Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPN セッション アフィニティ

パケット転送のオーバーヘッドを最小限に抑えるためのIPsec VPNトラフィックのパフォーマンスは、VPNセッションアフィニティとパフォーマンスアクセラレーションを有効にすることで最適化できます。

VPNセッションアフィニティについて

VPN セッション アフィニティーは、IPsec トンネル セッションがある SPU とは異なる SPU(サービス処理ユニット)にクリアテキスト セッションがある場合に発生します。VPN セッション アフィニティの目的は、同じ SPU 内にクリアテキストと IPsec トンネル セッションを配置することです。この機能は、SRX5400、SRX5600、および SRX5800 デバイスでのみサポートされます。

VPN セッション アフィニティがない場合、フローによって作成されたクリアテキスト セッションが 1 つの SPU に配置され、IPsec によって作成されたトンネル セッションが別の SPU に存在する可能性があります。クリアテキスト パケットを IPsec トンネルにルーティングするには、SPU から SPU へのフォワードまたはホップが必要です。

デフォルトでは、SRXシリーズファイアウォールではVPNセッションアフィニティは無効になっています。VPN セッション アフィニティを有効にすると、新しいクリアテキスト セッションが IPsec トンネル セッションと同じ SPU に配置されます。既存のクリアテキスト セッションは影響を受けません。

Junos OSリリース15.1X49-D10では、SRX5400、SRX5600およびSRX5800デバイス向けにSRX5K-MPC3-100G10G(IOC3)およびSRX5K-MPC3-40G10G(IOC3)が導入されています。

SRX5K-MPC(IOC2)とIOC3は、改善されたフローモジュールとセッションキャッシュを通じて、VPNセッションアフィニティをサポートします。IOC を使用すると、フロー モジュールは、トンネルアンカー付き SPU で暗号化前と復号化後に IPsec トンネルベース トラフィックのセッションを作成し、IOC がパケットを同じ SPU にリダイレクトしてパケット転送オーバーヘッドを最小化できるように、セッションのセッション キャッシュをインストールします。Express Path (以前はサービス オフロードと呼ばれていました) トラフィックと NP キャッシュ トラフィックは、IOC で同じセッション キャッシュ テーブルを共有します。

SPU のアクティブなトンネル セッションを表示するには、 コマンドを使用して、 SPU を含む FPC(フレキシブル PIC コンセントレータ)および PIC( 物理インターフェイス カード )スロットを指定します。show security ipsec security-association たとえば、以下のように表示されます。

ネットワーク内のトンネル分散とトラフィックパターンを評価して、VPNセッションアフィニティーを有効にする必要があるかどうかを判断する必要があります。

Junos OS リリース 12.3X48-D50、Junos OS リリース 15.1X49-D90、Junos OS リリース 17.3R1 以降、VPN セッション アフィニティが SRX5400、SRX5600、および SRX5800 デバイスで有効になっている場合、トンネルのオーバーヘッドは、アンカー サービス処理ユニット(SPU)でネゴシエートされた暗号化および認証アルゴリズムに従って計算されます。設定された暗号化または認証が変更された場合、新しいIPsecセキュリティアソシエーションが確立されると、アンカーSPUのトンネルオーバーヘッドが更新されます。

VPN セッション アフィニティの制限は次のとおりです。

  • 論理システム間のトラフィックはサポートされていません。

  • ルートが変更された場合、確立されたクリアテキスト セッションは SPU に残り、可能な場合はトラフィックが再ルーティングされます。ルート変更後に作成されたセッションは、別の SPU で設定できます。

  • VPN セッション アフィニティは、デバイス上で終端する自己トラフィック(ホスト インバウンド トラフィックとも呼ばれる)にのみ影響します。デバイスから発信された自己トラフィック(ホストアウトバウンドトラフィックとも呼ばれます)は影響を受けません。

  • マルチキャストのレプリケーションと転送のパフォーマンスは影響を受けません。

VPN セッション アフィニティの有効化

デフォルトでは、SRXシリーズファイアウォールではVPNセッションアフィニティは無効になっています。VPN セッション アフィニティを有効にすると、特定の条件下で VPN スループットを向上させることができます。この機能は、SRX5400、SRX5600、および SRX5800 デバイスでのみサポートされます。このセクションでは、CLI を使用して VPN セッション アフィニティを有効にする方法について説明します。

