SUR CETTE PAGE
Exemple : Configurer la haute disponibilité de plusieurs nœuds dans un déploiement de passerelle par défaut
Dans cet exemple, vous allez établir une haute disponibilité multinœud entre les pare-feu SRX Series dans un déploiement de passerelle par défaut (réseau de couche 2).
Aperçu
Dans le cadre de la haute disponibilité multi-nœuds, les pare-feu SRX Series participants fonctionnent comme des nœuds indépendants dans un réseau de couche 2. Une liaison d’interchâssis logique (ICL) chiffrée relie les nœuds sur un réseau routé. Les nœuds participants se sauvegardent mutuellement pour assurer un basculement rapide et synchronisé en cas de défaillance du système ou du matériel.
Dans la haute disponibilité multinœud, l’activité est déterminée au niveau du groupe de redondance des services (SRG). Le pare-feu SRX Series, sur lequel le SRG1 est actif, héberge l’adresse IP flottante et dirige le trafic vers celle-ci à l’aide de l’adresse IP flottante. Lors d’un basculement, l’adresse IP flottante se déplace de l’ancien nœud actif vers le nouveau nœud actif et continue la communication avec les périphériques clients.
À partir de la version 22.3R1 de Junos OS, nous prenons en charge une configuration à deux nœuds dans la solution de haute disponibilité multinœud.
Commençons par un aperçu de la topologie que vous allez utiliser dans cet exemple.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
-
Deux pare-feu SRX Series ou des instances de pare-feu virtuel vSRX
-
Deux commutateurs Ethernet EX9214 de Juniper Networks
-
Junos OS version 22.3R1
Topologie
La figure 1 illustre la topologie utilisée dans cet exemple.
de la passerelle par défaut
Comme le montre la topologie, deux pare-feu SRX Series sont connectés à des commutateurs du côté de la confiance et du côté de la non-confiance. Une liaison d’interchâssis logique (ICL) chiffrée relie les nœuds sur un réseau routé. Les nœuds communiquent entre eux à l’aide d’une adresse IP routable (adresse IP flottante) sur le réseau. Des interfaces de bouclage sont utilisées pour héberger les adresses IP sur les pare-feu SRX Series.
En général, vous pouvez utiliser un port Ethernet agrégé (AE) ou un port Ethernet payant sur les pare-feu SRX Series pour configurer une connexion ICL. Dans cet exemple, nous avons utilisé des ports GE pour la ICL. Nous avons également configuré une instance de routage pour le chemin ICL afin d'assurer une segmentation maximale.
Dans un déploiement haute disponibilité typique, vous disposez de plusieurs routeurs et commutateurs sur les côtés nord et sud du réseau. Dans cet exemple, nous utilisons deux commutateurs de part et d’autre des pare-feu SRX Series.
Dans cet exemple, vous utilisez des routes statiques sur SRX-1 et SRX-2 et publiez ces routes dans BGP afin d’ajouter la mesure permettant de déterminer quel pare-feu SRX Series se trouve dans le chemin préféré. Vous pouvez également utiliser des réflecteurs de route sur le pare-feu SRX Series pour annoncer les routes apprises via BGP et configurer la stratégie de routage en conséquence pour qu’elle corresponde à BGP.
Vous allez effectuer les tâches suivantes pour créer une configuration de haute disponibilité multinœud :
- Configurez une paire de pare-feu SRX Series en tant que nœuds locaux et homologues en leur attribuant des identifiants.
- Configurez des groupes de redondance des services (SRG).
- Configurez les adresses IP virtuelles pour la détermination de l’activité et l’application.
- Configurez un profil VPN pour le trafic haute disponibilité (ICL) à l’aide d’IKEv2.
- Configurez les politiques de sécurité appropriées pour gérer le trafic sur votre réseau.
-
Configurez le filtrage et la qualité de service (QoS) du pare-feu sans état en fonction des exigences de votre réseau.
-
Configurez les interfaces et les zones en fonction des besoins de votre réseau. Vous devez autoriser des services tels que IKE pour le chiffrement des liaisons et SSH pour la synchronisation de la configuration en tant que services système entrants de l’hôte sur la zone de sécurité associée à la liste de contrôle ICL.
Vous pouvez configurer les options suivantes sur SRG0 et SRG1 :
-
SRG1 : Route du signal actif/de secours, type de déploiement, priorité d’activité, préemption, adresse IP virtuelle (pour les déploiements de passerelle par défaut), test d’activité et paquet de processus sur la sauvegarde.
-
SRG1 : options de surveillance BFD, de surveillance IP et de surveillance d’interface sur SRG1.
-
SRG0 : options d’arrêt en cas d’échec et d’installation en cas d’échec.
Lorsque vous configurez les options de surveillance (BFD ou IP ou Interface) sous SRG1, nous vous recommandons de ne pas configurer l’option d’arrêt en cas de panne sous SRG0.
Pour la liaison interchâssis (ICL), nous recommandons les paramètres de configuration suivants :
- Utilisez une interface de bouclage (lo0) à l’aide d’une interface Ethernet agrégée (ae0) ou de toute interface Ethernet payante pour établir l’ICL. N’utilisez pas les ports HA dédiés (ports de contrôle et de structure) lorsqu’ils sont disponibles sur votre pare-feu SRX Series).
- Définir MTU de 1514
- Autoriser les services suivants sur la zone de sécurité associée aux interfaces utilisées pour ICL
-
IKE, haute disponibilité, SSH
-
Les protocoles dépendent des protocoles de routage dont vous avez besoin
-
BFD pour surveiller les routes voisines
-
Configuration
Avant de commencer
Le package IKE Junos est requis sur vos pare-feu SRX Series pour la configuration de la haute disponibilité multinœud. Ce pack est disponible en pack par défaut ou en option sur les pare-feu SRX Series. Pour plus d’informations, reportez-vous à la section Prise en charge du package IKE Junos .
