Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

示例:在第 3 层网络的 SRX 系列防火墙上的主动/主动多节点高可用性中配置 IPSec VPN

此示例说明如何配置和验证 IPsec VPN 以进行主动-主动多节点高可用性设置。

概述

多节点高可用性支持具有多个 SRG1 (SRG1+) 的主动/主动模式下的 IPsec VPN。每个 SRG 仍会在两个节点之间以主动备份模式运行,但不同的 SRG 可以在不同的节点上处于活动状态。此模型允许同时从两个节点建立多个活动 IPsec 隧道,从而在两个节点上实现加密和解密,并提高带宽利用率。

在此示例中,您在两个防火墙之间配置多节点高可用性 (MNHA),并建立从 MNHA 防火墙对到对等设备的高可用性 IPsec VPN 隧道。重点是确保在 MNHA 设置中通过防火墙之间的无缝故障切换成功建立和维护 IPsec 隧道。

先决条件示例

软件要求

  • 受支持的 Junos OS 22.4R1 或更高版本的防火墙设备。此示例使用 Junos OS 25.4R1 版进行测试。

  • 根据您的网络要求配置防火墙过滤和服务质量 (QoS),并制定适当的安全策略来管理网络中的流量。

  • 在典型的高可用性设置中,北向和南向两侧都会使用多个路由器和交换机。在此示例中,防火墙两侧各使用两台路由器。根据您的网络要求配置所有上行和下行路由器

  • 使用命令 request system software add optional://junos-ike.tgz 在安全设备上安装 Junos IKE 软件包。该 junos-ike 软件包包含在您的 Junos 软件包(Junos OS 20.4R1 及更高版本)中。

开始之前

优势

MNHA 设置中的主动/主动 IPsec VPN 允许两个节点同时终止和转发 VPN 流量,从而实现负载共享、更快的融合,并在故障期间将流量中断降至最低,从而提高了可用性和性能。

了解更多

MNHA 上处于主动-主动模式的 IPsec VPN

了解更多

IPsec VPN 用户指南

功能概述

使用的技术
  • 多节点高可用性
  • IPsec VPN
  • 监控选项
  • 接口和区域
  • 路由策略、协议和路由选项

主要验证任务
  • 有关两个节点的高可用性信息
  • 从对等设备到 MNHA 设置的 IPsec VPN 连接

拓扑概述

图 1 显示了此示例中使用的拓扑。

图 1:第 3 层部署中的主动/主动多节点高可用性 Active/Active Multinode High Availability in Layer 3 Deployment

该拓扑演示了使用多节点高可用性 (MNHA) 的主动/主动 IPsec VPN 部署,其中两个防火墙组成一个 MNHA 群集,并建立通向远程防火墙 (SRX-03) 的 IPsec VPN 隧道。

SRX-03 设备充当 MNHA 设置的对等设备,它会建立单独的 IPsec VPN 隧道,每个隧道都带有 SRX-01 和 SRX-02 设备。从 SRX-03 的角度来看,MNHA 对充当单个逻辑 VPN 端点。

来自内部主机的流量通过路由器 1 → MNHA 设置→IPsec 隧道→路由器 2 → SRX-03 →路由器 3。返回流量遵循相同的加密路径。此示例验证从连接 SRX-03(对等设备)的路由器 3 到连接了远程主机 PC 的路由器 1 的流量可访问性。

  • SRX-01 和 SRX-02 作为具有多个 SRG (SRG1+) 的 MNHA 对运行,使流量能够在两个节点上得到主动处理。
  • 每个 SRG 在内部以主动备份模式运行,而整体解决方案提供跨 SRG 的主动-主动 VPN 转发。
  • 节点通过高可用性链路区域中路由、加密的机箱间链路 (ICL) 进行连接,使用浮动环路 IP 地址来同步控制和 VPN 状态。在此示例中,链路直接在设备之间使用 ge-0/0/2.0 接口,而不是通过中间路由网络。
  • 信任区域接口通过路由器 1 (AS 65030) 将 MNHA 群集连接到内部网络。
  • 不信任区域接口将 SRX-01 和 SRX-02 连接到路由器 2 (AS 65035),从而提供到远程 VPN 站点的上游可达性。
  • 每个 SRX 主机上的环路接口 (lo0.0) 浮动 IP 地址。
  • SRX-03 终止 MNHA 群集中的 IPsec VPN 隧道并连接到路由器 3。
  • 远程 SRX 使用自己的环路接口作为 VPN 端点,确保隧道稳定性,不受物理接口状态的影响。
  • VPN 接口放置在 VPN 区域中,用于将加密流量与不受信任的中转网络分离。
  • 在 MNHA 群集和绑定不同 SRG 的 SRX-03 之间建立多个 IPsec 隧道。如果节点或 SRG 发生故障,流量将重定向至剩余的活动 SRG,而不需要重新协商隧道,因为 VPN 端点使用浮动 IP 地址。

