Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPN セッション アフィニティ

VPNセッションアフィニティとパフォーマンスアクセラレーションを有効にすることで、パケット転送オーバーヘッドを最小限に抑えるIPsec VPNトラフィックのパフォーマンスを最適化できます。

VPN セッション アフィニティーについて

VPN セッション アフィニティは、クリアテキスト セッションが、IPsec トンネル セッションがある SPU とは異なる SPU(サービス処理ユニット)に配置されている場合に発生します。VPN セッション アフィニティーの目標は、同じ SPU 内のクリアテキスト および IPsec トンネル セッションを特定することです。この機能は、SRX5400、SRX5600、SRX5800のデバイスでのみサポートされています。

VPN セッション アフィニティがない場合、フローによって作成されたクリアテキスト セッションが 1 つの SPU に配置され、IPsec によって作成されたトンネル セッションが別の SPU に配置される場合があります。クリアテキスト パケットを IPsec トンネルにルーティングするには、SPU から SPU への転送またはホップが必要です。

デフォルトでは、SRXシリーズ デバイスではVPNセッションアフィニティが無効になっています。VPN セッション アフィニティーが有効になっている場合、新しいクリアテキスト セッションが IPsec トンネル セッションと同じ SPU に配置されます。既存のクリアテキスト セッションは影響を受けません。

Junos OS リリース 15.1X49-D10 では、SRX5400、SRX5600、SRX5800 のデバイスに SRX5K-MPC3-10G10G(IOC3)と SRX5K-MPC3-40G10G(IOC3)が導入されています。

SRX5K-MPC(IOC2)と IOC3 は、フロー モジュールとセッション キャッシュを改善して VPN セッション アフィニティをサポートします。IOC を使用すると、フロー モジュールは、暗号化の前と暗号化解除後に IPsec トンネルベースのトラフィックのセッションを作成し、セッション用のセッション キャッシュをインストールして、IOC がパケットを同じ SPU にリダイレクトしてパケット転送オーバーヘッドを最小限に抑えることができます。Express Path(以前はサービス オフロードと呼ばれる)トラフィックと NP キャッシュ トラフィックは、IOC 上で同じセッション キャッシュ テーブルを共有します。

SPU でアクティブなトンネル セッションを表示するには、コマンドを show security ipsec security-association 使用して、SPU を含むフレキシブル PIC コンセントレータ(FPC)および PIC(物理インターフェイス カード )スロットを指定します。例えば、

VPN セッション アフィニティを有効にするかどうかを判断するには、ネットワーク内のトンネルの分散とトラフィック パターンを評価する必要があります。

Junos OSリリース12.3X48-D50以降、 Junos OS リリース 15.1X49-D90、Junos OS リリース 17.3R1(SRX5400、SRX5600、SRX5800 デバイスで VPN セッション アフィニティーが有効になっている場合)、トンネルオーバーヘッドは、アンカー サービス処理ユニット(SPU)でネゴシエートされた暗号化および認証アルゴリズムに従って計算されます。設定された暗号化または認証が変更された場合、新しいIPsecセキュリティアソシエーションが確立されると、トンネルオーバーヘッドがアンカーSPUで更新されます。

VPN セッション アフィニティの制限は次のとおりです。

  • 論理システム間のトラフィックはサポートされていません。

  • ルート変更がある場合、確立されたクリアテキスト セッションは SPU に残り、可能であればトラフィックは再ルーティングされます。ルート変更後に作成されたセッションは、別の SPU で設定できます。

  • VPN セッション アフィニティは、デバイスで終端する自己トラフィックにのみ影響を与えます(ホスト インバウンド トラフィックとも呼ばれます)。デバイスから発信される自己トラフィック(ホストアウトバウンドトラフィックとしても知られる)は影響を受けません。

