Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Affinité vpn de session

Les performances du trafic VPN IPsec pour réduire la charge de transport de paquets peuvent être optimisées en permettant l’affinité des sessions VPN et l’accélération des performances.

Compréhension de l’affinité des sessions VPN

L’affinité des sessions VPN se produit lorsqu’une session cleartext est située dans une unité de traitement des services (SPU) différente du processeur dans lequel se trouve la session de tunnel IPsec. L’affinité des sessions VPN vise à localiser la session de tunnel cleartext et IPsec dans le même processeur. Cette fonctionnalité est prise en charge uniquement sur SRX5400, SRX5600 et SRX5800 périphériques mobiles.

Sans l’affinité des sessions VPN, une session cleartext créée par un flux peut se trouver dans un processeur et la session de tunnel créée par IPsec peut être située dans une autre unité. Une unité SPU vers le saut ou l’avant du processeur est nécessaire pour router les paquets cleartext vers le tunnel IPsec.

Par défaut, l’affinité des sessions VPN est désactivée sur SRX Series périphériques mobiles. Lorsque l’affinité des sessions VPN est activée, une nouvelle session Cleartext est placée sur le même processeur que la session de tunnel IPsec. Les sessions cleartext existantes ne sont pas affectées.

Junos OS version 15.1X49-D10 présente SRX5K-MPC3-100G10G (IOC3) et SRX5K-MPC3-40G10G (IOC3) pour les équipements SRX5400, SRX5600 et SRX5800.

Le SRX5K-MPC (IOC2) et l’IOC3 s’appuient sur l’affinité des sessions VPN grâce à l’amélioration des modules de flux et au cache de sessions. Grâce aux contrôleurs d’E/S, le module de flux crée des sessions pour le trafic basé sur un tunnel IPsec avant le chiffrement et après le déchiffrement sur son processeur ancré dans un tunnel. Il installe ensuite le cache de session pour les sessions afin que le ioc puisse rediriger les paquets vers le même processeur, de manière à réduire les coûts de forwarding de paquets. Le trafic Express Path (anciennement appelé déchargement des services) et le trafic de cache NP partagent le même tableau de cache de sessions sur les contrôleurs d’E/S.

Pour afficher des sessions de tunnel actives sur les processeurs, utilisez la commande et spécifiez les emplacements show security ipsec security-association PIC (Flexible PIC Concentrator) et PIC (Physical Interface Card) qui contiennent le processeur. Quelques chiffres clés :

Vous devez évaluer la distribution des tunnels et les modèles de trafic de votre réseau pour déterminer si l’affinité des sessions VPN doit être activée.

À partir de Junos OS Release 12.3X48-D50, Junos OS Release 15.1X49-D90 et Junos OS Release 17.3R1, si l’affinité des sessions VPN est activée sur les équipements SRX5400, SRX5600 et SRX5800, la charge supplémentaire du tunnel est calculée en fonction des algorithmes de chiffrement et d’authentification négociés sur l’unité de traitement des services d’ancrage (SPU). Si le chiffrement configuré ou l’authentification change, la charge supplémentaire du tunnel est mise à jour sur le processeur d’ancrage lorsqu’une nouvelle association de sécurité IPsec est établie.

Les limites de l’affinité des sessions VPN sont les suivantes:

  • Le trafic entre systèmes logiques n’est pas pris en charge.

  • En cas de changement de route, les sessions cleartext établies demeurent sur le processeur et le trafic est redirigé si possible. Les sessions créées après la modification de route peuvent être définies sur un autre processeur.

  • L’affinité des sessions VPN affecte uniquement le trafic autonome qui se termine sur l’équipement (également appelé trafic entrant par l’hôte) ; le trafic autonome originaire de l’équipement (également appelé trafic sortant de l’hôte) n’est pas affecté.

  • La réplication multicast et les performances de diffusion ne sont pas affectées.