Si le package n’est pas installé par défaut sur votre pare-feu SRX Series, utilisez la commande suivante pour l’installer. Vous avez besoin de cette étape pour le chiffrement ICL.
user@host> request system software add optional://junos-ike.tgz Verified junos-ike signed by PackageProductionECP256_2022 method ECDSA256+SHA256 Rebuilding schema and Activating configuration... mgd: commit complete Restarting MGD ... WARNING: cli has been replaced by an updated version: CLI release 20220208.163814_builder.r1239105 built by builder on 2022-02-08 17:07:55 UTC Restart cli using the new version ? [yes,no] (yes)
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
Sur l’équipement SRX-1
set chassis high-availability local-id 1 set chassis high-availability local-id local-ip 10.22.0.1 set chassis high-availability peer-id 2 peer-ip 10.22.0.2 set chassis high-availability peer-id 2 interface ge-0/0/2.0 set chassis high-availability peer-id 2 vpn-profile IPSEC_VPN_ICL set chassis high-availability peer-id 2 liveness-detection minimum-interval 400 set chassis high-availability peer-id 2 liveness-detection multiplier 5 set chassis high-availability services-redundancy-group 0 peer-id 2 set chassis high-availability services-redundancy-group 1 deployment-type switching set chassis high-availability services-redundancy-group 1 peer-id 2 set chassis high-availability services-redundancy-group 1 virtual-ip 1 ip 10.1.0.200/16 set chassis high-availability services-redundancy-group 1 virtual-ip 1 interface ge-0/0/3.0 set chassis high-availability services-redundancy-group 1 virtual-ip 1 use-virtual-mac set chassis high-availability services-redundancy-group 1 virtual-ip 2 ip 10.2.0.200/16 set chassis high-availability services-redundancy-group 1 virtual-ip 2 interface ge-0/0/4.0 set chassis high-availability services-redundancy-group 1 virtual-ip 2 use-virtual-mac set chassis high-availability services-redundancy-group 1 monitor interface ge-0/0/3 set chassis high-availability services-redundancy-group 1 monitor interface ge-0/0/4 set chassis high-availability services-redundancy-group 1 preemption set chassis high-availability services-redundancy-group 1 activeness-priority 200 set security ike proposal MNHA_IKE_PROP description mnha_link_encr_tunnel set security ike proposal MNHA_IKE_PROP authentication-method pre-shared-keys set security ike proposal MNHA_IKE_PROP dh-group group14 set security ike proposal MNHA_IKE_PROP authentication-algorithm sha-256 set security ike proposal MNHA_IKE_PROP encryption-algorithm aes-256-cbc set security ike proposal MNHA_IKE_PROP lifetime-seconds 3600 set security ike policy MNHA_IKE_POL description mnha_link_encr_tunnel set security ike policy MNHA_IKE_POL proposals MNHA_IKE_PROP set security ike policy MNHA_IKE_POL pre-shared-key ascii-text "$ABC123" set security ike gateway MNHA_IKE_GW ike-policy MNHA_IKE_POL set security ike gateway MNHA_IKE_GW version v2-only set security ipsec proposal MNHA_IPSEC_PROP description mnha_link_encr_tunnel set security ipsec proposal MNHA_IPSEC_PROP protocol esp set security ipsec proposal MNHA_IPSEC_PROP encryption-algorithm aes-256-gcm set security ipsec proposal MNHA_IPSEC_PROP lifetime-seconds 3600 set security ipsec policy MNHA_IPSEC_POL description mnha_link_encr_tunnel set security ipsec policy MNHA_IPSEC_POL proposals MNHA_IPSEC_PROP set security ipsec vpn IPSEC_VPN_ICL ha-link-encryption set security ipsec vpn IPSEC_VPN_ICL ike gateway MNHA_IKE_GW set security ipsec vpn IPSEC_VPN_ICL ike ipsec-policy MNHA_IPSEC_POL set interfaces ge-0/0/3 description "trust" unit 0 family inet address 10.1.0.1/16 set interfaces ge-0/0/4 description "untrust" unit 0 family inet address 10.2.0.1/16 set interfaces ge-0/0/2 description "ha_link" unit 0 family inet address 10.22.0.1/24 set interfaces lo0 description "untrust" unit 0 family inet address 10.11.0.1/32 set routing-options autonomous-system 65000 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust host-inbound-traffic protocols bfd set security zones security-zone untrust host-inbound-traffic protocols bgp set security zones security-zone untrust interfaces ge-0/0/4 set security zones security-zone untrust interfaces lo0.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/3 set security zones security-zone halink host-inbound-traffic system-services ike set security zones security-zone halink host-inbound-traffic system-services ping set security zones security-zone halink host-inbound-traffic system-services high-availability set security zones security-zone halink host-inbound-traffic system-services ssh set security zones security-zone halink host-inbound-traffic protocols bfd set security zones security-zone halink host-inbound-traffic protocols bgp set security zones security-zone halink interfaces ge-0/0/2 set security policies default-policy permit-all set system services netconf ssh
Sur l’équipement SRX-2
