Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Beispiel: Konfigurieren von IPSec-VPN in Aktiv-Aktiv-Multinode-Hochverfügbarkeit in einem Layer 3-Netzwerk

In diesem Beispiel wird gezeigt, wie Sie IPsec-VPN für die Einrichtung von Aktiv-Aktiv-Multinode-Hochverfügbarkeit konfigurieren und überprüfen.

Überblick

Bei der Multi-Node-Hochverfügbarkeit arbeiten teilnehmende Firewalls der SRX-Serie als unabhängige Knoten in einem Layer-3-Netzwerk. Die Knoten sind mit benachbarten Infrastrukturen verbunden, die zu unterschiedlichen Netzwerken gehören. Ein verschlüsselter logischer Interchassis-Link (ICL) verbindet die Knoten über ein geroutetes Netzwerk. Beteiligte Knoten sichern sich gegenseitig, um im Falle eines System- oder Hardwareausfalls ein schnelles, synchronisiertes Failover zu gewährleisten.

Sie können Multinode High Availability im Aktiv-Aktiv-Modus mit Unterstützung mehrerer Serviceredundanzgruppen (SRGs) betreiben. In diesem Modus bleiben einige SRGs auf einem Knoten und einige SRGs auf einem anderen Knoten aktiv.

Multinode-Hochverfügbarkeit unterstützt IPsec-VPN im Aktiv-Aktiv-Modus mit mehreren SRGs (SRG1+). In diesem Modus können Sie basierend auf der SRG-Aktivität mehrere aktive Tunnel von beiden Knoten aus einrichten. Multinode High Availability richtet einen IPsec-Tunnel ein und führt Schlüsselaustausch durch, indem die IP-Adresse für die Beendigung (die auch die darauf endenden Tunnel identifiziert) dem SRG zugewiesen wird. Da sich unterschiedliche SRG1+ auf jedem der Geräte im aktiven Zustand oder im Backup-Zustand befinden können, leitet Multinode High Availability den entsprechenden Datenverkehr effektiv zum entsprechenden aktiven SRG1. Da unterschiedliche SRGs auf unterschiedlichen Nodes aktiv sein können, werden Tunnel, die zu diesen SRGs gehören, auf beiden Nodes unabhängig voneinander aufgebaut.

Anmerkung:

Wir unterstützen eine Konfiguration mit zwei Knoten in der Multinode-Hochverfügbarkeitslösung.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Zwei SRX-Serie-Firewalls (Unterstützte Geräte sind SRX5400, SRX5600 und SRX5800 mit SPC3, IOC3, SCB3, SCB4 und RE3)

  • Junos OS-Version 22.4R1

Wir haben in diesem Beispiel zwei Routing-Plattformen der MX-Serie von Juniper Networks als Upstream-/Downstream-Router verwendet.

Vorbereitungen

  • Konfigurieren Sie zustandslose Firewall-Filterung und Quality of Service (QoS) gemäß Ihren Netzwerkanforderungen und verfügen Sie über geeignete Sicherheitsrichtlinien zur Verwaltung des Datenverkehrs in Ihrem Netzwerk.

  • In einer typischen Hochverfügbarkeitsbereitstellung befinden sich mehrere Router und Switches auf der Nord- und der Südseite des Netzwerks. In diesem Beispiel verwenden wir zwei Router auf beiden Seiten der Firewalls der SRX-Serie. Stellen Sie sicher, dass Sie Upstream- und Downstream-Router gemäß Ihren Netzwerkanforderungen konfiguriert haben.

  • Installieren Sie das Junos IKE-Paket mithilfe des request system software add optional://junos-ike.tgz folgenden Befehls auf Ihren Firewalls der SRX-Serie. Das junos-ike Paket ist in Ihren Junos-Softwarepaketen enthalten (Junos OS Version 20.4R1 höher).

Topologie

Abbildung 1 zeigt die in diesem Beispiel verwendete Topologie.

