Prise en charge du VPN IPsec dans la haute disponibilité multinode
VPN IPsec en mode de sauvegarde active
Les pare-feu SRX Series prennent en charge les tunnels VPN IPsec dans une configuration haute disponibilité multinode. Avant la version 22.4R1 de Junos OS, le tunnel VPN IPsec s’ancre au niveau de SRG1, où SRG1 agit en mode actif/de sauvegarde à états. Dans ce mode, tous les tunnels VPN se terminent sur le même équipement où le SRG1 est actif.
La haute disponibilité multinode établit un tunnel IPsec et effectue des échanges clés en :
-
En associant dynamiquement l’adresse IP flottante du SRG1 actif à l’ADRESSE IP de terminaison dans le déploiement de routage, l’IP de terminaison, l’IP virtuel (VIP), qui flotte entre les deux équipements en mode de commutation.
-
Génération du profil d’autorité de certification, lorsqu’un profil d’autorité de certification dynamique est nécessaire pour authentifier l’établissement du tunnel, sur le nœud où SRG1 est actif.
-
Effectuer une nouvelle authentification et charger le profil dynamique sur le nouveau nœud actif et effacer l’ancien nœud.
Bien que vous puissiez exécuter les show commandes sur les nœuds actifs et de sauvegarde pour afficher l’état des associations de sécurité IKE et IPsec, vous pouvez supprimer les associations de sécurité IKE et IPsec uniquement sur le nœud actif.
Le service VPN est automatiquement activé lorsque vous activez le mode actif/sauvegarde à l’aide de la set chassis high-availability services-redundancy-group 1 commande. Consultez l’exemple de configuration pour plus de détails.
Les fichiers PKI ne sont synchronisés avec le nœud pair que si vous activez le chiffrement de liaison pour l’ICL.
Nous vous recommandons de suivre la séquence suivante lorsque vous configurez un VPN avec la haute disponibilité multinode sur votre équipement de sécurité :
-
Sur le nœud de sauvegarde, configurez la passerelle IKE de sécurité, le VPN IPsec, les interfaces st0.x et les zones de sécurité, puis validez la configuration.
-
Sur le nœud actif, configurez la passerelle IKE de sécurité, le VPN IPsec, l’interface st0.x, les zones de sécurité et le routage statique et validez la configuration.
Vous devez valider la configuration sur le nœud de sauvegarde avant de valider la configuration sur le nœud actif si vous n’utilisez pas l’option de synchronisation de validation.
Traiter les paquets sur un nœud de sauvegarde
Lorsque vous utilisez l’option process-packet-on-backup de la haute disponibilité multinode, le moteur de transfert de paquets transfère les paquets sur le nœud de sauvegarde pour le SRG correspondant. Cette configuration traite les paquets VPN sur le nœud de sauvegarde même lorsque le nœud n’est pas en mode actif ; ce qui élimine le retard lors de la transition du nœud de sauvegarde vers le rôle actif après un basculement. Le processus de paquets se poursuit même pendant la période de transition.
Vous pouvez configurer le paquet de processus sur une sauvegarde sur un SRG1 à l’aide de l’instruction [set chassis high-availability services-redundancy-group name process-packet-on-backup] .
VPN IPsec en mode actif-actif
À partir de la version 22.4R1 de Junos OS, vous pouvez configurer la haute disponibilité multinode pour qu’elle fonctionne en mode actif-actif avec la prise en charge de plusieurs SRG1 (SRG1+) pour VPN IPsec. Dans ce mode, certains SG restent actifs sur un nœud et d’autres sur un autre nœud. Une SRG particulière fonctionne toujours en mode de sauvegarde active ; il fonctionne en mode actif sur un nœud et en mode de sauvegarde sur un autre nœud.
La haute disponibilité multinode prend en charge le VPN IPsec en mode actif-actif avec plusieurs SRG (SRG1+). Dans ce mode, vous pouvez établir plusieurs tunnels actifs à partir des deux nœuds, en fonction de l’activité SRG. Puisque différents SRG peuvent être actifs sur différents nœuds, les tunnels appartenant à ces SG s’insèrent sur les deux nœuds indépendamment. La présence de tunnels actifs sur les deux nœuds permet de chiffrer/déchiffrer le trafic de données sur les deux nœuds, ce qui permet une utilisation efficace de la bande passante.
Figure 1 Et Figure 2 montrent des différences dans les tunnels VPN IPsec à haute disponibilité multinode et de sauvegarde active-active.
multinode
multinode
La haute disponibilité multinode établit un tunnel IPsec et effectue des échanges clés en associant l’adresse IP de terminaison (qui identifie également les tunnels se terminant dessus) au SRG. Étant donné que différents SRG1+ peuvent être en état actif ou en état de sauvegarde sur chacun des équipements, la haute disponibilité multinode oriente efficacement le trafic correspondant vers le SRG1 actif correspondant. La haute disponibilité multinode conserve également l’ID SRG et les informations de mappage des préfixes IP.
