Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

IPsec en línea

Lea este tema para obtener información sobre el IPsec en línea en los firewalls de la serie SRX.

Descripción general

IPsec en línea es una característica de Junos OS que descarga el procesamiento de tráfico IPsec de la CPU al motor de reenvío de paquetes de un dispositivo de Juniper Networks. La característica cifra y descifra de forma segura el tráfico IPsec dentro del ASIC del motor de reenvío de paquetes. Con esta característica, la CPU solo administra PowerMode IPsec (PMI) o VPN IPsec que usa la tecnología de asistencia rápida (QAT).

Antes de la introducción de IPsec en línea, los firewalls realizaban operaciones IPsec en la CPU, beneficiándose de la aceleración de hardware como Intel QAT o de la optimización de software como PMI. Con IPsec en línea, los firewalls de la serie SRX pueden usar el ASIC del motor de reenvío de paquetes para mejorar el rendimiento de IPsec. La descarga del cifrado y descifrado IPsec a la ASIC contribuye a un mayor rendimiento. IPsec en línea libera la CPU del firewall para otras tareas, como:

  • Negociaciones de intercambio de claves por Internet versión 2 (IKEv2) para claves previamente compartidas (PSK)

  • Clave precompartida postcuántica (PPK)

  • Negociaciones de claves de certificados de infraestructura de clave pública (PKI)

  • Varias funciones de cifrado y hash utilizadas en el IPsec en línea

Necesita una licencia válida para usar la función IPsec en línea en el firewall. Con esta licencia, la función está habilitada de forma predeterminada en el firewall.

Ventajas

  • Rendimiento de VPN: Mejora el rendimiento del túnel descargando el cifrado y el descifrado en el ASIC, lo que logra mayores rendimientos.

  • Optimización de CPU: Libera recursos de CPU mediante la administración de túneles dentro de la ASIC, lo que permite que la CPU administre otras tareas críticas y mejore el rendimiento general del firewall.

  • Seguridad VPN: Mejora la seguridad mediante el uso de algoritmos de cifrado AES-GCM (Advanced Encryption Standard–Galois/Counter Mode) para túneles descargados de hardware, lo que garantiza estándares de cifrado sólidos sin comprometer el rendimiento.

  • Despliegue: Admite una gran cantidad de túneles IPsec por chasis, lo que lo hace adecuado para implementaciones a gran escala.

  • Agilidad: Admite la capacidad de administrar pocos túneles fuera del motor de reenvío de paquetes.

Cómo funciona IPsec en línea

Figura 1 ilustra la arquitectura del plano de datos IPsec en línea y su interfaz con los planos de control y administración. La arquitectura IPsec en línea incluye un motor IPsec que controla las operaciones IPsec. Como el motor de reenvío de paquetes cifra o descifra el tráfico IPsec sin depender de los ciclos de CPU, IPsec en línea mejora significativamente el rendimiento y optimiza el rendimiento del firewall.

Comprenda el siguiente comportamiento de IPsec en línea en el firewall de la serie SRX:

  • El iniciador IPsec, el respondedor o ambos pueden usar la característica.

  • El firewall realiza el cifrado y descifrado de paquetes de carga de seguridad encapsuladora (ESP) IPsec en el ASIC integrado.

  • El protocolo de intercambio de claves por Internet (IKE) utilizado para la autenticación y los intercambios de claves se ejecuta en la CPU.

  • Después de las negociaciones de IKE, el proceso iked administra la distribución del túnel al motor de reenvío de paquetes.

  • El firewall admite:

    • Protocolos IPsec en línea basados en direcciones IPv4 e IPv6.

    • IPsec en línea para los protocolos IKEv1 e IKEv2.

Figura 1: Arquitectura IPsec en línea Arquitectura IPsec en línea

Observará las siguientes acciones en el firewall con IPsec en línea:

  • El proceso iked marca el túnel IPsec en línea para la descarga de hardware en el flujo de sesión. Esta acción impide que el túnel utilice la CPU para tareas de cifrado y descifrado IPsec.

  • El resultado del comando show security ipsec security association muestra:

    • Hardware Offloaded: Yes para un túnel VPN IPsec en línea.

    • Hardware Offloaded: No cuando la CPU procesa el túnel.

  • El proceso fluido muestra los paquetes entrantes y salientes para los flujos de tráfico VPN IPsec.

Para deshabilitar globalmente la descarga de hardware IPsec en línea del procesamiento de túnel IPsec en el ASIC del motor de reenvío de paquetes:

  • Utilice el comando set security ipsec hw-offload-disable.

    Cuando se configura esta instrucción, el firewall procesa todos los túneles IPsec de la CPU en lugar del motor de reenvío de paquetes ASIC. Consulte ipsec (seguridad).

Compatibilidad de características para IPsec en línea

Los firewalls deben cumplir determinados criterios para establecer túneles IPsec mediante la función IPsec en línea. Tabla 1 proporciona la información de compatibilidad de características para IPsec en línea, y describe los criterios que determinan la elegibilidad del túnel para la característica. La CPU administra las características no compatibles con IPsec en línea, optimizando el rendimiento del firewall.

Tabla 1: Compatibilidad de características para IPsec en línea
Características admitidas Características no compatibles

Motor de reenvío de paquetes en procesos YT ASIC VPN IPsec

La CPU procesa una VPN IPsec que usa PowerMode IPsec (PMI) y tecnología de asistencia rápida (QAT)

Modo de túnel con carga de seguridad de encapsulación (ESP)

Modo de túnel con encabezado de autenticación (AH)
Algoritmos de cifrado AES-GCM con clave de 128 bits o clave de 256 bits

Todos los algoritmos de cifrado que no sean AES-GCM con clave de 128 bits o clave de 256 bits

Modo de despliegue compatible con VPN IPsec de sitio a sitio

Modo de implementación compatible con VPN punto a multipunto (P2MP), VPN de grupo, cifrado de vínculos de alta disponibilidad (HA), VPN de detección automática (ADVPN)

Tamaño de ventana antirreproducción de hasta 4096

Tamaño de ventana antirreproducción superior a 4096

Hasta 4000 asociaciones de seguridad (SA) o 2000 túneles

Más de 4000 o varias SA, también conocidas como SA secundarias

Túnel de traducción y recorrido de direcciones de red (NAT-T)

Túnel con lifesize configuración opcional

Tenga en cuenta las siguientes limitaciones con IPsec en línea:

  • Cuando se establece el bit No fragmentar (DF) para túneles descargados activos, la configuración surte efecto después de una nueva clave.

  • Cuando se configura la copia del punto de código de servicios diferenciados (DSCP) para túneles descargados activos, la configuración surte efecto después de una nueva clave.

Temas relacionados

Tabla de historial de cambios

La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.

Liberación
Descripción
25.2R1
Se agregó compatibilidad con IPsec en línea en la versión 25.2R1 de Junos OS.