Afinidad de sesión VPN
El rendimiento del tráfico VPN IPsec para minimizar la sobrecarga del reenvío de paquetes se puede optimizar habilitando la afinidad de sesión VPN y la aceleración del rendimiento.
Descripción de la afinidad de sesión VPN
La afinidad de sesión VPN se produce cuando una sesión de texto sin formato se encuentra en una unidad de procesamiento de servicios (SPU) que es diferente de la SPU donde se encuentra la sesión de túnel IPsec. El objetivo de la afinidad de sesión VPN es localizar el texto sin cifrar y la sesión de túnel IPsec en la misma SPU. Esta función solo se admite en dispositivos SRX5400, SRX5600 y SRX5800.
Sin afinidad de sesión VPN, una sesión de texto sin formato creada por un flujo puede estar ubicada en una SPU y la sesión de túnel creada por IPsec puede estar ubicada en otra SPU. Se necesita un avance o salto de SPU a SPU para enrutar paquetes de texto sin formato al túnel IPsec.
De forma predeterminada, la afinidad de sesión VPN está deshabilitada en los firewalls de la serie SRX. Cuando la afinidad de sesión VPN está habilitada, se coloca una nueva sesión de texto sin formato en la misma SPU que la sesión de túnel IPsec. Las sesiones de texto sin cifrar existentes no se ven afectadas.
Junos OS versión 15.1X49-D10 presenta el SRX5K-MPC3-100G10G (IOC3) y el SRX5K-MPC3-40G10G (IOC3) para dispositivos SRX5400, SRX5600 y SRX5800.
El SRX5K-MPC (IOC2) y el IOC3 admiten la afinidad de sesión VPN a través de un módulo de flujo y caché de sesión mejorados. Con las IOC, el módulo de flujo crea sesiones para el tráfico basado en túnel IPsec antes y después del descifrado en su SPU anclada en túnel e instala la memoria caché de sesión para las sesiones para que el IOC pueda redirigir los paquetes a la misma SPU para minimizar la sobrecarga de reenvío de paquetes. El tráfico de Express Path (anteriormente conocido como descarga de servicios) y el tráfico de caché NP comparten la misma tabla de caché de sesión en las IOC.
Para mostrar sesiones de túnel activas en SPU, utilice el show security ipsec security-association
comando y especifique las ranuras para concentrador de PIC flexible (FPC) y tarjeta de interfaz física (PIC) que contienen la SPU. Por ejemplo:
user@host> show security ipsec security-association fpc 3 pic 0 Total active tunnels: 1 ID Algorithm SPI Life:sec/kb Mon vsys Port Gateway <131073 ESP:aes-128/sha1 18c4fd00 491/ 128000 - root 500 203.0.113.11 >131073 ESP:aes-128/sha1 188c0750 491/ 128000 - root 500 203.0.113.11
Debe evaluar la distribución de túneles y los patrones de tráfico en su red para determinar si se debe habilitar la afinidad de sesión VPN.
A partir de Junos OS versión 12.3X48-D50, Junos OS versión 15.1X49-D90 y Junos OS versión 17.3R1, si la afinidad de sesión VPN está habilitada en dispositivos SRX5400, SRX5600 y SRX5800, la sobrecarga del túnel se calcula de acuerdo con los algoritmos negociados de cifrado y autenticación en la unidad de procesamiento de servicios (SPU) de anclaje. Si el cifrado o la autenticación configurados cambian, la sobrecarga del túnel se actualiza en la SPU de anclaje cuando se establece una nueva asociación de seguridad IPsec.
Las limitaciones de afinidad de sesión de VPN son las siguientes:
No se admite el tráfico entre sistemas lógicos.
Si hay un cambio de ruta, las sesiones de texto sin formato establecidas permanecen en una SPU y, si es posible, el tráfico se reenruta. Las sesiones creadas después del cambio de ruta se pueden configurar en una SPU diferente.
La afinidad de sesión VPN solo afecta al tráfico propio que termina en el dispositivo (también conocido como tráfico entrante de host); El tráfico propio que se origina en el dispositivo (también conocido como tráfico de salida de host) no se ve afectado.
El rendimiento de la replicación y el reenvío de multidifusión no se ven afectados.
Consulte también
Habilitar la afinidad de sesión VPN
De forma predeterminada, la afinidad de sesión VPN está deshabilitada en los firewalls de la serie SRX. Habilitar la afinidad de sesión VPN puede mejorar el rendimiento de VPN bajo ciertas condiciones. Esta función solo se admite en dispositivos SRX5400, SRX5600 y SRX5800. En esta sección se describe cómo usar la CLI para habilitar la afinidad de sesión VPN.