Le tableau 1 et le tableau 2 fournissent des détails sur l’impact sur les tunnels VPN IPsec en raison des modifications apportées au SRG1+.
| Modifications de la SRG1 | Impact sur les tunnels VPN IPSec |
|---|---|
| Ajout SRG | Aucun impact sur les tunnels existants |
| Suppression SRG | Supprime tous les routes associées au SRG. |
| Modification de l’attribut SRG (autre que la liste des préfixes) | Aucun impact sur les tunnels existants |
| Modification de l’ID SRG | Supprime tous les tunnels existants associés au SRG. |
| Préfixe IP dans la modification de liste de préfixes | Supprime tous les tunnels mapper ce préfixe IP particulier. Aucun impact s’il n’y a aucun mappage de tunnel existant avec le préfixe IP modifié. |
| de modification de l’état de la SRG | à partir de la haute disponibilité multinode |
|---|---|
|
|
Supprime toutes les données correspondant à ce SRG et resynchronise à partir du nouveau SRG actif |
|
|
Supprime toutes les données correspondant à ce SRG et resynchronise à partir du nouveau SRG actif |
|
|
Sans objet |
|
|
Aucune action |
|
|
Aucune action |
|
|
Aucune action |
|
|
Aucune action (transition d’état possible ; si l’état actif n’est pas impliqué dans l’état pré ou post- état, aucune action n’est nécessaire) |
|
|
Aucune action (transition d’état possible ; si l’état actif n’est pas impliqué dans l’état pré ou post- état, aucune action n’est nécessaire) |
|
|
Aucune action (transition d’état possible ; si l’état actif n’est pas impliqué dans l’état pré ou post- état, aucune action n’est nécessaire) |
Associer le service VPN IPsec à une SRG
Les versions antérieures à 22.4R1 ne prenaient en charge que SRG0 et SRG1, et SRG1 était associé au VPN IPsec par défaut. Dans 22.4R1, un SRG n’est pas associé au service VPN IPSec par défaut. Vous devez associer le service VPN IPsec à l’un des multiples SG :
- Spécification d’IPsec en tant que service géré
Ex:
[set chassis high-availability services-redundancy-group <id> managed-services ipsec] - Création d’une liste de préfixes IP
Ex:
[set chassis high-availability services-redundancy-group <id> prefix-list <name>][set policy-options prefix-list <name> <IP address>
Lorsque vous avez plusieurs SRG dans votre configuration multinode haute disponibilité, certains SG sont en état actif sur un nœud et certains SG sont actifs sur un autre nœud. Vous pouvez ancrer certains tunnels IPsec sur un nœud particulier (pare-feu SRX Series) en configurant une liste de préfixes IP.
Dans une configuration VPN IPsec, une passerelle IKE lance et termine les connexions réseau entre deux équipements de sécurité. L’extrémité locale (passerelle IKE locale) est l’interface SRX Series qui lance les négociations IKE. La passerelle IKE locale dispose d’une adresse IP locale, une adresse IP routable publiquement sur le pare-feu, que la connexion VPN utilise comme point de terminaison.
La liste des préfixes IP comprend une liste de préfixes d’adresse IPv4 ou IPv6, qui sont utilisés comme adresse locale d’une passerelle IKE. Vous pouvez associer ces préfixes IP (préfixe-liste) à un SRG1 spécifié pour annoncer l’adresse locale de la passerelle IKE avec une préférence plus élevée en fonction de l’état du SRG.
Pour ancrer un tunnel VPN IPsec spécifique à un équipement de sécurité particulier, vous devez :
-
Créez une liste de préfixes IP en incluant l’adresse locale de la passerelle IKE et associez la liste de préfixes IP au SRG :
Exemple:
set chassis high-availability services-redundancy-group 1 prefix-list lo0_1 set chassis high-availability services-redundancy-group 2 prefix-list lo0_2 set policy-options prefix-list lo0_1 10.11.0.1/32 set policy-options prefix-list lo0_2 10.11.1.1/32 set interfaces lo0 description untrust set interfaces lo0 unit 0 family inet address 10.11.0.1/32 set interfaces lo0 unit 0 family inet address 10.11.1.1/32
-
Associer/activer le VPN IPsec au SRG.
Exemple:
set chassis high-availability services-redundancy-group 1 managed-services ipsec set chassis high-availability services-redundancy-group 2 managed-services ipsec
Cette configuration vous permet d’associer de manière sélective et flexible le VPN IPsec à l’un des multiples SG configurés sur le pare-feu SRX Series dans une configuration de haute disponibilité multinode.
Vous pouvez vérifier le mappage des objets IKE/IPsec avec le SRG à l’aide de la commande suivante :
user@host# show chassis high-availability information detail
.........
