Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Beispiel: Konfigurieren von IPSec-VPN in Aktiv-Aktiv-Multinode-Hochverfügbarkeit in einem Layer-3-Netzwerk

In diesem Beispiel wird gezeigt, wie das IPsec-VPN für die Einrichtung einer Aktiv-Aktiv-Multinode-Hochverfügbarkeit konfiguriert und überprüft wird.

Überblick

Bei der Hochverfügbarkeit mit mehreren Knoten arbeiten die teilnehmenden Firewalls der SRX-Serie als unabhängige Knoten in einem Layer-3-Netzwerk. Die Knoten sind mit benachbarter Infrastruktur verbunden, die zu verschiedenen Netzwerken gehört. Ein verschlüsselter logischer Interchassis-Link (ICL) verbindet die Knoten über ein geroutetes Netzwerk. Teilnehmende Knoten sichern sich gegenseitig, um im Falle eines System- oder Hardwareausfalls ein schnelles synchronisiertes Failover zu gewährleisten.

Sie können Multinode-Hochverfügbarkeit im Aktiv-Aktiv-Modus mit Unterstützung mehrerer Services Redundanz-Gruppen (SRGs) betreiben. In diesem Modus bleiben einige SRGs auf einem Knoten und einige SRGs auf einem anderen Knoten aktiv.

Multinode-Hochverfügbarkeit unterstützt IPsec-VPN im Aktiv-Aktiv-Modus mit mehreren SRGs (SRG1+). In diesem Modus können Sie mehrere aktive Tunnel von beiden Knoten aus einrichten, basierend auf der SRG-Aktivität. Multinode-Hochverfügbarkeit richtet einen IPsec-Tunnel ein und führt einen Schlüsselaustausch durch, indem die IP-Adresse der Terminierung (die auch die darauf endenden Tunnel identifiziert) der SRG zugeordnet wird. Da sich auf jedem der Geräte unterschiedliche SRG1+ im aktiven Zustand oder im Backup-Zustand befinden können, lenkt Multinode High Availability den passenden Datenverkehr effektiv zum entsprechenden aktiven SRG1. Da verschiedene SRGs auf verschiedenen Knoten aktiv sein können, werden Tunnel, die zu diesen SRGs gehören, auf beiden Knoten unabhängig voneinander aktiviert.

Hinweis:

Wir unterstützen eine Konfiguration mit zwei Knoten in der Multinode-Lösung für hohe Verfügbarkeit.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Zwei Firewalls der SRX-Serie (unterstützte Geräte sind SRX5400, SRX5600 und SRX5800 mit SPC3, IOC3, SCB3, SCB4 und RE3)

  • Junos OS Version 22.4R1

In diesem Beispiel haben wir zwei Juniper Networks MX-Serie Routing-Plattform als Upstream-/Downstream-Router verwendet.

Bevor Sie beginnen

  • Konfigurieren Sie zustandslose Firewall-Filterung und Quality of Service (QoS) gemäß Ihren Netzwerkanforderungen und verfügen Sie über geeignete Sicherheitsrichtlinien zur Verwaltung des Datenverkehrs in Ihrem Netzwerk.

  • In einer typischen Hochverfügbarkeits-Bereitstellung verfügen Sie über mehrere Router und Switches auf der Nord- und Südseite des Netzwerks. In diesem Beispiel verwenden wir zwei Router auf beiden Seiten der Firewalls der SRX-Serie. Stellen Sie sicher, dass Sie vor- und nachgelagerte Router gemäß Ihren Netzwerkanforderungen konfiguriert haben.

  • Installieren Sie das Junos IKE-Paket mit dem folgenden Befehl request system software add optional://junos-ike.tgz auf Ihren Firewalls der SRX-Serie. Das junos-ike Paket ist in Ihren Junos-Softwarepaketen (Junos OS Version 20.4R1 und höher) enthalten.

Topologie

Abbildung 1 zeigt die in diesem Beispiel verwendete Topologie.

Abbildung 1: Multinode-Hochverfügbarkeit im Layer-3-Netzwerk Network topology diagram showing connectivity of SRX-01, SRX-02, and SRX-03 devices with R1 and R2 routers across Untrust, Trust, VPN, and ICL zones. IP addresses and interfaces are labeled for security-focused network documentation.

