Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Clusters de serveurs VPNv2 de groupe

Le cluster de serveurs VPNv2 de groupe offre une redondance GCKS (Group Controller/Key Server), de sorte qu’il n’y a pas de point unique de défaillance pour l’ensemble du réseau VPN du groupe.

Comprendre les clusters de serveurs VPNv2 de groupe

Dans le protocole GDOI (Group Domain of Interpretation), le contrôleur de groupe/serveur de clés (GCKS) gère les associations de sécurité VPN de groupe (SAS), génère des clés de chiffrement et les distribue aux membres du groupe. Les membres du groupe chiffrent le trafic en fonction des sla et clés de groupe fournis par le GCKS. Si le GCKS échoue, les membres du groupe ne peuvent pas s’inscrire ou obtenir des clés. Un cluster de serveurs GROUP VPNv2 fournit une redondance GCKS afin qu’il n’y ait aucun point de défaillance unique pour l’ensemble du réseau VPN du groupe. Les clusters de serveurs VPNv2 de groupe peuvent également assurer l’équilibrage de charge, l’évolutivité et la redondance des liaisons.

Le VPNv2 de groupe est pris en charge sur les équipements SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 et SRX4600 et les instances vSRX. Tous les serveurs d’un cluster de serveurs VPNv2 de groupe doivent être pris en charge sur les équipements SRX Series ou les instances vSRX. Les clusters de serveurs VPNv2 de groupe sont une solution propriétaire de Juniper Networks et ne présentent aucune interopérabilité avec le GCKS d’un autre fournisseur.

Serveur racine et sous-serveurs

Un cluster de serveurs VPNv2 de groupe se compose d’un serveur racine avec jusqu’à quatre sous-serveurs connectés. Tous les serveurs du cluster partagent les mêmes clés de chiffrement et SA que celles distribuées aux membres du groupe VPNv2. Les serveurs du cluster peuvent être localisés sur différents sites, comme illustré dans Figure 1.

Figure 1 : Cluster de serveurs VPNv2 de groupeCluster de serveurs VPNv2 de groupe

Les messages entre les serveurs du cluster sont chiffrés et authentifiés par les SAs IKE. Le serveur racine est responsable de la génération et de la distribution des clés de chiffrement aux sous-serveurs; En raison de cette responsabilité, nous recommandons que le serveur racine soit configuré en tant que cluster de châssis. Les sous-serveurs sont des équipements uniques et ne peuvent pas être des clusters de châssis. Les sous-serveurs doivent pouvoir se connecter au serveur racine, même s’il n’est pas nécessaire d’établir des liens directs entre les sous-serveurs.

Si un sous-serveur perd sa connexion au serveur racine, aucune autre connexion au sous-serveur à partir des membres du groupe n’est autorisée et les accords de niveau de service sont supprimés. Par conséquent, nous vous recommandons d’utiliser un lien différent pour connecter chaque sous-serveur au serveur racine.

Les clusters de serveurs VPNv2 de groupe sont configurés avec les server-cluster instructions au niveau de la hiérarchie [edit security group-vpn server group-name]. Les valeurs suivantes doivent être configurées pour chaque serveur d’un cluster :

  • Le rôle du serveur : spécifiez l’un ou l’autre root-server ou sub-server. Un serveur donné peut faire partie de plusieurs clusters de serveurs VPNv2 de groupe, mais il doit avoir le même rôle de serveur dans tous les clusters. Un serveur ne peut pas être configuré avec le rôle de serveur racine dans un groupe et le rôle de sous-serveur dans un autre groupe.

    Vous devez vous assurer qu’il n’y a qu’un seul serveur racine à tout moment pour un cluster de serveurs GROUP VPNv2.

  • Passerelle IKE : spécifiez le nom d’une passerelle IKE configurée au niveau de la hiérarchie [edit security group-vpn server ike]. Pour un serveur racine, la passerelle IKE doit être un sous-serveur du cluster. jusqu’à quatre sous-serveurs peuvent être spécifiés. Pour les sous-serveurs, la passerelle IKE doit être le serveur racine.

    Le serveur racine et les sous-serveurs doivent être configurés avec dead-peer-detection always-send et ne peuvent pas être configurés pour une adresse IP dynamique (non spécifiée). Les membres du groupe ne sont pas configurés avec la détection des pairs morts.

La configuration GROUP VPNv2 doit être la même sur chaque sous-serveur d’un groupe donné.

Chaque sous-serveur du cluster de serveurs GROUP VPNv2 fonctionne comme un GCKS normal pour l’inscription et la suppression des membres. Une fois l’inscription réussie, le serveur d’inscription est chargé d’envoyer les mises à jour au membre. Pour un groupe donné, vous pouvez configurer le nombre maximum de membres VPNv2 de groupe pouvant être acceptés par chaque sous-serveur ; ce numéro doit être le même sur tous les sous-serveurs du cluster. Un sous-serveur cesse de répondre aux demandes d’inscription des nouveaux membres lorsqu’il atteint le nombre maximum configuré de membres VPNv2 de groupe. Voir Équilibrage de charge.

