Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Clusters de servidor VPNv2 do grupo

O cluster de servidor VPNv2 do grupo oferece redundância de controlador de grupo/servidor de chave (GCKS), de modo que não há um único ponto de falha para toda a rede VPN do grupo.

Entendendo clusters de servidor VPNv2 do grupo

No protocolo de domínio de interpretação (GDOI) do grupo, o controlador de grupo/servidor de chave (GCKS) gerencia as associações de segurança de VPN (SAs) de grupo, e gera chaves de criptografia e as distribui aos membros do grupo. Os membros do grupo criptografam o tráfego com base nos SAs do grupo e nas chaves fornecidas pela GCKS. Se o GCKS falhar, os membros do grupo não poderão registrar ou obter chaves. Um cluster de servidor VPNv2 do grupo oferece redundância GCKS para que não haja um único ponto de falha para toda a rede VPN do grupo. Os clusters de servidor VPNv2 do grupo também podem fornecer balanceamento de carga, escalamento e redundância de enlace.

O grupo VPNv2 tem suporte para SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 e dispositivos SRX4600 e instâncias vSRX. Todos os servidores em um cluster de servidor VPNv2 de grupo devem ser suportados em dispositivos da Série SRX ou instâncias vSRX. Os clusters de servidor VPNv2 do grupo são uma solução proprietária da Juniper Networks e não têm interoperabilidade com a GCKS de outros fornecedores.

Servidor-raiz e sub-servidores

Um cluster de servidor VPNv2 em grupo consiste em um servidor raiz com até quatro sub-servidores conectados. Todos os servidores do cluster compartilham as mesmas chaves de SA e criptografia distribuídas aos membros do Grupo VPNv2. Os servidores do cluster podem ser localizados em diferentes locais, conforme mostrado em Figura 1.

Figura 1: Cluster de servidor VPNv2 do grupoCluster de servidor VPNv2 do grupo

As mensagens entre servidores do cluster são criptografadas e autenticadas por SAs IKE. O servidor raiz é responsável por gerar e distribuir chaves de criptografia para sub-servidores; por causa dessa responsabilidade, recomendamos que o servidor raiz seja configurado como um cluster de chassi. Sub-servidores são dispositivos únicos e não podem ser clusters de chassi. Sub-servidores devem ser capazes de se conectar ao servidor raiz, embora os links diretos entre sub-servidores não sejam necessários.

Se um sub-servidor perder a conexão com o servidor raiz, nenhuma conexão adicional com o sub-servidor dos membros do grupo é permitida e os SAs são excluídos. Portanto, recomendamos que você use um link diferente para conectar cada sub-servidor ao servidor raiz.

Os clusters de servidor VPNv2 do grupo estão configurados com as server-cluster declarações no nível [edit security group-vpn server group-name] de hierarquia. Os valores a seguir devem ser configurados para cada servidor em um cluster:

  • A função do servidor — Especifique ou root-serversub-server. Um determinado servidor pode fazer parte de vários clusters de servidor VPNv2 de grupo, mas ele deve ter a mesma função de servidor em todos os clusters. Um servidor não pode ser configurado com a função de servidor raiz em um grupo e a função de sub-servidor em outro grupo.

    Você deve garantir que há apenas um servidor raiz a qualquer momento para um cluster de servidor VPNv2 em grupo.

  • Gateway IKE — Especifique o nome de um gateway IKE configurado no nível [edit security group-vpn server ike] de hierarquia. Para um servidor raiz, o gateway IKE deve ser um sub-servidor no cluster; até quatro sub-servidores podem ser especificados. Para sub-servidores, o gateway IKE deve ser o servidor-raiz.

    O servidor raiz e os sub-servidores devem ser configurados com dead-peer-detection always-send e não podem ser configurados para um endereço IP dinâmico (não especificado). Os membros do grupo não estão configurados com detecção de peer morto.

A configuração do VPNv2 do grupo deve ser a mesma em cada sub-servidor em um determinado grupo.

Cada sub-servidor no cluster de servidor VPNv2 do grupo opera como um GCKS normal para registrar e excluir membros. Após o sucesso do registro de membros, o servidor de registro é responsável pelo envio de atualizações ao membro. Para um determinado grupo, você pode configurar o número máximo de membros do Grupo VPNv2 que podem ser aceitos por cada sub-servidor; esse número deve ser o mesmo em todos os sub-servidores do cluster. Um sub-servidor deixa de responder às solicitações de registro de novos membros quando atinge o número máximo configurado de membros do Grupo VPNv2. Veja Balanceamento de carga.

