Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Beispiel: Konfigurieren von IPSec-VPN in Aktiv-Aktiv-Hochverfügbarkeit mit mehreren Knoten in einem Layer-3-Netzwerk

ZUSAMMENFASSUNG In diesem Beispiel wird gezeigt, wie IPsec-VPN für die Einrichtung von Aktiv-Aktiv-Hochverfügbarkeit mit mehreren Knoten konfiguriert und überprüft wird.

Übersicht

Bei der Hochverfügbarkeit mehrerer Knoten arbeiten die teilnehmenden Firewalls der SRX-Serie als unabhängige Knoten in einem Layer-3-Netzwerk. Die Knoten sind mit benachbarter Infrastruktur verbunden, die zu verschiedenen Netzwerken gehört. Ein verschlüsselter logischer Interchassis-Link (ICL) verbindet die Knoten über ein geroutetes Netzwerk. Teilnehmende Knoten sichern sich gegenseitig, um im Falle eines System- oder Hardwareausfalls ein schnelles synchronisiertes Failover zu gewährleisten.

Sie können Multinode High Availability im Aktiv-Aktiv-Modus mit Unterstützung mehrerer Services Redundancy Groups (SRGs) betreiben. In diesem Modus bleiben einige SRGs auf einem Knoten und einige SRGs auf einem anderen Knoten aktiv.

Multinode High Availability unterstützt IPsec-VPN im Aktiv-Aktiv-Modus mit mehreren SRGs (SRG1+). In diesem Modus können Sie basierend auf der SRG-Aktivität mehrere aktive Tunnel von beiden Knoten aus einrichten. Multinode High Availability richtet einen IPsec-Tunnel ein und führt den Schlüsselaustausch durch, indem dem SRG die Terminierungs-IP-Adresse (die auch die Tunnel identifiziert, die darauf enden) zugeordnet wird. Da sich auf jedem der Geräte unterschiedliche SRG1+ im aktiven Zustand oder im Backup-Zustand befinden können, lenkt Multinode High Availability den passenden Datenverkehr effektiv zum entsprechenden aktiven SRG1. Da verschiedene SRGs auf verschiedenen Knoten aktiv sein können, werden Tunnel, die zu diesen SRGs gehören, auf beiden Knoten unabhängig voneinander aufgebaut.

Hinweis:

Wir unterstützen eine Konfiguration mit zwei Knoten in der Multinode High Availability-Lösung.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Zwei Firewalls der SRX-Serie (unterstützte Geräte sind SRX5400, SRX5600 und SRX5800 mit SPC3, IOC3, SCB3, SCB4 und RE3)

  • Junos OS Version 22.4R1

In diesem Beispiel haben wir zwei Routing-Plattformen der MX-Serie von Juniper Networks als Upstream-/Downstream-Router verwendet.

Vorbereitungen

  • Konfigurieren Sie zustandslose Firewall-Filterung und Quality of Service (QoS) gemäß Ihren Netzwerkanforderungen und verfügen Sie über geeignete Sicherheitsrichtlinien, um den Datenverkehr in Ihrem Netzwerk zu verwalten.

  • In einer typischen Hochverfügbarkeitsbereitstellung verfügen Sie über mehrere Router und Switches auf der Nord- und Südseite des Netzwerks. In diesem Beispiel verwenden wir zwei Router auf beiden Seiten der Firewalls der SRX-Serie. Stellen Sie sicher, dass Sie Upstream- und Downstream-Router gemäß Ihren Netzwerkanforderungen konfiguriert haben.

  • Installieren Sie das Junos IKE-Paket mit dem request system software add optional://junos-ike.tgz Befehl auf Ihren Firewalls der SRX-Serie. Das junos-ike Paket ist in Ihren Junos-Softwarepaketen enthalten (ab Junos OS Version 20.4R1).

Topologie

Abbildung 1 zeigt die in diesem Beispiel verwendete Topologie.

Abbildung 1: Multinode-Hochverfügbarkeit im Layer-3-Netzwerk Multinode High Availability in Layer 3 Network

Wie in der Topologie dargestellt, sind zwei Firewalls der SRX-Serie (SRX-1 und SRX-2) mit benachbarten Routern auf der Vertrauens- und der nicht vertrauenswürdigen Seite verbunden und bilden eine BGP-Nachbarschaft. Ein verschlüsselter logischer Interchassis-Link (ICL) verbindet die Knoten über ein geroutetes Netzwerk. Die Knoten kommunizieren über eine routingfähige IP-Adresse (Floating IP Address) über das Netzwerk miteinander.

