Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Clusters de servidor de VPNv2 do grupo

O cluster de servidor VPNv2 do grupo fornece redundância de controlador de grupo/servidor de chaves (GCKS), portanto, não há um único ponto de falha para toda a rede vpn do grupo.

Entender clusters de servidor VPNv2 do grupo

No protocolo GDOI (Group Domain of Interpretation, Domínio de interpretação de grupo), o controlador de grupo/servidor de chaves (GCKS) gerencia as associações de segurança de VPN do grupo (SAs) e gera chaves de criptografia e as distribui a membros do grupo. Os membros do grupo criptografam tráfego com base nos SAs e chaves do grupo fornecidos pelo GCKS. Se o GCKS falhar, os membros do grupo não poderão registrar ou obter chaves. Um cluster de servidor VPNv2 de grupo fornece redundância GCKS, de maneira que não haja um único ponto de falha para toda a rede VPN do grupo. Clusters de servidor VPNv2 do grupo também podem fornecer balanceamento de carga, dimensionamento e redundância de enlaces.

O grupo VPNv2 é compatível com SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 e SRX4600 e vSRX. Todos os servidores de um cluster de servidor VPNv2 de grupo precisam ter suporte em dispositivos da Série SRX ou vSRX instâncias. Os clusters de servidor VPNv2 do grupo são uma Juniper Networks proprietária e não têm interoperabilidade com os GCKS de outros fornecedores.

Servidor raiz e sub-servidores

Um cluster de servidor VPNv2 de grupo consiste em um servidor raiz com até quatro sub-servidores conectados. Todos os servidores do cluster compartilham as mesmas chaves de SA e criptografia que são distribuídas para os membros do VPNv2 do grupo. Os servidores no cluster podem estar localizados em locais diferentes, como mostrado em Figura 1 .

Figura 1: Cluster de servidor de VPNv2 do grupoCluster de servidor de VPNv2 do grupo

As mensagens entre servidores no cluster são criptografadas e autenticadas por IKE SAs. O servidor raiz é responsável pela geração e distribuição de chaves de criptografia para subscritivos; por causa dessa responsabilidade, recomendamos que o servidor raiz seja configurado como um cluster de chassi. Os sub-servidores são dispositivos individuais e não podem ser clusters de chassi. Os sub-servidores precisam ser capazes de se conectar ao servidor raiz, embora os enconexões diretas entre sub-servidores não sejam necessários.

Caso um sub-servidor perca sua conexão com o servidor raiz, nenhuma conexão posterior com o sub servidor dos membros do grupo é permitida e os SAs são excluídos. Portanto, recomendamos que você use um enlace diferente para conectar cada sub servidor ao servidor raiz.

Os clusters de servidor VPNv2 do grupo estão configurados com as server-cluster declarações no nível [ ] da edit security group-vpn server group-name hierarquia. Os valores a seguir devem ser configurados para cada servidor em um cluster:

  • A função do servidor — Especifique root-server ou sub-server . Um determinado servidor pode fazer parte de vários clusters de servidor VPNv2 do grupo, mas ele deve ter a mesma função de servidor em todos os clusters. Um servidor não pode ser configurado com a função do servidor raiz em um grupo e a função do sub servidor em outro grupo.

    Você deve garantir que haja apenas um servidor raiz a qualquer momento para um cluster de servidor VPNv2 de grupo.

  • IKE gateway — Especifique o nome de um IKE gateway configurado no nível [ edit security group-vpn server ike ] da hierarquia. Para um servidor raiz, o gateway IKE de acesso deve ser um sub servidor no cluster; até quatro sub-servidores podem ser especificados. Para sub-servidores, o gateway IKE de acesso deve ser o servidor raiz.

    O servidor raiz e os sub-servidores precisam estar configurados e não podem ser configurados para um endereço dead-peer-detection always-send IP dinâmico (não especificado). Os membros do grupo não estão configurados com detecção de peers morta.

A configuração de VPNv2 de grupo deve ser a mesma em cada sub servidor em um determinado grupo.

Cada sub servidor do cluster de servidor vpnv2 do grupo opera como um GCKS normal para registrar e excluir membros. Após o registro de membro bem-sucedido, o servidor de registro é responsável pelo envio de atualizações ao membro. Para um determinado grupo, você pode configurar o número máximo de membros vpNv2 do grupo que podem ser aceitos por cada sub-servidor; esse número deve ser o mesmo em todos os sub servidores do cluster. Um sub-servidor para de responder às solicitações de registro de novos membros quando atingir o número máximo de membros do VPNv2 do grupo configurado. Veja Balanceamento de carga .

Registro de membros de grupo com clusters de servidor

Os membros do grupo podem se registrar em qualquer servidor do cluster de servidor VPNv2 do grupo para um determinado grupo, no entanto, recomendamos que os membros se conectem apenas a sub-servidores e não ao servidor raiz. Até quatro endereços de servidor podem ser configurados em cada membro do grupo. Os endereços do servidor configurados nos membros do grupo podem ser diferentes. No exemplo mostrado abaixo, o membro do grupo A está configurado para sub servidores de 1 a 4, enquanto o membro B está configurado para sub servidores 4 e 3:

Membro do grupo A:

Membro do grupo B:

Endereços de servidor:

Sub-servidor 1

Sub-servidor 2

Sub-servidor 3

Sub-servidor 4

Sub-servidor 4

Sub-servidor 3

A ordem de configuração dos endereços do servidor em um membro é importante. Um membro do grupo tenta se registrar com o primeiro servidor configurado. Caso o registro com um servidor configurado não tenha sucesso, o membro do grupo tenta se registrar no próximo servidor configurado.

