VPN-Sitzungsaffinität
Die Leistung des IPsec-VPN-Datenverkehrs zur Minimierung des Paketweiterleitungsaufwands kann optimiert werden, indem VPN-Sitzungsaffinität und Leistungsbeschleunigung aktiviert werden.
Grundlegendes zur VPN-Sitzungsaffinität
VPN-Sitzungsaffinität tritt auf, wenn sich eine Klartextsitzung in einer Services Processing Unit (SPU) befindet, die sich von der SPU unterscheidet, in der sich die IPsec-Tunnelsitzung befindet. Das Ziel der VPN-Sitzungsaffinität besteht darin, die Klartext- und die IPsec-Tunnelsitzung in derselben SPU zu lokalisieren. Diese Funktion wird nur auf SRX5400-, SRX5600- und SRX5800 Geräten unterstützt.
Ohne VPN-Sitzungsaffinität kann sich eine von einem Datenstrom erstellte Klartextsitzung in einer SPU und die von IPsec erstellte Tunnelsitzung in einer anderen SPU befinden. Eine SPU-zu-SPU-Weiterleitung oder ein SPU-Hop ist erforderlich, um Klartextpakete an den IPsec-Tunnel weiterzuleiten.
Standardmäßig ist die VPN-Sitzungsaffinität auf Firewalls der SRX-Serie deaktiviert. Wenn die VPN-Sitzungsaffinität aktiviert ist, wird eine neue Klartextsitzung auf derselben SPU wie die IPsec-Tunnelsitzung platziert. Bestehende Klartextsitzungen sind davon nicht betroffen.
Mit Junos OS Version 15.1X49-D10 werden die Geräte SRX5K-MPC3-100G10G (IOC3) und SRX5K-MPC3-40G10G (IOC3) für SRX5400-, SRX5600- und SRX5800 Geräte eingeführt.
Der SRX5K-MPC (IOC2) und der IOC3 unterstützen VPN-Sitzungsaffinität durch verbessertes Flow-Modul und verbesserten Sitzungs-Cache. Bei IOCs erstellt das Flow-Modul vor der Verschlüsselung und nach der Entschlüsselung auf seiner im Tunnel verankerten SPU Sitzungen für tunnelbasierten IPsec-Datenverkehr und installiert den Sitzungscache für die Sitzungen, sodass der IOC die Pakete an dieselbe SPU umleiten kann, um den Overhead der Paketweiterleitung zu minimieren. Express-Path-Datenverkehr (früher als Dienstauslagerung bezeichnet) und NP-Cache-Datenverkehr verwenden dieselbe Sitzungscachetabelle auf den IOCs.
Um aktive Tunnelsitzungen auf SPUs anzuzeigen, verwenden Sie den Befehl und geben Sie die Steckplätze für den Flexible PIC Concentrator (FPC) und die Physical Interface Card (PIC) an, die die SPU enthalten.show security ipsec security-association Hier einige Zahlen zum Generationswechsel:
user@host> show security ipsec security-association fpc 3 pic 0 Total active tunnels: 1 ID Algorithm SPI Life:sec/kb Mon vsys Port Gateway <131073 ESP:aes-128/sha1 18c4fd00 491/ 128000 - root 500 203.0.113.11 >131073 ESP:aes-128/sha1 188c0750 491/ 128000 - root 500 203.0.113.11
Sie müssen die Tunnelverteilung und die Datenverkehrsmuster in Ihrem Netzwerk auswerten, um zu bestimmen, ob die VPN-Sitzungsaffinität aktiviert werden sollte.
Ab Junos OS Version 12.3X48-D50, Junos OS Version 15.1X49-D90 und Junos OS Version 17.3R1 wird der Tunnel-Overhead entsprechend den ausgehandelten Verschlüsselungs- und Authentifizierungsalgorithmen auf der Anker-SPU (Services Processing Unit) berechnet, wenn die VPN-Sitzungsaffinität auf SRX5400-, SRX5600- und SRX5800-Geräten aktiviert ist. Wenn sich die konfigurierte Verschlüsselung oder Authentifizierung ändert, wird der Tunnel-Overhead auf der Anker-SPU aktualisiert, wenn eine neue IPsec-Sicherheitszuordnung eingerichtet wird.