set chassis high-availability local-id 2 set chassis high-availability local-id local-ip 10.22.0.2 set chassis high-availability peer-id 1 peer-ip 10.22.0.1 set chassis high-availability peer-id 1 interface ge-0/0/2.0 set chassis high-availability peer-id 1 vpn-profile IPSEC_VPN_ICL set chassis high-availability peer-id 1 liveness-detection minimum-interval 400 set chassis high-availability peer-id 1 liveness-detection multiplier 5 set chassis high-availability services-redundancy-group 0 peer-id 1 set chassis high-availability services-redundancy-group 1 deployment-type switching set chassis high-availability services-redundancy-group 1 peer-id 1 set chassis high-availability services-redundancy-group 1 virtual-ip 1 ip 10.1.0.200/16 set chassis high-availability services-redundancy-group 1 virtual-ip 1 interface ge-0/0/3.0 set chassis high-availability services-redundancy-group 1 virtual-ip 2 ip 10.2.0.200/16 set chassis high-availability services-redundancy-group 1 virtual-ip 2 interface ge-0/0/4.0 set chassis high-availability services-redundancy-group 1 monitor interface ge-0/0/3 set chassis high-availability services-redundancy-group 1 monitor interface ge-0/0/4 set chassis high-availability services-redundancy-group 1 activeness-priority 1 set security ike proposal MNHA_IKE_PROP description mnha_link_encr_tunnel set security ike proposal MNHA_IKE_PROP authentication-method pre-shared-keys set security ike proposal MNHA_IKE_PROP dh-group group14 set security ike proposal MNHA_IKE_PROP authentication-algorithm sha-256 set security ike proposal MNHA_IKE_PROP encryption-algorithm aes-256-cbc set security ike proposal MNHA_IKE_PROP lifetime-seconds 3600 set security ike policy MNHA_IKE_POL description mnha_link_encr_tunnel set security ike policy MNHA_IKE_POL proposals MNHA_IKE_PROP set security ike policy MNHA_IKE_POL pre-shared-key ascii-text "$ABC123" set security ike gateway MNHA_IKE_GW ike-policy MNHA_IKE_POL set security ike gateway MNHA_IKE_GW version v2-only set security ipsec proposal MNHA_IPSEC_PROP description mnha_link_encr_tunnel set security ipsec proposal MNHA_IPSEC_PROP protocol esp set security ipsec proposal MNHA_IPSEC_PROP encryption-algorithm aes-256-gcm set security ipsec proposal MNHA_IPSEC_PROP lifetime-seconds 3600 set security ipsec policy MNHA_IPSEC_POL description mnha_link_encr_tunnel set security ipsec policy MNHA_IPSEC_POL proposals MNHA_IPSEC_PROP set security ipsec vpn IPSEC_VPN_ICL ha-link-encryption set security ipsec vpn IPSEC_VPN_ICL ike gateway MNHA_IKE_GW set security ipsec vpn IPSEC_VPN_ICL ike ipsec-policy MNHA_IPSEC_POL set interfaces ge-0/0/3 description "trust" unit 0 family inet address 10.1.0.2/16 set interfaces ge-0/0/4 description "untrust" unit 0 family inet address 10.2.0.2/16 set interfaces ge-0/0/2 description "ha_link" unit 0 family inet address 10.22.0.2/24 set interfaces lo0 description "untrust" unit 0 family inet address 10.11.0.1/32 set routing-options autonomous-system 65000 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust host-inbound-traffic protocols bfd set security zones security-zone untrust host-inbound-traffic protocols bgp set security zones security-zone untrust interfaces ge-0/0/4 set security zones security-zone untrust interfaces lo0.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/3 set security zones security-zone halink host-inbound-traffic system-services ike set security zones security-zone halink host-inbound-traffic system-services ping set security zones security-zone halink host-inbound-traffic system-services high-availability set security zones security-zone halink host-inbound-traffic system-services ssh set security zones security-zone halink host-inbound-traffic protocols bfd set security zones security-zone halink host-inbound-traffic protocols bgp set security zones security-zone halink interfaces ge-0/0/2 set security policies default-policy permit-all set system services netconf ssh
Les sections suivantes présentent des extraits de configuration sur les commutateurs requis pour configurer la haute disponibilité multinœud dans le réseau.
Sur commutateur (Commutateur Ethernet EX9214)
set interfaces ge-0/0/2 description lan set interfaces ge-0/0/2 mtu 9192 set interfaces ge-0/0/2 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members lan set interfaces ge-0/0/0 mtu 9192 set interfaces ge-0/0/0 description lan unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members lan set interfaces ge-0/0/1 mtu 9192 set interfaces ge-0/0/1 description lan unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members lan set vlans lan vlan-id 1001
Sur commutateur (Commutateur Ethernet EX9214)
set interfaces ge-0/0/2 description lan set interfaces ge-0/0/2 mtu 9192 set interfaces ge-0/0/2 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members lan set interfaces ge-0/0/0 mtu 9192 set interfaces ge-0/0/0 description lan unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members lan set interfaces ge-0/0/1 mtu 9192 set interfaces ge-0/0/1 description lan unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members lan set vlans lan vlan-id 1001
Configuration
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de l’interface de ligne de commande.
-
Configurez les interfaces.
[edit] user@host# set interfaces ge-0/0/3 description "trust" unit 0 family inet address 10.1.0.1/16 user@host# set interfaces ge-0/0/4 description "untrust" unit 0 family inet address 10.2.0.1/16 user@host# set interfaces ge-0/0/2 description "ha_link" unit 0 family inet address 10.22.0.1/24
Nous utilisons les interfaces ge-0/0/3 et ge-0/0/4 pour la connexion aux commutateurs, et l'interface ge-0/0/2 pour ICL.
-
Configurez l’interface de bouclage.
[edit] user@host# set interfaces lo0 description "untrust" unit 0 family inet address 10.11.0.1/32
Attribuez l’adresse IP (10.11.0.1) à l’interface de bouclage. Cette adresse IP fait office d’adresse IP flottante.
L’utilisation de l’interface de bouclage garantit qu’à tout moment, le trafic des périphériques adjacents sera dirigé vers l’adresse IP flottante (c’est-à-dire vers le nœud actif).
- Configurez la stratégie de sécurité.