Cada servidor em um cluster de servidor VPNv2 do grupo opera como um GCKS normal para registrar e excluir membros. Após o registro bem-sucedido, o servidor de registro é responsável pelo envio de atualizações ao membro por meio groupkey-push de trocas. Para um determinado grupo, você pode configurar o número máximo de membros do grupo que pode ser aceito por cada servidor, no entanto, esse número deve ser o mesmo em todos os servidores do cluster para um determinado grupo. Ao atingir o número máximo de membros do grupo configurado, um servidor para de responder às solicitações de registro por novos membros. Consulte Balanceamento de carga para obter informações adicionais.

Detecção de peers mortos

Para verificar a disponibilidade de servidores peer em um cluster de servidor Group VPNv2, cada servidor no cluster deve estar configurado para enviar solicitações de detecção de peers (DPD) mortas, independentemente de haver tráfego IPsec de saída para o peer. Isso é configurado com a dead-peer-detection always-send instrução em nível edit security group-vpn server ike gateway gateway-name de hierarquia [ ]

Um servidor ativo em um cluster de servidor VPNv2 de grupo envia sondas DPD para IKE gateways (s) configurados no cluster do servidor. O DPD não deve ser configurado para um grupo, porque vários grupos podem compartilhar a mesma configuração de gateway IKE servidor peer. Quando o DPD detecta que um servidor está inovado, IKE S.A. com esse servidor é excluído. Todos os grupos marcam o servidor como inativo, e o DPD ao servidor é interrompido.

O DPD não deve ser configurado para o gateway IKE os membros do grupo.

Quando o DPD marca o servidor raiz como inativo, os sub-servidores param de responder a novas solicitações de membro do grupo, porém os SAs existentes para os membros do grupo atual continuam ativos. Um sub servidor inativo não envia exclusões para membros do grupo porque os SAs ainda podem ser válidos e os membros do grupo podem continuar usando SAs existentes.

Se uma IKE SA expirar enquanto um servidor peer ainda está ativo, o DPD aciona IKE negociação DE SA. Como servidores raiz e sub-servidores podem acionar IKE SAs por meio de DPD, a negociação simultânea pode resultar em várias SAs IKE SAs. Neste caso, não há impacto na funcionalidade do cluster do servidor.

Balanceamento de carga

O balanceamento de carga no cluster de servidor group VPNv2 pode ser obtido configurando o valor member-threshold certo para o grupo. Quando o número de membros registrado em um servidor exceder o valor, o registro de membro posterior member-threshold nesse servidor é recusado. O registro de membro falha ao próximo servidor configurado no membro do grupo até chegar a um servidor cujo member-threshold ainda não foi atingido.

Existem duas restrições na configuração member-threshold do:

  • Para um determinado grupo, o mesmo valor deve ser configurado no servidor raiz e em todos os member-threshold sub servidores em um cluster de servidor de grupo. Se o número total de membros do grupo exceder o valor configurado, um registro iniciado por um novo membro member-threshold será recusado (o servidor não envia groupkey-pull uma resposta).

  • Um servidor pode dar suporte a membros em vários grupos. Cada servidor tem um número máximo de membros de grupo que ele pode suportar. Se um servidor atingir o número máximo de membros que ele pode suportar, um registro iniciado por um novo membro será recusado, mesmo se o valor de um grupo específico não groupkey-pullmember-threshold tiver sido atingido.

Não existe sincronização entre os servidores do cluster. O servidor raiz não tem informações sobre o número de membros registrados nos sub-servidores. Cada sub-servidor só pode mostrar seus próprios membros registrados.

Entender as limitações do cluster do servidor VPNv2 do grupo

O grupo VPNv2 é compatível com SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 e SRX4600 e vSRX. Observe as seguintes ressalvas ao configurar clusters de servidor VPNv2 do grupo:

  • A autenticação de certificado não é suportada para autenticação de servidor; somente chaves pré-compartilhadas podem ser configuradas.

  • Não há sincronização de configuração entre servidores no cluster de servidor group VPNv2.

  • Ao habilizar um cluster de servidor VPNv2 de grupo, a configuração deve ser feita primeiro no servidor raiz e depois nos sub-servidores. Até que a configuração seja sincronizada manualmente entre os servidores, a perda de tráfego pode ser esperada durante a mudança de configuração.

  • Em determinados casos, os SAs no grupo VPNv2 podem estar fora de sincronização. Os membros da VPN do grupo podem sincronizar SAs conseguindo uma nova chave por meio de uma groupkey-pull troca. Você pode limpar manualmente SAs em um membro vpNv2 do grupo com os ou comandos para ajudar a clear security group-vpn member ipsec security-associationsclear security group-vpn member group acelerar a recuperação.

  • O cluster de servidor VPNv2 do grupo não tem suporte para ISSU.