Registro de membros do grupo com clusters de servidor

Os membros do grupo podem se registrar em qualquer servidor no cluster de servidor VPNv2 de grupo para um determinado grupo, no entanto, recomendamos que os membros se conectem apenas a sub-servidores e não ao servidor raiz. Até quatro endereços de servidor podem ser configurados em cada membro do grupo. Os endereços de servidor configurados em membros do grupo podem ser diferentes. No exemplo mostrado abaixo, o membro do grupo A está configurado para sub-servidores de 1 a 4, enquanto o membro B está configurado para sub-servidores 4 e 3:

Membro do grupo A:

Membro do grupo B:

Endereços de servidor:

Sub-servidor 1

Sub-servidor 2

Sub-servidor 3

Sub-servidor 4

Sub-servidor 4

Sub-servidor 3

A ordem que o servidor endereça está configurada em um membro é importante. Um membro do grupo tenta se registrar no primeiro servidor configurado. Se o registro com um servidor configurado não for bem-sucedido, o membro do grupo tenta se registrar no próximo servidor configurado.

Cada servidor em um cluster de servidor VPNv2 de grupo opera como um GCKS normal para registrar e excluir membros. Após o registro bem-sucedido, o servidor de registro é responsável por enviar atualizações ao membro por meio de groupkey-push trocas. Para um determinado grupo, você pode configurar o número máximo de membros do grupo que podem ser aceitos por cada servidor, porém esse número deve ser o mesmo em todos os servidores do cluster para um determinado grupo. Ao atingir o número máximo configurado de membros do grupo, um servidor deixa de responder às solicitações de registro por novos membros. Veja Balanceamento de carga mais informações.

Detecção de peer morto

Para verificar a disponibilidade de servidores peer em um cluster de servidor VPNv2 em grupo, cada servidor no cluster deve ser configurado para enviar solicitações de detecção de peer (DPD) mortas, independentemente de haver tráfego IPsec de saída para o peer. Isso está configurado com a dead-peer-detection always-send declaração no nível [edit security group-vpn server ike gateway gateway-name] de hierarquia.

Um servidor ativo em um cluster de servidor VPNv2 de grupo envia sondas DPD para o(s) gateway(s) IKE configurado no cluster do servidor. O DPD não deve ser configurado para um grupo porque vários grupos podem compartilhar a mesma configuração de gateway IKE de servidor peer. Quando o DPD detecta que um servidor está desativado, o IKE SA com esse servidor é excluído. Todos os grupos marcam o servidor como inativo e o DPD para o servidor é interrompido.

O DPD não deve ser configurado para o gateway IKE para membros do grupo.

Quando o DPD marca o servidor-raiz como inativo, os sub-servidores param de responder a novas solicitações de membros do grupo, porém os SAs existentes para os membros atuais do grupo permanecem ativos. Um sub-servidor inativo não envia exclusões aos membros do grupo porque os SAs ainda podem ser válidos e os membros do grupo podem continuar usando SAs existentes.

Se um IKE SA expira enquanto um servidor de peer ainda estiver ativo, o DPD aciona a negociação de SA IKE. Como servidores-raiz e sub-servidores podem acionar SAs IKE por meio de DPD, a negociação simultânea pode resultar em vários SAs IKE. Não é esperado impacto na funcionalidade de cluster de servidor neste caso.

Balanceamento de carga

O balanceamento de carga no cluster de servidor VPNv2 do grupo pode ser alcançado configurando o valor certo member-threshold para o grupo. Quando o número de membros registrados em um servidor excede o valor, o member-threshold registro subsequente de membros nesse servidor é rejeitado. O registro do membro falha no próximo servidor configurado no membro do grupo até chegar a um servidor que member-threshold ainda não foi alcançado.

Existem duas restrições na configuração do member-threshold:

  • Para um determinado grupo, o mesmo member-threshold valor deve ser configurado no servidor raiz e em todos os sub-servidores em um cluster de servidor de grupo. Se o número total de membros do grupo exceder o valor configurado member-threshold , um groupkey-pull registro iniciado por um novo membro é rejeitado (o servidor não envia uma resposta).

  • Um servidor pode dar suporte a membros em vários grupos. Cada servidor tem um número máximo de membros do grupo que pode suportar. Se um servidor atingir o número máximo de membros que pode suportar, um groupkey-pull registro iniciado por um novo membro é rejeitado mesmo se o member-threshold valor de um grupo específico não tiver sido atingido.

Não há sincronização de membros entre servidores no cluster. O servidor raiz não tem informações sobre o número de membros registrados em sub-servidores. Cada sub servidor só pode mostrar seus próprios membros registrados.

Entender as limitações do cluster de servidor VPNv2 do grupo

O grupo VPNv2 tem suporte para SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 e dispositivos SRX4600 e instâncias vSRX. Observe as seguintes restrições ao configurar clusters de servidor VPNv2 do grupo:

  • A autenticação de certificados não é compatível com a autenticação do servidor; apenas chaves pré-compartilhadas podem ser configuradas.

  • Não há sincronização de configuração entre servidores no cluster de servidor VPNv2 do grupo.