Inscription des membres du groupe avec les clusters de serveurs

Les membres du groupe peuvent s’inscrire sur n’importe quel serveur du cluster de serveurs GROUP VPNv2 pour un groupe donné. Toutefois, nous recommandons que les membres se connectent uniquement aux sous-serveurs et non au serveur racine. Il est possible de configurer jusqu’à quatre adresses serveur sur chaque membre du groupe. Les adresses serveur configurées sur les membres du groupe peuvent être différentes. Dans l’exemple ci-dessous, le membre de groupe A est configuré pour les sous-serveurs 1 à 4, tandis que le membre B pour les sous-serveurs 4 et 3 :

Membre du groupe A :

Membre du groupe B :

Adresses serveur :

Sous-serveur 1

Sous-serveur 2

Sous-serveur 3

Sous-serveur 4

Sous-serveur 4

Sous-serveur 3

L’ordre d’adresses du serveur est important pour un membre. Un membre du groupe tente de s’inscrire auprès du premier serveur configuré. Si l’inscription sur un serveur configuré ne réussit pas, le membre du groupe tente de s’inscrire auprès du serveur configuré suivant.

Chaque serveur d’un cluster de serveurs VPNv2 de groupe fonctionne comme un GCKS normal pour l’inscription et la suppression des membres. Une fois l’inscription réussie, le serveur d’inscription est chargé d’envoyer les mises à jour au membre via groupkey-push des échanges. Pour un groupe donné, vous pouvez configurer le nombre maximum de membres de groupe pouvant être acceptés par chaque serveur, mais ce nombre doit être le même sur tous les serveurs du cluster pour un groupe donné. Une fois le nombre maximum de membres du groupe configuré atteint, un serveur cesse de répondre aux demandes d’inscription des nouveaux membres. Voir Équilibrage de charge pour plus d’informations.

Détection des pairs morts

Pour vérifier la disponibilité des serveurs pairs dans un cluster de serveurs GROUP VPNv2, chaque serveur du cluster doit être configuré pour envoyer des requêtes DPD (Dead Peer Detection), que le trafic IPsec sortant soit ou non envoyé à l’pair. Cette fonction est configurée avec l’instruction dead-peer-detection always-send au niveau de la hiérarchie [edit security group-vpn server ike gateway gateway-name].

Un serveur actif dans un cluster de serveurs GROUP VPNv2 envoie des sondes DPD aux passerelles IKE configurées dans le cluster de serveurs. Le DPD ne doit pas être configuré pour un groupe, car plusieurs groupes peuvent partager la même configuration de passerelle IKE de serveur pair. Lorsque le DPD détecte qu’un serveur est en panne, l’IKE SA avec ce serveur est supprimé. Tous les groupes marquent le serveur comme inactif et le DPD au serveur est arrêté.

Il ne doit pas être configuré pour la passerelle IKE sur les membres du groupe.

Lorsque le DPD marque l’inactivité du serveur racine, les sous-serveurs arrêtent de répondre aux nouvelles demandes des membres du groupe, mais les AAS existants pour les membres de groupe actuels restent actifs. Un sous-serveur inactif n’envoie pas de suppression aux membres du groupe car les SAS peuvent être toujours valides et les membres du groupe peuvent continuer à utiliser des SAS existants.

Si un IKE SA expire alors qu’un serveur pair est toujours actif, le DPD déclenche une négociation IKE SA. Étant donné que les serveurs racine et les sous-serveurs peuvent déclencher des SAS IKE via DPD, la négociation simultanée peut entraîner plusieurs ACCORDS IKE. Aucun impact sur les fonctionnalités des clusters de serveurs n’est attendu dans ce cas.

Équilibrage de charge

Il est possible d’équilibrer la charge dans le cluster de serveurs GROUP VPNv2 en configurant la bonne member-threshold valeur pour le groupe. Lorsque le nombre de membres inscrits sur un serveur dépasse la valeur, l’inscription member-threshold suivante du membre sur ce serveur est rejetée. L’inscription du membre échoue sur le serveur suivant configuré sur le membre du groupe jusqu’à ce qu’il atteigne un serveur dont member-threshold la connexion n’est pas encore atteinte.

Deux restrictions sont imposées à la configuration de la plate-forme member-threshold:

  • Pour un groupe donné, la même member-threshold valeur doit être configurée sur le serveur racine et tous les sous-serveurs d’un cluster de serveurs de groupe. Si le nombre total de membres du groupe dépasse la valeur configurée member-threshold , une groupkey-pull inscription lancée par un nouveau membre est rejetée (le serveur n’envoie pas de réponse).

  • Un serveur peut prendre en charge les membres de plusieurs groupes. Chaque serveur dispose d’un nombre maximal de membres de groupe qu’il peut prendre en charge. Si un serveur atteint le nombre maximal de membres qu’il peut prendre en charge, une groupkey-pull inscription lancée par un nouveau membre est rejetée même si la member-threshold valeur d’un groupe spécifique n’a pas été atteinte.

Il n’y a pas de synchronisation de membre entre les serveurs du cluster. Le serveur racine ne dispose pas d’informations sur le nombre de membres inscrits sur les sous-serveurs. Chaque sous-serveur affiche uniquement ses propres membres enregistrés.

Comprendre les limites des clusters de serveurs VPNv2 de groupe

Le VPNv2 de groupe est pris en charge sur les équipements SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 et SRX4600 et les instances vSRX. Notez les avertissements suivants lors de la configuration des clusters de serveurs VPNv2 de groupe :

  • L’authentification par certificat n’est pas prise en charge pour l’authentification du serveur ; seules les clés pré-partagées peuvent être configurées.

  • Aucune synchronisation de configuration n’est disponible entre les serveurs du cluster de serveurs VPNv2 de groupe.

  • Lors de l’activation d’un cluster de serveurs GROUP VPNv2, la configuration doit être effectuée d’abord sur le serveur racine, puis sur les sous-serveurs. Jusqu’à ce que la configuration soit synchronisée manuellement entre les serveurs, des pertes de trafic peuvent être attendues pendant la modification de la configuration.