  • Se a última mensagem for perdida durante o registro de um membro vpNv2 do grupo, um servidor pode considerar o membro registrado, embora o membro possa falhar até o próximo servidor no cluster do groupkey-pull servidor. Nesse caso, o mesmo membro pode parecer estar registrado em vários servidores. Se o limiar total de membro em todos os servidores for igual ao número total de membros implantados, os membros do grupo posterior podem não se registrar.

Observe as seguintes ressalvas para as operações de cluster de chassi no servidor raiz:

  • Nenhuma estatística é preservada.

  • Nenhum dado ou estado de negociação é salvo. Se um failover de cluster de chassi do servidor raiz ocorrer durante uma ou negociação, a negociação não será reinicializada groupkey-pullgroupkey-push após o failover.

  • Caso ambos os nós de cluster de chassi de um servidor raiz caiam durante uma rekey de uma chave de criptografia, alguns membros do grupo VPNv2 podem receber a nova chave, enquanto outros membros não. O tráfego pode ser impactado. Limpar SAs manualmente em um membro VPNv2 do grupo com os ou comandos pode ajudar a acelerar a recuperação quando o clear security group-vpn member ipsec security-associations servidor raiz se tornar clear security group-vpn member group alcançável.

  • Em um ambiente de grande escala, o failover de RG0 no servidor raiz pode levar algum tempo. Se o intervalo e o limiar de DPD em um sub servidor estão configurados com valores pequenos, ele pode resultar no sub-servidor marcando o servidor raiz como inativo durante um failover do RG0. O tráfego pode ser impactado. Recomendamos que você configure o gateway IKE para o sub servidor com um valor DPD interval * threshold maior que 150 segundos.

Entender as mensagens do cluster do servidor VPNv2 do grupo

O grupo VPNv2 é compatível com SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 e SRX4600 e vSRX. Todas as mensagens entre servidores em um cluster de servidor VPNv2 do grupo são criptografadas e autenticadas por uma IKE de segurança (SA). Cada sub-servidor inicia uma IKE SA com o servidor raiz; essa IKE SA deve ser estabelecida antes que mensagens possam ser trocadas entre os servidores.

Esta seção descreve as mensagens trocadas entre o servidor raiz e os sub-servidores.

Trocas de cluster

Figura 2 mostra as mensagens básicas trocadas entre o cluster de servidor vpnv2 do grupo e os membros do VPNv2 do grupo.

Figura 2: Mensagens de cluster de servidor do grupo VPNv2Mensagens de cluster de servidor do grupo VPNv2

Trocas de cluster-Init

Um sub-servidor lança uma troca de inicialização de clusters com o servidor raiz para obter cluster-init informações-chave de SA e criptografia. O servidor raiz responde enviando informações SA atuais ao sub servidor por meio do cluster-init exchange.

Os sub-servidores podem responder a solicitações de registro dos membros do grupo VPNv2 por meio de groupkey-pull uma troca. A groupkey-pull troca permite que um membro do grupo VPNv2 solicite SAs e chaves compartilhadas pelo grupo a partir de um sub servidor.

Sub-servidores iniciam uma cluster-init troca com o servidor raiz quando:

  • O servidor raiz é considerado inativo. Esse é o estado inicial do servidor raiz. Caso não haja uma IKE SA entre o servidor raiz e o sub servidor, o sub-servidor iniciará uma IKE SA com o servidor raiz. Após uma troca cluster-init bem-sucedida, o sub servidor obtém informações sobre SAs e marca o servidor raiz como ativo.

  • O tempo de vida útil da S.A. expirou.

  • Recebemos cluster-update uma mensagem para excluir todos os SAs.

  • Existem alterações na configuração de grupo.

Se a cluster-init troca falhar, o sub-servidor reajusta a troca com o servidor raiz a cada 5 segundos.

Mensagens de atualização de cluster

A troca é uma única mensagem rekey que permite que um controlador de grupo/servidor de chaves (GCKS) envie SAs de grupo e chaves para os membros antes que os SAs do grupo existente expirem e atualizem a adesão ao groupkey-push grupo. Mensagens chaves são mensagens não solicitadas enviadas do GCKS para os membros

Ao gerar novas chaves de criptografia para uma SA, o servidor raiz envia atualizações de SA para todos os sub servidores ativos por meio de uma cluster-update mensagem. Depois de receber um do servidor raiz, o sub-servidor instala a nova SA e envia as novas informações DES por meio de a para seus membros cluster-updategroupkey-push do grupo registrado.

Uma mensagem enviada do servidor raiz requer um cluster-update reconhecimento do sub-servidor. Caso não haja reconhecimento recebido de um sub servidor, o servidor raiz retransmiti o no período de retransmissão configurada (o padrão é cluster-update de 10 segundos). O servidor raiz não retransmite se a detecção de peers morta (DPD) indicar que o sub servidor está indisponível. Caso um sub-servidor não atualize informações DEA depois de receber um, ele não enviará um reconhecimento e o cluster-update servidor raiz retransmiti a cluster-update mensagem.

Se a vida útil mole de uma SA expirar antes de receber uma nova SA do servidor raiz, o sub servidor enviará uma mensagem ao servidor raiz para receber todos os SAs e não enviar uma mensagem para seus membros até ter cluster-initgroupkey-push uma nova atualização. Se a dura vida útil de uma SA expirar no sub servidor antes de receber uma nova SA, o sub servidor marca o servidor raiz inativo, exclui todos os membros do grupo registrado e continua a enviar mensagens para o cluster-init servidor raiz.