クリアテキスト セッションが、異なる SPU の IPsec トンネル セッションに転送されているかどうかを確認します。コマンドを使用して、平文セッションに関するセッション情報を表示します。show security flow session

この例では、FPC 3、PIC 0 にトンネル セッションがあり、FPC 6、PIC 0 にクリアテキスト セッションがあります。転送セッション(セッションID 60017354)がFPC 3、PIC 0に設定されています。

Junos OSリリース15.1X49-D10では、IOC(SRX5K-MPC [IOC2]、SRX5K-MPC3-100G10G [IOC3]、SRX5K-MPC3-40G10G [IOC3])でセッションアフィニティサポートが導入され、Junos OSリリース12.3X48-D30ではIOC2でセッションアフィニティサポートが導入されています。IOC FPCでIPsecトンネルセッションのセッションアフィニティを有効にすることができます。IPsec VPNアフィニティを有効にするには、 コマンドを使用してIOCの セッションキャッシュも有効にする必要があります。set chassis fpc fpc-slot np-cache

VPN セッション アフィニティを有効にするには:

  1. 設定モードで、 コマンドを使用してVPNセッションアフィニティを有効にします。set
  2. コミットする前に、構成への変更を確認してください。
  3. 設定をコミットします。

VPN セッション・アフィニティーを使用可能にした後、コマンドを使用して 、クリア・テキスト・セッションに関するセッション情報を表示します。show security flow session

VPNセッションアフィニティが有効になると、クリアテキストセッションは常にFPC 3、PIC 0に配置されます。

IPsec VPNトラフィックのパフォーマンス向上

パフォーマンスアクセラレーションパラメーターを設定することで、IPsec VPNのパフォーマンスを高速化することができます。デフォルトでは、SRXシリーズファイアウォールではVPNパフォーマンスアクセラレーションは無効になっています。VPN パフォーマンス アクセラレーションを有効にすると、VPN セッション アフィニティを有効にした状態で VPN スループットを向上させることができます。この機能は、SRX5400、SRX5600、および SRX5800 デバイスでのみサポートされます。

このトピックでは、CLIを使用してVPNパフォーマンスアクセラレーションを有効にする方法について説明します。

パフォーマンス アクセラレーションを有効にするには、クリアテキスト セッションと IPsec トンネル セッションが同じ SPU(サービス処理ユニット)上で確立されていることを確認する必要があります。Junos OS Release 17.4R1以降、VPNセッションアフィニティおよびパフォーマンスアクセラレーション機能が有効になっている場合、IPsec VPNのパフォーマンスが最適化されます。セッション アフィニティの有効化の詳細については、「 VPN セッション アフィニティについて」を参照してください。

IPsec VPNパフォーマンスアクセラレーションを有効にするには:

  1. VPN セッション アフィニティを有効にします。
  2. IPsecパフォーマンスアクセラレーションを有効にします。
  3. コミットする前に、構成への変更を確認してください。
  4. 設定をコミットします。

VPNパフォーマンスアクセラレーションを有効にした後、 コマンドを使用してフローステータスを表示します。show security flow status

IPsec 分散プロファイル

Junos OS リリース 19.2R1 以降、IPsec セキュリティ アソシエーション(SA)用に 1 つ以上の IPsec 配布プロファイルを設定できます。トンネルは、設定された分散型プロファイルで指定されたすべてのリソース(SPC)に均等に分散されます。SPC3 および混合モード(SPC3 + SPC2)でのみサポートされ、SPC1 および SPC2 システムではサポートされません。IPsec配布プロファイルでは、 コマンドを使用して、 トンネルを指定されたものに関連付けます。set security ipsec vpn vpn-name distribution-profile distribution-profile-name

  • スロット

  • PIC

または、デフォルトの IPsec 配布プロファイルを使用することもできます。

  • default-spc2-profile - この定義済みデフォルト プロファイルを使用して、IPsec トンネルを使用可能なすべての SPC2 カードに関連付けます。