Abbildung 1: Hochverfügbarkeit mit mehreren Knoten in einem Layer 3-Netzwerk Multinode High Availability in Layer 3 Network

Wie in der Topologie dargestellt, sind zwei Firewalls der SRX-Serie (SRX-1 und SRX-2) mit benachbarten Routern auf der Trust- und Distrust-Seite verbunden, wodurch eine BGP-Nachbarschaft entsteht. Ein verschlüsselter logischer Interchassis-Link (ICL) verbindet die Knoten über ein geroutetes Netzwerk. Die Knoten kommunizieren untereinander mit einer routingfähigen IP-Adresse (Floating IP-Adresse) über das Netzwerk.

Das SRX-03-Gerät fungiert als Peer-Gerät für die Multinode-Hochverfügbarkeitseinrichtung und richtet IPsec-VPN-Tunnel mit SRX-01- und SRX-02-Geräten ein.

Sie führen die folgenden Aufgaben aus, um ein Setup für hohe Verfügbarkeit mit mehreren Knoten zu erstellen:

  • Konfigurieren Sie ein Paar Firewalls der SRX-Serie als lokale und Peer-Knoten durch Zuweisen von IDs.
  • Konfigurieren Sie Serviceredundanzgruppen (SRG1 und SRG2).
  • Konfigurieren Sie eine Loopback-Schnittstelle (lo0.0), um die Floating-IP-Adresse zu hosten und das Peer-Gateway zu erreichen. Durch die Verwendung der Loopback-Schnittstelle wird sichergestellt, dass der Datenverkehr von den benachbarten Routern jederzeit in Richtung der Floating-IP-Adresse (d. h. zum aktiven Knoten) geleitet wird.
  • Konfigurieren von IP-Sondierungen für die Aktivitätsbestimmung und -durchsetzung
  • Konfigurieren Sie eine Signalroute, die für die Erzwingung der Aktivität erforderlich ist, und verwenden Sie sie zusammen mit der Richtlinie route exists.
  • Konfigurieren Sie mithilfe von IKEv2 ein VPN-Profil für den ICL-Datenverkehr (High Availability).
  • Konfigurieren von BFD-Überwachungsoptionen
  • Konfigurieren einer Routing-Richtlinie und von Routing-Optionen
  • Konfigurieren Sie Schnittstellen und Zonen entsprechend Ihren Netzwerkanforderungen. Sie müssen Services wie IKE für die Linkverschlüsselung und SSH für die Konfigurationssynchronisierung als Host-Eingangssystemdienste in der Sicherheitszone zulassen, die der ICL zugeordnet ist.

  • Erstellen Sie eine Gruppenkonfiguration für IPsec-VPN auf SRX-01- und SRX-02-Geräten, um einen Tunnel mit VPN-Peer-Gerät (SRX-03) einzurichten. Konfigurationsgruppen ermöglichen es Ihnen, gemeinsame Elemente anzuwenden, die in derselben Konfiguration wiederverwendet werden.

  • Konfigurieren Sie IPsec-VPN-Optionen, um Tunnel mit dem SRX-03-Gerät einzurichten, und aktivieren Sie die IPsec-VPN-Konfigurationssynchronisierung auf beiden Geräten (SRX-01 und SRX-02), indem Sie die Option [groups] verwenden.
  • Konfigurieren Sie VPN-Peer-Geräte mit IPsec-VPN-Optionen.

Für Interchassis Link (ICL) empfehlen wir die folgende Konfiguration:

  • Im Allgemeinen können Sie aggregiertes Ethernet (AE) oder einen umsatzsteigernden Ethernet-Port an den Firewalls der SRX-Serie verwenden, um eine ICL-Verbindung einzurichten. In diesem Beispiel haben wir GE-Ports für die ICL verwendet. Wir haben auch eine Routing-Instanz für den ICL-Pfad konfiguriert, um eine maximale Segmentierung zu gewährleisten.

  • Verwenden Sie nicht die dedizierten HA-Ports (Kontroll- und Fabric-Ports), sofern diese an Ihrer Firewall der SRX-Serie verfügbar sind.
  • Set MTU von 1514
  • Lassen Sie die folgenden Services in der Sicherheitszone zu, die den für ICL verwendeten Schnittstellen zugeordnet ist

    • IKE, Hochverfügbarkeit, SSH

    • Protokolle je nach benötigtem Routing-Protokoll.