  • Ao ativar um cluster de servidor VPNv2 em grupo, a configuração deve ser feita no servidor raiz primeiro e depois nos sub-servidores. Até que a configuração seja sincronizada manualmente entre os servidores, a perda de tráfego pode ser esperada durante a mudança de configuração.

  • Em certos casos de canto, os SAs em membros do Grupo VPNv2 podem estar fora de sincronia. Os membros de VPN do grupo podem sincronizar SAs obtendo uma nova chave por meio de uma groupkey-pull troca. Você pode liberar SAs manualmente em um membro do Grupo VPNv2 com os clear security group-vpn member ipsec security-associations ou clear security group-vpn member group comandos para ajudar a acelerar a recuperação.

  • O cluster de servidor VPNv2 do grupo não oferece suporte a ISSU.

  • Se a última groupkey-pull mensagem for perdida durante o registro de um membro do Grupo VPNv2, um servidor pode considerar o membro como um membro registrado, mesmo que o membro possa falhar no próximo servidor no cluster do servidor. Nesse caso, o mesmo membro pode parecer estar registrado em vários servidores. Se o limite total de membros em todos os servidores for igual ao número total de membros implantados, os membros subsequentes do grupo podem não se registrar.

Observe as seguintes dúvidas sobre as operações de cluster de chassi no servidor raiz:

  • Nenhuma estatística é preservada.

  • Nenhum dado ou estado de negociação é salvo. Se um cluster de chassi de servidor raiz ocorrer durante uma groupkey-pull ou groupkey-push negociação, a negociação não será reiniciada após o failover.

  • Se ambos os nós de cluster de chassi de um servidor raiz diminuirem durante uma re-chave de uma chave de criptografia, alguns membros do Grupo VPNv2 podem receber a nova chave enquanto outros membros não o fazem. O tráfego pode ser afetado. Limpar SAs manualmente em um membro do Grupo VPNv2 com os clear security group-vpn member ipsec security-associations ou clear security group-vpn member group comandos pode ajudar a acelerar a recuperação quando o servidor raiz se tornar acessível.

  • Em um ambiente de grande escala, o failover de RG0 no servidor raiz pode levar tempo. Se o intervalo DPD e o limiar em um sub-servidor forem configurados com pequenos valores, ele pode resultar na marcação do sub-servidor no servidor raiz como inativo durante um failover RG0. O tráfego pode ser afetado. Recomendamos que você configure o gateway IKE para o sub-servidor com um valor DPD interval * threshold maior que 150 segundos.

Entender as mensagens de cluster de servidor VPNv2 do grupo

O grupo VPNv2 tem suporte para SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 e dispositivos SRX4600 e instâncias vSRX. Todas as mensagens entre servidores em um cluster de servidor VPNv2 do grupo são criptografadas e autenticadas por uma associação de segurança IKE (SA). Cada sub-servidor inicia um IKE SA com o servidor raiz; este IKE SA deve ser estabelecido antes que as mensagens possam ser trocadas entre os servidores.

Esta seção descreve as mensagens trocadas entre o servidor raiz e sub-servidores.

Trocas de clusters

Figura 2 mostra as mensagens básicas trocadas entre o cluster de servidor VPNv2 do grupo e os membros do Grupo VPNv2.

Figura 2: Mensagens de cluster de servidor VPNv2 do grupoMensagens de cluster de servidor VPNv2 do grupo

Trocas de clusters

Um sub-servidor lança uma troca de inicialização de cluster (cluster-init) com o servidor-raiz para obter informações importantes de SA e criptografia. O servidor raiz responde enviando informações SA atuais para o sub-servidor por meio da cluster-init troca.

Os sub-servidores podem então responder às solicitações de registro de membros do Grupo VPNv2 por meio de uma groupkey-pull troca. A groupkey-pull troca permite que um membro do Grupo VPNv2 solicite SAs e chaves compartilhadas pelo grupo de um sub-servidor.

Os sub-servidores iniciam uma cluster-init troca com o servidor raiz quando:

  • O servidor raiz é considerado inativo. Este é o estado inicial assumido do servidor raiz. Se não houver SA IKE entre o servidor raiz e o sub-servidor, o sub-servidor inicia uma SA IKE com o servidor raiz. Após uma troca bem-sucedida cluster-init , o sub-servidor obtém informações sobre SAs e marca o servidor raiz como ativo.

  • A vida útil suave da SA expirou.

  • Uma cluster-update mensagem é recebida para excluir todos os SAs.

  • Existem mudanças de configuração de grupo.

Se a cluster-init troca falhar, o sub-servidor tenta novamente a troca com o servidor raiz a cada 5 segundos.

