Prise en charge du VPN IPsec dans la haute disponibilité multinœud
VPN IPsec en mode de sauvegarde active
Les pare-feu SRX Series prennent en charge les tunnels VPN IPsec dans une configuration de haute disponibilité multinœud. Avant la version 22.4R1 de Junos OS, le tunnel VPN IPsec s’ancre au niveau de SRG1, où SRG1 agit en mode actif/de secours dynamique. Dans ce mode, tous les tunnels VPN se terminent sur le même périphérique sur lequel le SRG1 est actif.
La haute disponibilité multinœud établit un tunnel IPsec et effectue les échanges de clés en :
-
Associer dynamiquement l’adresse IP flottante du SRG1 actif à l’adresse IP de terminaison dans le déploiement du routage et attribuer l’adresse IP de terminaison, l’IP virtuelle (VIP), qui flotte entre les deux périphériques en mode de commutation.
-
Génération du profil d’autorité de certification, lorsqu’un profil d’autorité de certification dynamique est nécessaire pour authentifier l’établissement du tunnel, sur le nœud où SRG1 est actif.
-
Exécution d’une nouvelle authentification et chargement du profil dynamique sur le nouveau nœud actif et effacement sur l’ancien nœud.
Bien que vous puissiez exécuter les show commandes sur les noeuds actifs et de secours pour afficher l’état des associations de sécurité IKE et IPsec, vous ne pouvez supprimer les associations de sécurité IKE et IPsec que sur le noeud actif.
Le service VPN est automatiquement activé lorsque vous activez le mode actif/secondaire à l’aide de la set chassis high-availability services-redundancy-group 1 commande. Voir l’exemple de configuration pour plus de détails.
Les fichiers PKI ne sont synchronisés avec le nœud homologue que si vous activez le chiffrement des liens pour la liste ICL.
Nous vous recommandons de suivre la séquence suivante lorsque vous configurez VPN avec la haute disponibilité multinœud sur votre périphérique de sécurité :
-
Sur le nœud de sauvegarde, configurez la passerelle IKE de sécurité, le VPN IPsec, les interfaces st0.x et les zones de sécurité, puis validez la configuration.
-
Sur le nœud actif, configurez la passerelle IKE de sécurité, le VPN IPsec, l’interface st0.x, les zones de sécurité et la route statique, puis validez la configuration.
Si vous n'utilisez pas l'option de synchronisation de validation, vous devez valider la configuration sur le nœud de sauvegarde avant de valider la configuration.
Traiter les paquets sur le nœud de sauvegarde
Lorsque vous utilisez l’option process-packet-on-backup de haute disponibilité multinœud, le moteur de transfert de paquets transfère les paquets sur le nœud de secours pour le SRG correspondant. Cette configuration traite les paquets VPN sur le nœud de sauvegarde même lorsque le nœud n’est pas en mode actif ; Cela permet d’éliminer le délai de transition du nœud de sauvegarde vers le rôle actif après un basculement. Le processus d’envoi de paquets se poursuit même pendant la période de transition.
Vous pouvez configurer le paquet de processus lors de la sauvegarde sur un SRG1 à l’aide de l’instruction [set chassis high-availability services-redundancy-group name process-packet-on-backup].
VPN IPsec en mode actif-actif
À partir de Junos OS version 22.4R1, vous pouvez configurer la haute disponibilité multinœud pour qu’elle fonctionne en mode actif-actif avec prise en charge de plusieurs SRG1 (SRG1+) pour VPN IPsec. Dans ce mode, certains groupes de sécurité restent actifs sur un nœud et d’autres sur un autre nœud. Un SSR particulier fonctionne toujours en mode de sauvegarde active ; Il fonctionne en mode actif sur un nœud et en mode secondaire sur un autre nœud.
La haute disponibilité multinœud prend en charge le VPN IPsec en mode actif-actif avec plusieurs passerelles de sécurité sociale (SRG1+). Dans ce mode, vous pouvez établir plusieurs tunnels actifs à partir des deux nœuds, en fonction de l’activité du SRG. Étant donné que différentes passerelles peuvent être actives sur différents nœuds, les tunnels appartenant à ces passerelles apparaissent indépendamment sur les deux nœuds. Le fait de disposer de tunnels actifs sur les deux nœuds permet de chiffrer/déchiffrer le trafic de données sur les deux nœuds, ce qui permet d’optimiser l’utilisation de la bande passante.
Graphique 1 et Graphique 2 montrent les différences entre les tunnels VPN IPsec à haute disponibilité à nœud actif et à nœud actif.
