多节点高可用性中的 IPsec VPN 支持
主动备份模式下的 IPsec VPN
SRX 系列防火墙在多节点高可用性设置中支持 IPsec VPN 隧道。在 Junos OS 22.4R1 版之前,IPsec VPN 隧道锚定在 SRG1,其中 SRG1 在有状态的主动/备份模式下运行。在此模式下,所有 VPN 隧道均在 SRG1 处于活动状态的同一设备上终止。
多节点高可用性可建立 IPsec 隧道并执行密钥交换::
-
为路由部署中的终端 IP 动态关联活动 SRG1 的浮动 IP 地址,并分配处于交换模式的两个设备之间浮动的终端 IP(虚拟 IP (VIP)。
-
如果需要动态 CA 配置文件来在活动 SRG1 的节点上验证隧道建立,请生成 CA 配置文件。
-
执行新身份验证并加载新活动节点上的动态配置文件,并在旧节点上清除。
尽管您可以在主动节点和备份节点上运行 show 命令来显示 IKE 和 IPsec 安全关联的状态,但只能在主动节点上删除 IKE 和 IPsec 安全关联。
使用命令启用活动/备份模式 set chassis high-availability services-redundancy-group 1 时,VPN 服务会自动启用。有关详细信息,请参阅配置示例。
只有当为 ICL 启用链路加密时,PKI 文件才会同步到对等节点。
当您在安全设备上配置具有多节点高可用性的 VPN 时,我们建议遵循以下顺序:
-
在备份节点上,配置安全 IKE 网关、IPsec VPN、接口 st0.x 和安全区域,然后提交配置。
-
在活动节点上,配置安全 IKE 网关、IPsec VPN、st0.x 接口、安全区域和静态路由,然后提交配置。
如果不使用提交同步选项,则必须在备份节点上提交配置,然后才能在主动节点上提交配置。
处理备份节点上的数据包
使用 process-packet-on-backup 多节点高可用性中的选项时,数据包转发引擎会将备份节点上的数据包转发给相应的 SRG。此配置会处理备份节点上的 VPN 数据包,即使节点不处于活动模式;这样,当备份节点在故障转移后过渡到活动角色时,就消除了延迟。即使在过渡期间,数据包进程也会持续进行。
您可以使用 [set chassis high-availability services-redundancy-group name process-packet-on-backup] 语句在 SRG1 上配置备份进程数据包。
主动-主动模式下的 IPsec VPN
从 Junos OS 22.4R1 版开始,您可以将多节点高可用性配置为在主动-主动模式下运行,并支持 IPsec VPN 的多 SRG1 (SRG1+)。在此模式下,某些 SNG 在一个节点上保持活动状态,另一些 SNG 在另一个节点上保持活动状态。特定 SRG 始终在主动备份模式下运行;它在一个节点上以主动模式运行,在另一个节点上以备份模式运行。
多节点高可用性支持采用多个 SLG (SRG1+) 的主动-主动模式中的 IPsec VPN。在此模式下,您可以基于 SRG 活动性从两个节点建立多个活动隧道。由于不同 SNG 在不同的节点上可以是活动的,因此属于这些 SLG 的隧道会独立地在两个节点上出现。在两个节点上都有活动隧道,可以在两个节点上对数据流量进行加密/解密,从而有效利用带宽。
图 1 和 图 2 显示了主动备份和主动-主动多节点高可用性 IPsec VPN 隧道之间的差异。
多节点高可用性通过将终端 IP 地址(也会识别其上的隧道)与 SRG 关联来建立 IPsec 隧道并执行密钥交换。由于每个设备上的不同 SRG1+ 可能处于活动状态或备份状态,因此多节点高可用性会将匹配的流量有效地引导至相应的活动 SRG1。多节点高可用性还会维护 SRG ID 和 IP 前缀映射信息。
表 1 和 表 2 详细介绍了由于 SRG1+ 更改对 IPsec VPN 隧道的影响。
| SRG1 更改 | 对 IPSec VPN 隧道的影响 |
|---|---|
| SRG 添加 | 对现有隧道没有影响 |
| SRG 删除 | 删除与 SRG 关联的所有路由。 |
| SRG 属性(前缀列表以外的)修改 | 对现有隧道没有影响 |
| SRG ID 修改 | 删除与 SRG 关联的所有现有隧道。 |
| 前缀列表修改中的 IP 前缀 | 删除映射到该特定 IP 前缀的所有隧道。 如果没有现有隧道映射到修改后的 IP 前缀,则不会受到影响。 |