Das SRX-03-Gerät fungiert als Peer-Gerät für das Multinode High Availability-Setup und richtet IPsec-VPN-Tunnel mit SRX-01- und SRX-02-Geräten ein.

Sie führen die folgenden Aufgaben aus, um ein Multinode-Hochverfügbarkeits-Setup zu erstellen:

  • Konfigurieren Sie ein Paar Firewalls der SRX-Serie als lokale Knoten und Peer-Knoten, indem Sie IDs zuweisen.
  • Konfigurieren Sie Serviceredundanzgruppen (SRG1 und SRG2).
  • Konfigurieren Sie eine Loopback-Schnittstelle (lo0.0), um die Floating-IP-Adresse zu hosten und das Peer-Gateway zu erreichen. Durch die Verwendung der Loopback-Schnittstelle wird sichergestellt, dass der Datenverkehr von den benachbarten Routern zu jedem Zeitpunkt zur Floating-IP-Adresse (d. h. zum aktiven Knoten) geleitet wird.
  • Konfigurieren von IP-Sonden für die Aktivitätsbestimmung und -erzwingung
  • Konfigurieren Sie eine Signalroute, die für die Erzwingung der Aktivitätsfähigkeit erforderlich ist, und verwenden Sie sie zusammen mit der Richtlinie "Route vorhanden".
  • Konfigurieren Sie mithilfe von IKEv2 ein VPN-Profil für den Hochverfügbarkeitsdatenverkehr (ICL).
  • Konfigurieren von BFD-Überwachungsoptionen
  • Konfigurieren einer Routing-Richtlinie und Routing-Optionen
  • Konfigurieren Sie Schnittstellen und Zonen entsprechend Ihren Netzwerkanforderungen. Sie müssen Services wie IKE für die Verbindungsverschlüsselung und SSH für die Konfigurationssynchronisierung als Host-eingehende Systemservices in der Sicherheitszone zulassen, die der ICL zugeordnet ist.
  • Erstellen Sie eine Gruppenkonfiguration für IPsec-VPN auf SRX-01- und SRX-02-Geräten, um einen Tunnel mit VPN-Peer-Gerät (SRX-03) einzurichten. Mit Konfigurationsgruppen können Sie gemeinsame Elemente anwenden, die in derselben Konfiguration wiederverwendet werden.

  • Konfigurieren Sie IPsec-VPN-Optionen, um Tunnel mit dem SRX-03-Gerät einzurichten, und aktivieren Sie die IPsec-VPN-Konfigurationssynchronisierung auf beiden Geräten (SRX-01 und SRX-02), indem Sie die Option [groups] verwenden.
  • Konfigurieren Sie das VPN-Peer-Gerät mit IPsec-VPN-Optionen.

Für Interchassis Link (ICL) empfehlen wir die folgende Konfiguration:

  • Im Allgemeinen können Sie Aggregated Ethernet (AE) oder einen Ethernet-Port an den Firewalls der SRX-Serie verwenden, um eine ICL-Verbindung einzurichten. In diesem Beispiel haben wir GE-Ports für die ICL verwendet. Wir haben auch eine Routing-Instanz für den ICL-Pfad konfiguriert, um eine maximale Segmentierung zu gewährleisten.

  • Verwenden Sie nicht die dedizierten HA-Ports (Kontroll- und Fabric-Ports), sofern in Ihrer Firewall der SRX-Serie verfügbar).
  • Set MTU von 1514
  • Zulassen der folgenden Dienste in der Sicherheitszone, die Schnittstellen zugeordnet ist, die für ICL verwendet werden
    • IKE, Hochverfügbarkeit, SSH

    • Die Protokolle hängen vom Routing-Protokoll ab, das Sie benötigen.

    • BFD zur Überwachung der benachbarten Routen.

Sie können die folgenden Optionen auf SRG0 und SRG1+ konfigurieren:

Sie können die folgenden Optionen für SRG0 und SRG1 konfigurieren:

  • SRG1: Aktiv-/Backup-Signalroute, Bereitstellungstyp, Aktivitätspriorität, vorzeitige Entfernung, virtuelle IP-Adresse (für Standard-Gateway-Bereitstellungen), Aktivitätsprüfung und Prozesspaket bei der Sicherung.

