tunnel automatisch gleichmäßig auf alle Ressourcen.

Sie können ein VPN-Objekt entweder einem benutzerdefinierten Profil oder einem vordefinierten (Standard-)Profil zuordnen.

Ab Junos OS Version 20.2R2 werden die ungültigen Thread-IDs, die für das Verteilungsprofil konfiguriert sind, ohne Fehlermeldung bei der Commit-Prüfung ignoriert. Der IPsec-Tunnel wird gemäß dem konfigurierten Verteilungsprofil verankert, wobei ungültige Thread-IDs, falls vorhanden, für dieses Profil ignoriert werden.

Im folgenden Beispiel werden alle Tunnel, die dem Profil ABC zugeordnet sind, auf FPC 0, PIC 0 verteilt .

Grundlegendes zur Loopback-Schnittstelle für ein Hochverfügbarkeits-VPN

In einer IPsec-VPN-Tunnelkonfiguration muss eine externe Schnittstelle für die Kommunikation mit dem Peer-IKE-Gateway angegeben werden. Das Angeben einer Loopback-Schnittstelle für die externe Schnittstelle eines VPN empfiehlt sich, wenn mehrere physische Schnittstellen vorhanden sind, die zum Erreichen eines Peer-Gateways verwendet werden können. Durch die Verankerung eines VPN-Tunnels auf der Loopback-Schnittstelle wird die Abhängigkeit von einer physischen Schnittstelle für erfolgreiches Routing aufgehoben.

Die Verwendung einer Loopback-Schnittstelle für VPN-Tunnel wird sowohl auf eigenständigen Firewalls der SRX-Serie als auch auf Firewalls der SRX-Serie in Chassis-Clustern unterstützt. In einer Aktiv-Passiv-Bereitstellung eines Chassis-Clusters können Sie eine logische Loopback-Schnittstelle erstellen und sie zu einem Mitglied einer Redundanzgruppe machen, damit sie zur Verankerung von VPN-Tunneln verwendet werden kann. Die Loopback-Schnittstelle kann in einer beliebigen Redundanzgruppe konfiguriert werden und wird als externe Schnittstelle für das IKE-Gateway zugewiesen. VPN-Pakete werden auf dem Knoten verarbeitet, auf dem die Redundanzgruppe aktiv ist.

Auf SRX5400-, SRX5600- und SRX5800 Geräten –

  • Wenn bei SPC2-basierten Geräten, auf denen kmd process ausgeführt wird, die Loopback-Schnittstelle als externe Schnittstelle des IKE-Gateways verwendet wird, konfigurieren Sie die Schnittstellenbindung in einer anderen Redundanzgruppe als RG0.

  • Für SPC3- oder SPC3+SPC2-basierte Geräte, auf denen iked-Prozesse ausgeführt werden, ist die Bindung der Loopback-Schnittstelle an eine Redundanzgruppe nicht erforderlich.

In einer Chassis-Cluster-Konfiguration wählt der Knoten, auf dem die externe Schnittstelle aktiv ist, eine SPU aus, um den VPN-Tunnel zu verankern. IKE- und IPsec-Pakete werden auf dieser SPU verarbeitet. Somit bestimmt eine aktive externe Schnittstelle die Anker-SPU.

Sie können den Befehl verwenden, um Informationen über die redundante Pseudoschnittstelle anzuzeigen.show chassis cluster interfaces

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Feature Explorer, um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Release
Beschreibung
12.3X48-D50
Ab Junos OS Version 12.3X48-D50, Junos OS Version 15.1X49-D90 und Junos OS Version 17.3R1 wird der Tunnel-Overhead entsprechend den ausgehandelten Verschlüsselungs- und Authentifizierungsalgorithmen auf der Anker-SPU (Services Processing Unit) berechnet, wenn die VPN-Sitzungsaffinität auf SRX5400-, SRX5600- und SRX5800-Geräten aktiviert ist.
17.4R1
Ab Junos OS Version 17.4R1 wird die IPsec-VPN-Leistung optimiert, wenn die Funktionen VPN-Sitzungsaffinität und Leistungsbeschleunigung aktiviert sind.
Junos OS Release 20.2R
Ab Junos OS Version 20.2R2 werden die ungültigen Thread-IDs, die für das Verteilungsprofil konfiguriert sind, ohne Fehlermeldung bei der Commit-Prüfung ignoriert. Der IPsec-Tunnel wird gemäß dem konfigurierten Verteilungsprofil verankert, wobei ungültige Thread-IDs, falls vorhanden, für dieses Profil ignoriert werden.