Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Suporte para VPN IPsec em alta disponibilidade multinodo

VPN IPsec no modo active-backup

Os firewalls da Série SRX oferecem suporte a túneis de VPN IPsec em uma configuração multinode de alta disponibilidade. Antes do Junos OS Release 22.4R1, as âncoras de túnel VPN IPsec no SRG1, onde o SRG1 atua no modo ativo/backup stateful. Nesse modo, todos os túneis vpn terminam no mesmo dispositivo onde o SRG1 está ativo.

A alta disponibilidade multinodo estabelece o túnel IPsec e realiza trocas importantes por:

  • Associando dinamicamente o endereço IP flutuante do SRG1 ativo para o IP de terminação na implantação de roteamento e atribui o IP de terminação, o IP virtual (VIP), que flutua entre os dois dispositivos no modo de comutação.

  • Gerando o perfil ca, quando há a necessidade de um perfil ca dinâmico para autenticar o estabelecimento do túnel, no nó onde o SRG1 está ativo.

  • Realizando nova autenticação e carregando o perfil dinâmico no nó recém-ativo e limpar o nó antigo.

Embora você possa executar os show comandos em nós ativos e de backup para exibir o status das associações de segurança IKE e IPsec, você pode excluir as associações de segurança IKE e IPsec apenas no nó ativo.

O serviço VPN é habilitado automaticamente quando você habilita o modo ativo/backup usando o set chassis high-availability services-redundancy-group 1 comando. Veja o exemplo de configuração para obter mais detalhes.

Nota:

Os arquivos PKI são sincronizados para o nó de peer apenas se você habilitar a criptografia de link para a ICL.

Ponta:

Recomendamos seguir a sequência quando você configura VPN com alta disponibilidade multinodo em seu dispositivo de segurança:

  • No nó de backup, configure o gateway IKE de segurança, VPN IPsec, interfaces st0.x e zonas de segurança e, em seguida, comprometa a configuração.

  • No nó ativo, configure o gateway IKE de segurança, VPN IPsec, interface st0.x, zonas de segurança e rota estática e comprometa a configuração.

Você deve confirmar a configuração no nó de backup antes de comprometer a configuração no nó ativo se não usar a opção de sincronização de confirmação.

Pacotes de processo em nós de backup

Quando você usa a opção process-packet-on-backup em Multinode High Availability, o Mecanismo de encaminhamento de pacotes encaminha pacotes em nó de backup para o SRG correspondente. Essa configuração processa pacotes VPN no nó de backup mesmo quando o nó não está no modo ativo; assim, eliminando o atraso quando o nó de backup faz a transição para a função ativa após um failover. O processo de pacote continua mesmo durante o período de transição.

Você pode configurar o pacote do processo em backup em um SRG1 usando a [set chassis high-availability services-redundancy-group name process-packet-on-backup] declaração.

VPN IPsec no modo ativo-ativo

A partir do Junos OS Release 22.4R1, você pode configurar o Multinode High Availability para operar no modo ativo com suporte de multi SRG1s (SRG1+) para VPN IPsec. Nesse modo, alguns SRGs permanecem ativos em um nó e alguns SRGs permanecem ativos em outro nó. Um SRG específico sempre opera no modo active-backup; opera no modo ativo em um nó e modo de backup em outro nó.

A alta disponibilidade multinode oferece suporte a VPN IPsec no modo ativo com vários SRGs (SRG1+). Nesse modo, você pode estabelecer vários túneis ativos de ambos os nós, com base na ativação do SRG. Como diferentes SRGs podem estar ativos em diferentes nós, túneis pertencentes a esses SRGs surgem em ambos os nós de forma independente. Ter túneis ativos em ambos os nós permite criptografar/descriptografar tráfego de dados em ambos os nós, resultando em um uso eficiente da largura de banda.

