VPN セッション アフィニティ
パケット転送のオーバーヘッドを最小限に抑えるためのIPsec VPNトラフィックのパフォーマンスは、VPNセッションアフィニティとパフォーマンスアクセラレーションを有効にすることで最適化できます。
VPNセッションアフィニティについて
VPN セッション アフィニティーは、IPsec トンネル セッションがある SPU とは異なる SPU(サービス処理ユニット)にクリアテキスト セッションがある場合に発生します。VPN セッション アフィニティの目的は、同じ SPU 内にクリアテキストと IPsec トンネル セッションを配置することです。この機能は、SRX5400、SRX5600、および SRX5800 デバイスでのみサポートされます。
VPN セッション アフィニティがない場合、フローによって作成されたクリアテキスト セッションが 1 つの SPU に配置され、IPsec によって作成されたトンネル セッションが別の SPU に存在する可能性があります。クリアテキスト パケットを IPsec トンネルにルーティングするには、SPU から SPU へのフォワードまたはホップが必要です。
デフォルトでは、SRXシリーズファイアウォールではVPNセッションアフィニティは無効になっています。VPN セッション アフィニティを有効にすると、新しいクリアテキスト セッションが IPsec トンネル セッションと同じ SPU に配置されます。既存のクリアテキスト セッションは影響を受けません。
Junos OSリリース15.1X49-D10では、SRX5400、SRX5600およびSRX5800デバイス向けにSRX5K-MPC3-100G10G(IOC3)およびSRX5K-MPC3-40G10G(IOC3)が導入されています。
SRX5K-MPC(IOC2)とIOC3は、改善されたフローモジュールとセッションキャッシュを通じて、VPNセッションアフィニティをサポートします。IOC を使用すると、フロー モジュールは、トンネルアンカー付き SPU で暗号化前と復号化後に IPsec トンネルベース トラフィックのセッションを作成し、IOC がパケットを同じ SPU にリダイレクトしてパケット転送オーバーヘッドを最小化できるように、セッションのセッション キャッシュをインストールします。Express Path (以前はサービス オフロードと呼ばれていました) トラフィックと NP キャッシュ トラフィックは、IOC で同じセッション キャッシュ テーブルを共有します。
SPU のアクティブなトンネル セッションを表示するには、 show security ipsec security-association コマンドを使用して、SPU を含む FPC(フレキシブル PIC コンセントレータ)および PIC( 物理インターフェイス カード )スロットを指定します。たとえば、以下のように表示されます。
user@host> show security ipsec security-association fpc 3 pic 0 Total active tunnels: 1 ID Algorithm SPI Life:sec/kb Mon vsys Port Gateway <131073 ESP:aes-128/sha1 18c4fd00 491/ 128000 - root 500 203.0.113.11 >131073 ESP:aes-128/sha1 188c0750 491/ 128000 - root 500 203.0.113.11
ネットワーク内のトンネル分散とトラフィックパターンを評価して、VPNセッションアフィニティーを有効にする必要があるかどうかを判断する必要があります。
Junos OS リリース 12.3X48-D50、Junos OS リリース 15.1X49-D90、Junos OS リリース 17.3R1 以降、VPN セッション アフィニティが SRX5400、SRX5600、および SRX5800 デバイスで有効になっている場合、トンネルのオーバーヘッドは、アンカー サービス処理ユニット(SPU)でネゴシエートされた暗号化および認証アルゴリズムに従って計算されます。設定された暗号化または認証が変更された場合、新しいIPsecセキュリティアソシエーションが確立されると、アンカーSPUのトンネルオーバーヘッドが更新されます。
VPN セッション アフィニティの制限は次のとおりです。
論理システム間のトラフィックはサポートされていません。
ルートが変更された場合、確立されたクリアテキスト セッションは SPU に残り、可能な場合はトラフィックが再ルーティングされます。ルート変更後に作成されたセッションは、別の SPU で設定できます。
VPN セッション アフィニティは、デバイス上で終端する自己トラフィック(ホスト インバウンド トラフィックとも呼ばれる)にのみ影響します。デバイスから発信された自己トラフィック(ホストアウトバウンドトラフィックとも呼ばれます)は影響を受けません。
マルチキャストのレプリケーションと転送のパフォーマンスは影響を受けません。
関連項目
VPN セッション アフィニティの有効化
デフォルトでは、SRXシリーズファイアウォールではVPNセッションアフィニティは無効になっています。VPN セッション アフィニティを有効にすると、特定の条件下で VPN スループットを向上させることができます。この機能は、SRX5400、SRX5600、および SRX5800 デバイスでのみサポートされます。このセクションでは、CLI を使用して VPN セッション アフィニティを有効にする方法について説明します。
クリアテキスト セッションが、異なる SPU の IPsec トンネル セッションに転送されているかどうかを確認します。show security flow session コマンドを使用して、平文セッションに関するセッション情報を表示します。