  • default-spc3-profile - この定義済みデフォルトプロファイルを使用して、IPsecトンネルを使用可能なすべてのSPC3カードに関連付けます。

これで、特定のVPNオブジェクトにプロファイルを割り当てることができ、関連するすべてのトンネルがこのプロファイルに基づいて分散されます。VPNオブジェクトにプロファイルが割り当てられていない場合、SRXシリーズファイアウォールはこれらのトンネルをすべてのリソースに均等に自動的に分散します。

VPN オブジェクトは、ユーザー定義プロファイルまたは事前定義済み(デフォルト)プロファイルのいずれかに関連付けることができます。

Junos OS リリース 20.2R2 以降、配布プロファイルに設定された無効なスレッド ID は無視され、コミットチェックエラーメッセージは表示されません。IPsecトンネルは、設定された分散型プロファイルに従って固定され、そのプロファイルに無効なスレッドIDがあればそれを無視します。

次の例では、プロファイルABCに関連するすべてのトンネルがFPC 0、PIC 0で配布 されます。

高可用性 VPN のためのループバック インターフェイスについて

IPsec VPN トンネル構成では、ピア IKE ゲートウェイと通信するために、外部インターフェイスを指定する必要があります。VPN の外部インターフェイスにループバック インターフェイスを指定することは、ピア ゲートウェイに到達するために使用できる物理インターフェイスが複数ある場合に適しています。ループバックインターフェイスにVPNトンネルを固定すると、ルーティングを成功させるための物理インターフェイスへの依存がなくなります。

VPNトンネルでのループバックインターフェイスの使用は、スタンドアロンのSRXシリーズファイアウォールとシャーシクラスターのSRXシリーズファイアウォールでサポートされています。シャーシ クラスタのアクティブ/パッシブ導入では、論理ループバック インターフェイスを作成して冗長性グループのメンバーにし、VPN トンネルの固定に使用できます。ループバックインターフェイスは、任意の冗長性グループで設定でき、IKEゲートウェイの外部インターフェイスとして割り当てられます。VPN パケットは、冗長性がアクティブなノードで処理されます。

SRX5400、SRX5600、およびSRX5800デバイスの場合 -

  • kmdプロセスを実行しているSPC2ベースのデバイスで、ループバック インターフェイスがIKEゲートウェイ外部インターフェイスとして使用されている場合は、RG0 以外の冗長性グループにインターフェイス バインディングを設定します。

  • ikedプロセスを実行しているSPC3またはSPC3+SPC2ベースのデバイスの場合、冗長性グループへのループバックインターフェイスバインディングは必要ありません。

シャーシ クラスタ設定では、外部インターフェイスがアクティブなノードが SPU を選択し、VPN トンネルを固定します。IKE および IPsec パケットはその SPU で処理されます。したがって、アクティブな外部インターフェイスによってアンカー SPU が決まります。

コマンドを使用して、 冗長擬似インターフェイスの情報を表示できます。show chassis cluster interfaces

変更履歴

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。

リリース
説明
12.3X48-D50
Junos OS リリース 12.3X48-D50、Junos OS リリース 15.1X49-D90、Junos OS リリース 17.3R1 以降、VPN セッション アフィニティが SRX5400、SRX5600、および SRX5800 デバイスで有効になっている場合、トンネルのオーバーヘッドは、アンカー サービス処理ユニット(SPU)でネゴシエートされた暗号化および認証アルゴリズムに従って計算されます。
17.4R1
Junos OS Release 17.4R1以降、VPNセッションアフィニティおよびパフォーマンスアクセラレーション機能が有効になっている場合、IPsec VPNのパフォーマンスが最適化されます。
Junos OS Release 20.2R
Junos OS リリース 20.2R2 以降、配布プロファイルに設定された無効なスレッド ID は無視され、コミットチェックエラーメッセージは表示されません。IPsecトンネルは、設定された分散型プロファイルに従って固定され、そのプロファイルに無効なスレッドIDがあればそれを無視します。