Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Clusters de serveurs VPNNv2 de groupe

Le cluster de serveurs VPNv2 de groupe fournit une redondance de contrôleur de groupe/serveur clé (GCKS), de sorte qu’aucun point de défaillance n’est unique pour l’ensemble du réseau VPN de groupe.

Understanding Group VPNv2 Server Clusters

Dans le protocole GDOI (Group Domain of Interpretation), le contrôleur de groupe/serveur clé (GCKS) gère les associations de sécurité VPN de groupe et génère des clés de cryptage et les distribue aux membres du groupe. Les membres du groupe chiffrent le trafic en fonction des SA du groupe et des clés fournies par le GCKS. Si le GCKS échoue, les membres du groupe ne peuvent pas s’enregistrer ou obtenir des clés. Un cluster de serveurs VPNv2 de groupe fournit une redondance GCKS afin d’éviter tout point de défaillance pour l’ensemble du réseau VPN de groupe. Les clusters de serveurs VPNv2 de groupe peuvent également fournir l’équilibrage de charge, l’évolutrage et la redondance de liens.

La vpnv2 de groupe est prise en charge sur les équipements SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 et SRX4600 et des instances vSRX. Tous les serveurs d’un cluster de serveurs VPNv2 de groupe doivent être pris en charge SRX Series périphériques ou vSRX instances. Les clusters de serveurs VPNv2 de groupe sont Juniper Networks et n’ont aucune interopérabilité avec GCKS d’autres fournisseurs.

Serveur racine et sous-serveurs

Un cluster de serveurs VPNv2 de groupe se compose d’un serveur racine comprenant jusqu’à quatre sous-serveurs connectés. Tous les serveurs du cluster partagent les mêmes clés SA et de chiffrement qui sont distribuées aux membres du groupe VPNv2. Les serveurs du cluster peuvent être situés sur différents sites, comme indiqué dans Figure 1 .

Figure 1 : Cluster de serveurs VPNNv2 de groupeCluster de serveurs VPNNv2 de groupe

Les messages entre serveurs du cluster sont chiffrés et authentifiés IKE SA. Le serveur racine est chargé de générer et de distribuer des clés de chiffrement aux sous-serveurs ; étant donné cette responsabilité, nous recommandons de configurer le serveur racine en tant que cluster de châssis. Les sous-serveurs sont des équipements simples et ne peuvent pas être des clusters de châssis. Les sous-serveurs doivent être capables de se connecter au serveur racine, même si des liaisons directes entre les sous-serveurs ne sont pas nécessaires.

Si un sous-serveur perd sa connexion au serveur racine, aucune autre connexion au sous-serveur à partir des membres du groupe n’est autorisée et les SA sont supprimés. Il est donc recommandé d’utiliser un lien différent pour connecter chaque sous-serveur au serveur racine.

Les clusters de serveurs VPNNv2 de groupe sont configurés avec les instructions au niveau server-clusteredit security group-vpn server group-name [ ] hiérarchique. Les valeurs suivantes doivent être configurées pour chaque serveur dans un cluster:

  • Le rôle du serveur: spécifier l’un root-server ou l’autre. sub-server Un serveur donné peut faire partie de plusieurs clusters de serveurs VPNv2 de groupe, mais il doit avoir le même rôle de serveur dans tous les clusters. Un serveur ne peut pas être configuré avec le rôle de serveur racine dans un groupe et le rôle de sous-serveur dans un autre groupe.

    Vous devez vous assurer qu’il n’existe qu’un seul serveur racine à tout moment pour un cluster de serveurs VPNNv2 de groupe.

  • IKE passerelle: indiquez le nom d’une IKE de sécurité configurée au niveau edit security group-vpn server ike [ ] hiérarchique. Pour un serveur racine, la passerelle de IKE doit être un sous-serveur dans le cluster ; il est possible de spécifier jusqu’à quatre sous-serveurs. Pour les sous-serveurs, la passerelle IKE réseau doit être le serveur racine.

    Le serveur racine et les sous-serveurs doivent être configurés avec et ne peuvent pas être configurés pour une adresse IP dynamique dead-peer-detection always-send (non spécifiée). Les membres des groupes ne sont pas configurés avec la détection des pairs morts.

La configuration VPNNv2 de groupe doit être la même sur chaque sous-serveur d’un groupe donné.

Chaque sous-serveur du cluster de serveurs VPNv2 de groupe fonctionne comme un GCKS normal pour l’enregistrement et la suppression de membres. Une fois l’inscription des membres réussi, le serveur d’inscription est chargé d’envoyer les mises à jour au membre. Pour un groupe donné, vous pouvez configurer le nombre maximal de membres VPNv2 de groupe qui peuvent être acceptés par chaque sous-serveur ; ce numéro doit être le même sur tous les sous-serveurs du cluster. Un sous-serveur cesse de répondre aux demandes d’inscription des nouveaux membres lorsqu’il atteint le nombre maximal de membres VPNv2 de groupe configuré. Voir Équilibrage de charge .

Inscription avec les membres du groupe avec les clusters de serveurs

Les membres du groupe peuvent s’enregistrer auprès de n’importe quel serveur du cluster de serveurs VPNv2 de groupe pour un groupe donné. Toutefois, nous recommandons que les membres se connectent uniquement aux sous-serveurs et non au serveur racine. Il est possible de configurer jusqu’à quatre adresses serveur sur chaque membre du groupe. Les adresses serveur configurées sur les membres du groupe peuvent être différentes. Dans l’exemple ci-dessous, le membre du groupe A est configuré pour les sous-serveurs 1 à 4, tandis que le membre B est configuré pour les sous-serveurs 4 et 3:

Membre du groupe A:

Membre du groupe B:

Adresses du serveur:

Sous-serveur 1

Sous-serveur 2

Sous-serveur 3

Sous-serveur 4

Sous-serveur 4

Sous-serveur 3

La commande que le serveur adresse est configurée sur un membre est importante. Un membre du groupe tente de s’inscrire auprès du premier serveur configuré. Si l’inscription à un serveur configuré n’est pas réussie, le membre du groupe tente de s’inscrire auprès du serveur configuré suivant.