Uma mensagem pode ser enviada para excluir um SA ou um membro do grupo; isso pode ser o resultado de cluster-update um comando ou uma mudança de clear configuração. Se um sub servidor receber uma mensagem para excluir uma SA, ele enviará uma mensagem de exclusão para seus membros do grupo e cluster-updategroupkey-push excluirá a SA correspondente. Se todos os SAs de um grupo são excluídos, o sub servidor inicia uma cluster-init troca com o servidor raiz. Caso todos os membros registrados sejam excluídos, o sub-servidor excluirá todos os membros registrados localmente.

Entender as mudanças de configuração com clusters de servidor VPNv2 de grupo

O grupo VPNv2 é compatível com SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 e SRX4600 e vSRX. Os clusters de servidor VPNv2 do grupo se comportam de maneira diferente dos servidores VPNv2 do grupo autônomo quando há alterações de configuração que resultam em novas chaves de criptografia e alterações em associações de segurança (SAs). O servidor raiz envia atualizações ou exclusões de SA para sub-servidores por meio de cluster-update mensagens. Os sub-servidores enviam groupkey-push mensagens para os membros. Os sub-servidores não podem enviar mensagens de exclusão para membros do grupo sem primeiro receber mensagens de exclusão do servidor raiz.

Todas as alterações de configuração devem ser feitas no servidor raiz primeiro e, em seguida, nos sub servidores para garantir que os membros do grupo recebam atualizações ou exclusões como esperado. Até que a configuração seja sincronizada entre os servidores do cluster de servidor VpNv2 do grupo, a perda de tráfego pode ser esperada.

Tabela 1 descreve os efeitos de várias alterações de configuração nos servidores VPNv2 do grupo.

Tabela 1: Efeitos das alterações de configuração nos servidores VPNv2 de grupo

Mudança de configuração

Ação do servidor VPNv2 do grupo autônomo

Ação de cluster de servidor do grupo VPNv2

Servidor raiz

Sub-servidor

Alterar IKE proposta, política ou gateway

Elimine a IKE SA do gateway afetado. Para IKE proposta, política ou exclusões do gateway, elimine os membros registrados do gateway afetado.

Alterar a proposta do IPsec

As alterações são efetivas após a chave de criptografia de tráfego (TEK) ser reforada.

Alterações em grupo:

Excluir nome do grupo

Envie "delete all" para os membros do grupo. Elimine todas IKE SAs do grupo. Elimine todas as chaves do grupo imediatamente. Elimine todos os membros registrados do grupo.

Envie "delete all" para sub-servidores. Elimine todas as chaves do grupo imediatamente. Marque todos os colegas inativos. Elimine SAs de IKE sub-servidor. Elimine todos os IKE SAs.

Elimine todos os IKE SAs. Elimine todas as chaves do grupo imediatamente. Elimine todos os membros registrados do grupo. Mark peer inativo. Delete peer server IKE SAs.

ID de mudança

Envie "delete all" para todos os membros. Elimine todas IKE SAs do grupo. Elimine todas as chaves do grupo imediatamente. Elimine todos os membros registrados do grupo. Gere novas chaves de acordo com a configuração.

Envie "delete all" para sub-servidores. Elimine todos os IKE SAs do grupo. Elimine todas as chaves do grupo imediatamente. Marque todos os colegas inativos. Elimine todos os SAs IKE peer server. Gere novas chaves de acordo com a configuração.

Elimine todos os IKE SAs do grupo. Elimine todas as chaves do grupo imediatamente. Elimine todos os membros registrados do grupo. Mark peer inativo. Delete peer server IKE SAs. Iniciar uma nova cluster-init troca.

Adicionar ou excluir IKE gateway

Sem alterações para adições. Para exclusões, exclua os IKE E.S. e os membros registrados do gateway afetado.

Adicionar ou alterar a janela de tempo anti-replay

Um novo valor entra em vigor após a re-chave do TEK.

Adicionar ou alterar nenhuma anti-replay

Um novo valor entra em vigor após a re-chave do TEK.

Alterações na comunicação com membro do servidor:

Adicionar

Elimine todos os membros registrados. Gere a chave de criptografia (KEK) SA.

Gere o KEK SA. Envie um novo SA DE KEK para o sub servidor. Elimine todos os IKE SAs.

Elimine todos os membros registrados.

Mudar

Um novo valor entra em vigor após a re-chave da KEK.

Excluir

Enviar exclusão para excluir todos os SAs KEK. Elimine o KEK SA.

Enviar exclusão para sub-servidores. Elimine o KEK SA. Elimine todos os IKE SAs.

Elimine o KEK SA.

IPsec SA:

Adicionar

Gere um novo TEK SA. Atualize a nova S.A. de TEK nos membros.

Gere um novo TEK SA. Envie um novo TEK SA para sub servidores.

Sem ação.

Mudar

Um novo valor entra em vigor após a re-chave do TEK.

Caso a política de combinação mude, o TEK atual é removido imediatamente e o delete groupkey-push é enviado porque os membros precisam ser notificados explicitamente para que essa configuração seja removida.

Se a política de combinação for mudada, envie a exclusão para sub-servidores. Elimine o TEK imediatamente.

Se a política de combinação mudar, elimine o TEK imediatamente.