    • BFD zur Überwachung der benachbarten Routen.

Sie können die folgenden Optionen auf SRG0 und SRG1+ konfigurieren:

Sie können die folgenden Optionen auf SRG0 und SRG1 konfigurieren:

  • SRG1: Aktive/Backup-Signalroute, Bereitstellungstyp, Aktivitätspriorität, Trennung, virtuelle IP-Adresse (für Standard-Gateway-Bereitstellungen), Aktivitätsprüfung und Prozesspaket bei der Sicherung.

  • SRG1: BFD-Überwachung, IP-Überwachung und Schnittstellenüberwachungsoptionen auf SRG1.

  • SRG0: Routenoptionen "Bei Ausfall herunterfahren" und "Bei Fehler installieren".

    Wenn Sie Überwachungsoptionen (BFD oder IP oder Schnittstelle) unter SRG1 konfigurieren, wird empfohlen, die Option "Herunterfahren bei Fehler" nicht unter SRG0 zu konfigurieren.

  • SRG1: Aktive/Backup-Signalroute, Bereitstellungstyp, Aktivitätspriorität, Trennung, virtuelle IP-Adresse (für Standard-Gateway-Bereitstellungen), Aktivitätsprüfung und Prozesspaket bei der Sicherung.

  • SRG1: BFD-Überwachung, IP-Überwachung und Schnittstellenüberwachungsoptionen auf SRG1.

  • SRG0: Routenoptionen "Bei Ausfall herunterfahren" und "Bei Fehler installieren".

    Wenn Sie Überwachungsoptionen (BFD oder IP oder Schnittstelle) unter SRG1 konfigurieren, wird empfohlen, die Option "Herunterfahren bei Fehler" nicht unter SRG0 zu konfigurieren.

Tabelle 1 zeigt die Details zur Schnittstellenkonfiguration, die in diesem Beispiel verwendet wird.

der
Tabelle 1: Schnittstellen- und IP-Adresskonfiguration auf Sicherheitsgeräten
IP-Adresse Geräteschnittstellenzone , die konfiguriert ist für
SRX-01-KARTON lo0

Nicht vertrauenswürdig

10.11.0.1/32

Floating IP-Adresse

Adresse des IKE-Gateways

10.12.0.1/32

Adresse des IKE-Gateways

GE-0/0/2

ICL

10.22.0.2/24

ICL anschließen

GE-0/0/4

Vertrauen

10.5.0.1/24

Stellt eine Verbindung zum R2-Router her

GE-0/0/3

Nicht vertrauenswürdig

10.3.0.2/24

Verbindung zum R1-Router
SRX-02-KARTON

lo0

Nicht vertrauenswürdig

10.12.0.1/32

Floating IP-Adresse

Adresse des IKE-Gateways

10.11.0.1/32

Adresse des IKE-Gateways

GE-0/0/2

ICL

10.22.0.1/24

ICL anschließen

GE-0/0/3

Nicht vertrauenswürdig

10.2.0.2/24

Verbindung zum R1-Router

GE-0/0/4

Vertrauen

10.4.0.1/24

Stellt eine Verbindung zum R2-Router her
SRX-03-KARTON lo0

Nicht vertrauenswürdig

10.112.0.1/32

Adresse des IKE-Gateways

10.112.0.5/32

Adresse des IKE-Gateways

GE-0/0/0

Nicht vertrauenswürdig

10.7.0.1/24

Stellt eine Verbindung zum R2-Router her

GE-0/0/2

Vertrauen

10.6.0.2/24

Stellt eine Verbindung zum Client-Gerät her
Tabelle 2: Schnittstellen- und IP-Adresskonfiguration auf Routing-Geräten
IP-Adresse der Geräteschnittstelle , die konfiguriert ist für
R2 lo0

