Affinité de session VPN
Pour minimiser le transfert de paquets, il est possible d’optimiser les performances du trafic VPN VPN afin de minimiser le transfert de paquets.
Comprendre l’affinité de session VPN
L’affinité de session VPN se produit lorsqu’une session en texte clair se trouve dans une unité de traitement des services (SPU) différente de l’unité SPU où se trouve la session de tunnel IPsec. L’objectif de l’affinité de session VPN est de localiser la session de tunnel en clair et la session de tunnel IPsec dans le même SPU. Cette fonctionnalité n’est prise en charge que sur les appareils SRX5400, SRX5600 et SRX5800.
Sans affinité de session VPN, une session en texte clair créée par un flux peut se trouver dans une SPU et la session de tunnel créée par IPsec peut se trouver dans une autre SPU. Un transfert ou un saut SPU à SPU est nécessaire pour acheminer les paquets en texte clair vers le tunnel IPsec.
Par défaut, l’affinité de session VPN est désactivée sur les pare-feu SRX Series. Lorsque l’affinité de session VPN est activée, une nouvelle session en clair est placée sur le même SPU que la session de tunnel IPsec. Les sessions en texte clair existantes ne sont pas affectées.
Junos OS version 15.1X49-D10 introduit le SRX5K-MPC3-100G10G (IOC3) et le SRX5K-MPC3-40G10G (IOC3) pour les appareils SRX5400, SRX5600 et SRX5800.
Le SRX5K-MPC (IOC2) et l’IOC3 prennent en charge l’affinité de session VPN grâce à l’amélioration du module de flux et du cache de session. Avec les IOC, le module de flux crée des sessions pour le trafic basé sur un tunnel IPsec avant le chiffrement et après le déchiffrement sur son SPU ancré dans le tunnel, et installe le cache de session pour les sessions afin que l’IOC puisse rediriger les paquets vers le même SPU afin de minimiser la surcharge de transfert de paquets. Le trafic Express Path (anciennement appelé déchargement des services) et le trafic de cache NP partagent la même table de cache de session sur les IOC.
Pour afficher les sessions de tunnel actives sur les SPU, utilisez la show security ipsec security-association commande et spécifiez les emplacements FPC (Flexible PIC Concentrator) et PIC ( Physical Interface Card ) qui contiennent le SPU. Par exemple :
user@host> show security ipsec security-association fpc 3 pic 0 Total active tunnels: 1 ID Algorithm SPI Life:sec/kb Mon vsys Port Gateway <131073 ESP:aes-128/sha1 18c4fd00 491/ 128000 - root 500 203.0.113.11 >131073 ESP:aes-128/sha1 188c0750 491/ 128000 - root 500 203.0.113.11
Vous devez évaluer la distribution des tunnels et les modèles de trafic dans votre réseau pour déterminer si l’affinité de session VPN doit être activée.
À partir de Junos OS version 12.3X48-D50, Junos OS version 15.1X49-D90 et Junos OS version 17.3R1, si l’affinité de session VPN est activée sur les périphériques SRX5400, SRX5600 et SRX5800, la surcharge du tunnel est calculée en fonction des algorithmes de chiffrement et d’authentification négociés sur l’unité de traitement des services (SPU) d’ancrage. Si le chiffrement ou l’authentification configuré change, la surcharge du tunnel est mise à jour sur l’unité unique d’ancrage lorsqu’une nouvelle association de sécurité IPsec est établie.
Les limites d’affinité de session VPN sont les suivantes :
Le trafic entre les systèmes logiques n’est pas pris en charge.
En cas de changement d’itinéraire, les sessions en clair établies restent sur un SPU et le trafic est réacheminé si possible. Les sessions créées après le changement d’itinéraire peuvent être configurées sur un autre SPU.
L’affinité de session VPN n’affecte que le trafic personnel qui se termine sur l’appareil (également appelé trafic entrant hôte) ; Le trafic interne provenant de l’équipement (également appelé trafic sortant de l’hôte) n’est pas affecté.
Les performances de réplication et de transfert multicast ne sont pas affectées.
Voir également
Activation de l’affinité de session VPN
Par défaut, l’affinité de session VPN est désactivée sur les pare-feu SRX Series. L’activation de l’affinité de session VPN peut améliorer le débit VPN sous certaines conditions. Cette fonctionnalité n’est prise en charge que sur les appareils SRX5400, SRX5600 et SRX5800. Cette section décrit comment utiliser l’interface de ligne de commande pour activer l’affinité de session VPN.