下表显示了此示例中使用的接口配置的详细信息。

表 1:安全性设备上的接口和 IP 地址配置
设备 接口 区域 IP 地址 配置为
SRX-01 lo0.0

不信任

10.11.0.1/32

浮动 IP 地址

IKE 网关地址

10.12.0.1/32

IKE 网关地址

ge-0/0/2.0

高可用性链路

10.22.0.2/24

连接 ICL

ge-0/0/4.0

不信任

10.5.0.1/24

连接到 R2 路由器

ge-0/0/3.0

信任

10.3.0.2/24

连接到 R1 路由器
SRX-02

lo0.0

不信任

10.12.0.1/32

浮动 IP 地址

IKE 网关地址

10.11.0.1/32

IKE 网关地址

ge-0/0/2.0

高可用性链路

10.22.0.1/24

连接 ICL

ge-0/0/3.0

信任

10.2.0.2/24

连接到 R1 路由器

ge-0/0/4.0

不信任

10.4.0.1/24

连接到 R2 路由器
SRX-03 lo0.0

不信任

10.112.0.1/32

IKE 网关地址

10.112.0.5/32

IKE 网关地址

ge-0/0/0.0

不信任

10.7.0.1/24

连接到 R2 路由器

ge-0/0/1.0

信任

10.6.0.2/24

连接路由器
表 2:路由设备上的接口和 IP 地址配置
设备 接口 IP 地址 配置为
路由器 2 (R2) lo0

10.111.0.2/32

R2 的环路接口地址

ge-0/0/1

10.4.0.2/24

连接到 SRX-02

ge-0/0/0

10.5.0.2/24

连接到 SRX-01

ge-0/0/2

10.7.0.2/24

连接到 SRX-03 (VPN 对等设备)
路由器 1 (R1) lo0

10.111.0.1/32

R1 的环路接口地址

ge-0/0/0

10.3.0.1/24

连接到 SRX-01

ge-0/0/1

10.2.0.1/24

连接到 SRX-02
  • ge-0/0/2.100
  • ge-0/0/2.101
  • 10.1.0.1/24
  • 10.1.1.1/24
 连接到主机网络
路由器 3 (R3)

ge-0/0/0

10.6.0.1/24

连接到 SRX-03
lo0

10.6.255.1/32

R3 的环路接口地址

配置防火墙

  1. 为 ICL、内部和外部流量配置接口,并使用浮动 IP 地址设置环路接口 lo0.0 以到达对等网关。我们将使用 10.11.0.1 作为浮动 IP 地址,使用 10.12.0.1 作为 IKE 网关地址。
    • 节点 1
    • 节点 2
  2. 根据网络的要求配置安全区域,并允许必要的主机入站系统服务。
    • 节点 1
    • 节点 2
    注意:

    为简化起见,本文档中提供的配置示例允许所有主机入站协议和服务。在生产部署中,您必须将入站访问限制为仅环境所需的协议和服务。对于 MNHA 设置,此配置通常包括允许 IKE、BGP 和 BFD。始终根据您的网络和安全要求定制安全规则。
  3. 配置安全策略。
    注意:

    此示例中显示的安全策略仅用于演示和测试。您应该根据网络需求配置安全策略。确保您的安全策略仅允许您信任的应用、用户和设备。

    节点 1 和节点 2

  4. 两个安全设备上配置本地和对等节点 ID。分配唯一标识符,以便每个设备都可以确定其在 MNHA 对中的角色。
    • 节点 1
    • 节点 2
  5. 配置服务冗余组 SRG1 和 SRG2。根据需要使用单独的冗余组来管理不同服务集的故障切换。
    1. 节点 1
      • SRG1
    2. SRG2

