VPN 세션 선호도
패킷 포워딩 오버헤드를 최소화하기 위한 IPSec VPN 트래픽의 성능은 VPN 세션 선호도 및 성능 가속화를 활성화하여 최적화할 수 있습니다.
VPN 세션 선호도 이해
VPN 세션 선호도는 IPsec 터널 세션이 위치한 SPU와 다른 SPU(Services Processing Unit)에 일반 텍스트 세션이 있을 때 발생합니다. VPN 세션 선호도의 목표는 동일한 SPU에서 일반 텍스트 및 IPsec 터널 세션을 찾는 것입니다. 이 기능은 SRX5400, SRX5600 및 SRX5800 디바이스에서만 지원됩니다.
VPN 세션 선호도가 없으면 플로우에 의해 생성된 일반 텍스트 세션이 하나의 SPU에 위치할 수 있고 IPsec에 의해 생성된 터널 세션이 다른 SPU에 위치할 수 있습니다. 일반 텍스트 패킷을 IPsec 터널로 라우팅하려면 SPU에서 SPU로의 포워드 또는 홉이 필요합니다.
기본적으로 VPN 세션 선호도는 SRX 시리즈 방화벽에서 비활성화되어 있습니다. VPN 세션 선호도가 활성화되면 IPsec 터널 세션과 동일한 SPU에 새로운 일반 텍스트 세션이 배치됩니다. 기존 일반 텍스트 세션은 영향을 받지 않습니다.
Junos OS 릴리스 15.1X49-D10에는 SRX5400, SRX5600 및 SRX5800 디바이스를 위한 SRX5K-MPC3-100G10G(IOC3) 및 SRX5K-MPC3-40G10G(IOC3)가 도입되었습니다.
SRX5K-MPC(IOC2) 및 IOC3는 향상된 플로우 모듈 및 세션 캐시를 통해 VPN 세션 선호도를 지원합니다. IOC를 통해 플로우 모듈은 터널 고정 SPU에서 암호화 전과 복호화 후에 IPsec 터널 기반 트래픽에 대한 세션을 생성하고 세션에 대한 세션 캐시를 설치하여 IOC가 패킷을 동일한 SPU로 리디렉션하여 패킷 전달 오버헤드를 최소화할 수 있도록 합니다. Express Path(이전의 서비스 오프로딩) 트래픽과 NP 캐시 트래픽은 IOC에서 동일한 세션 캐시 테이블을 공유합니다.
SPU에 활성 터널 세션을 표시하려면 명령을 사용하고 show security ipsec security-association
SPU를 포함하는 FPC(Flexible PIC Concentrator) 및 PIC( Physical Interface Card ) 슬롯을 지정합니다. 예:
user@host> show security ipsec security-association fpc 3 pic 0 Total active tunnels: 1 ID Algorithm SPI Life:sec/kb Mon vsys Port Gateway <131073 ESP:aes-128/sha1 18c4fd00 491/ 128000 - root 500 203.0.113.11 >131073 ESP:aes-128/sha1 188c0750 491/ 128000 - root 500 203.0.113.11
네트워크의 터널 분포 및 트래픽 패턴을 평가하여 VPN 세션 선호도를 활성화해야 하는지 결정해야 합니다.
Junos OS 릴리스 12.3X48-D50, Junos OS 릴리스 15.1X49-D90 및 Junos OS 릴리스 17.3R1부터 SRX5400, SRX5600 및 SRX5800 디바이스에서 VPN 세션 선호도가 활성화된 경우 앵커 서비스 처리 장치(SPU)에서 협상된 암호화 및 인증 알고리즘에 따라 터널 오버헤드가 계산됩니다. 구성된 암호화 또는 인증이 변경되면 새로운 IPsec 보안 연결이 설정될 때 앵커 SPU에서 터널 오버헤드가 업데이트됩니다.
VPN 세션 선호도 제한은 다음과 같습니다.
논리적 시스템 전반의 트래픽은 지원되지 않습니다.
경로가 변경되는 경우, 설정된 일반 텍스트 세션은 SPU에 남아 있으며 가능한 경우 트래픽이 다시 라우팅됩니다. 경로 변경 후 생성된 세션은 다른 SPU에서 설정할 수 있습니다.
VPN 세션 선호도는 디바이스에서 종료되는 자체 트래픽(호스트 인바운드 트래픽이라고도 함)에만 영향을 미칩니다. 디바이스에서 발생하는 셀프 트래픽(호스트 아웃바운드 트래픽이라고도 함)은 영향을 받지 않습니다.
멀티캐스트 복제 및 전달 성능은 영향을 받지 않습니다.
참조
VPN 세션 선호도 활성화
기본적으로 VPN 세션 선호도는 SRX 시리즈 방화벽에서 비활성화되어 있습니다. VPN 세션 선호도를 사용하도록 설정하면 특정 조건에서 VPN 처리량을 향상시킬 수 있습니다. 이 기능은 SRX5400, SRX5600 및 SRX5800 디바이스에서만 지원됩니다. 이 섹션에서는 CLI를 사용하여 VPN 세션 선호도를 활성화하는 방법에 대해 설명합니다.
