Affinité de session VPN
Découvrez comment améliorer les performances du VPN IPsec à l’aide de l’affinité de session VPN.
Pour minimiser le transfert de paquets, il est possible d’optimiser les performances du trafic VPN VPN afin de minimiser le transfert de paquets.
Utilisez l’Explorateur de fonctionnalités pour confirmer la prise en charge de fonctionnalités spécifiques par la plate-forme et la version.
Consultez la Comportement de l’interface de bouclage VPN haute disponibilité spécifique à la plate-forme section pour les notes relatives à votre plate-forme.
Comprendre l’affinité de session VPN
L’affinité de session VPN se produit lorsqu’une session en texte clair se trouve dans une unité de traitement des services (SPU) différente de l’unité SPU où se trouve la session de tunnel IPsec. L’objectif de l’affinité de session VPN est de localiser la session de tunnel en clair et la session de tunnel IPsec dans le même SPU.
Sans affinité de session VPN, une session en texte clair créée par un flux peut se trouver dans une SPU et la session de tunnel créée par IPsec peut se trouver dans une autre SPU. Un transfert ou un saut SPU à SPU est nécessaire pour acheminer les paquets en texte clair vers le tunnel IPsec.
Par défaut, l’affinité de session VPN est désactivée sur les pare-feu SRX Series. Lorsque l’affinité de session VPN est activée, une nouvelle session en clair est placée sur le même SPU que la session de tunnel IPsec. Les sessions en texte clair existantes ne sont pas affectées.
Les pare-feu prennent en charge l’affinité de session VPN grâce à l’amélioration du module de flux et du cache de session. Avec les IOC, le module de flux crée des sessions pour le trafic basé sur un tunnel IPsec avant le chiffrement et après le déchiffrement sur son SPU ancré dans le tunnel, et installe le cache de session pour les sessions afin que l’IOC puisse rediriger les paquets vers le même SPU afin de minimiser la surcharge de transfert de paquets. Le trafic Express Path (anciennement appelé déchargement des services) et le trafic de cache NP partagent la même table de cache de session sur les IOC.
Pour afficher les sessions de tunnel actives sur les SPU, utilisez la show security ipsec security-association commande et spécifiez les emplacements FPC (Flexible PIC Concentrator) et PIC ( Physical Interface Card ) qui contiennent le SPU. En voici quelques exemples :
user@host> show security ipsec security-association fpc 3 pic 0 Total active tunnels: 1 ID Algorithm SPI Life:sec/kb Mon vsys Port Gateway <131073 ESP:aes-128/sha1 18c4fd00 491/ 128000 - root 500 203.0.113.11 >131073 ESP:aes-128/sha1 188c0750 491/ 128000 - root 500 203.0.113.11
Vous devez évaluer la distribution des tunnels et les modèles de trafic dans votre réseau pour déterminer si l’affinité de session VPN doit être activée.
Si l’affinité de session VPN est activée sur le pare-feu, la surcharge du tunnel est calculée en fonction des algorithmes de chiffrement et d’authentification négociés sur l’unité de traitement des services (SPU) d’ancrage. Si le chiffrement ou l’authentification configuré change, la surcharge du tunnel est mise à jour sur l’unité unique d’ancrage lorsqu’une nouvelle association de sécurité IPsec est établie.
Les limites d’affinité de session VPN sont les suivantes :
Le trafic entre les systèmes logiques n’est pas pris en charge.
En cas de changement d’itinéraire, les sessions en clair établies restent sur un SPU et le trafic est réacheminé si possible. Les sessions créées après le changement d’itinéraire peuvent être configurées sur un autre SPU.
L’affinité de session VPN n’affecte que le trafic personnel qui se termine sur l’appareil (également appelé trafic entrant hôte) ; Le trafic interne provenant de l’équipement (également appelé trafic sortant de l’hôte) n’est pas affecté.
Les performances de réplication et de transfert multicast ne sont pas affectées.
Voir également
Activation de l’affinité de session VPN
Par défaut, l’affinité de session VPN est désactivée sur les pare-feu SRX Series. L’activation de l’affinité de session VPN peut améliorer le débit VPN sous certaines conditions. Cette section décrit comment utiliser l’interface de ligne de commande pour activer l’affinité de session VPN.