[edit] user@host# set security policies default-policy permit-all
Assurez-vous d’avoir configuré les politiques de sécurité en fonction des exigences de votre réseau. Dans cet exemple, vous allez configurer une stratégie pour autoriser l'ensemble du trafic.
-
Configurez les zones de sécurité, attribuez des interfaces aux zones et spécifiez les services système autorisés pour les zones de sécurité.
[edit] user@host# set security zones security-zone untrust host-inbound-traffic system-services ike user@host# set security zones security-zone untrust host-inbound-traffic system-services ping user@host# set security zones security-zone untrust host-inbound-traffic protocols bfd user@host# set security zones security-zone untrust host-inbound-traffic protocols bgp user@host# set security zones security-zone untrust interfaces ge-0/0/4 user@host# set security zones security-zone untrust interfaces lo0.0 user@host# set security zones security-zone trust host-inbound-traffic system-services all user@host# set security zones security-zone trust host-inbound-traffic protocols all user@host# set security zones security-zone trust interfaces ge-0/0/3 user@host# set security zones security-zone halink host-inbound-traffic system-services ike user@host# set security zones security-zone halink host-inbound-traffic system-services ping user@host# set security zones security-zone halink host-inbound-traffic system-services high-availability user@host# set security zones security-zone halink host-inbound-traffic system-services ssh user@host# set security zones security-zone halink host-inbound-traffic protocols bfd user@host# set security zones security-zone halink host-inbound-traffic protocols bgp user@host# set security zones security-zone halink interfaces ge-0/0/2
Affectez les interfaces ge-0/0/3 et ge-0/0/4 respectivement aux zones de confiance et de non-confiance. Attribuez l’interface lo0.0 à la zone untrust pour qu’elle se connecte via le réseau IP public. Affectez l’interface ge-0/0/2 à la zone halink. Cette zone vous permet de configurer l’ICL.
-
Configurez les options de routage.
[edit] user@host# set routing-options autonomous-system 65000
-
Configurez les détails du nœud local et du nœud pair, tels que l’ID du nœud, les adresses lP du nœud local et du nœud pair, ainsi que l’interface du nœud pair.
[edit] user@host# set chassis high-availability local-id 1 user@host# set chassis high-availability local-id local-ip 10.22.0.1 user@host# set chassis high-availability peer-id 2 peer-ip 10.22.0.2 user@host# set chassis high-availability peer-id 2 interface ge-0/0/2.0
Vous allez utiliser l'interface ge-0/0/2 pour communiquer avec le nœud homologue à l'aide de l'ICL.
-
Attachez le profil VPN IPsec IPSEC_VPN_ICL au nœud homologue.
[edit] user@host# set chassis high-availability peer-id 2 vpn-profile IPSEC_VPN_ICL
Cette configuration est nécessaire pour établir une liaison ICL sécurisée entre les nœuds.
-
Configurez les options de protocole de détection de transfert bidirectionnel (BFD) pour le nœud homologue.
[edit] user@host# set chassis high-availability peer-id 2 liveness-detection minimum-interval 400 user@host# set chassis high-availability peer-id 2 liveness-detection multiplier 5
-
Associez l’ID de nœud homologue 2 au groupe de redondance de services 0 (SRG0).
[edit] user@host# set chassis high-availability services-redundancy-group 0 peer-id 2
-
Configurez le groupe de redondance des services 1 (SRG1).
[edit] user@host# set chassis high-availability services-redundancy-group 1 deployment-type switching user@host# set chassis high-availability services-redundancy-group 1 peer-id 2 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 1 ip 10.1.0.200/16 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 1 interface ge-0/0/3.0 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 1 use-virtual-mac user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 2 ip 10.2.0.200/16 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 2 interface ge-0/0/4.0 user@host# set chassis high-availability services-redundancy-group 1 virtual-ip 2 use-virtual-mac
Attribuez une adresse IP virtuelle (VIP) et une interface pour SRG1.
Note: La configuration de l’optionuse-virtual-macest recommandée dans la plupart des cas, sauf dans les cas où l’infrastructure environnante ne prend pas en charge une adresse MAC virtuelle mobile active sur un port en plus de l’adresse MAC locale. -
Configurez les paramètres de surveillance IP et BFD pour SRG1 afin de vérifier l’accessibilité d’une adresse IP et de détecter les défaillances du réseau.
[edit] user@host# set chassis high-availability services-redundancy-group 1 monitor interface ge-0/0/3 user@host# set chassis high-availability services-redundancy-group 1 monitor interface ge-0/0/4 user@host# set chassis high-availability services-redundancy-group 1 preemption
-
Configurez un itinéraire de signal actif requis pour l’application de l’activité.
[edit] user@host# set chassis high-availability services-redundancy-group 1 activeness-priority 200
L’adresse IP de la route de signal active que vous attribuez est utilisée pour l’annonce des préférences de route. Vous devez spécifier l’itinéraire du signal actif ainsi que la
route-existsstratégie dans l’instructionpolicy-options. -
Définissez la configuration IKE (Internet Key Exchange) pour la haute disponibilité multinœud. Une configuration IKE définit les algorithmes et les clés utilisés pour établir une connexion sécurisée.