      您最多可以配置 64 个 IP 地址,用于 IP 监控和主动性探测。总共 64 个 IP 地址是 IPv4 和 IPv6 地址数量的总和。

    • 节点 2
      • SRG1
      • SRG2
  6. 配置路由策略和路由选项。定义支持 MNHA 故障切换和流量定向的路由首选项和策略。在此步骤中,您将配置:
    • 跨 MNHA 节点的主动/主动流量分配
    • 每个 SRG 的策略控制 BGP 通告
    • 配置 BFD 监控。BFD 为受保护的链路和路径提供快速故障检测。
    • 对称 IPsec 流量转发

    • 定义 SRG 前缀。前缀列表定义哪些路由(前缀)与 SRG 相关联,以便将这些前缀的流量引导至 SRG 并由 SRG 处理。

      节点 1 节点 2

    • 创建路由过滤器列表以指定可播发的路由。

      节点 1 节点 2

    • 配置 MNHA 路由导出策略。此配置在活动时播发具有首选指标(指标 10)的路由,在备份时播发首选指标(指标 20)的路由。

      节点 1 节点 2

    • 定义条件运行状况检查。此配置根据路由是否存在情况确定每个 SRG 的节点是活动节点还是备份节点。

      节点 1 节点 2
      注意:您必须在 policy-options 语句中指定活动信号路由以及 route-exists 策略。配置 active-signal-route with if-route-exists 条件时,高可用性模块会将此路由添加到路由表中。
      注意:

      使用匹配条件配置活动信号路由 10.39.1.1 (SRG1) 和 10.49.1.1 (SRG2)。 if-route-exists 当节点变为活动状态时,MNHA 会添加这些路由,并且该节点会以更高的优先级播发路由。为备用节点配置备用信号路由 10.39.1.2 和 10.49.1.2,优先级中等。发生故障时,高可用性链路将关闭,活动节点将放弃其主要角色并移除活动信号路由。备份节点通过探针检测到这一点,变为活动状态,并且其路由优先级会增加以获取所有流量。

    • 配置 BGP。

      节点 1 节点 2
  7. 配置 BGP 条件所需的基本可访问性。
    • 节点 1
    • 节点 2
  8. ICL 进行加密。使用 IKEv2 为 ICL 高可用性流量配置 VPN 配置文件,并定义 IKE 和 IPsec 参数,以保护 ICL 上的 MNHA 控制和状态同步。

    • 节点 1 和节点 2

      注意:

      • 指定该 ha-link-encryption 选项会对 ICL 进行加密,以确保节点之间的高可用性流量信息流的安全。

      • 配置中set chassis high-availability peer-id <id> vpn-profile vpn_profile必须提及vpn_profileICL_IPSEC_VPN相同的 VPN 名称。

      • 对于多节点高可用性功能,您必须将 IKE 版本配置为 v2-only

  9. 配置 IPsec VPN 选项以使用 SRX-03 建立隧道,并使用组选项在两台设备上启用 IPsec VPN 配置同步。
    节点 1 和节点 2
    • SRG1 和 SRG2 的 IPSec VPN 配置。

      在上述配置中,SRG1 VPN (SRG1_IPSEC_VPN1) 依赖于没有显式流量选择器的基于路由的转发,而 SRG2 (SRG2_IPSEC_VPN500) 则使用流量选择器。流量选择器可定义确切的本地和远程 IP,其流量必须加密并通过 IPsec 隧道发送。指向 st0 接口的静态路由可确保将匹配的流量转发到 VPN 隧道,而不是默认转发路径。两种方法都可以使用,具体取决于部署。

VPN 对等设备上的配置

使用匹配的 IPsec VPN 选项配置 VPN 对等设备 SRX-03。确保 IKE 和 IPsec 参数(对等方、提议和策略)与 SRX-01 和 SRX-02 上的这些选项匹配,以成功启用隧道。

  1. 配置接口以建立信任、不信任和 VPN 连接,并将环路地址用作 IKE 端点。
  2. 定义安全区域。
  3. 创建 IKE 提议。
  4. 定义 IKE 策略。
  5. 创建 IKE 网关,定义地址,指定外部接口和版本。
  6. 创建 IPsec 提议。
  7. 创建 IPsec 策略。
  8. 为 SRG1 和 SRG2 创建单独的 IKE 网关和 IPsec VPN。

