VPN 세션 선호도
VPN 세션 선호도를 사용하여 IPSec VPN의 성능을 향상시키는 방법에 대해 알아봅니다.
패킷 포워딩 오버헤드를 최소화하기 위한 IPSec VPN 트래픽의 성능은 VPN 세션 선호도 및 성능 가속화를 활성화하여 최적화할 수 있습니다.
기능 탐색기를 사용하여 특정 기능에 대한 플랫폼 및 릴리스 지원을 확인하십시오.
플랫폼과 관련된 사항은 플랫폼별 고가용성 VPN 루프백 인터페이스 동작 섹션에서 확인하십시오.
VPN 세션 선호도 이해
VPN 세션 선호도는 IPsec 터널 세션이 위치한 SPU와 다른 SPU(Services Processing Unit)에 일반 텍스트 세션이 있을 때 발생합니다. VPN 세션 선호도의 목표는 동일한 SPU에서 일반 텍스트 및 IPsec 터널 세션을 찾는 것입니다.
VPN 세션 선호도가 없으면 플로우에 의해 생성된 일반 텍스트 세션이 하나의 SPU에 위치할 수 있고 IPsec에 의해 생성된 터널 세션이 다른 SPU에 위치할 수 있습니다. 일반 텍스트 패킷을 IPsec 터널로 라우팅하려면 SPU에서 SPU로의 포워드 또는 홉이 필요합니다.
기본적으로 VPN 세션 선호도는 SRX 시리즈 방화벽에서 비활성화되어 있습니다. VPN 세션 선호도가 활성화되면 IPsec 터널 세션과 동일한 SPU에 새로운 일반 텍스트 세션이 배치됩니다. 기존 일반 텍스트 세션은 영향을 받지 않습니다.
방화벽 은 향상된 플로우 모듈 및 세션 캐시를 통해 VPN 세션 선호도를 지원합니다. IOC를 통해 플로우 모듈은 터널 고정 SPU에서 암호화 전과 복호화 후에 IPsec 터널 기반 트래픽에 대한 세션을 생성하고 세션에 대한 세션 캐시를 설치하여 IOC가 패킷을 동일한 SPU로 리디렉션하여 패킷 전달 오버헤드를 최소화할 수 있도록 합니다. Express Path(이전의 서비스 오프로딩) 트래픽과 NP 캐시 트래픽은 IOC에서 동일한 세션 캐시 테이블을 공유합니다.
SPU에 활성 터널 세션을 표시하려면 명령을 사용하고 show security ipsec security-association SPU를 포함하는 FPC(Flexible PIC Concentrator) 및 PIC( Physical Interface Card ) 슬롯을 지정합니다. 몇 가지 예를 들면 다음과 같습니다.
user@host> show security ipsec security-association fpc 3 pic 0 Total active tunnels: 1 ID Algorithm SPI Life:sec/kb Mon vsys Port Gateway <131073 ESP:aes-128/sha1 18c4fd00 491/ 128000 - root 500 203.0.113.11 >131073 ESP:aes-128/sha1 188c0750 491/ 128000 - root 500 203.0.113.11
네트워크의 터널 분포 및 트래픽 패턴을 평가하여 VPN 세션 선호도를 활성화해야 하는지 결정해야 합니다.
방화벽에서 VPN 세션 선호도가 활성화된 경우 터널 오버헤드는 앵커 서비스 처리 단위(SPU)에서 협상된 암호화 및 인증 알고리즘에 따라 계산됩니다. 구성된 암호화 또는 인증이 변경되면 새로운 IPsec 보안 연결이 설정될 때 앵커 SPU에서 터널 오버헤드가 업데이트됩니다.
VPN 세션 선호도 제한은 다음과 같습니다.
논리적 시스템 전반의 트래픽은 지원되지 않습니다.
경로가 변경되는 경우, 설정된 일반 텍스트 세션은 SPU에 남아 있으며 가능한 경우 트래픽이 다시 라우팅됩니다. 경로 변경 후 생성된 세션은 다른 SPU에서 설정할 수 있습니다.
VPN 세션 선호도는 디바이스에서 종료되는 자체 트래픽(호스트 인바운드 트래픽이라고도 함)에만 영향을 미칩니다. 디바이스에서 발생하는 셀프 트래픽(호스트 아웃바운드 트래픽이라고도 함)은 영향을 받지 않습니다.
멀티캐스트 복제 및 전달 성능은 영향을 받지 않습니다.
참조
VPN 세션 선호도 활성화
기본적으로 VPN 세션 선호도는 SRX 시리즈 방화벽에서 비활성화되어 있습니다. VPN 세션 선호도를 사용하도록 설정하면 특정 조건에서 VPN 처리량을 향상시킬 수 있습니다. 이 섹션에서는 CLI를 사용하여 VPN 세션 선호도를 활성화하는 방법에 대해 설명합니다.
