多节点高可用性中的 IPsec VPN 支持
主动备份模式下的 IPsec VPN
SRX 系列防火墙在多节点高可用性设置中支持 IPsec VPN 隧道。Junos OS 22.4R1 之前的版本将在 SRG1 处建立 IPsec VPN 隧道锚点,其中 SRG1 在有状态活动/备份模式下运行。在此模式下,所有 VPN 隧道终止于 SRG1 处于活动状态的同一设备上。
多节点高可用性通过以下方式建立 IPsec 隧道并执行密钥交换:
-
在路由部署中,将活动 SRG1 的浮动 IP 地址动态关联为终止 IP,并分配终止 IP,即虚拟 IP(VIP),该 IP 在交换模式下在两台设备之间浮动。
-
当需要动态 CA 配置文件来验证 SRG1 处于活动状态的节点上的隧道建立时,生成 CA 配置文件。
-
执行新的身份验证,并在新的活动节点上加载动态配置文件,然后在旧节点上进行清除。
虽然可以在活动节点和备份节点上运行 show
命令来显示 IKE 和 IPsec 安全关联的状态,但只能在活动节点上删除 IKE 和 IPsec 安全关联。
使用 set chassis high-availability services-redundancy-group 1
命令启用主动/备份模式时,VPN 服务将自动启用。有关更多详细信息,请参阅配置示例。
只有当为 ICL 启用链路加密时,PKI 文件才会同步到对等节点。
在安全设备上配置具有多节点高可用性的 VPN 时,建议遵循以下顺序:
-
在备份节点上,配置安全 IKE 网关、IPsec VPN、接口 st0.x 和安全区域,然后提交配置。
-
在主动节点上,配置安全 IKE 网关、IPsec VPN、st0.x 接口、安全区域和静态路由并提交配置。
如果不使用提交同步选项,则必须先在备份节点上提交配置,然后再在活动节点上提交配置。
在备份节点上处理数据包
在多节点高可用性中使用选项 process-packet-on-backup
时,数据包转发引擎会在备份节点上转发相应 SRG 的数据包。此配置处理备份节点上的 VPN 数据包,即使该节点未处于活动模式;从而消除了故障切换后备份节点转换为活动角色时的延迟。即使在过渡期间,数据包过程也会继续进行。
您可以使用 [set chassis high-availability services-redundancy-group name process-packet-on-backup
] 语句在 SRG1 上配置备份时的进程数据包。
主动-主动模式下的 IPsec VPN
从 Junos OS 22.4R1 版开始,您可以将多节点高可用性配置为在支持多 SRG1 (SRG1+) 的 A/A 模式下运行 IPsec VPN。在此模式下,某些 SRG 在一个节点上保持活动状态,而某些 SRG 在另一个节点上保持活动状态。特定 SRG 始终在主动备份模式下运行;它在一个节点上以活动模式运行,在另一个节点上以备份模式运行。
多节点高可用性支持具有多个 SRG (SRG1+) 的主动-主动模式下的 IPsec VPN。在此模式下,您可以根据 SRG 活动性从两个节点建立多个活动隧道。由于不同的 SRG 可以在不同的节点上处于活动状态,因此属于这些 SRG 的隧道会独立地出现在两个节点上。在两个节点上都拥有活动隧道,可以在两个节点上加密/解密数据流量,从而有效利用带宽。
图 1 和 图 2 显示主动备份和主动-主动多节点高可用性 IPsec VPN 隧道的差异。

多节点高可用性通过将终止 IP 地址(该地址也会标识在其末端的隧道)与 SRG 相关联,建立 IPsec 隧道并执行密钥交换。由于每个设备上不同的 SRG1+ 可能处于活动状态或备份状态,因此多节点高可用性可将匹配的流量有效地引导至相应的活动 SRG1。多节点高可用性还会维护 SRG ID 和 IP 前缀映射信息。
表 1 和 表 2 详细介绍了 SRG1+ 更改对 IPsec VPN 隧道造成的影响。
SRG1 更改 | 对 IPSec VPN 隧道的影响 |
---|---|
SRG 添加 | 对现有隧道没有影响 |
SRG 删除 | 删除与 SRG 关联的所有路由。 |
SRG 属性(前缀列表除外)修改 | 对现有隧道没有影响 |
SRG ID 修改 | 删除与 SRG 关联的所有现有隧道。 |
前缀列表修改中的 IP 前缀 | 删除映射到该特定 IP 前缀的所有隧道。 如果没有到修改后的 IP 前缀的现有隧道映射,则不会造成影响。 |
来自多节点高可用性 | 的 SRG 状态更改 | 作
---|---|
|
删除与该 SRG 对应的所有数据,并从新的活动 SRG 重新同步 |
|
删除与该 SRG 对应的所有数据,并从新的活动 SRG 重新同步 |
|
不適用 |
|
无作 |
|
无作 |
|
无作 |
|
无作(可能的状态转换;如果前状态或后状态均不涉及活动状态,则不需要执行任何作) |
|
无作(可能的状态转换;如果前状态或后状态均不涉及活动状态,则不需要执行任何作) |
|
无作(可能的状态转换;如果前状态或后状态均不涉及活动状态,则不需要执行任何作) |
将 IPsec VPN 服务关联到 SRG