  • Dans certains cas, les SAs des membres VPNv2 de groupe peuvent être hors synchronisation. Les membres des VPN de groupe peuvent synchroniser les SAs en obtenant une nouvelle clé via un groupkey-pull échange. Vous pouvez effacer manuellement les SAs sur un membre VPNv2 de groupe à l’aide de ces commandes clear security group-vpn member group pour accélérer la clear security group-vpn member ipsec security-associations récupération.

  • Le cluster de serveurs GROUP VPNv2 ne prend pas en charge ISSU.

  • Si le dernier groupkey-pull message est perdu lors de l’inscription d’un membre DU GROUPE VPNv2, un serveur peut considérer qu’il est membre enregistré, même si le membre peut basculer vers le serveur suivant du cluster de serveurs. Dans ce cas, le même membre peut sembler enregistré sur plusieurs serveurs. Si le seuil total de membre sur tous les serveurs équivaut au nombre total de membres déployés, les membres du groupe suivant risquent de ne pas s’inscrire.

Notez les avertissements suivants concernant les opérations de cluster de châssis sur le serveur racine :

  • Aucune statistique n’est conservée.

  • Aucune donnée ou état de négociation n’est enregistré. Si un basculement du cluster de châssis du serveur racine survient lors d’une négociation ou groupkey-push d’une groupkey-pull négociation, la négociation n’est pas redémarrée après le basculement.

  • Si les deux nœuds de cluster de châssis d’un serveur racine tombent en panne lors d’une nouvelle clé de chiffrement, certains membres du groupe VPNv2 peuvent recevoir la nouvelle clé, alors que d’autres membres ne le font pas. Le trafic peut être impacté. L’autorisation manuelle d’effacer les SAs sur un membre GROUP VPNv2 avec les clear security group-vpn member ipsec security-associations commandes clear security group-vpn member group peut accélérer la récupération lorsque le serveur racine devient accessible.

  • Dans un environnement à grande échelle, le basculement RG0 sur le serveur racine peut prendre du temps. Si l’intervalle et le seuil DPD d’un sous-serveur sont configurés avec de petites valeurs, le sous-serveur peut marquer le serveur racine comme inactif lors d’un basculement RG0. Le trafic peut être impacté. Il est recommandé de configurer la passerelle IKE pour le sous-serveur avec une valeur DPD interval * threshold supérieure à 150 secondes.

Comprendre les messages de cluster du serveur VPNv2 de groupe

Le VPNv2 de groupe est pris en charge sur les équipements SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 et SRX4600 et les instances vSRX. Tous les messages entre les serveurs d’un cluster de serveurs GROUP VPNv2 sont chiffrés et authentifiés par une association de sécurité IKE (SA). Chaque sous-serveur lance un IKE SA avec le serveur racine ; cet IKE SA doit être établi avant de pouvoir échanger des messages entre les serveurs.

Cette section décrit les messages échangés entre le serveur racine et les sous-serveurs.

Échanges de clusters

Figure 2 affiche les messages de base échangés entre le cluster de serveurs GROUP VPNv2 et les membres du GROUPE VPNv2.

Figure 2 : Messages de cluster de serveurs VPNv2 de groupeMessages de cluster de serveurs VPNv2 de groupe

Échanges entre clusters

Un sous-serveur lance un échange d’initialisation (cluster-init) de cluster avec le serveur racine afin d’obtenir des informations sa et de clés de chiffrement. Le serveur racine répond en envoyant les informations SA actuelles au sous-serveur via l’échange cluster-init .

Les sous-serveurs peuvent ensuite répondre aux demandes d’inscription des membres du VPNv2 de groupe via un groupkey-pull échange. Cet groupkey-pull échange permet à un membre DUNv2 de groupe de demander des SAs et clés partagés par le groupe à partir d’un sous-serveur.

Les sous-serveurs démarrent un cluster-init échange avec le serveur racine lorsque :

  • Le serveur racine est considéré comme inactif. Il s’agit de l’état supposé initial du serveur racine. S’il n’y a pas d’IKE SA entre le serveur racine et le sous-serveur, le sous-serveur lance un IKE SA avec le serveur racine. Après un échange réussi cluster-init , le sous-serveur obtient des informations sur les accords de niveau de service et marque le serveur racine comme actif.

  • La durée de vie du SA a expiré.

  • Un cluster-update message est reçu pour supprimer tous les SAs.

  • Il y a des changements de configuration de groupe.

En cas de défaillance de l’échange cluster-init , le sous-serveur tente à nouveau l’échange avec le serveur racine toutes les 5 secondes.

Messages de mise à jour de cluster

L’échange groupkey-push est un message de clé en main unique qui permet à un contrôleur de groupe/serveur de clés (GCKS) d’envoyer des sla de groupe et des clés aux membres avant l’expiration des AAS de groupe existants et de mettre à jour l’appartenance au groupe. Les messages de re-clés sont des messages non sollicités envoyés par le GCKS aux membres

Une fois que vous générez de nouvelles clés de chiffrement pour un serveur SA, le serveur racine envoie des mises à jour SA à tous les sous-serveurs actifs via un cluster-update message. Après réception d’un cluster-update serveur racine, le sous-serveur installe le nouveau sa et envoie les nouvelles informations sa par l’intermédiaire d’un groupkey-push à ses membres de groupe enregistrés.

