Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 

VPN セッションのアフィニティについて

 

VPN セッションアフィニティは、クリアテキストセッションが、IPsec トンネルセッションが位置する SPU とは異なるサービスプロセッシングユニット (SPU) に設置されている場合に発生します。VPN セッションアフィニティの目的は、クリアテキストと IPsec トンネルセッションを同じ SPU で探すことです。この機能は、SRX5400、SRX5600、SRX5800 デバイスでのみサポートされています。

VPN セッションアフィニティを使用しない場合、フローによって作成されるクリアテキストセッションは1つの SPU に配置され、IPsec によって作成されたトンネルセッションは別の SPU にあることがあります。クリアテキストパケットを IPsec トンネルにルーティングするには、spu を前方またはホップする必要があります。

デフォルトでは、VPN セッションアフィニティは SRX シリーズデバイスで無効になっています。VPN セッションアフィニティが有効になっている場合は、新しいクリアテキストセッションが IPsec トンネルセッションと同じ SPU に配置されます。既存のクリアテキストセッションは影響を受けません。

Junos OS リリース 15.1 X49 では、SRX5400、SRX5600、SRX5800 の各デバイスに対して、SRX5K-MPC-100G10G (IOC3) と SRX5K-MPC-40G10G (MPC3) が導入されています。

SRX5K-MPC (IOC2) と IOC3 は、拡張されたフローモジュールとセッションキャッシュにより、VPN セッションアフィニティをサポートしています。Ioc を使用すると、フローモジュールは、IPsec トンネルベースのトラフィックのセッションを作成してから暗号化を行い、その後トンネルで固定された SPU で復号化した後、セッションのセッションキャッシュをインストールし、パケットを最小化するために同じ SPU にパケットをリダイレクトすることができるようにします。転送のオーバーヘッドExpress Path (以前はサービス・オフロードと呼ばれる) トラフィックと NP キャッシュ・トラフィックは、Ioc 上で同じセッション・キャッシュ・テーブルを共有しています。

SPUs でアクティブなトンネルセッションを表示するにshow security ipsec security-associationは、コマンドを使用して、SPU を含む、フレキシブル PIC コンセントレーター (FPC) および物理インタフェースカード(PIC) スロットを指定します。たとえば、以下のように記述します。

VPN セッションアフィニティが有効になっているかどうかを判断するには、ネットワークのトンネル分散とトラフィックパターンを評価する必要があります。

Junos OS Release 12.3 X48-D50, Junos OS Release 15.1 X49-D90, Junos OS Release 17.3 R1, VPN セッションアフィニティが SRX5400、SRX5600、SRX5800 の各デバイスで有効になっている場合、トンネルのオーバーヘッドはネゴシエートされた暗号化に従って計算し、アンカーサービス処理ユニット (SPU) の認証アルゴリズム。構成した暗号化または認証が変更されると、新しい IPsec セキュリティアソシエーションが確立されたときに、アンカー SPU でトンネルのオーバーヘッドが更新されます。

VPN セッションアフィニティには、以下のような制約があります。

  • 論理システム全体のトラフィックはサポートされていません。

  • ルートに変更があった場合、確立されたクリアテキストセッションは SPU に残っています。可能であれば、トラフィックは再ルーティングされます。ルート変更後に作成されたセッションは、別の SPU で設定できます。

  • VPN セッションのアフィニティは、デバイス上で終了する自己トラフィック (ホスト受信トラフィックとも呼ばれる) にのみ影響を及ぼします。デバイスから発信された自己トラフィック (ホスト送信トラフィックとも呼ばれる) は影響を受けません。

  • マルチキャストのレプリケーションと転送のパフォーマンスは影響を受けません。

Release History Table
リリース
説明
Junos OS Release 12.3 X48-D50, Junos OS Release 15.1 X49-D90, Junos OS Release 17.3 R1, VPN セッションアフィニティが SRX5400、SRX5600、SRX5800 の各デバイスで有効になっている場合、トンネルのオーバーヘッドはネゴシエートされた暗号化に従って計算し、アンカーサービス処理ユニット (SPU) の認証アルゴリズム。