Chaque serveur d’un cluster de serveurs de groupe VPNv2 fonctionne comme un GCKS normal pour l’enregistrement et la suppression de membres. Une fois l’inscription réussie, le serveur d’inscription est chargé d’envoyer les mises à jour au membre via des groupkey-push échanges. Pour un groupe donné, vous pouvez configurer le nombre maximal de membres de groupe qui peuvent être acceptés par chaque serveur. Toutefois, ce nombre doit être le même sur tous les serveurs du cluster pour un groupe donné. Une fois le nombre maximal de membres du groupe configuré atteint, un serveur cesse de répondre aux demandes d’inscription des nouveaux membres. Pour plus Équilibrage de charge d’informations, consultez le site.

Détection des pairs morts

Pour vérifier la disponibilité de serveurs pairs dans un cluster de serveurs VPNv2 de groupe, chaque serveur du cluster doit être configuré pour envoyer des requêtes de détection des pairs morts (DPD), quel que soit le trafic IPsec sortant vers l’pair. Celle-ci est configurée avec dead-peer-detection always-send l’énoncé au niveau edit security group-vpn server ike gateway gateway-name de [ ] hiérarchie.

Un serveur actif d’un cluster de serveurs VPNv2 de groupe envoie des sondes DPD à la ou IKE(s) configurée dans le cluster de serveur. DPD ne doit pas être configuré pour un groupe, car plusieurs groupes peuvent partager la même configuration de la passerelle de IKE pair. Lorsque DPD détecte qu’un serveur est en panne, le serveur sa IKE avec ce serveur est supprimé. Tous les groupes marquent le serveur comme inactif et le DPD sur le serveur est arrêté.

Le DPD ne doit pas être configuré pour la passerelle IKE sur les membres du groupe.

Lorsque DPD marque le serveur racine comme inactif, les sous-serveurs cessent de répondre aux nouvelles demandes des membres du groupe, cependant les SA existants pour les membres du groupe actuel demeurent actifs. Un sous-serveur inactif n’envoie pas de suppressions aux membres du groupe, car les SA peuvent toujours être valides et les membres du groupe peuvent continuer à utiliser les SA existants.

Si un serveur IKE SA expire alors qu’un serveur pair est toujours actif, DPD déclenche les négociations IKE SA. Étant donné que les serveurs racines et les sous-serveurs peuvent déclencher IKE SA via DPD, une négociation simultanée peut entraîner plusieurs IKE SA multiples. Aucun impact sur la fonctionnalité de cluster serveur n’est attendu dans ce cas.

Équilibrage de charge

Il est possible d’équilibrer la charge dans le cluster de serveurs VPNv2 de groupe en configurant la bonne valeur member-threshold pour le groupe. Lorsque le nombre de membres inscrits sur un serveur dépasse la valeur, l’inscription ultérieure des membres sur ce serveur member-threshold est rejetée. L’enregistrement de membre échoue au serveur suivant configuré sur le membre du groupe jusqu’à ce qu’il atteigne un serveur dont l’accès member-threshold n’est pas encore atteint.

Il existe deux restrictions pour la configuration member-threshold du:

  • Pour un groupe donné, la même valeur doit être configurée sur le serveur racine et tous les sous-serveurs d’un member-threshold cluster de serveurs de groupe. Si le nombre total de membres du groupe dépasse la valeur configurée, l’inscription lancée par un nouveau membre est rejetée (le serveur n’envoie pas member-thresholdgroupkey-pull de réponse).

  • Un serveur peut prendre en charge les membres dans plusieurs groupes. Chaque serveur dispose d’un nombre maximal de membres de groupe qu’il peut prendre en charge. Si un serveur atteint le nombre maximal de membres qu’il peut prendre en charge, une inscription lancée par un nouveau membre est rejetée même si la valeur d’un groupe spécifique n’a pas groupkey-pullmember-threshold été atteinte.

Il n’y a aucun membre synchronisation parmi les serveurs du cluster. Le serveur racine n’a pas d’informations sur le nombre de membres inscrits sur les sous-serveurs. Chaque sous-serveur ne peut afficher que ses propres membres enregistrés.

Comprendre les limites des clusters de serveurs VPNv2 de groupe

La vpnv2 de groupe est prise en charge sur les équipements SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 et SRX4600 et des instances vSRX. Notez les avertissements suivants lors de la configuration des clusters de serveurs VPNNv2 de groupe:

  • L’authentification des certificats n’est pas prise en charge pour l’authentification du serveur ; seules les clés partagées peuvent être configurées.

  • Il n’y a aucune synchronisation de configuration entre les serveurs dans le cluster de serveurs VPNv2 de groupe.

  • Lors de l’activation d’un cluster de serveurs VPNv2 de groupe, la configuration doit d’abord être effectuée sur le serveur racine, puis sur les sous-serveurs. Jusqu’à ce que la configuration soit manuellement synchronisée entre les serveurs, les pertes de trafic peuvent être escomptées pendant la modification de la configuration.

  • Dans certains cas, les SA des membres du groupe VPNv2 peuvent être non synchronisés. Les membres des VPN de groupe peuvent synchroniser les SA en obtenant une nouvelle clé par le biais d’un groupkey-pull échange. Vous pouvez effacer manuellement les SA sur un membre VPNv2 de groupe avec les ou les commandes pour clear security group-vpn member ipsec security-associationsclear security group-vpn member group accélérer la récupération.