Excluir

Elimine o TEK imediatamente. Enviar exclusão para excluir este TEK SA.

Enviar exclusão para sub-servidores. Elimine o TEK imediatamente.

Elimine o TEK imediatamente.

Tabela 2 descreve os efeitos da mudança na configuração do cluster de servidor do grupo VPNv2.

Você deve garantir que haja apenas um servidor raiz em um cluster de servidor a qualquer momento.

Tabela 2: Efeitos das alterações na configuração do cluster do servidor VPNv2 do grupo

Mudança na configuração do cluster de servidor

Cluster de servidor de VPNv2 do grupo

Servidor raiz

Sub-servidor

IKE proposta, política ou gateway (peer de cluster)

Para as adições, não há mudança. Para alterações ou exclusões, elimine a IKE SA do peer afetado.

Cluster de servidor:

Adicionar

Nenhum.

Envie "delete all" para os membros do grupo. Elimine todos os IKE SAs do grupo. Elimine todos os TEKs e KEKs imediatamente no grupo. Elimine todos os membros registrados do grupo. Enviar cluster-init para o servidor raiz.

Função de mudança

Você deve garantir que haja apenas um servidor raiz em um cluster de servidor a qualquer momento.

Envie "delete all" para sub-servidores. Elimine todos os IKE SAs do grupo. Elimine todos os TEKs e KEKs imediatamente no grupo. Marque todos os colegas inativos. Elimine todos os SAs IKE peer server. Enviar cluster-init para o servidor raiz.

Rekey TEK. Rekey KEK. Envie novas chaves para sub servidores. Envie novas chaves para os membros.

Adicionar peer

Nenhum.

Excluir peer

Mark peer inativo. Clear peer IKE SA.

Mark peer inativo. Limpar o KEK. Clear TEK. Clear peer IKE SA.

Período de retransmissão de alterações

Nenhum.

Excluir cluster de servidor

Envie "delete all" para sub-servidores. Elimine todos os TEKs e KEKs imediatamente no grupo. Marque todos os colegas inativos. Elimine todos os SAs IKE peer server. Gere novos TEKs e KEKs de acordo com a configuração.

Elimine todos os IKE SAs do grupo. Elimine todos os TEKs e KEKs imediatamente no grupo. Elimine todos os membros registrados do grupo. Mark peer inativo. Delete peer server IKE SAs. Gere novos TEK e KEK de acordo com a configuração.

Migração de um servidor VPNv2 de grupo independente para um cluster de servidor de VPNv2 de grupo

O grupo VPNv2 é compatível com SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 e SRX4600 e vSRX. Esta seção descreve como migrar um servidor VPNv2 de grupo autônomo para um cluster de servidor vpNv2 de grupo.

Para migrar um servidor VPNv2 de grupo independente para um servidor raiz:

Recomendamos que o servidor raiz seja um cluster de chassi.

  1. Atualize o servidor VPNv2 do grupo autônomo para um cluster de chassi. Consulte o Guia do Usuário do Cluster de Chassis para Dispositivos da Série SRX para obter mais informações

    É necessário reinicializar durante a atualização de um dispositivo da Série SRX independente para um nó de cluster de chassi. A perda de tráfego é esperada.

  2. No cluster de chassi, adicione a configuração do servidor raiz do cluster do grupo VPNv2. A função do servidor configurada para o cluster deve ser root-server .

    Não deve haver perda de tráfego entre os membros do grupo existentes durante a mudança de configuração.

Para adicionar um sub-servidor ao cluster de servidor group VPNv2:

  1. No servidor raiz, configure um gateway de servidor VPNv2 de grupo IKE gateway e um gateway de IKE de cluster de servidor para o sub servidor. SAs e tráfego de membros existentes não devem ser afetados.

  2. No sub servidor, configure o cluster do servidor. Lembre-se de que a configuração de VPNv2 do grupo deve ser a mesma em cada servidor do cluster, com exceção dos gateways de servidor VPNv IKE 2 do grupo, da função do servidor no cluster e do cluster de servidor IKE de gateway. No sub servidor, a função do servidor configurada no cluster deve ser sub-server . Configure um servidor VPNv2 do grupo IKE gateway e um gateway de cluster de servidor IKE gateway para o servidor raiz.

Para excluir um sub-servidor do cluster de servidor group VPNv2:

  1. No servidor raiz, elimine o gateway de servidor VpNv2 do grupo IKE e o cluster de servidor IKE configurações de gateway para o sub servidor. SAs e tráfego de membros existentes não devem ser afetados.

  2. Power off the sub-server.

Exemplo: Configurando um cluster de servidor de VPNv2 de grupo e membros

Este exemplo mostra como configurar um cluster de servidor group VPNv2 para fornecer redundância e redundância de controlador de grupo/servidor-chave (GCKS) para os membros do grupo VPNv2. O grupo VPNv2 é compatível com SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 e SRX4600 e vSRX.

Requisitos

O exemplo usa os seguintes componentes de hardware e software:

  • Oito dispositivos da Série SRX suportados ou vSRX instâncias em execução no Junos OS Release 15.1X49-D30 ou mais tarde com suporte ao grupo VPNv2:

    • Dois dispositivos ou instâncias estão configurados para operar como um cluster de chassi. O cluster de chassi funciona como o servidor raiz no cluster de servidor group VPNv2. Os dispositivos ou instâncias devem ter as mesmas licenças e versão de software.

