単一のMXシリーズルーターでのIPSec VPNトラフィックフロー(ECMPベースの一貫性のあるハッシュ)とスケールアウトされたSRXシリーズファイアウォール(スタンドアロン)
このトピックでは、ECMP ベースの一貫したハッシュ ロードバランシングとスタンドアロン SRXシリーズ ファイアウォールを備えた単一の MXシリーズ ルーターを含むトポロジーで、IPsec トラフィックがどのように流れるかを見ていきます。
トポロジーについては 、図 1 を参照してください。このトポロジーでは、次のことを行う必要があります。
- IPSEC、VR、およびインターネットルーティングインスタンス用に、2つのインターフェイスを備えた単一のMXシリーズルーターを設定します。
- 各SRXシリーズファイアウォールをAutoVPN用に設定し、IKEエンドポイントIPアドレスのループバックインターフェイスに同じエニーキャストIPを割り当てます。すべてのSRXシリーズファイアウォールがIPsecレスポンダ専用モードになっていることを確認します。
- MXシリーズルーターの背後にあるIPsecイニシエーターから開始されるIPsecトンネルは、一意のトラフィックセレクターを持つ同じSRXシリーズファイアウォールIKEエンドポイントIPアドレスを使用します。SRXシリーズファイアウォールは、同じトラフィックセレクターを使用して一意の自動ルート挿入(ARI)ルートをインストールし、サーバーからのリターンデータトラフィックを正しいIPsec トンネルに引き付けます。ARIは、インターネット側からリモートネットワークの静的ルートを自動的に挿入します。トラフィックセレクターに設定されたリモートIPアドレスに基づいてルートが作成され、IPsec VRルーティング インスタンスに挿入されます。 自動ルート挿入についてを参照してください。
- エニーキャストIPルートのソースハッシュを使用したロードバランシングポリシーで転送テーブルを設定します。MXシリーズは、IPSEC VRインスタンスでエニーキャストIPルートを受信し、外部BGPを使用してIPSEC VR側のMXシリーズにアドバタイズします。MXシリーズルーターは、ロードバランシング一貫性のあるハッシュポリシーを使用して、IPSec VRインスタンスにこのルートをインポートします。
- 信頼側のMXシリーズルーターには、エニーキャストIPアドレスのECMPルートがあります。
図 1 は、トラフィック フローを順を追って示しています。
MXシリーズルーターは、IPSec、VR、インターネット方向でスケールアウトされたSRXシリーズファイアウォールに向けて、複数の論理インターフェイスで設定された単一のデバイスです。
IPsecイニシエータールーターから開始されたIKEトラフィックは、IPSEC VRインスタンス上のMXシリーズルーターに到達し、ECMPエニーキャストIPルートと一致します。このトラフィックは、計算された送信元IPベースのハッシュ値に基づいて、SRXシリーズファイアウォールへのECMPネクストホップの1つを取得します。
SRXシリーズファイアウォールは、IKEセッションを固定し、ARIルートをインストールします。ファイアウォールは、MXシリーズルーターのインターネットインスタンスに向けてARIルートをアドバタイズします。
IPsec イニシエータ ルーターに接続されたクライアントは、IPSec VPN トンネルを通過して SRXシリーズ ファイアウォール上の固定されたIPsec トンネルに到達するトラフィックを開始します。ルーターは、クリアテキスト パケットを IPSec VPN トンネルからインターネット方向に転送し、トラフィックがサーバーに到達できるようにします。
サーバーからクライアントへのIPsecデータ応答トラフィックは、インターネットインスタンス上のMXシリーズルーターに到達します。ルーターは、トンネルを固定するSRXシリーズファイアウォールに固有のARIルートを介してトラフィックを転送します。
SRXシリーズファイアウォールがトラフィックを暗号化し、トンネルを介してIPsecイニシエーターに送信してからクライアントに送信します。
SRXシリーズファイアウォールがダウンした場合、MXシリーズルーター上の一貫性のあるハッシュにより、他のSRXシリーズファイアウォール上のセッションは中断することなく継続されます。影響を受けるSRXシリーズファイアウォールは、IPsecセッションを再配布し、新しいセッションを開始します。DPDタイマーは、SRXシリーズファイアウォール障害時またはリンク障害時にトラフィックを確実に再分配します。