IPsec-VPN-Tunnel mit Chassis-Clustern
Firewalls der SRX-Serie unterstützen IPsec-VPN-Tunnel in einem Chassis-Cluster-Setup. In einem Aktiv/Passiv-Chassis-Cluster enden alle VPN-Tunnel auf demselben Knoten. In einem Aktiv/Aktiv-Chassis-Cluster können VPN-Tunnel auf beiden Knoten enden.
Grundlegendes zu IPsec-VPN-Chassis-Clustern mit dualer aktiver Sicherung
In einem Aktiv/Passiv-Chassis-Cluster enden alle VPN-Tunnel auf demselben Knoten, wie in Abbildung 1gezeigt.
In einem Aktiv/Aktiv-Chassis-Cluster können VPN-Tunnel auf beiden Knoten enden. Beide Knoten im Chassis-Cluster können den Datenverkehr gleichzeitig aktiv durch VPN-Tunnel auf beiden Knoten leiten, wie in Abbildung 2gezeigt. Diese Bereitstellung wird als Dual-Active-Backup-IPsec-VPN-Chassis-Clusterbezeichnet.
Die folgenden Funktionen werden von IPsec-VPN-Chassis-Clustern mit dualer aktiver Sicherung unterstützt:
Nur routenbasierte VPNs. Richtlinienbasierte VPNs werden nicht unterstützt.
IKEv1 und IKEv2.
Authentifizierung mit digitalem Zertifikat oder vorinstalliertem Schlüssel.
IKE und Secure Tunnel Interfaces (st0) in virtuellen Routern.
Network Address Translation-Traversal (NAT-T).
VPN-Überwachung.
Erkennung toter Peers.
In-Service-Software-Upgrade (ISSU).
Einsetzen von Services Processing Cards (SPCs) in ein Chassis-Cluster-Gerät ohne Unterbrechung des Datenverkehrs in den vorhandenen VPN-Tunneln. Weitere Informationen finden Sie unter VPN-Unterstützung für das Einsetzen von Dienstverarbeitungskarten.
Dynamische Routing-Protokolle.
Sichere Tunnelschnittstellen (st0), die im Punkt-zu-Mehrpunkt-Modus konfiguriert sind.
AutoVPN mit st0-Schnittstellen im Punkt-zu-Punkt-Modus mit Datenverkehrsselektoren.
IPv4-in-IPv4-, IPv6-in-IPv4-, IPv6-in-IPv6- und IPv4-in-IPv6-Tunnelmodi.
Fragmentierter Datenverkehr.
Die Loopback-Schnittstelle kann als externe Schnittstelle für das VPN konfiguriert werden.
IPsec-VPN-Chassis-Cluster mit dualer aktiver Sicherung können nicht mit Datenströmen im Z-Modus konfiguriert werden. Datenströme im Z-Modus treten auf, wenn Datenverkehr in eine Schnittstelle auf einem Chassis-Clusterknoten eintritt, die Fabric-Verbindung passiert und über eine Schnittstelle auf dem anderen Clusterknoten wieder austritt.
Siehe auch
Beispiel: Redundanzgruppen für Loopback-Schnittstellen konfigurieren
In diesem Beispiel wird gezeigt, wie eine Redundanzgruppe (RG) für eine Loopbackschnittstelle konfiguriert wird, um VPN-Fehler zu verhindern. Redundanzgruppen werden verwendet, um Schnittstellen zu Failoverzwecken in einem Chassis-Cluster-Setup zu einer Gruppe zu bündeln.
Anforderungen
In diesem Beispiel wird die folgende Hardware und Software verwendet:
Ein Paar unterstützter Chassis-Cluster Firewall der SRX-Serie
Ein SSG140-Gerät oder ein gleichwertiges Gerät
Zwei Schalter
Junos OS Version 12.1x44-D10 oder höher für Firewalls der SRX-Serie
Bevor Sie beginnen:
Redundante Ethernet-Schnittstellen für Chassis-Cluster Weitere Informationen finden Sie im Benutzerhandbuch für Chassis-Cluster für Geräte der SRX-Serie.
Überblick
Ein IKE-Gateway (Internet Key Exchange) benötigt eine externe Schnittstelle, um mit einem Peergerät kommunizieren zu können. In einer Chassis-Cluster-Konfiguration wählt der Knoten, auf dem die externe Schnittstelle aktiv ist, eine Services Processing Unit (SPU) zur Unterstützung des VPN-Tunnels aus. IKE- und IPsec-Pakete werden auf dieser SPU verarbeitet. Daher entscheidet die aktive externe Schnittstelle über die Anker-SPU.