  • SRG1: BFD-Monitoring, IP-Monitoring und Schnittstellen-Monitoring-Optionen auf SRG1.

  • SRG0: Routenoptionen für das Herunterfahren bei einem Fehler und die Installation bei einem Fehler.

    Wenn Sie Überwachungsoptionen (BFD, IP oder Schnittstelle) unter SRG1 konfigurieren, wird empfohlen, die Option zum Herunterfahren bei Ausfall nicht unter SRG0 zu konfigurieren.

  • SRG1: Aktiv-/Backup-Signalroute, Bereitstellungstyp, Aktivitätspriorität, vorzeitige Entfernung, virtuelle IP-Adresse (für Standard-Gateway-Bereitstellungen), Aktivitätsprüfung und Prozesspaket bei der Sicherung.

  • SRG1: BFD-Monitoring, IP-Monitoring und Schnittstellen-Monitoring-Optionen auf SRG1.

  • SRG0: Routenoptionen für das Herunterfahren bei einem Fehler und die Installation bei einem Fehler.

    Wenn Sie Überwachungsoptionen (BFD, IP oder Schnittstelle) unter SRG1 konfigurieren, wird empfohlen, die Option zum Herunterfahren bei Ausfall nicht unter SRG0 zu konfigurieren.

Tabelle 1 zeigt die Details zur Schnittstellenkonfiguration, die in diesem Beispiel verwendet wird.

der
Tabelle 1: Konfiguration von Schnittstellen und IP-Adressen auf Sicherheitsgeräten
IP-Adresse Geräteschnittstellenzone , die für
SRX-01 lo0

Misstrauen

10.11.0.1/32

Floating-IP-Adresse

IKE-Gateway-Adresse

10.12.0.1/32

IKE-Gateway-Adresse

GE-0/0/2

ICL

10.22.0.2/24

ICL anschließen

GE-0/0/4

Vertrauen

10.5.0.1/24

Verbindet sich mit dem R2-Router

GE-0/0/3

Misstrauen

10.3.0.2/24

Verbindet sich mit dem R1-Router

SRX-02

lo0

Misstrauen

10.12.0.1/32

Floating-IP-Adresse

IKE-Gateway-Adresse

10.11.0.1/32

IKE-Gateway-Adresse

GE-0/0/2

ICL

10.22.0.1/24

ICL anschließen

GE-0/0/3

Misstrauen

10.2.0.2/24

Verbindet sich mit dem R1-Router

GE-0/0/4

Vertrauen

10.4.0.1/24

Verbindet sich mit dem R2-Router

SRX-03 lo0

Misstrauen

10.112.0.1/32

IKE-Gateway-Adresse

10.112.0.5/32

IKE-Gateway-Adresse

GE-0/0/0

Misstrauen

10.7.0.1/24

Verbindet sich mit dem R2-Router

GE-0/0/2

Vertrauen

10.6.0.2/24

Stellt eine Verbindung zum Client-Gerät her

Tabelle 2: Schnittstellen- und IP-Adresskonfiguration auf Routing-Geräten
IP-Adresse der Geräteschnittstelle , konfiguriert für
R2 lo0

10.111.0.2/32

Loopback-Schnittstellenadresse von R2

GE-0/0/1

10.4.0.2/24

Anschluss an SRX-02

GE-0/0/0

10.5.0.2/24

Anschluss an SRX-01

GE-0/0/2

10.7.0.2/24

Verbindung zu SRX-03 (VPN-Peer-Gerät)

R1 lo0

10.111.0.1/32

Loopback-Schnittstellenadresse von R1

GE-0/0/0

10.3.0.1/24

Anschluss an SRX-01

GE-0/0/1

10.2.0.1/24

Anschluss an SRX-02

Konfiguration

Vorbereitungen

Das Junos IKE-Paket ist für Ihre Konfiguration der Firewalls der SRX-Serie für die Hochverfügbarkeit mehrerer Knoten erforderlich. Dieses Paket ist als Standardpaket oder als optionales Paket für Firewalls der SRX-Serie erhältlich. Weitere Informationen finden Sie unter Unterstützung für das Junos IKE-Paket .