Mensagens de atualização de cluster

A groupkey-push troca é uma mensagem rekey única que permite que um controlador de grupo/servidor-chave (GCKS) envie SAs e chaves do grupo aos membros antes que os SAs do grupo existente expiram e atualize a adesão ao grupo. Mensagens rekey são mensagens não solicitadas enviadas do GCKS aos membros

Ao gerar novas chaves de criptografia para um SA, o servidor raiz envia atualizações sa para todos os sub-servidores ativos por meio de uma cluster-update mensagem. Após receber um cluster-update do servidor raiz, o sub-servidor instala o novo SA e envia as novas informações de SA por meio de um groupkey-push para os membros do grupo registrado.

Uma cluster-update mensagem enviada do servidor raiz requer um reconhecimento do sub-servidor. Se não houver reconhecimento recebido de um sub-servidor, o servidor raiz retransmite o cluster-update período de retransmissão configurado (o padrão é de 10 segundos). O servidor raiz não retransmite se a detecção de peer morto (DPD) indicar que o sub-servidor está indisponível. Se um sub-servidor não atualizar as informações de SA após receber um cluster-update, ele não enviará um reconhecimento e o servidor raiz retransmite a cluster-update mensagem.

Se a vida útil suave de uma SA expira antes que um novo SA seja recebido do servidor raiz, o sub-servidor envia uma cluster-init mensagem ao servidor raiz para obter todos os SAs e não enviar uma groupkey-push mensagem aos seus membros até que ele tenha uma nova atualização. Se a dura vida de um SA expira no sub-servidor antes de receber um novo SA, o sub-servidor marca o servidor raiz inativo, elimina todos os membros do grupo registrado e continua a enviar cluster-init mensagens para o servidor raiz.

Uma cluster-update mensagem pode ser enviada para excluir um SA ou um membro do grupo; isso pode ser o resultado de um clear comando ou uma mudança de configuração. Se um sub-servidor receber uma cluster-update mensagem para excluir uma SA, ele envia uma groupkey-push mensagem de exclusão aos membros do grupo e exclui a SA correspondente. Se todos os SAs de um grupo forem excluídos, o sub-servidor iniciará uma cluster-init troca com o servidor raiz. Se todos os membros registrados forem excluídos, o sub-servidor elimina todos os membros registrados localmente.

Entender as mudanças de configuração com clusters de servidor VPNv2 do grupo

O grupo VPNv2 tem suporte para SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 e dispositivos SRX4600 e instâncias vSRX. Os clusters de servidor VPNv2 do grupo se comportam de maneira diferente dos servidores independentes do Grupo VPNv2 quando há mudanças de configuração que resultam em novas chaves de criptografia e mudanças nas associações de segurança (SAs). O servidor raiz envia atualizações ou exclusões SA para sub-servidores por meio cluster-update de mensagens. Os sub-servidores então enviam groupkey-push mensagens aos membros. Os sub-servidores não podem enviar mensagens de exclusão aos membros do grupo sem primeiro receber mensagens de exclusão do servidor raiz.

Todas as alterações de configuração devem ser feitas no servidor raiz primeiro e depois em sub-servidores para garantir que os membros do grupo recebam atualizações ou exclusões como esperado. Até que a configuração seja sincronizada entre os servidores no cluster de servidor VPNv2 do grupo, a perda de tráfego pode ser esperada.

Tabela 1 descreve os efeitos de várias mudanças de configuração nos servidores VPNv2 do grupo.

Tabela 1: Efeitos das mudanças de configuração nos servidores VPNv2 do grupo

Mudança de configuração

Ação do servidor VPNv2 de grupo autônomo

Ação de cluster de servidor VPNv2 do grupo

Servidor raiz

Sub-servidor

Alterar a proposta, a política ou o gateway do IKE

Exclua o IKE SA para o gateway afetado. Para exclusões de propostas, políticas ou gateway do IKE, exclua os membros registrados para o gateway afetado.

Alterar a proposta do IPsec

As mudanças surtiram efeito após a relquisão da chave de criptografia de tráfego (TEK).

Mudanças em grupo:

Exclua o nome do grupo

Enviar "excluir tudo" para os membros do grupo. Exclua todos os SAs IKE do grupo. Exclua todas as chaves do grupo imediatamente. Exclua todos os membros registrados no grupo.

Enviar "excluir tudo" para sub-servidores. Exclua todas as chaves do grupo imediatamente. Marque todos os pares inativos. Exclua SAs IKE sub-servidor. Exclua todos os SAs IKE de membros.

Exclua todos os SAs IKE de membros. Exclua todas as chaves do grupo imediatamente. Exclua todos os membros registrados no grupo. Mark Peer inativo. Exclua os SAs IKE do servidor de peer.

Alterar iD

Enviar "excluir tudo" para todos os membros. Exclua todos os SAs IKE do grupo. Exclua todas as chaves do grupo imediatamente. Exclua todos os membros registrados no grupo. Gere novas chaves de acordo com a configuração.

Enviar "excluir tudo" para sub-servidores. Exclua todos os SAs IKE membros do grupo. Exclua todas as chaves do grupo imediatamente. Marque todos os pares inativos. Exclua todos os SAs IKE de servidor peer. Gere novas chaves de acordo com a configuração.

