Tunnels VPN IPsec avec clusters de châssis
SRX Series vpn IPsec sont mis en place dans un cadre de mise en cluster de châssis. Dans un cluster de châssis actif/passif, tous les tunnels VPN se terminent sur le même nœud. Dans un cluster de châssis actif/actif, les tunnels VPN peuvent se terminer sur ces deux nœuds.
Compréhension des clusters de châssis VPN IPsec active/sauvegarde
Dans un cluster de châssis actif/passif, tous les tunnels VPN se terminent sur le même nœud, comme illustré dans Figure 1 .
Dans un cluster de châssis actif/actif, les tunnels VPN peuvent se terminer sur ces deux nœuds. Les deux composants du cluster de châssis peuvent transmettre activement du trafic via des tunnels VPN sur ces deux derniers en même temps, comme illustré dans Figure 2 . Ce déploiement est connu sous le nom de clusters de châssis VPN IPsecdouble de sauvegarde active.
Les fonctionnalités suivantes sont prise en charge par deux clusters de châssis VPN IPsec de sauvegarde active:
VPN basés sur le route uniquement. Les VPN basés sur des stratégies ne sont pas pris en charge.
IKEv1 et IKEv2.
Certificat numérique ou authentification clé pré-partagée.
IKE interfaces de tunnel sécurisées (st0) dans les routeurs virtuels.
traduction des adresses réseau-Traversal (NAT-T).
Surveillance VPN.
Détection des pairs morts.
Mise à niveau logicielle en cours d’utilisation (ISSU).
Insertion de cartes de traitement des services (SPC) sur un équipement de cluster de châssis sans perturber le trafic sur les tunnels VPN existants. Voir la prise en charge VPN pour l’insertion de cartes de traitement des services.
Protocoles de routage dynamique.
Interfaces de tunnel sécurisées (st0) configurées en mode point à multipoint.
VPN automatique avec interfaces st0 en mode point à point avec sélecteurs de trafic.
Modes tunnel IPv4-in-IPv4, IPv6-in-IPv4, IPv6-in-IPv6 et IPv4-in-IPv6.
Trafic fragmenté.
L’interface de bouclation peut être configurée comme interface externe du VPN.
Les clusters de châssis VPN IPsec de sauvegarde double actif ne peuvent pas être configurés avec des flux en mode Z. Les flux en mode Z se produisent lorsque le trafic pénètre une interface sur un nœud de cluster de châssis, passe par la liaison de structure et sort par une interface sur l’autre nœud du cluster.
Voir également
Exemple: Configuration des groupes de redondance pour les interfaces de bouclage
Cet exemple montre comment configurer un groupe de redondance (RG) pour une interface de loopback afin d’éviter toute défaillance du VPN. Des groupes de redondance sont utilisés pour regrouper les interfaces dans un groupe à des fins de resserrage dans un environnement de cluster de châssis.
Conditions préalables
Cet exemple utilise le matériel et les logiciels suivants:
Une paire d’équipements de regroupement de châssis SRX Series pris en charge
Équipement SSG140 ou équivalent
Deux commutateurs
Junos OS version 12.1x44-D10 ou ultérieure pour les passerelles SRX Series Services
Avant de commencer:
Comprendre les interfaces Ethernet redondantes des clusters de châssis. Consultez le Guide de l’utilisateur Chassis Cluster pour SRX Series périphériques mobiles.
Présentation
Une passerelle Internet Key Exchange (IKE) a besoin d’une interface externe pour communiquer avec un équipement pair. Dans un environnement de cluster de châssis, le nœud sur lequel l’interface externe est active sélectionne une unité de traitement des services (SPU) pour prendre en charge le tunnel VPN. IKE et les paquets IPsec sont traitées sur ce processeur. C’est donc l’interface externe active qui décide de l’ancrage du SPU.
Dans un environnement de cluster de châssis, l’interface externe est une interface Ethernet redondante. Une interface Ethernet redondante peut tomber en panne lorsque ses interfaces physiques (enfant) sont en panne. Vous pouvez configurer une interface de bouclation en tant qu’interface physique alternative pour atteindre la passerelle pair. Les interfaces de bouclage peuvent être configurées sur n’importe quel groupe de redondance. Cette configuration de groupe de redondance n’est vérifiée que pour les paquets VPN, car seuls les paquets VPN doivent trouver le processeur d’ancrage via l’interface active.