[edit] user@host# set security ike proposal MNHA_IKE_PROP description mnha_link_encr_tunnel user@host# set security ike proposal MNHA_IKE_PROP authentication-method pre-shared-keys user@host# set security ike proposal MNHA_IKE_PROP dh-group group14 user@host# set security ike proposal MNHA_IKE_PROP authentication-algorithm sha-256 user@host# set security ike proposal MNHA_IKE_PROP encryption-algorithm aes-256-cbc user@host# set security ike proposal MNHA_IKE_PROP lifetime-seconds 3600 user@host# set security ike policy MNHA_IKE_POL description mnha_link_encr_tunnel user@host# set security ike policy MNHA_IKE_POL proposals MNHA_IKE_PROP user@host# set security ike policy MNHA_IKE_POL pre-shared-key ascii-text "$ABC123" user@host# set security ike gateway MNHA_IKE_GW ike-policy MNHA_IKE_POL user@host# set security ike gateway MNHA_IKE_GW version v2-only
Pour la fonctionnalité de haute disponibilité multinœud, vous devez configurer la version IKE en tant que
v2-only -
Spécifiez le protocole de proposition IPsec et l’algorithme de chiffrement. Spécifiez les options IPsec pour créer un tunnel IPsec entre deux équipements participants afin de sécuriser la communication VPN.
[edit] user@host# set security ipsec proposal MNHA_IPSEC_PROP description mnha_link_encr_tunnel user@host# set security ipsec proposal MNHA_IPSEC_PROP protocol esp user@host# set security ipsec proposal MNHA_IPSEC_PROP encryption-algorithm aes-256-gcm user@host# set security ipsec proposal MNHA_IPSEC_PROP lifetime-seconds 3600 user@host# set security ipsec policy MNHA_IPSEC_POL description mnha_link_encr_tunnel user@host# set security ipsec policy MNHA_IPSEC_POL proposals MNHA_IPSEC_PROP user@host# set security ipsec vpn IPSEC_VPN_ICL ha-link-encryption user@host# set security ipsec vpn IPSEC_VPN_ICL ike gateway MNHA_IKE_GW user@host# set security ipsec vpn IPSEC_VPN_ICL ike ipsec-policy MNHA_IPSEC_POL
La spécification de l’option
ha-link-encryptionchiffre l’ICL pour sécuriser le flux de trafic haute disponibilité entre les nœuds.Le même nom de VPN IPSEC_VPN_ICL doit être mentionné vpn_profile dans la configuration de la haute disponibilité du châssis.
Options de configuration pour les mises à niveau logicielles
Dans la haute disponibilité multinœud, lors de la mise à niveau logicielle, vous pouvez rediriger le trafic en fermant les interfaces sur le nœud. Ici, le trafic ne peut pas passer par les nœuds. Pour plus d’informations, consultez Mise à niveau logicielle en haute disponibilité multinœud .
- Configurez toutes les interfaces de trafic sous l’option « shutdown-on-failure ».
user@srx-02# set chassis high-availability services-redundancy-group 0 shutdown-on-failure <interface-name>
[edit] user@srx-02# set chassis high-availability services-redundancy-group 0 shutdown-on-failure ge-0/0/3 user@srx-02# set chassis high-availability services-redundancy-group 0 shutdown-on-failure ge-0/0/4
PRUDENCE:N’utilisez pas les interfaces affectées à la liaison interchâssis (ICL).
Résultats (SRX-1)
À partir du mode configuration, confirmez votre configuration en entrant les commandes suivantes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show chassis high-availability
local-id 1 local-ip 10.22.0.1;
peer-id 2 {
peer-ip 10.22.0.2;
interface ge-0/0/2.0;
vpn-profile IPSEC_VPN_ICL;
liveness-detection {
minimum-interval 400;
multiplier 5;
}
}
services-redundancy-group 0 {
peer-id {
2;
}
}
services-redundancy-group 1 {
deployment-type switching;
peer-id {
2;
}
virtual-ip 1 {
ip 10.1.0.200/16;
interface ge-0/0/3.0;
use-virtual-mac;
}
virtual-ip 2 {
ip 10.2.0.200/16;
interface ge-0/0/4.0;
use-virtual-mac;
}
monitor {
interface {
ge-0/0/3;
ge-0/0/4;
}
}
preemption;
activeness-priority 200;
}
[edit]
user@host# show security ike
proposal MNHA_IKE_PROP {
description mnha_link_encr_tunnel;
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
lifetime-seconds 3600;
}
policy MNHA_IKE_POL {
description mnha_link_encr_tunnel;
proposals MNHA_IKE_PROP ;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway MNHA_IKE_GW {
ike-policy MNHA_IKE_POL ;
version v2-only;
}
[edit]
user@host# show security ipsec
proposal MNHA_IPSEC_PROP {
description mnha_link_encr_tunnel;
protocol esp;
encryption-algorithm aes-256-gcm;
lifetime-seconds 3600;
}
policy MNHA_IPSEC_POL {
description mnha_link_encr_tunnel;
proposals MNHA_IPSEC_PROP;
}
vpn IPSEC_VPN_ICL {
ha-link-encryption;
ike {
gateway MNHA_IKE_GW;
ipsec-policy MNHA_IPSEC_POL;
}
}
[edit] user@host# show routing-options autonomous-system 65000;
[edit]
user@host# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
ping;
}
protocols {
bfd;
bgp;
}
}
interfaces {
ge-0/0/4.0;
lo0.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/3.0;
}
}
security-zone halink {
host-inbound-traffic {
system-services {
ike;
ping;
high-availability;
ssh;
}
protocols {
bfd;
bgp;
}
}
interfaces {
ge-0/0/2.0;
}
}
[edit]
user@host# show interfaces
ge-0/0/2 {
description ha_link;
unit 0 {
family inet {
address 10.22.0.1/24;
}
}
}
ge-0/0/3 {
description trust;
unit 0 {
family inet {
address 10.1.0.1/16;
}
}
}
ge-0/0/4 {
description untrust;
unit 0 {
family inet {
address 10.2.0.1/16;
}
}
}
lo0 {
description untrust;
unit 0 {
family inet {