Wie in der Topologie dargestellt, sind zwei Firewalls der SRX-Serie (SRX-1 und SRX-2) mit benachbarten Routern auf der vertrauenswürdigen und nicht vertrauenswürdigen Seite verbunden und bilden eine BGP-Nachbarschaft. Ein verschlüsselter logischer Interchassis-Link (ICL) verbindet die Knoten über ein geroutetes Netzwerk. Die Knoten kommunizieren untereinander über eine routingfähige IP-Adresse (Floating-IP-Adresse) über das Netzwerk.

Das SRX-03-Gerät fungiert als Peer-Gerät für das Multinode-Setup mit hoher Verfügbarkeit und richtet IPsec-VPN-Tunnel mit SRX-01- und SRX-02-Geräten ein.

Sie führen die folgenden Aufgaben aus, um ein Multinode-Hochverfügbarkeits-Setup zu erstellen:

  • Konfigurieren Sie ein Paar Firewalls der SRX-Serie als lokale und Peer-Knoten durch Zuweisen von IDs.
  • Konfigurieren Sie Service-Redundanz-Gruppen (SRG1 und SRG2).
  • Konfigurieren Sie eine Loopback-Schnittstelle (lo0.0), um die Floating-IP-Adresse zu hosten und das Peer-Gateway zu erreichen. Durch die Verwendung der Loopback-Schnittstelle wird sichergestellt, dass der Datenverkehr von den benachbarten Routern zu jedem beliebigen Zeitpunkt zur Floating-IP-Adresse (d. h. zum aktiven Knoten) geleitet wird.
  • Konfigurieren von IP-Sonden für die Aktivitätsbestimmung und -erzwingung
  • Konfigurieren Sie eine Signalroute, die für die Aktivitätserzwingung erforderlich ist, und verwenden Sie sie zusammen mit der Richtlinie "Route existiert".
  • Konfigurieren Sie ein VPN-Profil für den ICL-Datenverkehr (High Availability) mit IKEv2.
  • BFD-Überwachungsoptionen konfigurieren
  • Konfigurieren einer Routing-Richtlinie und von Routing-Optionen
  • Konfigurieren Sie Schnittstellen und Zonen entsprechend Ihren Netzwerkanforderungen. Sie müssen Dienste wie IKE für die Linkverschlüsselung und SSH für die Konfigurationssynchronisierung als Host-Eingangssystemdienste in der Sicherheitszone zulassen, die der ICL zugeordnet ist.

  • Erstellen Sie eine Gruppenkonfiguration für IPsec-VPN auf SRX-01- und SRX-02-Geräten, um einen Tunnel mit VPN-Peer-Gerät (SRX-03) einzurichten. Konfigurationsgruppen ermöglichen es Ihnen, gemeinsame Elemente anzuwenden, die in derselben Konfiguration wiederverwendet werden.

  • Konfigurieren Sie IPsec-VPN-Optionen, um Tunnel mit dem SRX-03-Gerät einzurichten, und aktivieren Sie die Synchronisierung der IPsec-VPN-Konfiguration auf beiden Geräten (SRX-01 und SRX-02) mithilfe der Option [groups].
  • Konfigurieren Sie VPN-Peer-Geräte mit IPsec-VPN-Optionen.

Für Interchassis Link (ICL) empfehlen wir die folgende Konfiguration:

  • Im Allgemeinen können Sie aggregiertes Ethernet (AE) oder einen Revenue-Ethernet-Port der Firewalls der SRX-Serie verwenden, um eine ICL-Verbindung einzurichten. In diesem Beispiel haben wir GE-Ports für die ICL verwendet. Wir haben auch eine Routing-Instanz für den ICL-Pfad konfiguriert, um eine maximale Segmentierung zu gewährleisten.

  • Verwenden Sie nicht die dedizierten Ports für hohe Verfügbarkeit (Kontroll- und Fabric-Ports), sofern diese auf Ihrer Firewall der SRX-Serie verfügbar sind.
  • Set MTU von 1514
  • Lassen Sie die folgenden Services in der Sicherheitszone zu, die den für ICL verwendeten Schnittstellen zugeordnet ist

    • IKE, Hochverfügbarkeit, SSH

    • Protokolle abhängig vom Routing-Protokoll, das Sie benötigen.