  • Le cluster de serveurs VPNv2 de groupe ne prend pas en charge ISSU.

  • Si le dernier message est perdu lors de groupkey-pull l’inscription d’un membre VPNv2 de groupe, un serveur peut considérer le membre comme membre inscrit, même s’il peut échouer sur le serveur suivant dans le cluster de serveur. Dans ce cas, le même membre peut apparaître sur plusieurs serveurs. Si le seuil total des membres sur tous les serveurs équivaut au nombre total de membres déployés, les membres du groupe suivants peuvent ne pas s’inscrire.

Notez les avertissements suivants pour les opérations des clusters de châssis sur le serveur racine:

  • Aucune statistiques n’est conservée.

  • Aucune donnée de négociation ni aucun état n’est enregistré. Si un échec du cluster de châssis du serveur racine se produit au cours d’une négociation ou d’une négociation, la négociation n’est pas redémarré groupkey-pullgroupkey-push après le panne.

  • Si les deux nodes de cluster de châssis d’un serveur racine s’insérez lors d’une clé de chiffrement re-clé, certains membres du groupe VPNv2 peuvent recevoir la nouvelle clé alors que d’autres ne le font pas. Le trafic peut être impacté. Le fait de effacer manuellement les SA sur un membre VPNv2 de groupe à l’aide des ou commandes peut contribuer à accélérer la récupération lorsque le serveur clear security group-vpn member ipsec security-associationsclear security group-vpn member group racine devient accessible.

  • Dans un environnement à grande échelle, le resserrement RG0 sur le serveur racine peut prendre du temps. Si l’intervalle et le seuil DPD d’un sous-serveur sont configurés avec de petites valeurs, le sous-serveur peut marquer le serveur racine comme inactif lors d’un échec de RG0. Le trafic peut être impacté. Nous vous recommandons de configurer la passerelle de IKE pour le sous-serveur avec une valeur DPD supérieure à interval * threshold 150 secondes.

Understanding Group VPNv2 Server Cluster Messages

La vpnv2 de groupe est prise en charge sur les équipements SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 et SRX4600 et des instances vSRX. Tous les messages entre serveurs d’un cluster de serveurs VPNv2 de groupe sont chiffrés et authentifiés par IKE association de sécurité informatique (SA). Chaque sous-serveur initie un IKE SA avec le serveur racine ; cette IKE SA doit être établie avant que des messages soient échangés entre les serveurs.

Cette section décrit les messages échangés entre le serveur racine et les sous-serveurs.

Échanges de clusters

Figure 2 affiche les messages de base échangés entre le cluster de serveurs VPNv2 du groupe et les membres du groupe VPNv2.

Figure 2 : Messages de cluster serveur VPNNv2 de groupeMessages de cluster serveur VPNNv2 de groupe

Échanges d’init de cluster

Un sous-serveur lance un échange d’initialisation de cluster avec le serveur racine pour obtenir les informations sa et clés cluster-init de chiffrement. Le serveur racine réagit en envoyant les informations SA actuelles au sous-serveur par le biais de cluster-init l’échange.

Les sous-serveurs peuvent ensuite répondre aux demandes d’enregistrement des membres du groupe VPNv2 par le biais groupkey-pull d’un échange. Cet échange permet à un membre du groupe VPNv2 de demander des SA et des clés partagées par le groupe depuis un groupkey-pull sous-serveur.

Les sous-serveurs cluster-init démarrent un échange avec le serveur racine lorsque:

  • Le serveur racine est considéré comme inactif. Il s’agit de l’état initial du serveur racine. S’il n’y IKE sa entre le serveur racine et le sous-serveur, le sous-serveur lance un sa d’IKE avec le serveur racine. Après un échange réussi, le sous-serveur obtient des informations sur les SA et marque le cluster-init serveur racine comme actif.

  • La durée de vie douce du sa a expiré.

  • Un cluster-update message est reçu pour supprimer tous les SA.

  • Il y a des changements de configuration de groupe.

En cas cluster-init d’échec de l’échange, le sous-serveur les tentatives avec le serveur racine toutes les 5 secondes.

Messages de mise à jour de cluster

L’échange est un message unique rekey qui permet à un contrôleur de groupe/serveur clé (GCKS) d’envoyer des SA de groupe et des clés aux membres avant l’expiration des SA du groupe existant et de mettre à jour l’appartenance au groupkey-push groupe. Les messages re-clés sont des messages non sollicités envoyés par le GCKS aux membres

Lors de la génération de nouvelles clés de chiffrement pour un SA, le serveur racine envoie des mises à jour SA à tous les sous-serveurs actifs par le biais d’un cluster-update message. Une fois qu’un serveur racine a été reçu, le sous-serveur installe le nouveau serveur SA et envoie les nouvelles informations de sa par le biais d’un à ses membres cluster-updategroupkey-push de groupe enregistrés.

Un message envoyé depuis le serveur racine nécessite une reconnaissance de la part cluster-update du sous-serveur. En l’absence de reconnaissance de la part d’un sous-serveur, le serveur racine retransmet la période de retransmission configurée (le par défaut est cluster-update de 10 secondes). Le serveur racine n’est pas retransmis si la détection de pairs morts indique que le sous-serveur n’est pas disponible. Si un sous-serveur ne met pas à jour les informations SA après réception d’un , il n’envoie pas de reconnaissance et le serveur cluster-update racine retransmet le cluster-update message.