22.4R1 之前的版本仅支持 SRG0 和 SRG1,并且 SRG1 默认与 IPsec VPN 相关联。在 22.4R1 中,默认情况下,SRG 不与 IPSec VPN 服务关联。您必须通过以下方式将 IPsec VPN 服务关联到多个 SRG 中的任何一个:
- 将 IPsec 指定为托管服务
前任:
[set chassis high-availability services-redundancy-group <id> managed-services ipsec]
- 创建 IP 前缀列表
前任:
[set chassis high-availability services-redundancy-group <id> prefix-list <name>]
[set policy-options prefix-list <name> <IP address>
当多节点高可用性设置中有多个 SRG 时,某些 SRG 在一个节点上处于活动状态,而某些 SRG 在另一个节点上处于活动状态。通过配置 IP 前缀列表,可以将某些 IPsec 隧道锚定到特定节点(SRX 系列防火墙)。
在 IPsec VPN 配置中,IKE 网关启动和终止两个安全设备之间的网络连接。本地端(本地 IKE 网关)是启动 IKE 协商的 SRX 系列接口。本地 IKE 网关有一个本地 IP 地址,即防火墙上一个可公开路由 IP 地址,VPN 连接将其用作端点。
IP 前缀列表包括 IPv4 或 IPv6 地址前缀列表,用作 IKE 网关的本地地址。您可以将这些 IP 前缀 (prefix-list) 与指定的 SRG1 相关联,以便根据 SRG 的状态以更高的优先级播发 IKE 网关的本地地址。
要将特定 IPsec VPN 隧道锚定到特定安全设备,必须:
-
通过包含 IKE 网关的本地地址创建 IP 前缀列表,并将 IP 前缀列表与 SRG 关联:
例:
set chassis high-availability services-redundancy-group 1 prefix-list lo0_1 set chassis high-availability services-redundancy-group 2 prefix-list lo0_2 set policy-options prefix-list lo0_1 10.11.0.1/32 set policy-options prefix-list lo0_2 10.11.1.1/32 set interfaces lo0 description untrust set interfaces lo0 unit 0 family inet address 10.11.0.1/32 set interfaces lo0 unit 0 family inet address 10.11.1.1/32
- 定义前缀列表的路由实例。
set chassis high-availability services-redundancy-group 1 prefix-list lo0_1 routing-instance rt-vr set chassis high-availability services-redundancy-group 1 prefix-list lo0_2 routing-instance rt-vr
如果未关联前缀列表的路由实例,则多节点高可用性将使用默认路由表,这可能会影响 VPN 功能。
-
将 IPsec VPN 关联/启用到 SRG。
例:
set chassis high-availability services-redundancy-group 1 managed-services ipsec set chassis high-availability services-redundancy-group 2 managed-services ipsec
通过此配置,您可以选择性地、灵活地将 IPsec VPN 关联到多节点高可用性设置中 SRX 系列防火墙上配置的多个 SRG 之一。
您可以使用以下命令检查 IKE/IPsec 对象到 SRG 的映射:
user@host# show chassis high-availability information detail
.........
Services Redundancy Group: 1
Deployment Type: SWITCHING
Status: BACKUP
Activeness Priority: 200
Hold Timer: 1
Services: [ IPSEC ]
Process Packet In Backup State: NO
Control Plane State: NOT READY
System Integrity Check: COMPLETE
Peer Information:
Failure Events: NONE
Peer Id: 2
Last Advertised HA Status: ACTIVE
Last Advertised Health Status: HEALTHY
Failover Readiness: N/A
.............