    • BFD zur Überwachung der benachbarten Routen.

Sie können die folgenden Optionen auf SRG0 und SRG1+ konfigurieren:

Sie können die folgenden Optionen auf SRG0 und SRG1 konfigurieren:

  • SRG1: Aktive/Backup-Signalroute, Bereitstellungstyp, Aktivitätspriorität, Unterbrechung, virtuelle IP-Adresse (für Standard-Gateway-Bereitstellungen), Aktivitätssondierung und Prozesspaket bei Backup.

  • SRG1: BFD-Überwachung, IP-Überwachung und Schnittstellenüberwachungsoptionen auf SRG1.

  • SRG0: Routenoptionen für das Herunterfahren bei Fehler und Installieren bei Fehler.

    Wenn Sie Überwachungsoptionen (BFD oder IP oder Schnittstelle) unter SRG1 konfigurieren, wird empfohlen, die Option zum Herunterfahren bei Fehler nicht unter SRG0 zu konfigurieren.

  • SRG1: Aktive/Backup-Signalroute, Bereitstellungstyp, Aktivitätspriorität, Unterbrechung, virtuelle IP-Adresse (für Standard-Gateway-Bereitstellungen), Aktivitätssondierung und Prozesspaket bei Backup.

  • SRG1: BFD-Überwachung, IP-Überwachung und Schnittstellenüberwachungsoptionen auf SRG1.

  • SRG0: Routenoptionen für das Herunterfahren bei Fehler und Installieren bei Fehler.

    Wenn Sie Überwachungsoptionen (BFD oder IP oder Schnittstelle) unter SRG1 konfigurieren, wird empfohlen, die Option zum Herunterfahren bei Fehler nicht unter SRG0 zu konfigurieren.

Tabelle 1 zeigt die Details zur Schnittstellenkonfiguration, die in diesem Beispiel verwendet wird.

der
Tabelle 1: Schnittstellen- und IP-Adresskonfiguration auf Sicherheitsgeräten
IP-Adresse Geräteschnittstellenzone , konfiguriert für
SRX-01 lo0

Nicht vertrauenswürdig

10.11.0.1/32

Floating IP-Adresse

IKE Gateway-Adresse

10.12.0.1/32

IKE Gateway-Adresse

GE-0/0/2

ICL

10.22.0.2/24

ICL anschließen

GE-0/0/4

Vertrauen

10.5.0.1/24

Verbindet sich mit dem R2-Router

GE-0/0/3

Nicht vertrauenswürdig

10.3.0.2/24

Verbindet sich mit dem R1-Router
SRX-02

lo0

Nicht vertrauenswürdig

10.12.0.1/32

Floating IP-Adresse

IKE Gateway-Adresse

10.11.0.1/32

IKE Gateway-Adresse

GE-0/0/2

ICL

10.22.0.1/24

ICL anschließen

GE-0/0/3

Nicht vertrauenswürdig

10.2.0.2/24

Verbindet sich mit dem R1-Router

GE-0/0/4

Vertrauen

10.4.0.1/24

Verbindet sich mit dem R2-Router
SRX-03 lo0

Nicht vertrauenswürdig

10.112.0.1/32

IKE Gateway-Adresse

10.112.0.5/32

IKE Gateway-Adresse

GE-0/0/0

Nicht vertrauenswürdig

10.7.0.1/24

Verbindet sich mit dem R2-Router

GE-0/0/2

Vertrauen

10.6.0.2/24

Stellt eine Verbindung zum Client-Gerät her
der
Tabelle 2: Schnittstellen- und IP-Adresskonfiguration auf Routing-Geräten
IP-AdresseGeräteschnittstelle konfiguriert für
R2 lo0