Die Einschränkungen für die VPN-Sitzungsaffinität lauten wie folgt:
Datenverkehr über logische Systeme hinweg wird nicht unterstützt.
Wenn es zu einer Routenänderung kommt, verbleiben etablierte Klartextsitzungen auf einer SPU, und der Datenverkehr wird, wenn möglich, umgeleitet. Sitzungen, die nach der Routenänderung erstellt wurden, können auf einer anderen SPU eingerichtet werden.
Die VPN-Sitzungsaffinität wirkt sich nur auf den Eigenverkehr aus, der auf dem Gerät beendet wird (auch als eingehender Datenverkehr des Hosts bezeichnet). Eigenverkehr, der vom Gerät stammt (auch als ausgehender Hostdatenverkehr bezeichnet), ist davon nicht betroffen.
Die Leistung bei der Multicast-Replikation und -Weiterleitung wird nicht beeinträchtigt.
Siehe auch
Aktivieren der VPN-Sitzungsaffinität
Standardmäßig ist die VPN-Sitzungsaffinität auf Firewalls der SRX-Serie deaktiviert. Durch die Aktivierung der VPN-Sitzungsaffinität kann der VPN-Durchsatz unter bestimmten Bedingungen verbessert werden. Diese Funktion wird nur auf SRX5400-, SRX5600- und SRX5800 Geräten unterstützt. In diesem Abschnitt wird beschrieben, wie Sie die CLI verwenden, um die VPN-Sitzungsaffinität zu aktivieren.
Ermitteln Sie, ob Klartextsitzungen an IPsec-Tunnelsitzungen auf einer anderen SPU weitergeleitet werden. Verwenden Sie den Befehl, um Sitzungsinformationen zu Klartextsitzungen anzuzeigen.show security flow session
user@host> show security flow session Flow Sessions on FPC3 PIC0: Session ID: 60000001, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/6204 --> 203.0.113.6/41264;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 60000002, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 60000003, Policy name: self-traffic-policy/1, Timeout: 58, Valid In: 203.0.113.6/500 --> 203.0.113.11/500;udp, If: .local..0, Pkts: 105386, Bytes: 12026528 Out: 203.0.113.11/500 --> 203.0.113.6/500;udp, If: ge-0/0/2.0, Pkts: 106462, Bytes: 12105912 Session ID: 60017354, Policy name: N/A, Timeout: 1784, Valid In: 0.0.0.0/0 --> 0.0.0.0/0;0, If: N/A, Pkts: 0, Bytes: 0 Out: 198.51.100.156/23 --> 192.0.2.155/53051;tcp, If: N/A, Pkts: 0, Bytes: 0 Total sessions: 4 Flow Sessions on FPC6 PIC0: Session ID: 120000001, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 120000002, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 120031730, Policy name: default-policy-00/2, Timeout: 1764, Valid In: 192.0.2.155/53051 --> 198.51.100.156/23;tcp, If: ge-0/0/1.0, Pkts: 44, Bytes: 2399 Out: 198.51.100.156/23 --> 192.0.2.155/53051;tcp, If: st0.0, Pkts: 35, Bytes: 2449 Total sessions: 3
Im Beispiel gibt es eine Tunnelsitzung auf FPC 3, PIC 0 und eine Klartextsitzung auf FPC 6, PIC 0. Eine Weiterleitungssitzung (Sitzungs-ID 60017354) wird auf FPC 3, PIC 0 eingerichtet.