Vous devez configurer lo0.x dans un routeur virtuel personnalisé, puisque l’option lo0.0 se trouve dans le routeur virtuel par défaut et qu’une seule interface de bouclisation est autorisée dans un routeur virtuel.
Figure 3 montre un exemple de topologie VPN de cluster de châssis en boucle. Dans cette topologie, l’équipement SRX Series cluster de châssis est situé à Sunnyvale, Californie. Le SRX Series cluster de châssis fonctionne comme une passerelle unique dans ce cadre. L SSG Series (ou un équipement tiers) est situé à Chicago, Illinois. Cet équipement joue le rôle d’équipement pair au cluster de châssis SRX et contribue à la création d’un tunnel VPN.
Configuration
Procédure
CLI configuration rapide
Pour configurer rapidement cette section de l’exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les interruptions de ligne, modifiez tous les détails nécessaires pour correspondre à votre configuration réseau, copiez et collez les commandes dans le CLI au niveau de la hiérarchie, puis entrez à partir du [edit]commit mode de configuration.
set interfaces lo0 redundant-pseudo-interface-options redundancy-group 1 set interfaces lo0 unit 1 family inet address 10.3.3.3/30 set routing-instances vr1 instance-type virtual-router set routing-instances vr1 interface lo0.1 set routing-instances vr1 interface reth0.0 set routing-instances vr1 interface reth1.0 set routing-instances vr1 interface st0.0 set routing-instances vr1 routing-options static route 192.168.168.1/24 next-hop st0.0 set security ike policy ike-policy1 mode main set security ike policy ike-policy1 proposal-set standard set security ike policy ike-policy1 pre-shared-key ascii-text "$ABC123" set security ike gateway t-ike-gate ike-policy ike-policy1 set security ike gateway t-ike-gate address 10.2.2.2 set security ike gateway t-ike-gate external-interface lo0.1 set security ipsec proposal p2-std-p1 authentication-algorithm hmac-sha1-96 set security ipsec proposal p2-std-p1 encryption-algorithm 3des-cbc set security ipsec proposal p2-std-p1 lifetime-seconds 180 set security ipsec proposal p2-std-p2 authentication-algorithm hmac-sha1-96 set security ipsec proposal p2-std-p2 encryption-algorithm aes-128-cbc set security ipsec proposal p2-std-p2 lifetime-seconds 180 set security ipsec policy vpn-policy1 perfect-forward-secrecy keys group2 set security ipsec policy vpn-policy1 proposals p2-std-p1 set security ipsec policy vpn-policy1 proposals p2-std-p2 set security ipsec vpn t-ike-vpn bind-interface st0.0 set security ipsec vpn t-ike-vpn ike gateway t-ike-gate set security ipsec vpn t-ike-vpn ike proxy-identity local 10.10.10.1/24 set security ipsec vpn t-ike-vpn ike proxy-identity remote 192.168.168.1/24 set security ipsec vpn t-ike-vpn ike ipsec-policy vpn-policy1
Procédure étape par étape
Pour configurer un groupe de redondance pour une interface de bouclage:
Configurez l’interface de bouclage dans un groupe de redondance.
[edit interfaces] user@host# set lo0 redundant-pseudo-interface-options redundancy-group 1
Configurez l’adresse IP de l’interface loopback.
[edit interfaces] user@host# set lo0 unit 1 family inet address 10.3.3.3/30
Configurer les options de routage.
[edit routing-instances] user@host# set vr1 instance-type virtual-router user@host# set vr1 interface lo0.1 user@host# set vr1 interface reth0.0 user@host# set vr1 interface reth1.0 user@host# set vr1 interface st0.0 user@host# set vr1 routing-options static route 192.168.168.1/24 next-hop st0.0
Configurez l’interface de bouclation en tant qu’interface externe pour la IKE externe.