Wenn das Paket nicht standardmäßig auf Ihrer Firewall der SRX-Serie installiert ist, verwenden Sie den folgenden Befehl, um es zu installieren. Dieser Schritt ist für die ICL-Verschlüsselung erforderlich.

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .

Diese Konfigurationen stammen aus einer Laborumgebung und dienen nur als Referenz. Die tatsächlichen Konfigurationen können je nach den spezifischen Anforderungen Ihrer Umgebung variieren.

SRX-01 Gerät

SRX-02 Gerät

SRX-3-Gerät

In den folgenden Abschnitten werden Konfigurationsausschnitte auf den Routern gezeigt, die zum Einrichten der Einrichtung von Multinode High Availability im Netzwerk erforderlich sind.

R1-Router

R2-Router

Konfiguration

Schritt-für-Schritt-Anleitung

Wir zeigen die Konfiguration von SRX-01 in der Schritt-für-Schritt-Anleitung.

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

  1. Konfigurieren von Schnittstellen.

    Verwenden Sie die Schnittstellen ge-0/0/3 und ge-0/0/4, um eine Verbindung zu den Upstream- und Downstream-Routern herzustellen, und verwenden Sie die Schnittstelle ge-0/0/2, um die ICL einzurichten.

  2. Konfigurieren Sie die Loopback-Schnittstellen.

    Weisen Sie der Loopback-Schnittstelle die IP-Adressen 10.11.0.1 und 10.12.0.1 zu. Wir verwenden 10.11.0.1 als Floating-IP-Adresse und 10.12.0.1 als IKE-Gateway-Adresse.

  3. Konfigurieren Sie Sicherheitszonen, weisen Sie den Zonen Schnittstellen zu, und geben Sie die zulässigen Systemdienste für die Sicherheitszonen an.

    Weisen Sie den Schnittstellen ge-0/0/3 und ge-0/0/4 die Vertrauens- bzw. nicht vertrauenswürdige Zone zu. Weisen Sie die lo0.0-Schnittstelle der nicht vertrauenswürdigen Zone zu, um eine Verbindung über das IP-Netzwerk herzustellen. Ordnen Sie das Interface ge-0/0/2 der ICL-Zone zu. Sie verwenden diese Zone, um die ICL einzurichten. Weisen Sie die sichere Tunnelschnittstelle der VPN-Sicherheitszone zu.

  4. Konfigurieren Sie sowohl die Details des lokalen Knotens als auch des Peer-Knotens, wie z. B. die Knoten-ID, die lP-Adressen des lokalen Knotens und des Peer-Knotens sowie die Schnittstelle für den Peer-Knoten.

    Sie verwenden die ge-0/0/2-Schnittstelle für die Kommunikation mit dem Peerknoten über die ICL.

  5. Hängen Sie das IPsec-VPN-Profil IPSEC_VPN_ICL an den Peerknoten an.

    Sie benötigen diese Konfiguration, um eine sichere ICL-Verbindung zwischen den Knoten herzustellen.

  6. Konfigurieren Sie die Protokolloptionen für die Bidirectional Forwarding Detection (BFD) für den Peer-Knoten.

  7. Konfigurieren Sie die Dienstredundanzgruppen SRG1 und SRG2.

    In diesem Schritt geben Sie den Bereitstellungstyp als Routing an, da Sie die Hochverfügbarkeit mehrerer Knoten in einem Layer-3-Netzwerk einrichten.
  8. Richten Sie die Parameter für die Aktivitätsbestimmung sowohl SRG1 als auch SRG2 ein.

    SRG1

    SRG2

    Verwenden Sie die Floating-IP-Adresse als Quell-IP-Adresse (10.11.0.1 für SRG1 und 10.12.0.1 für SRG2) und die IP-Adressen der Upstream-Router als Ziel-IP-Adresse (10.111.0.1) für den Aktivitätsbestimmungstest.

    Sie können bis zu 64 IP-Adressen für die IP-Überwachung und Aktivitätsprüfung konfigurieren. Die Gesamtzahl der 64 IP-Adressen ergibt sich aus der Summe der Anzahl der IPv4- und IPv6-Adressen)

  9. Konfigurieren Sie die BFD-Überwachungsparameter für SRG1 und SRG2, um Fehler im Netzwerk zu erkennen.

    SRG1

    SRG2

  10. Konfigurieren Sie eine aktive Signalroute, die für die Erzwingung der Aktivierung erforderlich ist.

    SRG1

    SRG2

    Die von Ihnen zugewiesene IP-Adresse für die aktive Signalroute wird für die Ankündigung der Routenpräferenz verwendet. Sie müssen die aktive Signalroute zusammen mit der route-exists Richtlinie in der policy-options Anweisung angeben.