Si la durée de vie douce d’un SA expire avant qu’un nouveau SA ne soit reçu du serveur racine, le sous-serveur envoie un message au serveur racine pour obtenir tous les SA et n’envoie pas de message à ses membres tant qu’il n’a pas reçu de nouvelle mise à cluster-initgroupkey-push jour. Si la durée de vie difficile d’un SA expire sur le sous-serveur avant qu’il n’en reçoit un nouveau, le sous-serveur marque l’inactivité du serveur racine, supprime tous les membres de groupe enregistrés et continue d’envoyer des messages au serveur cluster-init racine.

Un message peut être envoyé pour supprimer un SA ou un membre du groupe; cela peut être le fruit d’une commande ou cluster-update d’une modification de la clear configuration. Si un sous-serveur reçoit un message pour supprimer un SA, il envoie un message de suppression aux membres de son groupe et supprime le cluster-updategroupkey-push SA correspondant. Si tous les SA d’un groupe sont supprimés, le sous-serveur initie un cluster-init échange avec le serveur racine. Si tous les membres inscrits sont supprimés, le sous-serveur supprime tous les membres enregistrés localement.

Understanding Configuration Changes with Group VPNv2 Server Clusters

La vpnv2 de groupe est prise en charge sur les équipements SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 et SRX4600 et des instances vSRX. Les clusters de serveurs VPNNv2 de groupe se comportent différemment des serveurs VPNNv2 de groupe autonomes lorsqu’il y a des changements de configuration qui entraînent de nouvelles clés de cryptage et des modifications des associations de sécurité (SA). Le serveur racine envoie des mises à jour ou suppressions SA à des sous-serveurs par le biais de cluster-update messages. Les sous-serveurs envoient ensuite groupkey-push des messages aux membres. Les sous-serveurs ne peuvent pas envoyer de messages de suppression aux membres du groupe sans d’abord recevoir des messages de suppression du serveur racine.

Toutes les modifications de configuration doivent être apportées au serveur racine, puis aux sous-serveurs pour s’assurer que les membres du groupe reçoivent des mises à jour ou des suppressions comme prévu. Jusqu’à ce que la configuration soit synchronisée entre les serveurs du cluster de serveurs VPNv2 de groupe, des pertes de trafic peuvent être escomptées.

Tableau 1 décrit les effets de diverses modifications de configuration sur les serveurs VPNNv2 de groupe.

Tableau 1 : Effets des modifications de configuration sur les serveurs VPNNv2 de groupe

Changement de configuration

Action serveur VPNv2 de groupe autonome

Action de cluster serveur VPNv2 de groupe

Serveur racine

Sous-serveur

Modifier une IKE, une politique ou une passerelle

Supprimez la IKE SA de la passerelle affectée. Pour IKE de proposition, de stratégie ou de passerelle, supprimez les membres enregistrés pour la passerelle concernée.

Modification de la proposition IPsec

Les changements prennent effet après la clé de chiffrement du trafic (TEK) re-clé.

Changements de groupe:

Supprimer le nom du groupe

Envoyer « supprimer tout » aux membres du groupe. Supprimez tous IKE SA du groupe. Supprimez toutes les clés du groupe immédiatement. Supprimez tous les membres inscrits dans le groupe.

Envoyer « supprimer tout » sur les sous-serveurs. Supprimez toutes les clés du groupe immédiatement. Marquez tous les pairs inactifs. Supprimer les SA de sous-IKE serveur. Supprimez tous les membres IKE SA.

Supprimez tous les membres IKE SA. Supprimez toutes les clés du groupe immédiatement. Supprimez tous les membres inscrits dans le groupe. Marquez peer inactif. Supprimez les serveurs pairs IKE SA.

ID de modification

Envoyer « supprimer tout » à tous les membres. Supprimez tous IKE SA du groupe. Supprimez toutes les clés du groupe immédiatement. Supprimez tous les membres inscrits dans le groupe. Générer de nouvelles clés en fonction de la configuration.

Envoyer « supprimer tout » sur les sous-serveurs. Supprimez tous les IKE SA du groupe. Supprimez toutes les clés du groupe immédiatement. Marquez tous les pairs inactifs. Supprimez tous les serveurs pairs IKE SA. Générer de nouvelles clés en fonction de la configuration.

Supprimez tous les IKE SA du groupe. Supprimez toutes les clés du groupe immédiatement. Supprimez tous les membres inscrits dans le groupe. Marquez peer inactif. Supprimez les serveurs pairs IKE SA. Lancer un nouvel cluster-init échange.

Ajout ou suppression de IKE passerelle

Aucune modification pour les ajouts. En cas de suppression, supprimez les IKE SA et les membres inscrits pour la passerelle affectée.

Fenêtre de temps d’ajout ou de modification de l’anti-rejeu

Une nouvelle valeur prend effet une fois le TEK re-key.

Ajout ou modification sans anti-rejeu

Une nouvelle valeur prend effet une fois le TEK re-key.

Changements de communication au niveau du serveur:

Ajouter

Supprimez tous les membres inscrits. Générer une clé de chiffrement (KEK) SA.

Générer KEK SA. Envoyer un nouveau KEK SA au sous-serveur. Supprimez tous les membres IKE SA.

Supprimez tous les membres inscrits.

Modifier

Une nouvelle valeur prend effet une fois le KEK re-key.

Supprimer

Envoyer supprimer pour supprimer tous les SA KEK. Supprimer KEK SA.

Envoyer la suppression aux sous-serveurs. Supprimer KEK SA. Supprimez tous les membres IKE SA.

Supprimer KEK SA.

SA IPsec:

Ajouter

Générer de nouveaux sa TEK. Mettez à jour le nouveau sa TEK sur les membres.