Déterminez si les sessions en texte clair sont transférées vers des sessions de tunnel IPsec sur un autre SPU. Utilisez la show security flow session commande pour afficher des informations de session sur les sessions en texte clair.
user@host> show security flow session Flow Sessions on FPC3 PIC0: Session ID: 60000001, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/6204 --> 203.0.113.6/41264;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 60000002, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 60000003, Policy name: self-traffic-policy/1, Timeout: 58, Valid In: 203.0.113.6/500 --> 203.0.113.11/500;udp, If: .local..0, Pkts: 105386, Bytes: 12026528 Out: 203.0.113.11/500 --> 203.0.113.6/500;udp, If: ge-0/0/2.0, Pkts: 106462, Bytes: 12105912 Session ID: 60017354, Policy name: N/A, Timeout: 1784, Valid In: 0.0.0.0/0 --> 0.0.0.0/0;0, If: N/A, Pkts: 0, Bytes: 0 Out: 198.51.100.156/23 --> 192.0.2.155/53051;tcp, If: N/A, Pkts: 0, Bytes: 0 Total sessions: 4 Flow Sessions on FPC6 PIC0: Session ID: 120000001, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 120000002, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 120031730, Policy name: default-policy-00/2, Timeout: 1764, Valid In: 192.0.2.155/53051 --> 198.51.100.156/23;tcp, If: ge-0/0/1.0, Pkts: 44, Bytes: 2399 Out: 198.51.100.156/23 --> 192.0.2.155/53051;tcp, If: st0.0, Pkts: 35, Bytes: 2449 Total sessions: 3
Dans l’exemple, il existe une session tunnel sur FPC 3, PIC 0 et une session en texte clair sur FPC 6, PIC 0. Une session de transfert (ID de session 60017354) est configurée sur FPC 3, PIC 0.
Vous pouvez activer l’affinité de session pour la session de tunnel IPsec sur les FPC IOC. Pour activer l’affinité VPN IPsec, vous devez également activer le cache de session sur les IOC à l’aide de la set chassis fpc fpc-slot np-cache commande.
Pour activer l’affinité de session VPN :
Après avoir activé l’affinité de session VPN, utilisez la show security flow session commande pour afficher les informations de session sur les sessions en texte clair.
user@host> show security flow session Flow Sessions on FPC3 PIC0: Session ID: 60000001, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/6352 --> 203.0.113.6/7927;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 60000002, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 60000003, Policy name: self-traffic-policy/1, Timeout: 56, Valid In: 203.0.113.6/500 --> 203.0.113.11/500;udp, If: .local..0, Pkts: 105425, Bytes: 12031144 Out: 203.0.113.11/500 --> 203.0.113.6/500;udp, If: ge-0/0/2.0, Pkts: 106503, Bytes: 12110680 Session ID: 60017387, Policy name: default-policy-00/2, Timeout: 1796, Valid In: 192.0.2.155/53053 --> 198.51.100.156/23;tcp, If: ge-0/0/1.0, Pkts: 10, Bytes: 610 Out: 198.51.100.156/23 --> 192.0.2.155/53053;tcp, If: st0.0, Pkts: 9, Bytes: 602 Total sessions: 4 Flow Sessions on FPC6 PIC0: Session ID: 120000001, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 120000002, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Total sessions: 2
Une fois que l’affinité de session VPN est activée, la session en texte clair est toujours située sur FPC 3, PIC 0.
Voir également
Accélération des performances du trafic VPN IPsec
Vous pouvez accélérer les performances du VPN IPsec en configurant le paramètre d’accélération des performances. Par défaut, l’accélération des performances VPN est désactivée sur les pare-feu SRX Series. L’activation de l’accélération des performances VPN peut améliorer le débit VPN lorsque l’affinité de session VPN est activée.
Cette rubrique explique comment utiliser l’interface de ligne de commande pour activer l’accélération des performances VPN.
Pour accélérer les performances, vous devez vous assurer que les sessions en texte clair et les sessions de tunnel IPsec sont établies sur la même unité de traitement des services (SPU). Les performances du VPN IPsec sont optimisées lorsque les fonctionnalités d’affinité de session VPN et d’accélération des performances sont activées. Pour plus d’informations sur l’activation de l’affinité de session, consultez Présentation de l’affinité de session VPN.