Exclua todos os SAs IKE membros do grupo. Exclua todas as chaves do grupo imediatamente. Exclua todos os membros registrados no grupo. Mark Peer inativo. Exclua os SAs IKE do servidor de peer. Inicie uma nova cluster-init troca.

Adicionar ou excluir gateway IKE

Sem alterações para adições. Para exclusões, exclua o IKE SA e os membros registrados para o gateway afetado.

Adicione ou altere a janela de tempo anti-replay

O novo valor entra em vigor após a relquisão do TEK.

Adicione ou não altere nenhum anti-replay

O novo valor entra em vigor após a relquisão do TEK.

Mudanças na comunicação entre membros do servidor:

Adicionar

Exclua todos os membros registrados. Gere chave de criptografia (KEK) SA.

Gere KEK SA. Envie um novo KEK SA para o sub-servidor. Exclua todos os SAs IKE de membros.

Exclua todos os membros registrados.

Mudar

Novo valor entra em vigor após a relançação da KEK.

Excluir

Enviar exclusão para excluir todos os SAs KEK. Exclua a KEK SA.

Enviar exclusão para sub-servidores. Exclua a KEK SA. Exclua todos os SAs IKE de membros.

Exclua a KEK SA.

SA IPsec:

Adicionar

Gere um novo TEK SA. Atualize o novo TEK SA sobre os membros.

Gere um novo TEK SA. Envie novos TEK SA para sub-servidores.

Sem ação.

Mudar

O novo valor entra em vigor após a reloucação do TEK.

Se a política de correspondência mudar, o TEK atual for removido imediatamente e excluir o groupkey-push for enviado porque os membros precisam ser explicitamente notificados de que essa configuração é removida.

Se a política de correspondência mudar, envie a exclusão para sub-servidores. Exclua o TEK imediatamente.

Se a política de correspondência mudar, exclua o TEK imediatamente.

Excluir

Exclua o TEK imediatamente. Enviar exclusão para excluir este TEK SA.

Enviar exclusão para sub-servidores. Exclua o TEK imediatamente.

Exclua o TEK imediatamente.

Tabela 2 descreve os efeitos da mudança na configuração de cluster de servidor do Grupo VPNv2.

Você deve garantir que há apenas um servidor raiz em um cluster de servidor a qualquer momento.

Tabela 2: Efeitos das mudanças na configuração do cluster do servidor VPNv2 do grupo

Mudança na configuração do cluster do servidor

Cluster de servidor VPNv2 do grupo

Servidor raiz

Sub-servidor

Proposta de IKE, política ou gateway (cluster peer)

Para adições, não há mudanças. Para alterações ou exclusões, exclua o IKE SA para os peer afetados.

Cluster de servidor:

Adicionar

Nenhum.

Enviar "excluir tudo" para os membros do grupo. Exclua todos os SAs IKE membros do grupo. Exclua todos os TEKs e KEKs imediatamente no grupo. Exclua todos os membros registrados no grupo. Enviar cluster-init para o servidor raiz.

Mudar o papel

Você deve garantir que há apenas um servidor raiz em um cluster de servidor a qualquer momento.

Enviar "excluir tudo" para sub-servidores. Exclua todos os SAs IKE membros do grupo. Exclua todos os TEKs e KEKs imediatamente no grupo. Marque todos os pares inativos. Exclua todos os SAs IKE de servidor peer. Enviar cluster-init para o servidor raiz.

Rekey TEK. Rekey KEK. Enviar novas chaves para sub-servidores. Envie novas chaves aos membros.

Adicionar peer

Nenhum.

Exclua peer

Mark Peer inativo. IKE SA de peer claro.

Mark Peer inativo. Clear KEK. Clear TEK. IKE SA de peer claro.

Período de retransmissão de mudanças

Nenhum.

Exclua o cluster do servidor

Enviar "excluir tudo" para sub-servidores. Exclua todos os TEKs e KEKs imediatamente no grupo. Marque todos os pares inativos. Exclua todos os SAs IKE de servidor peer. Gere novos TEKs e KEKs de acordo com a configuração.

Exclua todos os SAs IKE membros do grupo. Exclua todos os TEKs e KEKs imediatamente no grupo. Exclua todos os membros registrados no grupo. Mark Peer inativo. Exclua os SAs IKE do servidor de peer. Gere novos TEK e KEK de acordo com a configuração.

Migrando um servidor VPNv2 de grupo autônomo para um cluster de servidor VPNv2 em grupo

O grupo VPNv2 tem suporte para SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 e dispositivos SRX4600 e instâncias vSRX. Esta seção descreve como migrar um servidor VPNv2 independente para um cluster de servidor VPNv2 do grupo.

Para migrar um servidor VPNv2 independente para um servidor raiz:

Recomendamos que o servidor raiz seja um cluster de chassi.