[edit security ike] user@host# set policy ike-policy1 mode main user@host# set policy ike-policy1 proposal-set standard user@host# set policy ike-policy1 pre-shared-key ascii-text "$ABC123" user@host# set gateway t-ike-gate ike-policy ike-policy1 user@host# set gateway t-ike-gate address 10.2.2.2 user@host# set gateway t-ike-gate external-interface lo0.1
Configurez une proposition IPsec.
[edit security ipsec] user@host# set proposal p2-std-p1 authentication-algorithm hmac-sha1-96 user@host# set proposal p2-std-p1 encryption-algorithm 3des-cbc user@host# set proposal p2-std-p1 lifetime-seconds 180 user@host# set proposal p2-std-p2 authentication-algorithm hmac-sha1-96 user@host# set proposal p2-std-p2 encryption-algorithm aes-128-cbc user@host# set proposal p2-std-p2 lifetime-seconds 180 user@host# set policy vpn-policy1 perfect-forward-secrecy keys group2 user@host# set policy vpn-policy1 proposals p2-std-p1 user@host# set policy vpn-policy1 proposals p2-std-p2 user@host# set vpn t-ike-vpn bind-interface st0.0 user@host# set vpn t-ike-vpn ike gateway t-ike-gate user@host# set vpn t-ike-vpn ike proxy-identity local 10.10.10.1/24 user@host# set vpn t-ike-vpn ike proxy-identity remote 192.168.168.1/24 user@host# set vpn t-ike-vpn ike ipsec-policy vpn-policy1
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant les show interfaces lo0 commandes et le , et show routing-instancesshow security ikeshow security ipsec le Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
[edit]
user@host# show interfaces lo0
unit 1 {
family inet {
address 10.3.3.3/30;
}
}
redundant-pseudo-interface-options {
redundancy-group 1;
}
[edit]
user@host# show routing-instances
vr1 {
instance-type virtual-router;
interface lo0.1;
interface reth0.0;
interface reth1.0;
interface st0.0;
routing-options {
static {
route 192.168.168.1/24 next-hop st0.0;
}
}
}
[edit]
user@host# show security ike
policy ike-policy1 {
mode main;
proposal-set standard;
pre-shared-key ascii-text "$ABC123";
}
gateway t-ike-gate {
ike-policy ike-policy1;
address 10.2.2.2;
external-interface lo0.1;
}
[edit]
user@host# show security ipsec
proposal p2-std-p1 {
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
lifetime-seconds 180;
}
proposal p2-std-p2 {
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-128-cbc;
lifetime-seconds 180;
}
policy vpn-policy1 {
perfect-forward-secrecy {
keys group2;
}
proposals [ p2-std-p1 p2-std-p2 ];
}
policy vpn-policy2 {
perfect-forward-secrecy {
keys group2;
}
proposals [ p2-std-p1 p2-std-p2 ];
}
vpn t-ike-vpn {
bind-interface st0.0;
ike {
gateway t-ike-gate;
proxy-identity {
local 10.10.10.1/24;
remote 192.168.168.1/24;
}
ipsec-policy vpn-policy1;
}
}
Si vous avez terminé la configuration de l’équipement, commit saisissez-le en mode de configuration.
Vérification
Vérification de la configuration
But
Vérifiez que la configuration des groupes de redondance pour les interfaces de bouclage est correcte.
Action
À partir du mode opérationnel, saisissez la show chassis cluster interfaces commande.
user@host> show chassis cluster interfaces
Control link status: Up
Control interfaces:
Index Interface Status
0 em0 Up
1 em1 Down
Fabric link status: Up
Fabric interfaces:
Name Child-interface Status
fab0 ge-0/0/7 Up / Up
fab0
fab1 ge-13/0/7 Up / Up
fab1
Redundant-ethernet Information:
Name Status Redundancy-group
reth0 Up 1
reth1 Up 1
reth2 Up 1
reth3 Down Not configured
reth4 Down Not configured
Redundant-pseudo-interface Information:
Name Status Redundancy-group
lo0 Up 1
Sens
La commande affiche les informations des interfaces du cluster de show chassis cluster interfaces châssis. Si l’état du champ Informations de la pseudo-interface redondante affiche l’interface los0 en tant que haut et l’état des champs Informations redondantes et ethernet indique les champs reth0, reth1 et reth2 en tant que paramètres Alors votre configuration est correcte.