VPN セッション アフィニティ

VPN セッション アフィニティーは、IPsec トンネル セッションがある SPU とは異なる SPU(サービス処理ユニット)にクリアテキスト セッションがある場合に発生します。VPN セッション アフィニティの目的は、同じ SPU 内にクリアテキストと IPsec トンネル セッションを配置することです。

VPN セッション アフィニティがない場合、フローによって作成されたクリアテキスト セッションが 1 つの SPU に配置され、IPsec によって作成されたトンネル セッションが別の SPU に存在する可能性があります。クリアテキスト パケットを IPsec トンネルにルーティングするには、SPU から SPU へのフォワードまたはホップが必要です。

デフォルトでは、SRXシリーズファイアウォールではVPNセッションアフィニティは無効になっています。VPN セッション アフィニティを有効にすると、新しいクリアテキスト セッションが IPsec トンネル セッションと同じ SPU に配置されます。既存のクリアテキスト セッションは影響を受けません。

firewalls は、改善されたフローモジュールとセッションキャッシュを通じて、VPNセッションアフィニティをサポートします。IOC を使用すると、フロー モジュールは、トンネルアンカー付き SPU で暗号化前と復号化後に IPsec トンネルベース トラフィックのセッションを作成し、IOC がパケットを同じ SPU にリダイレクトしてパケット転送オーバーヘッドを最小化できるように、セッションのセッション キャッシュをインストールします。Express Path (以前はサービス オフロードと呼ばれていました) トラフィックと NP キャッシュ トラフィックは、IOC で同じセッション キャッシュ テーブルを共有します。

SPU のアクティブなトンネル セッションを表示するには、 show security ipsec security-association コマンドを使用して、SPU を含む FPC(フレキシブル PIC コンセントレータ)および PIC( 物理インターフェイス カード )スロットを指定します。以下はその一例です。

ネットワーク内のトンネル分散とトラフィックパターンを評価して、VPNセッションアフィニティーを有効にする必要があるかどうかを判断する必要があります。

VPN セッション アフィニティがファイアウォールで有効になっている場合トンネルのオーバーヘッドは、アンカーの SPU(サービス処理ユニット)でネゴシエートされた暗号化および認証アルゴリズムに従って計算されます。設定された暗号化または認証が変更された場合、新しいIPsecセキュリティアソシエーションが確立されると、アンカーSPUのトンネルオーバーヘッドが更新されます。

VPN セッション アフィニティの制限は次のとおりです。

• 論理システム間のトラフィックはサポートされていません。

• ルートが変更された場合、確立されたクリアテキスト セッションは SPU に残り、可能な場合はトラフィックが再ルーティングされます。ルート変更後に作成されたセッションは、別の SPU で設定できます。

• VPN セッション アフィニティは、デバイス上で終端する自己トラフィック(ホスト インバウンド トラフィックとも呼ばれる)にのみ影響します。デバイスから発信された自己トラフィック(ホストアウトバウンドトラフィックとも呼ばれます)は影響を受けません。

• マルチキャストのレプリケーションと転送のパフォーマンスは影響を受けません。

は、IPsec セキュリティ アソシエーション(SA)に対して 1 つ以上の IPsec 配布プロファイルを設定できます。トンネルは、設定された分散型プロファイルで指定されたすべてのリソース(SPC)に均等に分散されます。SPC3 および混合モード(SPC3 + SPC2)でのみサポートされ、SPC1 および SPC2 システムではサポートされません。IPsec配布プロファイルでは、 set security ipsec vpn vpn-name distribution-profile distribution-profile-name コマンドを使用して、指定されたトンネルにトンネルを関連付けます。

• スロット

• PIC

または、デフォルトの IPsec 配布プロファイルを使用することもできます。

• default-spc2-profile - この定義済みデフォルト プロファイルを使用して、IPsec トンネルを使用可能なすべての SPC2 カードに関連付けます。

• default-spc3-profile - この定義済みデフォルトプロファイルを使用して、IPsecトンネルを使用可能なすべてのSPC3カードに関連付けます。

これで、特定のVPNオブジェクトにプロファイルを割り当てることができ、関連するすべてのトンネルがこのプロファイルに基づいて分散されます。VPNオブジェクトにプロファイルが割り当てられていない場合、SRXシリーズファイアウォールはこれらのトンネルをすべてのリソースに均等に自動的に分散します。

VPN オブジェクトは、ユーザー定義プロファイルまたは事前定義済み(デフォルト)プロファイルのいずれかに関連付けることができます。

次の例では、プロファイルABCに関連するすべてのトンネルが FPC 0、PIC 0に分散されます。

IPsec VPN トンネル構成では、ピア IKE ゲートウェイと通信するために、外部インターフェイスを指定する必要があります。VPN の外部インターフェイスにループバック インターフェイスを指定することは、ピア ゲートウェイに到達するために使用できる物理インターフェイスが複数ある場合に適しています。ループバックインターフェイスにVPNトンネルを固定すると、ルーティングを成功させるための物理インターフェイスへの依存がなくなります。

VPNトンネルでのループバックインターフェイスの使用は、スタンドアロンのSRXシリーズファイアウォールとシャーシクラスターのSRXシリーズファイアウォールでサポートされています。シャーシ クラスタのアクティブ/パッシブ導入では、論理ループバック インターフェイスを作成して冗長性グループのメンバーにし、VPN トンネルの固定に使用できます。ループバックインターフェイスは、任意の冗長性グループで設定でき、IKEゲートウェイの外部インターフェイスとして割り当てられます。VPN パケットは、冗長性がアクティブなノードで処理されます。

シャーシ クラスタ設定では、外部インターフェイスがアクティブなノードが SPU を選択し、VPN トンネルを固定します。IKE および IPsec パケットはその SPU で処理されます。したがって、アクティブな外部インターフェイスによってアンカー SPU が決まります。

show chassis cluster interfaces コマンドを使用して、冗長擬似インターフェイスの情報を表示できます。

特定の機能のプラットフォームおよびリリースサポートを確認するには、機能エクスプローラーを使用します。

次の表を使用して、プラットフォームのプラットフォーム固有の動作を確認します。