일반 텍스트 세션이 다른 SPU의 IPsec 터널 세션으로 전달되고 있는지 확인합니다. 명령을 사용하여 일반 텍스트 세션에 show security flow session
대한 세션 정보를 표시합니다.
user@host> show security flow session Flow Sessions on FPC3 PIC0: Session ID: 60000001, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/6204 --> 203.0.113.6/41264;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 60000002, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 60000003, Policy name: self-traffic-policy/1, Timeout: 58, Valid In: 203.0.113.6/500 --> 203.0.113.11/500;udp, If: .local..0, Pkts: 105386, Bytes: 12026528 Out: 203.0.113.11/500 --> 203.0.113.6/500;udp, If: ge-0/0/2.0, Pkts: 106462, Bytes: 12105912 Session ID: 60017354, Policy name: N/A, Timeout: 1784, Valid In: 0.0.0.0/0 --> 0.0.0.0/0;0, If: N/A, Pkts: 0, Bytes: 0 Out: 198.51.100.156/23 --> 192.0.2.155/53051;tcp, If: N/A, Pkts: 0, Bytes: 0 Total sessions: 4 Flow Sessions on FPC6 PIC0: Session ID: 120000001, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 120000002, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 120031730, Policy name: default-policy-00/2, Timeout: 1764, Valid In: 192.0.2.155/53051 --> 198.51.100.156/23;tcp, If: ge-0/0/1.0, Pkts: 44, Bytes: 2399 Out: 198.51.100.156/23 --> 192.0.2.155/53051;tcp, If: st0.0, Pkts: 35, Bytes: 2449 Total sessions: 3
이 예에서는 FPC 3, PIC 0에 터널 세션이 있고 FPC 6, PIC 0에 일반 텍스트 세션이 있습니다. 포워딩 세션(세션 ID 60017354)은 FPC 3, PIC 0에 설정됩니다.
Junos OS 릴리스 15.1X49-D10은 IOC(SRX5K-MPC [IOC2], SRX5K-MPC3-100G10G [IOC3] 및 SRX5K-MPC3-40G10G [IOC3])에 대한 세션 선호도 지원을 도입하고 Junos OS 릴리스 12.3X48-D30은 IOC2에 세션 선호도 지원을 도입합니다. IOC FPC에서 IPsec 터널 세션에 대한 세션 선호도를 활성화할 수 있습니다. IPsec VPN 선호도를 활성화하려면 명령을 사용하여 IOC에서 세션 캐시도 set chassis fpc fpc-slot np-cache
활성화해야 합니다.
VPN 세션 선호도 활성화:
VPN 세션 선호도를 show security flow session
활성화한 후 명령을 사용하여 일반 텍스트 세션에 대한 세션 정보를 표시합니다.
user@host> show security flow session Flow Sessions on FPC3 PIC0: Session ID: 60000001, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/6352 --> 203.0.113.6/7927;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 60000002, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 60000003, Policy name: self-traffic-policy/1, Timeout: 56, Valid In: 203.0.113.6/500 --> 203.0.113.11/500;udp, If: .local..0, Pkts: 105425, Bytes: 12031144 Out: 203.0.113.11/500 --> 203.0.113.6/500;udp, If: ge-0/0/2.0, Pkts: 106503, Bytes: 12110680 Session ID: 60017387, Policy name: default-policy-00/2, Timeout: 1796, Valid In: 192.0.2.155/53053 --> 198.51.100.156/23;tcp, If: ge-0/0/1.0, Pkts: 10, Bytes: 610 Out: 198.51.100.156/23 --> 192.0.2.155/53053;tcp, If: st0.0, Pkts: 9, Bytes: 602 Total sessions: 4 Flow Sessions on FPC6 PIC0: Session ID: 120000001, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 120000002, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Total sessions: 2
VPN 세션 선호도가 활성화되면 일반 텍스트 세션은 항상 FPC 3, PIC 0에 위치합니다.
참조
IPsec VPN 트래픽 성능 가속화
성능 가속 매개 변수를 구성하여 IPsec VPN 성능을 가속화할 수 있습니다. 기본적으로 VPN 성능 가속화는 SRX 시리즈 방화벽에서 비활성화되어 있습니다. VPN 성능 가속화를 활성화하면 VPN 세션 선호도를 사용하도록 설정한 상태에서 VPN 처리량을 향상시킬 수 있습니다. 이 기능은 SRX5400, SRX5600 및 SRX5800 디바이스에서만 지원됩니다.
이 주제는 CLI를 사용하여 VPN 성능 가속화를 활성화하는 방법을 설명합니다.
성능 가속화를 구현하려면 일반 텍스트 세션과 IPsec 터널 세션이 동일한 서비스 처리 장치(SPU)에 설정되도록 해야 합니다. Junos OS 릴리스 17.4R1부터 VPN 세션 선호도 및 성능 가속화 기능이 활성화되면 IPsec VPN 성능이 최적화됩니다. 세션 선호도 활성화에 대한 자세한 내용은 VPN 세션 선호도 이해를 참조하십시오.