address 10.11.0.1/32;
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Résultats (SRX-2)
À partir du mode configuration, confirmez votre configuration en entrant les commandes suivantes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show chassis high-availability
local-id 2 local-ip 10.22.0.2;
peer-id 1 {
peer-ip 10.22.0.1;
interface ge-0/0/2.0;
vpn-profile IPSEC_VPN_ICL;
liveness-detection {
minimum-interval 400;
multiplier 5;
}
}
services-redundancy-group 0 {
peer-id {
1;
}
}
services-redundancy-group 1 {
deployment-type switching;
peer-id {
1;
}
virtual-ip 1 {
ip 10.1.0.200/16;
interface ge-0/0/3.0;
}
virtual-ip 2 {
ip 10.2.0.200/16;
interface ge-0/0/4.0;
}
monitor {
interface {
ge-0/0/3;
ge-0/0/4;
}
}
activeness-priority 1;
}
[edit]
user@host# show security ike
proposal MNHA_IKE_PROP {
description mnha_link_encr_tunnel;
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
lifetime-seconds 3600;
}
policy MNHA_IKE_POL {
description mnha_link_encr_tunnel;
proposals MNHA_IKE_PROP ;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway MNHA_IKE_GW {
ike-policy MNHA_IKE_POL ;
version v2-only;
}
[edit]
user@host# show security ipsec
proposal MNHA_IPSEC_PROP {
description mnha_link_encr_tunnel;
protocol esp;
encryption-algorithm aes-256-gcm;
lifetime-seconds 3600;
}
policy MNHA_IPSEC_POL {
description mnha_link_encr_tunnel;
proposals MNHA_IPSEC_PROP;
}
vpn IPSEC_VPN_ICL {
ha-link-encryption;
ike {
gateway MNHA_IKE_GW;
ipsec-policy MNHA_IPSEC_POL;
}
}
[edit] user@host# show routing-options autonomous-system 65000;
[edit]
user@host# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
ping;
}
protocols {
bfd;
bgp;
}
}
interfaces {
ge-0/0/4.0;
lo0.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/3.0;
}
}
security-zone halink {
host-inbound-traffic {
system-services {
ike;
ping;
high-availability;
ssh;
}
protocols {
bfd;
bgp;
}
}
interfaces {
ge-0/0/2.0;
}
}
[edit]
user@host# show interfaces
ge-0/0/2 {
description ha_link;
unit 0 {
family inet {
address 10.22.0.2/24;
}
}
}
ge-0/0/3 {
description trust;
unit 0 {
family inet {
address 10.1.0.2/16;
}
}
}
ge-0/0/4 {
description untrust;
unit 0 {
family inet {
address 10.2.0.2/16;
}
}
}
lo0 {
description untrust;
unit 0 {
family inet {
address 10.11.0.1/32;
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
user@host# commit warning: High Availability Mode changed, please reboot the device to avoid undesirable behavior commit complete
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérifier les détails de la haute disponibilité multinœud
- Vérifier l’état du noeud homologue multinoeud haute disponibilité
- Vérifier les groupes de redondance des services de haute disponibilité multinœuds
- Vérifier l’état de haute disponibilité de plusieurs nœuds avant et après le basculement
- Vérifier l’état du chiffrement ICL (Interchassis Link)
- Vérifier les statistiques du tunnel de chiffrement de liens
Vérifier les détails de la haute disponibilité multinœud
But
Affichez et vérifiez les détails de la configuration de la haute disponibilité multinœud configurée sur votre équipement de sécurité.
Action
À partir du mode opérationnel, exécutez la commande suivante :
Sur SRX-1
user@host> show chassis high-availability information
Node failure codes:
HW Hardware monitoring LB Loopback monitoring
MB Mbuf monitoring SP SPU monitoring
CS Cold Sync monitoring SU Software Upgrade
Node Status: ONLINE
Local-id: 1
Local-IP: 10.22.0.1
HA Peer Information:
Peer Id: 2 IP address: 10.22.0.2 Interface: ge-0/0/2.0
Routing Instance: default
Encrypted: YES Conn State: UP
Cold Sync Status: COMPLETE
Services Redundancy Group: 0
Current State: ONLINE
Peer Information:
Peer Id: 2
SRG failure event codes:
BF BFD monitoring
IP IP monitoring
IF Interface monitoring
CP Control Plane monitoring
Services Redundancy Group: 1
Deployment Type: SWITCHING
Status: ACTIVE
Activeness Priority: 200
Preemption: ENABLED
Process Packet In Backup State: NO
Control Plane State: READY
System Integrity Check: N/A
Failure Events: NONE
Peer Information:
Peer Id: 2
Status : BACKUP
Health Status: HEALTHY
Failover Readiness: READY
Sur SRX-2
user@host> show chassis high-availability information
Node failure codes:
HW Hardware monitoring LB Loopback monitoring
MB Mbuf monitoring SP SPU monitoring
CS Cold Sync monitoring SU Software Upgrade
Node Status: ONLINE
Local-id: 2
Local-IP: 10.22.0.2
HA Peer Information:
Peer Id: 1 IP address: 10.22.0.1 Interface: ge-0/0/2.0
Routing Instance: default
Encrypted: YES Conn State: UP
Cold Sync Status: COMPLETE
Services Redundancy Group: 0
Current State: ONLINE
Peer Information:
Peer Id: 1
SRG failure event codes:
BF BFD monitoring
IP IP monitoring
IF Interface monitoring
CP Control Plane monitoring
Services Redundancy Group: 1
Deployment Type: SWITCHING
Status: BACKUP
Activeness Priority: 1
Preemption: DISABLED
Process Packet In Backup State: NO
Control Plane State: READY
System Integrity Check: COMPLETE
Failure Events: NONE
Peer Information:
Peer Id: 1
Status : ACTIVE
Health Status: HEALTHY
Failover Readiness: N/A
Signification
Vérifiez ces détails à partir de la sortie de la commande :
-
Détails du nœud local et du nœud pair, tels que l’adresse IP et l’ID.