In einem Chassis-Cluster-Setup ist die externe Schnittstelle eine redundante Ethernet-Schnittstelle. Eine redundante Ethernet-Schnittstelle kann ausfallen, wenn ihre physischen (untergeordneten) Schnittstellen ausfallen. Sie können eine Loopback-Schnittstelle als alternative physische Schnittstelle konfigurieren, um das Peer-Gateway zu erreichen. Loopback-Schnittstellen können für jede Redundanzgruppe konfiguriert werden. Diese Redundanzgruppenkonfiguration wird nur für VPN-Pakete geprüft, da nur VPN-Pakete die Anker-SPU über die aktive Schnittstelle finden müssen.
Sie müssen lo0.x in einem benutzerdefinierten virtuellen Router konfigurieren, da lo0.0 im virtuellen Standardrouter enthalten ist und in einem virtuellen Router nur eine Loopback-Schnittstelle zulässig ist.
Abbildung 3 zeigt ein Beispiel für eine Loopback-Chassis-Cluster-VPN-Topologie. In dieser Topologie befindet sich das Firewall-Chassis-Clustergerät der SRX-Serie in Sunnyvale, Kalifornien. Das Firewall-Chassis-Cluster-Gerät der SRX-Serie fungiert in diesem Setup als einzelnes Gateway. Das Gerät der SSG-Serie (oder ein Gerät eines Drittanbieters) befindet sich in Chicago, Illinois. Dieses Gerät fungiert als Peer-Gerät zum SRX-Chassis-Cluster und hilft beim Aufbau eines VPN-Tunnels.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um diesen Abschnitt des Beispiels schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set interfaces lo0 redundant-pseudo-interface-options redundancy-group 1 set interfaces lo0 unit 1 family inet address 10.3.3.3/30 set routing-instances vr1 instance-type virtual-router set routing-instances vr1 interface lo0.1 set routing-instances vr1 interface reth0.0 set routing-instances vr1 interface reth1.0 set routing-instances vr1 interface st0.0 set routing-instances vr1 routing-options static route 192.168.168.1/24 next-hop st0.0 set security ike policy ike-policy1 mode main set security ike policy ike-policy1 proposal-set standard set security ike policy ike-policy1 pre-shared-key ascii-text "$ABC123" set security ike gateway t-ike-gate ike-policy ike-policy1 set security ike gateway t-ike-gate address 10.2.2.2 set security ike gateway t-ike-gate external-interface lo0.1 set security ipsec proposal p2-std-p1 authentication-algorithm hmac-sha1-96 set security ipsec proposal p2-std-p1 encryption-algorithm 3des-cbc set security ipsec proposal p2-std-p1 lifetime-seconds 180 set security ipsec proposal p2-std-p2 authentication-algorithm hmac-sha1-96 set security ipsec proposal p2-std-p2 encryption-algorithm aes-128-cbc set security ipsec proposal p2-std-p2 lifetime-seconds 180 set security ipsec policy vpn-policy1 perfect-forward-secrecy keys group2 set security ipsec policy vpn-policy1 proposals p2-std-p1 set security ipsec policy vpn-policy1 proposals p2-std-p2 set security ipsec vpn t-ike-vpn bind-interface st0.0 set security ipsec vpn t-ike-vpn ike gateway t-ike-gate set security ipsec vpn t-ike-vpn ike proxy-identity local 10.10.10.1/24 set security ipsec vpn t-ike-vpn ike proxy-identity remote 192.168.168.1/24 set security ipsec vpn t-ike-vpn ike ipsec-policy vpn-policy1
Schritt-für-Schritt-Anleitung
So konfigurieren Sie eine Redundanzgruppe für eine Loopback-Schnittstelle:
Konfigurieren Sie die Loopback-Schnittstelle in einer Redundanzgruppe.
[edit interfaces] user@host# set lo0 redundant-pseudo-interface-options redundancy-group 1
Konfigurieren Sie die IP-Adresse für die Loopback-Schnittstelle.
[edit interfaces] user@host# set lo0 unit 1 family inet address 10.3.3.3/30
Konfigurieren Sie Routing-Optionen.
[edit routing-instances] user@host# set vr1 instance-type virtual-router user@host# set vr1 interface lo0.1 user@host# set vr1 interface reth0.0 user@host# set vr1 interface reth1.0 user@host# set vr1 interface st0.0 user@host# set vr1 routing-options static route 192.168.168.1/24 next-hop st0.0
Konfigurieren Sie die Loopback-Schnittstelle als externe Schnittstelle für das IKE-Gateway.