à plusieurs nœuds
à plusieurs nœuds
La haute disponibilité multinœud établit un tunnel IPsec et effectue les échanges de clés en associant l’adresse IP de terminaison (qui identifie également les tunnels qui s’y terminent) au SRG. Étant donné que différents SRG1+ peuvent être à l’état actif ou à l’état de secours sur chacun des périphériques, la haute disponibilité multinœud dirige efficacement le trafic correspondant vers le SRG1 actif correspondant. La haute disponibilité multinœud conserve également les informations de mappage de l’ID SRG et du préfixe IP.
Le Tableau 1 et le Tableau 2 fournissent des détails sur l’impact sur les tunnels VPN IPsec en raison des modifications apportées à SRG1+.
| Impact des modifications SRG1 | sur les tunnels VPN IPSec |
|---|---|
| Ajout de la SSR | Pas d’impact sur les tunnels existants |
| Suppression de la SSR | Supprime toutes les routes associées au SSR. |
| Modification de l’attribut SRG (autre que la liste de préfixes) | Pas d’impact sur les tunnels existants |
| Modification de l’ID SSR | Supprime tous les tunnels existants associés au SRG. |
| Préfixe IP dans la modification de la liste de préfixes | Supprime tous les tunnels correspondant à ce préfixe IP particulier. Aucun impact s’il n’existe pas de mappage de tunnel vers le préfixe IP modifié. |
| Modifications d’état SRG | : mesures à prendre à partir de la haute disponibilité multinoeud |
|---|---|
|
|
Supprime toutes les données correspondant à ce SRG et se resynchronise à partir de la nouvelle SSR active |
|
|
Supprime toutes les données correspondant à ce SRG et se resynchronise à partir de la nouvelle SSR active |
|
|
Sans objet |
|
|
Pas d’action |
|
|
Pas d’action |
|
|
Pas d’action |
|
|
Aucune action (transition d’état possible ; si l’état actif n’est pas impliqué dans un état antérieur ou post, aucune action n’est requise) |
|
|
Aucune action (transition d’état possible ; si l’état actif n’est pas impliqué dans un état antérieur ou post, aucune action n’est requise) |
|
|
Aucune action (transition d’état possible ; si l’état actif n’est pas impliqué dans un état antérieur ou post, aucune action n’est requise) |
Associer un service VPN IPsec à un SSR
Les versions antérieures à la version 22.4R1 ne prenaient en charge que SRG0 et SRG1, et SRG1 était associé au VPN IPsec par défaut. Dans la version 22.4R1, un SSR n’est pas associé au service VPN IPSec par défaut. Vous devez associer le service VPN IPsec à l’une des multiples passerelles de sécurité sociale en procédant comme suit :
- Spécification d’IPsec en tant que service géré
Ex:
[set chassis high-availability services-redundancy-group <id> managed-services ipsec] - Création d’une liste de préfixes IP
Ex:
[set chassis high-availability services-redundancy-group <id> prefix-list <name>][set policy-options prefix-list <name> <IP address>
Lorsque vous avez plusieurs passerelles de sécurité dans votre configuration de haute disponibilité multinœud, certaines passerelles sont actives sur un nœud et d’autres sur un autre nœud. Vous pouvez ancrer certains tunnels IPsec à un nœud particulier (pare-feu SRX Series) en configurant une liste de préfixes IP.
Dans la configuration VPN IPsec, une passerelle IKE initie et termine les connexions réseau entre deux équipements de sécurité. L’extrémité locale (passerelle IKE locale) est l’interface SRX Series qui initie les négociations IKE. La passerelle IKE locale dispose d’une adresse IP locale, une adresse IP routable publiquement sur le pare-feu, que la connexion VPN utilise comme point de terminaison.
La liste des préfixes IP comprend une liste de préfixes d’adresse IPv4 ou IPv6, qui sont utilisés comme adresse locale d’une passerelle IKE. Vous pouvez associer ces préfixes IP (prefix-list) à un SRG1 spécifié pour annoncer l’adresse locale de la passerelle IKE avec une préférence plus élevée en fonction de l’état du SRG.