Pour activer l’accélération des performances du VPN IPsec :
Après avoir activé l’accélération des performances VPN, utilisez la commande pour afficher l’état show security flow status du flux.
Flow forwarding mode:
Inet forwarding mode: flow based
Inet6 forwarding mode: drop
MPLS forwarding mode: drop
ISO forwarding mode: drop
Flow trace status
Flow tracing status: off
Flow session distribution
Distribution mode: Hash-based
Flow packet ordering
Ordering mode: Hardware
Flow ipsec performance acceleration: on
Voir également
Profil de distribution IPsec
Vouspouvez configurer un ou plusieurs profils de distribution IPsec pour les associations de sécurité IPsec. Les tunnels sont répartis uniformément sur toutes les ressources (SPC) spécifiées dans le profil de distribution configuré. Il est pris en charge dans SPC3 uniquement et en mode mixte (SPC3 + SPC2), il n’est pas pris en charge sur les systèmes SPC1 et SPC2. Avec le profil de distribution IPsec, utilisez la set security ipsec vpn vpn-name distribution-profile distribution-profile-name commande pour associer des tunnels à un :
-
Slot
-
PIC
Vous pouvez également utiliser les profils de distribution IPsec par défaut :
-
default-spc2-profile: utilisez ce profil par défaut prédéfini pour associer des tunnels IPsec à toutes les cartes SPC2 disponibles. -
default-spc3-profile: utilisez ce profil par défaut prédéfini pour associer des tunnels IPsec à toutes les cartes SPC3 disponibles.
Vous pouvez désormais attribuer un profil à un objet VPN spécifique, où tous les tunnels associés seront distribués en fonction de ce profil. Si aucun profil n’est affecté à l’objet VPN, le pare-feu SRX Series répartit automatiquement ces tunnels uniformément sur toutes les ressources.
Vous pouvez associer un objet VPN à un profil défini par l’utilisateur ou à un profil prédéfini (par défaut).
Dans l’exemple suivant, tous les tunnels associés au profil ABC seront distribués sur FPC 0, PIC 0.
userhost# show security {
distribution-profile ABC {
fpc 0 {
pic 0;
}
}
}
Comprendre l’interface de bouclage d’un VPN haute disponibilité
Dans une configuration de tunnel VPN IPsec, une interface externe doit être spécifiée pour communiquer avec la passerelle IKE homologue. La spécification d’une interface de bouclage pour l’interface externe d’un VPN est une bonne pratique lorsqu’il existe plusieurs interfaces physiques qui peuvent être utilisées pour atteindre une passerelle homologue. L’ancrage d’un tunnel VPN sur l’interface de bouclage supprime la dépendance à l’égard d’une interface physique pour un routage réussi.
L’utilisation d’une interface de bouclage pour les tunnels VPN est prise en charge sur les pare-feu autonomes SRX Series ainsi que sur les pare-feu SRX Series dans des clusters de châssis. Dans un déploiement actif-passif d’un cluster de châssis, vous pouvez créer une interface de bouclage logique et l’intégrer à un groupe de redondance afin qu’elle puisse être utilisée pour ancrer des tunnels VPN. L’interface de bouclage peut être configurée dans n’importe quel groupe de redondance et est affectée en tant qu’interface externe pour la passerelle IKE. Les paquets VPN sont traités sur le nœud sur lequel le groupe de redondance est actif.
Dans une configuration de cluster de châssis, le nœud sur lequel l’interface externe est active sélectionne un SPU pour ancrer le tunnel VPN. Les paquets IKE et IPsec sont traités sur ce SPU. Ainsi, une interface externe active détermine le SPU d’ancrage.
Vous pouvez utiliser la show chassis cluster interfaces commande pour afficher des informations sur la pseudo-interface redondante.
Voir également
Comportement de l’interface de bouclage VPN haute disponibilité spécifique à la plate-forme
Utilisez l’Explorateur de fonctionnalités pour confirmer la prise en charge de fonctionnalités spécifiques par la plate-forme et la version.
Utilisez le tableau suivant pour passer en revue les comportements spécifiques à vos plateformes.
| Plate-forme | Différence |
|---|---|
| SRX Series |
|
Tableau de l'historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l' Feature Explorer pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.