Générer de nouveaux sa TEK. Envoyez un nouveau sa TEK à des sous-serveurs.

Aucune action.

Modifier

Une nouvelle valeur prend effet après le re-key TEK.

Si la stratégie de correspondance change, le TEK actuel est immédiatement supprimé et cette notification est envoyée groupkey-push car les membres doivent être informés explicitement de la suppression de cette configuration.

Si la stratégie de correspondance change, envoyez la suppression à des sous-serveurs. Supprimez les TEK immédiatement.

Si la stratégie de correspondance change, supprimez le TEK immédiatement.

Supprimer

Supprimez les TEK immédiatement. Envoyer supprimer pour supprimer ce SA TEK.

Envoyer la suppression aux sous-serveurs. Supprimez les TEK immédiatement.

Supprimez les TEK immédiatement.

Tableau 2 décrit les effets de la modification de la configuration des clusters de serveurs VPNv2 de groupe.

Vous devez vous assurer qu’il n’y a qu’un seul serveur racine dans un cluster de serveur à tout moment.

Tableau 2 : Effets des changements de configuration des clusters de serveurs VPNNv2 de groupe

Modification de la configuration des clusters de serveurs

Cluster de serveurs VPNNv2 de groupe

Serveur racine

Sous-serveur

IKE de proposition, de stratégie ou de passerelle (pair de cluster)

Pour les ajouts, il n’y a pas de changement. Pour les modifications ou suppressions, supprimez la IKE SA de l’pair affecté.

Cluster de serveurs:

Ajouter

Aucun.

Envoyer « supprimer tout » aux membres du groupe. Supprimez tous les IKE SA du groupe. Supprimez tous les TEK et KEK immédiatement dans le groupe. Supprimez tous les membres inscrits dans le groupe. Envoyer cluster-init au serveur racine.

Modifier le rôle

Vous devez vous assurer qu’il n’y a qu’un seul serveur racine dans un cluster de serveur à tout moment.

Envoyer « supprimer tout » sur les sous-serveurs. Supprimez tous les IKE SA du groupe. Supprimez tous les TEK et KEK immédiatement dans le groupe. Marquez tous les pairs inactifs. Supprimez tous les serveurs pairs IKE SA. Envoyer cluster-init au serveur racine.

TEK re-clé. KEK rekey. Envoyez de nouvelles clés à des sous-serveurs. Envoyez de nouvelles clés aux membres.

Ajouter un pair

Aucun.

Supprimer l’pair

Marquez peer inactif. Effacer peer IKE SA.

Marquez peer inactif. Effacer le KEK. Effacer le TEK. Effacer peer IKE SA.

Période de retransmission des changements

Aucun.

Supprimer le cluster de serveur

Envoyer « supprimer tout » sur les sous-serveurs. Supprimez tous les TEK et KEK immédiatement dans le groupe. Marquez tous les pairs inactifs. Supprimez tous les serveurs pairs IKE SA. Générer de nouveaux TEK et KEK en fonction de la configuration.

Supprimez tous les IKE SA du groupe. Supprimez tous les TEK et KEK immédiatement dans le groupe. Supprimez tous les membres inscrits dans le groupe. Marquez peer inactif. Supprimez les serveurs pairs IKE SA. Générer de nouveaux TEK et KEK en fonction de la configuration.

Migration d’un serveur VPNNv2 de groupe autonome vers un cluster de serveurs VPNNv2 de groupe

La vpnv2 de groupe est prise en charge sur les équipements SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 et SRX4600 et des instances vSRX. Cette section décrit la migration d’un serveur VPNv2 de groupe autonome vers un cluster de serveurs VPNv2 de groupe.

Pour migrer un serveur VPNNv2 de groupe autonome vers un serveur racine:

Nous recommandons vivement que le serveur racine soit un cluster de châssis.

  1. Mettre à niveau le serveur VPNv2 de groupe autonome vers un cluster de châssis. Consultez le Guide de l’utilisateur Chassis Cluster pour SRX Series pour plus d’informations

    Un redémarrage est nécessaire lors de la mise à niveau d’un équipement d’SRX Series autonome vers un nœud de cluster de châssis. Des pertes de trafic sont prévues.

  2. Sur le cluster de châssis, ajoutez la configuration root-server du cluster serveur VPNNv2 de groupe. Le rôle du serveur configuré pour le cluster doit root-server être.

    Il ne devrait y avoir aucune perte de trafic parmi les membres du groupe existant pendant la modification de la configuration.

Pour ajouter un sous-serveur au cluster de serveurs VPNv2 de groupe:

  1. Au niveau du serveur racine, configurez à la fois une passerelle de serveur VPNv2 groupe IKE et une passerelle de regroupement IKE de serveur pour le sous-serveur. Les SA et le trafic membre existant ne doivent pas être impactés.

  2. Sur le sous-serveur, configurez le cluster de serveurs. N’oubliez pas que la configuration VPNv2 de groupe doit être la même sur chaque serveur du cluster, à l’exception des passerelles IKE de serveur VPNv2 de groupe, du rôle du serveur dans le cluster et des configurations de passerelle de IKE de serveur. Sur le sous-serveur, le rôle du serveur configuré dans le cluster doit sub-server être. Configurez une passerelle de serveur VPNv2 de groupe IKE une passerelle de cluster IKE serveur pour le serveur racine.

Pour supprimer un sous-serveur du cluster de serveurs VPNv2 de groupe:

  1. Sur le serveur racine, supprimez à la fois la passerelle de gestion IKE groupe VPNv2 et les configurations de la passerelle de IKE de serveur pour le sous-serveur. Les SA et le trafic membre existant ne doivent pas être impactés.