Pour ancrer un tunnel VPN IPsec à un équipement de sécurité particulier, vous devez :
-
Créez une liste de préfixes IP en incluant l’adresse locale de la passerelle IKE et associez la liste de préfixes IP au SSR :
Exemple:
set chassis high-availability services-redundancy-group 1 prefix-list lo0_1 set chassis high-availability services-redundancy-group 2 prefix-list lo0_2 set policy-options prefix-list lo0_1 10.11.0.1/32 set policy-options prefix-list lo0_2 10.11.1.1/32 set interfaces lo0 description untrust set interfaces lo0 unit 0 family inet address 10.11.0.1/32 set interfaces lo0 unit 0 family inet address 10.11.1.1/32
- Définissez l’instance de routage pour la liste de préfixes.
set chassis high-availability services-redundancy-group 1 prefix-list lo0_1 routing-instance rt-vr set chassis high-availability services-redundancy-group 1 prefix-list lo0_2 routing-instance rt-vr
Si vous n’associez pas d’instance de routage à la liste de préfixes, la haute disponibilité multinœud utilise la table de routage par défaut, ce qui peut affecter la fonctionnalité VPN.
-
Associez/activez le VPN IPsec au SSR.
Exemple:
set chassis high-availability services-redundancy-group 1 managed-services ipsec set chassis high-availability services-redundancy-group 2 managed-services ipsec
Cette configuration vous permet d’associer le VPN IPsec de manière flexible et sélective à l’un des multiples SSR configurés sur le pare-feu SRX Series dans une configuration de haute disponibilité multinœud.
Vous pouvez vérifier le mappage des objets IKE/IPsec au SRG à l’aide de la commande suivante :
user@host# show chassis high-availability information detail
.........
Services Redundancy Group: 1
Deployment Type: SWITCHING
Status: BACKUP
Activeness Priority: 200
Hold Timer: 1
Services: [ IPSEC ]
Process Packet In Backup State: NO
Control Plane State: NOT READY
System Integrity Check: COMPLETE
Peer Information:
Failure Events: NONE
Peer Id: 2
Last Advertised HA Status: ACTIVE
Last Advertised Health Status: HEALTHY
Failover Readiness: N/A
.............
Vous pouvez vérifier le mappage des SRG et de la liste des préfixes IP à l’aide de la commande suivante :
user@host> show chassis high-availability prefix-srgid-table
IP SRGID Table:
SRGID IP Prefix Routing Table
1 10.11.0.1/32 rt-vr
1 10.19.0.1/32 rt-vr
1 10.20.0.1/32 rt-vr
2 10.11.1.1/32 rt-vr
2 10.19.1.1/32 rt-vr
2 10.20.1.1/32 rt-vr
Si vous ne configurez pas de liste de préfixes, le message d'avertissement suivant s'affiche :
user@host> show chassis high-availability prefix-srgid-table
Warning: prefix list not configured
Prise en charge du protocole de routage dynamique pour VPN IPsec
À partir de Junos OS version 23.2R1, vous pouvez activer des protocoles de routage dynamiques pour le VPN IPsec dans une configuration de haute disponibilité multinœud à l’aide de tunnels locaux de nœud. Les routes ajoutées par les protocoles de routage dynamique restent locales à un nœud. Ces routes ne sont pas liées à un groupe de redondance de services (SRG).
Dans les versions précédentes, la haute disponibilité multinœud prend uniquement en charge le déploiement du sélecteur de trafic. En d’autres termes, lorsque vous configurez le VPN IPsec à l’aide de sélecteurs de trafic, la configuration installe les routes en tenant compte de la valeur de préférence et de la métrique de routage en fonction des préfixes du sélecteur de trafic.
Lorsque vous configurez des tunnels locaux de nœud, vous disposez de tunnels distincts d’un périphérique homologue VPN vers les deux nœuds de la configuration de haute disponibilité multinœud. En d’autres termes, vous disposez d’un tunnel nœud-local vers chacun des deux nœuds de haute disponibilité multinœuds.
Les figures 3, 4 et 5 illustrent un déploiement de VPN IPsec à haute disponibilité multinœud avec des tunnels synchronisés, des tunnels locaux et une combinaison de tunnels synchronisés et de tunnels locaux nœuds, respectivement.
synchronisés
La figure précédente montre un tunnel VPN IPsec entre un appareil homologue et une configuration de haute disponibilité multinœud. Le tunnel VPN IPsec s’ancre sur un SRG1+ actif. Le tunnel reste actif lorsque le SRG1+ associé est actif. Dans ce déploiement, le trafic passe par le tunnel actif (tunnel 1).
local de nœud
Dans la figure précédente, vous disposez de deux tunnels noeud-local entre l’appareil homologue VPN et la configuration de haute disponibilité multinœud. Chaque tunnel se connecte à l’un des deux nœuds de la configuration. Ces tunnels ne sont associés à aucun SRG1+. L’un ou les deux tunnels peuvent rester actifs à tout moment. Selon le protocole de routage configuré, le trafic transite à tout moment par le tunnel 2 ou par le tunnel 3.
locaux de nœud
La figure précédente montre un tunnel VPN IPsec entre un appareil homologue VPN et une configuration de haute disponibilité multinœud. En outre, la figure montre deux tunnels nœud-local entre l’appareil homologue VPN et la configuration de haute disponibilité multinœud.