10.111.0.2/32

Loopback-Schnittstellenadresse von R2

GE-0/0/1

10.4.0.2/24

Verbindung zu SRX-02

GE-0/0/0

10.5.0.2/24

Verbindung zu SRX-01

GE-0/0/2

10.7.0.2/24

Verbindung zu SRX-03 (VPN-Peer-Gerät)
R1-KARTON lo0

10.111.0.1/32

Loopback-Schnittstellenadresse von R1

GE-0/0/0

10.3.0.1/24

Verbindung zu SRX-01

GE-0/0/1

10.2.0.1/24

Verbindung zu SRX-02

Konfiguration

Vorbereitungen

Das Junos IKE-Paket ist für Ihre Firewalls der SRX-Serie für die Konfiguration mit hoher Verfügbarkeit mit mehreren Knoten erforderlich. Dieses Paket ist als Standardpaket oder als optionales Paket für Firewalls der SRX-Serie verfügbar. Weitere Informationen finden Sie unter Support für das Junos IKE-Paket .

Wenn das Paket nicht standardmäßig auf Ihrer Firewall der SRX-Serie installiert ist, verwenden Sie den folgenden Befehl, um es zu installieren. Sie benötigen diesen Schritt für die ICL-Verschlüsselung.

CLI Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .

Diese Konfigurationen werden in einer Laborumgebung erfasst und dienen nur als Referenz. Die tatsächlichen Konfigurationen können je nach den spezifischen Anforderungen Ihrer Umgebung variieren.

SRX-01-Gerät

SRX-02-Gerät

SRX-3-Gerät

In den folgenden Abschnitten werden Konfigurationsausschnitte auf den Routern gezeigt, die für die Einrichtung der Hochverfügbarkeit für Multiknoten im Netzwerk erforderlich sind.

R1-Router

R2-Router

Konfiguration

Schritt-für-Schritt-Anleitung

Wir zeigen die Konfiguration von SRX-01 in der Schritt-für-Schritt-Anleitung.

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

  1. Konfigurieren von Schnittstellen.

    Verwenden Sie die Schnittstellen ge-0/0/3 und ge-0/0/4, um eine Verbindung zu den Upstream- und Downstream-Routern herzustellen, und verwenden Sie die ge-0/0/2-Schnittstelle, um die ICL einzurichten.

  2. Konfigurieren Sie die Loopback-Schnittstellen.

    Weisen Sie der Loopback-Schnittstelle die IP-Adressen 10.11.0.1 und 10.12.0.1 zu. Wir verwenden 10.11.0.1 als Floating-IP-Adresse und 10.12.0.1 als IKE-Gateway-Adresse.

  3. Konfigurieren Sie Sicherheitszonen, weisen Sie den Zonen Schnittstellen zu und geben Sie die zulässigen Systemdienste für die Sicherheitszonen an.

    Weisen Sie den Schnittstellen ge-0/0/3 und ge-0/0/4 jeweils die vertrauenswürdigen Zonen und nicht vertrauenswürdig zu. Weisen Sie die lo0.0-Schnittstelle der nicht vertrauenswürdigen Zone zu, um eine Verbindung über das IP-Netzwerk herzustellen. Weisen Sie die Schnittstelle ge-0/0/2 der ICL-Zone zu. Sie verwenden diese Zone, um die ICL einzurichten. Weisen Sie die sichere Tunnelschnittstelle der VPN-Sicherheitszone zu.

  4. Konfigurieren Sie sowohl Details zum lokalen Knoten als auch zum Peerknoten, z. B. Knoten-ID, lP-Adressen des lokalen Knotens und des Peerknotens sowie die Schnittstelle für den Peerknoten.

    Sie verwenden die ge-0/0/2-Schnittstelle für die Kommunikation mit dem Peerknoten über die ICL.

  5. Fügen Sie das IPsec-VPN-Profil IPSEC_VPN_ICL an den Peerknoten an.

    Sie benötigen diese Konfiguration, um eine sichere ICL-Verbindung zwischen den Knoten herzustellen.

  6. Konfigurieren Sie BFD-Protokolloptionen (Bidirectional Forwarding Detection) für den Peerknoten.

  7. Konfigurieren Sie die Dienstredundanzgruppen SRG1 und SRG2.

    In diesem Schritt geben Sie den Bereitstellungstyp als Routing an, da Sie Multinode-Hochverfügbarkeit in einem Layer 3-Netzwerk einrichten.