  2. Hors d’alimentation du sous-serveur.

Exemple: Configuration d’un cluster de serveurs VPNv2 de groupe et de membres

Cet exemple montre comment configurer un cluster de serveurs VPNv2 de groupe pour fournir une redondance et une évolutation aux membres du groupe VPNv2 avec le contrôleur de groupe/serveur clé (GCKS). La vpnv2 de groupe est prise en charge sur les équipements SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 et SRX4600 et des instances vSRX.

Conditions préalables

L’exemple utilise les composants matériels et logiciels suivants:

  • Huit équipements SRX Series ou instances vSRX exécutant Junos OS version 15.1X49-D30 ou ultérieures qui pris en charge la VPNNv2 de groupe:

    • Deux équipements ou instances sont configurés pour fonctionner comme un cluster de châssis. Le cluster de châssis fonctionne comme serveur racine dans le cluster de serveur VPNv2 de groupe. Les équipements ou instances doivent être identiques aux versions et licences du logiciel.

      Le serveur racine est chargé de générer et de distribuer des clés de chiffrement aux sous-serveurs du cluster de serveurs VPN de groupe ; étant donné cette responsabilité, nous recommandons que le serveur racine soit un cluster de châssis.

    • Quatre autres équipements ou instances fonctionnent comme des sous-serveurs dans le cluster de serveurs VPNv2 de groupe.

    • Deux autres équipements ou instances fonctionnent en tant que membres de groupe VPNv2.

  • Deux équipements MX Series pris en charge Junos OS version 15.1R2 version ultérieure qui supportent la VPNNv2 de groupe. Ces équipements fonctionnent en tant que membres de groupe VPNv2.

Un nom d’hôte, un mot de passe de l’administrateur racine et un accès de gestion doivent être configurés sur chaque SRX Series ou vSRX instance. Il est également recommandé que la fonction NTP soit également configurée sur chaque équipement.

Les configurations présentées dans cet exemple se concentrent sur ce qui est nécessaire pour le fonctionnement de la VPNv2 de groupe, selon la topologie indiquée Figure 3 dans . Certaines configurations, telles que les configurations d’interface, de routage ou de cluster de châssis, ne sont pas incluses ici. Par exemple, l’utilisation de la vpnv2 de groupe nécessite une topologie de routage qui permet aux équipements clients d’atteindre les sites visés sur l’ensemble du réseau ; cet exemple ne couvre pas la configuration du routage statique ou dynamique.

Présentation

Dans cet exemple, le réseau VPNNv2 de groupe se compose d’un cluster de serveurs et de quatre membres. Le cluster de serveur se compose d’un serveur racine et de quatre sous-serveurs. Deux des membres sont des équipements SRX Series instances vSRX instances, tandis que les deux autres sont MX Series périphériques.

Les SA VPN de groupe doivent être protégés par un SA de phase 1. La configuration VPN du groupe doit donc inclure la configuration IKE des négociations de phase 1 sur le serveur racine, les sous-serveurs et les membres du groupe. IKE configurations de base sont décrites comme suit.

Sur le serveur racine:

  • La IKE sert à établir des SA de SubSrv phase 1 sur chaque sous-serveur.

  • Une passerelle IKE est configurée avec la détection des pairs morts (DPD) pour chaque sous-serveur.

  • Le rôle du cluster de serveur est et chaque sous-serveur est configuré comme une passerelle IKE root-server pour le cluster de serveur.

Le serveur racine doit être configuré pour prendre en charge le fonctionnement du cluster de châssis. Dans l’exemple, les interfaces Ethernet redondantes du serveur racine se connectent à chacun des sous-serveurs du cluster de serveurs ; la configuration du cluster de châssis dans son ensemble n’est pas affichée.

Sur chaque sous-serveur:

  • Deux IKE de sécurité sont configurées: RootSrv est utilisé pour établir un SA de phase 1 avec le serveur racine et pour établir des SA de GMs phase 1 avec chaque membre du groupe.

    Les clés partagées sont utilisées pour sécuriser les SA de phase 1 entre le serveur racine et les sous-serveurs, ainsi qu’entre les sous-serveurs et les membres du groupe. Assurez-vous que les clés pré-partagées utilisées sont des clés solides. Sur les sous-serveurs, la clé préprodée configurée pour la stratégie IKE doit correspondre à la clé préprodée configurée sur le serveur racine; la clé pré-partagée configurée pour la stratégie IKE doit correspondre à la clé pré-partagée configurée sur les membres du RootSrvGMs groupe.

  • Une IKE est configurée avec DPD pour le serveur racine. En outre, une passerelle de IKE est configurée pour chaque membre du groupe.

  • Le rôle du cluster de serveur est et le serveur racine est configuré comme passerelle IKE sub-server pour le cluster de serveur.

Sur chaque membre du groupe:

  • La IKE de sécurité est utilisée pour établir des SA de SubSrv phase 1 avec les sous-serveurs.

  • La IKE comprend les adresses des sous-serveurs.

Sur les équipements SRX Series ou les membres du groupe vSRX, une stratégie IPsec est configurée pour le groupe avec la zone LAN comme zone de la zone (trafic entrant) et la zone WAN comme zone vers la zone (trafic sortant). Une stratégie de sécurité est également nécessaire pour autoriser le trafic entre les zones LAN et WAN.

Le même identifiant de groupe doit être configuré à la fois sur le serveur du groupe et sur les membres du groupe. Dans cet exemple, le nom du groupe GROUP_ID-0001 et l’identifiant de groupe 1. La stratégie de groupe configurée sur le serveur spécifie que le SA et la clé sont appliqués au trafic entre sous-réseaux de la plage 172.16.0.0/12.