Le tunnel VPN IPsec s’ancre sur un SRG1+ actif et reste actif lorsque le SRG1+ associé est actif. Dans le cas des tunnels locaux de nœud, les deux tunnels restent actifs.
Le Tableau 3 montre la différence entre node-local les tunnels et les tunnels synchronisés.
| Fonctions | Tunnels locaux de nœud Tunnels | synchronisés |
|---|---|---|
| Association avec la SRG1+ | Non | Oui |
| Synchronisation des informations de tunnel entre les nœuds multinœuds de haute disponibilité | Non | Oui |
| Nombre de tunnels actifs | Deux | Un |
Marquer un tunnel VPN IPsec comme tunnel noeud-local
Vous pouvez configurer un tunnel VPN IPsec comme node-local sur un pare-feu SRX Series à l’aide de l’instruction suivante :
[edit] user@host# set security ike gateway gateway-name node-local
Assurez-vous de configurer l’option node-local pour les deux nœuds d’une configuration de haute disponibilité multinœud.
Assurez-vous de définir une préférence pour un tunnel lorsque vous configurez la stratégie de routage.
Prise en charge d’ADVPN en haute disponibilité multinœud
À partir de Junos OS version 24.2R1, la haute disponibilité multinœud prend en charge ADVPN dans le déploiement de tunnel local nœud.
Les tunnels locaux de nœud améliorent la haute disponibilité de plusieurs nœuds en fournissant des tunnels distincts d’un appareil homologue VPN aux deux nœuds de la configuration. ADVPN permet d’établir dynamiquement des tunnels VPN entre les rayons. La combinaison d’ADVPN et de la haute disponibilité multinœud dans le déploiement de tunnels locaux sur nœud garantit une connectivité réseau robuste, une utilisation efficace des ressources et un basculement transparent.
Le protocole ADVPN permet de créer un chemin de raccourci entre deux passerelles partenaires afin d’établir un chemin optimal pour la livraison des données. Traditionnellement, dans un réseau en étoile, le trafic entre deux rayons passe par le hub. Avec ADVPN, le hub recommande un raccourci entre ses homologues (appareils en étoile) avec lesquels il a préalablement établi une SA IPsec. La décision de suggérer un raccourci dépend de la durée et de la quantité de trafic circulant entre une paire d’homologues via le hub. Ces pairs, appelés partenaires de raccourci, acceptent ou refusent cette recommandation, selon leurs propres politiques.
Les pairs acceptent la suggestion et établissent un SA direct (raccourci) entre eux. Une nouvelle SA phase1 et phase2 est créée pour chaque raccourci. Ce raccourci est ensuite utilisé pour établir un chemin plus optimal pour la livraison des données. Tout le trafic circulant entre les homologues passe désormais directement par le tunnel de raccourci entre les pairs.
Si les pairs refusent la recommandation, ils répondent à l’auteur de la proposition en indiquant la raison du rejet. Dans ce cas, le trafic continue de circuler à travers le Suggestion de raccourcis.
La configuration de haute disponibilité multinœud comprend deux pare-feu SRX Series faisant office de nœud actif et de nœud de secours, ainsi que deux équipements homologues VPN avec configuration locale de nœud. Dans ce cas, un tunnel VPN IPsec est établi entre un appareil homologue VPN et une configuration de haute disponibilité multinœud.
- Outil de suggestion de raccourcis : remarque le trafic qui se déplace entre les pairs et suggère des raccourcis.
- Partenaires de raccourcis : il s’agit d’appareils homologues qui forment le tunnel de raccourcis. L’échange de raccourcis se fait par le biais d’un protocole IKEv2 étendu.
Dans la configuration de haute disponibilité multinœud, un appareil homologue VPN, avec un tunnel local de nœud, assume les rôles suivants :
- Partenaire de raccourcis ADVPN
- Outil de suggestion de raccourcis ADVPN
Avec la configuration ADVPN, un pare-feu SRX Series peut agir soit comme un suggéreur de raccourci, soit comme un partenaire de raccourci, mais pas à la fois comme un suggérant et un partenaire.
Les images suivantes illustrent comment la passerelle VPN peut agir en tant que suggéreur de raccourcis et partenaire.