Déterminez si les sessions en texte clair sont transférées vers des sessions de tunnel IPsec sur un autre SPU. Utilisez la show security flow session commande pour afficher des informations de session sur les sessions en texte clair.
user@host> show security flow session Flow Sessions on FPC3 PIC0: Session ID: 60000001, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/6204 --> 203.0.113.6/41264;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 60000002, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 60000003, Policy name: self-traffic-policy/1, Timeout: 58, Valid In: 203.0.113.6/500 --> 203.0.113.11/500;udp, If: .local..0, Pkts: 105386, Bytes: 12026528 Out: 203.0.113.11/500 --> 203.0.113.6/500;udp, If: ge-0/0/2.0, Pkts: 106462, Bytes: 12105912 Session ID: 60017354, Policy name: N/A, Timeout: 1784, Valid In: 0.0.0.0/0 --> 0.0.0.0/0;0, If: N/A, Pkts: 0, Bytes: 0 Out: 198.51.100.156/23 --> 192.0.2.155/53051;tcp, If: N/A, Pkts: 0, Bytes: 0 Total sessions: 4 Flow Sessions on FPC6 PIC0: Session ID: 120000001, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 120000002, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 120031730, Policy name: default-policy-00/2, Timeout: 1764, Valid In: 192.0.2.155/53051 --> 198.51.100.156/23;tcp, If: ge-0/0/1.0, Pkts: 44, Bytes: 2399 Out: 198.51.100.156/23 --> 192.0.2.155/53051;tcp, If: st0.0, Pkts: 35, Bytes: 2449 Total sessions: 3
Dans l’exemple, il existe une session tunnel sur FPC 3, PIC 0 et une session en texte clair sur FPC 6, PIC 0. Une session de transfert (ID de session 60017354) est configurée sur FPC 3, PIC 0.
La version 15.1X49-D10 de Junos OS introduit la prise en charge de l’affinité de session sur les IOC (SRX5K-MPC [IOC2], SRX5K-MPC3-100G10G [IOC3] et SRX5K-MPC3-40G10G [IOC3]) et la version 12.3X48-D30 de Junos OS introduit la prise en charge de l’affinité de session sur IOC2. Vous pouvez activer l’affinité de session pour la session de tunnel IPsec sur les FPC IOC. Pour activer l’affinité VPN IPsec, vous devez également activer le cache de session sur les IOC à l’aide de la set chassis fpc fpc-slot np-cache commande.
Pour activer l’affinité de session VPN :
Après avoir activé l’affinité de session VPN, utilisez la show security flow session commande pour afficher les informations de session sur les sessions en texte clair.
user@host> show security flow session Flow Sessions on FPC3 PIC0: Session ID: 60000001, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/6352 --> 203.0.113.6/7927;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 60000002, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 60000003, Policy name: self-traffic-policy/1, Timeout: 56, Valid In: 203.0.113.6/500 --> 203.0.113.11/500;udp, If: .local..0, Pkts: 105425, Bytes: 12031144 Out: 203.0.113.11/500 --> 203.0.113.6/500;udp, If: ge-0/0/2.0, Pkts: 106503, Bytes: 12110680 Session ID: 60017387, Policy name: default-policy-00/2, Timeout: 1796, Valid In: 192.0.2.155/53053 --> 198.51.100.156/23;tcp, If: ge-0/0/1.0, Pkts: 10, Bytes: 610 Out: 198.51.100.156/23 --> 192.0.2.155/53053;tcp, If: st0.0, Pkts: 9, Bytes: 602 Total sessions: 4 Flow Sessions on FPC6 PIC0: Session ID: 120000001, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 120000002, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Total sessions: 2
Une fois que l’affinité de session VPN est activée, la session en texte clair est toujours située sur FPC 3, PIC 0.
Voir également
Accélération des performances du trafic VPN IPsec
Vous pouvez accélérer les performances du VPN IPsec en configurant le paramètre d’accélération des performances. Par défaut, l’accélération des performances VPN est désactivée sur les pare-feu SRX Series. L’activation de l’accélération des performances VPN peut améliorer le débit VPN lorsque l’affinité de session VPN est activée. Cette fonctionnalité n’est prise en charge que sur les appareils SRX5400, SRX5600 et SRX5800.
Cette rubrique explique comment utiliser l’interface de ligne de commande pour activer l’accélération des performances VPN.
Pour accélérer les performances, vous devez vous assurer que les sessions en texte clair et les sessions de tunnel IPsec sont établies sur la même unité de traitement des services (SPU). À partir de Junos OS version 17.4R1, les performances du VPN IPsec sont optimisées lorsque les fonctionnalités d’affinité de session VPN et d’accélération des performances sont activées. Pour plus d’informations sur l’activation de l’affinité de session, consultez Présentation de l’affinité de session VPN.