10.111.0.2/32

Loopback-Schnittstellenadresse von R2

GE-0/0/1

10.4.0.2/24

Verbindung mit SRX-02

GE-0/0/0

10.5.0.2/24

Verbindung zu SRX-01

GE-0/0/2

10.7.0.2/24

Verbindet sich mit SRX-03 (VPN-Peer-Gerät)
R1 lo0

10.111.0.1/32

Loopback-Schnittstellenadresse von R1

GE-0/0/0

10.3.0.1/24

Verbindung zu SRX-01

GE-0/0/1

10.2.0.1/24

Verbindung mit SRX-02

Konfiguration

Bevor Sie beginnen

Das Junos IKE-Paket ist für Ihre Firewalls der SRX-Serie für die Multinode-Hochverfügbarkeitskonfiguration erforderlich. Dieses Paket ist als Standardpaket oder als optionales Paket für Firewalls der SRX-Serie erhältlich. Weitere Informationen finden Sie unter Unterstützung für das Junos IKE-Paket .

Wenn das Paket nicht standardmäßig auf Ihrer Firewall der SRX-Serie installiert ist, verwenden Sie den folgenden Befehl, um es zu installieren. Sie benötigen diesen Schritt für die ICL-Verschlüsselung.

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, damit sie mit Ihrer Netzwerkkonfiguration übereinstimmen, kopieren Sie die Befehle, fügen Sie sie [edit] in die CLI auf Hierarchieebene ein und geben Sie sie dann im Konfigurationsmodus ein commit .

Diese Konfigurationen werden in einer Laborumgebung erfasst und dienen nur als Referenz. Die tatsächlichen Konfigurationen können je nach den spezifischen Anforderungen Ihrer Umgebung variieren.

SRX-01 Gerät

SRX-02-Gerät

SRX-3-Gerät

In den folgenden Abschnitten werden Konfigurationsausschnitte für die Router gezeigt, die für die Einrichtung von Multinode-Hochverfügbarkeit im Netzwerk erforderlich sind.

R1-Router

R2-Router

Konfiguration

Schritt-für-Schritt-Anleitung

Wir zeigen die Konfiguration von SRX-01 Schritt für Schritt.

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

  1. Schnittstellen konfigurieren.

    Verwenden Sie die Schnittstellen ge-0/0/3 und ge-0/0/4, um eine Verbindung zu den vor- und nachgelagerten Routern herzustellen, und verwenden Sie die ge-0/0/2-Schnittstelle, um die ICL einzurichten.

  2. Konfigurieren Sie die Loopback-Schnittstellen.

    Weisen Sie der Loopback-Schnittstelle die IP-Adressen 10.11.0.1 und 10.12.0.1 zu. Wir verwenden 10.11.0.1 als Floating-IP-Adresse und 10.12.0.1 als IKE-Gateway-Adresse.

  3. Konfigurieren Sie Sicherheitszonen, weisen Sie den Zonen Schnittstellen zu und geben Sie die zulässigen Systemdienste für die Sicherheitszonen an.

    Weisen Sie den Schnittstellen ge-0/0/3 und ge-0/0/4 die Zonen "vertrauenswürdig" bzw. "nicht vertrauenswürdig" zu. Weisen Sie die lo0.0-Schnittstelle der nicht vertrauenswürdigen Zone zu, um eine Verbindung über das IP-Netzwerk herzustellen. Ordnen Sie die Schnittstelle ge-0/0/2 der ICL-Zone zu. Sie verwenden diese Zone, um die ICL einzurichten. Weisen Sie die sichere Tunnelschnittstelle der VPN-Sicherheitszone zu.

  4. Konfigurieren Sie sowohl Details zum lokalen als auch zum Peer-Knoten, wie z. B. die Knoten-ID, die lP-Adressen des lokalen Knotens und des Peer-Knotens sowie die Schnittstelle für den Peer-Knoten.

    Sie verwenden die ge-0/0/2-Schnittstelle für die Kommunikation mit dem Peer-Knoten über die ICL.

  5. Fügen Sie das IPsec-VPN-Profil IPSEC_VPN_ICL an den Peer Knoten an.

    Sie benötigen diese Konfiguration, um eine sichere ICL-Verbindung zwischen den Knoten herzustellen.