Junos OS Version 15.1X49-D10 führt die Unterstützung für Sitzungsaffinität auf IOCs ein (SRX5K-MPC [IOC2], SRX5K-MPC3-100G10G [IOC3] und SRX5K-MPC3-40G10G [IOC3]) und Junos OS Version 12.3X48-D30 führt die Unterstützung für Sitzungsaffinität auf IOC2 ein. Sie können die Sitzungsaffinität für die IPsec-Tunnelsitzung auf den IOC-FPCs aktivieren. Um die IPsec-VPN-Affinität zu aktivieren, müssen Sie auch den Sitzungscache auf IOCs mithilfe des Befehls aktivieren.set chassis fpc fpc-slot np-cache
So aktivieren Sie die VPN-Sitzungsaffinität:
Nachdem Sie die VPN-Sitzungsaffinität aktiviert haben, verwenden Sie den Befehl, um Sitzungsinformationen zu Klartextsitzungen anzuzeigen.show security flow session
user@host> show security flow session Flow Sessions on FPC3 PIC0: Session ID: 60000001, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/6352 --> 203.0.113.6/7927;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 60000002, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 60000003, Policy name: self-traffic-policy/1, Timeout: 56, Valid In: 203.0.113.6/500 --> 203.0.113.11/500;udp, If: .local..0, Pkts: 105425, Bytes: 12031144 Out: 203.0.113.11/500 --> 203.0.113.6/500;udp, If: ge-0/0/2.0, Pkts: 106503, Bytes: 12110680 Session ID: 60017387, Policy name: default-policy-00/2, Timeout: 1796, Valid In: 192.0.2.155/53053 --> 198.51.100.156/23;tcp, If: ge-0/0/1.0, Pkts: 10, Bytes: 610 Out: 198.51.100.156/23 --> 192.0.2.155/53053;tcp, If: st0.0, Pkts: 9, Bytes: 602 Total sessions: 4 Flow Sessions on FPC6 PIC0: Session ID: 120000001, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 120000002, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Total sessions: 2
Nachdem die VPN-Sitzungsaffinität aktiviert wurde, befindet sich die Klartextsitzung immer auf FPC 3, PIC 0.
Siehe auch
Beschleunigung der IPsec-VPN-Datenverkehrsleistung
Sie können die Leistung von IPsec-VPNs beschleunigen, indem Sie den Parameter für die Leistungsbeschleunigung konfigurieren. Standardmäßig ist die VPN-Leistungsbeschleunigung bei Firewalls der SRX-Serie deaktiviert. Durch Aktivieren der VPN-Leistungsbeschleunigung kann der VPN-Durchsatz bei aktivierter VPN-Sitzungsaffinität verbessert werden. Diese Funktion wird nur auf SRX5400-, SRX5600- und SRX5800 Geräten unterstützt.
In diesem Thema wird beschrieben, wie Sie die CLI verwenden, um die Beschleunigung der VPN-Leistung zu aktivieren.
Um die Leistungsbeschleunigung zu aktivieren, müssen Sie sicherstellen, dass Klartextsitzungen und IPsec-Tunnelsitzungen auf derselben Services Processing Unit (SPU) eingerichtet werden. Ab Junos OS Version 17.4R1 wird die IPsec-VPN-Leistung optimiert, wenn die Funktionen VPN-Sitzungsaffinität und Leistungsbeschleunigung aktiviert sind. Weitere Informationen zum Aktivieren der Sitzungsaffinität finden Sie unter Grundlegendes zur VPN-Sitzungsaffinität.
So aktivieren Sie die IPsec-VPN-Leistungsbeschleunigung:
Nachdem Sie die VPN-Leistungsbeschleunigung aktiviert haben, verwenden Sie den Befehl, um den Datenstromstatus anzuzeigen.show security flow status
Flow forwarding mode: Inet forwarding mode: flow based Inet6 forwarding mode: drop MPLS forwarding mode: drop ISO forwarding mode: drop Flow trace status Flow tracing status: off Flow session distribution Distribution mode: Hash-based Flow packet ordering Ordering mode: Hardware Flow ipsec performance acceleration: on
Siehe auch
IPsec-Verteilungsprofil
Ab Junos OS Version 19.2R1 können Sie ein oder mehrere IPsec-Verteilungsprofile für IPsec-Sicherheitszuordnungen (Security Associations, SAs) konfigurieren. Tunnel werden gleichmäßig auf alle Ressourcen (SPCs) verteilt, die im konfigurierten Verteilungsprofil angegeben sind. Es wird nur in SPC3 und im gemischten Modus (SPC3 + SPC2) unterstützt, nicht auf SPC1- und SPC2-Systemen. Verwenden Sie mit dem IPsec-Verteilungsprofil den Befehl, um Tunnel einem angegebenen Namen zuzuordnen:set security ipsec vpn vpn-name distribution-profile distribution-profile-name
Slot
PIC
Alternativ können Sie die standardmäßigen IPsec-Verteilungsprofile verwenden:
default-spc2-profile
—Verwenden Sie dieses vordefinierte Standardprofil, um IPsec-Tunnel allen verfügbaren SPC2-Karten zuzuordnen.default-spc3-profile
: Verwenden Sie dieses vordefinierte Standardprofil, um IPsec-Tunnel allen verfügbaren SPC3-Karten zuzuordnen.