您可以使用以下命令检查 SRG 和 IP 前缀列表的映射:
user@host> show chassis high-availability prefix-srgid-table
IP SRGID Table:
SRGID IP Prefix Routing Table
1 10.11.0.1/32 rt-vr
1 10.19.0.1/32 rt-vr
1 10.20.0.1/32 rt-vr
2 10.11.1.1/32 rt-vr
2 10.19.1.1/32 rt-vr
2 10.20.1.1/32 rt-vr
如果未配置前缀列表,则会收到以下警告消息:
user@host> show chassis high-availability prefix-srgid-table
Warning: prefix list not configured
IPsec VPN 支持动态路由协议
从 Junos OS 23.2R1 版开始,您可以使用节点本地隧道在多节点高可用性设置中为 IPsec VPN 启用动态路由协议。动态路由协议添加的路由将保留在节点本地。这些路由不绑定到任何服务冗余组 (SRG)。
在之前的版本中,多节点高可用性仅支持流量选择器部署。也就是说,当您使用流量选择器配置 IPsec VPN 时,配置会考虑优先级值和基于流量选择器前缀的路由指标来安装路由。
配置节点本地隧道时,您有从 VPN 对等设备到多节点高可用性设置的两个节点的单独隧道。也就是说,您有一个连接到两个多节点高可用性节点的节点本地隧道。
图 3、 图 4 和 图 5 显示了多节点高可用性 IPsec VPN 部署,分别包含同步隧道、节点本地隧道以及同步隧道和节点本地隧道的组合。

上图显示了对等设备与多节点高可用性设置之间的 IPsec VPN 隧道。IPsec VPN 隧道锚点位于活动 SRG1+。当关联的 SRG1+ 处于活动状态时,隧道将保持活动状态。在此部署中,流量通过活动隧道(隧道 1)运行。

在上图中,VPN 对等设备和多节点高可用性设置之间有两个节点本地隧道。每个隧道连接到设置中的两个节点之一。这些隧道不与任何 SRG1+ 关联。一个或两个隧道都可以在任何时候保持活动状态。根据配置的路由协议,流量在任何时刻都可以通过隧道 2 或隧道 3 运行。

上图显示了 VPN 对等设备与多节点高可用性设置之间的 IPsec VPN 隧道。此外,该图显示了 VPN 对等设备和多节点高可用性设置之间的两个节点本地隧道。
IPsec VPN 隧道锚点位于活动 SRG1+,并在关联的 SRG1+ 处于活动状态时保持活动状态。如果采用节点本地隧道,则两条隧道都保持活动状态。
表 3 显示了隧道和同步隧道之间的区别 node-local
。
功能 | 节点本地隧道 | 同步隧道 |
---|---|---|
与 SRG1+ 关联 | 不 | 是的 |
多节点高可用性节点之间的隧道信息同步 | 不 | 是的 |
活动隧道数 | 二 | 一 |
将 IPsec VPN 隧道标记为节点本地隧道
您可以使用以下语句像在 SRX 系列防火墙上一样 node-local
配置 IPsec VPN 隧道:
[edit] user@host# set security ike gateway gateway-name node-local
确保在多节点高可用性设置中为两个节点配置 node-local
选项。
确保在配置路由策略时为一个隧道设置优先级。
多节点高可用性中的 ADVPN 支持
从 Junos OS 24.2R1 版开始,在节点本地隧道部署中支持多节点高可用性 ADVPN。
节点本地隧道通过提供从 VPN 对等设备到设置中两个节点的单独隧道来增强多节点 HA。ADVPN 允许在分支之间动态建立 VPN 隧道。在节点本地隧道部署中将 ADVPN 与多节点 HA 相结合,可确保稳健的网络连接、高效的资源利用率和无缝故障转移。
ADVPN 协议允许在两个合作伙伴网关之间创建快捷路径,以建立数据传输的最佳路径。传统上,在中心辐射型网络中,两个分支之间的流量要通过中心。借助 ADVPN,中枢建议在其之前已建立 IPsec SA 的对等方(分支设备)之间使用快捷方式。建议快捷方式的决定取决于一对对等方之间通过集线器流动的流量的持续时间和流量。这些称为快捷方式合作伙伴的对等方根据自己的策略接受或拒绝此建议。
对等方接受建议并在它们之间建立直接 SA(快捷方式)。将为每个快捷方式创建一个新的 phase1 和 phase2 SA。然后,此快捷方式可用于建立更优化的数据传输路径。现在,在对等方之间流动的所有流量都直接通过对等方之间的快捷方式隧道。
如果同伴拒绝推荐,他们会回复建议者,并指出拒绝的原因。在这种情况量将继续流经快捷方式建议器。