  11. Erstellen Sie eine IP-Präfixliste, indem Sie die lokale Adresse des IKE-Gateways einschließen, und ordnen Sie die IP-Präfixliste SRG1 und SRG2 zu:

    SRG1

    SRG2

    Diese Konfiguration verankert einen bestimmten IPsec-VPN-Tunnel mit einem bestimmten Sicherheitsgerät.

  12. Aktivieren Sie den IPsec-VPN-Dienst sowohl auf SRG1 als auch auf SRG2.

  13. Konfigurieren Sie die IPSec-VPN-Optionen für die ICL.

    1. Definieren Sie die IKE-Konfiguration (Internet Key Exchange). Eine IKE-Konfiguration definiert die Algorithmen und Schlüssel, die zum Herstellen einer sicheren Verbindung verwendet werden.

      Für die Multinode-Hochverfügbarkeitsfunktion müssen Sie die IKE-Version wie folgt konfigurieren: v2-only

    2. Geben Sie das IPsec-Vorschlagsprotokoll und den Verschlüsselungsalgorithmus an. Geben Sie IPsec-Optionen an, um einen IPsec-Tunnel zwischen zwei teilnehmenden Geräten zu erstellen und die VPN-Kommunikation zu sichern.

      Wenn Sie die ha-link-encryption Option angeben, wird die ICL verschlüsselt, um einen hochverfügbaren Datenverkehrsfluss zwischen den Knoten zu gewährleisten.

      Derselbe VPN-Name ICL_IPSEC_VPN muss in der set chassis high-availability peer-id <id> vpn-profile vpn_profile Konfiguration angegeben vpn_profile werden.

  14. Konfigurieren Sie die Sicherheitsrichtlinie.

    In diesem Beispiel haben wir eine Richtlinie konfiguriert, die den gesamten Datenverkehr zulässt. Es wird dringend empfohlen, Sicherheitsrichtlinien gemäß Ihren Netzwerkanforderungen zu erstellen, um Datenverkehr zuzulassen, der durch Ihre Organisationsrichtlinie zulässig ist, und jeglichen anderen Datenverkehr abzulehnen. In diesem Beispiel haben wir die Standardrichtlinie nur zu Demozwecken verwendet.

  15. Konfigurieren Sie Routing-Optionen.

  16. Konfigurieren Sie Richtlinienoptionen.

    Konfigurieren Sie die aktive Signalroute 10.39.1.1 (SRG1) und 10.49.1.1 (SRG2) mit der Routenübereinstimmungsbedingung (if-route-exists). Die Hochverfügbarkeit mehrerer Knoten fügt diese Route der Routing-Tabelle hinzu, wenn der Knoten in die aktive Rolle verschoben wird. Der Knoten beginnt auch, die Route mit der höheren Präferenz anzukündigen. Konfigurieren Sie die Backup-Signalroute (10.39.1.2 und 10.49.1.2), um den Backup-Knoten mit mittlerer Priorität anzukündigen. Bei Ausfällen fällt die Hochverfügbarkeitsverbindung aus, und der aktuell aktive Knoten gibt seine primäre Rolle frei und entfernt die active-signal-route. Jetzt erkennt der Backup-Knoten die Bedingung über seine Sondierungen und wechselt in die aktive Rolle. Die Routenpräferenz wird vertauscht, um den gesamten Datenverkehr an den neuen aktiven Knoten zu leiten

  17. Konfigurieren Sie BFD-Peering-Sitzungsoptionen, und geben Sie Zeitgeber für die Lebendigkeitserkennung an.

IPsec-VPN-Konfiguration (SRX-1 und SRX-2)

Führen Sie die folgenden Schritte aus, um eine IPsec-VPN-Verbindung mit der Peer-Firewall der SRX-Serie einzurichten. In diesem Beispiel platzieren Sie alle Ihre IPsec-VPN-Konfigurationsanweisungen in einer JUNOS-Konfigurationsgruppe mit dem Namen vpn_config.