Pour activer l’accélération des performances du VPN IPsec :
Après avoir activé l’accélération des performances VPN, utilisez la commande pour afficher l’état show security flow status du flux.
Flow forwarding mode:
Inet forwarding mode: flow based
Inet6 forwarding mode: drop
MPLS forwarding mode: drop
ISO forwarding mode: drop
Flow trace status
Flow tracing status: off
Flow session distribution
Distribution mode: Hash-based
Flow packet ordering
Ordering mode: Hardware
Flow ipsec performance acceleration: on
Voir également
Profil de distribution IPsec
À partir de Junos OS version 19.2R1, vous pouvez configurer un ou plusieurs profils de distribution IPsec pour les associations de sécurité IPsec. Les tunnels sont répartis uniformément sur toutes les ressources (SPC) spécifiées dans le profil de distribution configuré. Il est pris en charge dans SPC3 uniquement et en mode mixte (SPC3 + SPC2), il n’est pas pris en charge sur les systèmes SPC1 et SPC2. Avec le profil de distribution IPsec, utilisez la set security ipsec vpn vpn-name distribution-profile distribution-profile-name commande pour associer des tunnels à un :
Slot
PIC
Vous pouvez également utiliser les profils de distribution IPsec par défaut :
default-spc2-profile: utilisez ce profil par défaut prédéfini pour associer des tunnels IPsec à toutes les cartes SPC2 disponibles.default-spc3-profile: utilisez ce profil par défaut prédéfini pour associer des tunnels IPsec à toutes les cartes SPC3 disponibles.
Vous pouvez désormais attribuer un profil à un objet VPN spécifique, où tous les tunnels associés seront distribués en fonction de ce profil. Si aucun profil n’est affecté à l’objet VPN, le pare-feu SRX Series répartit automatiquement ces tunnels uniformément sur toutes les ressources.
Vous pouvez associer un objet VPN à un profil défini par l’utilisateur ou à un profil prédéfini (par défaut).
À partir de Junos OS version 20.2R2, les ID de thread non valides configurés sur le profil de distribution sont ignorés sans message d’erreur de vérification de validation. Le tunnel IPsec est ancré conformément au profil de distribution configuré, en ignorant les ID de thread non valides, le cas échéant, pour ce profil.
Dans l’exemple suivant, tous les tunnels associés au profil ABC seront distribués sur FPC 0, PIC 0.
userhost# show security {
distribution-profile ABC {
fpc 0 {
pic 0;
}
}
}
Comprendre l’interface de bouclage d’un VPN haute disponibilité
Dans une configuration de tunnel VPN IPsec, une interface externe doit être spécifiée pour communiquer avec la passerelle IKE homologue. La spécification d’une interface de bouclage pour l’interface externe d’un VPN est une bonne pratique lorsqu’il existe plusieurs interfaces physiques qui peuvent être utilisées pour atteindre une passerelle homologue. L’ancrage d’un tunnel VPN sur l’interface de bouclage supprime la dépendance à l’égard d’une interface physique pour un routage réussi.
L’utilisation d’une interface de bouclage pour les tunnels VPN est prise en charge sur les pare-feu autonomes SRX Series ainsi que sur les pare-feu SRX Series dans des clusters de châssis. Dans un déploiement actif-passif d’un cluster de châssis, vous pouvez créer une interface de bouclage logique et l’intégrer à un groupe de redondance afin qu’elle puisse être utilisée pour ancrer des tunnels VPN. L’interface de bouclage peut être configurée dans n’importe quel groupe de redondance et est affectée en tant qu’interface externe pour la passerelle IKE. Les paquets VPN sont traités sur le nœud sur lequel le groupe de redondance est actif.
Sur les appareils SRX5400, SRX5600 et SRX5800 -
-
Pour les périphériques SPC2 exécutant le processus kmd, si l’interface de bouclage est utilisée comme interface externe de passerelle IKE, configurez la liaison d’interface dans un groupe de redondance autre que RG0.
-
Pour les périphériques SPC3 ou SPC3+SPC2 exécutant le processus iked, il n’est pas nécessaire de lier l’interface de bouclage à un groupe de redondance.
Dans une configuration de cluster de châssis, le nœud sur lequel l’interface externe est active sélectionne un SPU pour ancrer le tunnel VPN. Les paquets IKE et IPsec sont traités sur ce SPU. Ainsi, une interface externe active détermine le SPU d’ancrage.
Vous pouvez utiliser la show chassis cluster interfaces commande pour afficher des informations sur la pseudo-interface redondante.
Voir également
Tableau de l'historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l' Feature Explorer pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.