      O servidor raiz é responsável pela geração e distribuição de chaves de criptografia para subscritivos no cluster de servidor VPN do grupo; por causa dessa responsabilidade, recomendamos que o servidor raiz seja um cluster de chassi.

    • Quatro outros dispositivos ou instâncias operam como sub-servidores no cluster de servidor group VPNv2.

    • Dois outros dispositivos ou instâncias funcionam como membros do grupo VPNv2 do grupo.

  • Dois dispositivos da Série MX com suporte que executam a versão do Junos OS 15.1R2 ou mais tarde compatíveis com o grupo VPNv2. Esses dispositivos funcionam como membros do grupo VPNv2 do grupo.

Um nome de host, uma senha do administrador raiz e acesso ao gerenciamento devem ser configurados em cada dispositivo da Série SRX ou vSRX instância. Recomendamos que o NTP também seja configurado em cada dispositivo.

As configurações deste exemplo concentram-se no que é necessário para a operação do grupo VPNv2, com base na topologia mostrada em Figura 3 . Algumas configurações, como configurações de cluster de interface, roteamento ou chassi, não estão incluídas aqui. Por exemplo, a operação do grupo VPNv2 requer uma topologia de roteamento funcionando que permita que os dispositivos do cliente alcancem seus sites destinados em toda a rede; este exemplo não abrange a configuração de roteamento estático ou dinâmico.

Visão geral

Neste exemplo, a rede vpNv2 do grupo consiste em um cluster de servidor e quatro membros. O cluster de servidor consiste em um servidor raiz e quatro sub-servidores. Dois dos membros são dispositivos da Série SRX ou vSRX instâncias, enquanto os outros dois são dispositivos da Série MX.

As SAs de VPN do grupo devem ser protegidas por uma S.A. fase 1. Portanto, a configuração de VPN de grupo deve incluir IKE a configuração de IKE fase 1 de negociações no servidor raiz, nos sub-servidores e nos membros do grupo. IKE configurações são descritas da seguinte forma.

No servidor raiz:

  • A IKE de SubSrv segurança é usada para estabelecer SAs de Fase 1 com cada sub servidor.

  • Um IKE gateway está configurado com DPD (Dead Peer Detection, Detecção de peer morta) para cada sub servidor.

  • A função do cluster do servidor é e cada sub servidor está configurado como um root-server IKE gateway para o cluster do servidor.

O servidor raiz deve ser configurado para dar suporte à operação do cluster de chassi. No exemplo, interfaces Ethernet redundantes no servidor raiz se conectam a cada um dos sub-servidores do cluster do servidor; toda a configuração de cluster de chassi não é mostrada.

Em cada sub servidor:

  • Duas IKE estão configuradas: RootSrv é usado para estabelecer uma SA de Fase 1 com o servidor raiz, e é usado para estabelecer SAs de Fase GMs 1 com cada membro do grupo.

    As chaves pré-compartilhadas são usadas para proteger as SAs de Fase 1 entre o servidor raiz e os sub-servidores e entre os sub-servidores e os membros do grupo. Certifique-se de que as chaves pré-compartilhadas usadas sejam chaves fortes. Nos sub-servidores, a chave pré-compartilhada configurada para IKE da política de IKE deve combinar com a chave pré-compartilhada configurada no servidor raiz, e a chave pré-compartilhada configurada para IKE política de IKE deve corresponder à chave pré-compartilhada configurada nos membros do RootSrvGMs grupo.

  • Um IKE gateway está configurado com DPD para o servidor raiz. Além disso, um IKE gateway de acesso está configurado para cada membro do grupo.

  • A função do cluster do servidor é e o servidor raiz está configurado como o sub-server IKE gateway para o cluster do servidor.

Em cada membro do grupo:

  • A IKE política de segurança é usada para estabelecer SAs de Fase SubSrv 1 com os sub-servidores.

  • A IKE de gateway inclui os endereços dos sub-servidores.

Nos dispositivos da Série SRX ou vSRX de grupo, uma política IPsec está configurada para o grupo com a zona LAN como a zona de LAN (tráfego de entrada) e a zona wan como a zona a zona (tráfego de saída). Uma política de segurança também é necessária para permitir o tráfego entre as zonas de LAN e WAN.

O mesmo identificador de grupo deve estar configurado no servidor de grupo e nos membros do grupo. Neste exemplo, o nome do grupo é GROUP_ID-0001 e o identificador de grupo é 1. A política de grupo configurada no servidor especifica que a S.A. e a chave são aplicadas ao tráfego entre sub-redes na gama 172.16.0.0/12.

Topologia

Figura 3 mostra os Juniper Networks de segurança a serem configurados para este exemplo.

Figura 3: Cluster de servidor do grupo VPNv2 com membros da série SRX ou vSRX e da série MXCluster de servidor do grupo VPNv2 com membros da série SRX ou vSRX e da série MX

Configuração

Configuração do servidor raiz

Configuração rápida CLI

Para configurar rapidamente este exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar a configuração da rede, copie e copie e copie os comandos na CLI no nível da hierarquia e, em seguida, entre no modo de [edit]commit configuração.

Procedimento passo a passo

O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Como usar o Editor de CLI no modo de configuração no Guia do Usuário cli.