Determine si las sesiones de texto sin formato se reenvían a sesiones de túnel IPsec en una SPU diferente. Utilice el show security flow session
comando para mostrar información de sesión sobre sesiones de texto sin formato.
user@host> show security flow session Flow Sessions on FPC3 PIC0: Session ID: 60000001, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/6204 --> 203.0.113.6/41264;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 60000002, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 60000003, Policy name: self-traffic-policy/1, Timeout: 58, Valid In: 203.0.113.6/500 --> 203.0.113.11/500;udp, If: .local..0, Pkts: 105386, Bytes: 12026528 Out: 203.0.113.11/500 --> 203.0.113.6/500;udp, If: ge-0/0/2.0, Pkts: 106462, Bytes: 12105912 Session ID: 60017354, Policy name: N/A, Timeout: 1784, Valid In: 0.0.0.0/0 --> 0.0.0.0/0;0, If: N/A, Pkts: 0, Bytes: 0 Out: 198.51.100.156/23 --> 192.0.2.155/53051;tcp, If: N/A, Pkts: 0, Bytes: 0 Total sessions: 4 Flow Sessions on FPC6 PIC0: Session ID: 120000001, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 120000002, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 120031730, Policy name: default-policy-00/2, Timeout: 1764, Valid In: 192.0.2.155/53051 --> 198.51.100.156/23;tcp, If: ge-0/0/1.0, Pkts: 44, Bytes: 2399 Out: 198.51.100.156/23 --> 192.0.2.155/53051;tcp, If: st0.0, Pkts: 35, Bytes: 2449 Total sessions: 3
En el ejemplo, hay una sesión de túnel en FPC 3, PIC 0 y una sesión de texto sin cifrar en FPC 6, PIC 0. Se configura una sesión de reenvío (ID de sesión 60017354) en FPC 3, PIC 0.
Junos OS versión 15.1X49-D10 introduce compatibilidad de afinidad de sesión en IOC (SRX5K-MPC [IOC2], SRX5K-MPC3-100G10G [IOC3] y SRX5K-MPC3-40G10G [IOC3]) y Junos OS versión 12.3X48-D30 introduce compatibilidad de afinidad de sesión en IOC2. Puede habilitar la afinidad de sesión para la sesión de túnel IPsec en los FPC del IOC. Para habilitar la afinidad VPN IPsec, también debe habilitar la caché de sesión en IOC mediante el set chassis fpc fpc-slot np-cache
comando.
Para habilitar la afinidad de sesión VPN:
Después de habilitar la afinidad de sesión VPN, use el comando para mostrar información de show security flow session
sesión sobre sesiones de texto sin formato.
user@host> show security flow session Flow Sessions on FPC3 PIC0: Session ID: 60000001, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/6352 --> 203.0.113.6/7927;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 60000002, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 60000003, Policy name: self-traffic-policy/1, Timeout: 56, Valid In: 203.0.113.6/500 --> 203.0.113.11/500;udp, If: .local..0, Pkts: 105425, Bytes: 12031144 Out: 203.0.113.11/500 --> 203.0.113.6/500;udp, If: ge-0/0/2.0, Pkts: 106503, Bytes: 12110680 Session ID: 60017387, Policy name: default-policy-00/2, Timeout: 1796, Valid In: 192.0.2.155/53053 --> 198.51.100.156/23;tcp, If: ge-0/0/1.0, Pkts: 10, Bytes: 610 Out: 198.51.100.156/23 --> 192.0.2.155/53053;tcp, If: st0.0, Pkts: 9, Bytes: 602 Total sessions: 4 Flow Sessions on FPC6 PIC0: Session ID: 120000001, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Session ID: 120000002, Policy name: N/A, Timeout: N/A, Valid In: 203.0.113.11/0 --> 203.0.113.6/0;esp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0 Total sessions: 2
Después de habilitar la afinidad de sesión VPN, la sesión de texto sin cifrar siempre se encuentra en FPC 3, PIC 0.
Consulte también
Aceleración del rendimiento del tráfico VPN IPsec
Puede acelerar el rendimiento de VPN IPsec configurando el parámetro de aceleración de rendimiento. De forma predeterminada, la aceleración del rendimiento de VPN está deshabilitada en los firewalls de la serie SRX. Habilitar la aceleración del rendimiento de VPN puede mejorar el rendimiento de VPN con la afinidad de sesión VPN habilitada. Esta función solo se admite en dispositivos SRX5400, SRX5600 y SRX5800.
En este tema se describe cómo usar la CLI para habilitar la aceleración del rendimiento de VPN.
Para habilitar la aceleración del rendimiento, debe asegurarse de que las sesiones de texto sin cifrar y las sesiones de túnel IPsec estén establecidas en la misma unidad de procesamiento de servicios (SPU). A partir de Junos OS versión 17.4R1, el rendimiento de VPN IPsec se optimiza cuando las funciones de afinidad de sesión VPN y aceleración de rendimiento están habilitadas. Para obtener más información sobre cómo habilitar la afinidad de sesión, consulte Descripción de la afinidad de sesión VPN.