  6. Konfigurieren Sie BFD-Protokolloptionen (Bidirectional Forwarding Detection) für den Peer-Knoten.

  7. Konfigurieren Sie die Service-Redundanz-Gruppen SRG1 und SRG2.

    In diesem Schritt geben Sie den Bereitstellungstyp als Routing an, da Sie Multinode-Hochverfügbarkeit in einem Layer-3-Netzwerk einrichten.

  8. Richten Sie die Parameter zur Bestimmung der Aktivität sowohl SRG1 als auch SRG2 ein.

    SRG1

    SRG2

    Verwenden Sie die Floating-IP-Adresse als Quell-IP-Adresse (10.11.0.1 für SRG1 und 10.12.0.1 für SRG2) und die IP-Adressen der Upstreamrouter als Ziel-IP-Adresse (10.111.0.1) für die Aktivitätsbestimmungsprobe.

    Sie können bis zu 64 IP-Adressen für die IP-Überwachung und die Aktivitätsprüfung konfigurieren. Die insgesamt 64 IP-Adressen sind die Summe der IPv4- und IPv6-Adressen)

  9. Konfigurieren Sie BFD-Überwachungsparameter für SRG1 und SRG2, um Ausfälle im Netzwerk zu erkennen.

    SRG1

    SRG2

  10. Konfigurieren Sie eine aktive Signalroute, die für die Durchsetzung der Aktivität erforderlich ist.

    SRG1

    SRG2

    Hinweis: Sie müssen die aktive Signalroute zusammen mit der route-exists-Richtlinie in der policy-options-Anweisung angeben. Wenn Sie die active-signal-route if-route-exists with-Bedingung konfigurieren, fügt der Hohe Verfügbarkeit Modul diese Route dem Routing-Tabelle hinzu.

  11. Erstellen Sie eine IP-Präfixliste, indem Sie die lokale Adresse des IKE-Gateways einschließen, und ordnen Sie die IP-Präfixliste SRG1 und SRG2 zu:

    SRG1

    SRG2

    Diese Konfiguration verankert einen bestimmten IPsec-VPN-Tunnel an einem bestimmten Sicherheitsgerät.

  12. Aktivieren Sie den IPsec-VPN-Dienst sowohl auf SRG1 als auch auf SRG2.

  13. Konfigurieren Sie IPSec-VPN-Optionen für die ICL.

    1. Definieren Sie die Internet Key Exchange (IKE)-Konfiguration. Eine IKE-Konfiguration definiert die Algorithmen und Schlüssel, die zum Herstellen einer sicheren Verbindung verwendet werden.

      Für das Multinode-Hochverfügbarkeitsfeature müssen Sie die IKE-Version als v2-only

    2. Geben Sie das IPsec-Vorschlagsprotokoll und den Verschlüsselungsalgorithmus an. Geben Sie IPsec-Optionen an, um einen IPsec-Tunnel zwischen zwei teilnehmenden Geräten zu erstellen, um die VPN-Kommunikation zu sichern.

      Durch Angabe der ha-link-encryption Option wird die ICL verschlüsselt, um den hochverfügbaren Datenverkehr zwischen den Knoten zu sichern.

      Derselbe VPN-Name ICL_IPSEC_VPN für vpn_profile den in der set chassis high-availability peer-id <id> vpn-profile vpn_profile Konfiguration angegeben werden muss.

  14. Konfigurieren Sie die Sicherheitsrichtlinie.

    In diesem Beispiel haben wir eine Richtlinie so konfiguriert, dass der gesamte Datenverkehr zugelassen wird. Es wird dringend empfohlen, Sicherheitsrichtlinien gemäß Ihren Netzwerkanforderungen zu erstellen, um Datenverkehr zuzulassen, der durch Ihre Organisationsrichtlinie zulässig ist, und allen anderen Datenverkehr abzulehnen. Wir haben die Standardrichtlinie nur in diesem Beispiel für Demozwecke verwendet.

