Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 

Descripción de la afinidad de sesión VPN

 

La afinidad de las sesiones VPN se produce cuando una sesión de texto no cifrado se encuentra en una unidad de procesamiento de servicios (SPU) que es diferente de la SPU en la que se encuentra la sesión de túnel IPsec. El objetivo de la afinidad de sesión VPN es localizar la sesión de descifrado e IPsec en la misma SPU. Esta característica solo se admite en dispositivos SRX5400, SRX5600 y SRX5800.

Sin la afinidad de sesión VPN, una sesión de texto creado por un flujo podría encontrarse en una SPU y la sesión de túnel creada por IPsec podría encontrarse en otra SPU. Es necesario que la SPU sea directa o de contratransmisión para enrutar paquetes de texto no cifrado al túnel IPsec.

De forma predeterminada, la afinidad de sesión VPN está deshabilitada en serie SRX dispositivos. Cuando se habilita la afinidad de sesión VPN, se coloca una nueva sesión de CLEARTEXT en la misma SPU que la sesión de túnel IPsec. Las sesiones de texto no se verán afectadas.

Junos OS versión 15.1 X49-D10 presenta el SRX5K-MPC3-100G10G (IOC3) y el SRX5K-MPC3-40G10G (IOC3) para dispositivos SRX5400, SRX5600 y SRX5800.

SRX5K-MPC (IOC2) y IOC3 admiten afinidad de sesión VPN a través de módulos de flujo mejorados y caché de sesión. Con IOCs, el módulo de flujo crea sesiones para el tráfico basado en el túnel IPsec antes del cifrado y después del descifrado en su SPU en el túnel de delimitadores e instala la caché de sesión para las sesiones, de forma que IOC pueda redirigir los paquetes a la misma SPU para minimizar el paquete sobrecarga de reenvío. El tráfico de la ruta Express (anteriormente conocida como descarga de servicios) y el tráfico de la caché NP comparten la misma tabla de caché de sesión en el IOCs.

Para mostrar sesiones de túnel activo en SPUs, utilice show security ipsec security-association el comando y especifique las ranuras del concentrador de PIC flexible (FPC) y la tarjeta de interfaz física (PIC) que contienen la SPU. Por ejemplo:

Nota

Es necesario evaluar la distribución de túnel y los patrones de tráfico de la red para determinar si se debe habilitar la afinidad de sesión VPN.

A partir de Junos OS versión 12.3 X48-D50, Junos OS versión 15.1 X49-D90, y Junos OS Release 17.3 R1, si la afinidad de sesión VPN está habilitada en los dispositivos SRX5400, SRX5600 y SRX5800, la sobrecarga de túnel se calcula de acuerdo con el cifrado negociado y algoritmos de autenticación en la unidad de procesamiento de servicios Premium (SPU). Si el cifrado o autenticación cambia, la sobrecarga de túnel se actualiza en el delimitador SPU cuando se establece una nueva asociación de seguridad IPsec.

Las limitaciones de afinidad de la sesión VPN son las siguientes:

  • No se admite el tráfico a través de los sistemas lógicos.

  • Si se produce un cambio de ruta, las sesiones de texto no cifradas permanecen en la SPU y, si es posible, el tráfico se vuelve a enrutar. Las sesiones creadas después del cambio de ruta se pueden configurar en una SPU diferente.

  • La afinidad de sesión VPN solo afecta al tráfico autónomo que termina en el dispositivo (lo que también se conoce como tráfico entrante del host); el tráfico que se origina en el dispositivo (también conocido como tráfico saliente de host) no se ve afectado.

  • El rendimiento de la replicación de multidifusión y el reenvío no se ve afectado.

Release History Table
Publicación
Descripción
A partir de Junos OS versión 12.3 X48-D50, Junos OS versión 15.1 X49-D90, y Junos OS Release 17.3 R1, si la afinidad de sesión VPN está habilitada en los dispositivos SRX5400, SRX5600 y SRX5800, la sobrecarga de túnel se calcula de acuerdo con el cifrado negociado y algoritmos de autenticación en la unidad de procesamiento de servicios Premium (SPU).