Sie können nun einem bestimmten VPN-Objekt ein Profil zuweisen, in dem alle zugehörigen Tunnel basierend auf diesem Profil verteilt werden. Wenn dem VPN-Objekt kein Profil zugewiesen ist, verteilt die Firewall der SRX-Serie diese Tunnel automatisch gleichmäßig auf alle Ressourcen.
Sie können ein VPN-Objekt entweder einem benutzerdefinierten Profil oder einem vordefinierten (Standard-)Profil zuordnen.
Ab Junos OS Version 20.2R2 werden die ungültigen Thread-IDs, die für das Verteilungsprofil konfiguriert sind, ohne Fehlermeldung bei der Commit-Prüfung ignoriert. Der IPsec-Tunnel wird gemäß dem konfigurierten Verteilungsprofil verankert, wobei ungültige Thread-IDs, falls vorhanden, für dieses Profil ignoriert werden.
Im folgenden Beispiel werden alle Tunnel, die dem Profil ABC zugeordnet sind, auf FPC 0, PIC 0 verteilt .
userhost# show security { distribution-profile ABC { fpc 0 { pic 0; } } }
Grundlegendes zur Loopback-Schnittstelle für ein Hochverfügbarkeits-VPN
In einer IPsec-VPN-Tunnelkonfiguration muss eine externe Schnittstelle für die Kommunikation mit dem Peer-IKE-Gateway angegeben werden. Das Angeben einer Loopback-Schnittstelle für die externe Schnittstelle eines VPN empfiehlt sich, wenn mehrere physische Schnittstellen vorhanden sind, die zum Erreichen eines Peer-Gateways verwendet werden können. Durch die Verankerung eines VPN-Tunnels auf der Loopback-Schnittstelle wird die Abhängigkeit von einer physischen Schnittstelle für erfolgreiches Routing aufgehoben.
Die Verwendung einer Loopback-Schnittstelle für VPN-Tunnel wird sowohl auf eigenständigen Firewalls der SRX-Serie als auch auf Firewalls der SRX-Serie in Chassis-Clustern unterstützt. In einer Aktiv-Passiv-Bereitstellung eines Chassis-Clusters können Sie eine logische Loopback-Schnittstelle erstellen und sie zu einem Mitglied einer Redundanzgruppe machen, damit sie zur Verankerung von VPN-Tunneln verwendet werden kann. Die Loopback-Schnittstelle kann in einer beliebigen Redundanzgruppe konfiguriert werden und wird als externe Schnittstelle für das IKE-Gateway zugewiesen. VPN-Pakete werden auf dem Knoten verarbeitet, auf dem die Redundanzgruppe aktiv ist.
Auf SRX5400-, SRX5600- und SRX5800 Geräten –
-
Wenn bei SPC2-basierten Geräten, auf denen kmd process ausgeführt wird, die Loopback-Schnittstelle als externe Schnittstelle des IKE-Gateways verwendet wird, konfigurieren Sie die Schnittstellenbindung in einer anderen Redundanzgruppe als RG0.
-
Für SPC3- oder SPC3+SPC2-basierte Geräte, auf denen iked-Prozesse ausgeführt werden, ist die Bindung der Loopback-Schnittstelle an eine Redundanzgruppe nicht erforderlich.
In einer Chassis-Cluster-Konfiguration wählt der Knoten, auf dem die externe Schnittstelle aktiv ist, eine SPU aus, um den VPN-Tunnel zu verankern. IKE- und IPsec-Pakete werden auf dieser SPU verarbeitet. Somit bestimmt eine aktive externe Schnittstelle die Anker-SPU.
Sie können den Befehl verwenden, um Informationen über die redundante Pseudoschnittstelle anzuzeigen.show chassis cluster interfaces
Siehe auch
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Feature Explorer, um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.