  8. Richten Sie die Parameter zur Bestimmung der Aktivität sowohl SRG1 als auch SRG2 ein.

    SRG1-KARTON

    SRG2-KARTON

    Verwenden Sie die Floating-IP-Adresse als Quell-IP-Adresse (10.11.0.1 für SRG1 und 10.12.0.1 für SRG2) und die IP-Adressen der vorgeschalteten Router als Ziel-IP-Adresse (10.111.0.1) für den Aktivitätsbestimmungstest.

    Sie können bis zu 64 IP-Adressen für die IP-Überwachung und Aktivitätsprüfung konfigurieren. Die Gesamtzahl der 64 IP-Adressen ist die Summe der Anzahl der IPv4- und IPv6-Adressen)

  9. Konfigurieren Sie BFD-Überwachungsparameter für SRG1 und SRG2, um Ausfälle im Netzwerk zu erkennen.

    SRG1-KARTON

    SRG2-KARTON

  10. Konfigurieren Sie eine aktive Signalroute, die für die Erzwingung der Aktivität erforderlich ist.

    SRG1-KARTON

    SRG2-KARTON

    Anmerkung: Sie müssen die aktive Signalroute zusammen mit der route-exists-Richtlinie in der policy-options-Anweisung angeben. Wenn Sie die active-signal-route with-Bedingung if-route-exists konfigurieren, fügt das HA-Modul diese Route der Routing-Tabelle hinzu.

  11. Erstellen Sie eine IP-Präfixliste, indem Sie die lokale Adresse des IKE-Gateways einschließen, und ordnen Sie die IP-Präfixliste SRG1 und SRG2 zu:

    SRG1-KARTON

    SRG2-KARTON

    Diese Konfiguration verankert einen bestimmten IPsec-VPN-Tunnel mit einem bestimmten Sicherheitsgerät.

  12. Aktivieren Sie den IPsec-VPN-Dienst sowohl auf SRG1 als auch auf SRG2.

  13. Konfigurieren Sie IPSec-VPN-Optionen für die ICL.

    1. Definieren Sie die IKE-Konfiguration (Internet Key Exchange). Eine IKE-Konfiguration definiert die Algorithmen und Schlüssel, die zum Herstellen einer sicheren Verbindung verwendet werden.

      Für die Funktion "Multinode-Hochverfügbarkeit" müssen Sie die IKE-Version wie folgt konfigurieren: v2-only

    2. Geben Sie das IPsec-Vorschlagsprotokoll und den Verschlüsselungsalgorithmus an. Geben Sie IPsec-Optionen an, um einen IPsec-Tunnel zwischen zwei Teilnehmergeräten zu erstellen, um die VPN-Kommunikation zu sichern.

      Wenn Sie diese ha-link-encryption Option angeben, wird die ICL verschlüsselt, um den Datenverkehrsfluss mit hoher Verfügbarkeit zwischen den Knoten zu sichern.

      Derselbe VPN-Name ICL_IPSEC_VPN der in der set chassis high-availability peer-id <id> vpn-profile vpn_profile Konfiguration angegeben vpn_profile werden muss.

  14. Konfigurieren Sie die Sicherheitsrichtlinie.

    Für dieses Beispiel haben wir eine Richtlinie konfiguriert, die den gesamten Datenverkehr zulässt. Es wird dringend empfohlen, Sicherheitsrichtlinien gemäß Ihren Netzwerkanforderungen zu erstellen, um Datenverkehr zuzulassen, der gemäß Ihrer Organisationsrichtlinie zulässig ist, und allen anderen Datenverkehr abzulehnen. Wir haben die Standardrichtlinie nur für Demozwecke in diesem Beispiel verwendet.