Topologie

Figure 3 indique les Juniper Networks d’accès à configurer pour cet exemple.

Figure 3 : Cluster serveur VPNv2 de groupe avec SRX Series ou vSRX et MX Series membresCluster serveur VPNv2 de groupe avec SRX Series ou vSRX et MX Series membres

Configuration

Configuration du serveur racine

CLI configuration rapide

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les interruptions de ligne, modifiez tous les détails nécessaires pour correspondre à votre configuration réseau, copiez et collez les commandes dans le CLI au niveau de la hiérarchie, puis entrez dans le [edit]commit mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer dans différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la manière de vous y rendre, consultez le manuel Using the CLI Editor in Configuration Mode dans le CLI User Guide.

Pour configurer le serveur racine:

  1. Configurez les zones de sécurité et les stratégies de sécurité.

  2. Configurez le cluster de châssis.

  3. Configurez le IKE, la stratégie et la passerelle.

  4. Configurez le SA IPsec.

  5. Configurez le groupe VPN.

  6. Configurez la stratégie de groupe.

Résultats

Depuis le mode de configuration, confirmez votre configuration en entrant les show interfacesshow chassis cluster commandes et les . show security Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Si vous avez terminé la configuration de l’équipement, commit saisissez-le en mode de configuration.

Configuration d’un sous-serveur 1

CLI configuration rapide

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les interruptions de ligne, modifiez tous les détails nécessaires pour correspondre à votre configuration réseau, copiez et collez les commandes dans le CLI au niveau de la hiérarchie, puis entrez dans le [edit]commit mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer dans différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la manière de vous y rendre, consultez le manuel Using the CLI Editor in Configuration Mode dans le CLI User Guide.

Pour configurer le sous-serveur dans le cluster de serveurs VPNv2 de groupe:

  1. Configurez les interfaces, les zones de sécurité et les stratégies de sécurité.

  2. Configurez le IKE, la stratégie et la passerelle.

  3. Configurez le SA IPsec.

  4. Configurez le groupe VPN.

  5. Configurez la stratégie de groupe.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant show interfaces les commandes et les show security commandes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Si vous avez terminé la configuration de l’équipement, commit saisissez-le en mode de configuration.

Configuration d’un sous-serveur 2

CLI configuration rapide

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les interruptions de ligne, modifiez tous les détails nécessaires pour correspondre à votre configuration réseau, copiez et collez les commandes dans le CLI au niveau de la hiérarchie, puis entrez dans le [edit]commit mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer dans différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la manière de vous y rendre, consultez le manuel Using the CLI Editor in Configuration Mode dans le CLI User Guide.

Pour configurer le sous-serveur dans le cluster de serveurs VPNv2 de groupe:

  1. Configurez les interfaces, les zones de sécurité et les stratégies de sécurité.

  2. Configurez le IKE, la stratégie et la passerelle.

  3. Configurez le SA IPsec.

  4. Configurez le groupe VPN.

  5. Configurez la stratégie de groupe.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant show interfaces les commandes et les show security commandes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Si vous avez terminé la configuration de l’équipement, commit saisissez-le en mode de configuration.

Configuration d’un sous-serveur 3

CLI configuration rapide

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les interruptions de ligne, modifiez tous les détails nécessaires pour correspondre à votre configuration réseau, copiez et collez les commandes dans le CLI au niveau de la hiérarchie, puis entrez dans le [edit]commit mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer dans différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la manière de vous y rendre, consultez le manuel Using the CLI Editor in Configuration Mode dans le CLI User Guide.

Pour configurer le sous-serveur dans le cluster de serveurs VPNv2 de groupe:

  1. Configurez les interfaces, les zones de sécurité et les stratégies de sécurité.

  2. Configurez le IKE, la stratégie et la passerelle.

  3. Configurez le SA IPsec.

  4. Configurez le groupe VPN.

  5. Configurez la stratégie de groupe.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant show interfaces les commandes et les show security commandes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Si vous avez terminé la configuration de l’équipement, commit saisissez-le en mode de configuration.

Configuration d’un sous-serveur 4

CLI configuration rapide

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les interruptions de ligne, modifiez tous les détails nécessaires pour correspondre à votre configuration réseau, copiez et collez les commandes dans le CLI au niveau de la hiérarchie, puis entrez dans le [edit]commit mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer dans différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la manière de vous y rendre, consultez le manuel Using the CLI Editor in Configuration Mode dans le CLI User Guide.

Pour configurer le sous-serveur dans le cluster de serveurs VPNv2 de groupe:

  1. Configurez les interfaces, les zones de sécurité et les stratégies de sécurité.

  2. Configurez le IKE, la stratégie et la passerelle.

  3. Configurez le SA IPsec.

  4. Configurez le groupe VPN.

  5. Configurez la stratégie de groupe.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant show interfaces les commandes et les show security commandes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Si vous avez terminé la configuration de l’équipement, commit saisissez-le en mode de configuration.

Configuration de GM-0001 (SRX Series ou vSRX instance)

CLI configuration rapide

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les interruptions de ligne, modifiez tous les détails nécessaires pour correspondre à votre configuration réseau, copiez et collez les commandes dans le CLI au niveau de la hiérarchie, puis entrez dans le [edit]commit mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer dans différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la manière de vous y rendre, consultez le manuel Using the CLI Editor in Configuration Mode dans le CLI User Guide.

Pour configurer le membre VPNv2 du groupe:

  1. Configurez les interfaces, les zones de sécurité et les stratégies de sécurité.

  2. Configurez le IKE, la stratégie et la passerelle.

  3. Configurez le SA IPsec.

  4. Configurez la stratégie IPsec.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant show interfaces les commandes et les show security commandes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Si vous avez terminé la configuration de l’équipement, commit saisissez-le en mode de configuration.

