Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Tunnels VPN IPsec avec clusters de châssis

SRX Series vpn IPsec sont mis en place dans un cadre de mise en cluster de châssis. Dans un cluster de châssis actif/passif, tous les tunnels VPN se terminent sur le même nœud. Dans un cluster de châssis actif/actif, les tunnels VPN peuvent se terminer sur ces deux nœuds.

Compréhension des clusters de châssis VPN IPsec active/sauvegarde

Dans un cluster de châssis actif/passif, tous les tunnels VPN se terminent sur le même nœud, comme illustré dans Figure 1 .

Figure 1 : Cluster de châssis actif/passif avec tunnels VPN IPsecCluster de châssis actif/passif avec tunnels VPN IPsec

Dans un cluster de châssis actif/actif, les tunnels VPN peuvent se terminer sur ces deux nœuds. Les deux composants du cluster de châssis peuvent transmettre activement du trafic via des tunnels VPN sur ces deux derniers en même temps, comme illustré dans Figure 2 . Ce déploiement est connu sous le nom de clusters de châssis VPN IPsecdouble de sauvegarde active.

Figure 2 : Clusters de châssis VPN IPsec de sauvegarde activeClusters de châssis VPN IPsec de sauvegarde active

Les fonctionnalités suivantes sont prise en charge par deux clusters de châssis VPN IPsec de sauvegarde active:

  • VPN basés sur le route uniquement. Les VPN basés sur des stratégies ne sont pas pris en charge.

  • IKEv1 et IKEv2.

  • Certificat numérique ou authentification clé pré-partagée.

  • IKE interfaces de tunnel sécurisées (st0) dans les routeurs virtuels.

  • traduction des adresses réseau-Traversal (NAT-T).

  • Surveillance VPN.

  • Détection des pairs morts.

  • Mise à niveau logicielle en cours d’utilisation (ISSU).

  • Insertion de cartes de traitement des services (SPC) sur un équipement de cluster de châssis sans perturber le trafic sur les tunnels VPN existants. Voir la prise en charge VPN pour l’insertion de cartes de traitement des services.

  • Protocoles de routage dynamique.

  • Interfaces de tunnel sécurisées (st0) configurées en mode point à multipoint.

  • VPN automatique avec interfaces st0 en mode point à point avec sélecteurs de trafic.

  • Modes tunnel IPv4-in-IPv4, IPv6-in-IPv4, IPv6-in-IPv6 et IPv4-in-IPv6.

  • Trafic fragmenté.

  • L’interface de bouclation peut être configurée comme interface externe du VPN.

Les clusters de châssis VPN IPsec de sauvegarde double actif ne peuvent pas être configurés avec des flux en mode Z. Les flux en mode Z se produisent lorsque le trafic pénètre une interface sur un nœud de cluster de châssis, passe par la liaison de structure et sort par une interface sur l’autre nœud du cluster.

Exemple: Configuration des groupes de redondance pour les interfaces de bouclage

Cet exemple montre comment configurer un groupe de redondance (RG) pour une interface de loopback afin d’éviter toute défaillance du VPN. Des groupes de redondance sont utilisés pour regrouper les interfaces dans un groupe à des fins de resserrage dans un environnement de cluster de châssis.

Conditions préalables

Cet exemple utilise le matériel et les logiciels suivants:

  • Une paire d’équipements de regroupement de châssis SRX Series pris en charge

  • Équipement SSG140 ou équivalent

  • Deux commutateurs

  • Junos OS version 12.1x44-D10 ou ultérieure pour les passerelles SRX Series Services

Avant de commencer:

Comprendre les interfaces Ethernet redondantes des clusters de châssis. Consultez le Guide de l’utilisateur Chassis Cluster pour SRX Series périphériques mobiles.

Présentation

Une passerelle Internet Key Exchange (IKE) a besoin d’une interface externe pour communiquer avec un équipement pair. Dans un environnement de cluster de châssis, le nœud sur lequel l’interface externe est active sélectionne une unité de traitement des services (SPU) pour prendre en charge le tunnel VPN. IKE et les paquets IPsec sont traitées sur ce processeur. C’est donc l’interface externe active qui décide de l’ancrage du SPU.

Dans un environnement de cluster de châssis, l’interface externe est une interface Ethernet redondante. Une interface Ethernet redondante peut tomber en panne lorsque ses interfaces physiques (enfant) sont en panne. Vous pouvez configurer une interface de bouclation en tant qu’interface physique alternative pour atteindre la passerelle pair. Les interfaces de bouclage peuvent être configurées sur n’importe quel groupe de redondance. Cette configuration de groupe de redondance n’est vérifiée que pour les paquets VPN, car seuls les paquets VPN doivent trouver le processeur d’ancrage via l’interface active.

Vous devez configurer lo0.x dans un routeur virtuel personnalisé, puisque l’option lo0.0 se trouve dans le routeur virtuel par défaut et qu’une seule interface de bouclisation est autorisée dans un routeur virtuel.

Figure 3 montre un exemple de topologie VPN de cluster de châssis en boucle. Dans cette topologie, l’équipement SRX Series cluster de châssis est situé à Sunnyvale, Californie. Le SRX Series cluster de châssis fonctionne comme une passerelle unique dans ce cadre. L SSG Series (ou un équipement tiers) est situé à Chicago, Illinois. Cet équipement joue le rôle d’équipement pair au cluster de châssis SRX et contribue à la création d’un tunnel VPN.

Figure 3 : Interface de bouclée pour VPN de cluster de châssisInterface de bouclée pour VPN de cluster de châssis

Configuration

Procédure

CLI configuration rapide

Pour configurer rapidement cette section de l’exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les interruptions de ligne, modifiez tous les détails nécessaires pour correspondre à votre configuration réseau, copiez et collez les commandes dans le CLI au niveau de la hiérarchie, puis entrez à partir du [edit]commit mode de configuration.

Procédure étape par étape

Pour configurer un groupe de redondance pour une interface de bouclage:

  1. Configurez l’interface de bouclage dans un groupe de redondance.

  2. Configurez l’adresse IP de l’interface loopback.

  3. Configurer les options de routage.

  4. Configurez l’interface de bouclation en tant qu’interface externe pour la IKE externe.

  5. Configurez une proposition IPsec.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant les show interfaces lo0 commandes et le , et show routing-instancesshow security ikeshow security ipsec le Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Si vous avez terminé la configuration de l’équipement, commit saisissez-le en mode de configuration.

Vérification

Vérification de la configuration

But

Vérifiez que la configuration des groupes de redondance pour les interfaces de bouclage est correcte.

Action

À partir du mode opérationnel, saisissez la show chassis cluster interfaces commande.

Sens

La commande affiche les informations des interfaces du cluster de show chassis cluster interfaces châssis. Si l’état du champ Informations de la pseudo-interface redondante affiche l’interface los0 en tant que haut et l’état des champs Informations redondantes et ethernet indique les champs reth0, reth1 et reth2 en tant que paramètres Alors votre configuration est correcte.