Para configurar o servidor raiz:

  1. Configure zonas de segurança e políticas de segurança.

  2. Configure o cluster de chassi.

  3. Configure a IKE, a política e o gateway.

  4. Configure o IPsec SA.

  5. Configure o grupo VPN.

  6. Configure a política de grupo.

Resultados

A partir do modo de configuração, confirme sua configuração show interfaces inserindo os show chassis cluster comandos , e . show security Se a saída não apresentar a configuração pretendido, repetir as instruções neste exemplo para corrigir a configuração.

Caso você não configure o dispositivo, entre commit no modo de configuração.

Configuração do sub-servidor 1

Configuração rápida CLI

Para configurar rapidamente este exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar a configuração da rede, copie e copie e copie os comandos na CLI no nível da hierarquia e, em seguida, entre no modo de [edit]commit configuração.

Procedimento passo a passo

O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Como usar o Editor de CLI no modo de configuração no Guia do Usuário cli.

Para configurar o sub-servidor no cluster de servidor group VPNv2:

  1. Configure interfaces, zonas de segurança e políticas de segurança.

  2. Configure a IKE, a política e o gateway.

  3. Configure o IPsec SA.

  4. Configure o grupo VPN.

  5. Configure a política de grupo.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo show interfaces os comandos e os show security comandos. Se a saída não apresentar a configuração pretendido, repetir as instruções neste exemplo para corrigir a configuração.

Caso você não configure o dispositivo, entre commit no modo de configuração.

Configuração do sub-servidor 2

Configuração rápida CLI

Para configurar rapidamente este exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar a configuração da rede, copie e copie e copie os comandos na CLI no nível da hierarquia e, em seguida, entre no modo de [edit]commit configuração.

Procedimento passo a passo

O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Como usar o Editor de CLI no modo de configuração no Guia do Usuário cli.

Para configurar o sub-servidor no cluster de servidor group VPNv2:

  1. Configure interfaces, zonas de segurança e políticas de segurança.

  2. Configure a IKE, a política e o gateway.

  3. Configure o IPsec SA.

  4. Configure o grupo VPN.

  5. Configure a política de grupo.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo show interfaces os comandos e os show security comandos. Se a saída não apresentar a configuração pretendido, repetir as instruções neste exemplo para corrigir a configuração.

Caso você não configure o dispositivo, entre commit no modo de configuração.

Configuração do sub-servidor 3

Configuração rápida CLI

Para configurar rapidamente este exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar a configuração da rede, copie e copie e copie os comandos na CLI no nível da hierarquia e, em seguida, entre no modo de [edit]commit configuração.

Procedimento passo a passo

O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Como usar o Editor de CLI no modo de configuração no Guia do Usuário cli.

Para configurar o sub-servidor no cluster de servidor group VPNv2:

  1. Configure interfaces, zonas de segurança e políticas de segurança.

  2. Configure a IKE, a política e o gateway.

  3. Configure o IPsec SA.

  4. Configure o grupo VPN.

  5. Configure a política de grupo.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo show interfaces os comandos e os show security comandos. Se a saída não apresentar a configuração pretendido, repetir as instruções neste exemplo para corrigir a configuração.

Caso você não configure o dispositivo, entre commit no modo de configuração.

Configuração do sub-servidor 4

Configuração rápida CLI

Para configurar rapidamente este exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar a configuração da rede, copie e copie e copie os comandos na CLI no nível da hierarquia e, em seguida, entre no modo de [edit]commit configuração.

Procedimento passo a passo

O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Como usar o Editor de CLI no modo de configuração no Guia do Usuário cli.

Para configurar o sub-servidor no cluster de servidor group VPNv2:

  1. Configure interfaces, zonas de segurança e políticas de segurança.

  2. Configure a IKE, a política e o gateway.

  3. Configure o IPsec SA.

  4. Configure o grupo VPN.

  5. Configure a política de grupo.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo show interfaces os comandos e os show security comandos. Se a saída não apresentar a configuração pretendido, repetir as instruções neste exemplo para corrigir a configuração.

Caso você não configure o dispositivo, entre commit no modo de configuração.

Configurando a instância GM-0001 (Dispositivo da Série SRX ou vSRX Instância)

Configuração rápida CLI

Para configurar rapidamente este exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar a configuração da rede, copie e copie e copie os comandos na CLI no nível da hierarquia e, em seguida, entre no modo de [edit]commit configuração.

Procedimento passo a passo

O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Como usar o Editor de CLI no modo de configuração no Guia do Usuário cli.

Para configurar o membro do grupo VPNv2:

  1. Configure interfaces, zonas de segurança e políticas de segurança.

  2. Configure a IKE, a política e o gateway.

  3. Configure o IPsec SA.

  4. Configure a política IPsec.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo show interfaces os comandos e os show security comandos. Se a saída não apresentar a configuração pretendido, repetir as instruções neste exemplo para corrigir a configuração.

Caso você não configure o dispositivo, entre commit no modo de configuração.

Configurando o GM-0002 (Dispositivo da Série SRX ou vSRX Instância)

Configuração rápida CLI

Para configurar rapidamente este exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar a configuração da rede, copie e copie e copie os comandos na CLI no nível da hierarquia e, em seguida, entre no modo de [edit]commit configuração.