일반 텍스트 세션이 다른 SPU의 IPsec 터널 세션으로 전달되고 있는지 확인합니다. 명령을 사용하여 일반 텍스트 세션에 show security flow session 대한 세션 정보를 표시합니다.
user@host> show security flow session Flow Sessions on FPC3 PIC0: Session ID: 60000001, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/6204 --> 203.0.113.6/41264;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 60000002, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 60000003, Policy name: self-traffic-policy/1, Timeout: 58, Valid In: 203.0.113.6/500 --> 203.0.113.11/500;udp, If: .local..0, Pkts: 105386, Bytes: 12026528 Out: 203.0.113.11/500 --> 203.0.113.6/500;udp, If: ge-0/0/2.0, Pkts: 106462, Bytes: 12105912 Session ID: 60017354, Policy name: N/A, Timeout: 1784, Valid In: 0.0.0.0/0 --> 0.0.0.0/0;0, If: N/A, Pkts: 0, Bytes: 0 Out: 198.51.100.156/23 --> 192.0.2.155/53051;tcp, If: N/A, Pkts: 0, Bytes: 0 Total sessions: 4 Flow Sessions on FPC6 PIC0: Session ID: 120000001, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 120000002, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 120031730, Policy name: default-policy-00/2, Timeout: 1764, Valid In: 192.0.2.155/53051 --> 198.51.100.156/23;tcp, If: ge-0/0/1.0, Pkts: 44, Bytes: 2399 Out: 198.51.100.156/23 --> 192.0.2.155/53051;tcp, If: st0.0, Pkts: 35, Bytes: 2449 Total sessions: 3
이 예에서는 FPC 3, PIC 0에 터널 세션이 있고 FPC 6, PIC 0에 일반 텍스트 세션이 있습니다. 포워딩 세션(세션 ID 60017354)은 FPC 3, PIC 0에 설정됩니다.
IOC FPC에서 IPsec 터널 세션에 대한 세션 선호도를 활성화할 수 있습니다. IPsec VPN 선호도를 활성화하려면 명령을 사용하여 IOC에서 세션 캐시도 set chassis fpc fpc-slot np-cache 활성화해야 합니다.
VPN 세션 선호도 활성화:
VPN 세션 선호도를 show security flow session 활성화한 후 명령을 사용하여 일반 텍스트 세션에 대한 세션 정보를 표시합니다.
user@host> show security flow session Flow Sessions on FPC3 PIC0: Session ID: 60000001, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/6352 --> 203.0.113.6/7927;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 60000002, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 60000003, Policy name: self-traffic-policy/1, Timeout: 56, Valid In: 203.0.113.6/500 --> 203.0.113.11/500;udp, If: .local..0, Pkts: 105425, Bytes: 12031144 Out: 203.0.113.11/500 --> 203.0.113.6/500;udp, If: ge-0/0/2.0, Pkts: 106503, Bytes: 12110680 Session ID: 60017387, Policy name: default-policy-00/2, Timeout: 1796, Valid In: 192.0.2.155/53053 --> 198.51.100.156/23;tcp, If: ge-0/0/1.0, Pkts: 10, Bytes: 610 Out: 198.51.100.156/23 --> 192.0.2.155/53053;tcp, If: st0.0, Pkts: 9, Bytes: 602 Total sessions: 4 Flow Sessions on FPC6 PIC0: Session ID: 120000001, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 120000002, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Total sessions: 2
VPN 세션 선호도가 활성화되면 일반 텍스트 세션은 항상 FPC 3, PIC 0에 위치합니다.
참조
IPsec VPN 트래픽 성능 가속화
성능 가속 매개 변수를 구성하여 IPsec VPN 성능을 가속화할 수 있습니다. 기본적으로 VPN 성능 가속화는 SRX 시리즈 방화벽에서 비활성화되어 있습니다. VPN 성능 가속화를 활성화하면 VPN 세션 선호도를 사용하도록 설정한 상태에서 VPN 처리량을 향상시킬 수 있습니다.
이 주제는 CLI를 사용하여 VPN 성능 가속화를 활성화하는 방법을 설명합니다.
성능 가속화를 구현하려면 일반 텍스트 세션과 IPsec 터널 세션이 동일한 서비스 처리 장치(SPU)에 설정되도록 해야 합니다. VPN 세션 선호도 및 성능 가속화 기능을 사용할 때 IPSec VPN 성능이 최적화됩니다. 세션 선호도 활성화에 대한 자세한 내용은 VPN 세션 선호도 이해를 참조하십시오.