Services Redundancy Group: 1
Deployment Type: SWITCHING
Status: BACKUP
Activeness Priority: 200
Hold Timer: 1
Services: [ IPSEC ]
Process Packet In Backup State: NO
Control Plane State: NOT READY
System Integrity Check: COMPLETE
Peer Information:
Failure Events: NONE
Peer Id: 2
Last Advertised HA Status: ACTIVE
Last Advertised Health Status: HEALTHY
Failover Readiness: N/A
.............
Vous pouvez vérifier le mappage des SG et de la liste de préfixes IP à l’aide de la commande suivante :
user@host> show chassis high-availability prefix-srgid-table
IP SRGID Table:
SRGID IP Prefix Routing Table
1 10.11.0.1/32 rt-vr
1 10.19.0.1/32 rt-vr
1 10.20.0.1/32 rt-vr
2 10.11.1.1/32 rt-vr
2 10.19.1.1/32 rt-vr
2 10.20.1.1/32 rt-vr
Si vous ne configurez pas de liste de préfixes, vous recevrez le message d’avertissement suivant :
user@host> show chassis high-availability prefix-srgid-table
Warning: prefix list not configured
Voir l’exemple : Configurer le VPN IPSec en haute disponibilité multinode active-active dans un réseau de couche 3 pour plus de détails.
Prise en charge du protocole de routage dynamique pour VPN IPsec
À partir de la version 23.2R1 de Junos OS, vous pouvez activer des protocoles de routage dynamiques pour vpn IPsec dans une configuration haute disponibilité multinode à l’aide de tunnels locaux de nœud. Les routes ajoutées par les protocoles de routage dynamique restent locales sur un nœud. Ces routes ne sont liées à aucun groupe de redondance de services (SRG).
Dans les versions précédentes, la haute disponibilité multinode ne prend en charge que le déploiement de sélecteurs de trafic. Autrement dit, lorsque vous configurez un VPN IPsec à l’aide de sélecteurs de trafic, la configuration installe des routes en tenant compte de la valeur de préférence et de la métrique de routage basée sur les préfixes de sélecteur de trafic.
Lorsque vous configurez des tunnels locaux de nœud, vous disposez de tunnels distincts d’un équipement d’appairage VPN vers les deux nœuds de la configuration de haute disponibilité multinode. Autrement dit, vous disposez d’un tunnel local vers chacun des deux nœuds multinode haute disponibilité.
La figure 3, la figure 4 et la figure 5 illustrent un déploiement VPN IPsec haute disponibilité multinode avec des tunnels synchronisés, des tunnels locaux de nœud et une combinaison de tunnels synchronisés et de tunnels locaux de nœud, respectivement.
synchronisés
La figure précédente montre un tunnel VPN IPsec entre un équipement homologue et une configuration haute disponibilité multinode. Le tunnel VPN IPsec s’ancre au niveau d’un SRG1+ actif. Le tunnel reste actif lorsque le SRG1+ associé est actif. Dans ce déploiement, le trafic passe par le tunnel actif (tunnel 1).
local de nœud
Dans la figure précédente, vous disposez de deux tunnels nœud-local entre l’équipement vpn homologue et la configuration de haute disponibilité multinode. Chaque tunnel se connecte à l’un des deux nœuds de la configuration. Ces tunnels ne sont associés à aucun SRG1+. L’un ou les deux tunnels peuvent rester actifs à tout instant. En fonction du protocole de routage configuré, le trafic passe à tout moment par tunnel 2 ou par tunnel 3.
La figure précédente montre un tunnel VPN IPsec entre un équipement VPN homologue VPN et une configuration haute disponibilité multinode. En outre, la figure montre deux tunnels locaux de nœud entre l’équipement homologue VPN et la configuration de la haute disponibilité multinode.
Le tunnel VPN IPsec s’ancre au niveau d’un SRG1+ actif et reste actif lorsque le SRG1+ associé est actif. Dans le cas de tunnels locaux de nœud, les deux tunnels restent actifs.
Le tableau 3 montre la différence entre node-local les tunnels et les tunnels synchronisés.
| Fonctions | Tunnelssynchronisés | nœud-local | tunnels
|---|---|---|
| Association avec SRG1+ | Non | Oui |
| Synchronisation des informations de tunnel entre les nœuds de haute disponibilité multinode | Non | Oui |
| Nombre de tunnels actifs | Deux | Un |
Marquer un tunnel VPN IPsec comme tunnel local de nœud
Vous pouvez configurer un tunnel VPN IPsec comme node-local sur un pare-feu SRX Series à l’aide de l’instruction suivante :
[edit] user@host# set security ike gateway gateway-name node-local
Assurez-vous de configurer l’option node-local pour les deux nœuds dans une configuration de haute disponibilité multinode.
Assurez-vous de définir une préférence pour un tunnel lorsque vous configurez la stratégie de routage.