[edit security ike] user@host# set policy ike-policy1 mode main user@host# set policy ike-policy1 proposal-set standard user@host# set policy ike-policy1 pre-shared-key ascii-text "$ABC123" user@host# set gateway t-ike-gate ike-policy ike-policy1 user@host# set gateway t-ike-gate address 10.2.2.2 user@host# set gateway t-ike-gate external-interface lo0.1
Konfigurieren Sie einen IPsec-Vorschlag.
[edit security ipsec] user@host# set proposal p2-std-p1 authentication-algorithm hmac-sha1-96 user@host# set proposal p2-std-p1 encryption-algorithm 3des-cbc user@host# set proposal p2-std-p1 lifetime-seconds 180 user@host# set proposal p2-std-p2 authentication-algorithm hmac-sha1-96 user@host# set proposal p2-std-p2 encryption-algorithm aes-128-cbc user@host# set proposal p2-std-p2 lifetime-seconds 180 user@host# set policy vpn-policy1 perfect-forward-secrecy keys group2 user@host# set policy vpn-policy1 proposals p2-std-p1 user@host# set policy vpn-policy1 proposals p2-std-p2 user@host# set vpn t-ike-vpn bind-interface st0.0 user@host# set vpn t-ike-vpn ike gateway t-ike-gate user@host# set vpn t-ike-vpn ike proxy-identity local 10.10.10.1/24 user@host# set vpn t-ike-vpn ike proxy-identity remote 192.168.168.1/24 user@host# set vpn t-ike-vpn ike ipsec-policy vpn-policy1
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfaces lo0Befehle , show routing-instances, show security ikeund show security ipsec eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@host# show interfaces lo0
unit 1 {
family inet {
address 10.3.3.3/30;
}
}
redundant-pseudo-interface-options {
redundancy-group 1;
}
[edit]
user@host# show routing-instances
vr1 {
instance-type virtual-router;
interface lo0.1;
interface reth0.0;
interface reth1.0;
interface st0.0;
routing-options {
static {
route 192.168.168.1/24 next-hop st0.0;
}
}
}
[edit]
user@host# show security ike
policy ike-policy1 {
mode main;
proposal-set standard;
pre-shared-key ascii-text "$ABC123";
}
gateway t-ike-gate {
ike-policy ike-policy1;
address 10.2.2.2;
external-interface lo0.1;
}
[edit]
user@host# show security ipsec
proposal p2-std-p1 {
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
lifetime-seconds 180;
}
proposal p2-std-p2 {
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-128-cbc;
lifetime-seconds 180;
}
policy vpn-policy1 {
perfect-forward-secrecy {
keys group2;
}
proposals [ p2-std-p1 p2-std-p2 ];
}
policy vpn-policy2 {
perfect-forward-secrecy {
keys group2;
}
proposals [ p2-std-p1 p2-std-p2 ];
}
vpn t-ike-vpn {
bind-interface st0.0;
ike {
gateway t-ike-gate;
proxy-identity {
local 10.10.10.1/24;
remote 192.168.168.1/24;
}
ipsec-policy vpn-policy1;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Verifizierung
Überprüfen der Konfiguration
Zweck
Stellen Sie sicher, dass die Konfiguration für Redundanzgruppen für Loopbackschnittstellen korrekt ist.
Action!
Geben Sie im Betriebsmodus den show chassis cluster interfaces Befehl ein.
user@host> show chassis cluster interfaces
Control link status: Up
Control interfaces:
Index Interface Status
0 em0 Up
1 em1 Down
Fabric link status: Up
Fabric interfaces:
Name Child-interface Status
fab0 ge-0/0/7 Up / Up
fab0
fab1 ge-13/0/7 Up / Up
fab1
Redundant-ethernet Information:
Name Status Redundancy-group
reth0 Up 1
reth1 Up 1
reth2 Up 1
reth3 Down Not configured
reth4 Down Not configured
Redundant-pseudo-interface Information:
Name Status Redundancy-group
lo0 Up 1
Bedeutung
Der show chassis cluster interfaces Befehl zeigt die Informationen zu den Schnittstellen des Chassis-Clusters an. Wenn der Status des Feldes "Redundant-pseudo-interface Information" die lo0-Schnittstelle als "Up" und der Status des Feldes "Redundant-ethernet Information" die Felder reth0, reth1 und reth2 als "Up" anzeigt, ist Ihre Konfiguration korrekt.