Procedimento passo a passo

O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Como usar o Editor de CLI no modo de configuração no Guia do Usuário cli.

Para configurar o membro do grupo VPNv2:

  1. Configure interfaces, zonas de segurança e políticas de segurança.

  2. Configure a IKE, a política e o gateway.

  3. Configure o IPsec SA.

  4. Configure a política IPsec.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo show interfaces os comandos e os show security comandos. Se a saída não apresentar a configuração pretendido, repetir as instruções neste exemplo para corrigir a configuração.

Caso você não configure o dispositivo, entre commit no modo de configuração.

Configurando o GM-0003 (dispositivo da série MX)

Configuração rápida CLI

Para configurar rapidamente este exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar a configuração da rede, copie e copie e copie os comandos na CLI no nível da hierarquia e, em seguida, entre no modo de [edit]commit configuração.

Procedimento passo a passo

O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Como usar o Editor de CLI no modo de configuração no Guia do Usuário cli.

Para configurar o membro do grupo VPNv2:

  1. Configure as interfaces.

  2. Configure a IKE, a política e o gateway.

  3. Configure o IPsec SA.

  4. Configure o filtro de serviço.

  5. Configure o conjunto de serviços.

Resultados

A partir do modo de configuração, confirme sua configuração show interfaces inserindo os show security comandos , e show services . show firewall Se a saída não apresentar a configuração pretendido, repetir as instruções neste exemplo para corrigir a configuração.

Caso você não configure o dispositivo, entre commit no modo de configuração.

Configurando o GM-0004 (dispositivo da série MX)

Configuração rápida CLI

Para configurar rapidamente este exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar a configuração da rede, copie e copie e copie os comandos na CLI no nível da hierarquia e, em seguida, entre no modo de [edit]commit configuração.

Procedimento passo a passo

O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Como usar o Editor de CLI no modo de configuração no Guia do Usuário cli.

Para configurar o membro do grupo VPNv2:

  1. Configure as interfaces.

  2. Configure a IKE, a política e o gateway.

  3. Configure o IPsec SA.

  4. Configure o filtro de serviço.

  5. Configure o conjunto de serviços.

Resultados

A partir do modo de configuração, confirme sua configuração show interfaces inserindo os show security comandos , e show services . show firewall Se a saída não apresentar a configuração pretendido, repetir as instruções neste exemplo para corrigir a configuração.

Caso você não configure o dispositivo, entre commit no modo de configuração.

Verificação

Confirmar se a configuração está funcionando corretamente.

Verificação da operação do cluster do servidor

Propósito

Verificar se dispositivos no cluster de servidor reconhecem servidores peer no grupo. Garanta que os servidores sejam ativos e que as funções no cluster sejam corretamente atribuídos.

Ação

Do modo operacional, insira os comandos , e os show security group-vpn server server-clustershow security group-vpn server server-cluster detail comandos no servidor show security group-vpn server statistics raiz.

Do modo operacional, insira show security group-vpn server server-cluster os comandos e os comandos em cada sub show security group-vpn server server-cluster detailshow security group-vpn server statistics servidor.

Verificar se os SAs são distribuídos para os membros

Propósito

Verificar se os sub-servidores receberam SAs para distribuição a membros do grupo e se os membros do grupo receberam os SAs.

Ação

Do modo operacional, insira os show security group-vpn server kek security-associations comandos e o servidor show security group-vpn server kek security-associations detail raiz.

Do modo operacional, insira os show security group-vpn server kek security-associations comandos e os comandos em cada sub show security group-vpn server kek security-associations detail servidor.

Do modo operacional, insira os show security group-vpn member kek security-associations comandos e os comandos em cada membro do show security group-vpn member kek security-associations detail grupo.

Para membros do SRX ou vSRX grupo:

Para membros do grupo MX:

Verificação de IKE SAs nos servidores

Propósito

Exibir IKE SAs (Security Associations, Associações de segurança) nos servidores.

Ação

Do modo operacional, insira os show security group-vpn server ike security-associations comandos e o servidor show security group-vpn server ike security-associations detail raiz.

Do modo operacional, insira os show security group-vpn server ike security-associations comandos e os comandos em cada sub show security group-vpn server ike security-associations detail servidor.

Verificação de SAs IPsec nos servidores e membros do grupo

Propósito

Exibir SAs (Security Associations, associações de segurança IPsec) nos servidores e membros do grupo.

Ação

Do modo operacional, insira os show security group-vpn server ipsec security-associations comandos e o servidor show security group-vpn server ipsec security-associations detail raiz.

Do modo operacional, insira os show security group-vpn server ipsec security-associations comandos e os comandos em cada sub show security group-vpn server ipsec security-associations detail servidor.

Do modo operacional, insira os comandos e os show security group-vpn member ipsec security-associations comandos em cada membro do show security group-vpn member ipsec security-associations detail grupo

Para membros do SRX ou vSRX grupo:

Para membros do grupo MX:

Verificação de políticas IPsec sobre membros do grupo

Propósito

Exibir a política IPsec em um MEMBRO DO SRX ou vSRX grupo.

Esse comando não está disponível para membros do grupo MX Series.

Ação

Do modo operacional, insira o comando nos membros do show security group-vpn member policy SRX ou vSRX grupo.