    在此步骤中,使用相同的配置方法(SRG1 VPN (SRG1_IPSEC_VPN1)的静态路由和 SRG2 (SRG2_IPSEC_VPN500)的流量选择器),以与 MNHA 设置中的 IPsec VPN 配置保持一致。

  9. 创建安全策略。

    对于此示例,我们配置了一个策略以允许所有流量。强烈建议根据网络要求创建安全策略,以允许组织策略允许的流量并拒绝所有其他流量。我们仅在本例中将默认策略用于演示目的。

  10. 配置静态路由。

验证

使用 show 命令确认配置工作正常。

表 3:用于验证的 show 命令
命令 验证任务

show chassis high-availability information

显示安全设备上 MNHA 状态的详细信息,包括对等节点的运行状况。
show securiti ike security-associationsshow securiti ipsec security-associations

显示有关 IPsec VPN 连接的状态

检查多节点高可用性设置

目的

查看并验证安全设备上配置的多节点高可用性设置的详细信息。

行动

在操作模式下,运行以下命令:

SRX-01

SRX-02

意义

从命令输出中验证以下详细信息:

  • 本地节点和对等节点详细信息,例如 IP 地址和 ID。

  • 该字段 Encrypted: YES 表示流量已受到保护。

  • 该字段 Deployment Type: ROUTING 表示第 3 层模式配置,即网络两端都有路由器。

  • 该字段 Services Redundancy Group: 1Services Redundancy Group: 2 指示该节点上 SRG1 和 SRG2(活动或备份)的状态。

检查多节点高可用性服务冗余组

目的

验证 SRG 是否已配置且工作正常。

行动

在操作模式下,运行以下命令:

意义

从命令输出中验证以下详细信息:

  • 对等节点详细信息,例如部署类型、状态、活动和备份信号路由。

  • 脑裂预防探测、IP 监控和 BFD 监控状态。

  • 关联的 IP 前缀表。

检查 IPsec VPN 状态

目的

通过在 SRG 级别检查任何 IKE 安全关联的状态来确认 VPN 状态。

行动

在 SRX-01、SRX-02 和 SRX-03(VPN 对等设备)上运行以下命令:

SRX-01

SRX-02

SRX-03

意义

从命令输出中验证以下详细信息:

  • 远程对等方的 IP 地址。
  • 两个远程对等方都显示 UP 的状态表示第 1 阶段和第 2 阶段建立成功关联。
  • 远程对等方 IP 地址、IKE 策略和外部接口均正确无误。
  • IPsec 隧道已启动,能够主动传递流量,并且运行得无误

测试通过 VPN 的流量

目的

验证通过 VPN 的流量。

行动

使用连接到对等方 VPN 防火墙 (SRX-03) 的路由器 3 中的命令测试 ping 流向主机连接所在路由器 1 的流量。

在操作模式下,输入命令 ping

意义

此 ping 输出确认远程站点与内部网络之间的 IPsec VPN 端到端连接成功。

如果命令失败,可能是 ping 路由、安全策略、终端主机或 ESP 数据包的加密和解密存在问题

验证机箱间链路 (ICL) 加密状态

目的

验证机箱间链路 (ICL) 状态。

行动

在 上 SRX-01运行以下命令:

意义

命令输出提供用于加密 MNHA ICL 链路的 IPsec SA。它可以保护 SRX-01 和 SRX-02 之间的控制、路由和状态同步流量

注意:

命令输出中显示的 IP 范围 (180.100.1.x) 用作 ICL IPsec 流量选择器。系统会动态分配此 IP 范围,因此不能更改或修改它。此外,BFD(双向转发检测)将自动启用,以覆盖更广泛的 180.x.x.x IP 范围。

在所有设备上设置命令

vSRX 虚拟防火墙 (SRX-01)

vSRX 虚拟防火墙 (SRX-02)

vSRX 虚拟防火墙 (SRX-03)

路由器 1

路由器 2

路由器 3

Show Configuration Output

在配置模式下,输入 show high availabilityshow security zonesshow interfaces 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

vSRX 虚拟防火墙 (SRX-01)

vSRX 虚拟防火墙 (SRX-02)

vSRX 虚拟防火墙 (SRX-03)

也可以看看