  1. Erstellen Sie oben in der Konfiguration eine Konfigurationsgruppe vpn_config , und konfigurieren Sie IPsec-VPN-spezifische Details.
  2. Fügen Sie die apply-groups-Anweisung in die Konfiguration ein, um die Anweisungen von der vpn_config Konfigurationsgruppe zu erben.

Konfiguration (SRX-03) (VPN-Peer-Gerät)

Schritt-für-Schritt-Anleitung

  1. Erstellen Sie den IKE-Vorschlag.

  2. Definieren Sie IKE-Richtlinien.

  3. Erstellen Sie ein IKE-Gateway, definieren Sie die Adresse, geben Sie externe Schnittstellen und Version an.

  4. Erstellen Sie IPsec-Vorschläge.

  5. Erstellen Sie IPsec-Richtlinien.

  6. Geben Sie die IPsec-Vorschlagsreferenzen an (IKE-Gateway, IPsec-Richtlinie, zu bindende Schnittstelle und Datenverkehrsselektoren).

  7. Erstellen Sie eine Sicherheitsrichtlinie.

    In diesem Beispiel haben wir eine Richtlinie konfiguriert, die den gesamten Datenverkehr zulässt. Es wird dringend empfohlen, Sicherheitsrichtlinien gemäß Ihren Netzwerkanforderungen zu erstellen, um Datenverkehr zuzulassen, der durch Ihre Organisationsrichtlinie zulässig ist, und jeglichen anderen Datenverkehr abzulehnen. In diesem Beispiel haben wir die Standardrichtlinie nur zu Demozwecken verwendet.

  8. Konfigurieren Sie die Schnittstellen.

  9. Definieren Sie Sicherheitszonen und fügen Sie Schnittstellen hinzu.

  10. Konfigurieren Sie die statischen Routen.

Ergebnisse (SRX-01)

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die folgenden Befehle eingeben.

Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .

Ergebnisse (SRX-02)

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die folgenden Befehle eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .

Auf Ihren Sicherheitsgeräten wird die folgende Meldung angezeigt, in der Sie aufgefordert werden, das Gerät neu zu starten:

Ergebnisse (SRX-3) (VPN-Peer-Gerät)

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die folgenden Befehle eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .

Überprüfung

Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfen Sie die Details zur Hochverfügbarkeit mehrerer Knoten

Zweck

Zeigen Sie die Details der auf Ihrem Sicherheitsgerät konfigurierten Multinode High Availability-Einrichtung an und überprüfen Sie sie.

Aktion

Führen Sie im Betriebsmodus den folgenden Befehl aus:

Auf SRX-1

Auf SRX-2

Bedeutung

Überprüfen Sie diese Details in der Befehlsausgabe:

  • Details zu lokalen Knoten und Peer-Knoten, z. B. IP-Adresse und ID.

  • Das Feld Encrypted: YES zeigt an, dass der Datenverkehr geschützt ist.

  • Das Feld Deployment Type: ROUTING zeigt eine Konfiguration im Layer-3-Modus an, d. h., das Netzwerk verfügt über Router auf beiden Seiten.

  • Das Feld Services Redundancy Group: 1 und Services Redundancy Group: 2 geben Sie den Status von SRG1 und SRG2 (aktiv oder Backup) auf diesem Knoten an.

Überprüfen Sie die Details zur Hochverfügbarkeit mehrerer Knoten

Zweck

Zeigen Sie die Details der auf Ihrem Sicherheitsgerät konfigurierten Multinode High Availability-Einrichtung an und überprüfen Sie sie.

Aktion

Führen Sie im Betriebsmodus den folgenden Befehl aus:

Auf SRX-01

Bedeutung

Überprüfen Sie diese Details in der Befehlsausgabe:

  • Das Feld Services: [ IPSEC ] gibt das zugeordnete IPSec-VPN für jede SRG an.

  • In den Feldern BFD Monitoring, Interface Monitoring, Split-brain Prevention Probe Info werden Monitoring-Details angezeigt.

  • Die Felder Cold Synchronizationenthalten SRG State Change Events Details zum aktuellen Status und zu den letzten Änderungen.

  • Das Feld Services Redundancy Group: 1 und Services Redundancy Group: 2 geben Sie den Status von SRG1 und SRG2 (aktiv oder Backup) auf diesem Knoten an.