多节点高可用性设置包括两个充当主动节点和备份节点的 SRX 系列防火墙,以及两个具有节点本地配置的 VPN 对等设备。在这种情况下,将在 VPN 对等设备和多节点高可用性设置之间建立 IPsec VPN 隧道。
- 快捷方式建议器:注意到对等方之间的流量移动并建议快捷方式。
- 快捷方式伙伴:这些是构成快捷方式隧道的对等设备。快捷方式交换通过扩展的 IKEv2 协议进行。
在多节点高可用性设置中,具有节点本地隧道的 VPN 对等设备将扮演以下角色:
- ADVPN 快捷方式合作伙伴
- ADVPN 快捷方式建议器
借助 ADVPN 配置,SRX 系列防火墙既可以充当快捷方式建议者,也可以充当快捷方式伙伴,但不能一次同时充当建议者和合作伙伴。
下图说明了 VPN 网关如何充当快捷方式建议者和合作伙伴。
- VPN 对等设备作为快捷方式伙伴,建立两条隧道 – 一条隧道通向每个多节点高可用性节点。在这种情况下,每个节点都充当快捷方式建议器。
图 6:作为快捷方式伙伴的
VPN 网关
如图所示:
- 多节点高可用性中的两个 SRX 系列防火墙充当快捷方式建议器 — Suggester-1(活动节点)和 Suggester-2(备份节点)。
- 两个 VPN 网关充当快捷方式伙伴:合作伙伴 1 和合作伙伴 2。
- 伙伴 1 创建两个隧道;一个朝向 Suggester-1,另一个朝向 Sugester-2
- 伙伴 2 创建两个隧道;一个朝向 Suggester-1,另一个朝向 Sugester-2
- 从合作伙伴 1 到合作伙伴 2 的流量通过 Suggester-1。建议者 1 通知合作伙伴 1 和合作伙伴 2 创建快捷方式。
- 如果活动节点 (suggester-1) 发生故障,并且从 Suggester-1 到 Partner-1 和 Partner-2 的隧道均关闭,在这种情况下:
-
- 之前创建的快捷方式保持活动状态,但是,从合作伙伴 1 到合作伙伴 2 的流量会通过 Suggester-2。在这种情况下,建议者 2 建议合作伙伴 1 和合作伙伴 2 之间的快捷方式。由于快捷方式已存在于合作伙伴 1 和合作伙伴 2 之间,因此新快捷方式 Suggester-2 的建议将被拒绝。
- 充当快捷方式建议器的 VPN 对等设备。在这种情况下,每个多节点高可用性节点都充当快捷方式伙伴,并建立通往 VPN 对等设备的单独隧道。
图 7:作为快捷方式建议器
的 VPN 网关
- 多节点高可用性中的 SRX 系列防火墙充当合作伙伴 1-A 和合作伙伴 1-B。
- 一个 VPN 网关充当建议器,另一个 SRX 系列防火墙充当伙伴 2。
- Partner-1-A(活动节点)使用 Suggester 创建静态隧道(活动隧道)。
- Partner-1-B(备份节点)使用 Suggester 创建静态隧道(备用隧道)。
- 从合作伙伴 1-A 到合作伙伴 2 的流量流经 Suggester。
- 建议者建议在伙伴 1-A 和伙伴 2 之间创建快捷方式。
- 合作伙伴 1-A 和合作伙伴 2 在它们之间创建快捷方式。请注意,如果合作伙伴和建议者之间的静态隧道出现故障,则对快捷方式隧道没有影响。即使在静态隧道关闭后,流量仍会继续流经快捷方式隧道。
配置亮点
- 在 SRX 系列防火墙上配置多节点高可用性。请参阅 示例:在第 3 层网络中配置多节点高可用性。
- 确保在多节点高可用性设置中为两个节点配置
node-local
选项。例:set security ike gateway gateway-name node-local
- 在 SRX 系列防火墙上配置快捷方式伙伴或快捷方式建议者角色(如果适用)。请参阅 自动发现 VPN。
默认情况下,如果在 IKE 网关层次结构下配置 advpn ,则会同时启用快捷方式建议器和快捷方式伙伴选项。您必须显式禁用建议者选项或合作伙伴选项才能禁用该特定功能。
[edit security ike] gateway gateway_1 { … node-local … advpn { partner disable; } }
[edit security ike] gateway gateway_1 { advpn { suggester disable; partner { connection-limit 5; idle-time 300; } } }
局限性
- 仅允许在 AutoVPN 中枢上配置 ADVPN 建议器,其中作为分支配置的伙伴功能。
- 不能在同一 IKE 网关下同时配置建议者和伙伴角色
- ADVPN 不支持 IKEv1
- 您无法在同为 NAT 设备的合作伙伴之间创建快捷方式。