シングルMXシリーズ(ECMPベースのコンシステントハッシュ)およびスケールアウトSRXシリーズファイアウォール(スタンドアロン)でのIPsec VPNトラフィックフロー

このトポロジでは、次のことを行う必要があります。

• IPSEC、VR、およびインターネットルーティングインスタンス用の2つのインターフェイスを備えた単一のMXシリーズを設定します。
• IKEエンドポイントIPアドレスのループバックインターフェイスでホストされている同じエニーキャストIPを使用して、AutoVPNを使用してSRXシリーズファイアウォールを設定します。すべてのSRXシリーズファイアウォールがIPsecレスポンダー専用モードになっていることを確認します。
• MXシリーズの背後にあるIPsecイニシエーターから開始されるIPsecトンネルは、一意のトラフィックセレクターを持つ同じSRXシリーズファイアウォールIKEエンドポイントIPアドレスを使用します。このSRXシリーズファイアウォールは、同じトラフィックセレクターを使用して固有の自動ルート挿入(ARI)ルートをインストールし、サーバーからのデータリターントラフィックを正しいIPsecトンネルに引き付けます。ARIは、インターネット側からリモートネットワークの静的ルートを自動的に挿入します。トラフィックセレクターに設定されたリモートIPアドレスに基づいてルートが作成され、IPSec VRルーティングインスタンスに挿入されます。 自動ルート挿入についてを参照してください。
• エニーキャスト IP ルートの送信元ハッシュを使用して、ロード バランシング ポリシーを使用して転送テーブルを構成します。MXシリーズは、IPSEC VRインスタンスでエニーキャストIPルートを受信し、IPSEC VR側のMXシリーズにeBGPを使用してアドバタイズします。MX シリーズは、ロード バランシング一貫性のあるハッシュ ポリシーを使用して、このルートを IPSec VR インスタンスにインポートします。
• TRUST側のMXシリーズには、エニーキャストIPアドレス用のECMPルートがあります。

図 1 に、トラフィックのフローを順を追った図を示します。

MXシリーズは、IPSEC VRおよびINTERNET VR方向にスケールアウトされたSRXシリーズファイアウォールに向けて、複数の論理インターフェイスで構成された単一のルーターです。

1. IPsec イニシエーター ルーターから開始された IKE トラフィックは、IPSec VR インスタンス上の MX シリーズに到達し、ECMP エニーキャスト IP ルートと一致します。トラフィックは、計算された送信元IPベースのハッシュ値に基づいて、ECMPネクストホップの1つをSRXシリーズファイアウォールに送ります。
2. SRXシリーズファイアウォールは、IKEセッションを固定し、ARIルートをインストールします。SRXシリーズファイアウォールは、MXシリーズルーターのインターネットインスタンスに向けてARIルートをアドバタイズします。
3. IPsecイニシエータールーターに接続されたクライアントは、IPsec VPNトンネルを通過するトラフィックを開始し、SRXシリーズファイアウォールの固定されたIPsecトンネルに到達します。IPsec VPNトンネルから出たクリアテキストパケットは、インターネット方向にルーティングされてサーバーに到達します。
4. サーバーからクライアントへのIPsecデータ応答トラフィックは、インターネットインスタンス上のMXシリーズに到達し、一意のARIルートを介して、トンネルが固定されているSRXシリーズファイアウォールにルーティングされます。
5. SRXシリーズファイアウォールがトラフィックを暗号化し、トンネル経由でIPsecイニシエーター、次にクライアントに送信します。
6. SRXシリーズファイアウォールがダウンした場合、MXシリーズルーターのコンシステントハッシュにより、他のSRXシリーズファイアウォールのセッションが妨害されず、影響を受けるSRXシリーズファイアウォールのIPsecセッションのみが再配布され、新しいセッションが開始されます。DPDタイマーは、SRXシリーズファイアウォールの障害時またはリンク障害時にトラフィックの再分配を確保します。