Affinität zu VPN-Sitzungen
Die Leistung des IPsec-VPN-Datenverkehrs zur Minimierung des Paketweiterleitungs-Overheads kann durch die Aktivierung von VPN-Sitzungsaffinität und Leistungsbeschleunigung optimiert werden.
Verständnis der Affinität zu VPN-Sitzungen
Vpn-Sitzungsaffinität tritt auf, wenn sich eine Cleartext-Sitzung in einer Services Processing Unit (SPU) befindet, die sich von der SPU unterscheidet, in der sich die IPsec-Tunnelsitzung befindet. Das Ziel der VPN-Sitzungsaffinität ist es, die Cleartext- und IPsec-Tunnelsitzung in derselben SPU zu lokalisieren. Diese Funktion wird nur auf SRX5400-, SRX5600- und SRX5800-Geräten unterstützt.
Ohne VPN-Sitzungsaffinität könnte sich eine von einem Datenstrom erstellte Cleartext-Sitzung in einer SPU und die von IPsec erstellte Tunnelsitzung in einer anderen SPU befinden. Eine SPU zu SPU Forward oder Hop ist erforderlich, um Cleartext-Pakete an den IPsec-Tunnel zu leiten.
Standardmäßig ist die Vpn-Sitzungsaffinität auf den Firewalls der SRX-Serie deaktiviert. Wenn die Vpn-Sitzungsaffinität aktiviert ist, wird eine neue Cleartext-Sitzung auf derselben SPU platziert wie die IPsec-Tunnelsitzung. Vorhandene Cleartext-Sitzungen sind davon nicht betroffen.
Junos OS-Version 15.1X49-D10 führt das SRX5K-MPC3-100G10G (IOC3) und das SRX5K-MPC3-40G10G (IOC3) für SRX5400-, SRX5600- und SRX5800-Geräte ein.
Das SRX5K-MPC (IOC2) und das IOC3 unterstützen die Affinität zu VPN-Sitzungen durch verbessertes Datenstrommodul und Sitzungscache. Mit IOCs erstellt das Datenstrommodul Sitzungen für IPsec-tunnelbasierten Datenverkehr vor der Verschlüsselung und nach der Entschlüsselung der tunnelgebundenen SPU und installiert den Sitzungscache für die Sitzungen, sodass der IOC die Pakete an dieselbe SPU umleiten kann, um den Paketweiterleitungsaufwand zu minimieren. Express Path (früher als Services Offloading bezeichnet) Datenverkehr und NP-Cache-Datenverkehr teilen sich dieselbe Sitzungscache-Tabelle auf den IOCs.
Um aktive Tunnelsitzungen auf SPUs anzuzeigen, verwenden Sie den show security ipsec security-association Befehl, und geben Sie die Steckplätze für Flexible PIC Concentrator (FPC) und Physical Interface Card (PIC) an, die die SPU enthalten. Zum Beispiel:
user@host> show security ipsec security-association fpc 3 pic 0 Total active tunnels: 1 ID Algorithm SPI Life:sec/kb Mon vsys Port Gateway <131073 ESP:aes-128/sha1 18c4fd00 491/ 128000 - root 500 203.0.113.11 >131073 ESP:aes-128/sha1 188c0750 491/ 128000 - root 500 203.0.113.11
Sie müssen die Tunnelverteilung und die Datenverkehrsmuster in Ihrem Netzwerk auswerten, um festzustellen, ob die Affinität zur VPN-Sitzung aktiviert werden sollte.
Beginnend mit Junos OS Version 12.3X48-D50, Junos OS Version 15.1X49-D90 und Junos OS Version 17.3R1 wird der Tunnel-Overhead gemäß den ausgehandelten Verschlüsselungs- und Authentifizierungsalgorithmen der Anker-Services Processing Unit (SPU) berechnet, wenn die VPN-Sitzungsaffinität auf SRX5400-, SRX5600- und SRX5800-Geräten aktiviert ist. Wenn sich die konfigurierte Verschlüsselung oder Authentifizierung ändert, wird der Tunnel-Overhead auf der Anker-SPU aktualisiert, wenn eine neue IPsec-Sicherheitszuordnung eingerichtet wird.
