Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

インライン IPsec

SRXシリーズファイアウォールのインラインIPsecについては、このトピックをお読みください。

概要

インライン IPsec は、IPsec トラフィック処理を CPU からジュニパーネットワークスのデバイスのパケット転送エンジンにオフロードする Junos OS の機能です。この機能は、パケット転送エンジン ASIC 内で IPsec トラフィックを安全に暗号化および復号化します。この機能を使用すると、CPU は PowerMode IPsec(PMI)または Quick Assist Technology(QAT)を使用する IPSec VPN のみを管理します。

インラインIPsecが導入される前は、ファイアウォールはCPUでIPsec操作を実行し、Intel QATなどのハードウェアアクセラレーションやPMIなどのソフトウェア最適化の恩恵を受けていました。インラインIPsecでは、SRXシリーズファイアウォールでパケット転送エンジンASICを使用してIPsecパフォーマンスを向上させることができます。IPsecの暗号化と復号化をASICにオフロードすることで、スループットの向上に貢献します。インラインIPsecにより、ファイアウォールCPUが解放され、次のような他のタスクに使用できるようになります。

  • 事前共有鍵(PSK)に対するインターネット鍵交換バージョン 2(IKEv2)ネゴシエーション

  • 耐量子事前共有鍵(PPK)

  • 公開鍵基盤(PKI)証明書の鍵ネゴシエーション

  • インラインIPsecで使用されるさまざまな暗号化およびハッシュ関数

ファイアウォールでインラインIPsec機能を使用するには、有効なライセンスが必要です。このライセンスでは、この機能はファイアウォールでデフォルトで有効になっています。

メリット

  • VPNパフォーマンス: 暗号化と復号化をASICにオフロードすることでトンネルのパフォーマンスを向上させ、より高いスループットを実現します。

  • CPUの最適化: ASIC内のトンネルを管理することでCPUリソースを解放し、CPUが他の重要なタスクを管理できるようにして、ファイアウォールの全体的なパフォーマンスを向上させます。

  • VPNセキュリティ: ハードウェアオフロードトンネルにAES-GCM(Advanced Encryption Standard–Galois/Counter Mode)暗号化アルゴリズムを使用してセキュリティを強化し、パフォーマンスを損なうことなく強力な暗号化標準を確保します。

  • 配備:シャーシ当たりの多数のIPsecトンネルをサポートしているため、大規模な導入に適しています。

  • 俊敏性:パケット転送エンジンの外部にあるいくつかのトンネルを管理する機能をサポートします。

インラインIPsecの仕組み

図 1 は、インライン IPsec データ プレーンのアーキテクチャと、コントロール プレーンと管理プレーンとのインターフェイスを示しています。インライン IPsec アーキテクチャには、IPsec 操作を処理する IPsec エンジンが含まれています。パケット転送エンジンインラインIPsecは、CPUサイクルに依存せずにIPsec トラフィックを暗号化または復号化するため、インラインIPsecはスループットを大幅に向上させ、ファイアウォールのパフォーマンスを最適化します。

SRXシリーズファイアウォールにおけるインラインIPsecの次の動作を理解します。

  • IPsecイニシエーター、レスポンダー、またはその両方でこの機能を使用できます。

  • ファイアウォールは、組み込みASIC上でIPsecカプセル化セキュリティペイロード(ESP)パケットの暗号化と復号化を実行します。

  • 認証と鍵交換に使用されるインターネット鍵交換(IKE)プロトコルは、CPU で実行されます。

  • IKE ネゴシエーションの後、iked プロセスはパケット転送エンジンへのトンネル配布を管理します。

  • ファイアウォールは以下をサポートします。

    • IPv4 と IPv6 の両方のアドレスに基づくインライン IPsec プロトコル。

    • IKEv1 プロトコルと IKEv2 プロトコルの両方に対応するインライン IPsec。

図 1: インラインIPsecアーキテクチャ インラインIPsecアーキテクチャ

インライン IPsec を使用したファイアウォールでは、次のアクションに気付くでしょう。

  • iked プロセスは、セッション フローでハードウェア オフロード用のインライン IPsec トンネルをマークします。このアクションにより、トンネルが IPsec 暗号化と復号化タスクに CPU を使用することを防ぎます。

  • コマンド show security ipsec security association の出力には、以下の情報が表示されます。

    • Hardware Offloaded: Yes インライン IPSec VPN トンネルの場合は。

    • Hardware Offloaded: No CPU がトンネルを処理するとき。

  • flowd プロセスは、IPSec VPN トラフィック フローの着信パケットと発信パケットを表示します。

パケット転送エンジン ASIC で、IPsec トンネル処理のインライン IPsec ハードウェア オフロードをグローバルに無効にするには:

  • set security ipsec hw-offload-disableコマンドを使用します。

    このステートメントを設定すると、ファイアウォールはパケット転送エンジン ASIC ではなく、CPU ですべての IPsec トンネルを処理します。ipsec (セキュリティ)を参照してください。

インライン IPsec の機能サポート

ファイアウォールは、インライン IPsec 機能を使用して IPsec トンネルを確立するために、特定の基準を満たす必要があります。 表 1 では、インライン IPsec の機能サポート情報を提供し、その機能に対するトンネルの適格性を決定する基準について概説しています。インラインIPsecでサポートされていない機能をCPUで管理し、ファイアウォールのパフォーマンスを最適化します。

表 1: インライン IPsec の機能サポート
サポートされる機能 サポートされていない機能

YT ASICプロセスIPSec VPN上のパケット転送エンジン

CPU は、PowerMode IPsec(PMI)および Quick Assist Technology(QAT)を使用する IPSec VPN を処理します。

ESP(セキュリティ ペイロードのカプセル化)を使用したトンネル モード

AH(認証ヘッダー)を使用したトンネル モード
暗号化アルゴリズム AES-GCM(128 ビット鍵または 256 ビット鍵)

128 ビット鍵または 256 ビット鍵の AES-GCM 以外のすべての暗号化アルゴリズム

サイトツーサイト IPSec VPN をサポートする導入モード

ポイントツーマルチポイント(P2MP)VPN、グループVPN、高可用性(HA)リンク暗号化、自動検出 VPN(ADVPN)をサポートする導入モード

最大 4096 のアンチリプレイ ウィンドウ サイズ

アンチリプレイ ウィンドウ サイズが 4096 を超えています

最大4,000個のセキュリティアソシエーション(SA)または2,000個のトンネル

4,000 を超える、または複数の SA (子 SA)

ネットワークアドレス変換トラバーサル(NAT-T)トンネル

lifesizeオプション構成のトンネル

インライン IPsec では、以下の制限事項にご注意ください。

  • アクティブなオフロード トンネルに DF(Don't Fragment)ビットを設定すると、その設定は鍵更新後に有効になります。

  • アクティブなオフロードされたトンネルに対して差別化されたサービスコードポイント(DSCP)コピーを設定すると、その設定はキー更新後に有効になります。

関連項目

変更履歴

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。

リリース
説明
25.2R1
Junos OS リリース 25.2R1 で追加されたインライン IPsec のサポート。