Figura 1 e Figura 2 mostrar diferenças nos túneis de VPN de IPsec multinodo ativo e ativo ativo de alto nível Availabilty.
Figura 1: Túnel de VPN IPsec de backup ativo em alta disponibilidade Active-Backup IPsec VPN Tunnel in Multinode High Availability multinodo
Figura 2: Túnel de VPN IPsec ativo e ativo em alta disponibilidade Active-Active IPsec VPN Tunnel in Multinode High Availability multinodo

A alta disponibilidade multinode estabelece o túnel IPsec e realiza trocas importantes associando o endereço IP de terminação (que também identifica os túneis que terminam nele) ao SRG. Como o SRG1+ diferente pode estar em estado ativo ou em estado de backup em cada um dos dispositivos, o Multinode High Availability direciona o tráfego correspondente de forma eficaz para o SRG1 ativo correspondente. A alta disponibilidade multinodo também mantém as informações de mapeamento de prefixo SRG ID e IP.

A Tabela 1 e a Tabela 2 fornecem detalhes sobre o impacto nos túneis de VPN IPsec devido à mudança nas mudanças do SRG1+.

Tabela 1: Impacto nos túneis de VPN IPsec devido à modificação do SRG1+
Mudanças no SRG1 Impactam túneis VPN IPSec
Adição de SRG Sem impacto nos túneis existentes
Exclusão de SRG

Elimina todas as rotas associadas ao SRG.
Modificação do atributo SRG (além da lista de prefixos) Sem impacto nos túneis existentes
Modificação da ID do SRG Elimina todos os túneis existentes associados ao SRG.
Prefixo IP em modificação da lista de prefixo

Exclui todos os túneis de mapeamento para esse prefixo IP específico.

Não haverá impacto se não houver mapeamento de túnel existente para o prefixo IP modificado.
Tabela 2: Impacto nos túneis de VPN IPsec devido às mudanças de estado do SRG1+
Estado do SRG muda a ação da alta disponibilidade de multinodo

Active Para Backup

 Exclui todos os dados correspondentes a esse SRG, e ressincroniza do novo SRG ativo

Active Para Ineligible

 Exclui todos os dados correspondentes a esse SRG, e ressincroniza do novo SRG ativo

Active Para Hold

 Não aplicável

Backup Para Active

 Nenhuma ação

Ineligible Para Active

 Nenhuma ação

Hold Para Active

 Nenhuma ação

Hold Para Backup

 Nenhuma ação (possível transição de estado; se o estado ativo não estiver envolvido em estado pré ou pós, nenhuma ação é necessária)

Ineligible Para Backup

 Nenhuma ação (possível transição de estado; se o estado ativo não estiver envolvido em estado pré ou pós, nenhuma ação é necessária)

Hold Para Ineligible

 Nenhuma ação (possível transição de estado; se o estado ativo não estiver envolvido em estado pré ou pós, nenhuma ação é necessária)

Serviço de VPN IPsec associado a um SRG

Os lançamentos antes do 22.4R1 suportavam apenas SRG0 e SRG1, e o SRG1 estava associado à VPN IPsec por padrão. No 22.4R1, um SRG não está associado ao serviço VPN IPSec por padrão. Você deve associar o serviço de VPN IPsec a qualquer um dos vários SRGs por:

  • Especificando o IPsec como serviço gerenciado

    Ex: [set chassis high-availability services-redundancy-group <id> managed-services ipsec]

  • Criação de uma lista de prefixo IP

    Ex: [set chassis high-availability services-redundancy-group <id> prefix-list <name>]

    [set policy-options prefix-list <name> <IP address>

Quando você tem vários SRGs em sua configuração multinode de alta disponibilidade, alguns SRGs estão em estado ativo em um nó e alguns SRGs estão ativos em outro nó. Você pode ancorar certos túneis IPsec em um nó específico (firewall da Série SRX) configurando uma lista de prefixo IP.

Na configuração de VPN IPsec, um gateway IKE inicia e encerra conexões de rede entre dois dispositivos de segurança. A ponta local (gateway IKE local) é a interface da Série SRX que inicia as negociações de IKE. O gateway IKE local tem um endereço IP local, um endereço IP roteável publicamente no firewall, que a conexão VPN usa como endpoint.