-
Le champ
Encrypted: YESindique que le trafic est protégé. -
Le champ
Deployment Type: SWITCHINGindique une configuration en mode de passerelle (commutation) par défaut, c’est-à-dire que le réseau a des commutateurs connectés aux deux extrémités (réseau de couche 2). -
Le champ
Services Redundancy Group: 1indique l’état du SRG1 (ACTIVE ou BACKUP) sur ce nœud.
Vérifier l’état du noeud homologue multinoeud haute disponibilité
But
Affichez et vérifiez les détails du nœud homologue.
Action
À partir du mode opérationnel, exécutez la commande suivante :
Le SRX-1
user@host> show chassis high-availability peer-info
HA Peer Information:
Peer-ID: 2 IP address: 10.22.0.2 Interface: ge-0/0/2.0
Routing Instance: default
Encrypted: YES Conn State: UP
Cold Sync Status: COMPLETE
Internal Interface: st0.16000
Internal Local-IP: 180.100.1.1
Internal Peer-IP: 180.100.1.2
Internal Routing-instance: __juniper_private1__
Packet Statistics:
Receive Error : 0 Send Error : 0
Packet-type Sent Received
SRG Status Msg 3 4
SRG Status Ack 4 3
Attribute Msg 3 2
Attribute Ack 2 2
Le SRX-2
user@host> show chassis high-availability peer-info
HA Peer Information:
Peer-ID: 1 IP address: 10.22.0.1 Interface: ge-0/0/2.0
Routing Instance: default
Encrypted: YES Conn State: UP
Cold Sync Status: COMPLETE
Internal Interface: st0.16000
Internal Local-IP: 180.100.1.2
Internal Peer-IP: 180.100.1.1
Internal Routing-instance: __juniper_private1__
Packet Statistics:
Receive Error : 0 Send Error : 0
Packet-type Sent Received
SRG Status Msg 10 8
SRG Status Ack 8 8
Attribute Msg 8 4
Attribute Ack 4 4
Signification
Vérifiez ces détails à partir de la sortie de la commande :
-
Détails du nœud homologue tels que l’interface utilisée, l’adresse IP et l’ID.
-
État du chiffrement, de la connexion et de la synchronisation à froid
-
Statistiques de paquets sur l’ensemble du nœud.
Vérifier les groupes de redondance des services de haute disponibilité multinœuds
But
Vérifiez que les passerelles de sécurité sont configurées et fonctionnent correctement.
Action
À partir du mode opérationnel, exécutez la commande suivante :
Pour SRG0 :
user@host> show chassis high-availability services-redundancy-group 0
Services Redundancy Group: 0
Current State: ONLINE
Peer Information:
Peer Id: 2
Pour le SRG1 :
user@host> show chassis high-availability services-redundancy-group 1 >
SRG failure event codes:
BF BFD monitoring
IP IP monitoring
IF Interface monitoring
CP Control Plane monitoring
Services Redundancy Group: 1
Deployment Type: SWITCHING
Status: ACTIVE
Activeness Priority: 200
Preemption: ENABLED
Process Packet In Backup State: NO
Control Plane State: READY
System Integrity Check: N/A
Failure Events: NONE
Peer Information:
Peer Id: 2
Status : BACKUP
Health Status: HEALTHY
Failover Readiness: READY
Virtual IP Info:
Index: 2
IP: 10.2.0.200/16
VMAC: N/A
Interface: ge-0/0/4.0
Status: INSTALLED
Index: 1
IP: 10.1.0.200/16
VMAC: N/A
Interface: ge-0/0/3.0
Status: INSTALLED
Split-brain Prevention Probe Info:
DST-IP: 10.1.0.200
Routing Instance: default
Status: NOT RUNNING
Result: N/A Reason: N/A
Interface Monitoring:
Status: UP
IF Name: ge-0/0/4 State: Up
IF Name: ge-0/0/3 State: Up
Signification
Vérifiez ces détails à partir de la sortie de la commande :
-
Détails sur les nœuds homologues tels que le type de déploiement, l’état et les itinéraires des signaux actifs et de secours.
-
Informations sur l’adresse IP virtuelle telles que l’adresse IP et l’adresse MAC virtuelle.
-
État de surveillance IP et BFD.
Vérifier l’état de haute disponibilité de plusieurs nœuds avant et après le basculement
But
Vérifiez la modification de l’état du nœud avant et après le basculement dans une configuration de haute disponibilité multinœud.
Action
Pour vérifier l’état de haute disponibilité multinœud sur le nœud de sauvegarde (SRX-2), exécutez la commande suivante à partir du mode opérationnel :
user@host> show chassis high-availability information
Node failure codes:
HW Hardware monitoring LB Loopback monitoring
MB Mbuf monitoring SP SPU monitoring
CS Cold Sync monitoring SU Software Upgrade
Node Status: ONLINE
Local-id: 2
Local-IP: 10.22.0.2
HA Peer Information:
Peer Id: 1 IP address: 10.22.0.1 Interface: ge-0/0/2.0
Routing Instance: default
Encrypted: YES Conn State: UP
Cold Sync Status: COMPLETE
Services Redundancy Group: 0
Current State: ONLINE
Peer Information:
Peer Id: 1
SRG failure event codes:
BF BFD monitoring
IP IP monitoring
IF Interface monitoring
CP Control Plane monitoring
Services Redundancy Group: 1
Deployment Type: SWITCHING
Status: BACKUP
Activeness Priority: 1
Preemption: DISABLED
Process Packet In Backup State: NO
Control Plane State: READY
System Integrity Check: COMPLETE
Failure Events: NONE
Peer Information:
Peer Id: 1
Status : ACTIVE
Health Status: HEALTHY
Failover Readiness: N/A
Sous la Services Redundancy Group: 1 section, vous pouvez voir le Status: BACKUP champ. Cette valeur de champ indique que l’état du SRG 1 est sauvegarde.