Die Einschränkungen der VPN-Sitzungsaffinität sind wie folgt:
Datenverkehr über logische Systeme hinweg wird nicht unterstützt.
Wenn eine Routenänderung erfolgt, bleiben etablierte Cleartext-Sitzungen auf einer SPU und der Datenverkehr wird, wenn möglich, umgeleitet. Sitzungen, die nach der Routenänderung erstellt wurden, können auf einer anderen SPU eingerichtet werden.
Vpn-Sitzungsaffinität wirkt sich nur auf den Selbstverkehr aus, der auf dem Gerät endet (auch host-eingehender Datenverkehr genannt); der vom Gerät ausgehende Datenverkehr (auch host-ausgehender Datenverkehr genannt) ist nicht betroffen.
Die Multicast-Replikations- und Weiterleitungsleistung wird nicht beeinträchtigt.
Siehe auch
Aktivierung der Affinität von VPN-Sitzungen
Standardmäßig ist die Vpn-Sitzungsaffinität auf den Firewalls der SRX-Serie deaktiviert. Die Aktivierung der VPN-Sitzungsaffinität kann den VPN-Durchsatz unter bestimmten Bedingungen verbessern. Diese Funktion wird nur auf SRX5400-, SRX5600- und SRX5800-Geräten unterstützt. In diesem Abschnitt wird beschrieben, wie Sie die CLI verwenden, um die Affinität zu VPN-Sitzungen zu aktivieren.
Bestimmen Sie, ob Klartextsitzungen an IPsec-Tunnelsitzungen auf einer anderen SPU weitergeleitet werden. Verwenden Sie den show security flow session Befehl, um Sitzungsinformationen zu Clear-Text-Sitzungen anzuzeigen.
user@host> show security flow session Flow Sessions on FPC3 PIC0: Session ID: 60000001, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/6204 --> 203.0.113.6/41264;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 60000002, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 60000003, Policy name: self-traffic-policy/1, Timeout: 58, Valid In: 203.0.113.6/500 --> 203.0.113.11/500;udp, If: .local..0, Pkts: 105386, Bytes: 12026528 Out: 203.0.113.11/500 --> 203.0.113.6/500;udp, If: ge-0/0/2.0, Pkts: 106462, Bytes: 12105912 Session ID: 60017354, Policy name: N/A, Timeout: 1784, Valid In: 0.0.0.0/0 --> 0.0.0.0/0;0, If: N/A, Pkts: 0, Bytes: 0 Out: 198.51.100.156/23 --> 192.0.2.155/53051;tcp, If: N/A, Pkts: 0, Bytes: 0 Total sessions: 4 Flow Sessions on FPC6 PIC0: Session ID: 120000001, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 120000002, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 120031730, Policy name: default-policy-00/2, Timeout: 1764, Valid In: 192.0.2.155/53051 --> 198.51.100.156/23;tcp, If: ge-0/0/1.0, Pkts: 44, Bytes: 2399 Out: 198.51.100.156/23 --> 192.0.2.155/53051;tcp, If: st0.0, Pkts: 35, Bytes: 2449 Total sessions: 3
In diesem Beispiel gibt es eine Tunnelsitzung auf FPC 3, PIC 0 und eine Klartextsitzung auf FPC 6, PIC 0. Auf FPC 3, PIC 0 wird eine Weiterleitungssitzung (Sitzungs-ID 60017354) eingerichtet.
Junos OS-Version 15.1X49-D10 führt Sitzungsaffinitätsunterstützung auf IOCs ein (SRX5K-MPC [IOC2], SRX5K-MPC3-100G10G [IOC3] und SRX5K-MPC3-40G10G [IOC3]) und Junos OS Version 12.3X48-D30 führt Sitzungsaffinitätsunterstützung auf IOC2 ein. Sie können die Sitzungsaffinität für die IPsec-Tunnelsitzung auf den IOC-FPCs aktivieren. Um die IPsec-VPN-Affinität zu aktivieren, müssen Sie auch den Sitzungscache auf IOCs mithilfe des set chassis fpc fpc-slot np-cache Befehls aktivieren.