| 来自多节点高可用性 | 的 SRG 状态更改 | 操作
|---|---|
|
|
删除与该 SRG 对应的所有数据,并从新的活动 SRG 重新同步 |
|
|
删除与该 SRG 对应的所有数据,并从新的活动 SRG 重新同步 |
|
|
不适用 |
|
|
无操作 |
|
|
无操作 |
|
|
无操作 |
|
|
无操作(可能的状态转换;如果活动状态与前状态或后状态无关,则无需操作) |
|
|
无操作(可能的状态转换;如果活动状态与前状态或后状态无关,则无需操作) |
|
|
无操作(可能的状态转换;如果活动状态与前状态或后状态无关,则无需操作) |
将 IPsec VPN 服务关联到 SRG
22.4R1 之前的版本仅支持 SRG0 和 SRG1,而 SRG1 默认与 IPsec VPN 关联。在 22.4R1 中,SRG 默认不与 IPSec VPN 服务关联。您必须通过以下方式将 IPsec VPN 服务与任意多个 SLG 关联:
- 将 IPsec 指定为托管服务
前:
[set chassis high-availability services-redundancy-group <id> managed-services ipsec] - 创建 IP 前缀列表
前:
[set chassis high-availability services-redundancy-group <id> prefix-list <name>][set policy-options prefix-list <name> <IP address>
如果多节点高可用性设置中有多个 SNG,则一些 SLG 在一个节点上处于活动状态,而另一些 SLG 在另一个节点上处于活动状态。您可以通过配置 IP 前缀列表将某些 IPsec 隧道锚定到特定节点(SRX 系列防火墙)。
在 IPsec VPN 配置中,IKE 网关在两个安全设备之间启动和终止网络连接。本地端(本地 IKE 网关)是启动 IKE 协商的 SRX 系列接口。本地 IKE 网关有一个本地 IP 地址,这是防火墙上的一个可公开路由 IP 地址,VPN 连接将其用作端点。
IP 前缀列表包括一个 IPv4 或 IPv6 地址前缀列表,用作 IKE 网关的本地地址。您可以将这些 IP 前缀(前缀列表)与指定的 SRG1 关联,以便根据 SRG 的状态播发优先级较高的 IKE 网关的本地地址。
要将特定 IPsec VPN 隧道锚定到特定安全设备,您必须:
-
通过包括 IKE 网关的本地地址创建 IP 前缀列表,并将 IP 前缀列表关联到 SRG:
例子:
set chassis high-availability services-redundancy-group 1 prefix-list lo0_1 set chassis high-availability services-redundancy-group 2 prefix-list lo0_2 set policy-options prefix-list lo0_1 10.11.0.1/32 set policy-options prefix-list lo0_2 10.11.1.1/32 set interfaces lo0 description untrust set interfaces lo0 unit 0 family inet address 10.11.0.1/32 set interfaces lo0 unit 0 family inet address 10.11.1.1/32
-
将 IPsec VPN 关联/启用到 SRG。
例子:
set chassis high-availability services-redundancy-group 1 managed-services ipsec set chassis high-availability services-redundancy-group 2 managed-services ipsec
借助此配置,您可以选择性地灵活地将 IPsec VPN 关联到多节点高可用性设置中 SRX 系列防火墙上配置的多个 SLG 之一。
您可以使用以下命令检查 IKE/IPsec 对象与 SRG 的映射:
user@host# show chassis high-availability information detail
.........