user@host> show security flow session Flow Sessions on FPC3 PIC0: Session ID: 60000001, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/6204 --> 203.0.113.6/41264;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 60000002, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 60000003, Policy name: self-traffic-policy/1, Timeout: 58, Valid In: 203.0.113.6/500 --> 203.0.113.11/500;udp, If: .local..0, Pkts: 105386, Bytes: 12026528 Out: 203.0.113.11/500 --> 203.0.113.6/500;udp, If: ge-0/0/2.0, Pkts: 106462, Bytes: 12105912 Session ID: 60017354, Policy name: N/A, Timeout: 1784, Valid In: 0.0.0.0/0 --> 0.0.0.0/0;0, If: N/A, Pkts: 0, Bytes: 0 Out: 198.51.100.156/23 --> 192.0.2.155/53051;tcp, If: N/A, Pkts: 0, Bytes: 0 Total sessions: 4 Flow Sessions on FPC6 PIC0: Session ID: 120000001, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 120000002, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 120031730, Policy name: default-policy-00/2, Timeout: 1764, Valid In: 192.0.2.155/53051 --> 198.51.100.156/23;tcp, If: ge-0/0/1.0, Pkts: 44, Bytes: 2399 Out: 198.51.100.156/23 --> 192.0.2.155/53051;tcp, If: st0.0, Pkts: 35, Bytes: 2449 Total sessions: 3
この例では、FPC 3、PIC 0 にトンネル セッションがあり、FPC 6、PIC 0 にクリアテキスト セッションがあります。転送セッション(セッションID 60017354)がFPC 3、PIC 0に設定されています。
Junos OSリリース15.1X49-D10では、IOC(SRX5K-MPC [IOC2]、SRX5K-MPC3-100G10G [IOC3]、SRX5K-MPC3-40G10G [IOC3])でセッションアフィニティサポートが導入され、Junos OSリリース12.3X48-D30ではIOC2でセッションアフィニティサポートが導入されています。IOC FPCでIPsecトンネルセッションのセッションアフィニティを有効にすることができます。IPsec VPN アフィニティを有効にするには、 set chassis fpc fpc-slot np-cache コマンドを使用して IOC のセッション キャッシュも有効にする必要があります。
VPN セッション アフィニティを有効にするには:
VPN セッション・アフィニティーを使用可能にした後、 show security flow session コマンドを使用して、クリア・テキスト・セッションに関するセッション情報を表示します。
user@host> show security flow session Flow Sessions on FPC3 PIC0: Session ID: 60000001, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/6352 --> 203.0.113.6/7927;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 60000002, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 60000003, Policy name: self-traffic-policy/1, Timeout: 56, Valid In: 203.0.113.6/500 --> 203.0.113.11/500;udp, If: .local..0, Pkts: 105425, Bytes: 12031144 Out: 203.0.113.11/500 --> 203.0.113.6/500;udp, If: ge-0/0/2.0, Pkts: 106503, Bytes: 12110680 Session ID: 60017387, Policy name: default-policy-00/2, Timeout: 1796, Valid In: 192.0.2.155/53053 --> 198.51.100.156/23;tcp, If: ge-0/0/1.0, Pkts: 10, Bytes: 610 Out: 198.51.100.156/23 --> 192.0.2.155/53053;tcp, If: st0.0, Pkts: 9, Bytes: 602 Total sessions: 4 Flow Sessions on FPC6 PIC0: Session ID: 120000001, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 120000002, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Total sessions: 2
VPNセッションアフィニティが有効になると、クリアテキストセッションは常にFPC 3、PIC 0に配置されます。
関連項目
IPsec VPNトラフィックのパフォーマンス向上
パフォーマンスアクセラレーションパラメーターを設定することで、IPsec VPNのパフォーマンスを高速化することができます。デフォルトでは、SRXシリーズファイアウォールではVPNパフォーマンスアクセラレーションは無効になっています。VPN パフォーマンス アクセラレーションを有効にすると、VPN セッション アフィニティを有効にした状態で VPN スループットを向上させることができます。この機能は、SRX5400、SRX5600、および SRX5800 デバイスでのみサポートされます。