A lista de prefixos IP inclui uma lista de prefixos de endereço IPv4 ou IPv6, que são usados como endereço local de um gateway IKE. Você pode associar esses prefixos IP (lista de prefixos) a um SRG1 especificado para anunciar endereço local do gateway IKE com uma preferência maior de acordo com o estado do SRG.

Para ancorar um determinado túnel de VPN IPsec em um determinado dispositivo de segurança, você deve:

  • Crie uma lista de prefixo IP incluindo o endereço local do gateway IKE e associe a lista de prefixo IP ao SRG:

    Exemplo:

  • Defina a instância de roteamento para a lista de prefixo.

    Se você não associar uma instância de roteamento à lista de prefixo, a alta disponibilidade multinodo usa a tabela de roteamento padrão, o que pode afetar a funcionalidade de VPN.

  • Associar/habilitar VPN IPsec para o SRG.

    Exemplo:

    Essa configuração permite associar VPN IPsec de forma seletiva e flexível a um dos vários SRGs configurados no firewall da Série SRX em uma configuração de alta disponibilidade multinodo.

Você pode verificar o mapeamento de objetos IKE/IPsec para o SRG usando o seguinte comando:

Você pode verificar o mapeamento da lista de SRGs e prefixo IP usando o seguinte comando:

Se você não configurar uma lista de prefixo, receberá a seguinte mensagem de aviso:

Veja exemplo: Configure a VPN IPSec em alta disponibilidade de multinodos ativos em uma rede de Camada 3 para obter mais detalhes.

Suporte de protocolo de roteamento dinâmico para VPN IPsec

A partir do Junos OS Release 23.2R1, você pode habilitar protocolos dinâmicos de roteamento para VPN IPsec em uma configuração multinode de alta disponibilidade usando túneis locais de nós. As rotas que os protocolos de roteamento dinâmico adicionam permanecem locais a um nó. Essas rotas não estão vinculadas a nenhum grupo de redundância de serviços (SRG).

Nas versões anteriores, a alta disponibilidade multinode oferece suporte apenas à implantação do seletor de tráfego. Ou seja, quando você configura a VPN IPsec usando seletores de tráfego, a configuração instala rotas considerando o valor de preferência e a métrica de roteamento com base em prefixos seletores de tráfego.

Quando você configura túneis locais de nós, você tem túneis separados de um dispositivo peer VPN para ambos os nós da configuração de alta disponibilidade multinodo. Ou seja: você tem um túnel local de nós para cada um dos dois nós de alta disponibilidade multinodo.

A Figura 3, a Figura 4 e a Figura 5 mostram uma implantação de VPN IPsec de alta disponibilidade multinode com túneis sincronizados, túneis locais de nós e uma combinação de túneis sincronizados e túneis locais de nós, respectivamente.

Figura 3: Implantação de alta disponibilidade multinodo com túneis Multinode High Availability Deployment with Synced Tunnels sincronizados

A figura anterior mostra um túnel VPN IPsec entre um dispositivo peer e uma configuração multinode de alta disponibilidade. O túnel vpn IPsec é ancorado em um SRG1+ativo. O túnel permanece ativo quando o SRG1+ associado está ativo. Nesta implantação, o tráfego passa pelo túnel ativo (Túnel 1).

Figura 4: Implantação de alta disponibilidade multinodo com túnel Multinode High Availability Deployment with Node-Local Tunnel local de nós

Na figura anterior, você tem dois túneis locais de nós entre o dispositivo peer VPN e a configuração multinode de alta disponibilidade. Cada túnel se conecta a um dos dois nós na configuração. Esses túneis não estão associados a nenhum SRG1+. Um ou ambos os túneis podem permanecer ativos a qualquer momento. Com base no protocolo de roteamento configurado, em qualquer momento, o tráfego passa pelo Túnel 2 ou pelo Túnel 3.