IPsec VPN 성능 가속화 활성화:
VPN 성능 가속화를 show security flow status 활성화한 후 명령을 사용하여 플로우 상태를 표시합니다.
Flow forwarding mode:
Inet forwarding mode: flow based
Inet6 forwarding mode: drop
MPLS forwarding mode: drop
ISO forwarding mode: drop
Flow trace status
Flow tracing status: off
Flow session distribution
Distribution mode: Hash-based
Flow packet ordering
Ordering mode: Hardware
Flow ipsec performance acceleration: on
참조
IPsec 배포 프로파일
IPsec SA(보안 연결)에 대해 하나 이상의 IPsec 배포 프로필을 구성할 수 있습니다. 터널은 구성된 배포 프로파일에 지정된 모든 리소스(SPC)에 균등하게 분산됩니다. SPC3 전용 및 혼합 모드(SPC3 + SPC2)에서 지원되며 SPC1 및 SPC2 시스템에서는 지원되지 않습니다. IPsec 배포 프로파일에서 명령을 사용하여 터널을 set security ipsec vpn vpn-name distribution-profile distribution-profile-name 지정된 위치에 연결합니다.
-
슬롯
-
PIC
또는 기본 IPsec 배포 프로파일을 사용할 수 있습니다.
-
default-spc2-profile- IPsec 터널을 사용 가능한 모든 SPC2 카드에 연결하려면 이 사전 정의된 기본 프로파일을 사용합니다. -
default-spc3-profile—IPsec 터널을 사용 가능한 모든 SPC3 카드에 연결하려면 이 사전 정의된 기본 프로파일을 사용합니다.
이제 특정 VPN 개체에 프로필을 할당할 수 있으며, 연결된 모든 터널이 이 프로필을 기반으로 배포됩니다. VPN 개체에 프로필이 할당되지 않은 경우 SRX 시리즈 방화벽은 이러한 터널을 모든 리소스에 균등하게 자동으로 배포합니다.
VPN 개체를 사용자 정의 프로필 또는 미리 정의된(기본) 프로필과 연결할 수 있습니다.
다음 예에서 프로필 ABC와 관련된 모든 터널은 FPC 0, PIC 0에 배포 됩니다.
userhost# show security {
distribution-profile ABC {
fpc 0 {
pic 0;
}
}
}
고가용성 VPN에 대한 루프백 인터페이스 이해하기
IPsec VPN 터널 구성에서는 피어 IKE(Internet Key Exchange) 게이트웨이와 통신하기 위해 외부 인터페이스를 지정해야 합니다. 피어 게이트웨이에 도달하는 데 사용할 수 있는 물리적 인터페이스가 여러 개 있는 경우 VPN의 외부 인터페이스에 대한 루프백 인터페이스를 지정하는 것이 좋습니다. 루프백 인터페이스에 VPN 터널을 앵커하면 성공적인 라우팅을 위한 물리적 인터페이스에 대한 종속성이 제거됩니다.
VPN 터널에 루프백 인터페이스를 사용하는 것은 독립형 SRX 시리즈 방화벽과 섀시 클러스터의 SRX 시리즈 방화벽에서 지원됩니다. 섀시 클러스터 액티브-패시브 구축에서는 논리적 루프백 인터페이스를 생성하고 이를 중복 그룹의 구성원으로 만들어 VPN 터널을 앵커하는 데 사용할 수 있습니다. 루프백 인터페이스는 모든 중복 그룹에서 구성할 수 있으며 IKE(Internet Key Exchange) 게이트웨이의 외부 인터페이스로 할당됩니다. VPN 패킷은 중복 그룹이 활성 상태인 노드에서 처리됩니다.
섀시 클러스터 설정에서 외부 인터페이스가 활성화된 노드는 VPN 터널을 고정할 SPU를 선택합니다. IKE(Internet Key Exchange) 및 IPsec 패킷은 해당 SPU에서 처리됩니다. 따라서 활성 외부 인터페이스가 앵커 SPU를 결정합니다.
명령을 사용하여 show chassis cluster interfaces 중복 의사 인터페이스에 대한 정보를 볼 수 있습니다.
참조
플랫폼별 고가용성 VPN 루프백 인터페이스 동작
기능 탐색기를 사용하여 특정 기능에 대한 플랫폼 및 릴리스 지원을 확인하십시오.
다음 표를 사용하여 플랫폼에 대한 플랫폼별 동작을 검토할 수 있습니다.
| 플랫폼 | 차이점 |
|---|---|
| SRX 시리즈 |
|
변경 내역 표
기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. Feature Explorer 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.