  1. Atualize o servidor VPNv2 autônomo para um cluster de chassi. Consulte o guia de usuário de cluster de chassi para dispositivos da Série SRX para obter mais informações

    Uma reinicialização é necessária durante a atualização de um dispositivo autônomo da Série SRX para um nó de cluster de chassi. Espera-se perda de tráfego.

  2. No cluster do chassi, adicione a configuração do servidor de cluster de cluster de servidor de grupo VPNv2. A função de servidor configurada para o cluster deve ser root-server.

    Não deve haver perda de tráfego entre os membros do grupo existentes durante a mudança de configuração.

Para adicionar um sub-servidor ao cluster de servidor VPNv2 do grupo:

  1. No servidor raiz, configure um gateway IKE de servidor VPNv2 em grupo e um gateway IKE de cluster de servidor para o sub-servidor. As SAs e o tráfego de membros existentes não devem ser afetados.

  2. No sub-servidor, configure o cluster do servidor. Lembre-se que a configuração VPNv2 do grupo deve ser a mesma em cada servidor do cluster, com exceção dos gateways IKE de servidor VPNv2 do grupo, a função do servidor no cluster e as configurações de gateway IKE de cluster de servidor. No sub-servidor, a função de servidor configurada no cluster deve ser sub-server. Configure um gateway IKE de servidor VPNv2 em grupo e um gateway IKE de cluster de servidor para o servidor raiz.

Para excluir um sub-servidor do cluster de servidor VPNv2 do grupo:

  1. No servidor raiz, exclua tanto o gateway IKE do servidor VPNv2 do grupo quanto as configurações de gateway IKE de cluster de servidor para o sub-servidor. As SAs e o tráfego de membros existentes não devem ser afetados.

  2. Desligue o sub-servidor.

Exemplo: Configuração de um cluster de servidor VPNv2 em grupo e membros

Este exemplo mostra como configurar um cluster de servidor VPNv2 de grupo para fornecer redundância e escalabilidade de controlador de grupo/servidor de chave (GCKS) aos membros do grupo VPNv2. O grupo VPNv2 tem suporte para SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 e dispositivos SRX4600 e instâncias vSRX.

Requisitos

O exemplo usa os seguintes componentes de hardware e software:

  • Oito dispositivos da Série SRX suportados ou instâncias vSRX em execução do Junos OS Versão 15.1X49-D30 ou posterior que oferecem suporte ao Grupo VPNv2:

    • Dois dispositivos ou instâncias estão configurados para operar como um cluster de chassi. O cluster de chassi opera como o servidor raiz no cluster de servidor VPNv2 do grupo. Os dispositivos ou instâncias devem ter a mesma versão e licenças de software.

      O servidor raiz é responsável por gerar e distribuir chaves de criptografia para sub-servidores no cluster de servidor VPN do grupo; por causa dessa responsabilidade, recomendamos que o servidor raiz seja um cluster de chassi.

    • Quatro outros dispositivos ou instâncias operam como sub-servidores no cluster de servidor VPNv2 do grupo.

    • Dois outros dispositivos ou instâncias operam como membros do grupo VPNv2.

  • Dois dispositivos da Série MX suportados que executam o Junos OS Release 15.1R2 ou posteriores que oferecem suporte ao Grupo VPNv2. Esses dispositivos operam como membros do grupo VPNv2.

Um nome de host, uma senha de administrador raiz e acesso de gerenciamento devem ser configurados em cada dispositivo da Série SRX ou instâncias vSRX. Recomendamos que o NTP também seja configurado em cada dispositivo.

As configurações neste exemplo se concentram no que é necessário para a operação do Grupo VPNv2, com base na topologia mostrada em Figura 3. Algumas configurações, como configurações de interface, roteamento ou cluster de chassi, não estão incluídas aqui. Por exemplo, a operação do Grupo VPNv2 requer uma topologia de roteamento de trabalho que permita que os dispositivos clientes cheguem aos locais pretendidos em toda a rede; este exemplo não abrange a configuração do roteamento estático ou dinâmico.

Visão geral

Neste exemplo, a rede VPNv2 do grupo consiste em um cluster de servidor e quatro membros. O cluster de servidor consiste em um servidor raiz e quatro sub-servidores. Dois dos membros são dispositivos da Série SRX ou instâncias vSRX, enquanto os outros dois membros são dispositivos da Série MX.

Os SAs vpn do grupo devem ser protegidos por uma SA fase 1. Portanto, a configuração de VPN do grupo deve incluir a configuração das negociações da Fase 1 do IKE no servidor raiz, nos sub-servidores e nos membros do grupo. As configurações do IKE são descritas da seguinte forma.

No servidor raiz:

  • A política SubSrv de IKE é usada para estabelecer SAs de Fase 1 com cada sub-servidor.

  • Um gateway IKE é configurado com detecção de peer morto (DPD) para cada sub-servidor.