Figura 5: Implantação de alta disponibilidade multinodo com combinação de túneis sincronizados e túneis Multinode High Availability Deployment with Combination of Synced Tunnels and Node-Local Tunnels locais de nós

A figura anterior mostra um túnel VPN IPsec entre um dispositivo peer VPN e uma configuração multinode de alta disponibilidade. Além disso, a figura mostra dois túneis locais de nós entre o dispositivo peer VPN e a configuração de alta disponibilidade multinodo.

O túnel VPN IPsec ancora em um SRG1+ ativo e permanece ativo quando o SRG1+ associado está ativo. No caso de túneis locais de nós, ambos os túneis permanecem ativos.

A Tabela 3 mostra a diferença entre node-local túneis e túneis sincronizados.

entre nós e
Tabela 3: Diferença entre túneis locais de nós e túneis sincronizados
Túneis sincronizados com túneis sincronizadoslocais
Associação com o SRG1+ Não Sim
Sincronização de informações de túnel entre nós de alta disponibilidade multinodo Não Sim
Número de túneis ativos Dois Um

Marque um túnel VPN IPsec como túnel local de nós

Você pode configurar um túnel VPN IPsec como node-local em um firewall da Série SRX usando a seguinte declaração:

Certifique-se de configurar a opção node-local para ambos os nós em uma configuração de alta disponibilidade multinodo.

Certifique-se de definir a preferência por um túnel ao configurar a política de roteamento.

Suporte a ADVPN em alta disponibilidade multinodo

A partir do junos OS Release 24.2R1, multinodo de alta disponibilidade oferece suporte a ADVPN na implantação de túneis locais de nós.

Os túneis locais de nós melhoram a HA multinode, fornecendo túneis separados de um dispositivo peer VPN para ambos os nós na configuração. A ADVPN permite que os túneis vpn sejam estabelecidos dinamicamente entre spokes. A combinação da ADVPN com a HA multinode na implantação de túneis locais de nó garante conectividade de rede robusta, utilização eficiente de recursos e failover contínuo.

O protocolo ADVPN permite a criação de caminho de atalho entre dois gateways parceiros para estabelecer um caminho ideal para a entrega de dados. Tradicionalmente, em uma rede hub-and-spoke, o tráfego entre dois spokes atravessa o hub. Com a ADVPN, o hub recomenda um atalho entre seus pares (dispositivos spoke) com os quais já estabeleceu uma SA IPsec. A decisão de sugerir um atalho depende da duração e quantidade de tráfego que flui entre um par de pares através do hub. Esses pares, chamados de parceiros de atalho, aceitam ou recusam essa recomendação, de acordo com suas próprias políticas.

Os pares aceitam a sugestão e estabelecem um SA direto (atalho) entre eles. Um novo SA fase1 e fase2 é criado para cada atalho. Esse atalho é então usado para estabelecer um caminho mais ideal para a entrega de dados. Todo o tráfego que flui entre os pares agora passa diretamente pelo túnel de atalho entre os pares.

Se os pares recusarem a recomendação, eles respondem ao sugestador indicando o motivo da rejeição. Neste caso, o tráfego continua a fluir pelo Shortcut Suggester.

A configuração multinodo de alta disponibilidade inclui dois firewalls da Série SRX atuando como nó ativo e nó de backup e dois dispositivos vpn peer com configuração local de nós. Neste caso, um túnel de VPN IPsec é estabelecido entre um dispositivo peer VPN e uma configuração multinode de alta disponibilidade.

  • Sugestão de atalho: percebe o tráfego se movendo entre pares e sugere atalhos.
  • Parceiros de atalho: estes são dispositivos peer que formam o túnel de atalho. A troca de atalhos acontece por meio de um protocolo IKEv2 estendido.

Na configuração multinodo de alta disponibilidade, um dispositivo peer VPN, com túnel local de nós, ocupa as seguintes funções:

  • Parceiro de atalho da ADVPN
  • Sugestão de atalho da ADVPN

Com a configuração da ADVPN, um firewall da Série SRX pode agir como um sugestório de atalho ou um parceiro de atalho, mas não como sugestão e parceiro de cada vez.

As imagens a seguir ilustram como o gateway VPN pode funcionar como um sugestão de atalho e parceiro.