Un cluster-update message envoyé par le serveur racine nécessite une reconnaissance de la part du sous-serveur. Si aucun accusé de réception n’est reçu d’un sous-serveur, le serveur racine retransmet la cluster-update période de retransmission configurée (la durée par défaut est de 10 secondes). Le serveur racine ne retransmet pas si la détection d’appairage mort (DPD) indique que le sous-serveur n’est pas disponible. Si un sous-serveur ne parvient pas à mettre à jour les informations sa après réception d’un cluster-update, il n’envoie pas d’accusé de réception et le serveur racine retransmet le cluster-update message.

Si la durée de vie faible d’un SA expire avant qu’un nouveau SA ne soit reçu du serveur racine, le sous-serveur envoie un cluster-init message au serveur racine afin d’obtenir tous les SAs et n’envoie groupkey-push aucun message à ses membres tant qu’il n’a pas reçu une nouvelle mise à jour. Si la durée de vie difficile d’un SA expire sur le sous-serveur avant de recevoir un nouveau SA, le sous-serveur marque l’inactivité du serveur racine, supprime tous les membres du groupe enregistré et continue d’envoyer cluster-init des messages au serveur racine.

Un cluster-update message peut être envoyé pour supprimer un sa ou un membre du groupe; il peut s’agir d’une clear commande ou d’une modification de configuration. Si un sous-serveur reçoit un cluster-update message de suppression d’un serveur SA, il envoie un groupkey-push message de suppression à ses membres de groupe et supprime le sa correspondant. Si tous les SAs d’un groupe sont supprimés, le sous-serveur lance un cluster-init échange avec le serveur racine. Si tous les membres enregistrés sont supprimés, le sous-serveur supprime tous les membres enregistrés localement.

Comprendre les changements de configuration avec les clusters de serveurs VPNv2 de groupe

Le VPNv2 de groupe est pris en charge sur les équipements SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 et SRX4600 et les instances vSRX. Les clusters de serveurs VPNv2 de groupe se comportent différemment des serveurs VPNv2 de groupe autonomes lorsqu’il y a des changements de configuration qui entraînent de nouvelles clés de chiffrement et des modifications aux associations de sécurité (AAS). Le serveur racine envoie des mises à jour ou des suppressions SA à des sous-serveurs via cluster-update des messages. Les sous-serveurs envoient groupkey-push ensuite des messages aux membres. Les sous-serveurs ne peuvent pas envoyer de messages de suppression aux membres du groupe sans recevoir au préalable des messages de suppression du serveur racine.

Toutes les modifications de configuration doivent être apportées au serveur racine d’abord, puis aux sous-serveurs pour s’assurer que les membres du groupe reçoivent les mises à jour ou les suppressions comme prévu. Jusqu’à ce que la configuration soit synchronisée entre les serveurs du cluster de serveurs GROUP VPNv2, il est possible de s’attendre à une perte de trafic.

Tableau 1 décrit les effets de diverses modifications de configuration sur les serveurs VPNv2 de groupe.

Tableau 1 : Effets des modifications de configuration sur les serveurs VPNv2 de groupe

Modification de configuration

Action autonome du serveur VPNv2 de groupe

Action du cluster de serveurs VPNv2 de groupe

Serveur racine

Sous-serveur

Modifier la proposition, la stratégie ou la passerelle IKE

Supprimez l’IKE SA pour la passerelle affectée. Pour les propositions, stratégies ou suppressions de passerelle IKE, supprimez les membres enregistrés pour la passerelle concernée.

Modifier la proposition IPsec

Les modifications prennent effet après la clé de chiffrement du trafic (TEK) re-clé.

Modifications de groupe :

Supprimer le nom du groupe

Envoyez « delete all » (supprimer tout) aux membres du groupe. Supprimez tous les SAS IKE du groupe. Supprimez immédiatement toutes les clés du groupe. Supprimez tous les membres inscrits du groupe.

Envoyez « delete all » (supprimer tout) aux sous-serveurs. Supprimez immédiatement toutes les clés du groupe. Marquer tous les pairs inactifs. Supprimer les SAS IKE sous-serveur. Supprimez tous les SAS IKE membres.

Supprimez tous les SAS IKE membres. Supprimez immédiatement toutes les clés du groupe. Supprimez tous les membres inscrits du groupe. Mark peer inactif. Supprimez les SAS IKE du serveur pair.

Modifier l’ID

Envoyez « delete all » à tous les membres. Supprimez tous les SAS IKE du groupe. Supprimez immédiatement toutes les clés du groupe. Supprimez tous les membres inscrits du groupe. Générez de nouvelles clés en fonction de la configuration.

Envoyez « delete all » (supprimer tout) aux sous-serveurs. Supprimez tous les SAS IKE membres du groupe. Supprimez immédiatement toutes les clés du groupe. Marquer tous les pairs inactifs. Supprimez tous les SAS IKE du serveur pair. Générez de nouvelles clés en fonction de la configuration.

Supprimez tous les SAS IKE membres du groupe. Supprimez immédiatement toutes les clés du groupe. Supprimez tous les membres inscrits du groupe. Mark peer inactif. Supprimez les SAS IKE du serveur pair. Lancer un nouvel cluster-init échange.

Ajout ou suppression de la passerelle IKE

Aucun changement pour les ajouts. Pour les suppressions, supprimez l’IKE SA et les membres enregistrés pour la passerelle concernée.

Ajout ou modification d’une fenêtre d’heure anti-replay

Une nouvelle valeur prend effet après la clé en main tek.

Ajout ou modification d’aucun anti-replay

Une nouvelle valeur prend effet après la clé en main tek.

Changements de communication entre les membres du serveur :

Ajouter

Supprimez tous les membres enregistrés. Générez la clé de chiffrement (KEK) SA.

Générez KEK SA. Envoyer le nouveau KEK SA au sous-serveur. Supprimez tous les SAS IKE membres.

