Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

多节点高可用性中的 IPsec VPN 支持

主动备份模式下的 IPsec VPN

SRX 系列防火墙在多节点高可用性设置中支持 IPsec VPN 隧道。在 Junos OS 22.4R1 版之前,IPsec VPN 隧道锚定在 SRG1,其中 SRG1 在有状态的主动/备份模式下运行。在此模式下,所有 VPN 隧道均在 SRG1 处于活动状态的同一设备上终止。

多节点高可用性可建立 IPsec 隧道并执行密钥交换::

  • 为路由部署中的终端 IP 动态关联活动 SRG1 的浮动 IP 地址,并分配处于交换模式的两个设备之间浮动的终端 IP(虚拟 IP (VIP)。

  • 如果需要动态 CA 配置文件来在活动 SRG1 的节点上验证隧道建立,请生成 CA 配置文件。

  • 执行新身份验证并加载新活动节点上的动态配置文件,并在旧节点上清除。

尽管您可以在主动节点和备份节点上运行 show 命令来显示 IKE 和 IPsec 安全关联的状态,但只能在主动节点上删除 IKE 和 IPsec 安全关联。

使用命令启用活动/备份模式 set chassis high-availability services-redundancy-group 1 时,VPN 服务会自动启用。有关详细信息,请参阅配置示例。

注意:

只有当为 ICL 启用链路加密时,PKI 文件才会同步到对等节点。

提示:

当您在安全设备上配置具有多节点高可用性的 VPN 时,我们建议遵循以下顺序:

  • 在备份节点上,配置安全 IKE 网关、IPsec VPN、接口 st0.x 和安全区域,然后提交配置。

  • 在活动节点上,配置安全 IKE 网关、IPsec VPN、st0.x 接口、安全区域和静态路由,然后提交配置。

如果不使用提交同步选项,则必须在备份节点上提交配置,然后才能在主动节点上提交配置。

处理备份节点上的数据包

使用 process-packet-on-backup 多节点高可用性中的选项时,数据包转发引擎会将备份节点上的数据包转发给相应的 SRG。此配置会处理备份节点上的 VPN 数据包,即使节点不处于活动模式;这样,当备份节点在故障转移后过渡到活动角色时,就消除了延迟。即使在过渡期间,数据包进程也会持续进行。

您可以使用 [set chassis high-availability services-redundancy-group name process-packet-on-backup] 语句在 SRG1 上配置备份进程数据包。

主动-主动模式下的 IPsec VPN

从 Junos OS 22.4R1 版开始,您可以将多节点高可用性配置为在主动-主动模式下运行,并支持 IPsec VPN 的多 SRG1 (SRG1+)。在此模式下,某些 SNG 在一个节点上保持活动状态,另一些 SNG 在另一个节点上保持活动状态。特定 SRG 始终在主动备份模式下运行;它在一个节点上以主动模式运行,在另一个节点上以备份模式运行。

多节点高可用性支持采用多个 SLG (SRG1+) 的主动-主动模式中的 IPsec VPN。在此模式下,您可以基于 SRG 活动性从两个节点建立多个活动隧道。由于不同 SNG 在不同的节点上可以是活动的,因此属于这些 SLG 的隧道会独立地在两个节点上出现。在两个节点上都有活动隧道,可以在两个节点上对数据流量进行加密/解密,从而有效利用带宽。

图 1图 2 显示了主动备份和主动-主动多节点高可用性 IPsec VPN 隧道之间的差异。
图 1:多节点高可用性中的主动备份 IPsec VPN 隧道 Active-Backup IPsec VPN Tunnel in Multinode High Availability
图 2:多节点高可用性中的主动-主动 IPsec VPN 隧道 Active-Active IPsec VPN Tunnel in Multinode High Availability

多节点高可用性通过将终端 IP 地址(也会识别其上的隧道)与 SRG 关联来建立 IPsec 隧道并执行密钥交换。由于每个设备上的不同 SRG1+ 可能处于活动状态或备份状态,因此多节点高可用性会将匹配的流量有效地引导至相应的活动 SRG1。多节点高可用性还会维护 SRG ID 和 IP 前缀映射信息。

表 1表 2 详细介绍了由于 SRG1+ 更改对 IPsec VPN 隧道的影响。

表 1:SRG1+ 修改对 IPsec VPN 隧道的影响
SRG1 更改 对 IPSec VPN 隧道的影响
SRG 添加 对现有隧道没有影响
SRG 删除

删除与 SRG 关联的所有路由。

SRG 属性(前缀列表以外的)修改 对现有隧道没有影响
SRG ID 修改 删除与 SRG 关联的所有现有隧道。
前缀列表修改中的 IP 前缀

删除映射到该特定 IP 前缀的所有隧道。

如果没有现有隧道映射到修改后的 IP 前缀,则不会受到影响。

操作
表 2:SRG1+ 状态变化对 IPsec VPN 隧道的影响
来自多节点高可用性 的 SRG 状态更改

ActiveBackup

删除与该 SRG 对应的所有数据,并从新的活动 SRG 重新同步

ActiveIneligible

删除与该 SRG 对应的所有数据,并从新的活动 SRG 重新同步

ActiveHold

不适用

BackupActive

无操作

IneligibleActive

无操作

HoldActive

无操作

HoldBackup

无操作(可能的状态转换;如果活动状态与前状态或后状态无关,则无需操作)

IneligibleBackup

无操作(可能的状态转换;如果活动状态与前状态或后状态无关,则无需操作)