So aktivieren Sie die Affinität zu VPN-Sitzungen:
Verwenden Sie den Befehl, um Sitzungsinformationen zu Clear-Text-Sitzungen anzuzeigen, nachdem Sie die show security flow session Affinität zur VPN-Sitzung aktiviert haben.
user@host> show security flow session Flow Sessions on FPC3 PIC0: Session ID: 60000001, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/6352 --> 203.0.113.6/7927;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 60000002, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 60000003, Policy name: self-traffic-policy/1, Timeout: 56, Valid In: 203.0.113.6/500 --> 203.0.113.11/500;udp, If: .local..0, Pkts: 105425, Bytes: 12031144 Out: 203.0.113.11/500 --> 203.0.113.6/500;udp, If: ge-0/0/2.0, Pkts: 106503, Bytes: 12110680 Session ID: 60017387, Policy name: default-policy-00/2, Timeout: 1796, Valid In: 192.0.2.155/53053 --> 198.51.100.156/23;tcp, If: ge-0/0/1.0, Pkts: 10, Bytes: 610 Out: 198.51.100.156/23 --> 192.0.2.155/53053;tcp, If: st0.0, Pkts: 9, Bytes: 602 Total sessions: 4 Flow Sessions on FPC6 PIC0: Session ID: 120000001, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 120000002, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Total sessions: 2
Nach aktivierung der VPN-Sitzungsaffinität befindet sich die Klartextsitzung immer auf FPC 3, PIC 0.
Siehe auch
Beschleunigung der IPsec-VPN-Datenverkehrsleistung
Sie können die IPsec-VPN-Leistung beschleunigen, indem Sie den Leistungsbeschleunigungsparameter konfigurieren. Standardmäßig ist die VPN-Leistungsbeschleunigung auf den Firewalls der SRX-Serie deaktiviert. Die Aktivierung der VPN-Leistungsbeschleunigung kann den VPN-Durchsatz bei aktivierter VPN-Sitzungsaffinität verbessern. Diese Funktion wird nur auf SRX5400-, SRX5600- und SRX5800-Geräten unterstützt.
In diesem Thema wird beschrieben, wie Sie die CLI zur Aktivierung der VPN-Leistungsbeschleunigung verwenden.
Um die Leistungsbeschleunigung zu ermöglichen, müssen Sie sicherstellen, dass Cleartext-Sitzungen und IPsec-Tunnelsitzungen auf derselben Services Processing Unit (SPU) eingerichtet sind. Ab Junos OS Version 17.4R1 wird die IPsec-VPN-Leistung optimiert, wenn die Vpn-Sitzungsaffinität und die Funktionen zur Leistungsbeschleunigung aktiviert sind. Weitere Informationen zur Aktivierung von Sitzungsaffinität finden Sie unter Understanding VPN Session Affinity.For more information on enabling session affinity, see Understanding VPN Session Affinity.
So aktivieren Sie die IPsec-VPN-Leistungsbeschleunigung:
Verwenden Sie den Befehl, um den Datenstromstatus anzuzeigen, nachdem Sie die show security flow status VPN-Leistungsbeschleunigung aktiviert haben.
Flow forwarding mode:
Inet forwarding mode: flow based
Inet6 forwarding mode: drop
MPLS forwarding mode: drop
ISO forwarding mode: drop
Flow trace status
Flow tracing status: off
Flow session distribution
Distribution mode: Hash-based
Flow packet ordering
Ordering mode: Hardware
Flow ipsec performance acceleration: on
Siehe auch
IPsec-Verteilungsprofil
Ab Junos OS Version 19.2R1 können Sie ein oder mehrere IPsec-Verteilungsprofile für IPsec-Sicherheitszuordnungen (SAs) konfigurieren. Tunnel werden gleichmäßig auf alle Ressourcen (SPCs) verteilt, die im konfigurierten Verteilungsprofil angegeben sind. Es wird nur in SPC3 und gemischten Modus (SPC3 + SPC2) unterstützt, es wird auf SPC1- und SPC2-Systemen nicht unterstützt. Verwenden Sie set security ipsec vpn vpn-name distribution-profile distribution-profile-name den Befehl für das IPsec-Verteilungsprofil, um Tunnel einer angegebenen:
Slot
PIC
Alternativ können Sie die Standard-IPsec-Verteilungsprofile verwenden:
default-spc2-profile— Verwenden Sie dieses vordefinierte Standardprofil, um IPsec-Tunnel allen verfügbaren SPC2-Karten zu zuordnen.default-spc3-profile— Verwenden Sie dieses vordefinierte Standardprofil, um IPsec-Tunnel allen verfügbaren SPC3-Karten zuzuordnen.
