Afinidade de sessão vpn
O desempenho do tráfego de VPN IPsec para minimizar a sobrecarga de encaminhamento de pacotes pode ser otimizado, permitindo a afinidade de sessão de VPN e a aceleração do desempenho.
Entendendo a afinidade de sessão de VPN
A afinidade de sessão de VPN ocorre quando uma sessão de texto clara está localizada em uma unidade de processamento de serviços (SPU) que é diferente da SPU onde a sessão do túnel IPsec está localizada. O objetivo da afinidade de sessão de VPN é localizar a sessão de túnel cleartext e IPsec na mesma SPU. Esse recurso é suportado apenas em dispositivos de SRX5400, SRX5600 e SRX5800.
Sem a afinidade de sessão de VPN, uma sessão de texto clara criada por um fluxo pode estar localizada em uma SPU e a sessão de túnel criada pelo IPsec pode estar localizada em outra SPU. É necessário encaminhar um SPU para SPU ou salto para encaminhar pacotes de texto cleartext para o túnel IPsec.
Por padrão, a afinidade de sessão de VPN é desativada em firewalls da Série SRX. Quando a afinidade de sessão de VPN é habilitada, uma nova sessão de texto clara é colocada na mesma SPU que a sessão do túnel IPsec. As sessões de texto claro existentes não são afetadas.
O Junos OS Release 15.1X49-D10 apresenta o SRX5K-MPC3-100G10G (IOC3) e o SRX5K-MPC3-40G10G (IOC3) para dispositivos de SRX5400, SRX5600 e SRX5800.
O SRX5K-MPC (IOC2) e o IOC3 oferecem suporte à afinidade de sessão de VPN por meio de módulo de fluxo aprimorado e cache de sessão. Com IOCs, o módulo de fluxo cria sessões para tráfego baseado em túnel IPsec antes da criptografia e após a descriptografia em sua SPU ancorada em túnel e instala o cache de sessão para as sessões para que o IOC possa redirecionar os pacotes para a mesma SPU para minimizar a sobrecarga de encaminhamento de pacotes. O tráfego do Express Path (anteriormente conhecido como descarregamento de serviços) e o tráfego de cache NP compartilham a mesma tabela de cache de sessão nos IOCs.
Para exibir sessões ativas de túnel em SPUs, use o comando e especifique os slots flexível pic concentrador (FPC) e placa de interface física (PIC) que contêm a SPU.show security ipsec security-association Por exemplo:
user@host> show security ipsec security-association fpc 3 pic 0 Total active tunnels: 1 ID Algorithm SPI Life:sec/kb Mon vsys Port Gateway <131073 ESP:aes-128/sha1 18c4fd00 491/ 128000 - root 500 203.0.113.11 >131073 ESP:aes-128/sha1 188c0750 491/ 128000 - root 500 203.0.113.11
Você precisa avaliar os padrões de distribuição de túnel e tráfego em sua rede para determinar se a afinidade de sessão de VPN deve ser habilitada.
Começando pelo Junos OS Release 12.3X48-D50, Junos OS Release 15.1X49-D90 e Junos OS Release 17.3R1, se a afinidade de sessão de VPN for habilitada em dispositivos de SRX5400, SRX5600 e SRX5800, a sobrecarga do túnel é calculada de acordo com os algoritmos de criptografia e autenticação negociados na Unidade de processamento de serviços âncora (SPU). Se a criptografia ou autenticação configurada mudar, a sobrecarga do túnel será atualizada na SPU âncora quando uma nova associação de segurança IPsec for estabelecida.
As limitações de afinidade de sessão de VPN são as seguintes:
O tráfego em sistemas lógicos não é suportado.
Se houver uma mudança de rota, as sessões de texto clara estabelecidas permanecem em uma SPU e o tráfego é redirecionado, se possível. As sessões criadas após a mudança de rota podem ser configuradas em uma SPU diferente.
A afinidade de sessão de VPN afeta apenas o tráfego autônomo que termina no dispositivo (também conhecido como tráfego de entrada de host); o tráfego autônomo que se origina do dispositivo (também conhecido como tráfego de saída de host) não é afetado.
O desempenho de replicação e encaminhamento multicast não é afetado.
Consulte também
Habilitando a afinidade de sessão de VPN
Por padrão, a afinidade de sessão de VPN é desativada em firewalls da Série SRX. Habilitar a afinidade de sessão de VPN pode melhorar a taxa de transferência de VPN em determinadas condições. Esse recurso é suportado apenas em dispositivos de SRX5400, SRX5600 e SRX5800. Esta seção descreve como usar a CLI para permitir a afinidade de sessão de VPN.