Configuration de GM-0002 (SRX Series ou vSRX instance)

CLI configuration rapide

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les interruptions de ligne, modifiez tous les détails nécessaires pour correspondre à votre configuration réseau, copiez et collez les commandes dans le CLI au niveau de la hiérarchie, puis entrez dans le [edit]commit mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer dans différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la manière de vous y rendre, consultez le manuel Using the CLI Editor in Configuration Mode dans le CLI User Guide.

Pour configurer le membre VPNv2 du groupe:

  1. Configurez les interfaces, les zones de sécurité et les stratégies de sécurité.

  2. Configurez le IKE, la stratégie et la passerelle.

  3. Configurez le SA IPsec.

  4. Configurez la stratégie IPsec.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant show interfaces les commandes et les show security commandes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Si vous avez terminé la configuration de l’équipement, commit saisissez-le en mode de configuration.

Configuration de GM-0003 (MX Series))

CLI configuration rapide

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les interruptions de ligne, modifiez tous les détails nécessaires pour correspondre à votre configuration réseau, copiez et collez les commandes dans le CLI au niveau de la hiérarchie, puis entrez dans le [edit]commit mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer dans différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la manière de vous y rendre, consultez le manuel Using the CLI Editor in Configuration Mode dans le CLI User Guide.

Pour configurer le membre VPNv2 du groupe:

  1. Configurez les interfaces.

  2. Configurez le IKE, la stratégie et la passerelle.

  3. Configurez le SA IPsec.

  4. Configurez le filtre de service.

  5. Configurez l’ensemble de services.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant les show interfaces commandes et le , et show securityshow servicesshow firewall le Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Si vous avez terminé la configuration de l’équipement, commit saisissez-le en mode de configuration.

Configuration de GM-0004 (MX Series))

CLI configuration rapide

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les interruptions de ligne, modifiez tous les détails nécessaires pour correspondre à votre configuration réseau, copiez et collez les commandes dans le CLI au niveau de la hiérarchie, puis entrez dans le [edit]commit mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer dans différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la manière de vous y rendre, consultez le manuel Using the CLI Editor in Configuration Mode dans le CLI User Guide.

Pour configurer le membre VPNv2 du groupe:

  1. Configurez les interfaces.

  2. Configurez le IKE, la stratégie et la passerelle.

  3. Configurez le SA IPsec.

  4. Configurez le filtre de service.

  5. Configurez l’ensemble de services.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant les show interfaces commandes et le , et show securityshow servicesshow firewall le Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Si vous avez terminé la configuration de l’équipement, commit saisissez-le en mode de configuration.

Vérification

Vérifier que la configuration fonctionne correctement.

Vérification du fonctionnement du cluster serveur

But

Vérifiez que les équipements du cluster serveur reconnaissent les serveurs pairs dans le groupe. Assurez-vous que les serveurs sont actifs et que les rôles du cluster sont correctement attribués.

Action

Depuis le mode opérationnel, saisissez show security group-vpn server server-cluster le , et les commandes sur le serveur show security group-vpn server server-cluster detailshow security group-vpn server statistics racine.

À partir du mode opérationnel, saisissez les commandes et les opérations sur chaque show security group-vpn server server-clustershow security group-vpn server server-cluster detailshow security group-vpn server statistics sous-serveur.

Vérification de la distribution des SA aux membres

But

Vérifiez que les sous-serveurs ont bien reçu des SA à distribuer aux membres du groupe et que les membres du groupe ont bien reçu les SA.

Action

Depuis le mode opérationnel, saisissez show security group-vpn server kek security-associations les commandes et les commandes sur le serveur show security group-vpn server kek security-associations detail racine.

À partir du mode opérationnel, show security group-vpn server kek security-associations saisissez les commandes show security group-vpn server kek security-associations detail de chaque sous-serveur.

À partir du mode opérationnel, saisissez show security group-vpn member kek security-associations les commandes de chaque membre du show security group-vpn member kek security-associations detail groupe.

Pour les SRX vSRX groupe:

Pour les membres du groupe MX:

Vérification des IKE SA sur les serveurs

But

Affichez IKE associations de sécurité sur les serveurs.

Action

Depuis le mode opérationnel, saisissez show security group-vpn server ike security-associations les commandes et les commandes sur le serveur show security group-vpn server ike security-associations detail racine.

À partir du mode opérationnel, show security group-vpn server ike security-associations saisissez les commandes show security group-vpn server ike security-associations detail de chaque sous-serveur.

Vérification des SA IPsec sur les serveurs et les membres du groupe

But

Affichez les associations de sécurité IPsec (SA) sur les serveurs et les membres du groupe.

Action

Depuis le mode opérationnel, saisissez show security group-vpn server ipsec security-associations les commandes et les commandes sur le serveur show security group-vpn server ipsec security-associations detail racine.

À partir du mode opérationnel, show security group-vpn server ipsec security-associations saisissez les commandes show security group-vpn server ipsec security-associations detail de chaque sous-serveur.

Depuis le mode opérationnel, saisissez show security group-vpn member ipsec security-associations les commandes de chaque membre du show security group-vpn member ipsec security-associations detail groupe

Pour les SRX vSRX groupe:

Pour les membres du groupe MX:

Vérification des polices IPsec sur les membres du groupe

But

Affichez la stratégie IPsec sur un SRX ou un vSRX groupe de membres.

Cette commande n’est pas disponible MX Series groupe de membres.

Action

À partir du mode opérationnel, saisissez la commande show security group-vpn member policy sur SRX vSRX membres du groupe.