このトピックでは、CLIを使用してVPNパフォーマンスアクセラレーションを有効にする方法について説明します。
パフォーマンス アクセラレーションを有効にするには、クリアテキスト セッションと IPsec トンネル セッションが同じ SPU(サービス処理ユニット)上で確立されていることを確認する必要があります。Junos OS Release 17.4R1以降、VPNセッションアフィニティおよびパフォーマンスアクセラレーション機能が有効になっている場合、IPsec VPNのパフォーマンスが最適化されます。セッション アフィニティの有効化の詳細については、「 VPN セッション アフィニティについて」を参照してください。
IPsec VPNパフォーマンスアクセラレーションを有効にするには:
VPN パフォーマンス アクセラレーションをイネーブルにした後、 show security flow status コマンドを使用してフロー ステータスを表示します。
Flow forwarding mode:
Inet forwarding mode: flow based
Inet6 forwarding mode: drop
MPLS forwarding mode: drop
ISO forwarding mode: drop
Flow trace status
Flow tracing status: off
Flow session distribution
Distribution mode: Hash-based
Flow packet ordering
Ordering mode: Hardware
Flow ipsec performance acceleration: on
関連項目
IPsec 分散プロファイル
Junos OS リリース 19.2R1 以降、IPsec セキュリティ アソシエーション(SA)用に 1 つ以上の IPsec 配布プロファイルを設定できます。トンネルは、設定された分散型プロファイルで指定されたすべてのリソース(SPC)に均等に分散されます。SPC3 および混合モード(SPC3 + SPC2)でのみサポートされ、SPC1 および SPC2 システムではサポートされません。IPsec配布プロファイルでは、 set security ipsec vpn vpn-name distribution-profile distribution-profile-name コマンドを使用して、指定されたトンネルにトンネルを関連付けます。
スロット
PIC
または、デフォルトの IPsec 配布プロファイルを使用することもできます。
default-spc2-profile- この定義済みデフォルト プロファイルを使用して、IPsec トンネルを使用可能なすべての SPC2 カードに関連付けます。default-spc3-profile- この定義済みデフォルトプロファイルを使用して、IPsecトンネルを使用可能なすべてのSPC3カードに関連付けます。
これで、特定のVPNオブジェクトにプロファイルを割り当てることができ、関連するすべてのトンネルがこのプロファイルに基づいて分散されます。VPNオブジェクトにプロファイルが割り当てられていない場合、SRXシリーズファイアウォールはこれらのトンネルをすべてのリソースに均等に自動的に分散します。
VPN オブジェクトは、ユーザー定義プロファイルまたは事前定義済み(デフォルト)プロファイルのいずれかに関連付けることができます。
Junos OS リリース 20.2R2 以降、配布プロファイルに設定された無効なスレッド ID は無視され、コミットチェックエラーメッセージは表示されません。IPsecトンネルは、設定された分散型プロファイルに従って固定され、そのプロファイルに無効なスレッドIDがあればそれを無視します。
次の例では、プロファイルABCに関連するすべてのトンネルが FPC 0、PIC 0に分散されます。
userhost# show security {
distribution-profile ABC {
fpc 0 {
pic 0;
}
}
}
高可用性 VPN のためのループバック インターフェイスについて
IPsec VPN トンネル構成では、ピア IKE ゲートウェイと通信するために、外部インターフェイスを指定する必要があります。VPN の外部インターフェイスにループバック インターフェイスを指定することは、ピア ゲートウェイに到達するために使用できる物理インターフェイスが複数ある場合に適しています。ループバックインターフェイスにVPNトンネルを固定すると、ルーティングを成功させるための物理インターフェイスへの依存がなくなります。
VPNトンネルでのループバックインターフェイスの使用は、スタンドアロンのSRXシリーズファイアウォールとシャーシクラスターのSRXシリーズファイアウォールでサポートされています。シャーシ クラスタのアクティブ/パッシブ導入では、論理ループバック インターフェイスを作成して冗長性グループのメンバーにし、VPN トンネルの固定に使用できます。ループバックインターフェイスは、任意の冗長性グループで設定でき、IKEゲートウェイの外部インターフェイスとして割り当てられます。VPN パケットは、冗長性がアクティブなノードで処理されます。
SRX5400、SRX5600、およびSRX5800デバイスの場合 -
-
kmdプロセスを実行しているSPC2ベースのデバイスで、ループバック インターフェイスがIKEゲートウェイ外部インターフェイスとして使用されている場合は、RG0 以外の冗長性グループにインターフェイス バインディングを設定します。
-
ikedプロセスを実行しているSPC3またはSPC3+SPC2ベースのデバイスの場合、冗長性グループへのループバックインターフェイスバインディングは必要ありません。
シャーシ クラスタ設定では、外部インターフェイスがアクティブなノードが SPU を選択し、VPN トンネルを固定します。IKE および IPsec パケットはその SPU で処理されます。したがって、アクティブな外部インターフェイスによってアンカー SPU が決まります。
show chassis cluster interfaces コマンドを使用して、冗長擬似インターフェイスの情報を表示できます。
関連項目
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。