Para habilitar la aceleración del rendimiento de VPN IPsec:
Después de habilitar la aceleración del rendimiento de VPN, use el comando para mostrar el estado del show security flow status
flujo.
Flow forwarding mode: Inet forwarding mode: flow based Inet6 forwarding mode: drop MPLS forwarding mode: drop ISO forwarding mode: drop Flow trace status Flow tracing status: off Flow session distribution Distribution mode: Hash-based Flow packet ordering Ordering mode: Hardware Flow ipsec performance acceleration: on
Consulte también
Perfil de distribución IPsec
A partir de Junos OS versión 19.2R1, puede configurar uno o varios perfiles de distribución IPsec para asociaciones de seguridad (SA) IPsec. Los túneles se distribuyen uniformemente entre todos los recursos (SPC) especificados en el perfil de distribución configurado. Se admite solo en SPC3 y modo mixto (SPC3 + SPC2), no se admite en sistemas SPC1 y SPC2. Con el perfil de distribución IPsec, utilice el set security ipsec vpn vpn-name distribution-profile distribution-profile-name
comando para asociar túneles a un
ranura
PIC
Como alternativa, puede utilizar los perfiles de distribución IPsec predeterminados:
default-spc2-profile
: utilice este perfil predeterminado predefinido para asociar túneles IPsec a todas las tarjetas SPC2 disponibles.default-spc3-profile
: utilice este perfil predeterminado predefinido para asociar túneles IPsec a todas las tarjetas SPC3 disponibles.
Ahora puede asignar un perfil a un objeto VPN específico, donde todos los túneles asociados se distribuirán en función de este perfil. Si no se asigna ningún perfil al objeto VPN, el firewall de la serie SRX distribuye automáticamente estos túneles de manera uniforme entre todos los recursos.
Puede asociar un objeto VPN a un perfil definido por el usuario o a un perfil predefinido (predeterminado).
A partir de Junos OS versión 20.2R2, los ID de subprocesos no válidos configurados para el perfil de distribución se omiten sin ningún mensaje de error de comprobación de confirmación. El túnel IPsec se ancla según el perfil de distribución configurado, ignorando los ID de subproceso no válidos, si los hubiera, para ese perfil.
En el ejemplo siguiente, todos los túneles asociados con el perfil ABC se distribuirán en FPC 0, PIC 0.
userhost# show security { distribution-profile ABC { fpc 0 { pic 0; } } }
Descripción de la interfaz de circuito cerrado para una VPN de alta disponibilidad
En una configuración de túnel VPN IPsec, se debe especificar una interfaz externa para comunicarse con la puerta de enlace IKE del mismo nivel. Especificar una interfaz de circuito cerrado para la interfaz externa de una VPN es una buena práctica cuando hay varias interfaces físicas que se pueden usar para llegar a una puerta de enlace del mismo nivel. El anclaje de un túnel VPN en la interfaz de circuito cerrado elimina la dependencia de una interfaz física para un enrutamiento correcto.
El uso de una interfaz de circuito cerrado para túneles VPN se admite en firewalls independientes de la serie SRX, así como en firewalls de la serie SRX en clústeres de chasis. En una implementación activa-pasiva de clúster de chasis, puede crear una interfaz lógica de circuito cerrado y convertirla en miembro de un grupo de redundancia para que pueda usarse para anclar túneles VPN. La interfaz de circuito cerrado se puede configurar en cualquier grupo de redundancia y se asigna como interfaz externa para la puerta de enlace IKE. Los paquetes VPN se procesan en el nodo donde está activo el grupo de redundancia.
En dispositivos SRX5400, SRX5600 y SRX5800:
-
Para dispositivos basados en SPC2 que ejecutan el proceso kmd, si la interfaz de circuito cerrado se utiliza como interfaz externa de puerta de enlace IKE, configure el enlace de interfaz en un grupo de redundancia distinto de RG0.
-
Para los dispositivos basados en SPC3 o SPC3+SPC2 que ejecutan el proceso iked, no es necesario enlazar la interfaz de circuito cerrado a un grupo de redundancia.
En una configuración de clúster de chasis, el nodo en el que está activa la interfaz externa selecciona una SPU para anclar el túnel VPN. Los paquetes IKE e IPsec se procesan en esa SPU. Por lo tanto, una interfaz externa activa determina la SPU de anclaje.
Puede utilizar el show chassis cluster interfaces
comando para ver información sobre la pseudointerfaz redundante.
Consulte también
Tabla de historial de cambios
La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.