In der Befehlsausgabe werden die IP-Adressen, z. B. IP 180.100.1.2, intern von Junos OS generiert, und diese Adressen beeinträchtigen Routing-Tabellen nicht.

Überprüfen des Peer-Knotenstatus für Hochverfügbarkeits-Peerknoten mit mehreren Knoten

Zweck

Zeigen Sie die Details des Peerknotens an, und überprüfen Sie sie.

Aktion

Führen Sie im Betriebsmodus den folgenden Befehl auf SRX-01 und SRX-02 aus:

SRX-01

SRX-02

Bedeutung

Überprüfen Sie diese Details in der Befehlsausgabe:

  • Details zum Peer-Knoten, wie z. B. verwendete Schnittstelle, IP-Adresse und ID

  • Verschlüsselungsstatus, Verbindungsstatus und Status der kalten Synchronisierung

  • Paketstatistiken für den gesamten Knoten.

Überprüfen Sie die Redundanzgruppen für Multinode-Hochverfügbarkeitsdienste

Zweck

Vergewissern Sie sich, dass die SRGs konfiguriert sind und ordnungsgemäß funktionieren.

Aktion

Führen Sie im Betriebsmodus den folgenden Befehl auf beiden Sicherheitsgeräten aus:

SRG1 auf SRX-02

SRG2 auf SRX-02

SRG1 auf SRX-01

SRG2 auf SRX-01

Bedeutung

Überprüfen Sie diese Details in der Befehlsausgabe:

  • Details zu Peer-Knoten, z. B. Bereitstellungstyp, Status, aktive und Backup-Signalrouten.

  • Split-Brain-Präventionssonde, IP-Überwachung und BFD-Überwachungsstatus.

  • Tabelle mit zugeordneten IP-Präfixen.

VPN-Status bestätigen

Zweck

Überprüfen Sie den VPN-Status, indem Sie den Status aller IKE-Sicherheitsverbände auf SRG-Ebene überprüfen.

Aktion

Führen Sie die folgenden Befehle auf SRX-1, SRX-2 und SRX-3 (VPN-Peer-Gerät) aus:

SRX-01

SRX-02

SRX-3 (VPN-Peer-Gerät)

Bedeutung

Die Ausgabe zeigt Folgendes:

  • IP-Adressen der Remote-Peers.
  • Der Status, der UP für beide Remote-Peers anzeigt, zeigt die erfolgreiche Zuordnung der Phase-1-Einrichtung an.
  • Die Remote-Peer-IP-Adresse, die IKE-Richtlinie und die externen Schnittstellen sind alle korrekt.

Details zur IPsec-Sicherheitszuordnung anzeigen

Zweck

Zeigen Sie die einzelnen IPsec-SA-Details an, die durch SRG-IDs identifiziert werden.

Aktion

Führen Sie den folgenden Befehl für die Firewalls der SRX-Serie aus:

SRX-1

SRX-02

SRX-03

Bedeutung

Die Ausgabe zeigt den Status des VPN an.

Aktive Peers pro SRG anzeigen

Zweck

Zeigt die Liste der verbundenen aktiven Peers mit den von ihnen verwendeten Peer-Adressen und Ports an.

Aktion

Führen Sie die folgenden Befehle auf den Firewalls der SRX-Serie aus:

SRX-01

SRX-02

Bedeutung

Die Ausgabe zeigt die Liste der angeschlossenen Geräte mit Details zu den verwendeten Peer-Adressen und Ports an.

IP-Präfix zur SRG-Zuordnung anzeigen

Zweck

IP-Präfix für SRG-Zuordnungsinformationen anzeigen.

Aktion

Führen Sie den folgenden Befehl auf dem SRX-01-Gerät aus.

Bedeutung

Die Ausgabe zeigt IP-Adresspräfixe, die SRGs im Setup zugeordnet sind.

BGP-Sitzungsinformationen anzeigen.

Zweck

Zeigen Sie zusammenfassende Informationen über BGP und seine Nachbarn an, um festzustellen, ob Routen von Peers empfangen werden.

Aktion

Führen Sie die folgenden Befehle auf den Firewalls der SRX-Serie aus:

SRX-1-Gerät

SRX-2-Gerät

Bedeutung

Die Ausgabe zeigt, dass die BGP-Sitzung eingerichtet wurde und die Peers Aktualisierungsnachrichten austauschen.