Supprimez tous les membres enregistrés.

Modifier

Une nouvelle valeur prend effet après la clé en main du KEK.

Supprimer

Envoyer supprimer pour supprimer tous les SAS KEK. Supprimer KEK SA.

Envoyer la suppression aux sous-serveurs. Supprimer KEK SA. Supprimez tous les SAS IKE membres.

Supprimer KEK SA.

IPsec SA :

Ajouter

Générez de nouveaux TEK SA. Mettez à jour le nouveau TEK SA sur les membres.

Générez de nouveaux TEK SA. Envoyer le nouveau TEK SA aux sous-serveurs.

Aucune action.

Modifier

Une nouvelle valeur prend effet après la clé en main de TEK.

Si la politique de correspondance change, le TEK actuel est immédiatement supprimé et supprime groupkey-push, car les membres doivent être explicitement avertis que cette configuration est supprimée.

Si la stratégie de correspondance change, envoyez la suppression aux sous-serveurs. Supprimez tek immédiatement.

Si la politique de correspondance change, supprimez immédiatement TEK.

Supprimer

Supprimez tek immédiatement. Envoyer la suppression pour supprimer ce TEK SA.

Envoyer la suppression aux sous-serveurs. Supprimez tek immédiatement.

Supprimez tek immédiatement.

Tableau 2 décrit les effets de la modification de la configuration de cluster de serveur GROUP VPNv2.

Vous devez vous assurer qu’il n’y a qu’un seul serveur racine dans un cluster de serveurs à tout moment.

Tableau 2 : Effets des changements de configuration des clusters de serveurs VPNv2 de groupe

Modification de la configuration des clusters de serveurs

Cluster de serveurs VPNv2 de groupe

Serveur racine

Sous-serveur

Proposition, stratégie ou passerelle IKE (pair de cluster)

Pour les ajouts, il n’y a pas de changement. Pour les modifications ou les suppressions, supprimez l’IKE SA pour l’pair affecté.

Cluster de serveurs :

Ajouter

Aucun.

Envoyez « delete all » (supprimer tout) aux membres du groupe. Supprimez tous les SAS IKE membres du groupe. Supprimez tous les TEK et KEK immédiatement dans le groupe. Supprimez tous les membres inscrits du groupe. Envoyer cluster-init au serveur racine.

Changer de rôle

Vous devez vous assurer qu’il n’y a qu’un seul serveur racine dans un cluster de serveurs à tout moment.

Envoyez « delete all » (supprimer tout) aux sous-serveurs. Supprimez tous les SAS IKE membres du groupe. Supprimez tous les TEK et KEK immédiatement dans le groupe. Marquer tous les pairs inactifs. Supprimez tous les SAS IKE du serveur pair. Envoyer cluster-init au serveur racine.

Repasser la clé TEK. Rekey KEK. Envoyez de nouvelles clés aux sous-serveurs. Envoyez de nouvelles clés aux membres.

Ajouter un pair

Aucun.

Supprimer l’appairage

Mark peer inactif. Effacer le peer IKE SA.

Mark peer inactif. Effacer KEK. Effacer TEK. Effacer le peer IKE SA.

Période de retransmission des modifications

Aucun.

Supprimer le cluster de serveurs

Envoyez « delete all » (supprimer tout) aux sous-serveurs. Supprimez tous les TEK et KEK immédiatement dans le groupe. Marquer tous les pairs inactifs. Supprimez tous les SAS IKE du serveur pair. Générez de nouveaux TEK et KEKs en fonction de la configuration.

Supprimez tous les SAS IKE membres du groupe. Supprimez tous les TEK et KEK immédiatement dans le groupe. Supprimez tous les membres inscrits du groupe. Mark peer inactif. Supprimez les SAS IKE du serveur pair. Générez de nouveaux TEK et KEK en fonction de la configuration.

Migration d’un serveur VPNv2 de groupe autonome vers un cluster de serveurs VPNv2 de groupe

Le VPNv2 de groupe est pris en charge sur les équipements SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 et SRX4600 et les instances vSRX. Cette section explique comment migrer un serveur VPNv2 de groupe autonome vers un cluster de serveurs GROUP VPNv2.

Pour migrer un serveur GROUP VPNv2 autonome vers un serveur racine :

Nous recommandons vivement que le serveur racine soit un cluster de châssis.

  1. Mettez à niveau le serveur VPNv2 de groupe autonome vers un cluster de châssis. Pour plus d’informations, consultez le Guide de l’utilisateur de Chassis Cluster pour les équipements SRX Series .

    Un redémarrage est requis lors de la mise à niveau d’un équipement SRX Series autonome vers un nœud de cluster de châssis. Une perte de trafic est attendue.

  2. Sur le cluster de châssis, ajoutez la configuration du cluster de serveurs GROUP VPNv2 root-server. Le rôle de serveur configuré pour le cluster doit être root-server.

    Lors de la modification de la configuration, il ne doit pas y avoir de perte de trafic parmi les membres du groupe existants.

Pour ajouter un sous-serveur au cluster de serveurs GROUP VPNv2 :

  1. Sur le serveur racine, configurez à la fois une passerelle IKE de serveur GROUP VPNv2 et une passerelle IKE de cluster de serveur pour le sous-serveur. Les SAS et le trafic membre existant ne doivent pas être impactés.