  15. Konfigurieren von Routing-Optionen.

  16. Konfigurieren von Richtlinienoptionen.

    Konfigurieren Sie die aktiven Signalrouten 10.39.1.1 (SRG1) und 10.49.1.1 (SRG2) mit der Routenübereinstimmungsbedingung ().if-route-exists Die Hochverfügbarkeit mit mehreren Knoten fügt diese Route der Routing-Tabelle hinzu, wenn der Knoten in die aktive Rolle wechselt. Der Knoten beginnt auch, die Route mit höherer Präferenz anzukündigen. Konfigurieren Sie die Backup-Signalroute (10.39.1.2 und 10.49.1.2), um den Backup-Knoten mit mittlerer Priorität anzukündigen. Bei Ausfällen fällt die Hochverfügbarkeitsverbindung aus und der aktuell aktive Knoten gibt seine primäre Rolle frei und entfernt die aktive Signalroute. Jetzt erkennt der Backup-Knoten den Zustand durch seine Sondierungen und wechselt in die aktive Rolle. Die Routenpräferenz wird vertauscht, um den gesamten Datenverkehr zum neuen aktiven Knoten zu leiten

  17. Konfigurieren Sie BFD-Peering-Sitzungsoptionen und legen Sie Live-Erkennungs-Timer fest.

IPsec-VPN-Konfiguration (SRX-1 und SRX-2)

Führen Sie die folgenden Schritte aus, um eine IPsec-VPN-Verbindung mit der Peer-Firewall der SRX-Serie einzurichten. In diesem Beispiel platzieren Sie alle Ihre IPsec-VPN-Konfigurationsanweisungen in einer JUNOS-Konfigurationsgruppe mit dem Namen vpn_config.

  1. Erstellen Sie oben in der Konfiguration eine Konfigurationsgruppe vpn_config , und konfigurieren Sie IPsec VPN-spezifische Details.

  2. Fügen Sie die apply-groups-Anweisung in die Konfiguration ein, um die Anweisungen aus der vpn_config-Konfigurationsgruppe zu erben.

Konfiguration (SRX-03) (VPN-Peer-Gerät)

Schritt-für-Schritt-Anleitung

  1. Erstellen Sie den IKE-Vorschlag.

  2. Definieren Sie IKE-Richtlinien.

  3. Erstellen Sie ein IKE-Gateway, definieren Sie die Adresse, geben Sie externe Schnittstellen und Versionen an.

  4. Erstellen Sie IPsec-Vorschläge.

  5. Erstellen Sie IPsec-Richtlinien.

  6. Geben Sie die IPsec-Vorschlagsreferenzen an (IKE-Gateway, IPsec-Richtlinie, zu bindende Schnittstelle und Datenverkehrsselektoren).

  7. Erstellen Sie eine Sicherheitsrichtlinie.

    Für dieses Beispiel haben wir eine Richtlinie konfiguriert, die den gesamten Datenverkehr zulässt. Es wird dringend empfohlen, Sicherheitsrichtlinien gemäß Ihren Netzwerkanforderungen zu erstellen, um Datenverkehr zuzulassen, der gemäß Ihrer Organisationsrichtlinie zulässig ist, und allen anderen Datenverkehr abzulehnen. Wir haben die Standardrichtlinie nur für Demozwecke in diesem Beispiel verwendet.

  8. Konfigurieren Sie die Schnittstellen.

  9. Definieren Sie Sicherheitszonen und fügen Sie Schnittstellen hinzu.

  10. Konfigurieren Sie die statischen Routen.

Ergebnisse (SRX-01)

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die folgenden Befehle eingeben.

Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.

Ergebnisse (SRX-02)

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die folgenden Befehle eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.

Auf Ihren Sicherheitsgeräten erhalten Sie die folgende Meldung, in der Sie aufgefordert werden, das Gerät neu zu starten:

Ergebnisse (SRX-3) (VPN-Peer-Gerät)

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die folgenden Befehle eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.

Verifizierung

Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.

Details zur Hochverfügbarkeit mit mehreren Knoten überprüfen

Zweck

Zeigen Sie die Details des Multinode-Hochverfügbarkeits-Setups an, das auf Ihrem Sicherheitsgerät konfiguriert ist, und überprüfen Sie sie.

Aktion

Führen Sie im Betriebsmodus den folgenden Befehl aus:

Auf SRX-1

Auf SRX-2

Bedeutung

Überprüfen Sie diese Details in der Befehlsausgabe:

  • Details zum lokalen Knoten und Peerknoten, z. B. IP-Adresse und ID.

  • Das Feld Encrypted: YES zeigt an, dass der Datenverkehr geschützt ist.