HoldIneligible

无操作(可能的状态转换;如果活动状态与前状态或后状态无关,则无需操作)

将 IPsec VPN 服务关联到 SRG

22.4R1 之前的版本仅支持 SRG0 和 SRG1,而 SRG1 默认与 IPsec VPN 关联。在 22.4R1 中,SRG 默认不与 IPSec VPN 服务关联。您必须通过以下方式将 IPsec VPN 服务与任意多个 SLG 关联:

  • 将 IPsec 指定为托管服务

    前: [set chassis high-availability services-redundancy-group <id> managed-services ipsec]

  • 创建 IP 前缀列表

    前: [set chassis high-availability services-redundancy-group <id> prefix-list <name>]

    [set policy-options prefix-list <name> <IP address>

如果多节点高可用性设置中有多个 SNG,则一些 SLG 在一个节点上处于活动状态,而另一些 SLG 在另一个节点上处于活动状态。您可以通过配置 IP 前缀列表将某些 IPsec 隧道锚定到特定节点(SRX 系列防火墙)。

在 IPsec VPN 配置中,IKE 网关在两个安全设备之间启动和终止网络连接。本地端(本地 IKE 网关)是启动 IKE 协商的 SRX 系列接口。本地 IKE 网关有一个本地 IP 地址,这是防火墙上的一个可公开路由 IP 地址,VPN 连接将其用作端点。

IP 前缀列表包括一个 IPv4 或 IPv6 地址前缀列表,用作 IKE 网关的本地地址。您可以将这些 IP 前缀(前缀列表)与指定的 SRG1 关联,以便根据 SRG 的状态播发优先级较高的 IKE 网关的本地地址。

要将特定 IPsec VPN 隧道锚定到特定安全设备,您必须:

  • 通过包括 IKE 网关的本地地址创建 IP 前缀列表,并将 IP 前缀列表关联到 SRG:

    例子:

  • 将 IPsec VPN 关联/启用到 SRG。

    例子:

    借助此配置,您可以选择性地灵活地将 IPsec VPN 关联到多节点高可用性设置中 SRX 系列防火墙上配置的多个 SLG 之一。

您可以使用以下命令检查 IKE/IPsec 对象与 SRG 的映射:

您可以使用以下命令检查 SLG 和 IP 前缀列表的映射:

如果未配置前缀列表,您将收到以下警告消息:

有关详细信息 ,请参阅示例:在 L3 网络中主动-主动多节点高可用性中配置 IPSec VPN

IPsec VPN 的动态路由协议支持

从 Junos OS 23.2R1 版开始,您可以使用节点本地隧道在多节点高可用性设置中为 IPsec VPN 启用动态路由协议。动态路由协议添加的路由保留在节点的本地位置。这些路由不受任何服务冗余组 (SRG) 的约束。

在之前的版本中,多节点高可用性仅支持流量选择或部署。也就是说,当您使用流量选择器配置 IPsec VPN 时,配置会考虑优先级值和基于流量选择或前缀的路由指标,从而安装路由。

配置节点本地隧道时,有从 VPN 对等设备到多节点高可用性设置两个节点的单独隧道。也就是说,您都有一条连接到两个多节点高可用性节点的一个节点本地隧道。

图 3图 4图 5 显示了包含同步隧道、节点本地隧道以及同步隧道和节点本地隧道组合的多节点高可用性 IPsec VPN 部署。

图 3:采用同步隧道 Multinode High Availability Deployment with Synced Tunnels的多节点高可用性部署

上图显示了对等设备和多节点高可用性设置之间的 IPsec VPN 隧道。IPsec VPN 隧道锚定在活动 SRG1+ 上。当关联的 SRG1+ 处于活动状态时,隧道将保持活动状态。在此部署中,流量通过活动隧道(隧道 1)运行。

图 4:使用节点本地隧道 Multinode High Availability Deployment with Node-Local Tunnel进行多节点高可用性部署

在上图中,VPN 对等方设备和多节点高可用性设置之间有两个节点本地隧道。每个隧道都连接到设置中的两个节点之一。这些隧道不与任何 SRG1+ 关联。一个或两个隧道都可以随时保持活动状态。根据配置的路由协议,流量可随时通过隧道 2 或隧道 3 运行。

图 5:结合同步隧道和节点本地隧道 Multinode High Availability Deployment with Combination of Synced Tunnels and Node-Local Tunnels进行多节点高可用性部署

上图显示了 VPN 对等设备和多节点高可用性设置之间的 IPsec VPN 隧道。此外,图显示了 VPN 对等设备和多节点高可用性设置之间的两个节点本地隧道。

IPsec VPN 隧道锚定在活动 SRG1+ 上,并在关联的 SRG1+ 处于活动状态时保持活动状态。如果是节点本地隧道,则两个隧道均保持活动状态。

表 3 显示了隧道与同步隧道之间的差异 node-local

表 3:节点本地隧道与同步隧道之间的区别
功能 节点本地隧道 同步隧道
与 SRG1+ 关联 是的
多节点高可用性节点之间的隧道信息同步 是的
活动隧道数 一个

将 IPsec VPN 隧道标记为节点本地隧道

您可以使用以下语句将 IPsec VPN 隧道配置为 node-local 在 SRX 系列防火墙上:

请确保在 node-local 多节点高可用性设置中为两个节点配置选项。

确保在配置路由策略时为一个隧道设置优先级。