Determine se sessões de texto claro estão sendo encaminhadas para sessões de túnel IPsec em uma SPU diferente. Use o comando para exibir informações de sessão sobre sessões de texto claro.show security flow session
user@host> show security flow session Flow Sessions on FPC3 PIC0: Session ID: 60000001, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/6204 --> 203.0.113.6/41264;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 60000002, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 60000003, Policy name: self-traffic-policy/1, Timeout: 58, Valid In: 203.0.113.6/500 --> 203.0.113.11/500;udp, If: .local..0, Pkts: 105386, Bytes: 12026528 Out: 203.0.113.11/500 --> 203.0.113.6/500;udp, If: ge-0/0/2.0, Pkts: 106462, Bytes: 12105912 Session ID: 60017354, Policy name: N/A, Timeout: 1784, Valid In: 0.0.0.0/0 --> 0.0.0.0/0;0, If: N/A, Pkts: 0, Bytes: 0 Out: 198.51.100.156/23 --> 192.0.2.155/53051;tcp, If: N/A, Pkts: 0, Bytes: 0 Total sessions: 4 Flow Sessions on FPC6 PIC0: Session ID: 120000001, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 120000002, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 120031730, Policy name: default-policy-00/2, Timeout: 1764, Valid In: 192.0.2.155/53051 --> 198.51.100.156/23;tcp, If: ge-0/0/1.0, Pkts: 44, Bytes: 2399 Out: 198.51.100.156/23 --> 192.0.2.155/53051;tcp, If: st0.0, Pkts: 35, Bytes: 2449 Total sessions: 3
No exemplo, há uma sessão de túnel no FPC 3, PIC 0 e uma sessão de texto claro no FPC 6, PIC 0. Uma sessão de encaminhamento (ID da sessão 60017354) está configurada no FPC 3, PIC 0.
O Junos OS Release 15.1X49-D10 apresenta suporte de afinidade de sessão em IOCs (SRX5K-MPC [IOC2], SRX5K-MPC3-100G10G [IOC3], e SRX5K-MPC3-40G10G [IOC3]) e Junos OS Release 12.3X48-D30 introduz suporte de afinidade de sessão no IOC2. Você pode habilitar a afinidade de sessão para a sessão de túnel IPsec nos FPCs ioc. Para permitir a afinidade de VPN IPsec, você também deve habilitar o cache de sessão em IOCs usando o comando.set chassis fpc fpc-slot np-cache
Para permitir a afinidade de sessão de VPN:
Depois de habilitar a afinidade de sessão de VPN, use o comando para exibir informações de sessão sobre sessões de texto claro.show security flow session
user@host> show security flow session Flow Sessions on FPC3 PIC0: Session ID: 60000001, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/6352 --> 203.0.113.6/7927;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 60000002, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 60000003, Policy name: self-traffic-policy/1, Timeout: 56, Valid In: 203.0.113.6/500 --> 203.0.113.11/500;udp, If: .local..0, Pkts: 105425, Bytes: 12031144 Out: 203.0.113.11/500 --> 203.0.113.6/500;udp, If: ge-0/0/2.0, Pkts: 106503, Bytes: 12110680 Session ID: 60017387, Policy name: default-policy-00/2, Timeout: 1796, Valid In: 192.0.2.155/53053 --> 198.51.100.156/23;tcp, If: ge-0/0/1.0, Pkts: 10, Bytes: 610 Out: 198.51.100.156/23 --> 192.0.2.155/53053;tcp, If: st0.0, Pkts: 9, Bytes: 602 Total sessions: 4 Flow Sessions on FPC6 PIC0: Session ID: 120000001, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 120000002, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Total sessions: 2
Após a habilitação da afinidade de sessão de VPN, a sessão de texto claro está sempre localizada no FPC 3, PIC 0.
Consulte também
Acelerando o desempenho de tráfego de VPN IPsec
Você pode acelerar o desempenho de VPN IPsec configurando o parâmetro de aceleração de desempenho. Por padrão, a aceleração de desempenho de VPN é desativada em firewalls da Série SRX. Habilitar a aceleração do desempenho da VPN pode melhorar a taxa de transferência de VPN com a afinidade de sessão vpn habilitada. Esse recurso só é compatível com dispositivos de SRX5400, SRX5600 e SRX5800.
Este tópico descreve como usar a CLI para permitir a aceleração do desempenho de VPN.
Para permitir a aceleração do desempenho, você deve garantir que sessões de texto claras e sessões de túnel IPsec estejam estabelecidas na mesma Unidade de processamento de serviços (SPU). Começando pelo Junos OS Release 17.4R1, o desempenho de VPN IPsec é otimizado quando a afinidade de sessão de VPN e os recursos de aceleração de desempenho são habilitados. Para obter mais informações sobre como habilitar a afinidade de sessão, consulte Understanding VPN Session Affinity.