Lancez le basculement sur le nœud actif (périphérique SRX-1) et exécutez à nouveau la commande sur le nœud de secours (SRX-2).
user@host> show chassis high-availability information
Node failure codes:
HW Hardware monitoring LB Loopback monitoring
MB Mbuf monitoring SP SPU monitoring
CS Cold Sync monitoring SU Software Upgrade
Node Status: ONLINE
Local-id: 2
Local-IP: 10.22.0.2
HA Peer Information:
Peer Id: 1 IP address: 10.22.0.1 Interface: ge-0/0/2.0
Routing Instance: default
Encrypted: YES Conn State: DOWN
Cold Sync Status: IN PROGRESS
Services Redundancy Group: 0
Current State: ONLINE
Peer Information:
Peer Id: 1
SRG failure event codes:
BF BFD monitoring
IP IP monitoring
IF Interface monitoring
CP Control Plane monitoring
Services Redundancy Group: 1
Deployment Type: SWITCHING
Status: ACTIVE
Activeness Priority: 1
Preemption: DISABLED
Process Packet In Backup State: NO
Control Plane State: READY
System Integrity Check: N/A
Failure Events: NONE
Peer Information:
Peer Id: 1
Status : BACKUP
Health Status: HEALTHY
Failover Readiness: READY
Notez que dans la Services Redundancy Group: 1 section, l’état de SRG1 est passé de BACKUP à ACTIVE.
Vous pouvez également consulter les détails du nœud homologue dans la Peer Information section. La sortie indique l’état de l’homologue en tant que SAUVEGARDE.
Vérifier l’état du chiffrement ICL (Interchassis Link)
But
Vérifiez l’état de la liaison interchâssis (ICL).
Action
À partir du mode opérationnel, exécutez la commande suivante :
user@host> show security ipsec security-associations ha-link-encryption detail
ID: 495002 Virtual-system: root, VPN Name: IPSEC_VPN_ICL
Local Gateway: 10.22.0.1, Remote Gateway: 10.22.0.2
Traffic Selector Name: __IPSEC_VPN_ICL__multi_node__
Local Identity: ipv4(180.100.1.1-180.100.1.1)
Remote Identity: ipv4(180.100.1.2-180.100.1.2)
TS Type: traffic-selector
Version: IKEv2
PFS group: N/A
DF-bit: clear, Copy-Outer-DSCP Disabled, Bind-interface: st0.16000, Tunnel MTU: 0, Policy-name: MNHA_IPSEC_POL
Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 0
Multi-sa, Configured SAs# 0, Negotiated SAs#: 0
HA Link Encryption Mode: Multi-Node
Location: FPC -, PIC -, KMD-Instance -
Anchorship: Thread -
Distribution-Profile: default-profile
Direction: inbound, SPI: 0x000afc7f, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 1888 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 1248 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: aes256-gcm, Encryption: aes-gcm (256 bits)
Anti-replay service: counter-based enabled, Replay window size: 64
Extended-Sequence-Number: Disabled
tunnel-establishment: establish-tunnels-immediately
Location: FPC 0, PIC 0, KMD-Instance 0
Anchorship: Thread 0
IKE SA Index: 4294966274
Direction: outbound, SPI: 0x000079a0, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 1888 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 1248 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: aes256-gcm, Encryption: aes-gcm (256 bits)
Anti-replay service: counter-based enabled, Replay window size: 64
Extended-Sequence-Number: Disabled
tunnel-establishment: establish-tunnels-immediately
Location: FPC 0, PIC 0, KMD-Instance 0
Anchorship: Thread 0
IKE SA Index: 4294966274
Signification
La sortie de la commande fournit les informations suivantes :
-
Détails de la passerelle locale et de la passerelle distante.
-
Paire IPsec SA pour chaque thread dans PIC.
-
Mode de chiffrement des liens HA (comme indiqué à la ligne suivante) :
HA Link Encryption Mode: Multi-Node -
Algorithmes d’authentification et de chiffrement utilisés
La plage d’adresses IP (180.100.1.x) affichée dans la sortie de la commande sert de sélecteur de trafic IPsec ICL. Le système attribue dynamiquement cette plage d’adresses IP, et il est essentiel de ne pas l’altérer ou la modifier. De plus, la détection de transfert bidirectionnel (BFD) sera automatiquement activée pour la plage IP 180.x.x.x plus large.
Vérifier les statistiques du tunnel de chiffrement de liens
But
Vérifiez les statistiques du tunnel de chiffrement de liens sur les nœuds actifs et de secours.
Action
À partir du mode opérationnel, exécutez la commande suivante :
user@host> show security ipsec statistics ha-link-encryption ESP Statistics: Encrypted bytes: 2455540 Decrypted bytes: 1186957 Encrypted packets: 22673 Decrypted packets: 22694 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0 Invalid SPI: 0, TS check fail: 0 Exceeds tunnel MTU: 0 Discarded: 0
Signification
Si vous constatez des problèmes de perte de paquets sur un VPN, vous pouvez exécuter la show security ipsec statistics ha-link-encryption commande plusieurs fois pour vérifier que les compteurs de paquets chiffrés et déchiffrés s’incrémentent. Vous devez également vérifier si les autres compteurs d’erreur sont incrémentés.
Utilisez la show security ike active-peer ha-link-encryption commande pour afficher les détails de l’ICL sur le nœud homologue actif.
Utilisez la clear security ipsec statistics ha-link-encryption commande pour effacer toutes les statistiques IPsec.