Sie können nun einem bestimmten VPN-Objekt ein Profil zuweisen, in dem alle zugehörigen Tunnel basierend auf diesem Profil verteilt werden. Wenn dem VPN-Objekt kein Profil zugewiesen wird, verteilt die Firewall der SRX-Serie diese Tunnel automatisch gleichmäßig auf alle Ressourcen.
Sie können ein VPN-Objekt entweder einem benutzerdefinierten Profil oder einem vordefinierten (Standard-)Profil zuordnen.
Ab Junos OS Version 20.2R2 werden die ungültigen Thread-IDs, die für das Verteilungsprofil konfiguriert sind, ignoriert, ohne dass eine Commit-Prüfung fehlermeldung besteht. Der IPsec-Tunnel wird gemäß dem konfigurierten Verteilungsprofil verankert und ignoriert ungültige Thread-IDs, falls für dieses Profil vorhanden.
Im folgenden Beispiel werden alle Tunnel, die mit Profil-ABC verknüpft sind, auf FPC 0, PIC 0 verteilt .
userhost# show security {
distribution-profile ABC {
fpc 0 {
pic 0;
}
}
}
Verstehen der Loopback-Schnittstelle für ein HOCHverfügbarkeits-VPN
In einer IPsec-VPN-Tunnelkonfiguration muss eine externe Schnittstelle angegeben werden, um mit dem Peer-IKE-Gateway zu kommunizieren. Das Angeben einer Loopback-Schnittstelle für die externe Schnittstelle eines VPN ist eine bewährte Methode, wenn mehrere physische Schnittstellen zum Erreichen eines Peer-Gateways verwendet werden können. Durch die Verankerung eines VPN-Tunnels auf der Loopback-Schnittstelle wird die Abhängigkeit von einer physischen Schnittstelle für ein erfolgreiches Routing beseitigt.
Die Verwendung einer Loopback-Schnittstelle für VPN-Tunnel wird sowohl auf eigenständigen Firewalls der SRX-Serie als auch auf Firewalls der SRX-Serie in Chassis-Clustern unterstützt. In einer aktiv-passiven Chassis-Cluster-Bereitstellung können Sie eine logische Loopback-Schnittstelle erstellen und sie zu einem Mitglied einer Redundanzgruppe machen, sodass sie zum Verankern von VPN-Tunneln verwendet werden kann. Die Loopback-Schnittstelle kann in jeder Redundanzgruppe konfiguriert werden und wird als externe Schnittstelle für das IKE-Gateway zugewiesen. VPN-Pakete werden auf dem Knoten verarbeitet, auf dem die Redundanzgruppe aktiv ist.
Auf SRX5400-, SRX5600- und SRX5800-Geräten –
-
Wenn die Loopback-Schnittstelle als externe Schnittstelle des IKE-Gateways für SPC2-basierte Geräte mit kmd-Prozess verwendet wird, konfigurieren Sie die Schnittstellenbindung in einer anderen Redundanzgruppe als RG0.
-
Bei SPC3- oder SPC3+SPC2-basierten Geräten mit einem iked-Prozess ist keine Loopback-Schnittstellenbindung an eine Redundanzgruppe erforderlich.
In einer Chassis-Cluster-Einrichtung wählt der Knoten, auf dem die externe Schnittstelle aktiv ist, eine SPU aus, um den VPN-Tunnel zu verankern. IKE- und IPsec-Pakete werden auf dieser SPU verarbeitet. Somit bestimmt eine aktive externe Schnittstelle die Anker-SPU.
Sie können den show chassis cluster interfaces Befehl verwenden, um Informationen auf dem redundanten Pseudointerface anzuzeigen.