- L’appareil homologue VPN, agissant en tant que partenaire de raccourci, établit deux tunnels : un tunnel vers chaque nœud de haute disponibilité multinœud. Dans ce cas, chaque nœud agit comme un suggéreur de raccourcis.
Figure 6 : passerelle VPN en tant que partenaire
de raccourci
Comme le montre l’illustration :
- Deux pare-feu SRX Series en haute disponibilité multinœud font office de suggestion de raccourcis : Suggester-1 (nœud actif) et Suggester-2 (nœud de secours).
- Deux passerelles VPN font office de partenaires de raccourcis : Partenaire-1 et Partenaire-2.
- Le partenaire-1 crée deux tunnels ; l’un vers Suggester-1 et l’autre vers Sugester-2
- Le partenaire-2 crée deux tunnels ; l’un vers Suggester-1 et l’autre vers Sugester-2
- Le trafic du partenaire 1 au partenaire 2 passe par le suggesteur-1. Suggester-1 informe Partner-1 et Partner-2 de créer un raccourci.
- En cas de défaillance du nœud actif (suggesteur-1) et que les deux tunnels de Suggester-1 vers Partner-1 et Partner-2 sont en panne, dans ce cas :
-
- Le raccourci créé précédemment reste actif, cependant, le flux de trafic du partenaire-1 au partenaire-2 passe par le suggesteur-2. Dans ce cas, Suggester-2 suggère un raccourci entre Partner-1 et Partner-2. Étant donné que le raccourci existe déjà entre Partenaire-1 et Partenaire-2, la suggestion pour le nouveau raccourci Suggesteur-2 est rejetée.
- Appareil homologue VPN faisant office de suggestion de raccourcis. Dans ce cas, chaque nœud de haute disponibilité multinœud agit en tant que partenaire de raccourci et établit un tunnel distinct vers l’appareil homologue VPN.
Figure 7 : Passerelle VPN en tant que générateur
de raccourcis
- Les pare-feu SRX Series en haute disponibilité multinœud font office de Partenaire-1-A et Partenaire-1-B.
- Une passerelle VPN joue le rôle de suggesteur et un autre pare-feu SRX Series agit en tant que partenaire-2.
- Partner-1-A (nœud actif) crée un tunnel statique (tunnel actif) avec Suggester.
- Partner-1-B (nœud de sauvegarde) crée un tunnel statique (tunnel de secours) avec Suggester.
- Le trafic du partenaire 1-A au partenaire 2 transite par le module Suggester.
- L’outil suggère de créer un raccourci entre Partenaire-1-A et Partenaire-2.
- Partenaire-1-A et Partenaire-2 créent un raccourci entre eux. Notez que si le tunnel statique entre les partenaires et le suggesteur tombe en panne, il n’y a pas d’impact sur le tunnel de raccourcis. Le trafic continue de circuler dans le tunnel de raccourcis, même après la fermeture du tunnel statique.
Points forts de la configuration
- Configurez la haute disponibilité multinœud sur les pare-feu SRX Series. Voir Exemple : Configurer la haute disponibilité à plusieurs nœuds dans un réseau de couche 3.
- Assurez-vous de configurer l’option
node-localpour les deux nœuds d’une configuration de haute disponibilité multinœud. Exemple:set security ike gateway gateway-name node-local
- Configurez les rôles de partenaire de raccourci ou de suggestion de raccourci sur le pare-feu SRX Series, le cas échéant. Reportez-vous à la section VPN à découverte automatique.
Par défaut, les options du concepteur de raccourcis et des partenaires de raccourcis sont activées si vous configurez advpn dans la hiérarchie de la passerelle IKE. Vous devez désactiver explicitement l’option de suggestion ou l’option partenaire pour désactiver cette fonctionnalité particulière.
[edit security ike]
gateway gateway_1 {
…
node-local
…
advpn {
partner disable;
}
}
[edit security ike]
gateway gateway_1 {
advpn {
suggester disable;
partner {
connection-limit 5;
idle-time 300;
}
}
}
Limitations
- La configuration d’un générateur de suggestions ADVPN n’est autorisée que sur les hubs AutoVPN, où il s’agit d’une fonctionnalité partenaire pour la configuration des rayons.
- Vous ne pouvez pas configurer à la fois les rôles de suggesteur et de partenaire sous la même passerelle IKE
- ADVPN ne prend pas en charge IKEv1
- Vous ne pouvez pas créer de raccourci entre des partenaires qui se trouvent tous les deux derrière des périphériques NAT.