  • マルチキャストレプリケーションと転送パフォーマンスは影響を受けません。

VPN セッション アフィニティーの有効化

デフォルトでは、SRXシリーズ デバイスではVPNセッションアフィニティが無効になっています。VPN セッション アフィニティを有効にすると、特定の条件下で VPN スループットを向上させることができます。この機能は、SRX5400、SRX5600、SRX5800のデバイスでのみサポートされています。このセクションでは、CLI を使用して VPN セッション アフィニティを有効にする方法について説明します。

クリア テキスト セッションが別の SPU 上の IPsec トンネル セッションに転送されるかどうかを判断します。コマンドを show security flow session 使用して、クリアテキスト セッションに関するセッション情報を表示します。

この例では、FPC 3、PIC 0のトンネルセッションとFPC 6、PIC 0のクリアテキストセッションがあります。FPC 3、PIC 0では、転送セッション(セッションID 60017354)が設定されています。

Junos OS リリース 15.1X49-D10 では、IOC(SRX5K-MPC[IOC2]、 SRX5K-MPC3-100G10G[IOC3]、SRX5K-MPC3-40G10G[IOC3])およびJunos OSリリース12.3X48-D30は、IOC2にセッションアフィニティーサポートを提供します。IOC FPC 上の IPsec トンネル セッションに対してセッション アフィニティーを有効にできます。IPsec VPN アフィニティーを有効にするには、コマンドを使用して set chassis fpc fpc-slot np-cache IOC 上のセッション キャッシュも有効にする必要があります。

VPN セッション アフィニティーを有効にするには、以下の手順に示します。

  1. 設定モードでは、コマンドを set 使用して VPN セッション アフィニティーを有効にします。
  2. コミットする前に設定の変更を確認します。
  3. 設定をコミットします。

VPN セッション アフィニティを有効にした後、コマンドを show security flow session 使用してクリア テキスト セッションに関するセッション情報を表示します。

VPN セッション アフィニティーが有効になっていると、クリア テキスト セッションは常に FPC 3、PIC 0 にあります。

IPsec VPN トラフィック パフォーマンスの高速化

パフォーマンス アクセラレーション パラメータを設定すると、IPsec VPN のパフォーマンスを高速化できます。デフォルトでは、SRX シリーズ デバイスでは VPN パフォーマンス アクセラレーションが無効になっています。VPN パフォーマンス アクセラレーションを有効にすると、VPN セッション アフィニティを有効にして VPN スループットを向上させることができます。この機能は、SRX5400、SRX5600、SRX5800のデバイスでのみサポートされています。

このトピックでは、CLI を使用して VPN パフォーマンス アクセラレーションを有効にする方法について説明します。

パフォーマンス アクセラレーションを有効にするには、クリアテキスト セッションと IPsec トンネル セッションが同じ SPU(サービス処理ユニット)で確立されていることを確認する必要があります。Junos OSリリース17.4R1以降、VPNセッションアフィニティとパフォーマンスアクセラレーション機能が有効になっている場合、IPsec VPNパフォーマンスが最適化されます。セッション アフィニティの有効化の詳細については、「 VPN セッション アフィニティについて」を参照してください。

IPsec VPN パフォーマンス アクセラレーションを有効にするには、次の手順に進めます。

  1. VPN セッション アフィニティを有効にします。
  2. IPsec パフォーマンス アクセラレーションを有効にします。
  3. コミットする前に設定の変更を確認します。
  4. 設定をコミットします。

VPN パフォーマンス アクセラレーションを有効にした後、コマンドを show security flow status 使用してフロー ステータスを表示します。

IPsec 分散プロファイル

Junos OS リリース 19.2R1 以降では、IPsec セキュリティ アソシエーション(SA)用に 1 つ以上の IPsec 分散プロファイルを設定できます。トンネルは、設定されたディストリビューション プロファイルで指定されたすべてのリソース(SPC)に均等に分散されます。SPC3 のみおよび混合モード(SPC3 + SPC2)でサポートされており、SPC1 および SPC2 システムではサポートされていません。IPsec 分散プロファイルでは、コマンドを set security ipsec vpn vpn-name distribution-profile distribution-profile-name 使用してトンネルを指定したアドレスに関連付けます。