  • Das Feld Deployment Type: ROUTING zeigt eine Konfiguration im Layer-3-Modus an, d. h., das Netzwerk verfügt über Router auf beiden Seiten.

  • Das Feld Services Redundancy Group: 1 und Services Redundancy Group: 2 geben den Status von SRG1 und SRG2 (aktiv oder Backup) auf diesem Knoten an.

Details zur Hochverfügbarkeit mit mehreren Knoten überprüfen

Zweck

Zeigen Sie die Details des Multinode-Hochverfügbarkeits-Setups an, das auf Ihrem Sicherheitsgerät konfiguriert ist, und überprüfen Sie sie.

Aktion

Führen Sie im Betriebsmodus den folgenden Befehl aus:

Auf SRX-01

Bedeutung

Überprüfen Sie diese Details in der Befehlsausgabe:

  • Das Feld Services: [ IPSEC ] gibt das zugeordnete IPSec-VPN für jedes SRG an.

  • In den Feldern BFD Monitoring, Interface MonitoringSplit-brain Prevention Probe Info , werden Überwachungsdetails angezeigt.

  • Die Felder Cold SynchronizationSRG State Change Events enthalten Details zum aktuellen Status und zu den letzten Änderungen.

  • Das Feld Services Redundancy Group: 1 und Services Redundancy Group: 2 geben den Status von SRG1 und SRG2 (aktiv oder Backup) auf diesem Knoten an.

In der Befehlsausgabe werden die IP-Adressen, z. B. IP 180.100.1.2, intern von Junos OS generiert, und diese Adressen beeinträchtigen Routing-Tabellen nicht.

Überprüfen des Peer-Knotenstatus für Hochverfügbarkeit mit mehreren Knoten

Zweck

Zeigen Sie die Details des Peerknotens an, und überprüfen Sie sie.

Aktion

Führen Sie im Betriebsmodus den folgenden Befehl auf SRX-01 und SRX-02 aus:

SRX-01-KARTON

SRX-02-KARTON

Bedeutung

Überprüfen Sie diese Details in der Befehlsausgabe:

  • Details des Peer-Knotens, z. B. verwendete Schnittstelle, IP-Adresse und ID

  • Verschlüsselungsstatus, Verbindungsstatus und Status der kalten Synchronisierung

  • Paketstatistiken für den Knoten.

Überprüfen von Redundanzgruppen für Hochverfügbarkeitsdienste mit mehreren Knoten

Zweck

Stellen Sie sicher, dass die SRGs konfiguriert sind und ordnungsgemäß funktionieren.

Aktion

Führen Sie im Betriebsmodus den folgenden Befehl auf beiden Sicherheitsgeräten aus:

SRG1 auf SRX-02

SRG2 auf SRX-02

SRG1 auf SRX-01

SRG2 auf SRX-01

Bedeutung

Überprüfen Sie diese Details in der Befehlsausgabe:

  • Details zum Peer-Knoten, wie z. B. Bereitstellungstyp, Status, aktive und Backup-Signalrouten.

  • Split-Brain-Präventionssonde, IP-Überwachung und BFD-Überwachungsstatus.

  • Zugeordnete IP-Präfixtabelle.

Überprüfen des ICL-Verschlüsselungsstatus (Interchassis Link)

Zweck

Überprüfen Sie den ICL-Status (Interchassis Link).

Aktion

Führen Sie den folgenden Befehl auf SRX-01 aus:

Bedeutung

Die Befehlsausgabe enthält die folgenden Informationen:

  • Details zum lokalen Gateway und zum Remote-Gateway.

  • Das IPsec-SA-Paar für jeden Thread in PIC.

  • HA-Link-Verschlüsselungsmodus (wie in der folgenden Zeile gezeigt):

  • Verwendete Authentifizierungs- und Verschlüsselungsalgorithmen

VORSICHT:

Der in der Befehlsausgabe angezeigte IP-Bereich (180.100.1.x) dient als ICL-IPsec-Datenverkehrsselektor. Das System weist diesen IP-Bereich dynamisch zu, und es ist wichtig, ihn nicht zu ändern oder zu modifizieren. Zusätzlich wird BFD (Bidirectional Forwarding Detection) automatisch für den breiteren IP-Bereich 180.x.x.x aktiviert.