  2. Sur le sous-serveur, configurez le cluster de serveurs. N’oubliez pas que la configuration du VPNv2 de groupe doit être la même sur chaque serveur du cluster, à l’exception des passerelles IKE de serveur GROUP VPNv2, du rôle de serveur dans le cluster et des configurations de la passerelle IKE pour le cluster de serveurs. Sur le sous-serveur, le rôle de serveur configuré dans le cluster doit être sub-server. Configurez une passerelle IKE de serveur GROUP VPNv2 et une passerelle IKE de cluster de serveur pour le serveur racine.

Pour supprimer un sous-serveur du cluster de serveurs GROUP VPNv2 :

  1. Sur le serveur racine, supprimez à la fois la passerelle IKE de serveur GROUP VPNv2 et les configurations de passerelle IKE de cluster de serveurs pour le sous-serveur. Les SAS et le trafic membre existant ne doivent pas être impactés.

  2. Mise hors tension du sous-serveur.

Exemple : Configuration d’un cluster de serveurs VPNv2 de groupe et de membres

Cet exemple montre comment configurer un cluster de serveurs GROUP VPNv2 afin de fournir une redondance et une évolutivité GCKS (Group Controller/Key Server) aux membres du groupe VPNv2. Le VPNv2 de groupe est pris en charge sur les équipements SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 et SRX4600 et les instances vSRX.

Conditions préalables

L’exemple utilise les composants matériels et logiciels suivants :

  • Huit équipements SRX Series ou instances vSRX pris en charge exécutant Junos OS Version 15.1X49-D30 ou ultérieure prenant en charge group VPNv2 :

    • Deux équipements ou instances sont configurés pour fonctionner comme un cluster de châssis. Le cluster de châssis fonctionne comme le serveur racine du cluster de serveurs VPNv2 de groupe. Les équipements ou instances doivent avoir la même version logicielle et les mêmes licences.

      Le serveur racine est responsable de la génération et de la distribution des clés de chiffrement aux sous-serveurs du cluster de serveurs VPN de groupe; en raison de cette responsabilité, nous recommandons que le serveur racine soit un cluster de châssis.

    • Quatre autres équipements ou instances fonctionnent comme sous-serveurs dans le cluster de serveurs VPNv2 de groupe.

    • Deux autres équipements ou instances fonctionnent comme membres du groupe VPNv2 du groupe.

  • Deux équipements MX Series exécutant Junos OS version 15.1R2 ou ultérieure qui prennent en charge group VPNv2. Ces équipements fonctionnent en tant que membres du groupe VPNv2.

Un nom d’hôte, un mot de passe de l’administrateur racine et un accès à la gestion doivent être configurés sur chaque équipement SRX Series ou instance vSRX. Il est recommandé de configurer le protocole NTP sur chaque équipement.

Les configurations de cet exemple se concentrent sur ce qui est nécessaire pour le fonctionnement du VPNv2 de groupe, en fonction de la topologie décrite dans Figure 3. Certaines configurations, telles que les configurations d’interface, de routage ou de cluster de châssis, ne sont pas incluses ici. Par exemple, le fonctionnement du VPNv2 de groupe nécessite une topologie de routage opérationnelle qui permet aux équipements clients d’atteindre les sites auxquels ils sont destinés sur l’ensemble du réseau. cet exemple ne couvre pas la configuration du routage statique ou dynamique.

Présentation

Dans cet exemple, le réseau GROUP VPNv2 se compose d’un cluster de serveurs et de quatre membres. Le cluster de serveurs se compose d’un serveur racine et de quatre sous-serveurs. Deux des membres sont des équipements SRX Series ou des instances vSRX, tandis que les deux autres membres sont des équipements MX Series.

Les SAS VPN de groupe doivent être protégés par un SA de phase 1. Par conséquent, la configuration vpn de groupe doit inclure la configuration des négociations de phase 1 IKE sur le serveur racine, les sous-serveurs et les membres du groupe. Les configurations IKE sont décrites comme suit.

Sur le serveur racine :

  • La stratégie SubSrv IKE permet d’établir des accords de niveau de service (SAS) de phase 1 pour chaque sous-serveur.

  • Une passerelle IKE est configurée avec la détection des pairs morts (DPD) pour chaque sous-serveur.

  • Le rôle de cluster de serveur est root-server et chaque sous-serveur est configuré en tant que passerelle IKE pour le cluster de serveurs.

Le serveur racine doit être configuré pour prendre en charge le fonctionnement du cluster de châssis. Dans l’exemple, les interfaces Ethernet redondantes du serveur racine se connectent à chacun des sous-serveurs du cluster de serveurs ; l’ensemble de la configuration du cluster de châssis n’est pas visible.

Sur chaque sous-serveur :

  • Deux stratégies IKE sont configurées : RootSrv permet d’établir un SA de phase 1 avec le serveur racine et GMs d’établir des AS de phase 1 avec chaque membre du groupe.

    Les clés pré-partagées sont utilisées pour sécuriser les sla de phase 1 entre le serveur racine et les sous-serveurs, ainsi qu’entre les sous-serveurs et les membres du groupe. Assurez-vous que les clés prépartage utilisées sont des clés solides. Sur les sous-serveurs, la clé pré-partagée configurée pour la stratégie RootSrv IKE doit correspondre à la clé pré-partagée configurée sur le serveur racine, et la clé pré-partagée configurée pour la stratégie GMs IKE doit correspondre à la clé pré-partagée configurée sur les membres du groupe.

  • Une passerelle IKE est configurée avec DPD pour le serveur racine. En outre, une passerelle IKE est configurée pour chaque membre du groupe.

  • Le rôle de cluster de serveur est sub-server et le serveur racine est configuré comme passerelle IKE pour le cluster de serveurs.