Favoriser l’affinité des sessions VPN

Par défaut, l’affinité des sessions VPN est désactivée sur SRX Series périphériques mobiles. L’affinité des sessions VPN peut améliorer le débit vpn dans certaines conditions. Cette fonctionnalité est prise en charge uniquement sur SRX5400, SRX5600 et SRX5800 périphériques mobiles. Cette section décrit comment utiliser la technologie de CLI favoriser l’affinité des sessions VPN.

Déterminez si des sessions en texte clair sont en cours de forwardage vers des sessions de tunnel IPsec sur un autre processeur. Utilisez la show security flow session commande pour afficher les informations de session sur les sessions en texte clair.

Par exemple, une session tunnel sur FPC 3, PIC 0 et une session en texte clair sur FPC 6 et PIC 0. Une session de forwarding (ID de session 60017354) est définie sur FPC 3, PIC 0.

Junos OS version de 15.1X49-D10 présente une assistance par affinité de session sur les E/S (SRX5K-MPC [IOC2], SRX5K-MPC3-100G10G [IOC3], et SRX5K-MPC3-40G10G [IOC3]) et Junos OS Release 12.3X48-D30 présente une prise en charge de l’affinité des sessions sur IOC2. Vous pouvez activer une affinité de session pour la session tunnel IPsec sur les FPC IOC. Pour favoriser l’affinité VPN IPsec, vous devez également activer le cache de session sur les E/S en utilisant la set chassis fpc fpc-slot np-cache commande.

Pour favoriser l’affinité des sessions VPN:

  1. En mode de configuration, utilisez la set commande pour favoriser l’affinité des sessions VPN.
  2. Vérifiez vos modifications de configuration avant de vous engager.
  3. Valider la configuration.

Après avoir permis l’affinité des sessions VPN, utilisez la commande pour afficher des informations de session sur les show security flow session sessions en texte clair.

Une fois l’affinité de session VPN activée, la session en texte clair est toujours située sur FPC 3, PIC 0.

Accélération des performances du trafic VPN IPsec

Vous pouvez accélérer les performances VPN IPsec en configurant les paramètres d’accélération des performances. Par défaut, l’accélération des performances VPN est désactivée sur SRX Series périphériques mobiles. L’activation de l’accélération des performances VPN peut améliorer le débit vpn avec l’affinité VPN. Cette fonctionnalité est prise en charge uniquement sur SRX5400, SRX5600 et SRX5800 périphériques.

Ce sujet décrit comment utiliser l’CLI pour activer l’accélération des performances VPN.

Pour activer l’accélération des performances, vous devez vous assurer que les sessions cleartext et les sessions de tunnel IPsec sont établies sur la même unité de traitement des services (SPU). À partir de Junos OS version 17.4R1, les performances VPN IPsec sont optimisées lorsque l’affinité des sessions VPN et les fonctionnalités d’accélération des performances sont activées. Pour plus d’informations sur l’affinité des sessions, consultez Understanding VPN Session Affinity.

Pour accélérer les performances des VPN IPsec:

  1. Favoriser l’affinité des sessions VPN.
  2. Activez l’accélération des performances IPsec.
  3. Vérifiez vos modifications de configuration avant de vous engager.
  4. Valider la configuration.

Une fois l’accélération des performances VPN en place, utilisez la show security flow status commande pour afficher l’état du flux.

Profil de distribution IPsec

À partir Junos OS version 19.2R1, vous pouvez configurer un ou plusieurs profils de distribution IPsec pour les associations de sécurité IPsec( SA). Les tunnels sont distribués uniformément entre toutes les ressources (SPC) spécifiées dans le profil de distribution configuré. Elle est prise en charge uniquement dans les systèmes SPC3 et mixte (SPC3 + SPC2), mais pas sur les systèmes SPC1 et SPC2. Avec le profil de distribution IPsec, utilisez la commande set security ipsec vpn vpn-name distribution-profile distribution-profile-name pour associer des tunnels à un:

  • Fente

  • Pic

Vous pouvez également utiliser les profils de distribution IPsec par défaut:

  • default-spc2-profile —Utilisez ce profil prédéfini par défaut pour associer des tunnels IPsec à toutes les cartes SPC2 disponibles.