  15. Konfigurieren Sie Routing-Optionen.

  16. Konfigurieren Sie Richtlinienoptionen.

    Konfigurieren Sie die aktive Signalroute 10.39.1.1 (SRG1) und 10.49.1.1 (SRG2) mit der Routenübereinstimmungsbedingung (if-route-exists). Multinode-Hochverfügbarkeit fügt diese Route der Routing-Tabelle hinzu, wenn der Knoten in die aktive Rolle wechselt. Der Knoten beginnt auch, die Route mit höherer Präferenz anzukündigen. Konfigurieren Sie die Backup-Signalroute (10.39.1.2 und 10.49.1.2), um den Backup-Knoten mit mittlerer Priorität anzukündigen. Bei Ausfällen wird die Hochverfügbarkeitsverbindung unterbrochen und der aktuell aktive Knoten gibt seine primäre Rolle wieder auf und entfernt die aktive Signalroute. Jetzt erkennt der Backup-Knoten den Zustand durch seine Sonden und wechselt in die aktive Rolle. Die Routenpräferenz wird getauscht, sodass der gesamte Datenverkehr zum neuen aktiven Knoten geleitet wird

  17. Konfigurieren Sie BFD-Peering-Sitzungsoptionen und geben Sie Live-Erkennungs-Timer an.

IPsec VPN-Konfiguration (SRX-1 und SRX-2)

Führen Sie die folgenden Schritte aus, um eine IPsec-VPN-Verbindung mit der Peer-Firewall der SRX-Serie einzurichten. In diesem Beispiel platzieren Sie alle IPsec-VPN-Konfigurationsanweisungen in einer JUNOS-Konfigurationsgruppe mit dem Namen vpn_config.

  1. Erstellen Sie oben in der Konfiguration eine Konfigurationsgruppe vpn_config , und konfigurieren Sie IPsec-VPN-spezifische Details.

  2. Fügen Sie die application-groups-Anweisung in die Konfiguration ein, um die Anweisungen von der Konfigurationsgruppe vpn_config zu erben.

Konfiguration (SRX-03) (VPN-Peer-Gerät)

Schritt-für-Schritt-Verfahren

  1. Erstellen Sie den IKE-Vorschlag.

  2. Definieren Sie IKE-Richtlinien.

  3. Erstellen Sie ein IKE-Gateway, definieren Sie die Adresse, geben Sie externe Schnittstellen und Version an.

  4. Erstellen Sie IPsec-Vorschläge.

  5. Erstellen Sie IPsec-Richtlinien.

  6. Geben Sie die IPsec-Vorschlagsreferenzen an (IKE-Gateway, IPsec-Richtlinie, zu bindende Schnittstelle und Datenverkehrsselektoren).

  7. Erstellen Sie eine Sicherheitsrichtlinie.

    In diesem Beispiel haben wir eine Richtlinie so konfiguriert, dass der gesamte Datenverkehr zugelassen wird. Es wird dringend empfohlen, Sicherheitsrichtlinien gemäß Ihren Netzwerkanforderungen zu erstellen, um Datenverkehr zuzulassen, der durch Ihre Organisationsrichtlinie zulässig ist, und allen anderen Datenverkehr abzulehnen. Wir haben die Standardrichtlinie nur in diesem Beispiel für Demozwecke verwendet.

  8. Konfigurieren Sie die Schnittstellen.

  9. Definieren Sie Sicherheitszonen und fügen Sie Schnittstellen hinzu.

  10. Konfigurieren Sie die statischen Routen.

Ergebnisse (SRX-01)

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration durch Eingabe der folgenden Befehle.

Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .

Ergebnisse (SRX-02)

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration durch Eingabe der folgenden Befehle. Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .

Auf Ihren Sicherheitsgeräten erhalten Sie die folgende Meldung, in der Sie aufgefordert werden, das Gerät neu zu starten:

Ergebnisse (SRX-3) (VPN-Peer-Gerät)

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration durch Eingabe der folgenden Befehle. Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .

Verifizierung

Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfen Sie die Details zur Multinode-Hochverfügbarkeit

Zweck

Zeigen Sie die Details der auf Ihrem Sicherheitsgerät konfigurierten Multinode-Hochverfügbarkeitseinrichtung an und überprüfen Sie sie.

Aktion

Führen Sie im Betriebsmodus den folgenden Befehl aus:

Auf SRX-1

Auf SRX-2

Bedeutung

Überprüfen Sie diese Details in der Befehlsausgabe:

  • Details zum lokalen Knoten und Peer-Knoten wie IP-Adresse und ID.