Sur chaque membre du groupe :

  • La stratégie SubSrv IKE permet d’établir des SAS de phase 1 avec les sous-serveurs.

  • La configuration de la passerelle IKE comprend les adresses des sous-serveurs.

Sur les équipements SRX Series ou les membres du groupe vSRX, une stratégie IPsec est configurée pour le groupe avec la zone LAN comme zone from (trafic entrant) et la zone WAN en tant que zone vers zone (trafic sortant). Une stratégie de sécurité est également nécessaire pour autoriser le trafic entre les zones LAN et WAN.

Le même identifiant de groupe doit être configuré à la fois sur le serveur de groupe et sur les membres du groupe. Dans cet exemple, le nom du groupe est GROUP_ID-0001 et l’identificateur de groupe est 1. La stratégie de groupe configurée sur le serveur spécifie que le SA et la clé sont appliqués au trafic entre les sous-réseaux de la plage 172.16.0.0/12.

Topologie

Figure 3 indique les équipements Juniper Networks à configurer dans cet exemple.

Figure 3 : Cluster de serveurs VPNv2 de groupe avec les membres SRX Series ou vSRX et MX SeriesCluster de serveurs VPNv2 de groupe avec les membres SRX Series ou vSRX et MX Series

Configuration

Configuration du serveur racine

Configuration rapide CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez tous les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis entrez commit du mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette méthode, reportez-vous à Using the CLI Editor in Configuration Mode dans le GUIDE DE L’UTILISATEUR CLI.

Pour configurer le serveur racine :

  1. Configurez les zones de sécurité et les stratégies de sécurité.

  2. Configurez le cluster de châssis.

  3. Configurez la proposition, la stratégie et la passerelle IKE.

  4. Configurez le SA IPsec.

  5. Configurez le groupe VPN.

  6. Configurez la stratégie de groupe.

Résultats

Depuis le mode configuration, confirmez votre configuration en entrant les show interfacescommandes , show chassis clusteret show security les . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Si vous avez terminé la configuration de l’unité, entrez commit dans le mode de configuration.

Configuration du sous-serveur 1

Configuration rapide CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez tous les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis entrez commit du mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette méthode, reportez-vous à Using the CLI Editor in Configuration Mode dans le GUIDE DE L’UTILISATEUR CLI.

Pour configurer le sous-serveur du cluster de serveurs GROUP VPNv2 :

  1. Configurez les interfaces, les zones de sécurité et les stratégies de sécurité.

  2. Configurez la proposition, la stratégie et la passerelle IKE.

  3. Configurez le SA IPsec.

  4. Configurez le groupe VPN.

  5. Configurez la stratégie de groupe.

Résultats

Depuis le mode configuration, confirmez votre configuration en entrant les show interfacesshow security commandes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Si vous avez terminé la configuration de l’unité, entrez commit dans le mode de configuration.

Configuration du sous-serveur 2

Configuration rapide CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez tous les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis entrez commit du mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette méthode, reportez-vous à Using the CLI Editor in Configuration Mode dans le GUIDE DE L’UTILISATEUR CLI.

Pour configurer le sous-serveur du cluster de serveurs GROUP VPNv2 :

  1. Configurez les interfaces, les zones de sécurité et les stratégies de sécurité.

  2. Configurez la proposition, la stratégie et la passerelle IKE.

  3. Configurez le SA IPsec.

  4. Configurez le groupe VPN.

  5. Configurez la stratégie de groupe.

Résultats

Depuis le mode configuration, confirmez votre configuration en entrant les show interfacesshow security commandes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Si vous avez terminé la configuration de l’unité, entrez commit dans le mode de configuration.

Configuration du sous-serveur 3

Configuration rapide CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez tous les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis entrez commit du mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette méthode, reportez-vous à Using the CLI Editor in Configuration Mode dans le GUIDE DE L’UTILISATEUR CLI.

Pour configurer le sous-serveur du cluster de serveurs GROUP VPNv2 :

  1. Configurez les interfaces, les zones de sécurité et les stratégies de sécurité.

  2. Configurez la proposition, la stratégie et la passerelle IKE.

  3. Configurez le SA IPsec.

  4. Configurez le groupe VPN.

  5. Configurez la stratégie de groupe.

Résultats

Depuis le mode configuration, confirmez votre configuration en entrant les show interfacesshow security commandes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Si vous avez terminé la configuration de l’unité, entrez commit dans le mode de configuration.

Configuration du sous-serveur 4

Configuration rapide CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez tous les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis entrez commit du mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette méthode, reportez-vous à Using the CLI Editor in Configuration Mode dans le GUIDE DE L’UTILISATEUR CLI.

Pour configurer le sous-serveur du cluster de serveurs GROUP VPNv2 :

  1. Configurez les interfaces, les zones de sécurité et les stratégies de sécurité.

  2. Configurez la proposition, la stratégie et la passerelle IKE.

  3. Configurez le SA IPsec.

  4. Configurez le groupe VPN.

  5. Configurez la stratégie de groupe.

Résultats

Depuis le mode configuration, confirmez votre configuration en entrant les show interfacesshow security commandes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Si vous avez terminé la configuration de l’unité, entrez commit dans le mode de configuration.

Configuration de GM-0001 (équipement SRX Series ou instance vSRX)

Configuration rapide CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez tous les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis entrez commit du mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette méthode, reportez-vous à Using the CLI Editor in Configuration Mode dans le GUIDE DE L’UTILISATEUR CLI.