Para permitir a aceleração do desempenho da VPN IPsec:
Depois de habilitar a aceleração do desempenho da VPN, use o comando para exibir o status do fluxo.show security flow status
Flow forwarding mode:
Inet forwarding mode: flow based
Inet6 forwarding mode: drop
MPLS forwarding mode: drop
ISO forwarding mode: drop
Flow trace status
Flow tracing status: off
Flow session distribution
Distribution mode: Hash-based
Flow packet ordering
Ordering mode: Hardware
Flow ipsec performance acceleration: on
Consulte também
Perfil de distribuição de IPsec
A partir do Junos OS Release 19.2R1, você pode configurar um ou mais perfis de distribuição IPsec para associações de segurança IPsec (SAs). Os túneis são distribuídos uniformemente em todos os recursos (SPCs) especificados no perfil de distribuição configurado. Ele é suportado apenas no SPC3 e modo misto (SPC3 + SPC2), não é suportado em sistemas SPC1 e SPC2. Com o perfil de distribuição IPsec, use o comando para associar túneis a um determinado:set security ipsec vpn vpn-name distribution-profile distribution-profile-name
Slot
PIC
Como alternativa, você pode usar os perfis de distribuição de IPsec padrão:
default-spc2-profile— Use esse perfil padrão predefinido para associar túneis IPsec a todas as placas SPC2 disponíveis.default-spc3-profile— Use esse perfil padrão predefinido para associar túneis IPsec a todas as placas SPC3 disponíveis.
Agora, você pode atribuir um perfil a um objeto VPN específico, onde todos os túneis associados serão distribuídos com base neste perfil. Se nenhum perfil for atribuído ao objeto VPN, o firewall da Série SRX distribui automaticamente esses túneis uniformemente em todos os recursos.
Você pode associar um objeto VPN a um perfil definido pelo usuário ou a um perfil predefinido (padrão).
A partir do Junos OS Release 20.2R2, os IDs de thread inválidos configurados no perfil de distribuição são ignorados sem mensagem de erro de verificação de confirmação. O túnel IPsec fica ancorado de acordo com o perfil de distribuição configurado ignorando IDs de thread inválidos, se houver para esse perfil.
No exemplo a seguir, todos os túneis associados ao perfil ABC serão distribuídos no FPC 0, PIC 0.
userhost# show security {
distribution-profile ABC {
fpc 0 {
pic 0;
}
}
}
Entendendo a interface de loopback para uma VPN de alta disponibilidade
Em uma configuração de túnel de VPN IPsec, uma interface externa deve ser especificada para se comunicar com o gateway IKE peer. Especificar uma interface de loopback para a interface externa de uma VPN é uma boa prática quando existem várias interfaces físicas que podem ser usadas para alcançar um gateway peer. Ancorar um túnel VPN na interface de loopback remove a dependência de uma interface física para um roteamento bem-sucedido.
O uso de uma interface de loopback para túneis VPN é suportado em firewalls autônomos da Série SRX, bem como em firewalls da Série SRX em clusters de chassi. Em uma implantação ativa-passiva de cluster de chassi, você pode criar uma interface de loopback lógica e torná-la um membro de um grupo de redundância para que ele possa ser usado para ancorar túneis VPN. A interface de loopback pode ser configurada em qualquer grupo de redundância e é atribuída como interface externa para o gateway IKE. Os pacotes vpn são processados no nó onde o grupo de redundância está ativo.
Em dispositivos de SRX5400, SRX5600 e SRX5800 -
-
Para dispositivos baseados em SPC2 em execução de processo kmd, se a interface de loopback for usada como interface externa de gateway IKE, configure a vinculação da interface em um grupo de redundância que não seja RG0.
-
Para dispositivos baseados em SPC3 ou SPC3+SPC2 em execução de processo iked, a vinculação da interface de loopback a um grupo de redundância não é necessária.
Em uma configuração de cluster de chassi, o nó no qual a interface externa está ativa seleciona uma SPU para ancorar o túnel VPN. Os pacotes IKE e IPsec são processados nessa SPU. Assim, uma interface externa ativa determina a SPU âncora.
Você pode usar o comando para visualizar informações sobre o pseudointerface redundante.show chassis cluster interfaces
Consulte também
Tabela de histórico de alterações
A compatibillidadde com o recurso dependerá da platadorma e versão utilizada. Use o Feature Explorer para saber se o recurso é compatível com sua plataforma.