  • A função de cluster do servidor é root-server e cada sub-servidor é configurado como um gateway IKE para o cluster de servidor.

O servidor raiz deve ser configurado para dar suporte à operação de cluster do chassi. No exemplo, interfaces Ethernet redundantes no servidor raiz conectam-se a cada um dos sub-servidores do cluster do servidor; toda a configuração de cluster do chassi não é mostrada.

Em cada sub-servidor:

  • Duas políticas de IKE estão configuradas: RootSrv é usado para estabelecer uma SA de Fase 1 com o servidor raiz, e GMs é usado para estabelecer SAs de Fase 1 com cada membro do grupo.

    As chaves pré-compartilhadas são usadas para proteger os SAs de Fase 1 entre o servidor raiz e os sub-servidores e entre os sub-servidores e os membros do grupo. Garanta que as chaves pré-compartilhadas usadas sejam chaves fortes. Nos sub-servidores, a chave pré-compartilhada configurada para a política RootSrv de IKE deve corresponder à chave pré-compartilhada configurada no servidor raiz e a chave pré-compartilhada configurada para a política GMs de IKE deve corresponder à chave pré-compartilhada configurada nos membros do grupo.

  • Um gateway IKE é configurado com DPD para o servidor raiz. Além disso, um gateway IKE está configurado para cada membro do grupo.

  • A função de cluster do servidor é sub-server e o servidor-raiz está configurado como o gateway IKE para o cluster de servidor.

Em cada membro do grupo:

  • A política SubSrv de IKE é usada para estabelecer SAs de Fase 1 com os sub-servidores.

  • A configuração do gateway IKE inclui os endereços dos sub-servidores.

Em dispositivos da Série SRX ou membros do grupo vSRX, uma política IPsec é configurada para o grupo com a zona LAN como a zona de saída (tráfego de entrada) e a zona DE WAN como zona de entrada (tráfego de saída). Uma política de segurança também é necessária para permitir o tráfego entre as zonas de LAN e WAN.

O mesmo identificador de grupo deve ser configurado no servidor do grupo e nos membros do grupo. Neste exemplo, o nome do grupo é GROUP_ID-0001 e o identificador de grupo é 1. A política de grupo configurada no servidor especifica que o SA e a chave são aplicados ao tráfego entre sub-redes na faixa 172.16.0.0/12.

Topologia

Figura 3 mostra que os dispositivos da Juniper Networks estão configurados para este exemplo.

Figura 3: Cluster de servidor VPNv2 em grupo com membros da Série SRX ou vSRX e MXCluster de servidor VPNv2 em grupo com membros da Série SRX ou vSRX e MX

Configuração

Configuração do servidor raiz

Configuração rápida de CLI

Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração no Guia de Usuário da CLI.

Para configurar o servidor-raiz:

  1. Configure zonas de segurança e políticas de segurança.

  2. Configure o cluster do chassi.

  3. Configure a proposta, a política e o gateway do IKE.

  4. Configure o IPsec SA.

  5. Configure o grupo VPN.

  6. Configure a política do grupo.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show interfaces, show chassis clustere show security comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Se terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração de sub-servidor 1

Configuração rápida de CLI

Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração no Guia de Usuário da CLI.

Para configurar o sub-servidor no cluster de servidor VPNv2 do grupo:

  1. Configure interfaces, zonas de segurança e políticas de segurança.

  2. Configure a proposta, a política e o gateway do IKE.

  3. Configure o IPsec SA.

  4. Configure o grupo VPN.

  5. Configure a política do grupo.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no e show security comandosshow interfaces. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Se terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração de sub-servidor 2

Configuração rápida de CLI

Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração no Guia de Usuário da CLI.

Para configurar o sub-servidor no cluster de servidor VPNv2 do grupo:

  1. Configure interfaces, zonas de segurança e políticas de segurança.

  2. Configure a proposta, a política e o gateway do IKE.

  3. Configure o IPsec SA.

  4. Configure o grupo VPN.

  5. Configure a política do grupo.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no e show security comandosshow interfaces. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Se terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração de sub-servidor 3

Configuração rápida de CLI

Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração no Guia de Usuário da CLI.

Para configurar o sub-servidor no cluster de servidor VPNv2 do grupo:

  1. Configure interfaces, zonas de segurança e políticas de segurança.

  2. Configure a proposta, a política e o gateway do IKE.

  3. Configure o IPsec SA.

  4. Configure o grupo VPN.

  5. Configure a política do grupo.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no e show security comandosshow interfaces. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Se terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração de sub-servidor 4

Configuração rápida de CLI

Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração no Guia de Usuário da CLI.