Pour configurer le membre VPNv2 du groupe :

  1. Configurez les interfaces, les zones de sécurité et les stratégies de sécurité.

  2. Configurez la proposition, la stratégie et la passerelle IKE.

  3. Configurez le SA IPsec.

  4. Configurez la stratégie IPsec.

Résultats

Depuis le mode configuration, confirmez votre configuration en entrant les show interfacesshow security commandes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Si vous avez terminé la configuration de l’unité, entrez commit dans le mode de configuration.

Configuration de GM-0002 (équipement SRX Series ou instance vSRX)

Configuration rapide CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez tous les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis entrez commit du mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette méthode, reportez-vous à Using the CLI Editor in Configuration Mode dans le GUIDE DE L’UTILISATEUR CLI.

Pour configurer le membre VPNv2 du groupe :

  1. Configurez les interfaces, les zones de sécurité et les stratégies de sécurité.

  2. Configurez la proposition, la stratégie et la passerelle IKE.

  3. Configurez le SA IPsec.

  4. Configurez la stratégie IPsec.

Résultats

Depuis le mode configuration, confirmez votre configuration en entrant les show interfacesshow security commandes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Si vous avez terminé la configuration de l’unité, entrez commit dans le mode de configuration.

Configuration de GM-0003 (équipement MX Series)

Configuration rapide CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez tous les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis entrez commit du mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette méthode, reportez-vous à Using the CLI Editor in Configuration Mode dans le GUIDE DE L’UTILISATEUR CLI.

Pour configurer le membre VPNv2 du groupe :

  1. Configurez les interfaces.

  2. Configurez la proposition, la stratégie et la passerelle IKE.

  3. Configurez le SA IPsec.

  4. Configurez le filtre de service.

  5. Configurez l’ensemble de services.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant les show interfacescommandes , show securityet show servicesshow firewall . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Si vous avez terminé la configuration de l’unité, entrez commit dans le mode de configuration.

Configuration de GM-0004 (équipement MX Series)

Configuration rapide CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez tous les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis entrez commit du mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette méthode, reportez-vous à Using the CLI Editor in Configuration Mode dans le GUIDE DE L’UTILISATEUR CLI.

Pour configurer le membre VPNv2 du groupe :

  1. Configurez les interfaces.

  2. Configurez la proposition, la stratégie et la passerelle IKE.

  3. Configurez le SA IPsec.

  4. Configurez le filtre de service.

  5. Configurez l’ensemble de services.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant les show interfacescommandes , show securityet show servicesshow firewall . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Si vous avez terminé la configuration de l’unité, entrez commit dans le mode de configuration.

Vérification

Vérifiez que la configuration fonctionne correctement.

Vérification du fonctionnement du cluster de serveurs

But

Vérifiez que les équipements du cluster de serveurs reconnaissent les serveurs pairs dans le groupe. Assurez-vous que les serveurs sont actifs et que les rôles dans le cluster sont correctement assignés.

Action

Depuis le mode opérationnel, saisissez le show security group-vpn server server-cluster, show security group-vpn server server-cluster detailet show security group-vpn server statistics les commandes sur le serveur racine.

Depuis le mode opérationnel, saisissez le show security group-vpn server server-cluster, show security group-vpn server server-cluster detailet show security group-vpn server statistics les commandes sur chaque sous-serveur.

Vérification de la distribution des SAs aux membres

But

Vérifiez que les sous-serveurs ont reçu des AAS pour leur distribution aux membres du groupe et que les membres du groupe ont reçu les AAS.

Action

Depuis le mode opérationnel, saisissez les show security group-vpn server kek security-associations commandes et show security group-vpn server kek security-associations detail les informations sur le serveur racine.

Depuis le mode opérationnel, saisissez les show security group-vpn server kek security-associations commandes et show security group-vpn server kek security-associations detail les commandes sur chaque sous-serveur.

Dans le mode opérationnel, saisissez les show security group-vpn member kek security-associations commandes et show security group-vpn member kek security-associations detail les commandes de chaque membre du groupe.

Pour les membres du groupe SRX ou vSRX :

Pour les membres du groupe MX :

Vérification des SAS IKE sur les serveurs

But

Affichez les associations de sécurité IKE (SAs) sur les serveurs.

Action

Depuis le mode opérationnel, saisissez les show security group-vpn server ike security-associations commandes et show security group-vpn server ike security-associations detail les informations sur le serveur racine.

Depuis le mode opérationnel, saisissez les show security group-vpn server ike security-associations commandes et show security group-vpn server ike security-associations detail les commandes sur chaque sous-serveur.

Vérification des SAS IPsec sur les serveurs et les membres du groupe

But

Affichez les associations de sécurité IPSec (SAs) sur les serveurs et les membres du groupe.

Action

Depuis le mode opérationnel, saisissez les show security group-vpn server ipsec security-associations commandes et show security group-vpn server ipsec security-associations detail les informations sur le serveur racine.

Depuis le mode opérationnel, saisissez les show security group-vpn server ipsec security-associations commandes et show security group-vpn server ipsec security-associations detail les commandes sur chaque sous-serveur.

Depuis le mode opérationnel, saisissez les show security group-vpn member ipsec security-associations commandes et show security group-vpn member ipsec security-associations detail les commandes de chaque membre du groupe

Pour les membres du groupe SRX ou vSRX :

Pour les membres du groupe MX :

Vérification des stratégies IPsec sur les membres du groupe

But

Affichez la stratégie IPsec sur un membre du groupe SRX ou vSRX.

Cette commande n’est pas disponible pour les membres des groupes MX Series.

Action

Depuis le mode opérationnel, saisissez la commande sur les show security group-vpn member policy membres du groupe SRX ou vSRX.