  • Das Feld Encrypted: YES gibt an, dass der Datenverkehr geschützt ist.

  • Das Feld Deployment Type: ROUTING gibt eine Layer-3-Moduskonfiguration an, d. h. das Netzwerk verfügt über Router auf beiden Seiten.

  • Das Feld Services Redundancy Group: 1 und Services Redundancy Group: 2 geben den Status von SRG1 und SRG2 (aktiv oder Backup) auf diesem Knoten an.

Überprüfen Sie die Details zur Multinode-Hochverfügbarkeit

Zweck

Zeigen Sie die Details der auf Ihrem Sicherheitsgerät konfigurierten Multinode-Hochverfügbarkeitseinrichtung an und überprüfen Sie sie.

Aktion

Führen Sie im Betriebsmodus den folgenden Befehl aus:

Auf SRX-01

Bedeutung

Überprüfen Sie diese Details in der Befehlsausgabe:

  • Das Feld Services: [ IPSEC ] gibt das zugeordnete IPSec-VPN für jede SRG an.

  • Die Felder BFD Monitoring, Interface Monitoringzeigen Split-brain Prevention Probe Info Monitoring-Details an.

  • Die Felder Cold SynchronizationSRG State Change Events enthalten Details zum aktuellen Status und zu den letzten Änderungen.

  • Das Feld Services Redundancy Group: 1 und Services Redundancy Group: 2 geben den Status von SRG1 und SRG2 (aktiv oder Backup) auf diesem Knoten an.

In der Befehlsausgabe werden die IP-Adressen wie IP 180.100.1.2 intern von Junos OS generiert und diese Adressen beeinträchtigen Routing-Tabellen nicht.

Überprüfen Sie den Status des Peer-Knotens mit hoher Verfügbarkeit von Multinodes.

Zweck

Zeigen Sie die Details des Peer-Knotens an und überprüfen Sie sie.

Aktion

Führen Sie im Betriebsmodus den folgenden Befehl auf SRX-01 und SRX-02 aus:

SRX-01

SRX-02

Bedeutung

Überprüfen Sie diese Details in der Befehlsausgabe:

  • Details zum Peer-Knoten wie verwendete Schnittstelle, IP-Adresse und ID

  • Verschlüsselungsstatus, Verbindungsstatus und Kaltsynchronisierungsstatus

  • Paketstatistiken über den gesamten Knoten.

Überprüfen Sie die Redundanzgruppen für Multinode-Services mit hoher Verfügbarkeit

Zweck

Stellen Sie sicher, dass die SRGs konfiguriert sind und ordnungsgemäß funktionieren.

Aktion

Führen Sie im Betriebsmodus den folgenden Befehl auf beiden Sicherheitsgeräten aus:

SRG1 auf SRX-02

SRG2 auf SRX-02

SRG1 auf SRX-01

SRG2 auf SRX-01

Bedeutung

Überprüfen Sie diese Details in der Befehlsausgabe:

  • Details zum Peer-Knoten wie Bereitstellung, Status, aktive und Backup-Signalrouten.

  • Sonde zur Split-Brain-Prävention, IP-Überwachung und BFD-Überwachungsstatus.

  • Zugeordnete IP-Präfixtabelle.

Überprüfen Sie den Interchassis Link (ICL)-Verschlüsselungsstatus

Zweck

Überprüfen Sie den ICL-Status (Interchassis Link).

Aktion

Führen Sie den folgenden Befehl auf SRX-01 aus:

Bedeutung

Die Befehlsausgabe enthält die folgenden Informationen:

  • Details zum lokalen Gateway und Remote-Gateway.

  • Das IPsec-SA-Paar für jeden Thread in PIC.

  • Link-Verschlüsselungsmodus für Hohe Verfügbarkeit (wie in der folgenden Zeile gezeigt):

  • Verwendete Authentifizierungs- und Verschlüsselungsalgorithmen

VORSICHT:

Der in der Befehlsausgabe angezeigte IP-Bereich (180.100.1.x) dient als ICL-IPsec-Datenverkehrsselektor. Das System weist diesen IP-Bereich dynamisch zu, und es ist wichtig, ihn nicht zu ändern oder zu modifizieren. Darüber hinaus wird BFD (Bidirectional Forwarding Detection) automatisch für den breiteren IP-Bereich 180.x.x.x aktiviert.