Para configurar o sub-servidor no cluster de servidor VPNv2 do grupo:

  1. Configure interfaces, zonas de segurança e políticas de segurança.

  2. Configure a proposta, a política e o gateway do IKE.

  3. Configure o IPsec SA.

  4. Configure o grupo VPN.

  5. Configure a política do grupo.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no e show security comandosshow interfaces. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Se terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração do GM-0001 (dispositivo da Série SRX ou instância vSRX)

Configuração rápida de CLI

Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração no Guia de Usuário da CLI.

Para configurar o membro do Grupo VPNv2:

  1. Configure interfaces, zonas de segurança e políticas de segurança.

  2. Configure a proposta, a política e o gateway do IKE.

  3. Configure o IPsec SA.

  4. Configure a política IPsec.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no e show security comandosshow interfaces. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Se terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração do GM-0002 (dispositivo da Série SRX ou instância vSRX)

Configuração rápida de CLI

Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração no Guia de Usuário da CLI.

Para configurar o membro do Grupo VPNv2:

  1. Configure interfaces, zonas de segurança e políticas de segurança.

  2. Configure a proposta, a política e o gateway do IKE.

  3. Configure o IPsec SA.

  4. Configure a política IPsec.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no e show security comandosshow interfaces. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Se terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração do GM-0003 (dispositivo da Série MX)

Configuração rápida de CLI

Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração no Guia de Usuário da CLI.

Para configurar o membro do Grupo VPNv2:

  1. Configure as interfaces.

  2. Configure a proposta, a política e o gateway do IKE.

  3. Configure o IPsec SA.

  4. Configure o filtro de serviço.

  5. Configure o conjunto de serviços.

Resultados

A partir do modo de configuração, confirme sua configuração entrando noshow interfaces, show securityshow servicese show firewall comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Se terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração do GM-0004 (dispositivo da Série MX)

Configuração rápida de CLI

Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração no Guia de Usuário da CLI.

Para configurar o membro do Grupo VPNv2:

  1. Configure as interfaces.

  2. Configure a proposta, a política e o gateway do IKE.

  3. Configure o IPsec SA.

  4. Configure o filtro de serviço.

  5. Configure o conjunto de serviços.

Resultados

A partir do modo de configuração, confirme sua configuração entrando noshow interfaces, show securityshow servicese show firewall comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Se terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Confirme se a configuração está funcionando corretamente.

Verificando a operação de cluster de servidor

Propósito

Verifique se os dispositivos no cluster do servidor reconhecem servidores peer no grupo. Garanta que os servidores estejam ativos e as funções do cluster sejam devidamente atribuídas.

Ação

A partir do modo operacional, entre no show security group-vpn server server-cluster, show security group-vpn server server-cluster detaile show security group-vpn server statistics comandos no servidor raiz.

A partir do modo operacional, entre no show security group-vpn server server-cluster, show security group-vpn server server-cluster detaile show security group-vpn server statistics comandos em cada sub-servidor.

Verificar se os SAs são distribuídos aos membros

Propósito

Verifique se os sub-servidores receberam SAs para distribuição aos membros do grupo e os membros do grupo receberam os SAs.

Ação

A partir do modo operacional, entre no show security group-vpn server kek security-associations e show security group-vpn server kek security-associations detail comandos no servidor raiz.

A partir do modo operacional, insira o show security group-vpn server kek security-associations e show security group-vpn server kek security-associations detail os comandos em cada sub-servidor.

A partir do modo operacional, entre no show security group-vpn member kek security-associations e show security group-vpn member kek security-associations detail comanda em cada membro do grupo.

Para membros do grupo SRX ou vSRX:

Para membros do grupo MX:

Verificação de SAs IKE nos servidores

Propósito

Exibir associações de segurança IKE (SAs) nos servidores.

Ação

A partir do modo operacional, entre no show security group-vpn server ike security-associations e show security group-vpn server ike security-associations detail comandos no servidor raiz.

A partir do modo operacional, insira o show security group-vpn server ike security-associations e show security group-vpn server ike security-associations detail os comandos em cada sub-servidor.

Verificando SAs IPsec nos servidores e membros do grupo

Propósito

Exibir associações de segurança IPsec (SAs) nos servidores e membros do grupo.

Ação

A partir do modo operacional, entre no show security group-vpn server ipsec security-associations e show security group-vpn server ipsec security-associations detail comandos no servidor raiz.

A partir do modo operacional, insira o show security group-vpn server ipsec security-associations e show security group-vpn server ipsec security-associations detail os comandos em cada sub-servidor.

A partir do modo operacional, entre no show security group-vpn member ipsec security-associations e show security group-vpn member ipsec security-associations detail comandos em cada membro do grupo

Para membros do grupo SRX ou vSRX:

Para membros do grupo MX:

Verificando as políticas do IPsec sobre os membros do grupo

Propósito

Exibir a política IPsec em um membro do grupo SRX ou vSRX.

Este comando não está disponível para membros do grupo da Série MX.

Ação

A partir do modo operacional, entre no comando em membros do show security group-vpn member policy grupo SRX ou vSRX.