  • default-spc3-profile —Utilisez ce profil prédéfini par défaut pour associer des tunnels IPsec à toutes les cartes SPC3 disponibles.

Vous pouvez désormais attribuer un profil à un objet VPN spécifique, où tous les tunnels associés seront distribués en fonction de ce profil. Si aucun profil n’est attribué à l’objet VPN, l’SRX Series distribue automatiquement ces tunnels de façon également sur toutes les ressources.

Vous pouvez associer un objet VPN à un profil défini par l’utilisateur ou à un profil prédéfiny (par défaut).

À partir Junos OS de 20.2R2 de publication, les ID de thread non configurés sur le profil de distribution sont ignorés sans message d’erreur de validation. Le tunnel IPsec est ancré selon le profil de distribution configuré, en ignoreant les ID de thread non valides s’il y en a pour ce profil.

Dans l’exemple suivant, tous les tunnels associés au profil ABC seront distribués sur FPC 0, PIC 0.

Understanding the Loopback Interface for a High Availability VPN

Dans une configuration de tunnel VPN IPsec, une interface externe doit être spécifiée pour communiquer avec la passerelle d’IKE pair. La spécification d’une interface de boucllage pour l’interface externe d’un VPN est une bonne pratique lorsqu’il existe plusieurs interfaces physiques qui peuvent être utilisées pour atteindre une passerelle de pairs. L’ancrage d’un tunnel VPN sur l’interface de bouclage supprime la dépendance vis-à-vis d’une interface physique pour réussir le routage.

L’utilisation d’une interface de bouclisation pour les tunnels VPN est prise en charge sur les équipements SRX Series autonomes ainsi que sur les SRX Series dans les clusters de châssis. Dans un déploiement actif-passif d’un cluster de châssis, vous pouvez créer une interface de loopback logique et en faire partie d’un groupe de redondance afin de l’utiliser pour ancrer des tunnels VPN. L’interface de bouclage peut être configurée dans n’importe quel groupe de redondance et est affectée en tant qu’interface externe pour la IKE passerelle. Les paquets VPN sont traitées sur le nœud où le groupe de redondance est actif.

Sur les équipements SRX5400, SRX5600 et SRX5800, si l’interface de bouclage est utilisée comme interface externe de la passerelle IKE, elle doit être configurée dans un groupe de redondance autre que RG0.

Dans un environnement de cluster de châssis, le nœud sur lequel l’interface externe est active sélectionne un processeur pour ancrer le tunnel VPN. IKE et les paquets IPsec sont traitées sur ce processeur. Ainsi, une interface externe active détermine l’ancrage du processeur.

Vous pouvez utiliser la show chassis cluster interfaces commande pour afficher les informations sur la pseudointerface redondante.

Tableau de l'historique des versions
Version
Description
12.3X48-D50
À partir de Junos OS Release 12.3X48-D50, Junos OS Release 15.1X49-D90 et Junos OS Release 17.3R1, si l’affinité des sessions VPN est activée sur les équipements SRX5400, SRX5600 et SRX5800, la charge supplémentaire du tunnel est calculée en fonction des algorithmes de chiffrement et d’authentification négociés sur l’unité de traitement des services d’ancrage (SPU).
17.4R1
À partir de Junos OS version 17.4R1, les performances VPN IPsec sont optimisées lorsque l’affinité des sessions VPN et les fonctionnalités d’accélération des performances sont activées.
Junos OS Release 20.2R
À partir Junos OS de 20.2R2 de publication, les ID de thread non configurés sur le profil de distribution sont ignorés sans message d’erreur de validation. Le tunnel IPsec est ancré selon le profil de distribution configuré, en ignoreant les ID de thread non valides s’il y en a pour ce profil.