Überprüfen Sie die Tunnelstatistiken für die Linkverschlüsselung

Zweck

Überprüfen Sie die Link-Verschlüsselungs-Tunnel-Statistiken sowohl auf aktiven als auch auf Backup-Knoten.

Aktion

Führen Sie den folgenden Befehl auf SRX-01 aus:

Bedeutung

Wenn Sie Probleme mit Paketverlusten in einem VPN feststellen, können Sie den show security ipsec statistics ha-link-encryption Befehl mehrmals ausführen, um zu überprüfen, ob die Zähler für verschlüsselte und entschlüsselte Pakete inkrementiert werden. Sie sollten auch überprüfen, ob die anderen Fehlerzähler inkrementiert werden.

Verwenden Sie den clear security ipsec security-associations ha-link-encryption Befehl, um alle IPsec-Statistiken zu löschen.

Überprüfen Sie die aktiven Peers der Interchassis-Verbindung

Zweck

Zeigen Sie nur aktive ICL-Peers an, aber keine regulären aktiven IKE-Peers.

Aktion

Führen Sie die folgenden Befehle auf SRX-01- und SRX-02-Geräten aus:

SRX-1

SRX-2

Bedeutung

Die Befehlsausgabe zeigt nur den aktiven Peer des ICL mit Details wie den Peer-Adressen und Ports an, die der aktive Peer verwendet.

VPN-Status bestätigen

Zweck

Bestätigen Sie den VPN-Status, indem Sie den Status aller IKE-Sicherheitsverbände auf SRG-Ebene überprüfen.

Aktion

Führen Sie die folgenden Befehle auf SRX-1, SRX-2 und SRX-3 (VPN-Peer-Gerät) aus:

SRX-01

SRX-02

SRX-3 (VPN-Peer-Gerät)

Bedeutung

Die Ausgabe zeigt an, dass:

  • IP-Adressen der Remote-Peers.
  • Der Zustand, der für beide Remotepeers UP anzeigt, zeigt die erfolgreiche Zuordnung der Phase-1-Einrichtung an.
  • Die Remote-Peer-IP-Adresse, die IKE-Richtlinie und die externen Schnittstellen sind alle korrekt.

Details zur IPsec-Sicherheit-Zuordnung anzeigen

Zweck

Zeigen Sie die einzelnen IPsec-SA-Details an, die durch SRG-IDs identifiziert werden.

Aktion

Führen Sie den folgenden Befehl auf den Firewalls der SRX-Serie aus:

SRX-1

SRX-02

SRX-03

Bedeutung

Die Ausgabe zeigt den Status des VPN an.

Anzeige aktiver Peers pro SRG

Zweck

Zeigen Sie die Liste der verbundenen aktiven Peers mit den von ihnen verwendeten Peer-Adressen und -Ports an.

Aktion

Führen Sie die folgenden Befehle auf den Firewalls der SRX-Serie aus:

SRX-01

SRX-02

Bedeutung

Die Ausgabe zeigt die Liste der angeschlossenen Geräte mit Details zu den verwendeten Peer-Adressen und Ports an.

Zuordnung von IP-Präfix zu SRG anzeigen

Zweck

Anzeige des IP-Präfixes für SRG-Zuordnungsinformationen.

Aktion

Führen Sie den folgenden Befehl auf dem SRX-01-Gerät aus.

Bedeutung

Die Ausgabe zeigt IP-Adresspräfixe an, die SRGs im Setup zugeordnet sind.

Zeigen Sie BGP-Sitzungsinformationen an.

Zweck

Zeigen Sie zusammenfassende Informationen zu BGP und seinen Nachbarn an, um festzustellen, ob Routen von Peers empfangen werden.

Aktion

Führen Sie die folgenden Befehle auf den Firewalls der SRX-Serie aus:

SRX-1 Gerät

SRX-2 Gerät

Bedeutung

Die Ausgabe zeigt, dass die BGP-Sitzung eingerichtet wurde und die Peers Aktualisierungsnachrichten austauschen.

Siehe auch