Services Redundancy Group: 1
Deployment Type: SWITCHING
Status: BACKUP
Activeness Priority: 200
Hold Timer: 1
Services: [ IPSEC ]
Process Packet In Backup State: NO
Control Plane State: NOT READY
System Integrity Check: COMPLETE
Peer Information:
Failure Events: NONE
Peer Id: 2
Last Advertised HA Status: ACTIVE
Last Advertised Health Status: HEALTHY
Failover Readiness: N/A
.............
您可以使用以下命令检查 SLG 和 IP 前缀列表的映射:
user@host> show chassis high-availability prefix-srgid-table
IP SRGID Table:
SRGID IP Prefix Routing Table
1 10.11.0.1/32 rt-vr
1 10.19.0.1/32 rt-vr
1 10.20.0.1/32 rt-vr
2 10.11.1.1/32 rt-vr
2 10.19.1.1/32 rt-vr
2 10.20.1.1/32 rt-vr
如果未配置前缀列表,您将收到以下警告消息:
user@host> show chassis high-availability prefix-srgid-table
Warning: prefix list not configured
IPsec VPN 的动态路由协议支持
从 Junos OS 23.2R1 版开始,您可以使用节点本地隧道在多节点高可用性设置中为 IPsec VPN 启用动态路由协议。动态路由协议添加的路由保留在节点的本地位置。这些路由不受任何服务冗余组 (SRG) 的约束。
在之前的版本中,多节点高可用性仅支持流量选择或部署。也就是说,当您使用流量选择器配置 IPsec VPN 时,配置会考虑优先级值和基于流量选择或前缀的路由指标,从而安装路由。
配置节点本地隧道时,有从 VPN 对等设备到多节点高可用性设置两个节点的单独隧道。也就是说,您都有一条连接到两个多节点高可用性节点的一个节点本地隧道。
图 3、 图 4 和 图 5 显示了包含同步隧道、节点本地隧道以及同步隧道和节点本地隧道组合的多节点高可用性 IPsec VPN 部署。
的多节点高可用性部署
上图显示了对等设备和多节点高可用性设置之间的 IPsec VPN 隧道。IPsec VPN 隧道锚定在活动 SRG1+ 上。当关联的 SRG1+ 处于活动状态时,隧道将保持活动状态。在此部署中,流量通过活动隧道(隧道 1)运行。
进行多节点高可用性部署
在上图中,VPN 对等方设备和多节点高可用性设置之间有两个节点本地隧道。每个隧道都连接到设置中的两个节点之一。这些隧道不与任何 SRG1+ 关联。一个或两个隧道都可以随时保持活动状态。根据配置的路由协议,流量可随时通过隧道 2 或隧道 3 运行。
进行多节点高可用性部署
上图显示了 VPN 对等设备和多节点高可用性设置之间的 IPsec VPN 隧道。此外,图显示了 VPN 对等设备和多节点高可用性设置之间的两个节点本地隧道。
IPsec VPN 隧道锚定在活动 SRG1+ 上,并在关联的 SRG1+ 处于活动状态时保持活动状态。如果是节点本地隧道,则两个隧道均保持活动状态。
表 3 显示了隧道与同步隧道之间的差异 node-local 。
| 功能 | 节点本地隧道 | 同步隧道 |
|---|---|---|
| 与 SRG1+ 关联 | 不 | 是的 |
| 多节点高可用性节点之间的隧道信息同步 | 不 | 是的 |
| 活动隧道数 | 两 | 一个 |
将 IPsec VPN 隧道标记为节点本地隧道
您可以使用以下语句将 IPsec VPN 隧道配置为 node-local 在 SRX 系列防火墙上:
[edit] user@host# set security ike gateway gateway-name node-local
请确保在 node-local 多节点高可用性设置中为两个节点配置选项。
确保在配置路由策略时为一个隧道设置优先级。