Überprüfen der Tunnelstatistiken für die Linkverschlüsselung

Zweck

Überprüfen Sie die Link-Encryption-Tunnelstatistiken sowohl auf aktiven als auch auf Backup-Knoten.

Aktion

Führen Sie den folgenden Befehl auf SRX-01 aus:

Bedeutung

Wenn Sie Probleme mit Paketverlusten in einem VPN sehen, können Sie den show security ipsec statistics ha-link-encryption Befehl mehrmals ausführen, um zu überprüfen, ob die Zähler für verschlüsselte und entschlüsselte Pakete inkrementiert werden. Sie sollten auch überprüfen, ob die anderen Fehlerzähler inkrementiert werden.

Verwenden Sie den clear security ipsec security-associations ha-link-encryption Befehl, um alle IPsec-Statistiken zu löschen.

Überprüfen von aktiven Peers zwischen Chassis-Verbindungen

Zweck

Zeigen Sie nur aktive ICL-Peers an, aber keine regulären aktiven IKE-Peers.

Aktion

Führen Sie die folgenden Befehle auf SRX-01- und SRX-02-Geräten aus:

SRX-1-KARTON

SRX-2

Bedeutung

In der Befehlsausgabe wird nur der aktive Peer der ICL mit Details wie den Peer-Adressen und -Ports angezeigt, die der aktive Peer verwendet.

VPN-Status bestätigen

Zweck

Bestätigen Sie den VPN-Status, indem Sie den Status aller IKE-Sicherheitszuordnungen auf SRG-Ebene überprüfen.

Aktion

Führen Sie die folgenden Befehle auf SRX-1, SRX-2 und SRX-3 (VPN-Peer-Gerät) aus:

SRX-01-KARTON

SRX-02-KARTON

SRX-3 (VPN-Peer-Gerät)

Bedeutung

Die Ausgabe gibt Folgendes an:

  • IP-Adressen der Remote-Peers.
  • Der Status, der UP für beide Remote-Peers anzeigt, zeigt die erfolgreiche Assoziation der Phase-1-Etablierung an.
  • Die Remote-Peer-IP-Adresse, die IKE-Richtlinie und die externen Schnittstellen sind alle korrekt.

Details zur IPsec-Sicherheitszuordnung anzeigen

Zweck

Zeigen Sie die einzelnen IPsec-SA-Details an, die durch SRG-IDs identifiziert werden.

Aktion

Führen Sie den folgenden Befehl auf den Firewalls der SRX-Serie aus:

SRX-1-KARTON

SRX-02-KARTON

SRX-03-KARTON

Bedeutung

Die Ausgabe zeigt den Status des VPN an.

Aktive Peers pro SRG anzeigen

Zweck

Zeigt die Liste der verbundenen aktiven Peers mit Peer-Adressen und Ports an, die sie verwenden.

Aktion

Führen Sie die folgenden Befehle auf den Firewalls der SRX-Serie aus:

SRX-01-KARTON

SRX-02-KARTON

Bedeutung

Die Ausgabe zeigt die Liste der angeschlossenen Geräte mit Details zu den verwendeten Peer-Adressen und Ports an.

IP-Präfix zu SRG-Zuordnung anzeigen

Zweck

Zeigen Sie IP-Präfix- zu SRG-Zuordnungsinformationen an.

Aktion

Führen Sie den folgenden Befehl auf dem SRX-01-Gerät aus.

Bedeutung

Die Ausgabe zeigt IP-Adresspräfixe, die SRGs im Setup zugeordnet sind.

Zeigen Sie BGP-Sitzungsinformationen an.

Zweck

Zeigen Sie zusammenfassende Informationen zu BGP und seinen Nachbarn an, um zu bestimmen, ob Routen von Peers empfangen werden.

Aktion

Führen Sie die folgenden Befehle auf den Firewalls der SRX-Serie aus:

SRX-1-Gerät

SRX-2-Gerät

Bedeutung

Die Ausgabe zeigt, dass die BGP-Sitzung eingerichtet wurde und die Peers Aktualisierungsnachrichten austauschen.

Siehe auch