IPsec VPN 성능 가속화 활성화:
VPN 성능 가속화를 show security flow status
활성화한 후 명령을 사용하여 플로우 상태를 표시합니다.
Flow forwarding mode: Inet forwarding mode: flow based Inet6 forwarding mode: drop MPLS forwarding mode: drop ISO forwarding mode: drop Flow trace status Flow tracing status: off Flow session distribution Distribution mode: Hash-based Flow packet ordering Ordering mode: Hardware Flow ipsec performance acceleration: on
참조
IPsec 배포 프로파일
Junos OS 릴리스 19.2R1부터 IPsec 보안 연결(SA)을 위해 하나 이상의 IPsec 배포 프로필을 구성할 수 있습니다. 터널은 구성된 배포 프로파일에 지정된 모든 리소스(SPC)에 균등하게 분산됩니다. SPC3 전용 및 혼합 모드(SPC3 + SPC2)에서 지원되며 SPC1 및 SPC2 시스템에서는 지원되지 않습니다. IPsec 배포 프로파일에서 명령을 사용하여 터널을 set security ipsec vpn vpn-name distribution-profile distribution-profile-name
지정된 위치에 연결합니다.
슬롯
PIC
또는 기본 IPsec 배포 프로파일을 사용할 수 있습니다.
default-spc2-profile
- IPsec 터널을 사용 가능한 모든 SPC2 카드에 연결하려면 이 사전 정의된 기본 프로파일을 사용합니다.default-spc3-profile
—IPsec 터널을 사용 가능한 모든 SPC3 카드에 연결하려면 이 사전 정의된 기본 프로파일을 사용합니다.
이제 특정 VPN 개체에 프로필을 할당할 수 있으며, 연결된 모든 터널이 이 프로필을 기반으로 배포됩니다. VPN 개체에 프로필이 할당되지 않은 경우 SRX 시리즈 방화벽은 이러한 터널을 모든 리소스에 균등하게 자동으로 배포합니다.
VPN 개체를 사용자 정의 프로필 또는 미리 정의된(기본) 프로필과 연결할 수 있습니다.
Junos OS 릴리스 20.2R2부터 배포 프로필에 구성된 잘못된 스레드 ID는 commit-check 오류 메시지 없이 무시됩니다. IPsec 터널은 구성된 배포 프로파일에 따라 고정되며, 해당 프로파일에 대한 잘못된 스레드 ID가 있는 경우 이를 무시합니다.
다음 예에서 프로필 ABC와 관련된 모든 터널은 FPC 0, PIC 0에 배포 됩니다.
userhost# show security { distribution-profile ABC { fpc 0 { pic 0; } } }
고가용성 VPN에 대한 루프백 인터페이스 이해하기
IPsec VPN 터널 구성에서는 피어 IKE(Internet Key Exchange) 게이트웨이와 통신하기 위해 외부 인터페이스를 지정해야 합니다. 피어 게이트웨이에 도달하는 데 사용할 수 있는 물리적 인터페이스가 여러 개 있는 경우 VPN의 외부 인터페이스에 대한 루프백 인터페이스를 지정하는 것이 좋습니다. 루프백 인터페이스에 VPN 터널을 앵커하면 성공적인 라우팅을 위한 물리적 인터페이스에 대한 종속성이 제거됩니다.
VPN 터널에 루프백 인터페이스를 사용하는 것은 독립형 SRX 시리즈 방화벽과 섀시 클러스터의 SRX 시리즈 방화벽에서 지원됩니다. 섀시 클러스터 액티브-패시브 구축에서는 논리적 루프백 인터페이스를 생성하고 이를 중복 그룹의 구성원으로 만들어 VPN 터널을 앵커하는 데 사용할 수 있습니다. 루프백 인터페이스는 모든 중복 그룹에서 구성할 수 있으며 IKE(Internet Key Exchange) 게이트웨이의 외부 인터페이스로 할당됩니다. VPN 패킷은 중복 그룹이 활성 상태인 노드에서 처리됩니다.
SRX5400, SRX5600 및 SRX5800 장치 -
-
kmd 프로세스를 실행하는 SPC2 기반 디바이스의 경우 루프백 인터페이스가 IKE(Internet Key Exchange) 게이트웨이 외부 인터페이스로 사용되는 경우 RG0 이외의 중복 그룹에서 인터페이스 바인딩을 구성합니다.
-
iked 프로세스를 실행하는 SPC3 또는 SPC3+SPC2 기반 디바이스의 경우 중복 그룹에 대한 루프백 인터페이스 바인딩이 필요하지 않습니다.
섀시 클러스터 설정에서 외부 인터페이스가 활성화된 노드는 VPN 터널을 고정할 SPU를 선택합니다. IKE(Internet Key Exchange) 및 IPsec 패킷은 해당 SPU에서 처리됩니다. 따라서 활성 외부 인터페이스가 앵커 SPU를 결정합니다.
명령을 사용하여 show chassis cluster interfaces
중복 의사 인터페이스에 대한 정보를 볼 수 있습니다.
참조
변경 내역 표
기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. Feature Explorer 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.