  • スロット

  • 写真

または、デフォルトの IPsec 分散プロファイルを使用できます。

  • default-spc2-profile —この事前定義されたデフォルト プロファイルを使用して、IPsec トンネルを利用可能なすべての SPC2 カードに関連付けます。

  • default-spc3-profile — この事前定義されたデフォルト プロファイルを使用して、IPsec トンネルを利用可能なすべての SPC3 カードに関連付けます。

これで、プロファイルを特定の VPN オブジェクトに割り当てることができ、関連付けられたトンネルはすべて、このプロファイルに基づいて分散されます。VPN オブジェクトにプロファイルが割り当てされていない場合、SRX シリーズ デバイスはこれらのトンネルをすべてのリソースに自動的に均等に分散します。

VPN オブジェクトは、ユーザー定義プロファイルまたは事前定義済み(デフォルト)プロファイルのいずれかに関連付けることができます。

Junos OS リリース 20.2R2 以降、ディストリビューション プロファイルに設定されている無効なスレッド ID は無視され、コミット チェック エラー メッセージは表示されません。IPsec トンネルは、設定済みのディストリビューション プロファイルに従って固定され、そのプロファイルに無効なスレッド ID がある場合は無視されます。

次の例では、プロファイルABCに関連付けられたすべてのトンネルがFPC 0、PIC 0に分散されます 。

高可用性 VPN のループバック インターフェイスについて

IPsec VPN トンネル設定では、ピア IKE ゲートウェイと通信するために外部インターフェイスを指定する必要があります。VPN の外部インターフェイスにループバック インターフェイスを指定することは、ピア ゲートウェイに到達するために使用できる複数の物理インターフェイスがある場合に適しています。ループバック インターフェイスに VPN トンネルを固定すると、ルーティングを成功させる物理インターフェイスへの依存がなくなります。

VPN トンネルにループバック インターフェイスを使用することは、スタンドアロンの SRX シリーズ デバイスとシャーシ クラスタ内の SRX シリーズ デバイスでサポートされています。シャーシ クラスタのアクティブ/パッシブ導入では、論理ループバック インターフェイスを作成し、冗長グループのメンバーにして、VPN トンネルの固定に使用できます。ループバック インターフェイスは、任意の冗長グループで設定でき、IKE ゲートウェイの外部インターフェイスとして割り当てられます。VPN パケットは、冗長グループがアクティブなノードで処理されます。

SRX5400、SRX5600、SRX5800 デバイスでは、ループバック インターフェイスを IKE ゲートウェイ外部インターフェイスとして使用する場合は、RG0 以外の冗長グループに設定する必要があります。

シャーシ クラスタ設定では、外部インターフェイスがアクティブなノードが、VPN トンネルを固定する SPU を選択します。IKE および IPsec パケットは、その SPU で処理されます。したがって、アクティブな外部インターフェイスがアンカー SPU を決定します。

コマンドを show chassis cluster interfaces 使用して、冗長な擬似インターフェイスの情報を表示できます。

リリース履歴テーブル
リリース
説明
12.3X48-D50
Junos OSリリース12.3X48-D50以降、 Junos OS リリース 15.1X49-D90、Junos OS リリース 17.3R1(SRX5400、SRX5600、SRX5800 デバイスで VPN セッション アフィニティーが有効になっている場合)、トンネルオーバーヘッドは、アンカー サービス処理ユニット(SPU)でネゴシエートされた暗号化および認証アルゴリズムに従って計算されます。
17.4R1
Junos OSリリース17.4R1以降、VPNセッションアフィニティとパフォーマンスアクセラレーション機能が有効になっている場合、IPsec VPNパフォーマンスが最適化されます。
Junos OS Release 20.2R
Junos OS リリース 20.2R2 以降、ディストリビューション プロファイルに設定されている無効なスレッド ID は無視され、コミット チェック エラー メッセージは表示されません。IPsec トンネルは、設定済みのディストリビューション プロファイルに従って固定され、そのプロファイルに無効なスレッド ID がある場合は無視されます。