  • O dispositivo vpn peer, atuando como parceiro de atalho, estabelece dois túneis: um túnel em direção a cada nó multinodo de alta disponibilidade. Neste caso, cada nó age como um sugestão de atalho.
    Figura 6: Gateway VPN como parceiro VPN Gateway as Shortcut Partner de atalho

    Como mostrado na ilustração:

    • Dois firewalls da Série SRX em alta disponibilidade multinodo estão agindo como sugestor de atalho— Suggester-1 (nó ativo) e Suggester-2 (nó de backup).
    • Dois gateways VPN estão atuando como parceiros de atalho — Partner-1 e Partner-2.
    • O Partner-1 cria dois túneis; um para Suggester-1 e outro para Sugester-2
    • O Partner-2 cria dois túneis; um para Suggester-1 e outro para Sugester-2
    • O tráfego do Parceiro-1 ao Parceiro-2 passa pelo Suggester-1. O Suggester-1 notifica o Parceiro-1 e o Parceiro-2 para criar um atalho.
    • Caso o nó ativo (sugestor-1) falhe e ambos os túneis do Suggester-1 para o Partner-1 e o Partner-2 estiverem desativados, nesse caso:
      • O atalho criado anteriormente permanece ativo, no entanto, o fluxo de tráfego do Parceiro 1 para o Parceiro-2 passa pelo Suggester-2. Neste caso, o Suggester-2 sugere um atalho entre o Parceiro-1 e o Parceiro-2. Como o atalho já existe entre o Parceiro-1 e o Parceiro-2, a sugestão para o novo atalho Suggester-2 é recusada.
  • Dispositivo de peer VPN atuando como sugestão de atalho. Neste caso, cada nó multinodo de alta disponibilidade atua como parceiro de atalho e estabelece um túnel separado em direção ao dispositivo peer VPN.
    Figura 7: Gateway VPN como sugestão VPN Gateway as Shortcut Suggester de atalho
    • Os firewalls da Série SRX em alta disponibilidade multinodo estão atuando como Parceiro-1-A e Parceiro-1-B.
    • Um gateway VPN está atuando como Suggester e outro firewall da Série SRX está atuando como Parceiro-2.
    • O Partner-1-A (nó ativo) cria túnel estático (túnel ativo) com Suggester.
    • O parceiro-1-B (nó de backup) cria túnel estático (túnel de backup) com Suggester.
    • O tráfego do Parceiro-1-A para o Parceiro-2 flui pelo Suggester.
    • Suggester sugere criar um atalho entre o Parceiro-1-A e o Parceiro-2.
    • O Parceiro-1-A e o Parceiro-2 criam um atalho entre eles. Observe que se o túnel estático entre parceiros e sugestão cair, não haverá impacto no túnel de atalho. O tráfego continua a fluir pelo túnel de atalho mesmo após a queda do túnel estático.

Destaques da configuração

  1. Configure a alta disponibilidade multinodo em firewalls da Série SRX. Veja exemplo: configure a alta disponibilidade de multinodos em uma rede de camada 3.
  2. Certifique-se de configurar a opção node-local para ambos os nós em uma configuração de alta disponibilidade multinodo. Exemplo:
  3. Configure o parceiro de atalho ou as funções sugestivas de atalho no firewall da Série SRX conforme aplicável. Veja VPNs de descoberta automática.

Por padrão, tanto as opções de sugestão de atalho quanto de parceiro de atalho são habilitadas se você configurar advpn sob a hierarquia do gateway IKE. Você deve desabilitar explicitamente a opção de sugestão ou opção de parceiro para desabilitar essa funcionalidade em particular.

Limitações

  • A configuração de um sugestão de ADVPN só é permitida em hubs AutoVPN, onde como funcionalidade de parceiro para configuração de spoke.
  • Você não pode configurar funções de sugestão e parceiro no mesmo gateway IKE
  • A ADVPN não oferece suporte ao IKEv1
  • Você não pode criar um atalho entre parceiros que estejam ambos por trás de dispositivos NAT.

Documentação relacionada